Bs. As., 23/4/2010

VISTO el Expediente Nº 024-99812242276-790 del Registro de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), los Decretos Nº 2105 de fecha 4 de diciembre de 2008, Nº 994 de fecha 28 de julio de 2009, la Decisión Administrativa de Jefatura de Gabinete Nº 669 de fecha 20 de diciembre de 2004, la Resolución SIGEN Nº 48 de fecha 5 de mayo de 2005 de la SINDICATURA GENERAL DE LA NACION, la Resolución SGP Nº 45 de fecha 24 de junio de 2005 de la SUBSECRETARIA DE GESTION PUBLICA, la Disposición ONTI Nº 6 de fecha 3 de agosto de 2005 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION, las Resoluciones D.E.-N Nº 262 de fecha 30 de agosto de 1999, D.E.-N Nº 405 de fecha 26 de octubre de 1999, D.E.-N Nº 366 de fecha 6 de abril de 2004, D.E.-N Nº 693 de fecha 28 de agosto de 2008, D.E.-A Nº 036 de fecha 21 de enero de 2009, D.E-A Nº 239 de fecha 29 de abril de 2009, D.E.-A Nº 038 de fecha 11 de agosto de 2009, del Registro de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), y

CONSIDERANDO:

Que la Decisión Administrativa de Jefatura de Gabinete Nº 669 del 20 de diciembre de 2004, define que los Organismos del Sector Público Nacional comprendidos en su artículo 7º, deberán dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo.

Que, asimismo, dispone en sus artículos 2º y 3º que los mencionados organismos, deberán conformar un COMITE DE SEGURIDAD DE LA INFORMACION, así como designar un coordinador del mismo.

Que en su artículo 4º detalla las funciones que deberá cumplir el COMITE DE SEGURIDAD DE LA INFORMACION señalado en el párrafo precedente.

Que la Resolución SIGEN Nº 48 del 5 de mayo de 2005 aprueba las Normas de Control Interno para Tecnología de Información para el Sector Público Nacional, estableciendo en su acápite 9.1, referente a la Seguridad, que se debe garantizar el cumplimiento de las normas establecidas en cuanto al deber de disponer de una política de seguridad de la información.

Que la Resolución SGP Nº 45 del 24 de junio de 2005 faculta al Sr. DIRECTOR NACIONAL de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA a aprobar la Política de Seguridad de la Información Modelo y dictar las normas aclaratorias y complementarias que requiera la aplicación de la Decisión Administrativa Nº 669/04.

Que la Disposición ONTI Nº 6 del 3 de agosto de 2005 aprueba la "Política de Seguridad de la Información Modelo" referida precedentemente. Asimismo establece en el acápite 4.1.1. de su Anexo I, que la seguridad de la información es una responsabilidad del Organismo compartida por todas las Autoridades, por lo cual debe crearse el COMITE DE SEGURIDAD DE LA INFORMACION, integrado por representantes de todas las áreas sustantivas del Organismo, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad.

Que asimismo establece las misiones y funciones que tendrá el COMITE DE SEGURIDAD DE LA INFORMACION.

Que la Resolución D.E.-N Nº 262 del 30 de agosto de 1999 y la Resolución D.E.-N. Nº 693 del 28 de agosto de 2008 conforman las POLITICAS DE CONTROL INTERNO PARA LA TECNOLOGIA DE LA INFORMACION de ANSES, cumplimentando los requerimientos de la Política de Seguridad Modelo aprobada por la Disposición ONTI Nº 06/05.

Que la Resolución D.E.-N Nº 262/99 dispuso que las normativas, prácticas y procedimientos que se aprueben en materia de seguridad informática será norma permanente de la actuación de ANSES.

Que en su artículo 3º dispuso la creación en al ámbito de esta administración y con carácter permanente del COMITE DE SEGURIDAD INFORMATICA, que tendrá por misión coordinar la elaboración de las normas y elevarlas para su aprobación, debiendo a tal fin identificar las necesidades, procedimientos y prácticas de seguridad, compatibilizando las mismas con las normas existentes que resulten de aplicación.

Que el artículo 4º de dicha resolución establece que el COMITE creado estará conformado por el Gerente General, el Gerente de Sistemas y Telecomunicaciones, el Gerente de Productos y Servicios, el Gerente de Control y Prevención de Fraude, el Gerente de Seguridad Informática y el Gerente de Auditoría de Sistemas; como así también por los gerentes de las áreas cuya convocatoria resulte necesaria para el tratamiento y resolución de temas específicos.

Que la Resolución D.E.-N Nº 405 del 26 de octubre de 1999 delega en el COMITE DE SEGURIDAD INFORMATICA la facultad de aprobar las normas, procedimientos y prácticas derivadas de la aplicación en esta Administración Nacional de lo establecido por la Resolución D.E.-N Nº 262/99.

Que por la Resolución D.E.-N Nº 366 del 6 de abril de 2004 se aprueba la normativa sobre la composición y funcionamiento del Comité de Seguridad Informática, así como el circuito de aprobación de Normas de Procedimiento para la gestión de la Seguridad Informática.

Que en su anexo I, acápite III, establece que la presidencia del Comité será ejercida por la Gerencia General.

Que por el Decreto Nº 2105 del 4 de diciembre de 2008, se sustituyó en la estructura organizativa funcional de la ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), la GERENCIA GENERAL y las GERENCIAS que le dependen, por TRES (3) SUBDIRECCIONES dependientes de la DIRECCION EJECUTIVA (SUBDIRECCION DE ADMINISTRACION, SUBDIRECCION DE PRESTACIONES y SUBDIRECCION DE OPERACION DEL FONDO DE GARANTIA DE SUSTENTABILIDAD DEL SISTEMA INTEGRADO PREVISIONAL ARGENTINO (FGS)), delineándose además sus responsabilidades primarias y acciones.

Que por la Resolución D.E.-A Nº 36 del 21 de enero de 2009, se aprobaron las aperturas inferiores con rango de Gerencias de Primera Línea dependientes en forma directa de la Dirección Ejecutiva de ANSES.

Que por la Resolución D.E.-A Nº 239 del 29 de abril de 2009, se aprobaron las aperturas inferiores con nivel de Gerencia de Primera Línea dependientes de cada una de las Subdirecciones de la Dirección Ejecutiva y las aperturas inferiores con nivel de Gerencias de Segunda Línea de las Gerencias de Primera Línea y aquéllas de similar nivel dependientes de la Unidad de Auditoría Interna, la Gerencia Secretaría General y la Gerencia Planeamiento.

Que a los fines de asegurar el correcto funcionamiento del COMITE DE SEGURIDAD INFORMATICA resulta necesario actualizar las normas que establecen las áreas que lo componen y quien ejerce la presidencia del mismo, en virtud de que aquéllas han quedado desactualizadas como consecuencia de las subdirecciones creadas por el Decreto Nº 2105/08 y la nueva estructura funcional de ANSES dispuesta por el Decreto 994/09 y las resoluciones D.E.-N Nº 036/09, D.E.-N Nº 239/09 y D.E.-A Nº 038/09.

Que el inciso b) del artículo 1º del Decreto 2105/08 establece, entre otras, como responsabilidades primarias de la Subdirección de Administración, la administración, mantenimiento y operación de la tecnología informática y de comunicaciones, el asesoramiento y la gestión de la actividad jurídica, el diseño de los procesos, soluciones informáticas y normatización de los aspectos prestacionales y de apoyo.

Que el Anexo I de la Resolución D.E.-A Nº 239/09 establece que de la Subdirección de Administración dependen funcionalmente, entre otras, la Gerencia Informática e Innovación Tecnológica y la Gerencia Diseño de Normas y Procesos.

Que las misiones y funciones definidas para la Subdirección de Administración mediante en el Decreto 2105/08 y la dependencia funcional de las Gerencias Informática e Innovación Tecnológica, y Diseño de Normas y Procesos ameritan que la mencionada Subdirección forme parte del Comité de Seguridad Informática y ejerza la presidencia de éste.

Que las misiones y funciones establecidas por la Resolución D.E.-A Nº 239/09 para las Gerencias Informática e Innovación Tecnológica, Diseño de Normas y Procesos, Control Prestacional, Seguridad Informática y Auditoría de Sistemas ameritan que las mismas continúen formando parte del COMITE DE SEGURIDAD INFORMATICA.

Que la presente Resolución se dicta en ejercicio de las facultades conferidas por el artículo 3º del Decreto Nº 2741/91, el artículo 1º del decreto 754/08, el artículo 1º del Decreto 2105/08 y la Resolución D.E.-A Nº 239/09.

Por ello,

EL DIRECTOR EJECUTIVO DE LA ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL

RESUELVE:

ARTICULO 1º — Sustitúyese el artículo 3º de la Resolución D.E.-N Nº 262 de fecha 30 de agosto de 1999 por el siguiente:

"Artículo 3º — Créase en el ámbito de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL con carácter permanente el COMITE DE SEGURIDAD INFORMATICA, que tendrá por misión:

1. Revisar y proponer a la máxima autoridad del organismo para su aprobación, la Política y las responsabilidades generales en materia de seguridad de la información.

2. Monitorear cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes.

3. Tomar conocimiento y supervisar la investigación y el monitoreo de los incidentes relativos a la seguridad.

4. Aprobar las principales iniciativas para incrementar la seguridad de la información.

5. Acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información.

6. Garantizar que la seguridad sea parte del proceso de planificación de la información.

7. Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.

8. Promover la difusión y apoyo, a la seguridad de la información dentro del Organismo.

9. Coordinar el proceso de administración de la continuidad de la operatoria de los sistemas de tratamiento de información del Organismo frente a interrupciones imprevistas."

ARTICULO 2º — Sustitúyese el artículo 4º de la Resolución D.E.-N Nº 262 de fecha 30 de agosto de 1999 por el siguiente:

"Artículo 4º — El COMITE creado en el artículo anterior estará conformado por el Subdirector de Administración, el Gerente de Informática e Innovación Tecnológica, el Gerente de Diseño de Normas y Procesos, el Gerente de Control Prestacional, el Gerente de Seguridad Informática y el Gerente de Auditoría de Sistemas; como así también por los Gerentes de las áreas cuya convocatoria resulte necesaria para el tratamiento y resolución de temas específicos."

ARTICULO 3º — Sustitúyese el acápite III del anexo I de la Resolución D.E.-N Nº 366 de fecha 06 de abril de 2004 por el siguiente:

"Anexo I. Acápite III.- Composición del Comité de Seguridad Informática. Los miembros permanentes del Comité serán la Subdirección de Administración, las Gerencias de Control Prestacional, Informática e Innovación Tecnológica, Diseño de Normas y Procesos, Seguridad Informática y Auditoría de Sistemas.

La Resolución D.E.-N Nº 262/99 prevé la participación del resto de las gerencias cuando los temas específicos a tratar lo hagan necesario.

La presidencia del Comité será ejercida por el Subdirector de Administración. Con el objeto de propender a una mejor organización del mencionado Comité, se designa un miembro Coordinador, designación que recae sobre la Gerencia Seguridad Informática."

ARTICULO 4º — Regístrese, comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Lic. DIEGO LUIS BOSSIO, Director Ejecutivo.

e. 30/04/2010 Nº 45286/10 v. 30/04/2010