Manual de Procedimiento para

la Gestión de Vulnerabilidades Diciembre

Técnicas sobre los Sistemas de
Información y Equipos
Informáticos del Banco Central
2019
del Ecuador
Este documento contiene la segunda versión del Manual de
Procedimiento para la Gestión de Vulnerabilidades Técnicas sobre
los Sistemas de Información y Equipos Informáticos del Banco Versión 2.0
Central del Ecuador.

COORDINACIÓN GENERAL DE TECNOLOGÍAS DE LA

INFORMACIÓN Y COMUNICACIÓN

© 2019. Dirección de Procesos Calidad e Innovación - Coordinación General de

Planificación y Gestión Estratégica – Banco Central del Ecuador.

Todos los derechos reservados.

El presente documento no puede ser reproducido, distribuido, comunicado públicamente,

archivado o introducido en un sistema de recuperación de información, o transmitido, en
cualquier forma y por cualquier medio (electrónico, mecánico, fotográfico, grabación o
cualquier otro), total o parcialmente, sin el previo consentimiento por escrito del Banco
Central del Ecuador.
 ÍNDICE

REVISIÓN Y APROBACIÓN ........................................................................................................................... 3

CONTROL DE HISTORIAL DE CAMBIOS ........................................................................................................ 4

INFORMACIÓN GENERAL ............................................................................................................................ 5

1. OBJETIVO ............................................................................................................................................. 6

REALIZAR LA IDENTIFICACIÓN, SEGUIMIENTO, CONTROL Y ATENCIÓN DE VULNERABILIDADES TÉCNICAS

SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS INFORMÁTICOS ADMINISTRADOS POR LA
COORDINACIÓN GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN, CON EL PROPÓSITO
DE MANTENER UN NIVEL DE ASEGURAMIENTO ADECUADO DE LAS PLATAFORMAS Y MITIGAR LOS
RIESGOS ASOCIADOS. ................................................................................................................................. 6

2. BASE NORMATIVA ............................................................................................................................... 6

3. GLOSARIO DE TÉRMINOS Y/O DEFINICIONES ....................................................................................... 6

4. ÁMBITO DE APLICACIÓN ...................................................................................................................... 7

5. CONSIDERACIONES GENERALES ........................................................................................................... 7

6. PARTICIPANTES.................................................................................................................................... 7

7. CARACTERIZACIÓN DEL PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES TÉCNICAS SOBRE

LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR .......... 8

7.1. FICHA DEL PROCEDIMIENTO GESTIÓN DE VULNERABILIDADES TÉCNICAS SOBRE LOS SISTEMAS DE
INFORMACIÓN Y EQUIPOS INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR ....................................... 8

7.2. DIAGRAMA DE FLUJO DEL PROCEDIMIENTO GESTIÓN DE VULNERABILIDADES TÉCNICAS SOBRE LOS
SISTEMAS DE INFORMACIÓN Y EQUIPOS INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR ............... 10

7.3. DESCRIPCIÓN DEL PROCEDIMIENTO GESTIÓN DE VULNERABILIDADES TÉCNICAS SOBRE LOS

SISTEMAS DE INFORMACIÓN Y EQUIPOS INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR ............... 11
 MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES
TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
CÓDIGO VERSIÓN PÁGINA
MP-072 2.0 Página 3 de 12

REVISIÓN Y APROBACIÓN

Revisado y Validado por: Firma

Firmado digitalmente por VICTOR
Coordinador General de Tecnologías GEOVANNY BARRIONUEVO
BOLANOS
de la Información y Comunicación Fecha: 2019.12.09 [Link] -05'00'

Firmado digitalmente por

Coordinador General Jurídico DIEGO ABRAHAN LARA FLOR
Fecha: 2019.12.13 [Link]
-05'00'

Firmado digitalmente por REYNA

Coordinadora General de VERONICA VALENCIA REINEL
Fecha: 2019.12.11 [Link] -05'00'
Planificación y Gestión Estratégica

Firmado digitalmente por

Director Nacional de Riesgos de CHRISTIAN GERMAN MERA
PROANO
Operaciones Fecha: 2019.12.10 [Link] -05'00'

Firmado digitalmente por

Director de Aseguramiento de la OCTAVIO FERNANDO ALBUJA
ROMERO
Calidad y Seguridad Informática Fecha: 2019.12.09 [Link] -05'00'

Firmado digitalmente por

Director de Procesos, Calidad e DANIEL EDUARDO VASCO VITERI
Fecha: 2019.12.10 [Link]
-05'00'
Innovación

Firmado digitalmente por

Especialista de Servicios, Procesos y ANA LUCIA ESPINEL PACHECO
Fecha: 2019.12.09 [Link]
Calidad -05'00'

Aprobado por: Firma

Firmado digitalmente por JANETH

Subgerente General OLIVA MALDONADO ROMAN
Fecha: 2019.12.20 [Link] -05'00'

Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
 MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES
TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
CÓDIGO VERSIÓN PÁGINA
MP-072 2.0 Página 4 de 12

CONTROL DE HISTORIAL DE CAMBIOS

Versión Descripción del cambio Fecha de actualización

Versión inicial del Manual de Procedimiento para la
Gestión de Vulnerabilidades Técnicas sobre los Sistemas
de Información y Equipos Informáticos del Banco Central
1.0 del Ecuador, de acuerdo a documentos normativos Noviembre - 2016
internos de la Coordinación General de Tecnologías de la
Información y Comunicación del Banco Central del
Ecuador.

Actualización del Manual de Procedimiento para la

Gestión de Vulnerabilidades Técnicas sobre los Sistemas
de Información y Equipos Informáticos del Banco Central
2.0 del Ecuador, definición de nuevo flujo para la Gestión de Diciembre- 2019
Vulnerabilidades Técnicas sobre los Sistemas de
Información y Equipos Informáticos en base a Norma
para la Administración de la Seguridad de la Información

Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
 MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES
TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
CÓDIGO VERSIÓN PÁGINA
MP-072 2.0 Página 5 de 12

INFORMACIÓN GENERAL

TÍTULO Manual de Procedimiento para la Gestión de Vulnerabilidades Técnicas Sobre los

Sistemas de Información y Equipos Informáticos del Banco Central del Ecuador

Cecilia Puga
Especialista de Infraestructura y Operaciones
Raquel Marcillo
Autores: Especialista de Riesgos de Operaciones

Ana Espinel
Especialista de Servicios, Procesos y Calidad

Vigencia: El presente documento tendrá vigencia a partir de la fecha de su aprobación.

Aprobación: Subgerente General, mediante Resolución Administrativa No. BCE-GG-093-2019

de 07 de marzo de 2019, Artículo 1, numeral 4.

Responsabilidad
de la
Dirección de Aseguramiento de la Calidad y Seguridad Informática.
implementación,
Dirección de Infraestructura y Operaciones de TI.
ejecución, del
Dirección de Soporte Informático.
control previo y
Oficial de Seguridad de la Información.
concurrente:

Responsabilidad El presente documento normativo será revisado y actualizado por las áreas
de la revisión y previstas en responsabilidad de la implementación, ejecución, del control previo y
actualización: concurrente.

Responsabilidad
de la evaluación de Dirección Nacional de Auditoría Interna Bancaria y/o Gubernamental, en el ámbito
control interno: de su competencia.

El presente documento normativo será distribuido por la Dirección de Gestión

Distribución: Documental y Archivo a los servidores previstos en responsabilidad de la
implementación, ejecución, del control previo y concurrente.

Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
 MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES
TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
CÓDIGO VERSIÓN PÁGINA
MP-072 2.0 Página 6 de 12

1. OBJETIVO

Realizar la identificación, seguimiento, control y atención de vulnerabilidades técnicas sobre

los sistemas de información y equipos informáticos administrados por la Coordinación
General de Tecnologías de la Información y Comunicación, con el propósito de mantener un
nivel de aseguramiento adecuado de las plataformas y mitigar los riesgos asociados.

2. BASE NORMATIVA

 NT-001 Norma para la Administración de la Seguridad de la Información del Banco Central

del Ecuador.

3. GLOSARIO DE TÉRMINOS Y/O DEFINICIONES

Vulnerabilidad: Es una debilidad o deficiencia de seguridad, que puede ser materializada por
una amenaza.

Sistemas de información: Es un conjunto de elementos orientados al tratamiento y

administración de datos e información, organizados y listos para su uso posterior, generados
para cubrir una necesidad o un objetivo.

Equipos informáticos: Son equipos que permiten almacenar y procesar información.

Activo de información: Es todo recurso que genera, procesa, transporta y/o resguarda
información necesaria para la operación y el cumplimiento de los objetivos del BCE, por lo
tanto, se requiere proteger su confidencialidad, integridad y disponibilidad de las amenazas
propias de su naturaleza y características.

Remediación: Acción que permite minimizar el impacto de las vulnerabilidades en la

organización.

Plan de Remediación: Permite identificar los riesgos asociados a cada vulnerabilidad

reportada así como definir los controles que deben ser implementados para mitigar dichos
riesgos.

Ethical Hacking: Hackeo Ético, sirve para explotar las vulnerabilidades existentes en el sistema
que se requiere evaluar, valiéndose de un test de intrusión, que permite verificar y evaluar la
seguridad física y lógica de sistemas de información, redes de computadoras, aplicaciones
web, bases de datos, servidores, entre otros componentes de la infraestructura tecnológica,
con la intención de ganar acceso y demostrar que un sistema es vulnerable.

Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
 MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES
TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
CÓDIGO VERSIÓN PÁGINA
MP-072 2.0 Página 7 de 12

4. ÁMBITO DE APLICACIÓN

 Banco Central del Ecuador en Quito;

 Dirección Zonal Guayaquil; y,
 Dirección Zonal Cuenca.

5. CONSIDERACIONES GENERALES

Sobre la base de lo indicado en la Norma para la Administración de Seguridad de la

Información del Banco Central del Ecuador, se establecen los siguientes lineamientos
generales:

 Previa la puesta en producción de los aplicativos o sistemas de información, se debe

realizar un análisis de vulnerabilidades técnicas, y, establecer el plan de remediación y
seguimiento de vulnerabilidades identificadas. De acuerdo al riesgo expuesto por la
vulnerabilidad, el Responsable del activo de información, gestionará la remediación y
aceptará o no la puesta en producción.
 El análisis de vulnerabilidades técnicas para los sistemas de información y equipos
informáticos, tendrá una periodicidad trimestral en base al alcance que determine el
Oficial de Seguridad de la Información, y, cada vez que se produzcan cambios
significativos en los sistemas de información y equipos informáticos del Banco Central del
Ecuador.
 El alcance que defina el Oficial de Seguridad de la Información, será en base al inventario
y ponderación de los sistemas de información y equipos informáticos que entregue la
CGTIC. El alcance será del 10 % del total de los activos, de los cuales el 6% corresponderá
a activos de información con criticidad alta y el 4% con criticidad media.
 Para el Plan de Remediación se tomarán en cuenta los resultados del Ethical Hacking
externo y los Resultados del Escaneo de Vulnerabilidades.
 Se considerarán como prioridad del Plan de Remediación, las vulnerabilidades catalogadas
como críticas y altas en base a las metodologías propias de las herramientas de apoyo,
para el proceso de escaneo de vulnerabilidades.
 El inventario y ponderación de los sistemas de información y equipos informáticos, es
responsabilidad de la CGTIC conforme establece la Guía metodológica para clasificación
de activos de información y análisis de riesgos de la seguridad de la información, la que
establece que la CGTIC, elaborará el inventario completo de los sistemas de información
y equipos informáticos con su correspondiente criticidad.

6. PARTICIPANTES

Los participantes principales en este procedimiento de gestión de vulnerabilidades técnicas,

son los siguientes:

Director de Aseguramiento de la Calidad y Seguridad Informática: Es el servidor responsable

de la ejecución del procedimiento para la gestión de vulnerabilidades técnicas, sobre los
sistemas de información y equipos informáticos del Banco Central del Ecuador. De igual

Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
 MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES
TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
CÓDIGO VERSIÓN PÁGINA
MP-072 2.0 Página 8 de 12

manera, es el responsable de presentar trimestralmente el informe de resultados al Comité

de Gestión de Seguridad de la Información, por medio del Oficial de Seguridad de la
Información.

Oficial de Seguridad de la Información: Es el servidor responsable de definir el alcance para

realizar el procedimiento para la gestión de vulnerabilidades técnicas, sobre los sistemas de
información y equipos informáticos del Banco Central del Ecuador y conocer los resultados de
dicho análisis.

Responsable del Activo de Información: Es el servidor que contribuye al cumplimiento de la

Norma de Administración de la Seguridad de Información en lo que corresponde al control de
vulnerabilidades técnicas, evaluando las acciones de remediación que se ejecutarán,
asumiendo los riesgos de aquellas que no se puedan ejecutar y elaborando el plan de
remediación, correspondiendo a los Directores de cada Unidad Administrativa del Banco
Central del Ecuador.

Especialista de Seguridad Informática: Es el servidor asignado por parte del Director de

Aseguramiento de la Calidad y Seguridad Informática, cuya responsabilidad es la ejecución
del escaneo de vulnerabilidades y seguimiento de los planes de remediación.

Administrador del Activo de Información: Es el servidor asignado por parte del Responsable
del Activo de Información, cuya responsabilidad es ejecutar el plan de remediación y elaborar
los informes de resultados.

7. CARACTERIZACIÓN DEL PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES

TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS INFORMÁTICOS DEL BANCO
CENTRAL DEL ECUADOR
[Link] DEL PROCEDIMIENTO GESTIÓN DE VULNERABILIDADES TÉCNICAS SOBRE LOS
SISTEMAS DE INFORMACIÓN Y EQUIPOS INFORMÁTICOS DEL BANCO CENTRAL DEL
ECUADOR

GESTIÓN DE VULNERABILIDADES TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y

PROCEDIMIENTO:
EQUIPOS INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
Realizar la identificación, seguimiento, control y atención de vulnerabilidades técnicas,
sobre los sistemas de información y equipos informáticos administrados por la
OBJETIVO DEL
Coordinación General de Tecnologías de la Información y Comunicación, con el propósito
PROCEDIMIENTO:
de mantener un nivel de aseguramiento adecuado de las plataformas y mitigar los riesgos
asociados.
RESPONSABLE DEL
PROCEDIMIENTO: Director de Aseguramiento de la Calidad y Seguridad Informática

DISPARADOR: Solicitud de alcance del análisis de evaluación de vulnerabilidades técnicas.

RECURSOS

MATERIALES HUMANOS TECNOLÓGICOS FINANCIEROS

Equipos Oficial de Seguridad de la Sistema de Gestión de Incidentes No aplica
informáticos Información (Remedy - Mesa de ayuda)

Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
 MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES
TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
CÓDIGO VERSIÓN PÁGINA
MP-072 2.0 Página 9 de 12

Estaciones de Director de Aseguramiento de Sistema de Gestión Documental -

trabajo la Calidad y Seguridad Quipux
Informática
Material de oficina Especialista de Seguridad Correo Electrónico
Informática
Responsable del Activo de Herramientas de Escaneo de
Información vulnerabilidades: Nessus,
WebInspect y SonarQube
Administrador del Activo de Herramientas de seguimiento de
Información vulnerabilidades
Herramientas ofimáticas.
PROVEEDORES ENTRADAS
Dirección Nacional de Riesgos de Operaciones: Planta Norma para la Administración de la Seguridad de la
Central Ethical Hacking externo. Información del Banco Central del Ecuador
Inventario y ponderación de Activos de TI
Memorando con documento de alcance.
Reporte de Resultados del Escaneo de
Vulnerabilidades Técnicas
Resultados del Ethical Hacking externo
Correo de notificación de resultados
Planes de Remediación parciales
MP-086 Gestión de Cambio
SALIDAS CLIENTES
Memorando de solicitud de alcance. Adjunto inventario Unidades Administrativas del BCE
de Activos de TI.
Memorando con documento de alcance
Memorando con documento de alcance de
vulnerabilidades técnicas y disposición de inicio de
ejecución de escaneo
Reporte de Resultados del Escaneo de Vulnerabilidades
Técnicas
Resultados del Ethical Hacking Externo (DNRO)
Correo de notificación de resultados
Documento de responsabilidad de los riesgos asumidos
Planes de Remediación parciales
Informe de resultados de ejecución de Plan de
Remediación
Informe consolidado de resultados de evaluación de
vulnerabilidades técnicas
Memorando de Notificación con Informe de resultados
trimestral
BASE LEGAL / CONTROLES
Norma para la Administración de la Seguridad de la Información del Banco Central del Ecuador - 5.8.6. Control
de las Vulnerabilidades Técnicas

Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
 MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES
TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
CÓDIGO VERSIÓN PÁGINA
MP-072 2.0 Página 10 de 12

7.2. DIAGRAMA DE FLUJO DEL PROCEDIMIENTO GESTIÓN DE VULNERABILIDADES TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR

Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
 MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES
TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
CÓDIGO VERSIÓN PÁGINA
MP-072 2.0 Página 11 de 12

7.3. DESCRIPCIÓN DEL PROCEDIMIENTO GESTIÓN DE VULNERABILIDADES TÉCNICAS SOBRE

LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS INFORMÁTICOS DEL BANCO CENTRAL DEL
ECUADOR

# RESPONSABLE TAREAS DOCUMENTOS

ASOCIADOS
Director de Solicitar trimestralmente al Oficial de Seguridad de la
Memorando de
Aseguramiento de la Información, la definición del alcance de evaluación de
1 solicitud de alcance del
Calidad y Seguridad vulnerabilidades en el período, en base al Inventario y
análisis de evaluación
Informática ponderación de los activos de información adjunto.
En base al inventario de activos de TI, define el alcance
del análisis de vulnerabilidades en el período, en base
a una muestra del 10% del total de activos de TI. El
Oficial de Seguridad Memorando con
2 documento de alcance del análisis de vulnerabilidades
del la Información documento de alcance
se enviará dentro de los 5 días posteriores a la
solicitud por parte del Director de Aseguramiento de
la Calidad y Seguridad Informática.
Memorando con
Director de documento de alcance
Notifica mediante memorando a los responsables de
Aseguramiento de la de vulnerabilidades
3 activos de información, el alcance del análisis en el
Calidad y Seguridad técnicas y disposición
período.
Informática de inicio de ejecución
de escaneo
Director de Mediante memorando, dispone al Especialista de
Aseguramiento de la
4 Seguridad Informática, proceda a ejecutar el escaneo
Calidad y Seguridad
de vulnerabilidades técnicas.
Informática
Procede a ejecutar el escaneo de vulnerabilidades
técnicas de los activos de información definidos. El
Resultados del escaneo
Especialista de plazo para el envío de los resultados del escaneo de
5 de vulnerabilidades
Seguridad Informática vulnerabilidades es de 15 días a partir de la disposición
técnicas
por parte del Director de Aseguramiento de la Calidad
y Seguridad Informática.
Por cada vulnerabilidad, resultado del escaneo y
Especialista de resultados del Ethical Hacking, el Especialista de
6
Seguridad Informática Seguridad Informática, crea un incidente en la
herramienta Remedy.
Notifica resultados del escaneo de vulnerabilidades Correo de
Especialista de
7 técnicas a los Responsables de los Activos de notificación de
Seguridad Informática
Información. resultados
En base a los resultados del escaneo de
vulnerabilidades técnicas y a los resultados del Ethical
Responsable del Activo Hacking Externo, evalúa las acciones de remediación.
8
de Información Es viable?
No, pasa a la tarea 9
Si, pasa a la actividad 10
Responsable del Activo Si se determina que todas las acciones de remediación Documento de
9
de Información posibles que han sido evaluadas no son viables, se responsabilidad de los

Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
 MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE VULNERABILIDADES
TÉCNICAS SOBRE LOS SISTEMAS DE INFORMACIÓN Y EQUIPOS
INFORMÁTICOS DEL BANCO CENTRAL DEL ECUADOR
CÓDIGO VERSIÓN PÁGINA
MP-072 2.0 Página 12 de 12

procede a documentar la no ejecución de las medidas riesgos asumidos

de remediación, con riesgos asumidos.
Si se determina que todas las acciones de remediación
Responsable del Activo Planes de remediación
10 posibles que fueron evaluadas son viables, se procede
de Información parciales
a elaborar los planes de remediación.
Convocar a reunión de revisión del plan de
remediación con los Responsables de los Activos de
Información
Especialista de
11 Se aprueba el Plan?
Seguridad Informática
Si se aprueban los planes de remediación, pasa a la
tarea 12.
Si no se aprueban, regresa a la tarea 8.
Especialista de Se procede a registrar y dar seguimiento al plan de
12
Seguridad Informática remediación.
Ejecutar plan de remediación, usando el Manual de
Administrador del
13 procedimiento establecido en el MP-086 (Manual de Procedimiento de
Activo de Información
Procedimiento de Gestión de Cambios). Gestión de Cambios
Elaborar informe de resultado de ejecución del plan de Informe de resultados
Administrador del
14 remediación. El reporte enviará al Director de de ejecución de Plan
Activo de Información
Aseguramiento de la Calidad y Seguridad Informática. de Remediación.
Una vez ejecutado el Plan de Remediación, ejecuta un
re escaneo de vulnerabilidades. Del resultado del re
Especialista de escaneo, se verificará si la implementación fue
15
Seguridad Informática satisfactoria?
Si fue satisfactoria, se regresa a la tarea 12, si no fue
satisfactoria, regresa a la tarea 8.
Director de Una vez ejecutado el re escaneo de todos los activos Informe consolidado
Aseguramiento de la de información contemplados en el período, se de resultados de
16
Calidad y Seguridad elabora un Informe consolidado de resultados de evaluación de
Informática evaluación de vulnerabilidades técnicas. vulnerabilidades
Director de Memorando de
Aseguramiento de la Notificar al Oficial de Seguridad mediante Notificación con
17
Calidad y Seguridad memorando el informe de resultados. Informe de resultados
Informática trimestral
FIN DEL PROCESO

Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.