MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL
Resolución Nș 917/2008
Bs. As., 19/8/2008
VISTO el Expediente Nș 1.078.195/03 del Registro del MINISTERIO DE TRABAJO, EMPLEO y SEGURIDAD SOCIAL, el Decreto Nș 628 del 13 de junio de 2005 y sus modificatorias, la Decisión Administrativa Nș 669 de fecha 20 de diciembre de 2004, las Resoluciones del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL Nros. 54 de fecha 20 de enero de 2006 y 15 de fecha 5 de enero de 2007 y
CONSIDERANDO:
Que por la Resolución del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL Nș 54/06 se conformó el Comité de Seguridad de la Información de esta Cartera de Estado con sujeción a lo establecido en la Decisión Administrativa Nș 669/04, quedando la coordinación del mismo a cargo de la SUBSECRETARIA DE COORDINACION.
Que el Comité de Seguridad de la Información tiene como funciones entre otras, revisar y proponer a la máxima autoridad del Organismo, para su aprobación la política y las responsabilidades generales en materia de seguridad de la información, tomar conocimiento y supervisar la investigación y el monitoreo de los incidentes relativos a la seguridad y aprobar las principales iniciativas para incrementar la seguridad de la información.
Que por Resolución del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL Nș 15 del 5 de enero de 2007, se aprobó las "POLITICAS DE SEGURIDAD INFORMATICA" de esta Cartera de Estado, que como Anexo forma parte integrante de dicha medida.
Que conforme surge el punto 3 de las "POLITICAS DE SEGURIDAD INFORMATICA" de este Ministerio, aprobadas por la mencionada resolución, el Comité de Seguridad de la información revisará dicha Política cada SEIS (6) meses, a efectos de mantenerla actualizada.
Que mediante el Acta de la reunión Nș 0001 celebrada el día 11 de diciembre de 2007 el Comité de Seguridad de la Información de este Ministerio aprobó por unanimidad el Proyecto de Revisión de las POLITICAS DE SEGURIDAD DE LA INFORMACION, integrante de la citada acta, para ser elevado a consideración del Sr. Subsecretario de Coordinación en cumplimento de lo establecido en el artículo 4ș, inciso 1 de la Decisión Administrativa Nș 669/04.
Que a fines de optimizar las herramientas de protección de los recursos de información de este Ministerio y la tecnología utilizada para su procesamiento deviene necesario actualizar determinados aspectos de la "POLITICAS DE SEGURIDAD INFORMATICA" aprobando el Proyecto de Revisión de las POLITICAS DE SEGURIDAD DE LA INFORMACION.
Que mediante el punto 3.4.5. de las "POLITICAS DE SEGURIDAD INFORMATICA" de este Ministerio, aprobadas por la Resolución del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL Nș 15/07, establece que el Responsable del Area de Recursos Humanos deberá notificar a todo el personal las obligaciones respecto del cumplimiento de la Política de la Seguridad de la Información, y de todas las normas, procedimiento y prácticas que de ella surjan, comunicar la misma al personal, así como los cambios que en ella se produzcan e implementar la suscripción de los compromisos de confidencialidad y acuerdos de responsabilidad que se dicten, para el tratamiento de la información.
Que por ello, resulta necesario autorizar al Director de Administración de Recursos Humanos de esta Cartera de Estado, Lic. Don Enrique GUARDO a cumplir con dichas funciones.
Que la Dirección General de Asuntos Jurídicos del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL ha tomado la intervención que le compete.
Que la presente se dicta en ejercicio de las facultades conferidas por la Ley de Ministerios Nș 22.520 (texto ordenado por Decreto Nș 438/92) y la Decisión Administrativa Nș 669 del 20 de diciembre de 2004.
Por ello,
EL MINISTRO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL
RESUELVE:
ARTICULO 1ș Apuébase la Revisión de las "POLITICAS DE SEGURIDAD DE LA INFORMACION", del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL, que como Anexo forma parte integrante de la presente medida.
ARTICULO 2ș Autorízase al Director de Administración de Recursos Humanos de esta Cartera de Estado, Lic. Don Enrique GUARDO, a comunicar dicha Política a todo el personal y a efectuar las funciones establecidas en el punto 3.4.5. de las "POLITICAS DE SEGURIDAD INFORMATICA" de este Ministerio, aprobadas por la Resolución del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL Nș 15/07.
ARTICULO 3ș Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. Dr. CARLOS A. TOMADA, Ministro de Trabajo, Empleo y Seguridad Social.
ANEXO
POLITICAS DE SEGURIDAD DE LA INFORMACION
Ministerio de Trabajo, Empleo y Seguridad Social
INDICE
Indice
1. INTRODUCCION
1.1. żQué es seguridad de la información?
1.2. żPor qué es necesaria la seguridad de la información?
2. DEFINICIONES
2.1. Seguridad de la Información
2.2. Información
2.3. Dato
2.4. Clasificación de la Información
2.4.1. Datos Sensibles
2.4.2. Datos Críticos
2.5. Sistema de Información
2.6. Tecnología de la Información
2.7. Recursos Informáticos
2.8. Recursos Informáticos Personales
2.9. Evaluación de Riesgos
2.10. Administración de Riesgos
2.11. Incidente de Seguridad
2.12. Usuario
3. POLITICA DE SEGURIDAD DE LA INFORMACION
3.1. Objetivo
3.2. Alcance
3.3. Aspectos de la Política de Seguridad de la Información
3.3.1. Política de Seguridad
3.3.2. Organización de la Seguridad
3.3.3. Clasificación y Control de Activos
3.3.4. Seguridad del Personal
3.3.5. Seguridad Física y Ambiental
3.3.6. Gestión de las Comunicaciones y las Operaciones
3.3.7. Control de Acceso
3.3.8. Desarrollo y Mantenimiento de los Sistemas
3.3.9. Administración de la Continuidad de las Actividades del MTEySS
3.3.10. Cumplimiento
3.4. Niveles de Responsabilidad en la Protección de la Información
3.4.1 Responsables de la Información
3.4.2. Comité de Seguridad de la Información
3.4.3. Coordinación del Comité de Seguridad de la Información
3.4.4. Responsables Primarios de la Información
3.4.5. Responsable del Area de Recursos Humanos
3.4.6. Responsable del Area de Capacitación
3.4.7. Responsable del Area de Sistemas Informáticos y Seguridad
3.4.8. Responsable del Area de Seguridad Física
3.4.9. Responsable del Area Legal
3.4.10. Responsable de la Unidad de Auditoría Interna
3.4.11. Usuarios de la información y de los sistemas informáticos
3.5. Sanciones por Incumplimiento
4. ORGANIZACION DE LA SEGURIDAD
4.1. Objetivos
4.2. Alcance
4.3. Responsabilidades
4.4. Infraestructura de la Seguridad de la Información
4.4.1. Comité de Seguridad de la Información
4.4.2. Asignación de Responsabilidades sobre la Seguridad de la Información
4.4.3. Proceso de Autorización de Acceso a Recursos Informáticos
4.4.4. Utilización de Recursos Informáticos Personales
4.4.5. Asesoramiento Especializado en Seguridad de la Información
4.4.6. Cooperación entre Organismos
4.5. Seguridad Frente al Acceso por Parte de Terceros
4.5.1. Tipos de acceso
4.5.2. Terceras partes
4.5.3. Identificación de Riesgos del Acceso
4.5.4. Requerimientos de Seguridad en los Contratos con Terceras Partes
4.5.5. Requerimientos de Seguridad en el empleo de Equipos Personales
5.1. Objetivo
5.2. Alcance
5.3. Responsabilidades
5.4. Inventario de activos
5.5. Clasificación de la información
5.5.1. Confidencialidad
5.5.2. Integridad
5.5.3. Disponibilidad
5.5.4. Criticidad de la información
5.6. Rotulado de la Información
6. SEGURIDAD DEL PERSONAL
6.1. Objetivo
6.2. Alcance
6.3. Responsabilidades
6.4. Seguridad en Puestos de Trabajo y Asignación de Recursos
6.4.1. Incorporación de la Seguridad en los Puestos de Trabajo
6.4.2 Usuarios administradores de puestos de trabajo
6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información
6.4.4. Términos y Condiciones de Empleo
6.5. Capacitación del Usuario
6.5.1. Objetivo
6.5.2. Formación y Capacitación en Seguridad de la Información
6.5.3. Material de Capacitación
6.5.4. Derechos y Obligaciones de los Usuarios en el Buen Uso de la Información del MTEySS
6.6. Respuesta a incidentes de seguridad
6.6.1. Objetivo
6.6.2. Comunicación de incidentes relativos a la seguridad
6.6.4. Comunicación de Anomalías del Software
6.6.5 Aprendiendo de los incidentes
6.6.6. Sanciones
7. SEGURIDAD FISICA Y AMBIENTAL
7.1. Objetivos
7.2. Alcance
7.3. Responsabilidades
7.4. Areas Seguras
7.4.1. Perímetro de seguridad física
7.4.2 Controles de acceso físico
7.4.3 Areas Protegidas
7.4.4 Desarrollo de tareas en áreas protegidas
7.5. Seguridad del equipamiento informático
7.5.1. Objetivo
7.5.2. Ubicación y protección del equipamiento
7.5.3. Suministro de energía
7.5.4. Seguridad del cableado
7.5.5. Mantenimiento de equipos
7.5.6. Seguridad del equipamiento fuera del ámbito de la organización
7.5.7. Baja segura o reutilización de equipamiento.
7.6. Controles generales
7.6.1. Política de Escritorio y Pantalla Limpia
7.6.2. Retiro de Activos del MTEySS
8. GESTION DE COMUNICACIONES Y OPERACIONES
8.1. Objetivo
8.2. Alcance
8.3. Responsabilidades
8.4. Procedimientos Operativos
8.4.1. Documentación
8.4.2. Control de Cambios en el ambiente de Producción
8.4.3 Procedimientos de manejo de incidentes
8.4.4 Separación de funciones
8.4.5. Separación entre Instalaciones de Desarrollo, Prueba y Producción
8.4.6. Separación de Funciones en los ambientes de Desarrollo, Prueba y Producción
8.4.7. Gestión de Procesamiento Externo
8.5. Planificación y aprobación de sistemas
8.5.1. Objetivo
8.5.2. Planificación de la capacidad
8.5.3 Aprobación del sistema
8.6. Protección contra software malicioso
8.6.1. Objetivo
8.7. Mantenimiento y Resguardo de la Información
8.7.1. Objetivo
8.7.2. Alcance del Resguardo de la Información
8.7.3. Controles del Resguardo y Recupero de la Información
8.7.4. Registro de Actividades del Personal de Producción
8.7.5. Registro de Fallas
8.8. Administración de la red
8.8.1. Objetivo
8.8.2. Controles de redes
8.9. Administración y Seguridad de los Medios de Almacenamiento
8.9.1. Objetivo
8.9.2. Administración de medios informáticos removibles
8.9.3. Eliminación de Medios de Información
8.9.4. Procedimientos de Manejo de la Información
8.9.5. Seguridad de la Documentación del Sistema
8.10. Resguardo de la Información del MTEySS
8.10.1. Objetivo
8.10.2. Procedimientos de Resguardo y Conservación de Datos
8.11. Intercambio de información y software
8.11.1. Objetivo
8.11.2. Acuerdos de Intercambio de Información y Software
8.11.3. Seguridad de los Medios en Tránsito
8.11.4. Seguridad de la interoperabilidad y el Gobierno Electrónico
8.11.5. Sistemas de Acceso Público y Semi-Público
8.11.6 Otras formas de intercambio de información
8.12.1. Generalidades y Objetivo
8.12.2. Política de Correo Electrónico
8.13. Seguridad de los Sistemas Electrónicos de Oficina
8.14. Seguridad de los Sistemas de Archivos Compartidos
9. CONTROL DE ACCESOS
9.1. Objetivos
9.2. Alcance
9.3. Responsabilidades
9.4. Requerimientos para el Control de Accesos
9.4.1. Política de Control de Accesos
9.4.2 Reglas de control de accesos
9.5. Administración de Accesos de Usuarios
9.5.1. Objetivo
9.5.2. Registración de Usuarios
9.5.3. Administración de Privilegios
9.5.4. Administración de Contraseñas de Usuario
9.5.5. Uso de Cuentas Administrativas
9.6. Responsabilidades del Usuario
9.6.1. Objetivo
9.6.2. Revisión de derechos de acceso de usuario
9.6.3. Uso de Contraseñas
9.6.4. Equipos en Areas de Usuarios
9.7. Control de acceso a la red
9.7.1. Objetivo
9.7.2. Política de utilización de los servicios de red
9.7.3. Camino Forzado
9.7.4. Autenticación de Usuarios para Conexiones Externas
9.7.5. Autenticación de Nodos
9.7.6. Protección de los puertos de diagnóstico remoto
9.7.7. Subdivisión de Redes
9.7.8. Acceso a Internet del MTEySS
9.7.9. Control de Conexión a la Red
9.7.10. Control de Ruteo de Red
9.7.11. Seguridad de los Servicios de Red
9.8. Control de acceso al sistema operativo
9.8.1. Objetivo
9.8.2. Identificación de Puestos de Trabajo y Servidores
9.8.3. Procedimientos de Conexión
9.8.4. Identificación y autenticación de los usuarios
9.8.5. Uso de Utilitarios de Sistemas Operativos
9.8.6. Desconexión por Tiempo Muerto en Puestos de Trabajo
9.8.7. Limitación del Horario de Conexión
9.9. Control de Acceso a las Aplicaciones
9.9.1. Objetivo
9.9.2. Restricción del Acceso a la Información
9.9.3. Aislamiento de Sistemas
9.10. Monitoreo del Acceso y Uso de los Sistemas
9.10.1. Objetivo
9.10.2. Registro de Eventos
9.10.3. Monitoreo del Uso de los Sistemas
9.10.4. Factores de Riesgo
9.10.5. Registro y Revisión de Eventos
9.10.6. Sincronización de Relojes
9.11. Computación Móvil y Trabajo Remoto
9.11.1. Objetivo
9.11.2. Computación Móvil
9.11.3. Trabajo Remoto
10. DESARROLLO Y MANTENIMIENTO DE SISTEMAS.
10.1. Objetivo
10.2. Alcance
10.3. Responsabilidades
10.4. Análisis y especificaciones de los requerimientos de seguridad.
10.4.1. Objetivo
10.4.2. Requerimientos de controles de seguridad
10.5. Seguridad en los Sistemas de Aplicación
10.5.1. Validación de Datos de Entrada
10.5.2. Controles de Procesamiento Interno
10.5.3. Autenticación de Mensajes
10.5.4. Validación de Datos de Salida
10.6. Seguridad en el Ambiente de Producción
10.6.1. Objetivo
10.6.2. Control del software de Producción
10.6.3. Protección de los datos de prueba del sistema
10.6.4. Control de acceso a las bibliotecas de programa fuente
10.7. Seguridad en los Entornos Desarrollo Prueba y Producción
10.7.1. Objetivo
10.7.2. Procedimientos de control de cambios
10.7.3. Revisión técnica de cambios en los sistemas operativos
10.7.4. Restricción de cambios en los paquetes de software
10.7.5. Virus, troyanos y otros riesgos
10.7.6. Desarrollo externo de software
10.8. Controles Criptográficos
1.8.1. Objetivo
10.8.2. Tipos de técnicas criptográficas
10.8.3. Política de Utilización de Controles Criptográficos
10.8.4. Criptografía
10.8.5. Firma Digital
10.8.6. Servicios de No Repudio
10.8.7. Administración de claves
10.8.7.1. Conceptos de administración
10.8.7.2. Normas y procedimientos
11. ADMINISTRACION DE LA CONTINUIDAD DE LAS ACTIVIDADES DEL MTEySS
11.1. Objetivos
11.2. Alcance
11.3. Responsabilidades
11.4. Administrar la Continuidad de Actividades del MTEySS
11.5. Continuidad de Actividades y Análisis de Impacto
11.6. Implementación de Planes de Continuidad
11.7. Marco para los Planes de Continuidad
11.8. Ensayo, Mantenimiento y Revisión de los Planes de Continuidad
12. CUMPLIMIENTO
12.1. Objetivos
12.2. Alcance
12.3. Responsabilidad
12.4. Cumplimiento de requisitos legales
12.4.1. Objetivo
12.4.2. Identificación de la Legislación Aplicable
12.4.3. Derecho de propiedad intelectual
12.4.4. Derecho de Propiedad Intelectual del Software
12.4.5. Protección de los Datos del Organismo
12.4.6. Protección de Datos y Privacidad de la Información Personal
12.4.7. Prevención del Uso Inadecuado de los Recursos Informáticos
12.4.8. Regulación de Controles para el Uso de Criptografía y Firma Digital
12.4.9. Recolección de Evidencia
12.5. Revisiones de la Política de Seguridad
12.5.1. Objetivo
12.5.2. Cumplimiento de la Política de Seguridad
12.5.3. Revisiones de Cumplimiento
12.6. Consideraciones de Auditoría de Sistemas
12.6.1. Controles de Auditoría de Sistemas
12.6.2. Protección de los Elementos Utilizados por la Auditoría de Sistemas
12.7. Sanciones Previstas por Incumplimiento
Bibliografía y Fuentes de Información
1. INTRODUCCION
1.1. żQué es seguridad de la información?
La información es un recurso sumamente valioso para una organización. Por consiguiente, debe ser debidamente protegida.
La seguridad de la información permite proteger a ésta de una amplia gama de amenazas, a fin de garantizar la continuidad de los servicios prestados por el MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL, maximizar el cumplimiento de los objetivos organizacionales y minimizar daños.
La información puede existir en muchas formas: impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación.
Cualquiera sea la forma adquirida, los medios por los cuales se distribuye o almacena, la información debe ser protegida en forma adecuada.
La seguridad de la información se logra implementando un conjunto adecuado de controles, abarcando políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software.
1.2. żPor qué es necesaria la seguridad de la información?
La información y sus mecanismos de procesamiento y transmisión revisten vital importancia, ya que brindan el principal apoyo a la gestión del MTEySS. Estos recursos están compuestos de datos, procesos, sistemas, puestos de trabajo (computadoras), computadoras portátiles (notebooks), dispositivos móviles (por ej. Pen drives), impresoras, redes de transmisión de datos y telecomunicaciones.
La confidencialidad, integridad y disponibilidad de la información son esenciales para el cumplimiento de las leyes y los objetivos establecidos dentro de la función social que le compete al Organismo.
Las organizaciones son cada vez más vulnerables a amenazas sobre la información, dada la creciente dependencia de los sistemas y servicios de procesamiento de datos.
La interconexión de las redes públicas y privadas y el uso compartido de los recursos de información incrementa la dificultad de lograr un control sobre los accesos. La tendencia hacia el procesamiento distribuido ha debilitado la eficacia del control técnico centralizado.
Las amenazas tienen diversos orígenes: fraude asistido por computadora, espionaje, sabotaje, vandalismo, incendio o inundación. Ataques mediante virus informáticos, "hacking" y denegación de servicios se han vuelto más comunes, ambiciosos y sumamente sofisticados.
Muchos sistemas de información fueron diseñados con un alto grado de inseguridad. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. La identificación de los controles a implementar requiere una cuidadosa planificación y atención en todos los detalles.
La administración de la seguridad de la información exige la participación de todos los empleados del MTEySS, ya que los funcionarios tienen responsabilidad de custodia sobre los bienes del Estado.
2. DEFINICIONES
A los efectos de este documento se aplican las siguientes definiciones:
2.1. Seguridad de la Información
La seguridad de la información se entiende como la preservación de las siguientes características:
· Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
· Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
· Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
Adicionalmente, deberán considerarse los conceptos de:
· Autenticidad: busca asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.
· Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior.
· Protección a la duplicación: consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario.
· No repudio: consiste en implementar mecanismos que evite que una entidad niegue haber enviado información efectivamente emitida.
· Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeto el MTEySS.
· Confiabilidad de la Información: la información generada será adecuada para sustentar tomas de decisiones y la implementación de funciones y objetivos organizacionales.
· Privilegio: Para los sistemas multiusuario o de red, indica una característica o servicio que permite a un usuario pasar por alto determinados controles de seguridad de los sistemas y recursos de información.
2.2. Información
Es todo conocimiento que puede representarse y transmitirse en formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, medios audiovisuales, telefonía u otros.
Se considera que la información es el activo más importante de toda organización.
2.3. Dato
Es la unidad de la información.
2.4. Clasificación de la Información
2.4.1. Datos Sensibles
Datos sensibles personales: son los que se refieren a origen racial o étnico, ideología, creencias religiosas o filosóficas, afiliación sindical, salud o vida sexual, y se les aplican normas más estrictas para su tratamiento. Estos datos no podrán tratarse, salvo excepciones concretas (ej.: análisis de sangre de la víctima de un accidente). La Dirección Nacional de Protección de Datos Personales dependiente del Ministerio de Justicia y Derechos Humanos reglamenta las excepciones, teniendo en cuenta la protección del interés público.
Datos sensibles organizacionales: se refieren a temas propios de una organización, cuya difusión pública aumentaría el riesgo de amenazas a la información.
2.4.2. Datos Críticos
Es toda aquella información cuya indisponibilidad puede afectar el normal funcionamiento de una organización.
2.5. Sistema de Información
Se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.
2.6. Tecnología de la Información
Se refiere al hardware y software operados por el MTEySS o por un tercero que procese información en su nombre, para llevar a cabo una función propia del Organismo.
Se considera a la tecnología que permite generar información basada en procesos computacionales, de telecomunicaciones, de impresión en papel por algún medio específico o cualquier otro tipo.
2.7. Recursos Informáticos
Para ayudar a cumplimentar los objetivos impuestos, el MTEySS pone a disposición de los usuarios una serie de recursos informáticos de su propiedad.
Son recursos informáticos todos aquellos componentes de hardware, software y tecnología relacionadas, cuyo objetivo es el de generar, archivar, procesar o transmitir información. Ejemplos:
Archivos en una red de datos, impresoras, acceso a Internet, aplicativos, bases de datos, computadoras, servidores de red, servidores de impresión, etc.
Cuando varios miembros de un área de la organización necesitan hacer trabajos en común, los administradores implementan accesos compartidos en servidores de red, para las personas indicadas.
De esa manera, la información estará disponible a través de la red de datos de la Organización. Típicamente, se comparten archivos, impresoras, accesos a bases de datos, accesos a Internet o Intranet, accesos a datos a través de aplicativos, etc.
2.8. Recursos Informáticos Personales
Se trata de elementos informáticos, de propiedad de los usuarios, que se hallan a disposición del MTEySS. Se trata de computadoras personales, computadoras portátiles, impresoras, hardware especial, dispositivos móviles, software y/o aplicaciones, dispositivos de almacenamiento, etc. La utilización indebida de estos recursos en el ámbito de la Organización puede poner en riesgo a la información.
2.9. Evaluación de Riesgos
Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad que ocurran y su potencial impacto en la operatoria del Organismo.
2.10. Administración de Riesgos
Es el proceso de identificación, control, minimización o eliminación de los riesgos de seguridad que afectan a la información, dentro de un costo aceptable.
Este proceso es cíclico y debe llevarse a cabo en forma periódica.
2.11. Incidente de Seguridad
Se denomina incidente de seguridad a todo evento que pueda comprometer a la seguridad de los datos, afectando la confidencialidad, la integridad, la disponibilidad, la legalidad y la confiabilidad de la información.
Un incidente de seguridad tiene lugar cuando se aprovecha una vulnerabilidad, o se intenta quebrantar los mecanismos de seguridad existentes.
2.12. Usuario
Se denomina usuario a una persona física o un Organismo, que utiliza los recursos informáticos que el MTEySS pone a su disposición.
Un usuario que requiera el acceso a un recurso informático deberá poseer una cuenta que los acredite frente al mismo, llamada cuenta de acceso. La misma debe ser invocarse antes que el usuario haga uso del recurso.
Una cuenta de acceso es personal e intransferible, siendo su propietario responsable por su uso y toda actividad realizada con la misma.
Los usuarios de la información y de los sistemas informáticos del MTEySS pueden ser:
a) personal jerárquico perteneciente al MTEySS,
b) agentes del MTEySS, bajo sus diversas formas de contratación,
c) personal que guarde alguna relación con el MTEySS,
d) terceras partes, no pertenecientes al Organismo, y que acceden a datos o sistemas del MTEySS,
e) organismos que acceden a datos o sistemas del MTEySS, en virtud de acuerdos o contratos.
3. POLITICA DE SEGURIDAD DE LA INFORMACION
A fin de asegurar la implementación de las medidas de seguridad comprendidas en esta Política, el MTEySS identificará los recursos necesarios e indicará formalmente las partidas presupuestarias correspondientes.
Lo expresado anteriormente no implicará necesariamente la asignación de partidas presupuestarias adicionales.
El Comité de Seguridad de la Información (ver Punto 3.4.2) revisará la presente Política cada 12 (doce) meses, a efectos de mantenerla actualizada.
Además, el Comité efectuará toda modificación que sea necesaria en función a posibles cambios que afecten su definición, a saber: cambios tecnológicos, variación de costos de los controles, impacto de los incidentes de seguridad, etc.
Las modificaciones que el Comité pudiere realizar sobre la presente política deberán ser aprobadas posteriormente por la máxima autoridad de este organismo.
3.1. Objetivo
Proteger los recursos informáticos del Organismo, así como la tecnología utilizada para el procesamiento de datos frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información.
Asegurar la implementación de medidas de seguridad comprendidas en esta Política, identificando los recursos y las partidas presupuestarias correspondientes, sin que ello implique necesariamente la asignación de partidas adicionales.
Mantener la Política de Seguridad del Organismo actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
3.2. Alcance
La presente Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente tecnológico del MTEySS.
La Política de Seguridad de la Información debe ser conocida y cumplida por todo el personal del MTEySS, sean funcionarios políticos o técnicos, y dentro de cualquier nivel jerárquico o situación vinculante.
La presente Política también alcanza a todos aquellas personas físicas o jurídicas que, aún sin pertenecer al MTEySS, hacen uso de la información que el mismo disponible (p. ej. Proveedores).
Esta Política debe ser comunicada a todos los usuarios del MTEySS, de manera pertinente, accesible y comprensible.
3.3. Aspectos de la Política de Seguridad de la Información
La seguridad de la información se agrupa en las siguientes áreas organizacionales:
3.3.1. Política de Seguridad
Objetivo: definir el marco gerencial de la organización y controles de la Seguridad.
3.3.2. Organización de la Seguridad
Objetivo: administrar la seguridad de la información dentro del MTEySS y establecer un marco gerencial a fin de controlar su implementación.
3.3.3. Clasificación y Control de Activos
Objetivo: mantener una adecuada protección de los activos del MTEySS.
3.3.4. Seguridad del Personal
Objetivo: reducir los riesgos de error humano, comisión de ilícitos contra el MTEySS y uso inadecuado de instalaciones.
3.3.5. Seguridad Física y Ambiental
Objetivo: impedir accesos físicos no autorizados, daños e interferencia a las redes, recursos informáticos e información del MTEySS.
3.3.6. Gestión de las Comunicaciones y las Operaciones
Objetivo: garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento y transmisión de la información.
3.3.7. Control de Acceso
Objetivo: controlar el acceso lógico a la información.
3.3.8. Desarrollo y Mantenimiento de los Sistemas
Objetivo: garantizar la incorporación de medidas de seguridad en los sistemas de procesamiento de la información
3.3.9. Administración de la Continuidad de las Actividades del MTEySS
Objetivo: contrarrestar las interrupciones de las actividades del MTEySS. y proteger los procesos críticos de los efectos de fallas, ataques o desastres.
3.3.10. Cumplimiento
Objetivo: impedir infracciones y violaciones a las leyes del derecho civil y penal; a las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y a los requisitos de seguridad.
3.4. Niveles de Responsabilidad en la Protección de la Información
3.4.1 Responsables de la Información
a) Autoridad Máxima: Aprueba esta Política, así como sus modificaciones,
b) Secretarios, Subsecretarios, Directores Nacionales o Generales, Directores, Gerentes o equivalentes, responsables de Unidades Organizativas, tanto se trate de autoridades políticas o personal técnico y sea cual fuere su nivel jerárquico: Son responsables de la implementación y del cumplimiento de la Política de Seguridad de la Información dentro de sus áreas de responsabilidad.
3.4.2. Comité de Seguridad de la Información
El Comité de Seguridad de la Información, es un cuerpo integrado por representantes de todas las áreas sustantivas del MTEySS, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad.
El Comité de Seguridad de la Información del Organismo:
a) propone a la máxima autoridad del MTEySS la Política de Seguridad de la Información y las funciones generales en materia de seguridad de la información,
b) monitorea cambios significativos en los riesgos y amenazas que afectan a los recursos de información frente a la Política de Seguridad de la Información,
c) supervisa la investigación y monitoreo de incidentes relativos a la seguridad,
d) aprueba las iniciativas que incrementen la seguridad de la información, de acuerdo con las competencias y responsabilidades asignadas a cada área,
e) acuerda y aprueba metodologías y procesos específicos relativos a la seguridad de la información,
f) garantiza que la seguridad sea parte de un proceso de planificación de la información,
g) evalúa y coordina la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios,
h) promueve la difusión y apoyo a la seguridad de la información dentro del Organismo frente a interrupciones imprevistas.
3.4.3. Coordinación del Comité de Seguridad de la Información
El Comité de Seguridad de la Información será coordinado por el Subsecretario de Coordinación Administrativa del MTEySS.
El Sr. Subsecretario coordinará las acciones del Comité de Seguridad de la Información, impulsando la implementación y cumplimiento de la presente Política.
El Sr. Subsecretario podrá delegar, sobre quién él estime adecuado, las responsabilidades respecto de la coordinación del Comité de Seguridad de la Información.
3.4.4. Responsables Primarios de la Información
Son responsables de:
a) clasificar la información según un nivel de sensibilidad y criticidad,
b) documentar y mantener actualizada la clasificación indicada en el punto anterior,
c) definir los usuarios que tendrán permisos de acceso a la información, de acuerdo a sus funciones y competencia.
A los efectos de aplicación de la presente Política, son Responsables Primarios de la información los funcionarios indicados en el Punto 3.4.1.
3.4.5. Responsable del Area de Recursos Humanos
Cumple la función de:
a) notificar a todo el personal las obligaciones respecto del cumplimiento de la Política de Seguridad de la Información, y de todas las normas, procedimientos y prácticas que de ella surjan,
b) comunicar la presente Política a todo el personal, así como de los cambios que en ella se produzcan,
c) implementar la suscripción a los compromisos de confidencialidad y notificaciones de responsabilidad que se dicten, para el tratamiento de la información.
3.4.6. Responsable del Area de Capacitación
Cumple la función de:
a) generar y coordinar tareas de capacitación continua en materia de seguridad.
3.4.7. Responsable del Area de Sistemas Informáticos y Seguridad
Cumple la función de:
a) cubrir los requerimientos de seguridad de la información establecidos para la operación, administración y comunicación de los sistemas y recursos de tecnología del MTEySS,
b) controlar las tareas de desarrollo y mantenimiento, siguiendo una metodología apropiada para el ciclo de vida de los sistemas, contemplando la inclusión de medidas de seguridad en los sistemas en todas las fases,
c) atender las tareas relativas a la seguridad de los sistemas de información del MTEySS,
d) supervisar todos los aspectos inherentes a los tópicos tratados en la presente Política.
3.4.8. Responsable del Area de Seguridad Física
Cumple la función de:
a) cubrir los requerimientos ambientales que permitan que los recursos informáticos del MTEySS funcionen en forma segura. Esta tarea deberá ser ejecutada en conjunto con el Responsable de Sistemas y Seguridad Informática,
b) definir e implementar tareas de mantenimiento de edificios, oficinas y todas las instalaciones donde estén ubicados los equipos de procesamiento de la información, y donde se almacene o archive información, sea ésta en formato papel u otros. En la definición de las tareas participarán el Responsable de Sistemas y Seguridad Informática, y los Responsables de la Información,
c) atender las tareas relativas a la seguridad y controles de acceso físico al ámbito del MTEySS.
Se define que el Sr. Director de Seguridad y Servicios Generales será el Responsable de Seguridad Física del MTEySS.
3.4.9. Responsable del Area Legal
Cumple la función de:
a) verificar el cumplimiento de la presente Política en la gestión de todos los contratos, acuerdos u otra documentación del MTEySS con los usuarios de los servicios de información,
b) asesorar en materia legal al MTEySS, en lo que se refiere a la seguridad de la información.
3.4.10. Responsable de la Unidad de Auditoría Interna
Cumple la función de:
a) practicar auditorías periódicas sobre los sistemas y actividades vinculadas con la tecnología y seguridad de la información,
b) informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta Política y por las normas, procedimientos y prácticas que de ella surjan.
3.4.11. Usuarios de la información y de los sistemas informáticos
Son responsables de conocer, dar a conocer, cumplir y hacer cumplir las Políticas de Seguridad de la Información vigentes.
3.5. Sanciones por Incumplimiento
El incumplimiento de la Política de Seguridad de la Información tendrá como resultado la aplicación de diversas sanciones, conforme a la magnitud y característica del aspecto no cumplido (Ver 12.7. Sanciones Previstas por Incumplimiento).
4. ORGANIZACION DE LA SEGURIDAD
La presente Política de Seguridad establece que la administración de la seguridad de la información es parte fundamental de los objetivos y actividades del Organismo. Asimismo, si terceras partes acceden a la información interna del MTEySS, deberán establecerse las adecuadas medidas de protección para evitar riesgos y amenazas.
A tal fin, se define formalmente un ámbito de gestión para efectuar tareas tales como la aprobación de la Política, coordinar su implementación, así como asignar funciones y responsabilidades.
También se contemplará la necesidad de disponer de recursos con conocimiento y experiencia para el asesoramiento, cooperación y colaboración en materia de seguridad de la información.
4.1. Objetivos
Administrar la seguridad de la información dentro del MTEySS.
Establecer como marco gerencial el Comité de Seguridad de la Información, a fin de:
a) iniciar y controlar la implementación de la seguridad de la información dentro del Organismo,
b) distribuir funciones y responsabilidades.
Fomentar la consulta y cooperación con Organismos especializados para la obtención de asesoría en materia de seguridad de la información.
Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del Organismo.
4.2. Alcance
Esta Política se aplica a quienes accedan, administren y/o controles los recursos, datos y sistemas de información del MTEySS, sean éstos empleados o terceras partes ajenas al Organismo.
4.3. Responsabilidades
a) El Coordinador del Comité de Seguridad de la Información será el responsable de impulsar la implementación de la presente Política.
b) El Comité de Seguridad de la Información tendrá a su cargo:
· gestionar la aprobación de la presente Política, ante la máxima autoridad del organismo,
· efectuar periódicas revisiones de la presente Política y gestionar la aprobación de las modificaciones que se efectúen,
· seguimiento de las actividades relativas a la seguridad de la información, dentro de cada área: análisis de riesgos, monitoreo de incidentes, supervisión de la investigación, implementación de controles, administración de la continuidad, etc.,
· impulsar procesos de concientización de los usuarios del MTEySS,
· proponer la asignación de funciones,
c) El Responsable de Sistemas y Seguridad Informática tendrá a su cargo:
· asistir al personal del MTEySS en materia de seguridad de la información,
· coordinar la interacción con Organismos especializados, en materia de seguridad de la información,
· analizar los riesgos de accesos por terceras partes a la información del Organismo. Este análisis deberá hacerse en conjunto con los Responsables Primarios de la información,
· verificar la aplicación de las medidas de seguridad necesarias para la proteger la información del MTEySS,
d) Los Responsables de las Unidades Organizacionales autorizan el acceso de los usuarios a la información de sus áreas de incumbencia,
e) La Unidad de Auditoría Interna podrá realizar revisiones independientes sobre la vigencia y el cumplimiento de la presente Política,
f) El Responsable del Area de Administración, es el encargado de realizar las contrataciones de los distintos proveedores de servicios y tecnología, o de bienes y servicios que afecten directa o indirectamente a los activos de información. Dicho Responsable deberá incluir en los contratos la obligatoriedad del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas relacionadas.
4.4. Infraestructura de la Seguridad de la Información
4.4.1. Comité de Seguridad de la Información
La seguridad de la información es una responsabilidad del MTEySS, compartida por las Secretarios, Subsecretarios, Directores Nacionales o Generales, Directores, Gerentes o equivalentes, responsables de Unidades Organizativas.
En virtud de la resolución 54/06, se crea el Comité de Seguridad de la Información, dentro del ámbito del MTEySS, siendo sus funciones las estipuladas en la Decisión Administrativa de Jefatura de Gabinete Nro 669/04-Art 4.
4.4.2. Asignación de Responsabilidades sobre la Seguridad de la Información
En virtud del la DA 669/04-Art 3ro, se asignan las funciones relativas a la coordinación del Comité de Seguridad al Sr. Subsecretario de Coordinación Administrativa, en adelante el Coordinador del Comité de Seguridad de la Información.
En la DA 669/04, Art 4to, se determinan las funciones del Comité de Seguridad de la Información.
Se determina que los Responsables Primarios serán los Responsables de las áreas ministeriales a su cargo, con uso y manejo de la información pertinente a su área, con las funciones indicadas en el Punto 3.4.1.
El responsable primario puede delegar la administración de sus funciones a personal idóneo a su cargo, conservando la responsabilidad del cumplimiento de las mismas.
La delegación de la administración por parte de los responsables primarios será documentada y proporcionada al Responsable de Seguridad Informática.
4.4.3. Proceso de Autorización de Acceso a Recursos Informáticos
El acceso a los recursos informáticos, nuevos o existentes, será autorizado por los responsables de las Unidades Organizativas involucradas, considerando su propósito y uso, en conjunto con el Responsable de Seguridad Informática. Con ello, se garantiza el cumplimiento de las Políticas y requerimientos de seguridad pertinentes.
Debe garantizarse una adecuada compatibilidad entre todos los componentes informáticos del Organismo (hardware, software, aplicativos, dispositivos de comunicaciones, dispositivos de almacenamiento, etc.).
4.4.4. Utilización de Recursos Informáticos Personales
Dado que recursos personales de los usuarios pueden representar una amenaza para la información del MTEySS, su utilización deberá ser autorizada por el Responsable Primario del sector correspondiente, y evaluada en cada caso por el Responsable de Seguridad Informática.
Se aprobará el uso de un recurso personal en el caso que éste no aporte riesgos a la información del Organismo.
4.4.5. Asesoramiento Especializado en Seguridad de la Información
El Responsable de Seguridad Informática coordinará conocimientos y experiencias disponibles en el MTEySS, a fin de asistir en la toma de decisiones que involucren a la seguridad, pudiendo recurrirse al asesoramiento de otros Organismos
4.4.6. Cooperación entre Organismos
A efectos de intercambiar experiencias y obtener asesoramiento para el mejorar prácticas y controles de seguridad, se podrá contactar a Organismos especializados en temas de seguridad de la información (por ejemplo: Ar-CERT, la Dirección Nacional de Protección de Datos Personales, etc.).
4.4.7. Revisión Independiente de la Seguridad de la Información
La Unidad de Auditoría Interna realizará revisiones independientes sobre la vigencia e implementación de la Política de Seguridad de la Información, a efectos de garantizar que las prácticas del MTEySS reflejan adecuadamente lo dispuesto por el Comité de Seguridad.
4.5. Seguridad Frente al Acceso por Parte de Terceros
Si el acceso de terceras se produce en el marco de una inadecuada administración de la seguridad, la información del MTEySS puede estar sometida a un alto grado de riesgo.
Cuando exista un requerimiento de acceso a la información del Organismo por parte de terceros, se deberán efectuar una evaluación de riesgos y una identificación de requerimientos de control específicos.
Se tendrán en cuenta los tipos de acceso requeridos, el valor de la información, los controles empleados por la tercera parte y la incidencia de este acceso en la seguridad de la información de la organización.
4.5.1. Tipos de acceso
El tipo de acceso otorgado a terceras partes es de especial importancia. Por ejemplo, los riesgos de acceso a través de una conexión de red son diferentes de los riesgos relativos al acceso físico. Los tipos de acceso que deben tenerse en cuenta son:
a) acceso físico, por ej., a oficinas, salas de cómputos, armarios,
b) acceso lógico, por ej. a las bases de datos, aplicativos y sistemas de información de la organización.
4.5.2. Terceras partes
Puede otorgarse acceso a terceros por diversas razones. Por ejemplo, proveedores, de servicios al MTEySS, otros entes u organismos, tales como:
a) consultorías de sistemas,
b) Oficinas de Empleo,
c) otros Organismos gubernamentales,
d) accesos especiales (p. ej.: conciliadores laborales),
e) limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados,
f) pasantías y otras designaciones de corto plazo,
g) servicios de soporte de hardware en garantía.
4.5.3. Identificación de Riesgos del Acceso
En caso que una tercera parte necesite acceso a determinada información del MTEySS, el Responsable Primario de la misma y el Responsable de Seguridad Informática deberán evaluar los riesgos, así como identificar los requerimientos de control específicos.
Se tendrán en cuenta, entre otros aspectos:
a) tipo de acceso requerido (físico, lógico, a un recurso determinado, etc.),
b) motivos para solicitar el acceso,
c) clasificación de la información,
d) controles empleados por la tercera parte,
e) incidencia de este acceso en la seguridad de la información del Organismo.
Los contratos de prestación de servicios a desarrollarse en el Organismo, bajo cualquier modalidad jurídica, considerarán los controles, requerimientos de seguridad y compromisos de confidencialidad aplicables a cada caso.
Los permisos de acceso a otorgar deberán restringirse al mínimo necesario.
Se brindará el acceso a la información, a las instalaciones de procesamiento o áreas de servicios críticos, luego de firmar un contrato o acuerdo de partes, y se hayan implementado los controles apropiados
4.5.4. Requerimientos de Seguridad en los Contratos con Terceras Partes
Las disposiciones que contemplan el acceso de terceras partes a las instalaciones de procesamiento de información del MTEySS deben basarse en un contrato formal que considere todos los requerimientos de seguridad establecidos en esta Política.
Los contratos o acuerdos establecidos evitarán el surgimiento de malentendidos entre el Organismo y el proveedor. La organización debe estar satisfechas con las garantías otorgadas por su proveedor.
En los acuerdos o contratos se deberán aplicar los siguientes controles:
a) política general de seguridad de la información,
b) protección de activos, con inclusión de:
1) procedimientos de protección de los activos de la organización, incluyendo información y software,
2) procedimientos para determinar si se han comprometido los activos, por ej., debido a pérdida o modificación de datos,
3) controles para garantizar la recuperación o destrucción de la información y los activos al finalizar el contrato, o en un momento convenido durante la vigencia del mismo,
4) integridad y disponibilidad,
5) restricciones a la copia y divulgación de información,
c) una descripción de cada servicio al que accederá el tercero,
d) niveles de servicio esperados y aceptables,
e) autorización de transferencias de personal, cuando correspondan,
f) las respectivas obligaciones de las partes con relación al acuerdo,
g) responsabilidades legales, por ej., legislación nacional sobre protección de datos, especialmente en contratos de cooperación con organizaciones internacionales (ver 12.5),
h) derechos de propiedad intelectual (ver 12.5.2), y protección de trabajos realizados en colaboración (ver 6.3),
i) acuerdos de control de accesos que contemplen:
1) métodos de acceso permitidos,
2) control y uso de identificadores únicos, a saber IDs y contraseñas de usuarios,
3) procesos y procedimientos de autorización de acceso y privilegios de usuarios,
4) listas de usuarios autorizados para utilizar los servicios a implementarse,
5) derechos y privilegios de uso de los servicios a implementarse,
j) definición de criterios de desempeño comprobables,
k) elaboración y presentación de informes de desempeño por parte de terceros; deberá establecerse el formato de presentación de dichos informes, y del receptor de los mismos por parte del MTEySS;
l) elaboración y presentación de informes de notificación e investigación de incidentes y violaciones a la seguridad; deberá establecerse el formato de presentación de dichos informes, y del receptor de los mismos por parte del MTEySS;
m) derecho del MTEySS a monitorear, y revocar o impedir la actividad de los terceros;
n) derecho del MTEySS a auditar responsabilidades contractuales del proveedor
o) derecho del MTEySS a contratar a un tercero para la realización de auditorías sobre las actividades del proveedor;
p) implementación de un proceso y/o procedimiento gradual para la resolución de problemas; también deben considerarse, si corresponde, disposiciones que consideren situaciones de contingencia;
q) responsabilidades relativas a la instalación y el mantenimiento de hardware y software sea éste de propiedad del MTEySS o del tercero;
r) procesos claros y detallados sobre la administración de cambios;
s) controles de protección física requeridos y mecanismos que aseguren la implementación de los mismos;
t) métodos y procedimientos de capacitación de usuarios y administradores de servicios y seguridad;
u) controles que garanticen la protección contra software malicioso (ver 8.6);
v) la relación entre proveedores y subcontratistas.
4.5.5. Requerimientos de Seguridad en el empleo de Equipos Personales
Deberán contemplarse aquellos casos donde se procese información en equipamiento propiedad del personal del MTEySS. Esta situación deberá aplicarse a personal jerárquico, o quien éste autorice, sobre equipamiento móvil (notebooks, laptops, dispositivos móviles de almacenamiento, etc.).
Se considera equipo personal a aquel que no es propiedad del MTEySS, pero se lo utiliza para algún tratamiento de la información del Organismo.
Deberán considerarse los siguientes casos de utilización de equipos personales:
a) dispositivos portátiles (notebooks, laptops),
b) dispositivos móviles de almacenamiento (pen-drives, etc.).
Para que un equipo personal pueda utilizarse para procesar información del MTEySS, el interesado deberá emitir una nota al Responsable de Sistemas y Seguridad Informática, indicando el tipo de equipo a utilizar, el uso que se le dará, el usuario autorizado, y el período de uso. A su vez, se deberá consultar con el Comité de Seguridad de la Información.
Se tomarán en cuenta los siguientes puntos de control:
a) política general de seguridad de la información,
b) configuración de conexión a la red de datos,
c) sistema operativo instalado, con las últimas actualizaciones de seguridad,
d) antivirus instalado, con las últimas actualizaciones de seguridad,
e) el software instalado en el equipo personal no deberá ofrecer ningún riesgo de compromiso a la seguridad de la red de datos,
f) las condiciones ambientales donde se instalará el equipo personal,
g) evitar la transferencia de información personal a la red de datos del MTEySS,
h) derecho del MTEySS a auditar, monitorear, y revocar o impedir la actividad en la red de datos; en casos donde se pueda comprometer la seguridad de la información,
i) controles de protección física requeridos y mecanismos que aseguren la implementación de los mismos,
j) controles que garanticen la protección contra software malicioso (ver Punto 8.6).
5. CLASIFICACION Y CONTROL DE ACTIVOS
Los activos de información se clasificarán de acuerdo a la sensibilidad y criticidad de los datos que contienen, o bien de acuerdo a la funcionalidad que cumplen, con el objeto de determinar su tratamiento y protección.
Ejemplos de activos:
a) Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, información archivada, etc.
b) Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc.
c) Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, impresoras, módems, puestos de trabajo (computadoras), servidores, dispositivos de comunicaciones (routers, switches, PABXs, máquinas de fax, contestadores automáticos), medios magnéticos (cintas, discos),
d) Instalaciones de suministro eléctrico, unidades de aire acondicionado, mobiliario, lugares de emplazamiento, etc.
Se tendrá en cuenta que la criticidad y la sensibilidad de determinada información puede variar con el tiempo, para evitar que una clasificación por exceso se traduzca en gastos adicionales, innecesarios para el Organismo.
La clasificación de un ítem de información determinado no es invariable por siempre, ésta puede cambiar según una Política predeterminada. Hay que definir una cantidad de categorías suficiente, pero no compleja, a fin de evitar esquemas engorrosos, antieconómicos o poco prácticos.
La información puede convertirse en obsoleta y, por lo tanto, es pasible de ser eliminada. En un proceso de destrucción de información debe mantenerse la confidencialidad hasta último momento.
Asimismo, toda la información de carácter laboral deberá ser almacenada en los servidores que la Organización dispone para tales fines, con el objetivo de garantizar la seguridad de los datos. En tal sentido, se define que los puestos de trabajo son destinados al procesamiento de la información laboral, no así para el almacenamiento de la misma.
La información adopta muchas formas, tanto en los sistemas informáticos como fuera de ellos. Puede almacenarse en medios portátiles o no, transmitirse a través de redes o entre sistemas, imprimirse o escribirse en papel, etc. En cada una de ellas se deben asegurar los aspectos de confidencialidad, integridad y disponibilidad.
5.1. Objetivo
Identificar los activos de información del MTEySS, y asignar un Responsable Primario para cada uno de ellos.
Clasificar la información, señalando su sensibilidad y criticidad.
Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.
5.2. Alcance
Esta Política se aplica a todos los recursos del MTEySS, y a terceras partes que accedan y/o administren y/o controlen datos, recursos y sistemas de información.
5.3. Responsabilidades
Se debe designar un Responsable Primario para cada recurso de información.
Los Responsables Primarios deben:
a) clasificar la información a su cargo, según un grado de sensibilidad y criticidad;
b) documentar y mantener actualizada la clasificación efectuada;
c) definir permisos de acceso a la información de acuerdo a las funciones de los integrantes de su área.
Los Responsables Primarios deberán mantener los controles apropiados sobre la información. La responsabilidad por la implementación de los controles será delegada sobre el Responsable de Sistemas y Seguridad Informática.
El Responsable de Seguridad Informática debe asegurar que los lineamientos para la utilización de los recursos se contemplen los requerimientos de criticidad de la información.
5.4. Inventario de activos
Se identificarán los activos importantes asociados a cada sistema de información, su ubicación y sus Responsables Primarios.
El Responsable Primario deberá elaborar un inventario de la información a su cargo, y mantenerlo actualizado ante cualquier modificación.
El Responsable de Sistemas y Seguridad deberá consolidar la información de inventario de cada área del MTEySS, y revisarlo con una periodicidad de 6 meses.
5.5. Clasificación de la información
La información se clasificará según las características básicas de confidencialidad, integridad y disponibilidad. Se establecerán niveles según lo siguiente:
5.5.1. Confidencialidad
· Nivel 0 - Público Información que puede ser conocida y utilizada sin autorización por cualquier persona, según lo indicado en los Punto 2.12 y 3.4.11. Los permisos de acceso son:
Todos los usuarios, internos o externos al MTEySS, pueden consultar la información.
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
· Nivel 1 - Reservada-Uso Interno Información que puede ser conocida y utilizada por los usuarios del MTEySS, según lo indicado en el Puntos 2.12 y 3.4.11, contando con la debida autorización. Su divulgación o uso no autorizados podrían ocasionar riesgos leves para el Organismo. Los permisos de acceso son:
Usuarios autorizados, internos al MTEySS, pueden consultar la información.
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
· Nivel 2 - Reservada-Confidencial Información que sólo puede ser conocida y utilizada por un grupo restringido de usuarios del MTEySS, contando con la debida autorización. Su divulgación o uso no autorizados podría ocasionar riesgos significativos al Organismo. Los permisos de acceso son:
Un grupo restringido de usuarios autorizados, internos al MTEySS, pueden consultar la información.
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
Los Responsables, los usuarios y los Administradores deberán firmar un Compromiso de Confidencialidad de la Información.
5.5.2. Integridad
· Nivel 0-No Clasificado La información sufre modificaciones, y los datos originales pueden recuperarse fácilmente. Este proceso no afecta la operatoria del MTEySS. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos
· Nivel 1-Bajo La información sufre modificaciones no autorizadas, pero los datos originales pueden recuperarse. Este proceso ocasiona daños leves para el MTEySS. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
· Nivel 2-Medio La información sufre modificaciones no autorizadas, y es difícil recuperar los datos originales. Este proceso ocasiona daños significativos para el MTEySS. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
· Nivel 3-Alto La información sufre modificaciones no autorizadas, y no es posible recuperar los datos originales. El proceso ocasiona daños graves para el MTEySS. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
5.5.3. Disponibilidad
· Nivel 0-No Clasificado Información cuya inaccesibilidad no afecta la operatoria del MTEySS. No requiere resguardo de la información.
· Nivel 1-Bajo Información cuya inaccesibilidad durante 15 días o más podría ocasionar daños no significativos para el MTEySS. Requiere un resguardo por única vez, preferiblemente sobre medios ópticos.
· Nivel 2-Medio Información cuya inaccesibilidad durante 7 días o más podría ocasionar daños significativos para el MTEySS. Requiere un resguardo con frecuencia mensual, preferentemente sobre medios magnéticos.
· Nivel 3-Alto Información cuya inaccesibilidad durante 24 horas o más podría ocasionar daños muy significativos para el MTEySS. Requiere frecuencia de resguardo Diario, Semanal y Mensual, sobre medios magnéticos. El medio de resguardo Mensual se almacenará bajo un tiempo de retención establecido por cada Responsable (por ejemplo: cinco años, diez años, etc.).
· Nivel 4-Muy Alto Información cuya inaccesibilidad durante 4 horas o más podría detener la operatoria normal del MTEySS. Requiere frecuencia de resguardo Diario, Semanal y Mensual, y Mensual-Copia, sobre medios magnéticos. El resguardo Mensual-Copia se almacenará off-site. La frecuencia de resguardo puede modificarse según el requerimiento de criticidad del sistema (por ejemplo, efectuar resguardos adicionales cada quince días, y almacenarlos off-site).
Los daños probables pueden ser mensurables (materiales) y no mensurables (imagen, valor estratégico de la información, obligaciones contractuales o públicas, disposiciones legales, etc.).
5.5.4. Criticidad de la información
La información recibirá un valor de nivel, dentro de las características mencionadas en los Puntos 5.5.1 a 5.5.3, lo cual permitirá establecer un valor de criticidad.
De acuerdo con los niveles de confidencialidad, integridad y disponibilidad, la información será tanto más crítica según la siguiente clasificación:
a) Criticidad Baja: niveles asignados son 0 ó 1.
b) Criticidad Media: nivel asignado es 2
c) Criticidad Alta niveles asignados son 3 ó 4.
El nivel de clasificación de la información sólo puede ser cambiado por el Responsable Primario o por el Responsable de Sistemas y Seguridad, con autorización del primero.
El nivel de clasificación se modificará cumpliendo con los siguientes requisitos previos:
· Luego de clasificada la información, el Responsable Primario identificará los recursos asociados (sistemas, equipamiento, servicios, etc.) y los perfiles funcionales que deberán tener acceso a la misma.
· El cambio de clasificación debe hacerse efectivo a partir de una fecha determinada por el Responsable Primario o el Responsable de Sistemas y Seguridad, con autorización del primero.
· El cambio de clasificación debe ser comunicado efectivamente a los usuarios de la información.
5.6. Rotulado de la Información
Se definirán procedimientos para el rotulado y manejo de información, de acuerdo al esquema de clasificación definido en el Punto 5.5.
Los procedimientos contemplarán los recursos de información tanto en formatos físicos como electrónicos e incorporarán las siguientes actividades de procesamiento de la información:
a) Copia;
b) Almacenamiento;
c) Transmisión por correo, fax, correo electrónico;
d) Transmisión oral (telefonía fija y móvil, correo de voz, contestadores automáticos, etc.).
6. SEGURIDAD DEL PERSONAL
Las responsabilidades emergentes del uso adecuado de los recursos informáticos deberán comunicarse a todos los usuarios del MTEySS, cualquiera sea su modalidad de revista, como así también a todos aquellos terceros que tengan vinculación alguna con el Organismo.
Se considera usuario a todo aquel individuo u Organismo que se halle encuadrado en lo establecido en los Puntos 2.12 y 3.4.11.
El personal que desempeñe funciones críticas dentro del MTEySS deberá estar notificado de responsabilidades especiales que emergen de su labor.
La notificación de las responsabilidades mencionadas estarán a cargo de la Dirección de Administración de Recursos Humanos.
6.1. Objetivo
Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones, y recursos, y manejo no autorizado de la información.
Dar a conocer las responsabilidades en materia de seguridad del personal, a través de su notificación y verificar su cumplimiento por parte de los usuarios de los servicios informáticos.
Capacitar a los usuarios, para que estén al corriente de los riesgos y amenazas a la información del MTEySS y respalden a la Política de Seguridad de la Información.
Establecer compromisos en cuanto a la responsabilidad y el buen uso de los recursos del MTEySS, por parte del personal y usuarios externos del MTEySS.
Comunicar las debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.
6.2. Alcance
Esta Política se aplica a todos los usuarios de los servicios informáticos del MTEySS, y a terceras partes, que hagan uso, administren y/o controlen sistemas de información, según lo indicado en los Puntos 2.12 y 3.4.11.
6.3. Responsabilidades
El Responsable del Area de Recursos Humanos deberá:
a) incluir las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados,
b) gestionar las notificaciones del uso responsable de los recursos de información del MTE
YSS
c) implementar los mecanismos necesarios para la toma de conocimiento por parte de los usuarios, del uso responsable de los recursos informáticos.
El Responsable del Area de Capacitación deberá coordinar las tareas de capacitación de usuarios respecto de la presente Política de Seguridad del Personal
El Responsable de Sistemas y Seguridad Informática deberá:
a) realizar un seguimiento, documentar y analizar todos los incidentes de seguridad reportados
b) participar en la confección de los acuerdos o contratos con terceros, en lo referente a la seguridad de la información propiedad del MTEySS.
c) comunicar todo incidente de seguridad al Comité de Seguridad de la Información, y a los Responsables Primarios de la información.
El Comité de Seguridad de la Información deberá:
a) verificar la existencia de medios y canales necesarios para que el Responsable de Sistemas y Seguridad Informática maneje los reportes de incidentes y anomalías de los sistemas.
b) tomar conocimiento de todo incidente relativo a la seguridad de la información, efectuar el seguimiento de investigaciones, controlar la evolución e impulsar la resolución de los mismos.
El Responsable del Area Legal deberá:
a) participar en la confección de las notificaciones de uso responsable de los recursos de información, a firmar por los usuarios de los sistemas informáticos del MTEySS.
b) asesorar en la confección de contratos y acuerdos con usuarios o terceras partes, con respecto a la confidencialidad de la información del MTEySS.
Es responsabilidad de todo el personal del MTEySS el informar vulnerabilidades e incidentes de seguridad que oportunamente se detecten.
6.4. Seguridad en Puestos de Trabajo y Asignación de Recursos
6.4.1. Incorporación de la Seguridad en los Puestos de Trabajo
Este punto considera la utilización de activos informáticos por parte de empleados y personal jerárquico, así como terceros que tengan acceso autorizado a la información del MTEySS (ver Puntos 2.12 y 3.4.11).
Los usuarios (ver šPuntos 2.12. y 3.4.11) deberán estar claramente informados sobre las tareas relacionadas con el mantenimiento de la Política de Seguridad, la protección de cada uno de los activos, la ejecución de procesos y/o actividades específicas.
Las notificaciones de uso de los recursos incluirán la responsabilidad por el cuidado adecuado de la información que se procese en los puestos de trabajo.
6.4.2 Usuarios administradores de puestos de trabajo
Este punto considera la posibilidad que un usuario sea administrador de su puesto de trabajo.
Se establece que tal configuración no es recomendable, por representar un riesgo potencial a la seguridad de los datos del MTEySS.
Sin embargo, se podrá implementar esta configuración cuando se presente la necesidad, debiendo existir una solicitud formal y una adecuada fundamentación.
Se ejecutarán los procedimientos que el caso amerite, estableciéndose claramente:
· las razones por las cuales el Responsable del requiere la configuración e administrador local para un usuario de su área,
· cuáles son los conocimientos técnicos necesarios por parte del usuario que solicita la misma,
· los riesgos inherentes,
· cuáles son las obligaciones y responsabilidades que le competen al usuario y a quien autoriza tal pedido,
· las facultades del Responsable de Sistemas y Seguridad Informática para monitorear las actividades en el puesto de trabajo, y, si se requiere, anular dicha configuración,
· los medios de control y auditoría.
6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información
Como parte de los términos y condiciones de empleo, todos los integrantes del MTEySS deben notificarse de las responsabilidades y el buen uso de los recursos, así como del mantenimiento de la privacidad y divulgación adecuada de la información del Organismo (ver Punto 6.5.4).
El área de Recursos Humanos conservará una copia firmada de dicha notificación.
Cada empleado declarará conocer y aceptar el detalle de actividades de su competencia que pueden ser objeto de control y monitoreo.
El área de Recursos Humanos deberá desarrollar un procedimiento para la notificación, en el que se establecerán:
a) conocimiento, por parte de todo el personal del MTEySS, cualquiera sea su modalidad de vinculación con el Organismo, de las Políticas de Seguridad de la Información,
b) revisión anual del contenido de la notificación.
6.4.4. Términos y Condiciones de Empleo
Se deberá poner en conocimiento de los usuarios la responsabilidad emergente del uso inadecuado de los recursos informáticos.
Se establece que las responsabilidades se extienden más allá de los límites de horario y de ámbito físico.
Los términos deben incluir los derechos y obligaciones que emanan de las leyes de Propiedad Intelectual o de protección de datos.
6.5. Capacitación del Usuario
6.5.1. Objetivo
Garantizar que los usuarios están al corriente de las amenazas para la información, y que están en condiciones de respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.
Los usuarios deben conocer los procedimientos de seguridad y el correcto uso de los sistemas y servicios informáticos, a fin de minimizar eventuales riesgos de seguridad.
6.5.2. Formación y Capacitación en Seguridad de la Información
Los empleados y personal jerárquico MTEySS deberán recibir una capacitación sobre los aspectos de seguridad de la información del Organismo.
Los contratos y/o acuerdos con terceras partes u organismos que hacen uso de la información del MTEySS deberán contemplar los aspectos de políticas de seguridad relacionados. En tal sentido, se contemplará una capacitación, cuando corresponda.
Se considerarán los requerimientos de seguridad, responsabilidades legales, y el uso correcto de los recursos de de información, por ejemplo las estaciones de trabajo, acceso a servicios, etc.
El Responsable del Area de Capacitación coordinará las acciones al respecto que surjan de la presente Política.
Se implementará un plan de capacitación, con una revisión cada doce (12) meses, a fin mantener las actualizaciones que correspondan a la tecnología o servicios informáticos vigentes o futuros.
6.5.3. Material de Capacitación
El área de Capacitación presentará un plan de Capacitación al Comité se Seguridad, para su verificación.
En dicho plan se detallarán las áreas que brindarán capacitación, los temas el material, el cronograma estimado para la realización de los cursos y las áreas a capacitar.
Todo personal que ingrese al Organismo recibirá el material de capacitación necesario, a los efectos de:
a) conocer los lineamientos del MTEySS sobre la seguridad de la información
b) informarse de los comportamientos esperados por los Responsables Primarios en lo atinente a seguridad.
Se recomienda que el personal ingresante reciba los privilegios de acceso a los sistemas que correspondan una vez verificado el cumplimiento de los puntos anteriores.
Se arbitrarán los medios técnicos necesarios para comunicar al personal todas las novedades o modificaciones en materia de seguridad que deban ser tratadas en forma preferencial.
6.5.4. Derechos y Obligaciones de los Usuarios en el Buen Uso de la Información del MTEySS
Los siguientes constituyen ejemplos del buen uso de los recursos informáticos del MTEySS:
· Utilización de recursos en servidores para el almacenamiento de archivos (documentos, planillas de cálculo, etc.) vinculados con las funciones y tareas cotidianas.
· Utilización de los servidores para el procesamiento de datos, a través de aplicaciones autorizadas.
· Mantener la privacidad adecuada de los datos relacionados con la gestión cotidiana, otorgando acceso o divulgando información expresamente autorizada.
· Empleo de los accesos a Internet/Intranet cuando éstos se relacionen con la actividad que cada empleado ejerce en el organismo.
· Uso del correo electrónico corporativo con fines relacionados a las funciones o tareas desempeñadas en la organización.
· Cerrar la sesión de red abierta, al retirarse del puesto de trabajo.
El uso inadecuado de los recursos informáticos se ejemplifica en lo siguiente:
· Uso de los sistemas y recursos con fines personales, reenvío de cadenas de mensajes o cualquier otro que no esté relacionado con las actividades del MTEySS.
· Almacenamiento de información personal en servidores (ej: fotos, archivos de música, etc.).
· Compartir o revelar contraseñas de acceso, compartir el uso de firmas digitales personales.
· Modificaciones no autorizadas sobre los datos.
· Eliminación no autorizada de datos.
· Transmisión fraudulenta o no autorizada de datos.
· Instalación y uso no autorizado de programas.
· Instalación o reubicación no autorizada de computadoras.
· La comunicación, almacenamiento o generación de información ofensiva; incluidos virus, gusanos, software malicioso, programas o información de carácter obsceno, pornográfico o ilegal.
· Almacenar información organizacional en lugares no protegidos (por ejemplo, utilizar puestos de trabajo en lugar de recursos en los servidores de red)
6.6. Respuesta a incidentes de seguridad
6.6.1. Objetivo
Minimizar el daño producido por incidentes de seguridad de la información, además de monitorear y generar una base de conocimiento de los mismos.
Los incidentes que afectan la seguridad, advertidos o supuestos, deben comunicarse al Responsable de Sistemas y Seguridad Informática, al Comité de Seguridad y a los Responsables de la Información, tan pronto como sea posible.
Los usuarios del MTEySS deben conocer los procedimientos de comunicación de los diferentes tipos de incidentes (violaciones, amenazas, debilidades o anomalías en materia de seguridad) que puedan impactar a la seguridad.
El Organismo establecerá medidas disciplinarias a adoptar con empleados que perpetren violaciones de la seguridad.
Los contratos y acuerdos con terceras partes deberán contemplar las sanciones que sufrirán quienes violen la seguridad de la información.
Para lograr analizar adecuadamente los incidentes que surjan de lo antes expuesto, se deberá recolectar evidencia lo antes posible (ver Punto 12.4.8).
6.6.2. Comunicación de incidentes relativos a la seguridad
Los incidentes relativos a la seguridad serán comunicados a través de canales apropiados, tan pronto como sea posible.
Se establecerá un procedimiento formal de comunicación y respuesta, en el que se indicará la acción a emprender cuando se reciba un informe de incidentes.
En dicho procedimiento, el Responsable de Sistemas y Seguridad Informática debe contemplar:
a) informar cuanto antes sobre la detección de un incidente o violación de seguridad, supuestos o no, al Responsable de la Información,
b) indicar los pasos a seguir para la investigación, monitoreo y resolución del incidente,
c) mantener al Comité de Seguridad y al Responsable Primario sobre las alternativas de resolución del incidente de seguridad.
6.6.3. Comunicación de Vulnerabilidades de Seguridad
Los usuarios de los servicios informáticos del MTEySS (ver Puntos 2.12 y 3.4.11) deben informar al Responsable de Sistemas y Seguridad Informática sobre vulnerabilidades de seguridad que éstos hayan detectado.
Los usuarios no podrán, por sí mismos, reparar vulnerabilidades ni efectuar pruebas de detección
6.6.4. Comunicación de Anomalías del Software
Se establecerán procedimientos para la comunicación de anomalías de software, debiéndose:
a) registrar los síntomas del problema y los mensajes que aparecen en pantalla.
b) aislar al puesto de trabajo de la conexión de red. No se deben transferir datos otro puesto de trabajo, por ningún medio (diskettes, CDs, red, etc.)
c) alertar inmediatamente al Responsable de Sistemas y Seguridad Informática y al Responsable Primario, sobre la información afectada.
Los usuarios no están autorizados a desinstalar ni eliminar el software con supuestas anomalías, siendo ésta una responsabilidad del Responsable de Sistemas y Seguridad Informática.
6.6.5 Aprendiendo de los incidentes
Se implementarán mecanismos y procedimientos para cuantificar y monitorear tipo, volumen y costo de los incidentes de seguridad.
Esta información permitirá identificar vulnerabilidades y amenazas recurrentes o de alto impacto. De la misma se obtendrá, asimismo, la necesidad de modificar o agregar controles para limitar frecuencia, daño y costo de casos futuros, y las posibilidades de revisión de la política de seguridad (ver Punto 12.6).
6.6.6. Sanciones
Los usuarios que incurran en violación de las políticas y procedimientos de seguridad de la organización, serán pasibles de las sanciones establecidas conforme normativa vigente y aplicable a la planta permanente, planta transitoria y/o a la modalidad contractual por la cual se encuentren vinculados al Organismo.
Los acuerdos y/o contratos y/o convenios con terceras partes deberán prever sanciones para los supuestos de violación a las Políticas de Seguridad de la Información, aprobadas por el MTEySS.
7. SEGURIDAD FISICA Y AMBIENTAL
La seguridad física y ambiental brinda el marco para minimizar riesgos de daño o interferencia a la información y a las operaciones del MTEySS.
Estableciendo perímetros de seguridad se evita al máximo el riesgo de accesos físicos no autorizados.
Se deben tener en cuenta tres conceptos:
· protección física de accesos,
· protección ambiental,
· transporte, protección y mantenimiento de equipamiento y documentación.
El establecimiento de perímetros de seguridad y áreas protegidas facilita la implementación de controles de protección de los recursos informáticos del MTEySS.
Un correcto control de los factores ambientales garantiza el funcionamiento de los equipos informáticos, minimizando las interrupciones de servicio. Deben contemplarse tanto en las instalaciones del Organismo como en aquellas que, por su proximidad, puedan interferir en las actividades normales.
Los traslados de equipamiento informático afuera de las áreas protegidas deben ser ejecutados bajo estrictas normas de seguridad y preservación de la información almacenada en los mismos.
Deberán aplicarse estrictas normas de seguridad a todos los recursos situados físicamente fuera del Organismo ("housing"), así como al equipamiento ajeno que procese información al Organismo ("hosting").
El transporte y la disposición final de documentación almacenada presentan riesgos que también deben ser evaluados.
Gran cantidad de información manejada en las oficinas se encuentra almacenada en papel, por lo que es necesario establecer pautas de seguridad para su conservación.
7.1. Objetivos
Impedir daños, accesos no autorizados o interferencia a las sedes e información del MTEySS.
Controlar los factores ambientales que puedan perjudicar el correcto funcionamiento del equipamiento informático del MTEySS.
Implementar medidas para proteger la información manejada por el personal en el ámbito físico de sus labores habituales.
Las instalaciones de procesamiento de información estarán ubicadas en áreas resguardadas por un perímetro de seguridad, con controles de acceso apropiados. Se implementará, además, una protección física contra accesos no autorizados, daños e intrusiones.
Deberá estar contemplada la protección de los equipos, en caso de traslados o permanencia fuera de las áreas protegidas, por mantenimiento u otros motivos.
La protección provista debe será proporcional a los riesgos identificados.
Se deberán implementar, por otra parte, políticas de escritorio y pantalla limpios, a fin de reducir el riesgo de acceso no autorizado o daño a documentación en papel y equipos informáticos.
7.2. Alcance
Esta Política se aplica a todos los recursos físicos relativos a los sistemas de información del MTEySS, edificios, instalaciones, equipos y medios de almacenamiento informáticos, cableado, documentación en papel, dispositivos de comunicación de datos, etc.
7.3. Responsabilidades
El Responsable de Seguridad y Servicios Generales:
a) junto con el Responsable de Sistemas y Seguridad Informática y los Responsables Primarios de la Información, efectuará un análisis de riesgo y presentará al Comité de Seguridad, un plan de implementación de medidas de seguridad física y ambiental para el resguardo de los activos del MTEySS,
b) controlará la implementación del plan de seguridad física,
c) verificará el cumplimiento de las políticas sobre seguridad física y ambiental,
d) establecerá el perímetro de seguridad físico para los edificios.
El Responsable de Sistemas y Seguridad Informática debe:
a) colaborar con el Responsable de Seguridad y Servicios Generales en la definición de las medidas de seguridad a implementar en áreas protegidas,
b) controlar el mantenimiento de los equipos informáticos del MTEySS,
c) implementar los niveles de acceso lógico a la información, requeridos por los Responsables Primarios de la Información,
Los Responsables Primarios de la Información definirán los niveles de acceso del personal del las áreas bajo su control. Dichos niveles serán implementados por el Responsable de Seguridad y Servicios Generales, o el de Sistemas, según corresponda.
La Unidad de Auditoría Interna revisará los registros de acceso a las áreas protegidas.
Los usuarios son responsables por el cumplimiento de la política de pantallas y escritorios limpios, para la protección de la información relativa al trabajo diario en las oficinas.
7.4. Areas Seguras
7.4.1. Perímetro de seguridad física
La protección física puede llevarse a cabo creando barreras físicas alrededor de las sedes y de las instalaciones de procesamiento de información del MTEySS. Cada barrera establece un perímetro de seguridad, que incrementa la protección total provista.
Un perímetro de seguridad es una delimitación de acceso, por ej. una pared, una puerta de acceso controlado por tarjeta, un escritorio u oficina de recepción atendidos por personas, etc. El emplazamiento y la fortaleza de cada barrera dependerán de los resultados de una evaluación de riesgos.
Se deben considerar e implementar los siguientes lineamientos y controles, según corresponda:
a) el perímetro de seguridad estará claramente definido,
b) el perímetro de un edificio o área de procesamiento de información será físicamente sólido. No deben existir aberturas o áreas donde se produzca una irrupción. Las paredes externas del área serán de construcción sólida. Las puertas comunicantes con el exterior gozarán de una protección adecuada contra accesos no autorizados, por ej., mediante mecanismos de control, vallas, alarmas, cerraduras, etc.,
c) existirá un área de recepción, atendida por personal u otros medios de control de acceso físico al área o edificio. El ingreso a las distintas áreas y edificios se limitará exclusivamente al personal autorizado,
d) las barreras físicas se extenderán, si es necesario, desde el piso (real) hasta el techo (real), a fin de impedir ingresos no autorizados, contaminación ambiental, incendio o inundación,
e) las puertas contra incendio de un perímetro de seguridad tendrán alarma y se cerrarán automáticamente.
El Responsable de Seguridad y Servicios Generales relevará y mantendrá un registro de los sitios protegidos, indicando:
a) identificación del edificio y área,
b) principales elementos a proteger,
c) medidas de protección física.
7.4.2 Controles de acceso físico
Las áreas protegidas serán resguardadas por adecuados controles de acceso, de modo que sólo ingrese personal autorizado. Los controles tendrán, Deben tenerse en cuenta los siguientes controles:
a) supervisión de ingreso de terceras partes y personal de servicio a las áreas protegidas. Fecha y hora de ingreso y egreso deben ser registrados. El acceso se otorgará cuando existan propósitos específicos y autorizados,
b) control de acceso lógico a la información sensible y/o crítica. La Dirección de Sistemas debe informar a la Dirección de Seguridad y Servicios Generales sobre las áreas donde se opera con información sensible y/o crítica.
c) control de acceso físico a las instalaciones de procesamiento de información,
d) se recomienda validar accesos por medio de controles de autenticación, por ej. tarjeta y número de identificación personal (PIN),
e) se recomienda que los usuarios (ver Puntos 2.12 y 3.4.11) exhiban una identificación visible,
f) registración de paquetes, envoltorios, cajas cerradas, etc., que entran o salen de los edificios,
g) se recomienda que el personal informe sobre la presencia de desconocidos no escoltados o de cualquier persona que no exhiba una identificación visible,
h) revisar y actualizar cada seis (6) meses los derechos de acceso a las áreas protegidas. Los mismos serán documentados y firmados por el Responsable Primario, en el área protegida de su dependencia.
Los controles de acceso físico serán determinados por el Responsable de Seguridad y Servicios Generales, junto con los Responsables de Sistemas y los Responsables Primarios. El Comité de Seguridad verificará la implementación de dichos controles.
7.4.3 Areas Protegidas
Un área protegida puede ser una oficina cerrada con llave, recintos bloqueados conteniendo cajas fuertes o gabinetes con cerraduras.
Para la selección y el diseño de un área protegida deben evaluarse los riesgos de incendio, inundación, explosión, agitación civil, y otras formas de desastres naturales o provocados por el hombre. También deben observarse las disposiciones y normas en materia de sanidad y seguridad. Deben considerarse, además, las amenazas a la seguridad que representan los edificios y zonas aledañas, por ej. por filtración de agua, interferencias, etc.
El Responsable de Seguridad y Servicios Generales mantendrá un listado actualizado, con una frecuencia de seis (6) meses, de todas las áreas protegidas del MTEySS.
Se deben considerar los siguientes controles
a) ubicar a las instalaciones clave en lugares inaccesibles para el público.
b) establecer que los edificios o recintos donde se procese información crítica sean discretos. El señalamiento y las indicaciones serán mínimos, sin signos obvios que identifiquen la actividad de procesamiento de información. Pueden requerirse barreras y perímetros adicionales para controlar el acceso físico entre áreas con diferentes requerimientos de seguridad, y que están ubicadas dentro del mismo perímetro.
c) el equipamiento de soporte por ej. fotocopiadoras, máquinas de fax debe ubicarse adecuadamente en el área protegida, a fin de evitar accesos que puedan comprometer la información.
d) establecer que puertas y ventanas estén bloqueadas cuando no hay vigilancia. Considerar la posibilidad de agregar protección externa a las ventanas, en particular las que se encuentran al nivel del suelo.
e) implementar sistemas de detección de intrusos (cámaras, detectores de proximidad, sistemas de vigilancia, etc.). Los mismos se instalarán según normas profesionales, se probarán periódicamente, y se ubicarán en:
· puertas exteriores y ventanas accesibles,
· áreas vacías, que deben tener alarmas activadas en todo momento,
· sala de servidores,
· áreas que se definan como protegidas,
· recintos con dispositivos de comunicaciones.
f) los teléfonos internos de los recintos de procesamiento de información sensible y/o crítica no deben publicarse en guías telefónicas
g) materiales peligrosos o combustibles deben almacenarse a una distancia prudencial del área protegida. No deben almacenarse suministros a granel útiles de oficina en áreas protegidas, hasta que sean requeridos.
7.4.4 Desarrollo de tareas en áreas protegidas
Para incrementar la seguridad de las áreas protegidas, se establecen los siguientes controles adicionales, válidos tanto para el personal que trabaja en el área protegida, así como para las actividades de terceros que allí tengan lugar:
a) la existencia de áreas protegidas, o de las actividades que allí se llevan a cabo será conocida solamente por el personal cuyas funciones estén relacionadas con dichos ámbitos,
b) evitar que terceras partes ejecuten trabajos en áreas protegidas sin supervisión alguna,
c) inspeccionar periódicamente áreas protegidas desocupadas, manteniendo bloqueado su acceso físico,
d) prohibición de comer, beber y fumar dentro de las instalaciones de procesamiento de la información,
e) restringir el ingreso de equipos de computación móvil, fotográficos, de vídeo, audio o cualquier otro tipo de equipamiento que registre información, a menos que hayan sido formalmente autorizadas por los Responsables Primario y de Sistemas (ver Punto 4.5.5).
7.4.5 Aislamiento de las Areas de Recepción y Distribución
Si corresponde, se controlará que las áreas de Recepción y Distribución de distintos elementos (equipamiento no crítico, repuestos, insumos, etc.) estén aisladas de las instalaciones de procesamiento de información sensible y crítica, a fin de impedir ingreso de ajenos.
Los controles físicos considerarán los siguientes lineamientos:
a) limitar el ingreso a las áreas de depósito al personal previamente identificado y autorizado.
b) diseñar el área de depósito de manera tal que los suministros se descarguen, evitando que quienes realizan la entrega accedan a otros sectores del edificio,
c) proteger las puertas exteriores del depósito cuando se abre la puerta interna,
d) inspeccionar y registrar el material entrante antes de ser trasladado al depósito.
7.5. Seguridad del equipamiento informático
7.5.1. Objetivo
Impedir pérdidas, daños a los activos o interrupción de las actividades del MTEySS
Es necesario proteger al protección del equipamiento, incluyendo el que se utiliza en forma externa, para reducir el riesgo de acceso no autorizado a los datos y prevenir pérdidas o daños.
Debe tenerse en cuenta la ubicación y disposición de los equipos. Pueden requerirse controles especiales para proteger instalaciones de soporte, como la infraestructura de cableado y suministro de energía eléctrica.
7.5.2. Ubicación y protección del equipamiento
El equipamiento se ubicará de modo de reducir riesgos ambientales, y oportunidades de acceso no autorizado. Se considerarán los siguientes controles:
a) minimizar el acceso innecesario a sitios con equipamiento informático instalado,
b) ubicar el ámbito de proceso y almacenamiento de información en sitios donde exista una adecuada supervisión de acceso físico,
c) establecer una protección especial para todos aquellos elementos que lo requieran,
d) adoptar controles a fin de minimizar riesgos por las siguientes amenazas potenciales:
· manifestaciones y/o protestas callejeras,
· robo,
· incendio,
· explosivos,
· humo,
· agua (o falta de suministro)
· polvo,
· vibraciones,
· efectos químicos,
· interferencia o interrupción en el suministro de energía eléctrica,
· radiación electromagnética.
e) no comer, beber ni fumar cerca de las instalaciones de procesamiento de información crítica,
f) monitorear las condiciones ambientales para verificar que no se comprometa el procesamiento de la información,
g) empleo de métodos de protección especial para equipos situados en ambientes expuestos a amenazas ambientales,
h) impacto de un eventual desastre en edificios próximos al Organismo, por ej. incendio, filtración de agua, una explosión en la calle, corte de energía generalizado, etc.
7.5.3. Suministro de energía
Las instalaciones de proceso de información crítica se protegerán de fallas en el suministro de energía u otras anomalías eléctricas.
Se debe contar con un adecuado suministro de energía, de acuerdo con las especificaciones del fabricante o proveedor de los equipos informáticos.
Se enumeran las siguientes alternativas para asegurar la continuidad del suministro de energía:
a) bocas de suministro múltiple, para evitar un único punto de falla
b) fuente de energía ininterrumpida (UPS)
c) generadores de respaldo.
Las UPS son recomendables para asegurar el apagado regulado y sistemático y la ejecución continua del equipamiento que procesa información critica.
Se implementarán planes de contingencia que contemplen acciones a emprender ante una falla de la UPS. Los mismos deben someterse a una inspección periódica, de acuerdo con las recomendaciones del fabricante o proveedor, a fin de mantener la capacidad requerida.
Un generador de respaldo se tendrá en cuenta cuando el procesamiento debe continuar aún en presencia de fallas de suministro prolongadas.
Los generadores se probarán periódicamente, según instrucciones del fabricante o proveedor.
Asimismo, se dispondrá de un adecuado suministro de combustible, a fin de garantizar una provisión de energía eléctrica por un período prolongado.
Se dispondrá, además, de:
a) interruptores de emergencia, a fin de lograr un corte de energía rápido, en situaciones de criticidad extrema,
b) sistemas de iluminación de emergencia, para el caso de cortes en el suministro principal de energía,
c) protección contra rayos en todos los edificios,
d) filtros de protección contra rayos en las líneas de comunicaciones externas.
7.5.4. Seguridad del cableado
Tanto el cableado de energía eléctrica como el de comunicaciones de datos deben protegerse contra todo tipo de intercepción o daño. Deben considerarse los siguientes controles:
a) siempre que sea posible, las líneas de energía eléctrica y de comunicaciones deben ser subterráneas. En su defecto, se sujetarán a una adecuada protección alternativa,
b) el cableado de red se protegerá contra intercepciones o daños, por ejemplo mediante el uso de conductos, o evitando trayectos de afluencia de público,
c) para evitar interferencias, los cables de energía estarán separados de los de comunicaciones,
d) controles adicionales a considerar para los sistemas sensibles o críticos:
· instalación de conductos blindados,
· instalación de recintos o cajas con cerradura en los puntos terminales y de inspección,
· uso de rutas o medios de transmisión alternativos,
· uso de cableado de fibra óptica,
· inspecciones periódicas para detectar dispositivos no autorizados conectados a los cables.
7.5.5. Mantenimiento de equipos
El equipamiento informático se mantendrá en forma adecuada para asegurar que su disponibilidad e integridad sean permanentes. Las actividades de mantenimiento en todas sus formas (preventivo, correctivo, etc.) dependerán del Responsable de Sistemas y Seguridad.
Se deben considerar los siguientes lineamientos:
a) implementar el mantenimiento de equipos según los intervalos de servicio y especificaciones recomendados por el proveedor,
b) personal autorizado por el Responsable de Sistemas tiene responsabilidad exclusiva por el mantenimiento y las reparaciones sobre el equipamiento,
c) registro de todas las fallas y labores de mantenimiento preventivo,
d) controles para el retiro de equipos fuera de la sede del MTEySS. Se enumeran algunos de ellos:
· verificación del estado general del equipo antes de ser retirado,
· resguardo o eliminación de información si se trata de datos sensibles, antes de retirar el equipo,
· verificación y cumplimiento de condiciones establecidas en contratos de mantenimiento, garantías y/o pólizas de seguro, para la reparación y traslados de los equipos,
· comunicación a la Dirección de Seguridad y Servicios Generales, para la verificación de salida o entrada de equipos. Esta notificación debe hacerse con anticipación, y debe indicar, como mínimo: proveedor, ubicación física original del equipo, datos de identificación (marca, modelo, Nro. de serie, Nro. de inventario, etc).
7.5.6. Seguridad del equipamiento fuera del ámbito de la organización
El uso de equipamiento informático fuera del ámbito del MTEySS será requerido por el Responsable Primario, y autorizado por el responsable de Sistemas.
La seguridad provista debe ser equivalente a la suministrada dentro Organismo, para un propósito similar, teniéndose en cuenta los riesgos de trabajar fuera de la misma. No se considera ámbito externo a las Delegaciones u otros edificios donde funciona el MTEySS.
El equipamiento incluye: computadoras personales y portátiles, organizadores, teléfonos móviles, impresoras, insumos, dispositivos de comunicaciones, cableado, papel, formularios, etc.
Se deben tener en cuenta los siguientes lineamientos:
a) no dejar los equipos en forma desatendida, sobre todo en lugares públicos. En un viaje, las computadoras personales se transportarán como equipaje de mano, en forma discreta, de ser posible.
b) respetar las instrucciones del fabricante, por ej. protección por exposición a campos electromagnéticos fuertes.
c) disponer de una adecuada póliza de seguro
Los riesgos de seguridad, por ej. el daño, robo o intercepción varían considerablemente según las ubicaciones. Deben ser tenidas en cuenta al determinar los controles apropiados. Ver también el Punto 9.11, Aspectos de Protección del Equipamiento Móvil.
7.5.7. Baja segura o reutilización de equipamiento.
Todo equipamiento puede desafectarse o reutilizarse. Si estos procesos se efectúan en forma descuidada, la información se verá comprometida (ver Punto 8.9).
Para eliminar la información que se halla en los medios de almacenamiento, deben utilizar métodos seguros, en vez de utilizar funciones de borrado estándar (ejemplo: formateo de bajo nivel en un disco, en lugar de borrado de archivos). Para el caso de datos en papel, se recomienda el uso de máquinas destructoras.
Antes de dar de baja un dispositivo de almacenamiento por ej. discos rígidos no removibles, debe asegurarse la eliminación segura de datos sensibles y/o software bajo licencia.
Se recomienda realizar análisis de riesgo, para determinar si medios de almacenamiento dañados que contienen datos sensibles, deben ser destruidos, reparados o desechados.
7.6. Controles generales
7.6.1. Política de Escritorio y Pantalla Limpia
Debe adoptarse una política de escritorios limpios, para proteger documentos en papel y dispositivos de almacenamiento removibles.
Asimismo, se establecerá una política de pantallas limpias en los equipos informáticos, con el propósito de reducir riesgos de acceso no autorizado, pérdidas y daños de la información, tanto durante el horario normal de trabajo como fuera del mismo.
El Responsable de Sistemas la implementará políticas de pantalla limpia en las configuraciones de los puestos de trabajo.
El Responsable de Seguridad y Servicios Generales recomendará la política de escritorio limpio a los Responsables Primarios, sobre todo en aquellos ámbitos de acceso al público.
Se considerarán los siguientes lineamientos:
a) los medios de almacenamiento que contengan información sensible y/o crítica deben resguardarse, preferentemente, en cajas fuertes o gabinetes a prueba de incendio.
b) documentos en papel y medios informáticos deben guardarse bajo llave. Se utilizarán gabinetes y/u otro tipo de mobiliario seguro, especialmente fuera del horario de trabajo.
c) para equipos informáticos, debe considerarse lo siguiente:
· protectores de pantalla con contraseña segura. Se activarán cuando el puesto de trabajo esté inactivo por un lapso de tiempo corto,
· computadoras e impresoras de conexión local permanecerán apagadas cuando no se las use,
· los usuarios deben finalizar o bloquear la sesión de red, antes de retirarse de su lugar trabajo,
· las impresoras conectadas a la red deben tener una contraseña de acceso segura. El Responsable Primario deberá verificar el uso de la misma. Se implementará una política de apagado cuando la oficina permanezca cerrada,
· la fotocopiadoras deben poseer una contraseña de acceso segura. El Responsable Primario deberá verificar el uso de la misma, e implementar una política de apagado fuera del horario normal de trabajo,
d) guardar en lugar seguro copias de las llaves de ingreso al ámbito de trabajo. Las llaves se encontrarán protegidas en sobre cerrado y en una caja de seguridad, debiendo dejarse constancia y los motivos de todo acceso a las mismas,
e) proteger los puntos de recepción y envío de correo postal, así como máquinas de fax no atendidas,
f) no se recomienda imprimir información sensible o confidencial en impresoras de red. En caso de hacerlo, los documentos impresos deben retirarse inmediatamente.
7.6.2. Retiro de Activos del MTEySS
Queda prohibido retirar equipamiento, información y software del MTEySS sin la correspondiente autorización formal.
Se recomienda la implementación de auditorías periódicas, para la detección de retiros no autorizados de bienes del Organismo. Las mismas deberían ser llevadas a cabo por personal de la Dirección de Seguridad y Servicios Generales, los responsables Primarios y Dirección de Sistemas, según corresponda.
Los Responsables Primarios deberán divulgar al personal las comprobaciones indicadas
8. GESTION DE COMUNICACIONES Y OPERACIONES
Los sistemas de información operan de forma de estar intercomunicados, tanto dentro MTEySS como fuera de él. Se requiere, por lo tanto, establecer criterios adecuados de seguridad en las comunicaciones.
Las comunicaciones permiten intercambiar información. Las mismas deberán regularse, con el objeto de garantizar confidencialidad, integridad y disponibilidad en el proceso y operación de las computadoras entre quienes se intercambia información
8.1. Objetivo
Garantizar el funcionamiento correcto y seguro de los procesos de la información.
Se establecerán responsabilidades y procedimientos para administrar y operar todas las instalaciones donde se intercambia y procesa información. Esto incluye aquellos procedimientos operativos y de respuesta a incidentes.
Cuando corresponda, se efectuará una separación de funciones adecuada (ver 8.4.4), a fin de reducir el riesgo de negligencias y/o manipulación indebida de los sistemas informáticos.
8.2. Alcance
Todas las instalaciones de procesamiento y transmisión de información del Organismo.
8.3. Responsabilidades
El Responsable de Sistemas y Seguridad Informática tendrá a su cargo:
a) definir e implementar procedimientos para el control de cambios a los procesos operativos y los sistemas informáticos, de manera de no afectar la seguridad de la información,.
b) establecer criterios de aprobación para las actualizaciones, nuevas versiones, o nuevos sistemas informáticos, contemplando realizar las pruebas necesarias antes de su aprobación definitiva,
c) verificar que los procedimientos de aprobación de software incluyan aspectos de seguridad para las aplicaciones de Gobierno Electrónico,
d) definir procedimientos para el manejo de incidentes de seguridad y la administración de los medios de almacenamiento,
e) definir y documentar normas claras con respecto al uso del correo electrónico,
f) definir y administrar los mecanismos de distribución y difusión de información dentro del MTEySS,
g) definir y administrar controles para prevenir accesos no autorizados y software malicioso,
h) definir y administrar controles para garantizar la seguridad de los datos, los servicios y los equipos conectados a la red del Organismo.
i) concientizar a los usuarios en materia de seguridad sobre controles de acceso, operación y administración de los sistemas y cambios,
j) documentar todos los procedimientos de comunicaciones y operaciones.
k) implementar los cambios adecuados a los sistemas y equipamiento, asignando responsabilidades, y evaluando el posible impacto operativo,
l) implementar una adecuada separación de los ambientes de procesamiento,
m) calcular las capacidades los sistemas en operación y proyectar las futuras demandas,
n) controlar la realización de copias de resguardo de información, así como la prueba periódica de su restauración,
o) registrar las actividades realizadas por el personal operativo, para su posterior revisión,
p) implementar procedimientos que permitan tomar medidas correctivas en el momento de fallas en los procesos de la información o los sistemas de comunicaciones,
q) implementar controles de seguridad para software malicioso y accesos no autorizados,
r) definir e implementar procedimientos para administrar medios de almacenamiento, tales como cintas, discos, medios ópticos, informes impresos, dispositivos móviles, diskettes, etc. La administración contemplará los casos de resguardo, restauración y/o eliminación de la información almacenada
s) colaborar en el tratamiento de incidentes de seguridad de la información, de acuerdo a procedimientos verificados por el Comité de Seguridad,
t) evaluar contratos y acuerdos con terceros para incorporar servicios relacionados con el soporte y la seguridad de la información. Esta tarea se efectuará con el Responsable del Area Legal, el Responsable de Seguridad y Servicios Generales y/o los Responsables Primarios, según corresponda.
Cada Responsable Primario, y el Responsable de Sistemas, determinarán los requerimientos de proceso, comunicación y/o transporte de la información de su competencia, de acuerdo los niveles de sensibilidad, disponibilidad y/o criticidad que se requieran.
La Unidad de Auditoría Interna revisará las actividades de procesamiento de la información, la correcta separación de ambientes y la adecuada implementación de los sistemas.
8.4. Procedimientos Operativos
8.4.1. Documentación
Se deben documentar y mantener los procedimientos en el ambiente de Producción, identificados por su política de seguridad.
Los procedimientos del ambiente de Producción estarán plasmados en documentos formales. Los cambios deberán ser autorizados por los niveles de responsabilidad que correspondan (Responsable de Sistemas, Responsables Primarios, Unidad de Auditoría Interna, Comité de Seguridad de la Información, etc).
Los procedimientos especificarán detalladamente cada tarea, considerando:
a) procesamiento y manejo de la información,
b) requerimientos de programación de procesos, interconexión con otros sistemas, así como tiempos de inicio y finalización de las tareas,
c) manejo de errores u otras condiciones excepcionales que surjan durante la ejecución de tareas,
d) restricciones en el uso de utilitarios de sistema operativo.
e) administración de comunicaciones, así como de ambientes operativos y de desarrollo de sistemas,
f) soporte en caso de dificultades imprevistas, operativas o técnicas.
g) manejo de salida de información, por ejemplo: uso de papelería especial, listados de información confidencial, almacenamiento móvil, publicaciones en Intranet e Internet,
h) eliminación segura de tareas con salida de información fallida,
i) reinicio y recuperación de los sistemas, en caso de fallas, reinstalaciones o actualizaciones,
j) instalación y mantenimiento del equipamiento de proceso de la información y de comunicaciones.
k) instalación y mantenimiento de las plataformas de procesamiento de sistemas.
l) programación y ejecución de las tareas en los ambientes de operaciones,
m) monitoreo de los procesos y las comunicaciones.
n) inicio y finalización de la ejecución de los sistemas.
o) gestión de servicios.
p) resguardo y restauración de la información.
q) gestión de incidentes informáticos y de comunicaciones, considerando el posible impacto a la seguridad de los datos,
r) mantenimiento preventivo y correctivo en los ambientes informáticos (ver Puntos 8.4.5 y .4.6),
s) mantenimiento preventivo y correctivo en las comunicaciones,
t) administración y uso del correo electrónico y las comunicaciones en los ambientes de Internet/Intranet.
8.4.2. Control de Cambios en el ambiente de Producción
Deben definirse procedimientos para el control de cambios en el ambiente de Producción. e efectuará una evaluación previa de los aspectos técnicos y de seguridad, estableciéndose responsabilidades y procedimientos formales que garanticen un control adecuado de todos los cambios de equipamiento, software o funciones de los sistemas.
El Responsable de Sistemas y Seguridad controlará el impacto de las modificaciones de los componentes sobre la seguridad, la información y la operatividad. Asimismo, verificará la correcta implementación de los cambios previstos.
Los cambios a la programación deberán tener un registro de auditoría que contenga toda la información relevante.
Debe procurarse que los procedimientos de control de cambios sobre las operaciones y aplicaciones se hallen integrados (ver también Punto 10.7.2).
Se considerarán los siguientes ítems:
a) identificación y registro de cambios significativos,
b) evaluación del posible impacto de dichos cambios,
c) procedimiento de aprobación formal de los cambios propuestos,
d) comunicación de detalles de cambios a los Responsables Primarios de las áreas afectadas,
e) planificación del proceso de cambio, .
f) testeo de los cambios en un ambiente de prueba (ver Puntos 8.4.5. y 8.4.6);
g) proceso de implementación en el ambiente de Producción;
h) determinación de responsabilidades por la cancelación de cambios y los procesos de recuperación.
8.4.3 Procedimientos de manejo de incidentes
Se deben establecer procedimientos y responsabilidades en el manejo de incidentes relativos a la seguridad de la información, para garantizar una respuesta rápida, eficaz y sistemática (ver también Punto 6.6).
Se deben considerar los siguientes controles.
a) procedimientos de respuesta a los tipos probables de incidentes relativos a la seguridad, incluyendo
· fallas en los sistemas de información y pérdida del servicio;
· negación de servicio,
· errores ocasionados por datos incompletos o inexactos;
· violaciones de la confidencialidad;
· código malicioso e intrusiones,
· fraude informático,
· error humano,
· catástrofes naturales,
b) comunicar los incidentes a los Responsables que corresponda, tan pronto como sea posible, de acuerdo a lo indicado en el Punto 6.6.2.
c) diseñar planes de contingencia, para recuperar sistemas y servicios tan pronto como sea posible, teniendo en cuenta:
· análisis e identificación de la causa del incidente,
· determinación de las primeras medidas a implementar,
· planificación e implementación de soluciones para prevenir y/o evitar la repetición del mismo incidente,
· comunicaciones con las personas afectadas,
· notificación de las acciones preventivas y/o correctivas a los Responsables y Organismos pertinentes
d) recolectar pistas de auditoría y evidencia:
· análisis de problemas internos.
· verificación de probables violaciones contractuales o de acuerdos con terceras partes, infracciones normativas y cumplimiento de requisitos legales (Ver Punto 12.4).
· negociación de compensaciones por parte de los proveedores de software y de servicios, si corresponde,
e) implementar controles sobre las acciones de recuperación de datos y corrección de fallas del sistema, garantizando:
· acceso a los sistemas y datos existentes, otorgados exclusivamente a los usuarios claramente identificados y explícitamente autorizados,
· documentación detallada de todas las acciones de emergencia emprendidas.
· comunicación de las acciones de emergencia al Responsable Primario,
· revisión del cumplimiento de las acciones emprendidas,.
· verificación de la integridad de los controles y sistemas del MTEySS, en un plazo mínimo
· si corresponde, requerir la participación del Responsable del Area Legal del Organismo en el tratamiento de incidentes de seguridad,
8.4.4 Separación de funciones
Una concentración de tareas puede aumentar el riesgo de modificaciones no autorizadas, o mal uso de la información y los servicios, debidos a la concentración de tareas. Por ello, se debe implementar una separación de funciones, tareas y áreas de responsabilidad.
En caso que sea difícil tal separación, se tendrán en cuenta controles, como el monitoreo de actividades, pistas de auditoría y la supervisión, por parte de los Responsables. En este caso, el Responsable Primario que corresponda enviará una justificación formal al Comité de Seguridad, el que decidirá las acciones a tomar.
Es importante que la auditoría de seguridad se mantenga independiente.
Se implementarán controles tales como:
a) monitoreo de actividades.
b) registros de auditoría y control periódico de los mismos.
c) supervisión por parte de la Unidad de Auditoría Interna. Esta actividad será independiente al área que genera las actividades auditadas.
8.4.5. Separación entre Instalaciones de Desarrollo, Prueba y Producción
La separación entre las instalaciones de Desarrollo, Prueba y Producción es importante para lograr la correcta identificación de roles y actividades involucrados en los procesos (ver Puntos 10.6 y 10.7).
Las tareas efectuadas en Desarrollo y/o Prueba pueden ocasionar problemas en el ambiente de Producción, como la modificación no deseada de archivos, sistemas o datos.
Debe verificarse un nivel de separación adecuado entre los ambientes y funciones de Producción, Prueba y Desarrollo, a fin de prevenir problemas operativos.
Según el tipo de ambiente, existen los siguientes consideraciones:
· ambiente de Prueba, una instalación identificada y estable permite llevar a cabo pruebas significativas, impidiendo accesos inadecuados por parte del personal de Desarrollo.
· ambiente de Producción, una alteración no autorizada de datos posibilitaría la generación de fraude. La introducción de líneas de código no autorizado o probado facilitaría el funcionamiento de programas maliciosos, causando graves problemas operativos y amenazas a la confidencialidad de la información, además de serias consecuencias sociales y legales.
Para reducir el riesgo de cambios accidentales o accesos no autorizados, deben definirse las reglas para la transferencia de software desde el ambiente de Desarrollo al de Pruebas, y posteriormente del ambiente de Pruebas al de Producción.
Se tendrán en cuenta los siguientes controles.
a) los ambientes de Desarrollo, Prueba y Producción estarán separados en forma física,. El software de cada ambiente se ejecutará en diferentes procesadores, dominios y/o directorios,
b) las actividades de cada ambiente deben estar claramente establecidas,
c) los sistemas en Producción no deben acceder a compiladores, editores u otros utilitarios de Desarrollo, a menos que se lo requiera para su funcionamiento,
d) los sistemas de Prueba y Producción tendrán distintos esquemas de autenticación y perfiles de usuario,
e) un usuario que deba acceder tanto a los ambientes de Prueba y Producción, lo hará con cuentas de usuario distintas, en lo posible.
f) los sistemas desplegarán mensajes, indicando los tipos de ambiente en donde se hallan
instalados.
g) cada uno de los ambientes de procesamiento debe tener un Responsable Primario de la información (ver Punto 3.4.4).
h) el personal de desarrollo no podrá tener acceso a los ambientes de Prueba o de Producción. De requerirse tal contingencia, el Responsable de Sistemas establecerá un procedimiento para la autorización, documentación y registro de dichos accesos.
8.4.6. Separación de Funciones en los ambientes de Desarrollo, Prueba y Producción Si no es posible una segregación física de ambientes, se implementarán los controles para la separación lógica de funciones en cada uno de los ambientes (ver Puntos 10-6 y 10-7).
Toda aplicación generada en el sector de Desarrollo, o adquirida a un proveedor, es migrada en algún momento a un ambiente de Producción, para su acceso por parte de los usuarios. Los controles de esta transferencia deben ser rigurosos, para asegurar que no se instalen programas fraudulentos y se causen serios problemas operativos.
Es conveniente implementar un aplicativo que administre versiones y transfiera programas entre los ambientes, contando con un registro de control.
A continuación se presenta un modelo ideal formado por tres ambientes. Dicho modelo se adaptará a las características propias del MTEySS, de acuerdo con los equipos y capacidades instaladas.
a) Ambiente de Desarrollo
En este ambiente se desarrollan los programas fuentes y donde se almacena la información relacionada con el análisis y diseño de los sistemas.
El desarrollador tiene total dominio sobre el ambiente. Un sistema registra el control de versiones. Se designa a un Administrador de programas fuentes, quien gestionará el versionado de los aplicativos en Desarrollo.
El desarrollador realiza las pruebas con los datos existentes en las bases de Desarrollo.
Cuando el desarrollador considera que el programa está terminado, se implementa el pase al ambiente de Pruebas. En tal operación se debe incluir toda la documentación necesaria (requerimientos de instalación, librerías, estructura de carpetas y permisos, diccionario de la base de datos, scripts, etc.).
b) Ambiente de Pruebas
En este ambiente se testean los programas fuente desarrollados, en condiciones que simulan un ambiente de Producción. Por ende, el ambiente de Pruebas tendrá las mismas características que el de Producción (sistema operativo, software de base, etc.).
El implementador de este ambiente, o testeador, recibe el programa y la documentación enviada por el desarrollador. Se efectúa una prueba general con un lote de datos establecido a tal efecto valores extremos, datos de la base de pruebas, etc. . La actividad será efectuada, de ser posible, junto al usuario final.
Los desarrolladores, o los proveedores de los aplicativos, no deben acceder a datos de Producción utilizados para testing en el ambiente de Prueba, salvo casos de excepción debidamente justificados.
El testeador aprueba el sistema en el ambiente de Pruebas cuando:
· no se detectan errores de ejecución,
· no se afecta el funcionamiento ni la performance del sistema operativo y demás componentes del ambiente,
· los resultados de las rutinas de seguridad son se corresponden con las especificaciones,
· se considera que la documentación presentada es completa.
En caso de aprobación, se remite el programa fuente al sector de Producción, por medio de un sistema de control de versionado. Asimismo, se entrega toda la documentación necesaria (características de instalación, librerías, estructura de carpetas y permisos, diccionario de la base de datos, scripts, etc.).
En caso de no aprobación, se devuelve el programa al desarrollador, junto con un detalle de las observaciones.
c) Ambiente de Producción
En este ambiente se ejecutan los procesos y datos productivos.
Las implementaciones serán realizadas por un administrador de ambientes, o implementador.
Los programas fuente aprobados se almacenan en un repositorio de fuentes de producción, mediante un sistema de control de versiones.
El control de versiones indicará los datos del programador, fecha, hora y tamaño de los programas fuente, objeto, librerías, modelo de datos de las bases, parámetros, etc.
El implementador instala el sistema tomándolo desde el ambiente de Pruebas, asegurando una correspondencia biunívoca entre ambientes. Los procedimientos de instalación alcanzarán, además, a todos los elementos que formen parte del sistema.
Toda modificación al software de base (Sistema Operativo, motores de bases de datos, productos middleware, etc.) debe seguir pasos idénticos.
Ni personal de Desarrollo, ni el proveedor de los aplicativos deben tener acceso al ambiente de Producción, salvo casos de excepción debidamente justificados.
El Responsable Primario de la Información debe autorizar todos los accesos a Producción.
El Responsable de Sistemas y Seguridad Informática implementará los accesos autorizados. Asimismo, efectuará monitoreo de los trabajos realizados, elevando informes al Responsable Primario y al Comité de Seguridad, cuando corresponda.
8.4.7. Gestión de Procesamiento Externo
En el caso de tercerizar el procesamiento, se acordarán controles con el proveedor del servicio, los que se incluirán en el contrato vinculante.
Se contemplarán las siguientes cuestiones específicas (Ver Punto 4.5.4.):
a) tercerizar aquellos trabajos relacionados con el ambiente de Desarrollo, según las evaluaciones que efectúe el Responsable de Sistemas y Seguridad (disponibilidad de personal, equipamiento para desarrollo de sistemas, nivel de sensibilidad de la información, etc.),
b) obtener la aprobación de los Responsables Primarios de las aplicaciones específicas.
c) identificar las implicancias para la continuidad de las actividades del MTEySS.
d) especificar las normas de seguridad y la verificación del cumplimiento.
e) asignar funciones específicas y procedimientos para monitorear las actividades de seguridad.
f) definir funciones, procedimientos de comunicación y manejo de incidentes de seguridad. Dichas consideraciones deberán ser acordadas entre el Responsable de Sistemas y Seguridad, el Responsable Primario de la Información y el Responsable del Area Legal del Organismo.
8.5. Planificación y aprobación de sistemas
8.5.1. Objetivo
Minimizar el riesgo de fallas en los sistemas.
Garantizar la disponibilidad de capacidad y recursos adecuados, para lo cual se requiere una planificación y una preparación anticipada. Para ello, se efectuarán proyecciones para futuros requerimientos de capacidad, a fin de reducir el riesgo de sobrecarga de los sistemas.
Todo nuevo requerimiento para el ambiente de Producción deberá establecerse, documentarse y probarse antes que el nuevo sistema se haya aprobado en el ambiente de Desarrollo.
8.5.2. Planificación de la capacidad
El Responsable de Sistemas y Seguridad Informática determinará las necesidades de capacidad de los sistemas productivos, además de proyectar las futuras demandas, para garantizar un procesamiento adecuado.
Se tomarán en cuenta:
· nuevos requerimientos informáticos
· tendencias actuales y proyectadas en el procesamiento de la información del MTEySS, para el período de vida útil de cada componente.
· utilización de los recursos clave del sistema (procesadores, almacenamiento principal, almacenamiento de archivos, impresoras, sistemas de comunicaciones etc.).
Las necesidades deberán ser informadas al Comité de Seguridad y a los responsables Primarios, con el fin de identificar y evitar potenciales cuellos de botella que se traduzcan en amenazas a la seguridad o a la continuidad de los procesos.
8.5.3 Aprobación del sistema
El Responsable de Sistemas definirá los criterios de aprobación para los sistemas informáticos, sus actualizaciones y nuevas versiones.
Se deben considerar los siguientes puntos:
a) impacto en el desempeño y requerimientos de capacidad de las computadoras,
b) posibilidad de recuperación ante errores,
c) planes de contingencia, y continuidad operativa del MTEySS,
d) realización de las pruebas necesarias antes de la aprobación definitiva de los sistemas (ver Puntos 8.4.5. y 8.4.6).
e) conjunto de controles de seguridad acordado con las áreas usuarias,
f) impacto de nuevas instalaciones sobre los sistemas existentes y la seguridad global del Organismo,
g) definición de tareas y funciones para los administradores y usuarios,
h) capacitación sobre administración, operación y/o uso de nuevos sistemas, antes de pasarlos al ambiente de Pruebas,
i) documentación completa (ver Punto 8.4.1).
8.6. Protección contra software malicioso
8.6.1. Objetivo
Proteger la integridad de la información y el software del MTEySS.
El software y la información son vulnerables a la introducción de software malicioso como, p. ej., virus informáticos gusanos, troyanos, falsos virus, etc. y bombas lógicas.
a) Los usuarios deben conocer los peligros derivados de la instalación y uso de software no autorizado y/o malicioso. Los administradores deben implementar controles especiales para detectar o prevenir la introducción de los mismos, tanto en servidores, como en puestos de trabajo, computadoras personales y/o portátiles, además de dispositivos que tengan una conexión con la red de datos del Organismo.
8.6.2. Responsabilidades
Los Responsables de Capacitación y de Sistemas desarrollarán e implementarán procedimientos de concientización en materia de seguridad, controles de acceso al sistema y administración de cambios, para los usuarios del MTEySS.
El Responsable de Sistemas y Seguridad Informática definirá e implementará controles de detección y prevención para el software malicioso.
Estos controles deberán considerar lo siguiente:
b) prohibir el uso de software y archivos nos autorizados por el Organismo (Ver Punto 12.4.3. Derecho de Propiedad Intelectual del Software),
c) normas y procedimientos para proteger adecuadamente los accesos hacia/desde redes externas, especialmente en los casos de obtención de archivos y/o software,
d) instalación y actualización de software para detección de virus y reparación de archivos contagiados. Se examinarán servidores, puestos de trabajo y computadoras personales y/o portátiles y dispositivos que tengan una conexión con la red de datos del Organismo,
e) instalación de las últimas actualizaciones de seguridad de los sistemas operativos. Las mismas serán verificadas previamente en un entorno de prueba,
f) adecuados planes de continuidad operativa y recuperación, respecto de ataques de virus. Se incluirán todos los datos necesarios, el resguardo del software y las disposiciones para la recuperación (ver Capítulo 11. Administración de la Continuidad de las Actividades del MTEySS),
g) revisar periódicamente el contenido del software, datos generados por procesos críticos y archivos del MTEySS, a fin de detectar la presencia de información o modificaciones no autorizadas,
h) procedimientos de verificación de software malicioso. Implementar boletines de alerta,
i) verificación de la presencia de software malicioso en archivos adjuntos a mensajes de correo electrónico, archivos descargados por Internet ("downloads") y archivos almacenados en servidores. La verificación se llevará a cabo en diferentes lugares (servidores de correo electrónico, puestos de trabajo, servidores de archivos compartidos, etc.), y antes del uso de los archivos,
j) concientizar al personal acerca del problema de los virus (gusanos, troyanos, falsos virus, etc) y de cómo proceder frente a los mismos.
Estos controles son especialmente importantes para los servidores y las estaciones de trabajo del MTEySS.
8.7. Mantenimiento y Resguardo de la Información
8.7.1. Objetivo
Mantener la integridad y disponibilidad de los servicios informáticos del MTEySS.
Se deben establecer procedimientos de rutina para llevar a cabo la estrategia de resguardo acordada (ver Capítulo 11. Administración de la Continuidad de las Actividades del MTEySS),
considerando:
· copias de resguardo de los datos,
· pruebas programadas de restablecimiento de la información,
· registro de eventos y fallas,
· monitoreo de las operaciones.
8.7.2. Alcance del Resguardo de la Información
El Responsable de Sistemas y Seguridad Informática, junto con los Responsables Primarios, determinarán los requerimientos de resguardo del software y los datos de cada sector, en función de su criticidad.
De acuerdo con lo anterior, se definirá y documentará un esquema de resguardo de la información.
El Responsable de Sistemas dispondrá y controlará la realización de dichas copias, así como las pruebas de restauración. Para ello contará con instalaciones de resguardo que garanticen disponibilidad de la información y el software critico del Organismo.
8.7.3. Controles del Resguardo y Recupero de la Información
Se efectuará un monitoreo de los sistemas de resguardo, de modo que cumplan con los requerimientos de los planes de continuidad de actividades del MTEySS (ver Punto 11.8).
Se definirán procedimientos para el resguardo de la información, considerando los siguientes aspectos:
a) esquema de rotulado de las copias de resguardo, a fin de contar con toda la información necesaria para la identificación y la administración del medio de almacenamiento utilizado,
b) tipo y frecuencia de resguardo de información, por ejemplo: resguardo completo o parcial, frecuencia diaria-semanal-mensual, etc.,
c) lotes de datos a resguardar, organizados por tareas ("jobs"),
d) esquema de reemplazo de los medios de almacenamiento utilizados para las copias de resguardo, según el tiempo de uso indicado por el proveedor,
e) destrucción segura de medios dados de baja (ver Punto 8.9.3),
f) guarda de copias de los medios de resguardo en un ámbito externo al MTEySS. Se tendrán en cuenta los niveles de clasificación de la información, en términos de disponibilidad y criticidad, a fin de definir la información a ser almacenada en el sitio externo (ver Punto 5.5),
g) almacenamiento externo de copias de todo el software y datos esenciales para la operación del Organismo, así como los procedimientos documentados de restauración,
h) niveles de protección física y controles iguales o mayores que los aplicados al sitio principal, para la información guardada en un sitio externo,
i) prueba periódica de los procedimientos de restauración, verificando eficacia y cumplimiento dentro del tiempo asignado para recuperación de datos en los procedimientos operativos.
Los procedimientos de realización de copias de resguardo y su almacenamiento deberán ajustarse a las políticas indicadas en el Capítulo 5 (Clasificación y Control de Activos) y el Punto 12.5.4 (Protección de los Registros del Organismo).
8.7.4. Registro de Actividades del Personal de Producción
El Responsable de Sistemas registrará las actividades realizadas en los aplicativos en Producción. Se incluirán los siguientes controles, según corresponda:
a) tiempo de uso de los sistemas,
b) errores en los sistemas y medidas correctivas tomadas,
c) intentos de acceso a sistemas, recursos e información crítica o confidencial,
d) tipos de archivos almacenados en los servidores,
e) ejecución de operaciones críticas,
f) control de cambios a información crítica.
La Unidad de Auditoría Interna contrastará los registros de actividades del personal y de los procedimientos del ambiente de Producción.
8.7.5. Registro de Fallas
El Responsable de Sistemas comunicará a quien corresponda sobre la aparición de fallas, así como las medidas correctivas a adoptar. Las fallas de los sistemas informáticos reportadas por los usuarios se registrarán en un sistema de gestión de incidentes.
Deben existir reglas claras para el manejo de las fallas comunicadas, con inclusión de los siguientes controles:
a) revisión de registros de fallas, a fin de verificar las mismas fueron resueltas satisfactoriamente,
b) procedimientos de comunicación de fallas,
c) revisión de medidas correctivas, a fin de garantizar que los controles no fueron comprometidos, o que las medidas tomadas fueron debidamente autorizadas,
d) documentación de fallas, con el objeto de prevenir su repetición o facilitar la resolución en caso de reincidencia.
8.8. Administración de la red
8.8.1. Objetivo
Garantizar la seguridad de la información y la protección de la infraestructura de soporte de la red del MTEySS. Es de suma importancia la administración de seguridad de las redes y la verificación del tráfico de datos que puede atravesar el perímetro del Organismo.
Pueden requerirse controles, además, para los datos sensibles que circulen por redes públicas, y que sean propiedad del Organismo.
8.8.2. Controles de redes
El Responsable de Sistemas y Seguridad debe implementar controles para garantizar la seguridad de los datos y la protección contra el acceso no autorizado a los servicios conectados.
Se debe considerar lo siguiente.
a) las funciones de operación, soporte y administración de las redes y servidores estarán separadas de las correspondientes a operaciones y soporte de los puestos de trabajo (ver Punto 8.4.4),
b) procedimientos y responsabilidades para la administración del acceso remoto a las redes del MTEySS, así como el acceso remoto a puestos de trabajo dentro de las mencionadas redes,
c) controles especiales para proteger datos y sistemas del MTEySS que circulan o se conectan hacia redes ajenas (ver Puntos 9.4 y 10.4),
d) actividades de supervisión tanto para optimizar los servicios de redes como para garantizar que los controles se aplican uniformemente en toda la infraestructura de procesamiento de datos.
8.9. Administración y Seguridad de los Medios de Almacenamiento
8.9.1. Objetivo
Los medios de almacenamiento y soporte de información deben protegerse físicamente.
Se deben establecer procedimientos operativos apropiados para controlar y proteger documentos, medios de almacenamiento (cintas, CDŽs, DVDŽs, diskettes, dispositivos de almacenamiento, etc.) listados impresos, etc., contra daño, robo y acceso no autorizado.
8.9.2. Administración de medios informáticos removibles
El Responsable de Sistemas y Seguridad implementará procedimientos para la administración de medios de soporte y almacenamiento informático, tales como cintas, CDŽs, DVDŽs, diskettes, informes impresos y dispositivos móviles (pen-drives, cámaras fotográficas digitales, etc.).
Los procedimientos y niveles de autorización se documentarán según lo establecido en Capítulo
5. Clasificación y Control de Activos.
Se considerarán los siguientes lineamientos:
a) los medios informáticos removibles sólo pueden retirarse del MTEySS bajo autorización escrita. Se registrarán todos los retiros, a fin de mantener pistas de auditoría (ver Punto 8.11.3).
c) todos los medios deben almacenarse en un ambiente seguro y protegido, de acuerdo con las especificaciones de los fabricantes o proveedores.
8.9.3. Eliminación de Medios de Información
El Responsable de Sistemas y Seguridad definirá procedimientos para la eliminación segura de datos en los medios de información respetando la normativa vigente. Cuando ya no son requeridos, los datos almacenados en medios informáticos deben eliminarse de manera cuidadosa, para evitar que información sensible sea divulgada a usuarios ajenos al MTEySS.
Para los procedimientos de almacenamiento y eliminación segura deberán considerarse los siguientes elementos:
· documentos en papel,
· grabaciones de voz o sonido,
· papel carbónico,
· informes de entrada/salida de personal,
· cintas de impresora de un solo uso,
· cintas magnéticas. de cualquier tipo,
· discos removibles y/o diskettes,
· medios de almacenamiento óptico en todos los formatos (Ejemplos, CD-ROM, CDŽs regrabables, DVD-ROM, DVDŽs regrabables). Se incluyen los medios de distribución de software del fabricante o proveedor,
· listados de programas, soportados en cualquier medio (papel, magnético, óptico, etc.),
· datos de prueba, soportados en cualquier medio (papel, magnético. óptico, etc.)
· documentación de sistema, soportada en cualquier medio (papel, magnético, óptico, etc.),
· dispositivos de almacenamiento con memoria flash o similar (pen-drives, reproductores, cámaras fotográficas digitales, etc)
Pueden contratarse organizaciones dedicadas a servicios de recolección y eliminación de papeles, equipos y medios. Para la selección del contratista se tendrán en cuenta la aptitud, la experiencia y los equipos adecuados.
Deberán implementarse controles y procedimientos que contemplen la selección, recolección y eliminación segura de datos, tomando en cuenta la adecuada separación de elementos sensibles.
8.9.4. Procedimientos de Manejo de la Información
Se definirán procedimientos para el manejo y almacenamiento de la información de acuerdo, según la clasificación establecida en el capítulo 5-Clasificación y Control de Activos.
Los procedimientos de manejo de información deben considerar:
a) documentos,
b) sistemas informáticos,
c) servidores de archivos compartidos,
d) redes,
e) computación y comunicaciones móviles,
f) computadoras portátiles,
g) correo electrónico y de voz,
h) comunicaciones de voz en general, multimedia,
i) máquinas de fax,
j) elementos sensibles, por ej. facturas y cheques en blanco,
Se deben tener en cuenta los siguientes controles (ver también Puntos 5.4 y 8.10.2):
a) manejo y rotulado de todos los medios,
b) restricciones de acceso a personal no autorizado,
c) mantenimiento de listados de distribución autorizados,
d) protección de datos en espera (ejemplo: datos en colas de impresión) dentro de un nivel consecuente con el grado de sensibilidad de los mismos,
e) almacenamiento de medios en ambientes acordes a las especificaciones de los fabricantes o proveedores;
f) distribución de datos a nivel acorde con las condiciones de operatividad del MTEySS,
g) control de archivos almacenados en los servidores, por ejemplo: por tamaño, ubicación en los servidores, permisos, antigüedad, etc.. Esta tarea deberá efectuarse por los Responsables Primarios y de Sistemas.
8.9.5. Seguridad de la Documentación del Sistema
La documentación del sistema puede contener información sensible, por lo que se tendrán en cuenta recaudos para su protección, El Responsable Primario de la información deberá considerar los siguientes puntos:
a) autorizar formalmente los accesos a la información relativa al sistema al personal estrictamente necesario;
b) almacenar la documentación del sistema en forma segura.
8.10. Resguardo de la Información del MTEySS
8.10.1. Objetivo
Los datos del MTEySS se protegerán contra pérdida, destrucción y/o falsificación.
Se efectuará una clasificación de la información (ver Punto 5.5.), para garantizar el cumplimiento de requisitos legales y normativos, así como para respaldar actividades esenciales del Organismo.
Asimismo, se tipificará la información según su uso, por ej. registros contables, base de datos, registros de auditoría y procedimientos operativos, etc.. En cada uno de ellos se indicará el medio de almacenamiento, (papel, microfichas, medios ópticos, cintas magnéticas, etc.) y el período de conservación.
En el caso de claves criptográficas asociadas a archivos cifrados, éstas se mantendrán en forma segura, estando disponibles para su uso por parte de usuarios autorizados, cuando se requiera (Ver Punto 10.8. Controles Criptográficos).
8.10.2. Procedimientos de Resguardo y Conservación de Datos
El Responsable de Sistemas, junto con los Responsables Primaros, definirá los medios de resguardo, el período en que la información permanecerá almacenada (período de conservación), y la frecuencia de resguardo.
La definición de los resguardos deberá tener en cuenta la clasificación de datos que hayan efectuado los Responsables Primarios.
El Responsable de Sistemas definirá procedimientos de resguardo de la información, teniendo en cuenta la clasificación y tipo de datos, los sistemas, y los medios de almacenamiento a utilizar. Deberá indicarse, asimismo, una frecuencia para pruebas de restauración, a fin de garantizar la integridad de la información resguardada.
El sistema de almacenamiento garantizará una clara identificación de los datos. Asimismo, se permitirá una adecuada destrucción, una vez transcurrido el período de conservación.
Se tomarán las siguientes medidas:
a) lineamientos para resguardo, almacenamiento, período de conservación de los datos del MTEySS,
b) preparar un cronograma de retención identificando los tipos esenciales de registros y el período durante el cual conservarse,
c) Mantener un inventario de programas fuentes de información clave,
d) implementar controles para proteger la información y los registros esenciales contra pérdida, destrucción y falsificación.
El Responsable de Sistemas llevará un registro de la actividad, tomando como base la siguiente tabla:
|
Tipo de Dato |
Sistema de Información |
Período de Conservación |
Medio de Almacenamiento |
Responsable Resguardo |
|
| |
||||
Los procedimientos de almacenamiento y manipulación de medios se implementarán de acuerdo con las recomendaciones del fabricante (Ver Puntos 8.4. y 8.7). Se deberá garantizar la capacidad de acceso a los datos (tanto legibilidad de formato como de medios) durante todo el período de conservación de los datos. Se tendrá en cuenta, además, una protección contra pérdidas ocasionadas por futuros cambios tecnológicos.
Los sistemas de almacenamiento garantizarán que los datos puedan recuperarse en tiempo y forma aceptables para los quienes lo requieran.
8.11. Intercambio de información y software
8.11.1. Objetivo
Impedir la pérdida, modificación o uso inadecuado de la información que se procesa entre Organismos.
El intercambio de información y software entre Organismos debe ser controlado, consecuente con la legislación aplicable (ver Punto 12), y bajo acuerdos existentes.
Se establecerán normas y procedimientos para proteger la información y los medios en tránsito. Se deben considerar implicancias de seguridad y controles relacionados con el intercambio de datos, el correo electrónico, y sistemas de acceso via redes (Internet, Intranet o similares).
8.11.2. Acuerdos de Intercambio de Información y Software
Deberá especificarse el grado de sensibilidad de la información del MTEySS que se intercambia Se tendrán en cuenta los siguientes aspectos:
a) responsabilidades en el control y la notificación de transmisiones, envío y recepción,
b) normas y procedimientos para notificar emisión, envío y recepción,
c) especificaciones técnicas para la estructura de transmisión.
d) pautas para la identificación del prestador del servicio de transmisión de datos,
e) responsabilidades y obligaciones en caso de pérdida de información,
f) determinación del rotulado de información clasificada, garantizando la inmediata comprensión de los rótulos, y la protección adecuada de los datos,
g) términos y condiciones de la licencia bajo la cual se suministra el software de transmisión de datos,
h) propiedad de la información suministrada y condiciones de uso,
i) si se requiere, normativa técnica para grabar y/o leer la información y el software,
j) controles especiales para proteger ítems sensibles, (claves criptográficas, firma digital, etc.).
8.11.3. Seguridad de los Medios en Tránsito
A fin de salvaguardar los medios informáticos en tránsito, deben aplicarse los siguientes controles:
a) utilizar medios de transporte o servicios de mensajería confiables. Los Responsables Primarios deben contar con una lista de servicios de mensajería, con idoneidad y experiencia comprobable. El Comité de Seguridad podrá implementar un procedimiento para requerir y verificar los datos consignados,
b) verificación del embalaje, para proteger al contenido contra eventuales daños físicos durante el transporte, según especificaciones de los fabricantes o proveedores de los medios,
c) adopción de controles especiales, cuando resulte necesario, con el fin de proteger la información sensible contra divulgación o modificación no autorizadas. Entre los ejemplos se incluyen
uso de recipientes cerrados.
· entrega en mano.
· embalaje a prueba de apertura no autorizada, que permita detectar cualquier intento de acceso.
· división de la mercadería en más de una entrega y envío por diferentes rutas, si se requiere.
8.11.4. Seguridad de la interoperabilidad y el Gobierno Electrónico
Todas las medidas vinculadas al Plan de Gobierno Electrónico del MTEySS se dictarán conforme lo dispuesto por el Decreto Nș 378/2005.
Se debe tomar en cuenta la protección con que cuentan los servidores utilizados, y la seguridad de las conexiones de red requeridas para su implementación (ver Punto 9.7).
El Responsable de Sistemas y Seguridad Informática verificará que las aplicaciones de interoperabilidad y Gobierno Electrónico incluyan los siguientes aspectos:
a) Autenticación: nivel de confianza recíproca suficiente sobre la identidad del usuario y el MTEySS.
b) Autorización: niveles adecuados para establecer disposiciones, emitir o firmar documentos clave, etc. Deberá establecerse la forma de comunicarlo a la otra parte de la transacción electrónica.
c) Procesos de oferta y contratación pública: requerimientos de confidencialidad, integridad, prueba de envío y recepción de documentos clave y no repudio de contratos.
d) Trámites en línea: confidencialidad, integridad, confirmación de recepción y no repudio de los datos suministrados con respecto a trámites y presentaciones ante el Estado.
e) Verificación: nivel apropiado de constatación de los datos suministrados por los usuarios.
f) Cierre de la transacción: establecer la forma más adecuada de finalizar el intercambio, para evitar fraudes.
g) Protección a la duplicación: asegurar que una transacción sólo se realice una vez, a menos que se especifique lo contrario.
h) No repudio: establecer la manera de evitar que una entidad que haya enviado o recibido información alegue que no la envió o recibió.
i) Responsabilidad: asignación de responsabilidades ante el riesgo de presentaciones, tramitaciones o transacciones fraudulentas.
Para implementar lo mencionado en los párrafos anteriores, se deberá incorporar la aplicación de técnicas criptográficas (ver 10.8.3. Política de Utilización de Controles Criptográficos), considerando el cumplimiento de requisitos legales emanados de toda la normativa vigente (ver Punto 12).
8.11.5. Sistemas de Acceso Público y Semi-Público
Se tomarán recaudos para proteger la integridad de la información del MTEySS ubicada en accesos públicos o semipúblicos, de manera de prevenir modificaciones no autorizadas o intrusiones.
Un sistema de acceso público o semi-publico es aquel que procesa o difunde datos accesibles desde Internet, Intranet u otras redes conectadas a los sistemas del MTEySS.
Como requisito previo a la publicación de información en dominio público o semi-público, deben verificarse las autorizaciones formales que correspondan. Los responsables de dichas autorizaciones estarán claramente definidos.
Los sistemas de acceso público o semi-público deberán tener en cuenta lo siguiente:
a) la información obtenida y/o publicada debe ajustarse a las leyes y normativas vigentes, en especial la Ley de Protección de Datos Personales,
b) la información y/o sistemas a publicarse deben haber seguido las etapas de desarrollo, prueba y producción (ver Puntos 8.4.5, 8.4.6 y 8.5.3).
c) se protegerá adecuadamente la información sensible que se publique en los ambientes de Internet o Intranet, tanto durante los procesos de ingreso de datos como en el posterior almacenamiento.
d) el sistema de publicación debe inhibir accesos no autorizados a las redes internas u otras a las cuales éste se conecte,
e) el Responsable Primario de los sistemas de publicación designará formalmente al responsable de la publicaciones de información en Internet o Intranet,
f) se garantizará la validez y vigencia de la información publicada,
g) se instalarán sistemas de filtrado de acceso a Internet por parte de empleados y personal jerárquico del MTEySS (ver también Puntos 2.12, 3.4.11 y 9.7.8).
8.11.6 Otras formas de intercambio de información
La información puede verse comprometida debido a la falta de concientización y/o políticas acerca del uso de diferentes medios de comunicación.
Las siguientes configuran situaciones que pueden poner en riesgo la confidencialidad y/o integridad de los datos del MTEySS:
· conversar por teléfono celular lugares públicos,
· escuchar mensajes grabados en un contestador automático,
· envío accidental de un fax a la persona equivocada,
· almacenamiento no autorizado de información en dispositivos móviles (pendrives, cámaras ditiales, reproductores, etc).
Se deben establecer políticas claras con respecto a los procedimientos a seguir por los usuarios, al establecer comunicaciones de voz, fax y vídeo.
Asimismo, debe considerarse la registración y el uso que se le da a los dispositivos móviles, con respecto a la información del MTEySS.
La concientización considerará los siguientes aspectos:
a) proteger la información sensible que pudiera ser escuchada o interceptada, en una llamada telefónica, por:
· personas cercanas, en especial al utilizar teléfonos móviles;
· intervención de la línea telefónica, y otras formas de escucha subrepticias, a través del acceso físico al aparato, a la línea telefónica, o mediante equipos de barrido de frecuencias (scanners);
· personas en el lado receptor;
b) no mantener conversaciones confidenciales en lugares públicos, oficinas abiertas o lugares de reunión con paredes delgadas;
c) no dejar mensajes en contestadores automáticos. Existe el riesgo que éstos sean escuchados por personas no autorizadas, almacenados en sistemas públicos, o dejados incorrectamente por un error de discado,
d) verificar el uso de máquinas de fax, teniendo en cuenta:
· acceso no autorizado a los sistemas de almacenamiento de mensajes;
· programación deliberada o accidental para enviar mensajes a determinados números,
· envío de documentos y mensajes a un número equivocado por errores de discado,
e) registrar los usuarios de dispositivos móviles, los equipos a los cuales son conectados y el tipo de uso que le dan, con respecto a la información del MTEySS. Dicho registro debe requerirse a los Responsables de la Información, y debe elevarse al Comité de Seguridad, para que éste efectúe las evaluaciones necesarias.
8.12. Seguridad del correo electrónico corporativo
8.12.1. Generalidades y Objetivo
El correo electrónico ha reemplazado a formas tradicionales de comunicación, como télex y correo postal. El correo electrónico difiere de éstas por su superior velocidad, estructura de mensajes, grado de informalidad y vulnerabilidad a las acciones no autorizadas.
La transferencia electrónica de mensajes y/o datos ha transformado al servicio de correo en una herramienta indispensable para la operatividad cotidiana del MTEySS.
Se define como correo electrónico corporativo al servicio de red que permite transferir mensajes dentro del ámbito de la Organización, así como desde/hacia Internet. Por otra parte, se denomina correo personal a una casilla de correo electrónico privado, instalada y empleada en un puesto de trabajo del MTEySS.
Para que los usuarios del MTyESS puedan utilizar el servicio de correo electrónico corporativo, se pone a su disposición una serie de recursos técnicos, a saber:
· cliente de correo, programa instalado en el puesto de trabajo del usuario, y mediante el cual se crean y se envían mensajes, así como se reciben y consultan mensajes remitidos por otros usuarios internos o ajenos a la Organización,
· servidor de correo, sistema que administra la correcta transmisión de mensajes entre clientes de correo, internos o ajenos a la Organización,
· cuenta de correo, identificación lógica del origen y destino de los mensajes de correo. Una cuenta de correo se asocia a una persona (cuenta personal), a una Organización (cuenta genérica), puede utilizarse como parte de un sistema (cuenta operativa), o puede indicar a un grupo de personas que transmite mensajes (cuenta grupal).
Se establece que una cuenta de correo corporativo es una herramienta de trabajo, provista al empleado para ser utilizada conforme a los objetivos de la Organización.
El MTEySS no ejercerá potestad ni responsabilidad alguna sobre cuentas de correo privado instaladas en puestos de trabajo de la Organización. El uso de las mismas no podrá interferir, obstruir o poner en riesgo al funcionamiento de los servicios de red del MTEySS.
En salvaguarda a la dignidad del trabajador, y su derecho a la intimidad, el MTEySS debe informar claramente a los usuarios:
a) cuál es el uso esperado del servicio de correo electrónico corporativo,
b) condiciones en las que el Organismo otorga cuentas de correo corporativo,
c) condiciones en las que el Organismo podrá controlar y/o monitorear los mensajes de correo corporativo.
El MTEySS implementará controles destinados a velar por la protección y el buen uso del correo corporativo, mitigando los riesgos de seguridad que acarrea el servicio. Dichos riesgos comprenden:
a) acceso o modificación no autorizados,
b) negación de servicios,
c) consideraciones legales, tal como la no disponibilidad de prueba de origen, envío, entrega y aceptación,
d) transferencia de información sensible a usuarios ajenos al Organismo,
e) delegación de uso de las cuentas de correo corporativo (p. ej.: cuando se trata de cuentas
genéricas),
f) uso del correo del correo corporativo en lugares remotos (p.ej.: acceso a la cuenta de correo desde un programa navegador de Internet),
g) intercepciones y acceso no autorizado a los mensajes.
h) vulnerabilidades por errores, por ejemplo, direcciones de correo erróneas, suscripciones a listas de correo no autorizadas, exposición a recepción de virus, adjuntar archivos de tamaño excesivo o no autorizado, etc.,
i) confiabilidad y disponibilidad general del servicio,
j) posible recepción y redistribución de código malicioso, virus, correo no solicitado, etc., que afecte la seguridad del puesto de trabajo receptor, o a la red del MTEySS,
k) impacto de cambios en aplicativos que utilicen el correo como herramienta de interoperabilidad entre Organismos,
l) uso inadecuado por parte del personal, por ejemplo, uso de cuentas operativas para envío de mensajes personales, envío no autorizado de mensajes de correo masivo, etc. Ver Punto 6.4.4,
8.12.2. Política de Correo Electrónico
El Responsable de Sistemas y Seguridad Informática definirá y documentará normas y procedimientos claros con respecto al uso del servicio de correo del MTEySS.
Se considerarán los siguientes aspectos:
a) definición de los alcances del uso del correo electrónico, por parte del empleados y personal jerárquico del MTEySS, según lo establecido en los Puntos 2.12 y 3.4.11. Ver además Punto 6.4.4,
b) definición de los alcances de la interconexión del servicio de correo con aplicativos y sistemas que así lo requieran,
c) definición de los alcances del uso que terceras partes u Organismos ajenos al MTEySS, según lo establecido en los Puntos 2.12 y 3.4.11, hagan del correo. Por ejemplo: como herramienta de transmisión de datos, dentro de aplicativos accedidos por terceras partes u Organismos (cuenta operativa),
d) protección de mensajes y archivos adjuntos contra ataques, por ejemplo virus, intercepción, acceso no autorizado, etc.,
e) definición de tipos de cuentas según el uso, por ejemplo: cuentas personales, cuentas asignadas a aplicativos (operativas), cuentas grupales o genéricas, etc. (ver Puntos 8.12.1 y 9.8.4),
f) definición de responsabilidades de uso del correo corporativo según los tipos de cuentas establecidos;
g) empleo de técnicas criptográficas para proteger la confidencialidad e integridad de los mensajes electrónicos (Ver 10.8. Controles Criptográficos),
h) retención de mensajes que, si se almacenaran, pudieran ser usados en caso de litigio,
i) definición de parámetros que garanticen el correcto funcionamiento del servicio, por ejemplo: tamaño máximo del mensaje transmitido y/o recibido, cantidad de destinatarios, tamaño máximo del archivo de mensajes de la cuenta de usuario, tipos de archivos autorizados como adjuntos en los mensajes, etc.,
j) resguardo y recuperación de los archivos de correo,
k) potestad del MTEySS para auditar los mensajes recibidos o emitidos por los servidores del Organismo, cuando las circunstancias lo exijan (ver Puntos 6.4.2 y 6.4.3),
Se deben considerar las normas vigentes, que prohíben a los empleados y personal jerárquico a hacer uso indebido del patrimonio estatal, o utilizarlo para fines particulares.
Asimismo, se impone la obligación de usar los bienes y recursos del estado con los fines autorizados y de manera racional, evitando abuso, derroche y desaprovechamiento. (Ver Punto 12.5.6. Prevención del Uso Inadecuado de los Recursos de Procesamiento de Información).
8.13. Seguridad de los Sistemas Electrónicos de Oficina
El MTEySS implementará lineamientos para controlar los riesgos de seguridad relacionados con los sistemas de oficina, a saber: computadoras, computación móvil, comunicaciones móviles, correo, comunicaciones de voz en general, multimedia, servicios o instalaciones postales, equipos de fax, etc.
Los aspectos relacionados con la seguridad y las actividades propias del MTEySS, a considerar son:
a) vulnerabilidades de la información en los sistemas de grabación de llamadas telefónicas o tele conferencia, confidencialidad de las llamadas, almacenamiento de faxes, y la apertura o distribución del correo
b) procedimientos y controles para administrar la distribución de información, por ejemplo: empleo de boletines electrónicos institucionales, Intranet, etc.
c) inhibir la distribución de información sensible cuando los sistemas adolecen de un adecuado nivel de protección.
d) inhibir el acceso a la información de actividades que desarrollan quienes trabajan en proyectos sensibles,
e) aptitud de los sistemas para soportar una adecuada comunicación de órdenes o autorizaciones,
f) identificación del personal, contratistas o terceras partes a quienes se les proporciona acceso a sistemas, por ejemplo: funciones, roles, ubicación, según lo indicado en los Puntos 2.12 y 3.4.11,
g) identificación de información en directorios o carpetas ajenas a las del sector de competencia,
h) determinación de las ubicaciones físicas desde donde se puede acceder a los sistemas y la información del MTEySS,
i) restricción del acceso a determinadas instalaciones informáticas,
j) requerimientos y disposiciones relativos sistemas de soporte, reposición de partes en garantía, etc.,
k) acceso remoto a los servicios informáticos (por. ej.: redes privadas virtuales, sistema de Webmail, etc),
l) control de la administración del puesto de trabajo (p. ej.: posibilidad que el usuario instale o no programas, elimine archivos, etc). Ver Punto 6.4.2
m) almacenamiento y resguardo de la información en los puestos de trabajo. Ver Punto 6.4.2.
8.14. Seguridad de los Sistemas de Archivos Compartidos
Se deben preparar e implementar políticas y lineamientos para controlar los riesgos de seguridad relacionados la información que se graba en servidores. La Dirección de Sistemas Informático verificará, además, que la información de la Organización no se almacene en puestos de trabajo.
En esta tarea se requerirá la participación de los Responsables Primarios.
Se considerarán aspectos relacionados con la seguridad y las actividades propias de los usuarios del MTEySS, incluyendo:
a) vulnerabilidades por archivos infectados por virus, software malicioso, archivos no autorizados, archivos personales, etc.,
b) clasificación de la información almacenada en servidores de archivos (ver Punto 5.5). El Responsable Primario deberá definir, además, los tipos de archivos que podrán almacenarse en los servidores,
c) tamaño ocupado por los archivos. El Responsable Primario deberá informar sobre el espacio máximo estimado de archivos a almacenar en los servidores. Esa tarea persigue mantener un espacio de almacenamiento adecuado y eficiente en los servidores,
d) el responsable de Sistemas implementará un esquema de resguardo de la información, adecuado a la clasificación de información que se haya establecido,
e) antigüedad de permanencia de archivos en los servidores. El Responsable Primario deberá indicar el período de máximo de permanencia de archivos en los servidores. Esta tarea persigue evitar la presencia de archivos no usados,
f) definición de permisos sobre los recursos. El Responsable de Sistemas definirá la estructura de recursos compartidos y permisos (administrativos y de usuarios) que tendrán los servidores. El Responsable Primario definirá qué permisos de usuarios se aplicarán sobre la información de su competencia,
g) el Responsable de Sistemas podrá implementar la instalación de sistemas de límite de almacenamiento por recurso compartido (quotas) y de filtros de tipos de archivos a grabar en los servidores.
9. CONTROL DE ACCESOS
Deben implementarse procedimientos formales que controlen la asignación de derechos de acceso a los sistemas de información, bases de datos, servicios, documentos, planillas, etc. Dichos procedimientos estarán claramente documentados, comunicados, verificándose su cumplimiento.
Los procedimientos abarcarán todas las etapas del ciclo de vida de los accesos de los usuarios de todos los niveles. Deben contemplarse:
· etapa inicial, otorgamiento de derechos de acceso a nuevos usuarios,
· etapa intermedia, cambio de derechos de acceso por nuevos requerimientos de trabajo, desplazamiento a otras áreas del MTEySS, o porque ya no se requieren.
· eliminación de los derechos por baja de los usuarios.
Para lograr una seguridad eficaz, es esencial la cooperación de los usuarios. Para ello, se requiere concientizar sobre las responsabilidades que caben en el mantenimiento de controles de acceso, particular en lo atinente a contraseñas y el uso seguro del equipamiento.
Son usuarios a todas aquellas personas u Organismos indicados en el Punto 2.12, y que requieran acceder a los servicios de datos y sistemas del MTEySS. Los mismos deben asumir las responsabilidades indicadas en el Punto 3.4.11.
9.1. Objetivos
Controlar el acceso a los sistemas de información, bases de datos y servicios, a partir de los requerimientos de seguridad y de los objetivos establecidos para el MTEySS.
Implementar seguridad en los accesos por medio de técnicas de identificación, autenticación y autorización.
Controlar la seguridad en la interoperabilidad entre la red del Organismo y otras redes públicas o privadas.
Registrar y revisar eventos y/o actividades críticas llevadas a cabo por los usuarios en los sistemas.
Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. Para ello se deben tener en cuenta las políticas de difusión y autorización de la información:
Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.
9.2. Alcance
Las políticas se aplicarán sobre todas las formas de acceso de los usuarios, según lo definido en los Puntos 2.12 y 3.4.11, que utilicen sistemas, bases de datos o servicios de información prestados por el MTEySS.
La Dirección de Sistemas Informáticos que instala, administra y/o mantiene los permisos de acceso y las conexiones de red, deberá observar, aplicar y/o verificar las políticas que se definan en el presente documento.
9.3. Responsabilidades
El Responsable de Sistemas y Seguridad Informática tendrá a su cargo:
a) definir normas, procedimientos y configuraciones para: la gestión de accesos a todos los sistemas, bases de datos y servicios de información del MTEySS,
b) implementar los métodos de autenticación y control de acceso definidos para los sistemas, bases de datos y servicios.
c) implementar pautas para los controles de accesos, a saber:
· identificación, autenticación de usuarios y administración de contraseñas,
· administración de permisos
· utilización de servicios de red
· identificación y autenticación de nodos
· uso controlado y restringido de utilitarios del sistema operativo, con el establecimiento de alarmas adecuadas
· desconexión de terminales por tiempo muerto de uso,
· limitación del horario de conexión a la red,
· registro de eventos,
· protección de las redes, mediante implementación de subredes, limitación de puertos de acceso, control de conexiones, control de ruteo de red, etc.,
d) evaluar los riesgos sobre las instalaciones de procesamiento de información, con el objeto de definir medios de acceso físico (ver Punto 7.4-Areas Seguras),
e) definir las tecnologías de identificación y autenticación de usuarios adecuadas para la Organización (Ej.: biometría, verificación de firmas, autenticadores de hardware, etc.),
f) implementar los accesos remotos a la red del MTEySS, adoptando todas las medidas de seguridad de la información que correspondan, y cumpliendo con las normas vigentes.
g) monitoreo del uso del equipamiento e instalaciones informáticas, el uso de computación móvil, y el acceso remoto. Se deberán reportar todos los incidentes de seguridad relacionados
h) dar respuesta a la activación de alarmas. Se deberán revisar los registros de actividad y efectuar un ajuste de relojes de los sistemas según un estándar preestablecido.
i) definir pautas de utilización de Internet e Intranet, estableciendo procedimientos formales para la solicitud y aprobación de accesos. Se deberán implementar medidas para efectivizar los controles de acceso para todos los usuarios;
j) implementación de subdivisiones de la red (por ejemplo, mediante Redes LAN Virtuales), por medio de routers y/o gateways, recomendando los esquemas más seguros, eficientes y apropiados para la red del MTEySS.
k) definición de normas y procedimientos de seguridad, así como su implementación en los sistemas operativos, servicios de red, y sistemas de comunicación (switches, routers, gateways, etc.). Los procedimientos deberán revisarse y validarse periódicamente.
l) controlar la asignación de permisos a usuarios. Se deberán implementar procedimientos formales para otorgar o bloquear los derechos de acceso a la red de acuerdo a la correspondiente autorización del Responsable Primario,
m) definir e implementar un proceso formal y periódico de revisión de los permisos de acceso a la información. Esta tarea se efectuará conjuntamente con los Responsables Primarios de la Información,
n) definir e implementar registros de auditoría de eventos de los sistemas operativos, los procesos y las comunicaciones,
o) implementar el registro de eventos o actividades de usuarios de acuerdo a lo definido por los propietarios de la información, así como la depuración de los mismos,
p) definir un cronograma de depuración de los registros de auditoría en línea. Esta tarea se efectuará en conjunto con Unidad de Auditoría Interna, y se hará en función de normas vigentes y las necesidades propias del Organismo,
q) concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de trabajo,
r) verificar el cumplimiento de las revisiones de registros de auditoría,
s) asistir a los usuarios en los análisis de riesgo a los que se expone tanto a la información y
como a los dispositivos informáticos de soporte,
Los Responsables Primarios de la Información estarán encargados de:
a) evaluar los riesgos a los que se expone la información, con el objeto de determinar los controles de accesos, autenticación y permisos de uso a implementarse en cada caso,
b) definir los eventos y actividades de los sistemas a registrar, para los usuarios del área. También se indicará la periodicidad de revisión de dichos eventos. La Dirección de Sistemas Informáticos asistirá a los Responsables Primarios, en esta tarea,
c) autorizar y solicitar la asignación de los permisos de acceso a los usuarios de su área, tanto a los servicios, recursos de red y accesos a Internet o Intranet,
d) autorizar y justificar las solicitudes de acceso a trabajo remoto por parte del personal a su cargo.
La Unidad de Auditoría Interna tendrá acceso a los registros de eventos a fin de colaborar en el control, y efectuar recomendaciones sobre cambios en los aspectos de seguridad.
El Comité de Seguridad de la Información verificará los análisis de riesgos de la información efectuados, así como los registros de auditoría generados.
9.4. Requerimientos para el Control de Accesos
9.4.1. Política de Control de Accesos
Las reglas y derechos de accesos de los usuarios deben ser claramente establecidos. Asimismo, los proveedores de servicio deberán indicar, en forma precisa, los requerimientos técnico-comerciales que satisfacen a los controles de acceso establecidos.
Se contemplarán los siguientes aspectos:
a) identificación de los requerimientos de seguridad y de la información relacionada con cada una de las aplicaciones,
b) establecer políticas de divulgación y autorización de información, de acuerdo con el principio de necesidad de conocer, los niveles de seguridad y la clasificación de la información. Se verificará que exista una coherencia de criterios entre las políticas y controles de acceso y lo relacionado con la clasificación de la información (Ver punto 5. Clasificación y Control de Activos y Capítulo 7-Seguridad Física y Ambiental),
c) identificar la legislación aplicable y/o las obligaciones contractuales que emanen de la protección del acceso a datos y servicios,
d) definir los perfiles de acceso de usuarios, comunes a cada categoría de puestos de trabajo,
e) establecer los tipos de conexiones de red disponibles, administrando los derechos de acceso que correspondan a ambientes distribuidos.
9.4.2 Reglas de control de accesos
Al especificar las reglas de control de acceso, se debe considerar lo siguiente:
a) diferenciar entre reglas obligatorias, optativas o condicionales,
b) establecer reglas sobre la base del mínimo privilegio requerido para trabajar sobre los sistemas, bases de datos o servicios,
c) establecer reglas sobre la base de la premisa "Todo está generalmente prohibido a menos que se permita expresamente", por encima de la regla mas débil "Todo está permitido a menos que se prohíba expresamente",
d) establecer lineamientos en los cambios automáticos de los rótulos de información, por medio de aplicativos o sistemas, versus aquellos el usuario inicia según su criterio (Ver Capítulo 5. Clasificación y Control de Activos),
e) controlar cambios en los permisos de usuario, efectuados automáticamente por el sistema operativo de red, y/o aquellos que efectúa el administrador;
f) definir las reglas que requieren autorización del Responsable Primario, antes de entrar en vigencia, y aquellas que no la requieren.
9.5. Administración de Accesos de Usuarios
9.5.1. Objetivo
Impedir el acceso no autorizado en los sistemas de información.
Se deben implementar procedimientos formales que controlen la asignación de permisos, abarcando el registro inicial de nuevos usuarios, la modificación por requerimientos de trabajo o desplazamiento de área, hasta la revocación y eliminación final para aquellos ya no requieren acceso.
Se debe conceder especial atención a la asignación de derechos que permitan pasar por alto los controles de sistema.
9.5.2. Registración de Usuarios
El Responsable de Sistemas y Seguridad Informática definirá un procedimiento formal de registro de usuarios, a fin de otorgar y/o revocar el acceso a todos los sistemas, bases de datos y servicios de información del MTEySS.
Dicho procedimiento debe estipular:
a) uso de cuentas de usuario únicas, de manera detectar a cada persona por sus acciones. Se evitará, en la medida de lo posible, la existencia de múltiples perfiles de acceso para un mismo empleado. Asimismo, deberá verificarse, periódicamente, la existencia de cuentas redundantes, a fin de bloquearlas y/o eliminarlas,
b) permitir el empleo de cuentas grupales y/o genéricas para el uso conveniente del correo electrónico. El Responsable Primario definirá aquellos usuarios de su área que harán uso de estas cuentas, indicando los permisos que correspondan,
c) permitir el empleo de cuentas grupales y/o genéricas en aplicativos, cuando éstos lo requieran. Los usuarios no tendrán acceso a estas cuentas,
d) Se establecerán cuentas genéricas o grupales diferentes para cada uno de los ambientes desarrollo, prueba y producción, donde se encuentre instalado el aplicativo (ver Puntos 8.4.2, 8.4.5. y 8.4.6),
e) implementar los permisos de acceso sólo si se verifica que el usuario tiene autorización formal del Responsable Primario de la Información;
f) verificar que los permisos de acceso a otorgar sean adecuados para el propósito y función del usuario, en total coherencia con las presentes Políticas de Seguridad de la Información del MTEySS. El Responsable Primario deberá asesorarse sobre los riesgos a la seguridad que impliquen otorgar accesos indebidos, o pertenecientes a áreas que no son de su incumbencia. El Comité de Seguridad deberá verificar el estricto cumplimiento de este control,
g) entregar a los Responsables Primarios un detalle escrito de los derechos de acceso y recursos disponibles para los usuarios que accedan a sistemas y/o datos de su área,
h) mantener un registro formal de todas las personas autorizadas para utilizar los servicios. El Responsable de Sistemas brindará una copia periódica de dicho registro a los Responsables Primarios, a la Unidad de Auditoría Interna y al Comité de Seguridad,
i) requerir que los usuarios se notifiquen que conocen y aceptan los derechos y responsabilidades emanadas de los permisos de acceso a la información (Ver Punto 6.4.4. Notificación de Responsabilidad y Buen Uso de los Recursos de Información),
j) el Responsable de Sistemas Informáticos gestionará los accesos que se requieran ante los proveedores de servicios. Los mismos sólo se brindarán a los usuarios si se cuenta con la debida autorización formal de los Responsables Primarios.
k) se establecerán los mecanismos formales de comunicación sobre los usuarios que cambian sus tareas, se desvinculan del MTEySS, o sufrieron pérdida/robo de credenciales de acceso. Esta es una tarea conjunta entre los Responsables Primarios, el Responsable de Seguridad y Servicios Generales y el Responsable de Recursos Humanos, quien deberá informar de inmediato al Responsable de Sistemas, para modificar, eliminar o bloquear los permisos de acceso según el caso,
l) inhabilitar cuentas inactivas por más de 180 días. Se informará al Responsable Primario, quien autorizará a la habilitación de la cuenta o su baja definitiva,
m) eliminar cuentas inactivas por más de 300 días,
n) garantizar que cada cuenta de usuario sea utilizada exclusivamente por el titular de la misma. En casos de excepción, el Responsable Primario deberá notificar a la Dirección de Sistemas, quien a su vez consultará sobre su aplicabilidad al Comité de Seguridad de la Información.
Los contratos de personal, terceros y/o de servicios deberán contener cláusulas que especifiquen sanciones ante la violación de los controles de acceso autorizados (ver Puntos 6.4.3, 6.4.4 y 6.4.5).
9.5.3. Administración de Privilegios
El uso inadecuado de privilegios que permitan a un usuario pasar por alto los controles de seguridad informático es una causa frecuente de fallas en los sistemas informáticos.
Por lo tanto, se deberá ejercer un estricto control en la asignación y uso de privilegios, mediante procedimientos formales de autorización.
Se deben tener en cuenta los siguientes aspectos:
a) identificación de los privilegios asociados a cada producto: sistema operativo, base de datos y/o aplicativo. Deberán definirse las categorías de personal a las cuales se asignarán los privilegios,
b) asignar privilegios sobre la base del mínimo permiso necesario y la necesidad de uso de acuerdo al rol funcional del usuario,
c) implementar procedimientos de autorización y registro de todos los privilegios asignados,
d) no otorgar privilegios sin haber completado el proceso formal de autorización,
e) establecer períodos de vigencia los privilegios brindados, en base a la utilización que se le dará a los mismos. Los mismos serán revocados al finalizar su uso,
f) desarrollar rutinas del sistema operativo para evitar la necesidad de otorgar privilegios a los usuarios,
Los Responsables Primarios de la Información serán los encargados de autorizar y requerir la asignación de privilegios a los usuarios. El Responsable de Sistemas y Seguridad Informática supervisará e implementará los pedidos.
9.5.4. Administración de Contraseñas de Usuario
Las contraseñas constituyen un medio común de validación de la identidad de un usuario para acceder a un sistema o servicio informático. La asignación de contraseñas debe controlarse a través de un proceso de administración formal, mediante el cual debe llevarse a cabo lo siguiente:
a) los usuarios firmarán una declaración de compromiso de mantener en secreto las contraseñas de sus cuentas (red, correo, aplicativos, etc..). Esta declaración se incluirá en la Notificación de Responsabilidad y Buen Uso de los Recursos de Información (Ver Punto 6.4.4.) o en los acuerdos o contratos firmados con terceras partes u Organismos ajenos al MTEySS.
b) se implementará el uso de contraseñas provisorias. Las mismas se asignarán a usuarios, ya sean nuevos o cuando hayan olvidado su contraseña. El titular de la cuenta deberá cambiar dicha contraseña la primera vez que ingrese a los sistemas.
c) las contraseñas provisorias se suministrarán una vez que el Responsable Primario haya autorizado formalmente su asignación,
d) se recomienda generar contraseñas provisorias seguras. Debe evitarse la participación de terceros, tanto en la generación como en la entrega de la misma. Si se emplea correo electrónico, se recomienda entregar la contraseña por medio de mensajes cifrados, con acuse de recibo por parte del usuario,
e) en caso que ser necesario, utilizar tecnologías de autenticación y autorización de usuarios, como ser verificación de firma digital, uso de autenticadores de hardware (p. ej.: tarjetas de circuito integrado), biometría (p. ej.: verificación de huellas dactilares), etc. El Responsable de Sistemas y Seguridad evaluará y propondrá el empleo de estas herramientas al Comité de Seguridad,
f) configurar los sistemas de tal manera que las contraseñas tengan una longitud mínima de 8 caracteres (actualidad, en 5 caracteres),
g) bloquear la cuenta por el lapso de 5 minutos cuando el usuario haya efectuado 3 intentos de ingresar con una contraseña incorrecta. El usuario podrá solicitar una rehabilitación manual de la cuenta, para lo cual deberá solicitarse un requerimiento formal, autorizado por el Responsable Primario de la Información.
h) requerir cambios contraseña cada 42 días, impidiendo que las últimas 3 sean reutilizadas,
i) establecer un tiempo de vida mínimo de 5 días para las contraseñas. Esto implica que una contraseña provisoria deberá modificarse en el tiempo de vida estipulado, para evitar un bloqueo de la cuenta de usuario,
j) imponer el uso de cuentas personales individuales, a fin de efectuar un para determinar responsabilidades,
k) permitir que los usuarios seleccionen y cambien sus propias contraseñas, en los casos de ingreso inicial o modificación autorizada,
l) mantener un registro (por ejemplo: a través del Sistema Operativo) de las últimas contraseñas utilizadas por el usuario, para evitar la reutilización de las mismas,
m) mantener ocultas las contraseñas, cuando se ingresan por pantalla,
n) en los aplicativos, los archivos de contraseñas deben almacenarse en forma separada de los datos,
o) se recomienda almacenar las contraseñas en forma cifrada, utilizando un algoritmo de cifrado unidireccional, hash u otro,
p) modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.). De ser posible, debe cambiarse el nombre del usuario administrador inicial (p. ej.: admin, root, administrator, administrador, etc.),
q) el Responsable de Sistemas deberá divulgar recomendaciones sobre los criterios de generación de contraseñas personales seguras.
9.5.5. Uso de Cuentas Administrativas
Existen cuentas de usuario con las cuales es posible efectuar actividades críticas, como ser instalación y administración de plataformas, habilitación de servicios, actualización de software, configuración de componentes informáticos, etc.
Dichas cuentas tienen el nivel superior de privilegios. No deben ser de uso habitual, y sólo serán utilizadas ante una necesidad crítica o una tarea que lo requiera. Las mismas se encontrarán protegidas por contraseñas mayor complejidad que el habitual.
El Responsable de Sistemas y Seguridad definirá procedimientos para la administración de dichas cuentas. Deberá contemplarse lo siguiente:
a) definir formalmente las causas que justifiquen el uso de cuentas administrativas, así como los niveles de autorización requeridos,
b) definición de contraseñas seguras.
c) de ser posible, renombrar las cuentas administrativas embebidas en los sistemas operativos (ver Punto anterior),
d) los nombres y las contraseñas de las cuentas críticas se resguardarán con un alto nivel de seguridad (p. ej.: en archivos encriptados),
e) registrar y revisar todas las actividades que se efectúen con las cuentas críticas, renovándose las correspondientes contraseñas una vez usadas, de ser posible,
f) deberán existir cuentas de usuario que tengan los mismos privilegios que las cuentas administrativas, para evitar su uso . Se recomienda que los administradores empleen estas cuentas para realizar tareas críticas, no personales.
9.6. Responsabilidades del Usuario
9.6.1. Objetivo
Lograr la cooperación de los usuarios para impedir accesos no autorizados, a fin de lograr un adecuado nivel de eficacia en la seguridad.
Los usuarios deben conocer sus responsabilidades en el mantenimiento de controles de acceso eficientes, particularmente en los usos de contraseñas y la seguridad del equipamiento informático (ver Capítulo 6).
El Comité de Seguridad recomendará las sanciones que correspondan, en caso de incumplimiento de las políticas de control de acceso. Las mismas pueden abarcar desde la bloqueo de la cuenta hasta la desvinculación del Organismo.
9.6.2. Revisión de derechos de acceso de usuario
A fin de mantener un control eficaz del acceso a los datos y servicios, el Responsable de Sistemas y Seguridad implementará proceso formal y periódico que permita revisar los derechos de acceso de los usuarios. Se deberá considerar:
a) establecer un intervalo de seis meses para efectuar una revisión de los derechos de acceso de los usuarios (ver Punto 9.4.1),
b) establecer un intervalo de tres meses para revisar las autorizaciones de privilegios especiales,
9.6.3. Uso de Contraseñas
Los usuarios deberán observar prácticas confiables en la selección y uso de contraseñas, teniendo en cuenta que éstas constituyen el medio de validación de derechos de acceso a los recursos informáticos.
Los usuarios deben cumplir las siguientes directivas:
a) mantener las contraseñas en secreto,
b) pedir un cambio de la contraseña siempre que exista un posible indicio de violación de las contraseñas o los sistemas,.
c) seleccionar contraseñas seguras, que tengan en cuenta las siguientes recomendaciones:
· que sean fáciles de recordar por el titular de la cuenta,
· que no estén basadas en algún dato que otra persona pueda adivinar u obtener fácilmente.
Por ejemplo: nombres, números de teléfono, fechas de cumpleaños, personales de libros o películas, personajes famosos, etc.
· que no tengan caracteres idénticos consecutivos o grupos totalmente numéricos o totalmente alfabéticos.
d) cambiar las contraseñas cada vez que el sistema se lo solicite. En dicho sentido, el sistema operativo no permitirá el acceso a red hasta que se haya cumplimentado este punto,
e) evitar reutilizar contraseñas viejas. Para ello, el sistema operativo de red permitirá dispondrá de un historial de determinado número de contraseñas, para evitar su reutilización,
f) cambiar las contraseñas provisorias en el primer inicio de sesión ("log on"). El sistema operativo podrá obligar al usuario a este cambio,
g) notificar cualquier incidente relacionado con la pérdida, robo de las contraseñas:(ver Punto 6.6.2. Comunicación de Incidentes Relativos a la Seguridad)
En el caso de múltiples servicios o plataformas, se recomienda el empleo de un sistema de integración de identidades, con acceso por cuenta única.
9.6.4. Equipos en Areas de Usuarios
No podrán instalarse equipos desatendidos en áreas de usuarios.
Los equipos instalados en áreas de usuarios serán estaciones de trabajo o impresoras. Estarán a cargo del Responsable Primario del área donde se instalen.
Los servidores requieren una protección específica contra accesos no autorizados, por lo que estarán instalados fuera de las áreas de usuarios, quedando a cargo del Responsable de Sistemas Informáticos.
Los Responsables de Sistemas, de Recursos Humanos y de Capacitación, coordinarán las tareas de concientización a todos los usuarios y terceras partes, acerca de las políticas y procedimientos de seguridad, sobre los equipos en áreas de usuarios.
Se cumplirán con las siguientes pautas:
a) cerrar o bloquear las sesiones de red, al ausentarse del ámbito de trabajo. En caso de ausencias breves, se activará el mecanismo de protector de pantalla protegido por contraseña.
b) proteger las PCs o terminales contra accesos físicos no autorizados. Por ejemplo: mantener bajo llave las puertas de acceso al recinto de trabajo, instalar llaves de seguridad en los puestos de trabajo, implementar sistemas de vigilancia con cámara, etc.. El Responsable Primario, junto con los Responsables de Seguridad Física y de Sistemas deberán evaluar e implementar las protecciones físicas adecuadas.
Todo incidente que comprometa la seguridad de los equipos instalados en áreas de usuarios será informado de inmediato al Comité de Seguridad, a fin de tomar las medidas pertinentes.
9.7. Control de acceso a la red
9.7.1. Objetivo
Una conexión insegura a la red puede afectar seriamente la operatoria del MTEySS, por lo que debe garantizarse una protección adecuada.
Es necesario controlar el acceso a la red, a fin que los usuarios puedan hacer uso de los servicios, tanto internos como externos, sin comprometer la seguridad. Se deben la implementar:
a) interfaces adecuadas entre la red del MTEySS y las redes publicas u otros Organismos;
b) mecanismos de autenticación apropiados para usuarios y equipamiento ;
c) controles de acceso a los servicios.
9.7.2. Política de utilización de los servicios de red
El Responsable de Sistemas otorgará el acceso a los servicios y recursos de red, siempre y cuando se efectúe el requerimiento formal por parte del Responsable Primario, para el personal de su incumbencia.
Se dará especial importancia a aquellas aplicaciones que procesen información crítica, y a usuarios ubicados en sitios de alto riesgo (por ejemplo: áreas de afluencia de público, oficinas externas al ámbito de control de seguridad del Organismo, etc.).
Para ello, se implementarán procedimientos para activar y desactivar conexiones a las redes. Se considerará:
a) identificar los servicios de red y las conexiones para a los cuales se brinda el acceso,
b) implementar normas y procedimientos de autorización, a fin de determinar las personas que harán uso de los servicios de red,
c) establecer controles y procedimientos de gestión para proteger las conexiones y los servicios.
Esta Política será coherente con los requerimientos para el Control de Accesos del Organismo (Ver punto 9.4.).
9.7.3. Camino Forzado
Las redes se diseñan de modo que permitan brindar un alcance máximo y una gran flexibilidad en la elección de la ruta entre el emisor y el receptor de los datos. Estas características tienen como desventaja la posibilidad que aparezcan oportunidades para el acceso no autorizado a las aplicaciones del Organismo,
Por lo indicado, debe controlarse el camino que siguen las comunicaciones, limitando las posibilidades de elección de la ruta entre la terminal de usuario y los servicios de red autorizados.
A continuación se enumeran algunos ejemplos a considerar:
a) asignar números telefónicos o líneas, en forma dedicada,
b) establecer que todas las conexiones autorizadas pasen a través de dispositivos de seguridad específicos (por ejemplo: conexiones forzadas a firewalls, routers, etc.).
c) limitar las opciones de menú y submenú en los aplicativos, para los usuarios no administrativos,
d) en los puestos de trabajo, limitar los aplicativos y opciones instalados en el escritorio a los relacionados con las tareas específicas de cada usuario,
e) evitar la navegación ilimitada por la red por medio de dominios lógicos separados (por ejemplo, redes privadas virtuales para grupos de usuarios dentro o fuera del MTEySS),
f) imponer el uso de aplicativos y/o gateways de seguridad específicos para usuarios externos de la red,
Los requerimientos relativos a caminos forzados se basarán en los requerimientos para el Control de Accesos del Organismo (Ver punto 9.4.1. Política de Control de Accesos).
El Responsable de Sistemas y Seguridad Informática, conjuntamente con el Responsable Primario realizarán una evaluación de riesgos a fin de determinar los mecanismos de control que corresponda en cada caso.
9.7.4. Autenticación de Usuarios para Conexiones Externas
Los usuarios remotos deben cumplir con procedimientos de autenticación, para disminuir el riesgo de accesos no autorizados que presentan las conexiones externas a la red de datos del
MTEySS.
Existen diferentes métodos de autenticación, con diversos niveles de protección (por ejemplo: los métodos criptográficos proveen una autenticación fuerte).
Los Responsables Primarios y de Sistemas realizarán una evaluación de riesgos a fin de determinar el mecanismo de autenticación adecuado para cada caso.
9.7.5. Autenticación de Nodos
Las conexiones de sistemas remotos deben autenticarse, particularmente si las mismas provienen de redes externas al control de la gestión de seguridad del Organismo.
La autenticación de nodos es un medio alternativo de establecer la identidad de usuarios remotos, cuando éstos desean acceder a una red segura.
La autenticación de usuarios remotos puede llevarse a cabo utilizando:
a) herramientas físicas de autenticación (por ejemplo llaves de hardware). Para ello, debe implementarse un procedimiento que incluya:
· asignación de la llave de autenticación a quien lo requiera,
· registro de los poseedores de las herramientas,
· recupero de la herramienta al momento de la desvinculación del personal poseedor de la misma,
· método de revocación de acceso, en caso de un compromiso a la seguridad.
b) protocolos de autenticación (por ejemplo desafío/respuesta). En este caso, debe implementarse un procedimiento que incluya:
· establecimiento de las reglas de autenticación con el usuario,
· establecimiento de un ciclo de vida de las reglas, para su renovación.
c) líneas dedicadas privadas con controles de re-llamada. En este caso es importante que el proceso produzca una desconexión real del lado del Organismo, al finalizar la llamada,
d) redes privadas virtuales.
9.7.6. Protección de los puertos de diagnóstico remoto
Muchas computadoras y sistemas de comunicación poseen una herramienta de diagnóstico remoto, para uso del soporte técnico.
Los puertos de diagnóstico son un potencial medio de acceso no autorizado, por lo que deben protegerse, ejerciendo un control seguro sobre los mismos.
Algunos mecanismos de seguridad apropiados pueden ser:
· llaves de seguridad,
· procedimientos de acceso, establecidos mediante un acuerdo entre el Responsable de Sistemas y el proveedor del soporte técnico de los recursos informáticos,
Al efecto, deben seguirse los lineamientos establecidos en los Puntos 9.7.3 y 9.7.5
9.7.7. Subdivisión de Redes
La interconexión de las oficinas centrales del MTEySS con las Delegaciones del Interior del país configura una red de área extensa (WAN). Esta configuración debe protegerse, para evitar el riesgo de accesos no autorizados.
Para ello, se definirán los perímetros de seguridad que sean convenientes. Los mismos se implementarán mediante la instalación de firewalls o por redes privadas virtuales, para filtrar el tráfico. (Ver Puntos 9.7.9. y 9.7.10) y/o bloquear accesos no autorizados.
Asimismo, puede implementarse una subdivisión en dominios lógicos de red, que tome en cuenta criterios como:
· requerimientos de seguridad comunes de grupos usuarios
· mayor o menor exposición de un grupo a peligros externos, separación física, u otros criterios de aglutinamiento o separación preexistentes.
El Responsable del Sistemas determinará el esquema más apropiado, evaluando el costo y el impacto de performance que ocasione la instalación de routers o gateways adecuados para subdividir la red.
9.7.8. Acceso a Internet del MTEySS
El acceso a Internet estará a disposición exclusiva del personal y Autoridades quico del Organismo, cualquiera sea la forma de contratación (ver Puntos 2.12 y 3.4.11)
El acceso a Internet será utilizado con propósitos autorizados, con el destino por el cual fue provisto, en un todo de acuerdo con los objetivos y funciones que le competen al MTEySS.
El Responsable de Sistemas y Seguridad definirá procedimientos para solicitar y autorización de accesos a Internet.
Todo acceso a Internet deberá ser aprobado formalmente por el Responsable Primario a cargo del personal que lo solicite.
Se definirán las pautas de utilización de Internet, de acuerdo a niveles de acceso acordes a las tareas o funciones de cada usuario.
Se generará un registro de la actividad de los usuarios en Internet, con el objeto de realizar revisiones o analizar casos particulares, los que serán tratados en el Comité de Seguridad.
Los controles serán comunicados a los usuarios, según lo establecido en la Notificación de Responsabilidad y Buen Uso de los Recursos de Información (Ver Punto 6.4.4.)
El Responsable de Sistemas analizará las herramientas a ser implementadas para efectivizar dicho control, por ejemplo: firewalls, proxies, filtros de navegación, etc.
9.7.9. Control de Conexión a la Red
Sobre la base de lo definido en el Punto 9.4-Requerimientos para el Control de Accesos, se implementarán límites a la capacidad de conexión de los usuarios.
Dichos controles se podrán implementar por medio de gateways que separen los diferentes dominios de la red (Ver Punto 9.7.7).
Se recomienda aplicar restricciones sobre algunos de los siguientes entornos:
a) correo electrónico de Internet.
b) sistemas de transferencia de archivos,
c) acceso a desde Internet,
d) ambientes de desarrollo.
9.7.10. Control de Ruteo de Red
En las redes, especialmente aquellas que se extienden fuera de los límites del Organismo, se incorporarán controles de ruteo, para asegurar que las conexiones informáticas no violen las políticas de Control de Accesos.
Estos controles deben contemplar, como mínimo, la verificación positiva de direcciones de origen y destino. Otros métodos pueden ser: autenticación de protocolos de ruteo, ruteo estático, traducción de direcciones y listas de control de acceso.
9.7.11. Seguridad de los Servicios de Red
El Responsable de Sistemas y Seguridad definirá los lineamientos para garantizar la seguridad de los servicios de red del MTEySS, tanto públicos como privados.
Para ello se tendrán en cuenta las siguientes pautas:
a) instalar y habilitar sólo aquellos servicios que sean efectivamente utilizados,
b) controlar el acceso a los servicios, tanto en el uso como en la administración,
c) verificar las vulnerabilidades que pueda presentar cada servicio, para configurarlo de manera segura,
d) implementar procedimientos para instalar actualizaciones y parches de seguridad que publiquen los fabricantes o proveedores de los sistemas en forma periódica.
Las configuraciones de los servicios deberán documentarse, y revisarse periódicamente.
9.8. Control de acceso al sistema operativo
9.8.1. Objetivo
Se debe impedir el acceso no autorizado a servidores y puestos de trabajo.
Se utilizarán los mecanismos de seguridad a nivel de sistema operativo, a fin de restringir el acceso a los recursos de los servidores y puestos de trabajo, disponiéndose de las siguientes capacidades:
a) identificar y verificar la identidad, además de la terminal o ubicación de cada usuario autorizado,
b) registrar accesos exitosos y fallidos al sistema,
c) suministrar medios de autenticación apropiados. Si se emplean sistemas de administración de contraseñas, debe asegurarse la calidad de las mismas (ver Punto 9.6.3),
d) restringir los tiempos de duración de sesiones de red, según corresponda.
9.8.2. Identificación de Puestos de Trabajo y Servidores
El Responsable de Sistemas efectuará una evaluación de riesgos para determinar un método de identificación adecuado. De dicha evaluación, se redactará un procedimiento que indique:
a) el método de identificación utilizado,
b) la forma de describir cada equipo en el detalle global de la red.
9.8.3. Procedimientos de Conexión
El acceso a los servicios de información sólo será posible a través de un proceso de inicio de sesión seguro, que permita minimizar la oportunidad de accesos no autorizados.
Debe divulgarse la mínima información posible acerca de los sistemas, a fin de no proveer asistencia innecesaria a un usuario no autorizado.
En el proceso de conexión a la red o aplicativos, se deberá implementar lo siguiente:
a) mantener en secreto las claves de acceso,
b) desplegar un aviso general advirtiendo que sólo usuarios autorizados pueden acceder al puesto de trabajo o un servidor,
c) no presentar mensajes de ayuda,
d) validar la información de la conexión sólo al completarse el inicio de sesión,
e) si surge una condición de error, el sistema no debe indicar qué parte de los datos es correcta o incorrecta.
f) limitar el número de reintentos de conexión, a un límite máximo de tres (3),
g) registrar los intentos de acceso no exitosos,
h) una vez superado el límite permitido para reintentos de acceso, el equipo debe bloquear temporalmente la conexión a la red.
9.8.4. Identificación y autenticación de los usuarios
Los usuarios de los servicios de red del MTEySS deben tener una única cuenta de acceso (llamada "cuenta personal"), cualquiera sea su jerarquía, función o tarea. La misma debe ser de uso exclusivo por su titular, no debiendo ser transferida bajo circunstancia alguna. En caso de existir un compromiso de seguridad, las actividades de la cuenta podrán rastrearse, hasta llegar al individuo responsable.
Las cuentas personales de no deben dar ningún inicio del nivel de privilegio del usuario (ver Punto 9.5.3). Se recomienda que las mismas se denominen indicando la primera letra del nombre y el apellido, con un máximo de doce (12) caracteres.
Asimismo, para el caso de cuentas asociadas a aplicativos, deberán observarse los lineamientos establecidos en el Punto 9.5.2.c). En el caso de cuentas administrativas o críticas, remitirse al Punto 9.5.5.
Para el caso del sistema de correo, se podrán emplear cuentas genéricas, a compartir con un grupo de usuarios, a fin de cumplir una tarea especifica (ver Puntos 8.12.2 y 9.5.2.b). Se requerirá la definición de un responsable de cuenta, designado por el Responsable Primario de la Información, así como una justificación para la creación y uso de la misma.
9.8.5. Uso de Utilitarios de Sistemas Operativos
La mayoría de los sistemas operativos de las instalaciones informáticas tienen uno o más programas utilitarios pre-instalados. Estos utilitarios tienen capacidad de pasar por alto controles de sistemas y aplicaciones. Por ello, se impone que su uso sea limitado.
Se deben considerar los siguientes controles:
a) los utilitarios del sistema deben ser sólo accesibles a los administradores de los sistemas operativos instalados en los equipos,
b) en los puestos de trabajo, los usuarios autorizados sólo deben acceder a software de aplicaciones (ver Punto 6.4.2 - Administradores de los Puestos de Trabajo).
c) definir y documentar los niveles de autorización para utilitarios de sistemas.
d) de ser posible, eliminar o inhabilitar los utilitarios y software de sistema innecesarios.
9.8.6. Desconexión por Tiempo Muerto en Puestos de Trabajo
Los Responsables Primarios, en conjunto con el Responsable de Seguridad Informática, definirán qué puestos de trabajo serán considerados de alto riesgo (por ejemplo: aquellos con sistemas críticos instalados, y ubicados en zonas de acceso al público).
Se considerará el apagado de los puestos de trabajo, luego período definido de inactividad tiempo muerto, a fin de evitar el acceso de personas no autorizadas. La herramienta de desconexión por tiempo muerto limpiará la pantalla de la terminal y habilitará un protector de pantalla protegido con contraseña. El lapso por tiempo muerto responderá a los riesgos de seguridad del área y de la información que se maneje en el puesto de trabajo.
9.8.7. Limitación del Horario de Conexión
Las restricciones al horario de conexión suministrarán seguridad adicional a las aplicaciones, reduciendo las oportunidades para el acceso indebido a los sistemas.
Se recomienda implementar un control de esta índole, especialmente para aquellos puestos instalados en ubicaciones de alto riesgo (por ejemplo áreas de acceso al público, o donde se estén procesando datos sensibles o críticos).
Entre los controles a aplicar, se distinguen:
a) limitar los tiempos de conexión al horario normal de oficina, teniendo en cuenta que no existan requerimientos operativos de horas extras o extensión horaria.
b) documentar debidamente a los usuarios que tienen restricciones horarias, así como los motivos de autorización.
El Responsable Primario deberá autorizar las solicitudes de fijación de horario de conexión. El Responsable de Sistemas implementará las herramientas necesarias para establecer los límites horarios de conexión.
9.9. Control de Acceso a las Aplicaciones
9.9.1. Objetivo
Impedir el acceso no autorizado a la información contenida en los sistemas de información. Las herramientas de seguridad deben ser utilizadas para brindar el acceso a los usuarios autorizados. Los sistemas de aplicación deben:
a) controlar el acceso de usuarios a la información y a las funciones de los sistemas de aplicación, de acuerdo con la política de control de accesos definida;
b) brindar protección contra el acceso no autorizado, principalmente de utilitarios y software del sistema operativo que tengan capacidad de pasar por alto los controles de seguridad;
c) funcionar sin la seguridad de otros sistemas con los que se comparten recursos de información;
d) brindar acceso a la información únicamente al responsable Primario, y a quienes éste autorice, mediante designación formal. También ingresará a los sistemas el personal de soporte que esté debidamente notificado.
9.9.2. Restricción del Acceso a la Información
Los usuarios de sistemas de aplicación, con inclusión del personal de soporte, tendrán acceso a la información y a las funciones de los sistemas de aplicación de conformidad con la política de Control de Accesos definida, (Ver Punto 9.4.1).
Para poder administrar adecuadamente los requerimientos de limitación de acceso, se aplicarán los siguientes controles:
a) proveer interfaces de control de accesos a las funciones de los aplicativos,
b) el Responsable de Sistemas implementará, configurará y administrará las interfaces de control de accesos. Además, deberá establecerse un procedimiento para delegar la administración en los Responsables Primarios que hagan uso de una aplicación en particular,
c) el Responsable Primario autorizará los requerimientos formales de acceso a las funciones de cada aplicativo. En caso que el mismo posea la administración del aplicativo, el Responsable de Sistemas deberá recibir la documentación formal de los tipos de accesos habilitados,
d) el usuario sólo podrá acceder a aquellas funciones operativas necesarias para su desempeño cotidiano (principios de menor privilegio y de necesidad de saber),
e) el usuario deberá poseer la documentación necesaria para poder efectuar las operaciones las que está autorizado,
f) deberán controlarse los derechos de acceso de los usuarios, (por ejemplo, lectura, escritura, borrado y ejecución),
g) las salidas de datos de los sistemas de aplicación (listados, informes, etc.) sólo contendrán la información específica requerida por la entrada. Las mismas sólo se enviarán a los puestos y/ impresoras autorizados.
h) las salidas de datos deberán revisarse periódicamente, a fin de detectar y remover información redundante.
i) deberá evitarse la posibilidad de modificación directa de datos almacenados, es decir, por fuera de las interfaces de acceso. Esta opción tendrá un justificativo en caso de sistemas en ambientes de desarrollo. De presentarse excepciones, el Responsable de Sistemas informará al Responsable Primario y a la Unidad de Auditoría Interna, estableciéndose un procedimiento adecuado.
9.9.3. Aislamiento de Sistemas
Se recomienda proteger a aquellos sistemas que se hallen expuestos al riesgo de pérdida de datos. Para ello, será necesario disponer de entornos dedicados o aislados, de manera que sólo se compartan recursos con sistemas de aplicación confiables.
Se aplican las siguientes consideraciones:
a) definir claramente la clasificación de un sistema de aplicación. Esta tarea será llevada a cabo por los Responsable Primario y de Sistemas (Ver Cap 5-Clasificación y Control de Activos),
b) definir la manera en que se compartirán los recursos de los sistemas,
c) el Responsable de Sistemas implementará la configuración de los entornos dedicados, de manera que respondan a los requerimientos de clasificación definidos para los sistemas allí instalados,
d) el Responsable de Sistemas deberá considerar una administración segura de las copias de respaldo de información procesada en los entornos dedicados (ver Punto 8.7-Mantenimiento Resguardo de la Información).
e) el Responsable de Sistemas deberá considerar los aspectos de criticidad y confidencialidad, en la elaboración de planes de continuidad y/o contingencia de las aplicaciones. Por ejemplo: disponer de equipamiento o instalaciones alternativas donde restablecer los sistemas, en caso de emergencias, en las mismas condiciones que las del sitio principal.
9.10. Monitoreo del Acceso y Uso de los Sistemas
9.10.1. Objetivo
Los sistemas deben monitorearse, a fin de detectar desviaciones respecto de la política de control de accesos. Un registro de eventos permitirá obtener evidencias utilizables en caso de producirse incidentes relativos a la seguridad.
El monitoreo de los sistemas permite comprobar la eficacia de los controles adoptados, además de verificar la conformidad con el modelo de política de accesos.
9.10.2. Registro de Eventos
Se generaran registros de auditoría, que contendrán excepciones y otros eventos relativos a la seguridad.
Los registros de auditoría deben incluir:
a) identificación del usuario.
b) fecha y hora de inicio, terminación de las sesiones de red y/o conexión a los aplicativos,
c) identificación o ubicación del puesto de trabajo (Ver 9.8.2),
d) intentos exitosos y/o fallidos de acceso al sistema, a datos y a recursos.
Los registros de auditoría se almacenarán en un equipo diferente al que los genere, de ser posible, conforme a los requerimientos de la Política de Retención de Registros (Ver Punto 12.4.8. Recolección de Evidencia).
Los Responsables Primarios, el Responsable de Sistemas, y la Unidad de Auditoría Interna, definirán un cronograma de depuración de registros en línea en función a normas vigentes.
9.10.3. Monitoreo del Uso de los Sistemas
Se desarrollarán procedimientos para monitorear el uso de los recursos informáticos, a fin de garantizar que los usuarios desempeñen actividades autorizadas.
Todos los usuarios de la red del MTEySS deben conocer el alcance del uso adecuado de los recursos. Se les advertirá que determinadas actividades pueden ser objeto de control y monitoreo (Ver Puntos 12.4.6. y 6.4.4.).
El alcance de estos procedimientos deberá corresponderse con las evaluaciones de riesgos que efectúe el Responsable de Sistemas y Seguridad Informática (Ver Capítulo 10 Desarrollo y Mantenimiento de Sistemas).
Se enumeran los siguientes aspectos a monitorear:
a) accesos, incluyendo:
· identificación del usuario.
· fecha y hora de eventos clave.
· tipos de eventos.
· archivos a los que se accede.
· utilitarios y programas utilizados.
b) operaciones privilegiadas, tales como:
· utilización de cuentas administrativas,
· inicio y cierre del sistema.
· conexión y desconexión de dispositivos de entrada y salida de información,
· cambio de fecha/hora.
· cambios en la configuración de la seguridad.
· alta de servicios.
c) intentos de acceso no autorizado, tales como:
· intentos fallidos de violación a las políticas de accesos,
· notificaciones en gateways y firewalls,
· alertas de sistemas de detección de intrusiones,
d) alertas o fallas de sistema, tales como:
· alertas o mensajes de consola,
· excepciones de los sistemas de registro,
· alarmas de administración de redes y accesos remotos a los sistemas.
9.10.4. Factores de Riesgo
Entre los factores de riesgo a considerar se encuentran:
a) criticidad de las aplicaciones.
b) valor, sensibilidad o criticidad de la información involucrada.
c) ataques, infiltraciones y uso inadecuado del sistema.
d) el alcance de la interoperabilidad del sistema, en particular con redes públicas.
Los Responsables Primarios definirán qué eventos son considerados críticos, de manera que sean registrados.
9.10.5. Registro y Revisión de Eventos
Se implementará un registro de auditoría de eventos, a fin de producir un informe de las amenazas detectadas contra los sistemas y procesos utilizados.
Los Responsables Primarios y de Sistemas establecerán la periodicidad de revisión de dichos registros, de acuerdo a la evaluación de riesgos efectuada.
Por otra parte, el Responsable de Sistemas podrá disponer la utilización de herramientas de auditoría o utilitarios adecuados para llevar a cabo el control de los registros.
En la asignación de funciones en materia de seguridad de la información (Ver Punto 4.4.-Infraestructura de la Seguridad de la Información), de las funciones entre quienes realizan la revisión y aquellos cuyas actividades son monitoreadas.
Deben contarse con los controles de acceso necesarios, a fin de evitar:
a) desactivación de la herramienta de registro.
b) alteración de mensajes registrados.
c) edición o supresión de archivos de registro.
d) saturación del almacenamiento de archivos de registro.
e) falla en los registros de los eventos.
f) sobre-escritura de los registros.
La Unidad de Auditoría Interna podrá acceder a los registros de eventos, a fin de colaborar en el control y efectuar recomendaciones sobre modificaciones a los aspectos de seguridad. También podrán evaluar las herramientas de registro, pero no tendrán libre acceso a ellas.
9.10.6. Sincronización de Relojes
A fin de garantizar la exactitud de los registros de auditoría, los equipos que los elaboren deberán tener una correcta configuración de sus relojes.
Para ello, se dispondrá de un procedimiento de ajuste, utilizando una verificación de relojes contra una fuente centralizada.
9.11. Computación Móvil y Trabajo Remoto
9.11.1. Objetivo
Garantizar la seguridad de la información cuando se utiliza computación móvil o puestos de trabajo remotos.
La protección requerida debe ser proporcional a los riesgos que originan estas formas específicas de trabajo.
Cuando se utiliza computación móvil deben tenerse en cuenta los riesgos que implica trabajar en un ambiente sin protección, implementado en consecuencia una protección adecuada. En el caso del trabajo remoto el MTEySS debe implementar protección en el sitio de trabajo remoto, garantizando que se tomen las medidas adecuadas.
9.11.2. Computación Móvil
Al emplear equipos informáticos móviles, se debe tener especial cuidado en no comprometer la información del Organismo.
En esta categoría se incluyen todos los dispositivos móviles y/o removibles, a saber:
· notebooks, laptops o PDA (Asistente Personal Digital),
· teléfonos celulares y sus tarjetas de memoria,
· dispositivos de almacenamiento removibles, tales como CDs, DVDs, diskettes, cintas, etc.,
· dispositivos de almacenamiento de conexión de Bus Serie Universal USB, tales como: tarjetas de identificación personal (control de acceso), dispositivos criptográficos, cámaras digitales, reproductores de archivos mp3, etc.
Si bien la lista no es completa en sí misma, deberán incluirse todos los dispositivos removibles o portátiles que puedan contener información confidencial, sensible y/o crítica del Organismo, considerándose los riesgos y los compromisos a la seguridad de los datos.
Se desarrollarán procedimientos adecuados para estos dispositivos, abarcando los siguientes conceptos:
a) protección física necesaria,
b) acceso seguro a los dispositivos,
c) utilización de los dispositivos en lugares públicos,
d) acceso a los sistemas de información y servicios del Organismo a través de dichos dispositivos,
e) técnicas criptográficas a utilizar para la transmisión de información con alto nivel de clasificación,
f) mecanismos de resguardo de la información contenida en los dispositivos,
g) protección contra software malicioso.
La utilización de dispositivos móviles incrementa la probabilidad de ocurrencia de incidentes tales como pérdida, robo o hurto. En consecuencia, el personal que los utilice deberá tener un entrenamiento adecuado.
Deberán procedimientos sobre los cuidados especiales a observar, contemplando las siguientes recomendaciones:
a) permanecer siempre cerca del dispositivo,
b) no dejar equipos desatendidos,
c) tratándose de equipos valiosos, no llamar la atención,
d) abstenerse de poner identificaciones del Organismo en el dispositivo, salvo lo estrictamente necesario,
e) no poner datos de contacto técnico en el dispositivo,
f) mantener la información clasificada de forma cifrada,
Se confeccionarán procedimientos para que el portador de los dispositivos reporte rápidamente cualquier incidente sufrido, de manera de mitigar los riesgos de exposición de los sistemas de información del Organismo, considerando:
a) revocación de las credenciales afectadas,
b) notificación sobre zonas con alto riesgo del compromiso a la seguridad.
9.11.3. Trabajo Remoto
El trabajo remoto permite que el personal trabaje desde un lugar externo al Organismo, mediante una tecnología de comunicaciones.
El trabajo remoto sólo será autorizado por el Responsable Primario del área a la cual pertenezca el usuario solicitante, y el Responsable de Sistemas y Seguridad Informática. Se verificará la adopción de todas las medidas que correspondan en materia de protección de la información.
Los casos de acceso remoto serán de excepción, para situaciones que justifiquen la imposibilidad de otros accesos o la urgencia. Ejemplos: horarios no habituales del Organismo, solicitud de las autoridades, necesidad de soporte a procesos críticos, etc.
Las normas y procedimientos establecidos para el trabajo remoto, deben tener en cuenta los siguientes aspectos:
a) la seguridad física existente en el edificio y el ambiente del sitio de trabajo remoto,
b) los requerimientos de seguridad de comunicaciones, tomando en cuenta:
· la necesidad de acceso remoto a los sistemas internos del Organismo,
· la sensibilidad de la información a la que se accederá,
· qué datos circularán través del vínculo de comunicación,
· la sensibilidad y/o criticidad del sistema al que se accede,
c) las amenazas de acceso no autorizado a información o recursos por parte de otras personas que utilizan el lugar, por ejemplo, familia y amigos.
d) instalación/desinstalación de software no autorizado por el Organismo, desde lugares remotos. Esto debe ser evitado.
Los controles y disposiciones comprenden:
a) de ser necesario, proveer de mobiliario para almacenamiento y equipamiento adecuado para a las actividades de trabajo remoto.
b) definir:
· el trabajo permitido,
· el horario de trabajo,
· la clasificación de la información que se puede almacenar en el equipo remoto,
· los sistemas servicios a los cuales el trabajador remoto está autorizado a acceder.
c) proveer, por parte del MTEySS, de adecuados equipos de comunicación, con inclusión de configuraciones y métodos de acceso remoto seguro,
d) definir reglas y concientizar sobre la seguridad física a observar en la instalación remota,
e) definir reglas y concientización respecto del acceso de terceros al equipamiento remoto, mientras esté habilitada la conexión al Organismo,
f) efectuar auditorías y monitoreo de la seguridad,
g) cuando corresponda, bloquear las autorizaciones, y derechos de acceso al finalizar las actividades de trabajo remoto,
h) cuando corresponda, establecer procedimientos para la devolución de equipamiento, propiedad del MTEySS, que haya sido utilizado en las actividades remotas, cuando éstas hayan finalizado. Se deberá asegurar que dicho equipamiento sea reintegrado en las mismas condiciones en que fue entregado.
Se implementarán procedimientos de auditoría específicos para los casos de acceso remoto. Los mismos se revisarán regularmente, manteniéndose además un registro de incidentes, a fin de corregir eventuales fallas en la seguridad de este tipo de accesos.
10. DESARROLLO Y MANTENIMIENTO DE SISTEMAS.
El desarrollo y mantenimiento de las aplicaciones es un punto crítico en la Seguridad de la Información.
Los requerimientos de seguridad de las aplicaciones deben identificarse, documentarse y aprobarse, de manera de incorporarlos durante las etapas de desarrollo e implementación.
Se deben implementar controles para evitar riesgos de maniobras dolosas sobre los sistemas, bases de datos y plataformas de software de base (por ejemplo, operadores que puedan manipular los datos, atacantes que puedan comprometer la integridad de los datos, etc.). Por ello, se considerarán controles de validación de datos de entrada, procesamiento interno y salida de datos.
Los sistemas deben incorporar esquemas de identificación de usuarios, para poder detectar toda acción no autorizada o un posible ataque.
Por ende, para asegurar una correcta implementación de la seguridad, es necesaria una adecuada administración sobre la de Sistemas Operativos y el Software de Base.
10.1. Objetivo
Asegurar que los sistemas incorporen aspectos de seguridad que permitan proteger la información. Para ello, se debe considerar tanto a la infraestructura (hardware y software) como a las aplicaciones, sean propietarias o no, que se usan en el MTEySS.
Se definirán las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos, y sobre la infraestructura de base en la cual se apoyan.
Asimismo, se indicarán los métodos de protección de la información crítica o sensible.
10.2. Alcance
Esta Política se aplica a:
· todos los sistemas informáticos, sean propietarios o adquiridos a terceras partes
· Sistemas Operativos y/o Software de Base y/o utilitarios que integren los ambientes
administrados donde residan los desarrollos mencionados.
10.3. Responsabilidades
El Responsable de Sistemas, junto con cada Responsable Primario y la Unidad de Auditoría Interna, definirán los controles a ser implementados en los sistemas desarrollados internamente o por terceras partes, en función de una evaluación previa de riesgos.
Se incorporarán, de ser necesario, métodos criptográficos, en función de la criticidad o la confidencialidad requeridas para la información. En dicho caso, el Responsable de Sistemas definirá los métodos de encriptación a ser utilizados.
El Responsable de Sistemas deberá considerar:
· definir los controles y las medidas de seguridad a ser incorporadas a los sistemas.
· garantizar el cumplimiento de los requerimientos de seguridad para el software,
· verificación de la seguridad de las plataformas y bases de datos,
· definir y verificar el cumplimiento de controles para el desarrollo y mantenimiento de sistemas,
· definir procedimientos para: el control de cambios a los sistemas,
· control de introducción de código maliciosos,
· participar en la definición de las funciones del personal involucrado en el procesamiento de datos (entradas, salidas, etc.), junto con los Responsables Primarios de los sistemas que correspondan,
· procedimientos de administración de claves criptográficas,
· asignación de funciones para un Implementador y un Administrador de programas, dentro del área a su cargo,
· incorporar aspectos relacionados con el licenciamiento, la calidad del software y la seguridad de la información en los contratos con terceros por el desarrollo de software.
10.4. Análisis y especificaciones de los requerimientos de seguridad.
10.4.1. Objetivo
Incorporar seguridad a los sistemas de información (propios o de terceras partes) y a las mejoras o actualizaciones que se les incorporen.
10.4.2. Requerimientos de controles de seguridad
Los controles de seguridad estarán especificados en los requerimientos de nuevos sistemas y en las mejoras a los existentes.
Las especificaciones tendrán en cuenta controles automáticos o manuales de apoyo que se deban incorporar al sistema.
Se considerará lo siguiente:
a) un procedimiento para incorporar controles de seguridad durante las etapas de análisis y diseño del sistema. Dicho procedimiento incluirá una etapa de evaluación de riesgos previa al diseño, para definir especificar y aprobar los requerimientos de seguridad y controles apropiados, sean éstos manuales o automáticos. En esta tarea participarán las áreas usuarias, Desarrollo de Sistemas, Seguridad Informática y la Unidad de Auditoría Interna. Las áreas involucradas podrán solicitar certificaciones y evaluaciones independientes para los sistemas a poner en Producción.
b) evaluación de costo y esfuerzo en los controles requeridos, debiendo éstos ser proporcionales al valor del bien que se quiere proteger y a los riesgos sobre las actividades planificadas,
c) todo control es mucho menos costoso de implementar y mantener si se lo introduce en la etapa de desarrollo de un sistema.
10.5. Seguridad en los Sistemas de Aplicación
Para evitar la pérdida, modificación o uso inadecuado de datos pertenecientes a los sistemas de información, se establecerán controles y registros de auditoría, verificando:
· validación de datos de entrada,
· procesamiento interno,
· autenticación de mensajes y comunicación entre sistemas,
· validación de datos de salida.
10.5.1. Validación de Datos de Entrada
Se especificarán controles que aseguren la validación de los datos ingresados. Dichos controles se ubicarán tan cerca del punto de origen como sea posible, e incluirán datos permanentes y tablas de parámetros. Los controles se implantarán en la etapa de desarrollo.
Se considerarán los siguientes controles:
a) secuencia,
b) monto límite por operación y tipo de usuario,
c) rango y validez de valores posibles, de acuerdo a criterios predeterminados,
d) paridad,
e) comparaciones contra valores cargados en las tablas de datos,
f) controles por oposición, de forma tal que quien ingrese un dato no pueda autorizarlo y viceversa,
g) entrada dual u otros para detectar los siguientes errores:
· valores fuera de rango,
· caracteres inválidos en campos de datos,
· datos faltantes o incompletos,
· volúmenes de datos que exceden los límites inferior y superior,
· controles de datos no autorizados o inconsistentes,
Se especificarán las siguientes acciones a llevar a cabo:
a) revisiones periódicas de contenidos de campos claves o archivos de datos, indicando quién lo realizará, en qué forma, con qué método, a quiénes se informa el resultado, etc.,
b) alternativas a seguir frente a errores de validación en un aplicativo,
c) definición de responsabilidades del personal involucrado en los procesos de entrada de datos.
10.5.2. Controles de Procesamiento Interno
Se incorporarán controles de validación que permitan minimizar o eliminar riesgos por fallas de procesamiento o en la detección de errores. Los controles se implantarán en la etapa de desarrollo.
Se considerarán los siguientes controles:
a) las funciones de agregado y eliminación que realizan cambios en los datos. Las mismas deben estar identificadas, dentro de los aplicativos,
b) verificar la ejecución de los aplicativos en el momento adecuado,
c) verificar que los aplicativos se ejecuten en el orden correcto, previniendo la falta de secuencia o fallas de procesamiento previo,
d) verificar la finalización programada en caso de falla, o la detención del proceso hasta que el problema sea resuelto.
e) revisión periódica de los registros de auditoría, para detectar anomalías en la ejecución de transacciones,
f) validación de datos generados por el sistema,
g) verificación de integridad de datos y del software,
h) control de integridad de registros y archivos,
10.5.3. Autenticación de Mensajes
Cuando una aplicación envíe mensajes con información clasificada, se deberán implementar los controles criptográficos, tales como los determinados en el Punto 10.8 - Controles Criptográficos.
10.5.4. Validación de Datos de Salida
Se establecerán procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:
a) probar si los datos de salida son admisibles,
b) conciliación de cuentas para asegurar el procesamiento de todos los datos,
c) proveer información suficiente, para que el usuario o el sistema de procesamiento subsiguiente pueda determinar la exactitud, totalidad, precisión y clasificación de la información,
d) indicaciones de las pruebas de validación de salidas,
e) definición de responsabilidades del personal afectado al proceso de salida de datos.
10.6. Seguridad en el Ambiente de Producción
1.6.1. Objetivo
Garantizar que las actividades de soporte de tecnología de la información se lleven a cabo de manera segura. Para ello, se debe controlar el acceso a los archivos de los sistemas en Producción (ver Puntos 8.4.5. y 8.4.6).
El Responsables Primarios y de Sistemas determinarán las funciones y tareas que competen al soporte de los aplicativos en el ámbito de Producción.
10.6.2. Control del software de Producción
La implementación de software en los sistemas en el ambiente de operaciones será controlada, a fin de minimizar el riesgo de alteración de datos o sistemas en dicho ambiente. Se tendrá en cuenta lo siguiente:
a) la actualización de bibliotecas de sistemas en Producción sólo será realizada por el implementador designado, una vez establecidas las aprobaciones correspondientes,
b) de ser posible, los aplicativos en Producción sólo contendrán código ejecutable,
c) se implementará código ejecutable en Producción sólo después que se haya aprobado en el entorno de Pruebas. Esto incluye la aceptación del usuario, y la actualización de las correspondientes bibliotecas de programas fuente,
d) se mantendrá un registro de auditoría de las actualizaciones a las bibliotecas de programas en el entorno operativo,
e) se mantendrá una copia de resguardo de las versiones previas de software, como medida de contingencia.
Cuando se trate de software suministrado por terceras partes, se deberá contar con un contrato de soporte del mismo (ver Punto 4.5.2). El acceso al entorno de ambiente de Producción por terceras partes sólo se otorgará con fines de soporte, y con previa aprobación del Responsables Primario y de Sistemas. Las actividades de los proveedores serán sometidas a monitoreo.
Toda decisión referida a actualizaciones de software debe tomar en cuenta la seguridad, cómo nuevas funcionalidades puedan afectar a la protección de los datos, o qué vulnerabilidades se presentan frente a los cambios.
Los parches de software deben aplicarse en Producción cuando contribuyan a mitigar o eliminar debilidades en materia de seguridad, luego de haber sido verificados y aprobados en el entorno de Pruebas.
10.6.3. Protección de los datos de prueba del sistema
Los datos del entorno de Pruebas deben ser protegidos y controlados.
Las pruebas de aceptación del sistema normalmente requieren volúmenes considerables de datos, que serán tan similares a los datos de Producción como sea posible.
Se debe evitar el uso de bases de datos operativas, o que contengan información personal. La información de prueba debe ser despersonalizada, aplicándose los siguientes controles sobre la misma:
a) los procedimientos de control de accesos serán los mismos para los entornos de Prueba y de Producción,
b) tanto el Responsable Primario y como el Responsable de Sistemas deberán autorizar las copias de datos desde el ambiente de Producción al de Pruebas,
c) la información de Producción que se utiliza en el entorno de Pruebas se eliminará de este último ambiente, una vez concluidos todas las verificaciones,
d) existirán registros de auditoría sobre las copias y el uso de los datos de Producción.
10.6.4. Control de acceso a las bibliotecas de programa fuente
Se mantendrá un control estricto del acceso a las bibliotecas de programas fuente, de modo de evitar alteraciones indebidas sobre los aplicativos. Deben efectuarse las siguientes consideraciones (ver también el Punto 8.4):
a) en de lo posible, las bibliotecas de programas fuente no deben almacenarse en el ambiente de Producción,
b) el responsable de Sistemas designará un implementador que administre el almacenamiento de las bibliotecas de programas, para cada aplicación (ver Puntos 8.4.6 y 10.3),
c) la documentación de los aplicativos se almacenará en un entorno seguro (ver Punto 8.10.2),
d) los aplicativos en desarrollo, mantenimiento o pruebas deben almacenarse en entornos diferentes al de Producción,
e) sólo el implementador podrá llevar a cabo la actualización y/o distribución de bibliotecas de programas fuente, con la autorización del responsable del soporte de cada aplicación,
f) se mantendrán registros de auditoría de los accesos a las bibliotecas de programas fuente.
g) se dispondrá de copias de resguardo de versiones anteriores de los programas fuente, con una clara indicación de las fechas y horas precisas en las cuales estaban en operaciones. También deben resguardarse el software de soporte, el registro de control de tareas, las definiciones de datos y los procedimientos.
h) tanto el mantenimiento como las copias de bibliotecas de programas fuente deben sujetarse a procedimientos estrictos de control de cambios.
10.7. Seguridad en los Entornos - Desarrollo Prueba y Producción
10.7.1. Objetivo
Mantener la seguridad del software y la información del sistema de aplicación, en sus fases de Desarrollo y Prueba.
Se deben controlar estrictamente los entornos de los aplicativos, así como el soporte a los mismos.
El Responsable de Sistemas garantizará la seguridad de los entornos, tanto de Desarrollo y Prueba, como en Producción.
Los Responsables Primarios deberán estar informados de los cambios propuestos en los sistemas, a ser trasladados al ambiente de Producción. Se verificará que los mismos no comprometan la seguridad del sistema o de los ambientes.
10.7.2. Procedimientos de control de cambios
A fin de minimizar riesgos por alteraciones no previstas en los sistemas informáticos, debe existir un control estricto de la implementación de cambios.
Debe disponerse de procedimientos para el control de cambios, de manera de garantizar que no se comprometa la seguridad, que los programadores de soporte sólo accedan a áreas del sistema que competan a las tareas de actualización, y que existan aprobaciones formales para cualquier cambio.
Los procedimientos de control de cambios deben incluir:
a) un registro de los niveles de autorización formales acordados. Toda autorización debe emitirse antes de implementar los cambios,
b) revisar que los cambios no comprometan controles ni procedimientos de integridad,
c) identificar todo el software, la información, las bases de datos y el hardware que requieran correcciones;
d) garantizar que la implementación se lleve a cabo sin afectar continuidad de las actividades del MTEySS;
e) garantizar que todo cambio incluya la actualización de la documentación pertinente,
f) mantener un control de versiones para todas las actualizaciones de software;
g) mantener un registro de auditoría de todos los requerimientos de cambio.
10.7.3. Revisión técnica de cambios en los sistemas operativos
Periódicamente es necesario cambiar el sistema operativo de los servidores por ej. instalar una versión nueva o parches.
En estos casos, deben revisarse los aplicativos instalados, para garantizar que no se produzca un impacto adverso en las operaciones o la seguridad.
Debe contemplarse:
a) revisión de procedimientos de integridad y control de aplicaciones, para garantizar que éstos no resulten comprometidos por los cambios del sistema operativo,
b) garantizar que los presupuestos de soporte contemplen las revisiones y pruebas de aplicativos que deban realizarse, como consecuencia de cambios en el sistema operativo,
c) asegurar una comunicación oportuna de cambios sobre el sistema operativo, antes de la implementación,
d) garantizar que se realicen las actualizaciones adecuadas en los planes de continuidad de la empresa (ver Cap. 11-Administración de la Continuidad de las Actividades del MTEySS).
10.7.4. Restricción de cambios en los paquetes de software
En la medida de lo posible, los paquetes de software suministrados por proveedores serán utilizados sin modificación.
Cuando se considere esencial modificar un paquete de software, se deben tener en cuenta los siguientes puntos:
a) riesgos de compromiso sobre la integridad de los procesos existentes,
b) obtención de consentimiento del proveedor, cuando corresponda,
c) que el proveedor suministre los cambios requeridos, como actualizaciones estándar de programas,
d) impacto que se produciría si la Organización asume el mantenimiento futuro del software, como resultado de los cambios.
Todos los cambios deben probarse y documentarse exhaustivamente, en un ambiente de Pruebas, para luego trasladarlo al entorno productivo.
10.7.5. Virus, troyanos y otros riesgos
Un código troyano afecta un sistema en forma no autorizada, no advertida y no requerida por el destinatario o usuario del programa. Los canales ocultos y el código troyano raramente surgen por accidente.
Para garantizar que los aplicativos no se vean amenazados, se deben considerar los siguientes puntos:
a) sólo comprar programas a proveedores acreditados,
b) en lo posible, adquirir programas en código fuente, de manera que éste pueda verificarse,
c) utilizar productos evaluados y de funcionamiento garantizado,
d) en lo posible, examinar el código fuente antes de instalar los aplicativos en el ambiente de Prueba,
e) si corresponde, controlar el acceso y las modificaciones al código fuente, una vez instalado,
f) determinar que la operación de los sistemas críticos sea efectuada por personal de probada confiabilidad.
10.7.6. Desarrollo externo de software
Cuando en el desarrollo de software participan terceras partes, se debe considerar lo siguiente:
a) acuerdos de licencias, propiedad de códigos y derechos de propiedad intelectual (ver Punto 12.4.3 - Derechos de Propiedad Intelectual del Software),
b) certificación de la calidad y precisión del trabajo llevado a cabo,
c) acuerdos de custodia en caso de quiebra comercial de la tercera parte,
d) derechos de acceso a auditorias de calidad y precisión del trabajo realizado,
e) requerimientos contractuales con respecto a la calidad del código,
f) realización de pruebas, previas a la instalación, para detectar códigos troyanos o canales
ocultos.
10.8. Controles Criptográficos
1.8.1. Objetivo
Proteger la confidencialidad, autenticidad o integridad de la información, para sistemas que se consideran críticos.
Las técnicas criptográficas, o cifrado, se emplearán en base a un análisis de riesgo efectuado con anterioridad, con el fin de asegurar confidencialidad e integridad en los sistemas que las requieran.
Se debe proveer de protección física al equipamiento utilizado para generar, almacenar y archivar claves.
10.8.2. Tipos de técnicas criptográficas
Las técnicas criptográficas, o cifrado, son de dos tipos:
a) técnicas de clave secreta (cifrado simétrico), cuando dos o más actores comparten la misma clave, que se utiliza para cifrar y descifrar información transferida entre ellos.
b) técnicas de clave pública (cifrado asimétrico), cuando cada usuario tiene un par de claves: una clave pública (que puede ser revelada a cualquier persona) y una clave privada (que se mantiene en secreto). Existe una correspondencia biunívoca entre ambas claves. La clave privada se emplea para el cifrado de la información, que sólo puede descifrarse con la clave pública correspondiente. Las técnicas de clave pública pueden utilizarse tanto para cifrado como para generar firmas digitales.
Todas las claves deben protegerse contra modificación, destrucción, y divulgación no autorizada.
10.8.3. Política de Utilización de Controles Criptográficos
A continuación, se indica uso correcto de los controles criptográficos:
a) los controles criptográficos se emplearán en los siguientes casos:
· para protección de claves de acceso a sistemas, datos y servicios,
· para uso de firmas digitales,
· para transmisión de información clasificada, fuera del ámbito del MTEySS,
· para resguardo de información, de acuerdo a la evaluación de riesgos que realicen por el Responsable de Sistemas y cada Responsable Primario.
b) se desarrollarán procedimientos de administración de claves, a fin de recuperar la información cifrada en caso de pérdidas, compromiso, daño o reemplazo de las claves,
c) el Responsable de Sistemas propondrá la siguiente asignación de funciones:
|
Función |
Cargo |
|
Implementación de la Política de Controles Criptográficos |
|
|
Administración de Claves |
d) Podrán utilizarse los siguientes algoritmos de cifrado y tamaños clave:
· cifrado simétrico
Los algoritmos y longitudes de clave mencionados son los que a la fecha se consideran seguros. Se recomienda verificar esta condición periódicamente con el objeto de efectuar las actualizaciones correspondientes.
10.8.4. Criptografía
Los Responsables Primarios y de Sistemas llevarán una evaluación de riesgos para identificar el nivel requerido de protección de los datos. De acuerdo con ello se considerarán el tipo de algoritmo de cifrado y la longitud de las claves criptográficas a utilizar.
Al implementar la política en materia criptográfica, se considerarán los controles que se aplican a la exportación e importación de tecnología criptográfica (Ver 12.4.7. Regulación de Controles para el Uso de Criptografía).
10.8.5. Firma Digital
Las firmas digitales proporcionan un medio de protección de la autenticidad de origen e integridad sobre los datos, pudiendo aplicarse a documentos y/o mensajes de correo electrónico, aplicaciones de medios de pago, transferencias de fondos, etc.
La firma digital se implementa mediante una técnica que combina dos claves criptográficas, relacionadas unívocamente. Una clave, denominada privada, se utiliza para crear la firma y la otra, denominada pública, para verificarla.
Las claves privadas son resguardadas bajo el control exclusivo de su titular.
Una clave privada debe mantenerse en secreto, ya que quien acceda a ella puede firmar documentos, existiendo el riesgo de su falsificación.
Asimismo, debe protegerse la integridad de la clave pública. Esta protección se provee mediante el uso de un certificado de clave pública (ver Punto 10.8.7).
Para generar la firma, se utilizan algoritmos del tipo asimétrico, con una longitud de clave determinada (ver Punto 10.8.3.d).
Se recomienda que las claves criptográficas utilizadas para firma digital no se utilicen en procedimientos de cifrado de información.
Para el empleo de firmas y certificados digitales debe considerarse la legislación vigente (Ley Nș 25.506, Decreto Nș 2628/02 y normas complementarias que fijan competencia y establecen procedimientos). Acto seguido, deben describirse las condiciones de validez legal de una firma digital (Ver Punto 12.4.7. Regulación de Controles para el Uso de Criptografía y Firma Digital).
En algunos casos pueden requerirse acuerdos especiales para respaldar el uso de la firma digital. A tal fin, el Responsable del Area Legal brindará asesoramiento con respecto al marco normativo aplicable y la modalidad del acuerdo a implementar (Ver Cap 12. Cumplimiento).
10.8.6. Servicios de No Repudio
Se utilizarán cuando sea necesario resolver disputas acerca de la ocurrencia de un evento o acción. Su objetivo es proporcionar herramientas para evitar que aquel que haya originado una transacción electrónica niegue haberla efectuado.
Los servicios de no repudio se basan en el uso de técnicas de criptografía y firma digital (ver Puntos 10.8.4 y 10.8.5).
10.8.7. Administración de claves
La administración de claves es esencial para el uso eficaz de las técnicas criptográficas. Por ejemplo, una pérdida de las mismas puede conducir a un compromiso de la confidencialidad, autenticidad y/o integridad de la información.
Se debe implementar un sistema de administración, de manera que el Organismo pueda respaldar el uso las técnicas criptográficas.
Según los tipos de cifrado, debe considerarse lo siguiente:
a) cifrado simétrico: la clave tiene que mantenerse en secreto. La persona que acceda a una clave simétrica podrá descifrar y manipular toda información encriptada con la misma.
b) cifrado asimétrico: los titulares de las claves deben mantener en secreto sus claves privadas, pero intercambian sus claves públicas, para descifrar los datos que se envíen entre sí.
10.8.7.1. Conceptos de administración
Para reducir riesgos, las claves deben tener fechas de generación y fin de vigencia, de manera que solo puedan ser utilizadas por un tiempo limitado. Este período se definirá según una evaluación de riesgos, y de acuerdo a las circunstancias en las que se aplica el control criptográfico.
Deberá tenerse en cuenta, asimismo, la existencia de requerimientos legales de acceso a claves criptográficas. Por ejemplo: utilizar información cifrada como evidencia en un caso judicial.
Además de la administración segura de las claves secretas y privadas, también debe tenerse en cuenta la protección de claves públicas, por la amenaza de que una persona falsifique una firma digital reemplazando la clave publica de un usuario con su propia clave.
Para garantizar la seguridad de una clave pública, se trabajará con certificados.
Los certificados vinculan de manera única al titular de una clave privada con su correspondiente clave pública y su identidad.
El proceso de generación de estos certificados debe ser confiable. Para ello, se debe recurrir a una Autoridad Certificante. Dicha autoridad es una organización reconocida, con adecuados controles y procedimientos implementados, para ofrecer el nivel de confiabilidad requerido.
Los acuerdos de nivel de servicios con una autoridad de certificación contemplarán los tópicos de responsabilidad legal, confiabilidad del servicio y tiempos de respuesta (ver Punto 4.5.2).
10.8.7.2. Normas y procedimientos
Un sistema de administración de claves debe basarse en un conjunto acordado de normas y procedimientos seguros que tengan en cuenta:
a) generar claves para diferentes sistemas criptográficos y aplicaciones,
b) generar y obtener certificados de clave pública,
c) distribuir claves a los usuarios que corresponda, indicando la forma de activarlas al recibirlas,
d) establecer la forma en que el usuario accede a su clave,
e) cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo debe hacerse,
f) verificar claves comprometidas,
g) revocar claves, por ej. cuando las mismas están comprometidas o un usuario se desvincula de la organización,
h) si corresponde, recuperar claves perdidas y/o alteradas. Como parte de la administración de la continuidad de los servicios, también se debe considerar el recupero de información cifrada;
i) si corresponde, almacenar claves,
j) si corresponde, destruir claves,
k) registrar y auditar las actividades relativas a la administración de claves,
l) a fin de reducir la probabilidad de compromiso, las claves podrán ser utilizadas por un lapso máximo de de doce (12) meses.
11. ADMINISTRACION DE LA CONTINUIDAD DE LAS ACTIVIDADES DEL MTEySS
La continuidad de las actividades es un proceso crítico que debe involucrar a todos los niveles del MTEySS.
La implementación de planes de contingencia es esencial para garantizar que las actividades del Organismo se restablezcan dentro de plazos razonables.
Los planes de contingencia se mantendrán actualizados, y formarán parte integral del conjunto de procesos de administración y gestión.
Los planes deben incluir controles que identifiquen y reduzcan riesgos, atenúen las consecuencias de interrupciones de las actividades del Organismo, y aseguren la reanudación oportuna de las operaciones indispensables.
11.1. Objetivos
Minimizar los efectos de interrupciones en las actividades normales del Organismo, sean por resultado de desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u otros hechos. Asimismo, se busca que los procesos críticos estén protegidos, combinando controles preventivos y acciones de recuperación.
Analizar las consecuencias de interrupciones en el servicio, tomando medidas para la prevención de hechos similares en el futuro.
Maximizar la efectividad de las operaciones de contingencia del Organismo, estableciendo planes que incluyan al menos las siguientes etapas:
a) notificación/activación: Consistente en la detección y determinación del daño y la activación del plan de contingencia,
b) reanudación: Consistente en la restauración temporal de los procesos y recuperación de los sistemas originales,
c) recuperación: Consistente en la restauración de las capacidades normales de proceso de los sistemas,
d) coordinación con personal del Organismo y y/o terceras partes que participen en las estrategias de planificación de contingencias. Se asignarán funciones para cada actividad definida.
11.2. Alcance
Esta Política se aplica a todos los procesos identificados como críticos, dentro del MTEySS.
11.3. Responsabilidades
Los Responsables de Seguridad y Servicios Generales, así como de Sistemas, participarán activamente en la definición, documentación, prueba y actualización de los planes de contingencia.
Los Responsables Primarios (Ver el Punto 4.4.2. Asignación de Responsabilidades sobre la Seguridad de la Información), tanto el Responsable de Seguridad y Servicios Generales, como el Responsable de Sistemas, cumplirán las siguientes funciones:
· identificar las amenazas que puedan ocasionar interrupciones de los procesos y/o las actividades del Organismo.
· evaluar riesgos para determinar el impacto de las interrupciones.
· identificar los controles preventivos.
· desarrollar un plan estratégico para determinar el enfoque global con el que se abordará la continuidad de las actividades del Organismo.
· elaborar los planes de contingencia necesarios para garantizar la continuidad de las actividades del Organismo.
Los Responsables verificarán el cumplimiento de los procedimientos implementen lo contemplado en el plan de continuidad.
El Comité de Seguridad revisará periódicamente los planes, estableciendo las actualizaciones que correspondan, por cambios en las actividades del MTEySS.
11.4. Administrar la Continuidad de Actividades del MTEySS
El Comité de Seguridad de la Información coordinará los procesos de administración de continuidad de las actividades del Organismo frente a interrupciones imprevistas.
Se incluyen las siguientes funciones:
a) identificar y priorizar los procesos críticos de las actividades del Organismo.
b) asegurar que todos los usuarios comprendan los riesgos que el MTEySS enfrenta, en términos de probabilidad de ocurrencia e impacto de posibles amenazas,
c) evaluar los efectos que una interrupción puede tener en la actividad del MTEySS
d) elaborar y documentar estrategias de continuidad de las actividades del Organismo, consecuentes con los objetivos y prioridades acordados.
e) establecer un cronograma de pruebas periódicas de los planes de contingencia, proponiendo una asignación de funciones para su cumplimiento,
f) coordinar actualizaciones periódicas y modificaciones de los planes y procesos implementados,
g) considerar la contratación de seguros que intervengan en el proceso de continuidad de las
actividades del MTEySS,
11.5. Continuidad de Actividades y Análisis de Impacto
El Plan de Continuidad de las Actividades del MTEySS debe contemplar los siguientes puntos:
a) identificar las amenazas que puedan interrumpir las actividades, por ejemplo, fallas en el equipamiento, comisión de ilícitos, corte en el suministro de energía eléctrica, inundación e incendio, desastres naturales, destrucción edilicia, atentados, etc.
b) evaluar los riesgos, y determinar el impacto de las interrupciones, tanto en magnitud de daño como en el período de recuperación. La evaluación debe identificar los recursos críticos, el impacto por cortes de servicio, períodos de caída aceptables o permitidos. Se deben especificar las prioridades de recuperación,
c) identificar los controles preventivos, por ejemplo: sistemas de supresión de fuego, detectores de humo, contenedores resistentes al calor y al agua para los medios de backup, registros no electrónicos vitales, etc.
Esta actividad será llevada a cabo con la activa participación de los Responsables Primarios, el Responsable de Sistemas y el Responsable de Seguridad y Servicios Generales. Se deben considerar todos los procesos y actividades del Organismo, sean informáticos o no.
A partir de lo anterior, se presentará una propuesta de continuidad de actividades al Coordinador del Comité de Seguridad, quien la elevará a la Autoridad Máxima del MTEySS, para su aprobación.
11.6. Implementación de Planes de Continuidad
La propuesta de continuidad de actividades que se eleve al Coordinador del Comité de Seguridad considerará los siguientes puntos:
a) funciones para la emergencia. Se tendrá en cuenta la designación de un administrador de cada plan de contingencia, por área del Organismo.
b) análisis de escenarios de contingencia, definiendo las acciones correctivas a implementar en cada caso,
c) procedimientos de emergencia para el restablecimiento de servicios en los plazos requeridos. Se debe dedicar especial atención a los procesos efectuados por terceras partes, y los contratos vigentes.
d) documentación de metodología y procedimientos acordados.
e) divulgar al resto del Organismo los procedimientos de emergencia aprobados,
f) instruir al personal involucrado, sobre los siguientes temas:
· objetivo del plan,
· coordinación y comunicación entre los grupos involucrados en las tareas de emergencia,
· procedimientos de divulgación,
· requisitos de seguridad,
· responsabilidades individuales,
g) establecer ensayos y actualización de los planes.
Asimismo, deben plantearse los recursos que permitan el restablecimiento de los servicios en plazos aceptables o planificados. Se incluyen: dotación de personal, sitios alternativos de procesamiento de la información, equipamiento contacto con fuerzas de seguridad, etc.
11.7. Marco para los Planes de Continuidad
Los planes de continuidad de las actividades del Organismo se establecerán dentro de un marco único, a fin de identificar prioridades de prueba y mantenimiento.
Los planes de continuidad de actividades contarán con un administrador. Entre sus responsabilidades se contará el cumplimiento de los procedimientos de implementación de cada plan.
Los proveedores de servicio, por otra parte, atenderán las disposiciones de emergencia para servicios técnicos alternativos, como instalaciones de comunicaciones o de procesamiento de información.
Los planes de continuidad deben indicar claramente las condiciones para su activación, así como las personas que ejecutarán cada componente de los mismos.
Los procedimientos de emergencia establecidos se modificarán cuando se identifiquen nuevos requerimientos. Toda modificación será analizada en el Comité de Seguridad de la Información, para su aprobación.
El marco para planificar la continuidad tendrá en cuenta los siguientes puntos:
a) evaluar los procesos a seguir antes de ponerlos en marcha. Por ejemplo, qué eventos determinan si una situación es de contingencia o no, qué personas estarán involucradas, etc.
b) los casos donde exista una amenaza al personal y/o las funciones del MTEySS tendrán una preeminencia sobre el resto. Para ello, deberán disponerse gestiones con autoridades públicas pertinentes, por ejemplo, policía y bomberos,
c) definir las acciones a emprender para el traslado de actividades críticas a ubicaciones transitorias alternativas, para restablecer servicios en los plazos requeridos,
d) redactar procedimientos de recuperación para restablecer las operaciones normales del Organismo,
e) efectuar actividades de concientización e instrucción al personal,
f) documentar funciones de los involucrados en la ejecución de los componentes del plan. Se indicarán las vías de contacto posibles y alternativas, cuando corresponda,
g) definir a un responsable de declarar el estado de contingencia, y así dar inicio al plan.
Los administradores de los planes de contingencia son:
|
Plan de Contingencia |
Administrador |
11.8. Ensayo, Mantenimiento y Revisión de los Planes de Continuidad
Los planes de continuidad de las actividades del MTEySS pueden tener fallas, por errores o cambios en el equipamiento. Por ello, se establecen las siguientes pautas de acción:
El Comité de Seguridad de la Información diseñará un cronograma de pruebas periódicas para cada plan de contingencia, indicando a los responsables de llevarlas a cabo.
Se deberá garantizar que los planes de contingencia funcionen ante un hecho real. Las técnicas de testeo incluirán, por lo menos:
a) discusión de diversos escenarios y medidas para la recuperación las actividades, utilización de ejemplos de interrupciones, etc.
b) simulaciones, especialmente para entrenar al personal en el desempeño de sus roles,
c) pruebas de eficacia de recuperación de los sistemas informáticos,
d) ensayos completos para medir el grado de eficiencia con que el Organismo, su personal, el equipamiento, las instalaciones y los procesos pueden afrontar interrupciones.
Para las operaciones críticas del Organismo se tomarán en cuenta, además, los siguientes mecanismos:
a) de ser posible, realizar ensayos de recuperación en un sitio alternativo, ejecutando actividades en paralelo,
b) efectuar pruebas de instalaciones y servicios de proveedores, asegurando que los mismos cumplan con los compromisos contraídos.
Los resultados de las pruebas serán elevados al Comité de Seguridad de la Información.
Los planes de continuidad de las actividades del Organismo serán revisados y actualizados periódicamente, para garantizar su eficacia permanente. A tal fin, se incluirán procedimientos en el programa de administración de cambios del Organismo
Se sugiere armar un cuadro de revisión de planes de contingencia tal como el siguiente:
|
Plan de Contingencia |
Revisar cada |
Responsable de Revisión |
Los Responsables de Revisión verificarán en forma periódica los planes de continuidad de su incumbencia. Deberán revisar, asimismo, los cambios en las disposiciones relativas a las actividades del Organismo que no hayan sido reflejados en dichos planes.
Se tendrán en cuenta cambios de:
a) personal.
b) direcciones o números telefónicos.
c) estrategia del Organismo.
d) ubicación, instalaciones y recursos.
e) legislación.
f) contratistas, proveedores y clientes críticos.
g) procesos, nuevos y/o eliminados.
h) tecnologías.
i) requisitos de operacionales y de seguridad.
j) hardware, software y otros equipos (tipos, especificaciones, y cantidad).
k) requerimientos de los sitios alternativos.
Todas las modificaciones efectuadas serán propuestas por el Comité de Seguridad de la Información, para su aprobación por el superior jerárquico que corresponda.
Asimismo, el resultado de este proceso será dado a conocer a todo el personal involucrado en la implementación de los planes de contingencia.
12. CUMPLIMIENTO
El diseño, operación, uso y administración de los sistemas de información están regulados por disposiciones legales y contractuales.
Los requisitos normativos y contractuales pertinentes a cada sistema de información deben estar definidos y documentados.
El Area Legal del Organismo, será responsable de encuadrar jurídicamente la formulación e implementación de la política.
12.1. Objetivos
Cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones administrativas al MTEySS y/o usuarios autorizados (ver Puntos 2.12 y 3.4.11), evitando que se incurra en responsabilidades civiles o penales.
Garantizar que los sistemas cumplan con las políticas, normas y procedimientos de seguridad del MTEySS.
Revisar la seguridad de la información, en forma periódica, a efectos de garantizar la adecuada aplicación de políticas, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas informáticos.
Optimizar la eficacia de las herramientas de auditoría de sistemas, .minimizando los problemas que pudiera causar esta actividad.
Garantizar la existencia de controles que protejan a los sistemas en producción y a las herramientas de auditoría.
Determinar los plazos para el mantenimiento de información y la recolección de evidencia en caso de incidentes de seguridad en el MTEySS.
12.2. Alcance
Esta Política se aplica a todos los usuarios autorizados del MTEySS (ver Puntos 2.12 y 3.4.11), cualquiera sea su situación de revista.
Asimismo, quedan comprendidos los sistemas de información, normas, procedimientos, documentación, plataformas técnicas del MTEySS y las auditorías efectuadas sobre los mismos.
12.3. Responsabilidad
El Responsable de Sistemas y Seguridad Informática cumplirá las siguientes funciones:
a) definir normas y procedimientos para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual y a la conservación de registros de auditoría,
b) verificar periódicamente que los sistemas de información cumplan la política, normas y procedimientos de seguridad establecidos,
c) garantizar la seguridad y el control de las herramientas utilizadas para las revisiones de auditoria.
El Responsable del Area Legal del Organismo, con la asistencia del Responsable de Sistemas y Seguridad Informática deberá encuadrar jurídicamente la formulación e implementación de las políticas. Asimismo, se cumplirán las siguientes funciones:
a) definir y documentar claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información,
b) colaborar en la implementación de una notificación de buen uso de los recursos informáticos, incluyendo cláusulas de Confidencialidad sobre la información del MTEySS. Dicha notificación debe ser difundida y claramente comprendida por todos los usuarios del Organismo (ver Puntos 2.12, 3.4.11 y 6.4.4).
Los Responsables Primarios velarán por la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos en la presente Política, dentro de su área de responsabilidad.
Los usuarios de los sistemas del MTEySS (ver Punto 3.4.11) conocerán, comprenderán, darán a conocer, cumplirán y harán cumplir la presente Política y la normativa vigente.
12.4. Cumplimiento de requisitos legales
12.4.1. Objetivo
Impedir infracciones y violaciones de las leyes del derecho civil y penal.
Cumplir las obligaciones establecidas por leyes, estatutos, normas, reglamentos, contratos y requisitos de seguridad.
El Responsable del Area Legal brindará asesoramiento sobre los aspectos jurídicos y legales de la seguridad de la información, así como sobre las responsabilidades individuales emanadas del cumplimiento de dichos aspectos.
12.4.2. Identificación de la Legislación Aplicable
Se establecerán y documentarán claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información. Del mismo modo se definirán y documentarán los controles específicos, las responsabilidades y las funciones individuales para cumplir con dichos requisitos.
12.4.3. Derecho de propiedad intelectual
Se implementarán procedimientos adecuados para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual.
Los usuarios utilizarán, únicamente, material autorizado por el MTEySS.
El Organismo sólo podrá autorizar el uso de material de su propiedad, sea éste producido por el Responsable de Sistemas, o suministrado por un tercero, conforme los términos y condiciones acordadas, y/o lo dispuesto por la normativa vigente.
La infracción a estos derechos podría resultar en acciones legales, y derivar en demandas penales.
Se deberán tener presentes las siguientes normas:
· Ley de Propiedad Intelectual Nș 11.723: Protege los derechos de autor de obras científicas, literarias y artísticas, incluyendo programas de computación fuente y objeto; las compilaciones de datos u otros materiales.
· Ley de Marcas Nș 22.362: Protege la propiedad de una marca y la exclusividad de su uso.
· Ley de Patentes de Invención y Modelos de Utilidad Nș 24.481: Protege el derecho del titular de la patente de invención a impedir que terceros utilicen su producto o procedimiento.
12.4.4. Derecho de Propiedad Intelectual del Software
El software es considerado una obra intelectual que goza de la protección de la Ley 11.723 de Propiedad Intelectual.
Esta Ley establece que la explotación de la propiedad intelectual sobre los programas de computación incluirá, entre otras formas, los contratos de licencia para su uso o reproducción.
Los productos de software se suministran normalmente bajo acuerdos de licencia. Estos acuerdos suelen limitar el uso de los productos al equipamiento específico. Asimismo, la copia sólo debe limitarse a la creación de un resguardo.
El Responsable de Sistemas y Seguridad Informática, con la asistencia del Area Legal, analizarán los términos y condiciones de la licencia. Se implementarán los siguientes controles:
a) normas y procedimientos para cumplir con el derecho de propiedad intelectual de software, asegurando el uso legal de los productos de información,
b) divulgar las políticas de adquisición de software y las disposiciones de la Ley de Propiedad Intelectual, así como notificar la determinación de tomar acciones disciplinarias contra el personal que las infrinja,
c) mantener un adecuado registro de activos.
d) conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc.,
e) implementar controles para evitar que se exceda el número máximo permitido para las
licencias de uso,
f) verificar que sólo se instalen productos con licencia y software autorizado,
g) elaborar y divulgar un procedimiento relativo a la eliminación y/o transferencia de software a terceros,
h) utilizar herramientas de auditoría adecuadas,
i) cumplir con los términos y condiciones establecidos para obtener software e información desde redes públicas.
12.4.5. Protección de los Datos del Organismo
Los datos que se procesan y almacenan en el Organismo se protegerán contra pérdida, destrucción y falsificación.
Debe efectuarse una clasificación de la información (ver Punto 5.5.), para garantizar el cumplimiento de requisitos legales y normativos, así como para respaldar actividades esenciales del MTEySS.
El Responsable de Sistemas deberá garantizar, por otra parte, la implementación de políticas de resguardo, a fin de garantizar la integridad de los datos, el cumplimiento de los planes de contingencia y la protección de la información (ver Punto 11.8).
Se deberá tener presente la siguiente normativa:
· Etica en el Ejercicio de la Función Pública. Ley Nș 25.188: Establece que las personas que se desempeñen en la función pública deben proteger y conservar la propiedad del Estado, y sólo emplear sus bienes con los fines autorizados.
· Código de Etica de la Función Pública: Dispone que el funcionario público debe proteger y conservar los bienes del Estado. Asimismo se establece que los bienes públicos sólo se utilicen de acuerdo con los fines autorizados y de manera racional, evitando su abuso, derroche o desaprovechamiento.
· Código Penal Artículo 255: Sanciona a quien sustrajere, ocultare, destruyere o inutilizare objetos destinados a servir de prueba ante la autoridad competente. Se consideran, entre otros, a los registros o documentos confiados a la custodia de un funcionario u otra persona, en el interés del servicio público. Si el culpable fuere el mismo depositario, sufrirá además inhabilitación especial por doble tiempo.
· Ley Nș 24.624. Artículo 30: Autoriza el archivo y la conservación, en soporte electrónico u óptico indeleble, de la documentación financiera, personal y de control de la Administración Pública Nacional. Se otorga valor jurídico y probatorio a la documentación existente que se incorpore al Archivo General de la Administración, mediante la utilización de tecnología que garantice estabilidad, perdurabilidad, inmutabilidad e inalterabilidad del soporte de almacenamiento físico.
· Decisión Administrativa Nș 43/96 (B. O. 7-V-1996): Reglamenta el Art. 30 de la Ley 24.624. Determina su ámbito de aplicación, define conceptos y precisa los requisitos de carácter general, relacionados con los documentos en particular y con el soporte a utilizar en la redacción, producción o reproducción de aquéllos.
· Ley de Propiedad Intelectual Nș 11.723: Protege los derechos de autor de las obras científicas, literarias y artísticas, incluyendo compilaciones de datos o de otros materiales.
· Ley Nș 25.506: Establece que la exigencia legal de mantener documentos, registros o datos, también queda satisfecha con la conservación de los correspondientes documentos digitales firmados digitalmente, según los procedimientos que determine la reglamentación, siempre que sean accesibles para su posterior consulta, y permitan determinar fehacientemente el origen, destino, fecha y hora de su generación, envío y/o recepción.
12.4.6. Protección de Datos y Privacidad de la Información Personal
Todos los usuarios de información del MTEySS deberán conocer las restricciones al tratamiento de los datos y de la información respecto a la cual tengan conocimiento, con motivo del ejercicio de sus funciones.
El MTEySS implementará una Notificación de Uso de los Recursos Informáticos (ver Punto 6.5.4), que será divulgado a todos sus integrantes. Allí se insta a la privacidad y a la protección de los datos del MTEySS.
El Responsable de Recursos Humanos, a través del área de Capacitación, instrumentará los medios para la divulgación y el adecuado resguardo de dicha Notificación.
Mediante este instrumento, el usuario se comprometerá a utilizar la información solamente para el uso específico al que se ha destinado. También, se obliga a no comunicar, diseminar o hacer pública información a ninguna persona, firma, compañía o tercera persona, salvo autorización previa y escrita del Responsable Primario del activo de que se trate.
A través de la Notificación del buen uso de los recursos informáticos, cada usuario queda advertido que determinadas actividades pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad del empleado (Ver Capítulo 6. Seguridad del Personal).
Se deberán tener presente las siguientes normas:
· Ley Marco de Regulación de Empleo Público Nacional. Ley Nș 25.164: Establece que los Funcionarios Públicos deben observar el deber de fidelidad que se derive de la índole de las tareas que le fueron asignadas, así como de guardar la discreción correspondiente o la reserva absoluta, en su caso, de todo asunto del servicio que así lo requiera.
· Convenio Colectivo de Trabajo General: Dispone que todos los agentes deben observar el deber de fidelidad que se derive de la índole de las tareas que le fueran asignadas, así como de guardar la discreción correspondiente, con respecto a todos los hechos e informaciones de los cuales tenga conocimiento en el ejercicio o con motivo del ejercicio de sus funciones.
· Etica en el Ejercicio de la Función Pública. Ley Nș 25.188 (ver Punto 12.4.5): Obliga a todas las personas que se desempeñan en la función pública se abstenerse de utilizar información adquirida en el cumplimiento de sus funciones para realizar actividades no relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses privados.
· Código de Etica de la Función Pública (ver Punto 12.4.5): Establece que el funcionario público debe abstenerse de difundir toda información que hubiere sido calificada como reservada o secreta, conforme a las disposiciones vigentes. Tampoco se podrá en beneficio propio, de terceros o para fines ajenos al servicio, información de la que tenga conocimiento con motivo o en ocasión del ejercicio de sus funciones y que no esté destinada al público en general.
· Protección de Datos Personales. Ley Nș 25.326 (ver Punto 12.4.5): Establece responsabilidades para aquellas personas que recopilan, procesan y divulgan información personal y define criterios para procesar datos personales o cederlos a terceros.
· Confidencialidad. Nș Ley 24.766: Impide la divulgación a terceros, o su utilización sin previo consentimiento y de manera contraria a usos comerciales honestos, de información secreta y con valor comercial que haya sido objeto de medidas razonables para mantenerla secreta.
· Código Penal: Sanciona a aquel que, teniendo noticias de un secreto cuya divulgación pueda causar daño, lo revelare sin justa causa (Art. 156), al funcionario público que revelare hechos, actuaciones o documentos que por la ley deben quedar secretaros (Art. 157), al que revelare secretos políticos o militares concernientes a la seguridad, a los medios de defensa o a las relaciones exteriores de la Nación, o al que por imprudencia o negligencia diere a conocer los secretos mencionados anteriormente, de los que se hallare en posesión en virtud de su empleo u oficio (Arts. 222 y 223).
Asimismo, deberá considerarse lo establecido en el Decreto 1172/03 (B. O. 26-IX-2001), que regula el acceso a la información pública por parte de los ciudadanos.
12.4.7. Prevención del Uso Inadecuado de los Recursos Informáticos
Todos los usuarios de recursos informáticos del MTEySS (ver Puntos 2.12 y 3.4.11) deben conocer el alcance preciso del uso adecuado de los recursos informáticos y deben respetarlo.
En particular, se respetará lo dispuesto por las siguientes normas:
· Ley Marco de Regulación de Empleo Público Nacional. Ley Nș 25.164: Prohíbe hacer uso indebido o con fines particulares del patrimonio estatal.
· Convenio Colectivo de Trabajo General: Obliga a los agentes a no hacer uso indebido o con fines particulares del patrimonio estatal.
· Etica en el Ejercicio de la Función Pública. Ley Nș 25.188: Obliga a las personas que se desempeñen en la función pública a proteger y conservar la propiedad del Estado y sólo emplear sus bienes con los fines autorizados.
· Código de Etica de la Función Pública: Obliga al funcionario público a proteger y conservar los bienes del Estado y utilizar los que le fueran asignados para el desempeño de sus funciones de manera racional, evitando su abuso, derroche o desaprovechamiento.
12.4.8. Regulación de Controles para el Uso de Criptografía y Firma Digital
Al utilizar firmas digitales o electrónicas, se deberá considerar lo dispuesto por la Ley Nș 25.506 y su decreto reglamentario Decreto Nș 2628/02 (B. O. 20-XII-2002), que establecen las condiciones bajo las cuales una firma digital es legalmente válida.
Respecto a la comercialización de controles criptográficos, nuestro país ha suscripto el acuerdo Wassennar, que establece un listado de materiales y tecnologías de doble uso, cuya comercialización puede ser considerada peligrosa.
El Decreto Nș 603/92 (B. O. 23-III-1992) regula el Régimen de Control de las Exportaciones Sensitivas y de Material Bélico, estableciendo un tratamiento especial para la exportación de bienes indicados como material bélico.
En caso de transferencia de información cifrada, o controles criptográficos, a otro país, se requiere obtener asesoramiento previo. Para ello, se puede consultar a la Dirección General de Política, de la Secretaría de Asuntos Militares, Ministerio de Defensa, a fin de saber si el material exportable requiere algún tratamiento especial.
12.4.9. Recolección de Evidencia
En caso de efectuar una acción contra una persona u organización, es necesario contar con adecuada evidencia respaldatoria. Siempre que esta acción responda a una medida disciplinaria interna, la evidencia necesaria estará descrita en los procedimientos internos.
Cuando la acción implique la aplicación de una ley, tanto civil como penal, la evidencia presentada debe cumplir con lo establecido por las normas procesales. Para lograr la validez en la evidencia, el Organismo garantizará que sus sistemas de información cumplan con la normativa, estándares y/o códigos de práctica relativos a la producción de evidencia.
Para lograr calidad e integridad en la evidencia es necesaria una sólida pista de la misma.
La pista se establecerá cumpliendo las siguientes condiciones:
a) almacenar los documentos en papel originales en forma segura. Se mantendrán registros acerca de quién, dónde, y cuándo se halló la evidencia, además de indicar si alguien más presenció el hallazgo,
b) cualquier investigación debe garantizar que los originales no sean alterados.
c) efectuar copias de la información, para garantizar su disponibilidad. Se mantendrá un registro de todas las acciones realizadas durante el proceso de copia,
d) la copia de los medios, y su registro, se almacenará en forma segura,
e) cuando se detecta un incidente, puede no resultar obvio si éste derivará en una demanda legal. Por lo tanto, se deben tomar todos los recaudos establecidos para la obtención y preservación de la evidencia.
Se tendrá presente lo dispuesto por el Reglamento de Investigaciones Administrativas. Dicho Reglamento constituye un procedimiento administrativo especial, de naturaleza correctiva interna, que constituye garantía suficiente para la protección de los derechos y el correcto ejercicio de las responsabilidades impuestas a los agentes públicos.
Lo anterior debe complementarse por lo dispuesto en la Ley Nș 19.549 (Ley de Procedimientos Administrativos) y por toda otra normativa aplicable, incluido el Código Penal. Este último sanciona a quien sustrajere, ocultare, destruyere o inutilizare objetos destinados a servir de prueba ante la autoridad competente (Art. 255).
12.5. Revisiones de la Política de Seguridad
12.5.1. Objetivo
La seguridad de los sistemas de información debe revisarse periódicamente. Dichas revisiones tendrán como referencia a las políticas de seguridad. Las plataformas técnicas y los sistemas de información deben ser auditados para verificar su compatibilidad con las políticas y estándares de implementación de seguridad del MTEySS.
12.5.2. Cumplimiento de la Política de Seguridad
Los Responsables Primarios, velarán por la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos, informando al Comité de Seguridad sobre todo incidente o violación.
Los Responsables Seguridad Física y de Sistemas realizarán revisiones periódicas de todas las áreas del Organismo a efectos de garantizar el cumplimiento de las políticas, normas y procedimientos de seguridad de la información. Se revisarán las siguientes áreas:
a) sistemas de información,
b) proveedores de sistemas,
c) propietarios de la información,
d) usuarios.
12.5.3. Revisiones de Cumplimiento
El Responsable de Sistemas y Seguridad revisará periódicamente que todos los sistemas informáticos, cumplan con las políticas, normas y procedimientos de seguridad. Con ello se garantiza la correcta implementación de los controles de hardware y software.
De ser necesario, las revisiones contemplarán asistencia técnica especializada y/o herramientas de software. Los resultados se volcarán en informes técnicos a ser interpretados por los especialistas.
La verificación del cumplimiento comprenderá pruebas de penetración, teniendo como objetivos la detección de vulnerabilidades y la verificación de la eficacia de los controles de prevención de accesos no autorizados.
Para las pruebas de penetración se tomarán todos los recaudos necesarios a fin de no se comprometer la seguridad de los sistemas en producción.
Las verificaciones de cumplimiento serán realizadas por personal competente, formalmente autorizado y bajo la supervisión de los Responsables Primarios, de Sistemas, y/o de Seguridad Física, según corresponda.
12.6. Consideraciones de Auditoría de Sistemas
Con relación a las auditorías, serán de aplicación las Normas de Control Interno para Tecnologías de Información, aprobadas por la Resolución SIGEN Nș 48/05.
12.6.1. Controles de Auditoría de Sistemas
Para las actividades de auditoría, se tomarán recaudos en la planificación de los requerimientos y tareas, especialmente en los sistemas en producción. A fin de minimizar riesgos de interrupciones, se efectuará un acuerdo previo con los Responsables Primarios de las áreas que serán auditadas.
Se contemplarán los siguientes puntos:
a) los requerimientos de auditoría se acordarán con el Responsable Primario del área a auditar,
b) el Responsable de la Unidad de Auditoría Interna controlará el alcance de las verificaciones,
c) las verificaciones se implementarán a través de accesos de sólo lectura, tanto sobre el software y como sobre los datos. En caso contrario, se tomarán los resguardos necesarios a efectos de aislar y contrarrestar los efectos de modificaciones realizadas, una vez finalizada la auditoría. Por ejemplo:
· se eliminarán archivos transitorios,
· se eliminarán datos incorporados en archivos maestros, en el curso de las verificaciones,
· se revertirán transacciones,
· se revocarán los privilegios otorgados para efectuar las verificaciones,
d) identificar claramente los recursos informáticos a ser utilizados por los auditores. A tal efecto, el Responsable de la Unidad de Auditoría completará el siguiente cuadro, que será divulgado en las áreas involucradas
|
Recursos de TI a utilizar en la Verificación |
|
|
Sistemas de información Base de datos |
...................................... ...................................... |
|
Hardware |
...................................... |
|
Software de Auditoría Medios Magnéticos . |
...................................... ................................... |
|
Personal de Auditoría |
...................................... |
|
Interlocutores de las Areas de Informática Interlocutores de las Areas Usuarias |
...................................... ...................................... |
|
Conexiones a Red |
.................................. |
e) identificar y acordar requerimientos de procesamiento especiales o adicionales,
f) monitorear y registrar todos los accesos, a fin de generar una pista de referencia. Los datos a resguardar deben incluir como mínimo:
· fecha y hora,
· puesto de trabajo,
· usuario,
· tipo de acceso,
· identificación de los datos accedidos,
· estado previo y posterior,
· programa y/o función utilizada,
g) documentar todos los procedimientos de auditoría, requerimientos y responsabilidades.
12.6.2. Protección de los Elementos Utilizados por la Auditoría de Sistemas
Se protegerá el acceso a los archivos de datos y/o software utilizados en la auditoría de sistemas, a fin de evitar el mal uso o el compromiso de los mismos.
Las herramientas utilizadas se aislarán de los sistemas en producción, prueba y desarrollo, de forma de brindarles el nivel de protección requerido.
Se tomarán los recaudos necesarios a efectos de cumplimentar las normas de auditoría dispuestas por la Sindicatura General de la Nación.
12.7. Sanciones Previstas por Incumplimiento
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de Seguridad conforme a lo dispuesto por las normas estatutarias, escalafonarias y convencionales que rigen al personal de la Administración Pública Nacional. En caso de corresponder, se realizarán las acciones correspondientes ante el o los Organismos pertinentes.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo las formalidades impuestas por los preceptos constitucionales, la Ley de Procedimiento Administrativo y demás normativas específicas aplicables.
Amén de las sanciones disciplinarias o administrativas, el agente que no da debido cumplimiento a sus obligaciones puede incurrir también en:
· responsabilidad civil o patrimonial cuando ocasiona un daño que debe ser indemnizado y/o,
· responsabilidad penal cuando su conducta constituye un comportamiento considerado delito por el Código Penal y leyes especiales.
Bibliografía y Fuentes de Información
Modelo de Políticas de Seguridad de la Información para la Administración Pública
Norma IRAM ISO-IEC 17799, Código de Práctica para la Gestión de la Seguridad de la Información.
e. 03/09/2008 Nș 8174/08 v. 03/09/2008