COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE
Resolución 1381/2016
Buenos Aires, 19/12/2016
VISTO el Expediente N° S02:0133388/2016 del Registro de la COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE, y
CONSIDERANDO:
Que mediante el artículo 1° de la Decisión Administrativa N° 669 del 20
de diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS se
estableció el deber de dictar o adecuar las políticas de seguridad de
la información por parte de los organismos del Sector Público Nacional
comprendidos en los incisos a) y c) del artículo 8° de la Ley N° 24.156
y sus modificatorias, entre los cuales se encuentra comprendida esta
COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE, de conformidad a la
Política de Seguridad Modelo a dictarse a tales efectos.
Que a tales efectos la precitada norma previó la conformación de un
COMITÉ DE SEGURIDAD DE LA INFORMACIÓN por parte de cada uno de los
organismos alcanzados, como así también su integración, coordinación y
funciones, tal las prescripciones de los artículos 2°, 3° y 4° de la
norma citada.
Que la Disposición N° 3 del 27 de agosto de 2013 de la OFICINA NACIONAL
DE TECNOLOGÍAS DE INFORMACIÓN de la JEFATURA DE GABINETE DE MINISTROS
aprobó la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO” como base
para la elaboración de las respectivas políticas a dictarse por cada
organismo, según su propia realidad, particularidades, operatoria y
recursos, precisándose las funciones del Comité de Seguridad de la
Información y de su coordinador, entre otras cuestiones.
Que la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO” dictada
prescribe que el control de la seguridad de la información se debe
implementar desde los niveles gerenciales del conjunto de la
organización.
Que asimismo también prescribe que la máxima autoridad del organismo
debe aprobar la política de seguridad de la información, revisar los
beneficios de su implementación, y evidenciar su compromiso asignando
roles y reconociendo responsabilidades explícitas.
Que la información es un recurso que como el resto de los activos tiene
valor para cualquier organización, y por consiguiente debe ser
debidamente protegido.
Que la seguridad de la información es un proceso destinado a la
protección de los activos de la organización de una amplia gama de
amenazas destinado a preservar la continuidad de los sistemas de
información y de las operaciones, que permite minimizar los riesgos de
daño y asegurar el eficiente cumplimiento de los objetivos.
Que la seguridad de la información resulta esencial para garantizar la
confidencialidad, integridad y la disponibilidad de la información, con
el objeto de prevenir cualquier divulgación no autorizada, reflejar en
forma fiel y exacta la totalidad de la información de cada transacción
de origen y evitar interrupciones o colapsos que puedan provocar la
pérdida de los datos y/o afecten la continuidad de las operaciones.
Que la seguridad de la información se logra implementando adecuados
controles incluyendo el dictado de políticas y el diseño de procesos,
procedimientos, la definición de estructuras organizacionales, de
funciones de software y hardware, todo ello en conjunción con otros
procesos de gestión del organismo.
Que el Comité se concibe como el único canal para realizar propuestas a
la máxima autoridad relativas a la política de seguridad de la
información, el diseño de procedimientos y de sistemas de prevención de
riesgos, a fin de asegurar la homogeneidad y unicidad de criterios y
objetivos en la materia, y garantizar el compromiso de los responsables
principales de la organización en el apoyo y difusión dentro del
organismo.
Que el COMITÉ DE SEGURIDAD DE LA INFORMACIÓN tal como lo determina la
“POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO”, debe garantizar el
apoyo a la DIRECCIÓN EJECUTIVA en relación a las iniciativas de
seguridad, el desarrollo de las mismas y su mantenimiento en el tiempo.
Que de acuerdo con la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO”
corresponde practicar auditorias periódicas sobre los sistemas y
actividades vinculadas con la tecnología de información, debiendo
informar sobre el cumplimiento de las especificaciones y medidas de
seguridad de la información establecidas, y realizar revisiones
independientes sobre la vigencia y el cumplimiento de las políticas
fijadas.
Que de acuerdo con lo establecido por la Resolución N° 48/2005 de la
SINDICATURA GENERAL DE LA NACIÓN, las unidades de auditoria internas
definidas en la Ley N° 24.156 deben contemplar la ejecución de
auditorías de sistemas para efectuar revisiones objetivas de los
controles informáticos.
Que consecuentemente, resulta oportuna la integración del COMITÉ DE
SEGURIDAD DE LA INFORMACIÓN, con la representación de todas las áreas
principales de esta COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE.
Que es conveniente asimismo, establecer el reglamento de funcionamiento del mencionado Comité.
Que la GERENCIA DE ASUNTOS JURÍDICOS de la COMISIÓN NACIONAL DE
REGULACIÓN DEL TRANSPORTE ha tomado la intervención que le compete.
Que la presente resolución se dicta en uso de las facultades conferidas
por el Estatuto de la COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE,
aprobado por Decreto N° 1388 de fecha 29 de noviembre de 1996,
modificado por su similar N° 1661 de fecha 12 de agosto de 2015 (B.O.
20/8/2015), el Decreto N° 118 de fecha 12 de enero de 2016 (B.O.
13/1/2016) y la Decisión Administrativa N° 669 del 20 de diciembre de
2004 de la JEFATURA DE GABINETE DE MINISTROS.
Por ello,
EL DIRECTOR EJECUTIVO DE LA COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE
RESUELVE:
ARTÍCULO 1° — Conformar el COMITÉ DE SEGURIDAD DE LA INFORMACIÓN en el
ámbito de la COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE, de acuerdo
con lo establecido en la Decisión Administrativa N° 669 de fecha 20 de
diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS.
ARTÍCULO 2° — El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN estará integrado
por el Subdirector Ejecutivo, los titulares de todas las Gerencias del
Organismo, los titulares de la Subgerencia de Informática y de la
Subgerencia de Fiscalización y por el titular de la Unidad de Auditoria
Interna, todos ellos con carácter de miembros permanentes.
ARTÍCULO 3° — El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN contará con un
Coordinador designado por la máxima autoridad, que será responsable de
gestionar la coordinación de las acciones que llevará a cabo el Comité,
y de impulsar la implementación y el cumplimiento de la política de
seguridad.
ARTÍCULO 4° — La titularidad del COMITÉ DE SEGURIDAD DE LA INFORMACIÓN
será ejercida por la máxima autoridad del Organismo quien contará con
el apoyo del Coordinador designado según el artículo anterior.
ARTÍCULO 5° — Serán funciones del COMITÉ DE SEGURIDAD DE LA
INFORMACIÓN: a) Revisar y proponer a la máxima autoridad del Organismo
para su aprobación, la Política de Seguridad de la Información y las
funciones generales en materia de seguridad de la información; b)
Monitorear cambios significativos en los riesgos que afectan a los
recursos de información frente a las amenazas más importantes; c) Tomar
conocimiento y supervisar la investigación y monitoreo de los
incidentes relativos a la seguridad; d) Aprobar las principales
iniciativas para incrementar la seguridad de la información, de acuerdo
a las competencias y responsabilidades asignadas a cada área; e)
Acordar y aprobar metodologías y procesos específicos relativos a la
seguridad de la información; f) Garantizar que la seguridad sea parte
del proceso de planificación informática del Organismo; g) Evaluar y
coordinar la implementación de controles específicos de seguridad de la
información para nuevos sistemas o servicios; h) Promover la difusión y
apoyo a la seguridad de la información dentro del Organismo; i)
Coordinar el proceso de administración de la continuidad de la
operatoria de los sistemas de tratamiento de la información del
Organismo frente a interrupciones imprevistas.
ARTÍCULO 6° — Los miembros del COMITÉ DE SEGURIDAD DE LA INFORMACIÓN,
deberán designar representantes que los reemplacen en caso de ausencia,
y asignar dentro de sus ámbitos de responsabilidad la programación,
ejecución y seguimiento de las acciones derivadas del cumplimiento de
la Política de Seguridad que se apruebe.
ARTÍCULO 7° — La Unidad de Auditoria Interna será el responsable de
realizar revisiones independientes sobre la vigencia y el cumplimiento
de la Política de Seguridad de la Información.
ARTÍCULO 8° — El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN sesionará en
reuniones de carácter ordinario o extraordinario, siendo
responsabilidad del Coordinador la elaboración del temario y su
difusión, aprobado por el Titular. Las reuniones ordinarias, se
realizarán en forma mensual. Las reuniones extraordinarias se
efectuarán a requerimiento de cualquiera de los miembros del Comité de
Seguridad de la Información. El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN
sesionará con la presencia de su Titular, o quien éste designe en su
reemplazo, y un representante de la Unidad de Auditoria Interna. La
convocatoria y el temario serán distribuidos a los miembros con un
mínimo de cinco (5) días hábiles de antelación a la reunión, con la
descripción del asunto a tratar, propuesta o antecedentes. Al término
de cada reunión, el Coordinador deberá confeccionar un informe donde se
describirán los temas tratados, sus riesgos y amenazas, la evaluación
de las medidas y recomendaciones adoptadas y detallará los miembros
presentes. La misma se distribuirá a los miembros del COMITÉ DE
SEGURIDAD DE LA INFORMACIÓN dentro de los tres (3) días hábiles
posteriores a la reunión.
ARTÍCULO 9° — Notifíquese a los titulares de todas las Gerencias del
Organismo, a los titulares de la Subgerencia de Informática y de la
Subgerencia de Fiscalización y al titular de la Unidad de Auditoria
Interna, para su conocimiento.
ARTÍCULO 10. — Comuníquese, publíquese, dese a la Dirección Nacional
del Registro Oficial y archívese. — Ing. ROBERTO DOMECQ, Director
Ejecutivo, Comisión Nacional de Regulación del Transporte.
e. 22/12/2016 N° 97374/16 v. 22/12/2016