top of page
Buscar

SERCOP: Política de Seguridad de la Información — lo esencial y lo accionable

Qué es y por qué importa

El Directorio General del SERCOP expidió la Política de Seguridad de la Información (Registro Oficial, 28 de agosto de 2025). Es obligatoria para entidades públicas, proveedores y terceros del Sistema Nacional de Contratación Pública y fija reglas obligatorias sobre confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información del sistema de contratación pública.


Alcance real en su operación

La política aplica a todas las áreas del SERCOP y a cualquier servidor, contratista, proveedor o tercero que gestione o acceda a información institucional en medios físicos o digitales. Su objetivo es claro: proteger los activos de información del SERCOP conforme a normativa nacional e internacional.


A continuación, se presentan en tabla las medidas de seguridad y el marco de gestión de incidentes y continuidad operativa que la política requiere, para su rápida consulta e implementación.

Cómo está organizada la gobernanza

Principios que guían la gestión

  • Director General: máxima autoridad responsable.

  • Comité de Seguridad de la Información: aprueba lineamientos y supervisa riesgos.

  • Oficial de Seguridad de la Información: implementa, monitorea y responde a incidentes.

  • Áreas de apoyo (Talento Humano, Comunicación, Jurídica, TICs): capacitación, difusión, adecuación normativa y soporte técnico.

  • Legalidad y finalidad en el uso de datos.

  • Proporcionalidad y minimización de riesgos.

  • Confidencialidad y uso responsable.

  • Responsabilidad proactiva y mejora continua.

  • Alineación con EGSI v3.0 e ISO/IEC 27000.

Para qué sirve (finalidades de la política)

Qué activos protege (y debe identificar)

  • Prevenir incidentes y pérdidas de información.

  • Reducir vulnerabilidades y riesgos tecnológicos.

  • Fortalecer la confianza ciudadana en los servicios del SERCOP.

  • Garantizar la continuidad de los procesos de contratación pública.

  • Cumplir con la LOPDP, la LOSNCP y demás normativa aplicable.

  • Documentos físicos y electrónicos (contratos, actas, resoluciones).

  • Sistemas institucionales (SOCE y plataformas de gestión documental).

  • Equipos y dispositivos de almacenamiento.

  • Infraestructura de redes y comunicaciones.

  • Servicios tecnológicos externos (nube, SaaS, hosting).


Qué debe hacer cada actor (obligaciones resumidas)

La política establece deberes específicos para cada actor involucrado en la gestión de la información institucional. Estas obligaciones buscan asegurar que el manejo de los activos de información sea seguro, transparente y conforme al marco legal vigente: 

Actor 

Obligaciones 

Servidores públicos del SERCOP 


  • Cumplir políticas, procedimientos y normas internas de seguridad.

  • Usar la información solo para funciones oficiales (no personal, político ni comercial).

  • Mantener la confidencialidad incluso tras finalizar la relación laboral o contractual.

  • Proteger credenciales y actualizarlas periódicamente (60 o 90 días según nivel de acceso).

  • Reportar de inmediato cualquier incidente o irregularidad.

  • Participar en la capacitación obligatoria en seguridad y protección de datos.

Propietarios y custodios de la información 

  • Clasificar y actualizar la información (pública, interna, confidencial o restringida).

  • Gestionar accesos con principio de mínimo acceso.

  • Supervisar respaldo, cifrado y monitoreo, con verificaciones periódicas.

  • Registrar y alertar eventos relevantes o accesos no autorizados.

  • Aplicar eliminación segura en soportes digitales y físicos.

  • Colaborar en planes de continuidad y recuperación ante incidentes o desastres.

Usuarios externos y proveedores 

  • Acatar políticas internas y cláusulas contractuales de confidencialidad.

  • Garantizar integridad y disponibilidad de la información a la que acceden.

  • Usar únicamente sistemas y credenciales otorgadas (sin delegar a terceros).

  • Devolver, destruir o cifrar la información al cierre contractual, según procedimientos.

  • Asistir a capacitaciones y firmar compromisos de confidencialidad cuando corresponda.

  • Permitir auditorías de cumplimiento en seguridad de la información.

  • Respetar la normativa de protección de datos personales (licitud y proporcionalidad).

Ciudadanía y usuarios de servicios digitales 

  • Proporcionar datos veraces y actualizados para la gestión de procesos de contratación.

  • Usar únicamente canales oficiales y evitar accesos no autorizados o fraudulentos.

  • Ejercer derechos de acceso, rectificación, actualización y eliminación conforme a la LOPDP y procedimientos establecidos.

Controles que la política exige implantar

La política establece controles técnicos y administrativos para proteger la información institucional, y define un marco de acción para la gestión de incidentes y la continuidad operativa, como se detalla a continuación:

Medidas de seguridad 

Gestión de incidentes y continuidad operativa

  • Acceso y autenticación: Credenciales seguras y Autenticación Multifactor (MFA).

  • Cifrado: Protección de datos y contraseñas mediante encriptación.

  • Respaldos y recuperación: Copias de seguridad y activación de planes ante desastres.

  • Restricción de dispositivos: Límites al uso de memorias externas u otros medios extraíbles.

  • Eliminación segura: Procedimientos para soportes digitales y físicos.

  • Monitoreo y auditoría: Supervisión continua y registro de incidentes


  • Gestión de incidentes: Detectar, reportar, analizar y responder a amenazas o fallas.

  • Coordinación interinstitucional: Colaborar con otras entidades públicas cuando el impacto sea alto.

  • Continuidad del negocio: Asegurar planes de continuidad y recuperación que mantengan disponibles los servicios del SERCOP.

Disposiciones generales (quién vela por qué)

  • Dirección General del SERCOP: vigila la aplicación integral de la política.

  • TICs: lidera la implementación y mantenimiento de controles técnicos.

  • Asesoría Jurídica: incorpora cláusulas de seguridad en contratos y asegura conformidad normativa.

  • Comunicación Social: impulsa sensibilización y buenas prácticas

 

Conclusión en tres ideas

  • Carácter obligatorio: la Resolución R.I-SERCOP-2025-0004 es vinculante para servidores, proveedores y terceros vinculados al SERCOP.

  • Gestión integral de riesgos: fija responsabilidades claras y medidas de prevención y respuesta ante incidentes.

  • Alineación internacional: se articula con ISO/IEC 27000 y EGSI v3.0, reforzando transparencia, confianza ciudadana y seguridad en la contratación pública.


Para pasar del papel a la práctica (guía breve)

  • Clasifica tus activos (qué, dónde y con qué sensibilidad).

  • Asegura accesos con MFA y mínimo privilegio.

  • Cifra y respalda; define cómo recuperas.

  • Monitorea y audita; registra incidentes.

  • Actualiza contratos con cláusulas de confidencialidad, seguridad y cierre seguro.


Nuestro equipo se encuentra a su disposición para asesorarle en la implementación y cumplimiento de estas disposiciones, asegurando la adecuada gestión de riesgos y el fortalecimiento de sus procesos de contratación pública. 





ree

aviso legal

Aviso Legal

El contenido de este blog se proporciona únicamente con fines informativos y educativos y no debe considerarse como asesoramiento legal.

 

La normativa en Ecuador está sujeta a modificaciones y actualizaciones que pueden afectar la aplicabilidad y precisión de los contenidos publicados aquí.

 

No garantizamos que la información presentada sea precisa, completa o actualizada en el momento de su lectura. Por lo tanto, no se debe interpretar que los posts pasados reflejan necesariamente la normativa vigente.

 

Recomendamos encarecidamente la consulta con nuestros abogados calificados para obtener asesoramiento específico y personalizado.

Oficinas

Quito y Guayaquil

Teléfono

+59322232720

Email

info@lmzabogados.com

Conecta con nosotros

  • LinkedIn
  • Facebook
  • Instagram
  • https://twitter.com/MZAbogadosEC
bottom of page