Bs. As., 8/11/2007

VISTO el Expediente Nº 144/06 del Registro del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA), el Decreto Nº 375 de fecha 24 de abril de 1997, ratificado por el Decreto de Necesidad y Urgencia Nº 842 de fecha 27 de agosto de 1997, la Ley Nº 24.156 y sus modificatorias, la Decisión Administrativa Nº 669/2004 de la JEFATURA DE GABINETE DE MINISTROS, la Resolución Nº 45 de fecha 24 de junio de 2005 de la SUBSECRETARIA DE LA GESTION PUBLICA, la Disposición Nº 6 de fecha 3 de agosto de 2005 de la OFICINA NACIONAL DE TECNOLOGIAS DE LA INFORMACION, y

CONSIDERANDO:

Que por el Expediente citado en el VISTO tramita el Proyecto "Política de Seguridad de la Información" elevado por el Comité de Seguridad de la Información del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA) a los fines de dar cumplimiento a lo normado por la Decisión Administrativa Nº 669/04 y por la Disposición ONTI Nº 6/05.

Que el Artículo 1º de la Decisión Administrativa Nº 669/04 establece que "los Organismos del SECTOR PUBLICO NACIONAL, comprendidos en el Artículo 7º deberán dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo".

Que por su parte el Artículo 7º de la referida medida establece que la misma "será de aplicación a los organismos comprendidos en los incisos a) y c) del Artículo 8º de la Ley Nº 24.156 y sus modificatorias".

Que por medio del Memo PRES Nº 10/06 de fecha 15 de mayo de 2006, se conformó el Comité de Seguridad de la Información del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA) y se designaron sus coordinadores, asignándose las funciones relativas a la seguridad de los sistemas de información.

Que el Comité de Seguridad de la Información propició los lineamientos fundamentales de la Política de Seguridad para el ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA), estableciendo como principales políticas el cuidado en el manejo de la información que genera y maneja el Organismo Regulador a fin de evitar cualquier filtración o pérdida que pueda resultar valiosa, tomando como base lo dispuesto por la ONTI en su Modelo de Política de Seguridad (Disposición Nº 6/05).

Que dentro de los fines perseguidos en la "Política de Seguridad de la Información" se encuentra que la misma se aplicará a todas las personas físicas y jurídicas, privadas o públicas que presten servicios en el Organismo Regulador o participen de los procesos de contratación.

Que el ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA), organismo descentralizado que actúa en jurisdicción del MINISTERIO DE PLANIFICACION FEDERAL, INVERSION PUBLICA Y SERVICIOS, integra el Sector Público Nacional y debe, en consecuencia, dictar la Política de Seguridad de la Información de acuerdo a las pautas establecidas en la Decisión Administrativa JGM Nº 669/2004 y a la Disposición ONTI Nº 06/2005.

Que la GERENCIA DE ASUNTOS JURIDICOS ha tomado la intervención que le compete.

Que el ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA) resulta competente para el dictado de la presente, conforme lo dispone el Artículo 3º de la Ley Nacional de Procedimientos Administrativos Nº 19.549, y demás disposiciones concordantes ya invocadas.

Que en Reunión del Directorio de fecha 11 de octubre de 2007 se ha considerado el asunto, facultándose al suscripto a dictar la presente medida.

Por ello,

EL DIRECTORIO DEL ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS

RESUELVE:

Artículo 1º — Aprobar la "Política de Seguridad de la Información del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA)" la que como Anexo I forma parte integrante de la presente Resolución.

Art. 2º — Establecer que la "Política de Seguridad de la Información" aprobada en el Artículo 1º será de aplicación a todas las personas físicas y jurídicas, privadas o públicas que presten servicios al o en el ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA) o participen de los procesos de contratación.

Art. 3º — Hacer saber a los sujetos mencionados en el Artículo 2º que para todo aquello no previsto por la presente será de aplicación lo establecido por la Disposición ONTI Nº 06/2005.

Art. 4º — Regístrese, notifíquese a todos los sujetos comprendidos en el Artículo 2º, publíquese, dése a la DIRECCION NACIONAL DE REGISTRO OFICIAL y cumplido, archívese. — Horacio A. Orefice.

ANEXO

I. INTRODUCCION

La información es un recurso que, como el resto de los activos, tiene valor para el ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA) y por consiguiente, debe ser debidamente protegida y resguardada.

La presente Política de Seguridad de la Información tiende a proteger al mencionado recurso de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos del Organismo.

Resulta imprescindible para el desarrollo del presente programa que los principios de la Política de Seguridad sean parte de la cultura organizacional del ORSNA.

Para ello, se deben implementar políticas inherentes a la seguridad de la información en el marco de las funciones y facultades establecidas por el Decreto Nº 375 de fecha 24 de abril de 1997, ratificado por el Decreto de Necesidad y Urgencia Nº 842, de fecha 27 de agosto de 1997.

Asimismo, se hace necesario asegurar un compromiso manifiesto del Directorio del Organismo y de los señores Gerentes para la difusión, consolidación y cumplimiento de la presente Política.

II. OBJETIVOS

Proteger los recursos de información del Organismo y la tecnología utilizada para su procesamiento, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la misma.

Establecer la administración de la seguridad de la información, como parte de los objetivos y funciones del Organismo, asegurando la implementación de las medidas de seguridad comprendidas en esta Política e identificando los recursos necesarios para tales fines.

Mantener la Política de Seguridad del Organismo actualizada, a efectos de asegurar su vigencia y nivel de eficacia.

III. TERMINOS Y DEFINICIONES

A los efectos de la presente Política se aplican las siguientes definiciones:

Ø Compromiso de Confidencialidad: instrumento por el cual la persona física o jurídica declara conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad de las personas físicas o jurídicas.

Ø Comité de Seguridad de la Información: es un cuerpo integrado por representantes de todas las áreas sustantivas del Organismo, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad.

Ø Información: se refiere a toda comunicación o representación de conocimiento inherente a las misiones y funciones del ORSNA, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.

Ø Propietario de la Información: se vincula con la generación y/o administración; o disposición, de la información, entendiéndose por "propietario" a los responsables cualquier área del organismo que posea la responsabilidad respecto de su manejo y preservación, conforme a sus funciones y competencias.

Ø Responsable de Seguridad de la Información: Es la persona que cumple la función de supervisar el cumplimiento de la presente Política y de asesorar en materia de seguridad de la información a los integrantes del Organismo que así lo requieran.

Ø Seguridad de la información: se entiende como la preservación de las siguientes características:

• Confidencialidad: se garantiza que la información será accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

• Integridad: consiste en salvaguardar la exactitud y totalidad de la información y los métodos de procesamiento.

• Disponibilidad: certificar que los usuarios autorizados puedan acceder a la información y a los recursos relacionados con la misma, toda vez que los usuarios lo requieran.

Ø Sistema de Información: se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.

Ø Tecnología de Información: se refiere al hardware y software operados por el Organismo o por un tercero que procesa información en su nombre para llevar a cabo una función propia del Organismo, sin tener en cuenta la tecnología utilizada, ya sea de computación de datos, telecomunicaciones u otro tipo.

Ø Incidente de Seguridad: evento adverso que compromete la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Puede ser causado mediante la explotación de alguna vulnerabilidad o un intento o amenaza de romper los mecanismos de seguridad existentes.

IV. POLITICAS DEL ORGANISMO

1. ASPECTOS GENERALES

Esta Política se conforma de una serie de pautas y premisas sobre aspectos específicos relacionados con la Seguridad de la Información, que incluyen los siguientes tópicos:

Ø Organización de la Seguridad: El presente punto se encuentra orientado a administrar la seguridad de la información dentro del Organismo y establecer un marco gerencial para controlar su implementación.

Ø Clasificación y Control de Activos: Es el destinado a mantener una adecuada protección de los activos del Organismo.

Ø Seguridad del Personal: orientado a reducir los riesgos de error humano, comisión de ilícitos contra el Organismo o uso inadecuado de instalaciones.

Ø Seguridad Física y Ambiental: destinado a impedir accesos no autorizados, daños e interferencia a las sedes e información del Organismo.

Ø Gestión de Comunicaciones y Operaciones: dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación.

Ø Control de Acceso: orientado a controlar el acceso lógico a la información.

Ø Desarrollo y Mantenimiento de los Sistemas: orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde su desarrollo y/o implementación y durante su mantenimiento.

Ø Administración de la Continuidad de las Actividades del Organismo: orientado a contrarrestar las interrupciones de las actividades y proteger los procesos críticos de los efectos de fallas significativas o desastres.

Ø Cumplimiento: destinado a impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.

A efectos de mantener actualizada la presente Política de Seguridad de la Información, el Comité de Seguridad de la Información la revisará anualmente. En este sentido, propondrá toda modificación que sea necesaria en función a posibles cambios que puedan afectar su definición, como ser, cambios tecnológicos, materiales, edilicios, variación de los costos de los controles, impacto de incidentes de seguridad, etc.

2. ASPECTOS ESPECIFICOS – OBJETIVOS

2.1. PERSONAS FISICAS Y JURIDICAS

Ø Reducir los riesgos de error humano, comisión de ilícitos, el uso inadecuado o malicioso de las instalaciones y los recursos de información del ORSNA como así también la divulgación y manejo no autorizado de la información crítica.

Ø Hacer conocer a las personas físicas o jurídica, privadas o públicas que presten servicios al ORSNA la Política de Seguridad de la Información y establecer políticas de comunicación de debilidades e incidentes en cuanto a seguridad.

Ø Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento.

Ø Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad del ORSNA en el transcurso de sus habituales tareas.

Ø Suscribir Compromisos de Confidencialidad con todos los agentes.

Ø Capacitar a todo el Organismo, en todo lo referido a política, normas y procedimientos de Seguridad de la Información.

2.2. SEGURIDAD FISICA Y AMBIENTAL

Ø Brindar el marco para minimizar los riesgos de daños e interferencias sobre la información y operaciones del Organismo. Asimismo, pretende evitar al máximo el riesgo de accesos físicos no autorizados, mediante el establecimiento de perímetros de seguridad y de áreas protegidas destinados a proteger el equipamiento de procesamiento de información crítica del ORSNA.

Ø Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático que alberga la información del ORSNA, como así también la documentación que se resulte esencial para las tareas.

Ø Implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores habituales.

Ø Garantizar la protección física de los accesos, del equipamiento y de la documentación.

2.3. GESTION DE COMUNICACIONES Y OPERACIONES

Ø Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y de comunicaciones.

Ø Asignar responsabilidades e implementar los procedimientos para su gestión y operación.

Ø Establecer funciones de desarrollo y operatividad, a fin de reducir el riesgo de modificaciones no autorizadas, error humano, uso negligente o mal uso deliberado de los sistemas.

2.4. CONTROL DE ACCESOS

Ø Impedir el acceso no autorizado a todos los sectores que produzcan, promuevan y reciban información propia y de terceros.

Ø Impedir el acceso no autorizado a todos los sistemas de información, bases de datos y servicios de información.

Ø Implementar la asignación de derechos de acceso a los sistemas, servicios de información, bases de datos y todo lo que contemple la presente política.

Ø Concienciar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

2.5. DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Ø Garantizar la seguridad durante el desarrollo y la implementación de sistemas de Información y/o aplicativos, tanto internos como externos.

Ø Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo e implementación de los sistemas.

Ø Optimizar los controles de seguridad de entrada y salida del Organismo.

Ø Monitorear la gestión, el mantenimiento de los sistemas operativos y el software de base, en las distintas plataformas.

2.6. CONTINGENCIAS

Ø Garantizar la continuidad de las actividades del Organismo mediante la implementación de "Planes de Continuidad" y "Procedimientos de Contingencia".

Ø Identificar los recursos de Información críticos.

Ø Realizar controles periódicos para identificar y reducir los riesgos, limitar las consecuencias de los incidentes que afectan negativamente, y asegurar el tiempo de respuesta de las operaciones esenciales.

Ø Mantener actualizados los "Procedimientos de Contingencia", realizando periódicamente verificaciones y pruebas de los mismos, como así también relevar datos para facilitar la actualización de los "Planes de Continuidad".

2.7. NORMAS LEGALES Y CONTRACTUALES

Ø Dar cumplimiento a las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos en el diseño, operación, uso y administración de los sistemas de información.

Ø Definir normas y procedimientos para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual y a la conservación de registros.

3. SEGURIDAD FRENTE AL ACCESO POR PARTE DE TERCEROS

3.1. IDENTIFICACION

Cuando exista la necesidad de otorgar acceso a terceras partes a información del Organismo, el Responsable de Seguridad Informática y el Propietario de la Información de que se trate, llevarán a cabo y documentarán una evaluación de riesgos para identificar los requerimientos de controles específicos.

En todos los contratos cuyo objeto sea la prestación de servicios a título personal bajo cualquier modalidad jurídica que deban desarrollarse dentro del Organismo, se establecerán los controles, requerimientos de seguridad y compromisos de confidencialidad aplicables al caso, restringiendo al mínimo necesario, los permisos a otorgar.

Se cita a modo de ejemplo:

Ø Personal de mantenimiento y soporte de hardware y software.

Ø Limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados.

Ø Pasantías y otras designaciones de corto plazo.

Ø Consultores.

En ningún caso se otorgará acceso a terceros a la información, a las instalaciones de procesamiento u otras áreas de servicios críticos, hasta tanto se hayan implementado los controles apropiados y se haya firmado un contrato o acuerdo que defina las condiciones para la conexión o el acceso.

3.2. REQUERIMIENTO DE SEGURIDAD EN CONTRATO O ACUERDO CON TERCEROS

Se revisarán los contratos o acuerdos existentes o que se efectúen con terceros, teniendo en cuenta la necesidad de aplicar los siguientes controles:

a) Cumplimiento de la Política de seguridad de la información del Organismo.

b) Protección de los activos del Organismo.

c) Descripción de los servicios disponibles.

d) Nivel de servicio esperado y niveles de servicio aceptables.

e) Permiso para la transferencia de personal cuando sea necesario.

f) Obligaciones de las partes emanadas del acuerdo y responsabilidades legales.

g) Existencia de Derechos de Propiedad Intelectual.

h) Definiciones relacionadas con la protección de datos.

i) Acuerdos de control de accesos que contemplen:

j) Definición de criterios de desempeño comprobables, de monitoreo y de presentación de informes.

k) Adquisición de derecho a auditar responsabilidades contractuales o surgidas del acuerdo.

l) Establecimiento de un proceso para la resolución de problemas y en caso de corresponder disposiciones con relación a situaciones de contingencia.

m) Responsabilidades relativas a la instalación y al mantenimiento de hardware y software.

n) Estructura de dependencia y del proceso de elaboración y presentación de informes que contemple un acuerdo con respecto a los formatos de los mismos.

o) Proceso claro y detallado de administración de cambios.

p) Controles de protección física requeridos y los mecanismos que aseguren la implementación de los mismos.

q) Métodos y procedimientos de entrenamiento de usuarios y administradores en materia de seguridad.

r) Controles que garanticen la protección contra software malicioso.

s) Elaboración y presentación de informes, notificación e investigación de incidentes y violaciones relativos a la seguridad.

t) Relación entre proveedores y subcontratistas.

3.3. REQUERIMIENTO DE SEGURIDAD EN CONTRATO DE TERCERIZACION

Los contratos o acuerdos de tercerización total o parcial para la administración y control de sistemas de información, redes y/o ambientes de PC del Organismo, contemplarán además de los puntos especificados en "Requerimientos de Seguridad en Contratos o Acuerdos con Terceros", los siguientes aspectos:

a) Forma en que se cumplirán los requisitos legales aplicables.

b) Medios para garantizar que todas las partes involucradas en la tercerización, incluyendo los subcontratistas, están al corriente de sus responsabilidades en materia de seguridad.

c) Forma en que se mantendrá y comprobará la integridad y confidencialidad de los activos del Organismo.

d) Controles físicos y lógicos que se utilizarán para restringir y delimitar el acceso a la información sensible del Organismo.

e) Forma en que se mantendrá la disponibilidad de los servicios ante la ocurrencia de desastres.

f) Niveles de seguridad física que se asignarán al equipamiento tercerizado.

g) Derecho a la auditoría por parte del Organismo sobre los aspectos tercerizados en forma directa o a través de la contratación de servicios "ad hoc".

Se debe prever la factibilidad de ampliar los requerimientos y procedimientos de seguridad con el acuerdo de las partes.