Decreto Supremo 1793 de reglamentación a la Ley 164

Artículo 3, Párrafo VI

  1. Seguridad informática: Es el conjunto de normas, procedimientos y herramientas, las cuales se enfocan en la protección de la infraestructura computacional y todo lo relacionado con ésta y, especialmente, la información contenida o circulante;
  2. Seguridad de la información: La seguridad de la información es la preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y confiabilidad;
  3. Plan de contingencia: Es un instrumento que comprende métodos y el conjunto de acciones para el buen gobierno de las Tecnologías de la Información y Comunicación en el dominio del soporte y el desempeño, contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del servicio y las operaciones de una entidad, en circunstancias de riesgo, crisis y otras situaciones anómalas.

Artículo 4 Párrafo II, Inciso d)

Seguridad: Se debe implementar los controles técnicos y administrativos que se requieran para preservar la confidencialidad, integridad, disponibilidad, autenticidad, no repudio y confiabilidad de la información, brindando seguridad a los registros, evitando su falsificación, extravío, utilización y acceso no autorizado o fraudulento.

Artículo 8

Las entidades públicas promoverán la seguridad informática para la protección de datos en sus sistemas informáticos, a través de planes de contingencia desarrollados e implementados en cada entidad.

Decreto Supremo 2514 de Creación de la Agencia de Gobierno Electrónico y Tecnologías de Información y Comunicación – AGETIC

[ Descargar]

Artículo 8, Numeral 1

Se crea el Centro de Gestión de Incidentes Informáticos – CGII como parte de la estructura técnico operativa de la AGETIC.

Artículo 8, Numeral 2

El CGII tiene las siguientes funciones:

  • Establecer las políticas de gestión de incidentes informáticos gubernamentales y procedimientos para la atención y escalamiento de los mismos;
  • Establecer los lineamientos para la elaboración de Planes Institucionales de Seguridad de la Información de las entidades del sector público;
  • Establecer los lineamientos para la elaboración de Planes de Seguridad de Información de las entidades del sector público;
  • Desarrollar políticas y acciones para la prevención de incidentes informáticos en las entidades del sector público;
  • Evaluar la seguridad de los sistemas de información de las entidades del sector público, a solicitud de las mismas;
  • Monitorear los sitios web gubernamentales y la aplicación de las políticas y lineamientos definidos por la AGETIC;
  • Promover el desarrollo de prácticas de seguridad de la información con la sociedad en general;
  • Comunicar y otorgar información a todas las entidades del sector público acerca de incidentes informáticos y vulnerabilidades de que haya tomado conocimiento;
  • Prestar soporte técnico a las entidades del sector público en caso de que ocurriese un incidente informático;
  • Otorgar soporte técnico para la prevención de incidentes informáticos a las entidades del nivel central del Estado a solicitud de las mismas;
  • Realizar el seguimiento al desarrollo e implementación de los planes de seguridad de la información en las entidades y empresas públicas del nivel central del Estado;
  • Realizar pruebas a la seguridad de los sistemas de información de las entidades públicas, para realizar recomendaciones a las mismas, previo aviso y coordinación. El CGII no realizará ninguna acción que pueda perjudicar a las entidades públicas en el desarrollo cotidiano de sus actividades;
  • Coordinar la gestión de incidentes informáticos gubernamentales con entidades de similar función a nivel internacional;
  • Realizar otras tareas orientadas a la mejora de la seguridad de la información de las entidades del sector Público.

Artículo 17, Numeral 2

Las entidades públicas en las que ocurra un incidente informático deberán proporcionar la información necesaria al CGII respecto a los incidentes informáticos ocurridos, conforme a los procedimientos a ser establecidos por el CGII.