SECTOR PÚBLICO NACIONAL
Decisión Administrativa 641/2021
DECAD-2021-641-APN-JGM - Requisitos mínimos de Seguridad de la Información para Organismos.
Ciudad de Buenos Aires, 25/06/2021
VISTO el Expediente No EX-2021-00877103-APN-SIP#JGM, la Ley de
Ministerios (texto ordenado por Decreto N° 438 del 12 de marzo de 1992
y sus modificatorias), la Ley N° 24.156 y sus modificatorias, los
Decretos Nros. 577 del 28 de julio de 2017 y su modificatorio, 50 del
19 de diciembre de 2019 y sus modificatorios, las Decisiones
Administrativas Nros. 669 del 20 de diciembre de 2004 y su
modificatoria y 1865 del 14 de octubre de 2020, las Resoluciones de la
ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN Nros. 829 del 24 de mayo de
2019 y 1523 del 12 de septiembre de 2019 y la Disposición de la OFICINA
NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N° 1 del 19 de febrero de 2015, y
CONSIDERANDO:
Que por la Decisión Administrativa N° 669/04 se estableció que los
organismos del Sector Público Nacional comprendidos en los incisos a) y
c) del artículo 8° de la Ley N° 24.156 y sus modificatorias debían
dictar o bien adecuar sus políticas de seguridad de la información
conforme a la Política de Seguridad Modelo a dictarse dentro del plazo
de CIENTO OCHENTA (180) días de aprobada dicha Política de Seguridad
Modelo.
Que por el Decreto N° 577/17 modificado por su similar N° 480 del 11 de
julio de 2019 se creó el COMITÉ DE CIBERSEGURIDAD en la órbita de la
ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE
DE MINISTROS, el cual tiene por objetivo la elaboración de la
Estrategia Nacional de Ciberseguridad.
Que, asimismo, por el citado decreto se encomendó a la ex-SECRETARÍA DE
GOBIERNO DE MODERNIZACIÓN o a quien esta designara, impulsar los actos
administrativos y demás acciones necesarias para la implementación de
la Estrategia Nacional de Ciberseguridad que apruebe el COMITÉ DE
CIBERSEGURIDAD, así como de los objetivos en ella contenidos.
Que dentro de este marco normativo, por la Resolución N° 829/19 de la
ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN se aprobó la ESTRATEGIA
NACIONAL DE CIBERSEGURIDAD y se creó, en el marco del referido COMITÉ
DE CIBERSEGURIDAD y en la órbita de la ex-SECRETARÍA DE GOBIERNO DE
MODERNIZACIÓN, la Unidad Ejecutiva, cuyas funciones se consignan en el
ANEXO II de esa medida.
Que por la Resolución N° 1523/19 de la ex-SECRETARÍA DE GOBIERNO DE
MODERNIZACIÓN se aprobó la definición de Infraestructuras Críticas y de
Infraestructuras Críticas de Información, la enumeración de los
criterios de identificación y la determinación de los sectores
alcanzados.
Que la resolución citada en el considerando anterior define a las
Infraestructuras Críticas como aquellas que resultan indispensables
para el adecuado funcionamiento de los servicios esenciales de la
sociedad, la salud, la seguridad, la defensa, el bienestar social, la
economía y el funcionamiento efectivo del Estado, cuya destrucción o
perturbación, total o parcial, los afecte y/o impacte
significativamente.
Que, de igual modo, la mencionada resolución determina como
Infraestructuras Críticas de Información a aquellas tecnologías de
información, operación y comunicación, así como la información
asociada, que resultan vitales para el funcionamiento o la seguridad de
las Infraestructuras Críticas.
Que se ha producido en los últimos años un incremento sustancial en el
uso de las Tecnologías de la Información y las Comunicaciones en el
ámbito del Sector Público Nacional, al punto de que se han tornado
indispensables para el desenvolvimiento de toda la actividad de las
entidades y jurisdicciones que lo componen, tanto en lo que se refiere
a la gestión interna como a los servicios que prestan a la sociedad.
Que el intenso uso de las Tecnologías de la Información y las
Comunicaciones conlleva asimismo un notable aumento de los riesgos y
amenazas a los activos de información y a los sistemas esenciales
utilizados para brindar de manera eficiente y constante los múltiples
servicios que desde el Sector Público Nacional se prestan.
Que las nuevas formas de ataques informáticos y la actividad maliciosa
en general avanzan y se modifican en forma vertiginosa, obligando a
mantener actualizadas las herramientas, protocolos y marcos normativos,
con el fin de proteger adecuadamente la infraestructura, los activos de
información y principalmente los datos personales, que son en
definitiva un patrimonio de los ciudadanos en su conjunto.
Que resulta necesario avanzar en el proceso de fortalecimiento de la
seguridad de la información que reciben, producen y administran las
entidades y jurisdicciones del Sector Público Nacional comprendidas en
el inciso a) del artículo 8° de la Ley N° 24.156 de Administración
Financiera y de los Sistemas de Control del Sector Público Nacional y
sus modificatorias, con el fin de dotarlas de las características de
confidencialidad, integridad y disponibilidad.
Que por lo expuesto, y atento al incremento, cantidad y variedad de
amenazas y vulnerabilidades que rodean a los activos de información,
corresponde derogar la Decisión Administrativa N° 669/04 y la
Disposición de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N°
1/15 -por la que oportunamente se aprobara la “Política de Seguridad de
la Información Modelo”-, puesto que las mismas han perdido virtualidad
y no reflejan en forma apropiada la situación actual en la materia ni
sientan las bases normativas que permitan mantener adecuadamente
actualizados los niveles de seguridad de la información que ingresa, y
la que generan y producen las entidades y jurisdicciones del Sector
Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley
N° 24.156 de Administración Financiera y de los Sistemas de Control del
Sector Público Nacional y sus modificatorias.
Que si bien la referida Decisión Administrativa N° 669/04 consideraba
en el alcance de la norma a las entidades comprendidas en los incisos
a) y c) del artículo 8° de la ley citada precedentemente, debido a las
características que revisten los requisitos mínimos exigidos se ha
considerado más apropiado acotar el alcance de la presente medida a los
organismos pertenecientes a la Administración Central y a aquellos
descentralizados.
Que, asimismo, la información puede ser objeto de una amplia gama de
usos indebidos, debiéndose preservar su confidencialidad, integridad y
disponibilidad, con el fin de garantizar la prestación continua e
ininterrumpida de los diversos servicios prestados por el Sector
Público Nacional.
Que, en este marco, se torna necesario que cada entidad y jurisdicción
del Sector Público Nacional comprendida en el inciso a) del artículo 8°
de la Ley N° 24.156 de Administración Financiera y de los Sistemas de
Control del Sector Público Nacional y sus modificatorias sea capaz de
prevenir que sus sistemas de información se vean afectados,
implementando, a tal fin, un Plan de Seguridad.
Que a tales fines es indispensable determinar una serie de requisitos
mínimos de seguridad para el tratamiento de los datos y los activos de
información que gestionan las entidades y jurisdicciones del Sector
Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley
N° 24.156 de Administración Financiera y de los Sistemas de Control del
Sector Público Nacional y sus modificatorias, con el fin de adecuarlos
a las buenas prácticas y estándares nacionales e internacionales, que
contemple tanto la ampliación y profundización en el uso del espacio
digital como la emergencia de las nuevas amenazas y riesgos para la
confidencialidad, integridad y disponibilidad de la información.
Que, en consecuencia, a los efectos de facilitar la elaboración y
ejecución de los Planes de Seguridad mencionados y elevar, a la par,
los niveles de seguridad de los sistemas de información de las
entidades y jurisdicciones del Sector Público Nacional comprendidos en
el inciso a) del artículo 8° de la Ley N° 24.156 de Administración
Financiera y de los Sistemas de Control del Sector Público Nacional y
sus modificatorias, deviene necesario aprobar los “REQUISITOS MÍNIMOS
DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO
NACIONAL” y establecer todos aquellos recaudos complementarios
necesarios.
Que en función de lo expresado es necesario que cada una de las
entidades y jurisdicciones del Sector Público Nacional comprendida en
el inciso a) del artículo 8° de la Ley N° 24.156 y sus modificatorias
asuma la obligación de proteger adecuadamente la información que
gestiona, a través de la urgente adopción de medidas preventivas,
detectivas y correctivas específicas, destinadas a proteger dicha
información y recursos, de conformidad con sus competencias y funciones
y en concordancia con los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA
INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”.
Que, consecuentemente, deviene indispensable que cada entidad y
jurisdicción alcanzada por la presente decisión administrativa, en el
marco del Plan de Seguridad que apruebe y a los fines del cumplimiento
de los requisitos de seguridad, apruebe una Política de Seguridad de la
Información.
Que la Ley de Ministerios (texto ordenado por Decreto N° 438 del 12 de
marzo de 1992 y sus modificatorias) establece entre las atribuciones
del Jefe de Gabinete de Ministros la de “Entender en el diseño y
ejecución de políticas relativas al empleo público, a la innovación de
gestión, a la modernización de la Administración Pública Nacional, al
régimen de compras y contrataciones, a las tecnologías de la
información, las telecomunicaciones, los servicios de comunicación
audiovisual y los servicios postales”.
Que por el Decreto Nº 139 del 4 de marzo de 2021 se incorporó a las
funciones que el Decreto N° 50/19 le asignaba a la SECRETARÍA DE
INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS, el objetivo
de “Entender en la ciberseguridad y protección de infraestructuras
críticas de información y comunicaciones asociadas del Sector Público
Nacional y de los servicios de información y comunicaciones definidos
en el artículo primero de la Ley Nº 27.078”.
Que, asimismo, por el Decreto N° 139/21 antes mencionado se establece
además como función de la SUBSECRETARÍA DE TECNOLOGÍAS DE LA
INFORMACIÓN Y LAS COMUNICACIONES de la SECRETARÍA DE INNOVACIÓN
PÚBLICA, la de “Proponer a la Secretaría estrategias, estándares y
regulaciones para la ciberseguridad y protección de infraestructuras
críticas de la información y las comunicaciones asociadas del Sector
Público Nacional y de los servicios de información y comunicaciones
definidos en el artículo primero de la Ley Nº 27.078”.
Que a través de la Decisión Administrativa Nº 1865/20 se aprobó la
estructura organizativa del primer y segundo nivel operativo de la
JEFATURA DE GABINETE DE MINISTROS, estableciendo como Responsabilidad
Primaria de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE
INNOVACIÓN PÚBLICA la de “Entender en todos los aspectos relativos a la
ciberseguridad y a la protección de las infraestructuras críticas de
información, así como también a la generación de capacidades de
prevención, detección, defensa, respuesta y recupero ante incidentes de
seguridad informática del Sector Público Nacional”.
Que, asimismo, la mencionada decisión administrativa definió, entre las
acciones de la citada DIRECCIÓN NACIONAL DE CIBERSEGURIDAD, las de:
diseñar políticas de ciberseguridad, en coordinación con los organismos
del ESTADO NACIONAL con competencia en la materia; elaborar planes,
programas y proyectos con perspectiva federal en materia de
ciberseguridad, en el ámbito de competencia de la Secretaría;
participar en las acciones destinadas a implementar los objetivos
fijados en la Estrategia Nacional de Ciberseguridad, articulando
proyectos con las diferentes áreas del ESTADO NACIONAL involucradas y
proponer proyectos de normas relacionados con la ciberseguridad en la
REPÚBLICA ARGENTINA, en coordinación con las áreas con competencia en
la materia.
Que en este marco resulta pertinente el dictado de un acto
administrativo que contribuya a que paulatinamente se incorporen
controles que permitan una gestión más responsable, segura y
transparente de la información que es tratada por ciertas áreas del
Sector Público Nacional.
Que han tomado la intervención de su competencia los servicios jurídicos pertinentes.
Que la presente medida se dicta en ejercicio de las facultades
conferidas por el artículo 100, inciso 1 de la CONSTITUCIÓN NACIONAL.
Por ello,
EL JEFE DE GABINETE DE MINISTROS
DECIDE:
ARTÍCULO 1°.- Apruébanse los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA
INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL” que como
ANEXO I (IF-2021-50348419-APN-SSTIYC#JGM) forman parte integrante de la
presente medida.
ARTÍCULO 2°.- La presente decisión administrativa será de aplicación a
las entidades y jurisdicciones del Sector Público Nacional comprendidas
en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración
Financiera y de los Sistemas de Control del Sector Público Nacional y
sus modificatorias y a los proveedores que contraten con esas entidades
y jurisdicciones, en todo aquello que se encuentre relacionado con las
tareas que realicen y en los términos que establezca cada una de ellas,
normativa o contractualmente.
ARTÍCULO 3°.- Las entidades y jurisdicciones del Sector Público
Nacional comprendidas en el artículo 2° de esta medida deberán aprobar
sus Planes de Seguridad en el plazo máximo de NOVENTA (90) días desde
la entrada en vigencia de la presente. Dichos Planes de Seguridad
deberán establecer los plazos en que se dará cumplimiento a cada uno de
los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS
ORGANISMOS DEL SECTOR PÚBLICO NACIONAL” establecidos en el ANEXO I de
la presente; plazo que no podrá ser posterior al 31 de diciembre de
2022.
ARTÍCULO 4°.- Los Planes de Seguridad mencionados en el artículo 3°
deberán ser remitidos a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la
SECRETARÍA DE INNOVACIÓN PÚBLICA, dependiente de la JEFATURA DE
GABINETE DE MINISTROS y/o a la que en el futuro la reemplace, dentro de
un plazo máximo de NOVENTA (90) días desde la entrada en vigencia de la
presente.
ARTÍCULO 5°.- Las máximas autoridades de las entidades y jurisdicciones
comprendidas en el artículo 2° de la presente deberán asignar las
funciones relativas a la seguridad de sus sistemas de información al
área con competencia en la materia e informar, mediante Comunicación
Oficial a través del Sistema de Gestión Documental Electrónica (GDE) a
la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN
PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS el nombre, apellido y
datos de contacto del responsable del área designada, dentro del plazo
de SESENTA (60) días corridos desde la entrada en vigencia de la
presente medida.
ARTÍCULO 6°.- Las entidades y jurisdicciones comprendidas en el
artículo 2° de esta medida deberán adoptar las medidas preventivas,
detectivas y correctivas destinadas a proteger la información que
reciban, generen o gestionen como asimismo sus recursos.
ARTÍCULO 7°.- Las entidades y jurisdicciones establecidas en el
artículo 2° de la presente medida deberán reportar a la DIRECCIÓN
NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la
JEFATURA DE GABINETE DE MINISTROS los incidentes de seguridad que se
produzcan dentro de sus ámbitos, dentro de las CUARENTA Y OCHO (48)
horas de tomado conocimiento de su ocurrencia o de su potencial
ocurrencia.
ARTÍCULO 8°.- Encomiéndase a la SECRETARÍA DE INNOVACIÓN PÚBLICA de la
JEFATURA DE GABINETE DE MINISTROS o a quien esta designe, la revisión y
actualización periódica de los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA
INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, como
asimismo el dictado de las normas complementarias y aclaratorias de la
presente medida.
ARTÍCULO 9°.- Deróganse la Decisión Administrativa N° 669 del 20 de
diciembre de 2004 y la Disposición de la OFICINA NACIONAL DE
TECNOLOGÍAS DE INFORMACIÓN N° 1 del 19 de febrero de 2015.
ARTÍCULO 10.- Invítase a las entidades y jurisdicciones enumeradas en
los incisos b), c) y d) del artículo 8° de la Ley N° 24.156 de
Administración Financiera y de los Sistemas de Control del Sector
Público Nacional y sus modificatorias, a los Gobiernos Provinciales, de
la Ciudad Autónoma de Buenos Aires y Municipales, y a los Poderes
Legislativo y Judicial de la Nación a adherir a la presente.
ARTÍCULO 11.- La DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA
DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS
verificará el cumplimiento de las disposiciones de la presente medida,
sin perjuicio de las competencias asignadas a la SINDICATURA GENERAL DE
LA NACIÓN.
ARTÍCULO 12.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
Santiago Andrés Cafiero - Eduardo Enrique de Pedro
NOTA: El/los Anexo/s que integra/n este(a) Decisión Administrativa se
publican en la edición web del BORA -www.boletinoficial.gob.ar-
e. 28/06/2021 N° 44521/21 v. 28/06/2021
(Nota
Infoleg:
Los anexos referenciados en la presente norma han sido extraídos de la
edición web de Boletín Oficial. Los mismos pueden consultarse en el
siguiente link: Anexos)
