InfoLEG - Ministerio de Justicia y Derechos Humanos

ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS

Resolución 39/2022

RESFC-2022-39-APN-ORSNA#MTR

Ciudad de Buenos Aires, 12/05/2022

VISTO el EX-2021-74433054-APN-USG#ORSNA, la Ley N° 24.156 y sus modificatorias, el Decreto N° 375 del 24 de abril de 1997, ratificado por el Decreto N° 842 del 27 de agosto de 1997, la Decisión Administrativa N° 669 del 20 de diciembre de 2004 y N° 641 del 25 de junio de 2021, la Disposición N° 1 del 14 de febrero de 2022 de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS y la Resolución N° 51 del 8 de noviembre de 2007 del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS, y

CONSIDERANDO:

Que en las actuaciones que se mencionan en el Visto tramita el nuevo Reglamento denominado “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS” propiciado por el DEPARTAMENTO DE SISTEMAS Y TECNOLOGÍA INFORMÁTICA de la GERENCIA DE ADMINISTRACIÓN Y PRESUPUESTO.

Que cabe considerar que la Decisión Administrativa N° 669 del 20 de diciembre de 2004 estableció que los organismos del Sector Público Nacional comprendidos en los incisos a) y c) del Artículo 8° de la Ley N° 24.156 y sus modificatorias debían dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo.

Que, en dicho marco, se dictó la Resolución N° 51 del 8 de noviembre de 2007 del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA), por medio de la cual, se aprobó la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA)”.

Que posteriormente, la Decisión Administrativa N° 641 del 25 de junio de 2021 derogó la Decisión Administrativa N° 669/04 y aprobó los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, los cuales son aplicables a todas las entidades y jurisdicciones comprendidas en el inc. a) del Articulo 8° de la ley 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias.

Que la mencionada Decisión Administrativa establece, entre otras obligaciones, que los organismos comprendidos deben implementar una Política de Seguridad de la Información, con el fin de proteger adecuadamente los activos tecnológicos esenciales para el desenvolvimiento del organismo.

Que a través de la Disposición N° 1 del 14 de febrero de 2022 de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS se aprobó el “MODELO REFERENCIAL DE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN”.

Que en cumplimiento de lo dispuesto en el Artículo 5° de la Decisión Administrativa N° 641/21, se informó a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD, mediante la Comunicación Oficial N° NO-2022- 20138847-APN-ORSNA#MTR, la asignación de las funciones relativas a la Seguridad de los Sistemas de Información de este Organismo al DEPARTAMENTO DE SISTEMAS Y TECNOLOGÍA INFORMÁTICA, dependiente de la GERENCIA DE ADMINISTRACIÓN Y PRESUPUESTO.

Que, en dicho marco, el DEPARTAMENTO DE SISTEMAS Y TECNOLOGÍA INFORMÁTICA elaboró la “POLITICA DE SEGURIDAD DE LA INFORMACIÓN DEL ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS”.

Que asimismo, el mencionado Departamento a través del Informe Técnico N° IF-2022-39465082-APN-GAYP#ORSNA expuso el estado de situación de los lineamientos que componen la Política de Seguridad de la Información propiciada.

Que la GERENCIA DE RECURSOS HUMANOS, la UNIDAD SECRETARÍA GENERAL y el DEPARTAMENTO DE COMPRAS Y CONTRATACIONES, PATRIMONIO Y SUMINISTROS de la GERENCIA DE ADMINISTRACIÓN Y PRESUPUESTO han tomado conocimiento de la Política propiciada, en lo que hace a sus respectivas competencias.

Que la UNIDAD DE AUDITORIA INTERNA de este Organismo Regulador ha tomado la intervención que le compete, en virtud de las funciones y misiones asignadas por el Artículo 101 del Decreto N° 1344 de fecha 4 de octubre de 2007, reglamentario de la Ley N° 24.156.

Que la GERENCIA DE ASUNTOS JURÍDICOS ha tomado la intervención que le compete.

Que el Directorio del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA), es competente para el dictado de la presente medida conforme Io dispuesto por el Decreto N° 375 del 24 de abril de 1997, el Artículo 3° de la Decisión Administrativa N° 641 del 25 de junio de 2021, y demás normativa citada precedentemente.

Que en Reunión Abierta de Directorio de fecha 11 de mayo de 2022, se ha considerado el asunto, facultándose a los suscriptos a dictar la presente medida.

Por ello,

EL DIRECTORIO DEL ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS

RESUELVE:

ARTÍCULO 1°.- Dejar sin efecto la Resolución N° 51 del 8 de noviembre de 2007 del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS, por medio de la cual, se aprobó la “Política de Seguridad de la Información del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA)”.

ARTÍCULO 2°.- Aprobar la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS” que como Anexo IF-2022-39465803-APN-GAYP#ORSNA integra la presente medida.

ARTÍCULO 3°.- Tener por asignadas las funciones relativas a la Seguridad de los Sistemas de Información al DEPARTAMENTO DE SISTEMAS Y TECNOLOGÍA INFORMÁTICA de la GERENCIA DE ADMINISTRACIÓN Y PRESUPUESTO, de conformidad con lo informado a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS, mediante Comunicación Oficial N° NO-2022-20138847-APN-ORSNA#MTR, en cumplimiento de lo establecido en el artículo 5º de la Decisión Administrativa N° 641/2021.

ARTÍCULO 4°.- Notificar al personal del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA), comunicar a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS, publicar, dar a la DIRECCIÓN NACIONAL DE REGISTRO OFICIAL y cumplido, archivar.

Carlos Pedro Mario Aníbal Lugones Aignasse - Fernando José Muriel

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 16/05/2022 N° 33772/22 v. 16/05/2022

(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)

“Política de Seguridad de la Información del Organismo Regulador del Sistema Nacional de Aeropuertos”

Introducción

El ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (en adelante ORSNA) reconoce la importancia de proteger adecuadamente sus activos de información que, como otros bienes y servicios requeridos para el cumplimiento de los objetivos del Organismo, resulta esencial para el desarrollo de las actividades de su competencia.

Dicha información puede presentarse en diversos formatos (impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos o como contenido multimedia, entre otros). Por lo tanto y sin perjuicio del formato en que se encuentre y del soporte que se utilice, debe estar apropiadamente protegida desde su creación, durante todo su ciclo de vida y hasta su eventual destrucción, desuso o archivo definitivo.

La seguridad de la información es la protección de la información de un rango amplio de amenazas, con el objeto de minimizar los riesgos a los que se encuentra expuesta y asegurar la continuidad de la operación normal del ORSNA. Tiene por objetivos la preservación de la confidencialidad, integridad y disponibilidad de la información.

Dicho estado de protección adecuada se logra implementando un conjunto de mecanismos de seguridad o controles que incluyen entre otros, procesos, políticas, procedimientos, estructuras organizacionales, software y hardware.

Esto se realiza en forma coordinada con otros procesos de gestión del ORSNA, resultando necesario establecer, implementar, monitorear, revisar y mejorar dichos mecanismos para fortalecer el cumplimiento de los objetivos de seguridad específicos.

Del mismo modo, los procesos, sistemas y redes de apoyo son también activos importantes. Definir, lograr, mantener y mejorar la seguridad de la información es esencial para preservarlos, mantener la eficacia en la operación, cumplir con el marco legal y las normas internas, y preservar la imagen institucional del ORSNA y del Estado Nacional en su conjunto.

Los organismos, como cualquier organización enfrentan amenazas de seguridad en sus sistemas y redes de información, cada vez más frecuentes y sofisticadas. La seguridad de la información es importante para el desarrollo de actividades del sector público y para proteger las infraestructuras críticas de información que proveen servicios esenciales a la sociedad. En este aspecto, el Estado puede proveer los servicios en forma directa o ejercer un rol regulatorio que lo obliga a velar por la seguridad de los datos y servicios tratados.

Objeto

La presente Política de Seguridad de la Información (en adelante, PSI) tiene como objetivos:

• Establecer las directrices y líneas de actuación en materia de seguridad de la información que establecen el modo en que el ORSNA debe gestionar y proteger los datos a los que da tratamiento, los recursos tecnológicos que utiliza y los servicios que brinda.

• Detallar lineamientos respecto a la comunicación de esta Política a los funcionarios y empleados del Organismo y demás involucrados internos y externos.

Cabe resaltar que el objetivo principal de esta PSI es definir el propósito, la dirección, los principios, las reglas básicas y los mecanismos de comunicación para la protección de la información del ORSNA, así como de los recursos utilizados en su tratamiento.

El presente documento se dicta en cumplimiento de las disposiciones legales vigentes, tanto externas al ORSNA, como leyes nacionales, decretos, resoluciones y disposiciones que sean aplicables a los datos, los sistemas informáticos y el ambiente tecnológico que utiliza, así como internas de la propia entidad, como políticas, procedimientos, cláusulas contractuales, acuerdos con empleados y terceros, etc.

En consecuencia, una adecuada gestión de la seguridad de la información permite proteger los recursos de información y la tecnología utilizada para su procesamiento, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar la confidencialidad, integridad, disponibilidad de la información, así como el cumplimiento de las normas aplicables.

Alcance

Esta PSI se aplica en todo el ámbito del ORSNA, a sus recursos y a la totalidad de los procesos, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.

Debe ser comunicada fehacientemente y cumplida por todos los funcionarios y agentes que lo integran, cualquiera sea su modalidad de vinculación y contractual y las fuentes de financiamiento correspondientes. En su alcance se encuentran tanto el personal que desempeñe funciones directivas como administrativas o técnicas, cualquiera sea su vínculo/relación contractual, su nivel jerárquico, su situación de revista y las tareas que desempeñe.

Asimismo, debe ser conocida y cumplida por todas aquellas personas, ya sean internos o externos, vinculadas a la entidad a través de contratos, convenios, acuerdos o algún otro instrumento válido para establecer la relación con terceros, en la medida en que les sea aplicable y en las secciones que le corresponden.

Principios básicos

Los principios de la seguridad de la información, en base a la normativa vigente, que son adoptados por el ORSNA son la confidencialidad, la integridad y la disponibilidad de la información a la que le da tratamiento y de los activos de información utilizados para su gestión. La protección de los derechos de los titulares de los datos personales procesados, así como de la información propia del ORSNA, es un objetivo central de esta PSI.

Los contenidos de este documento están alineados y se complementan con el resto de las políticas y normativas internas del ORSNA, que entiende la importancia de gestionar eficazmente la seguridad de la información. En consecuencia, declara su compromiso y total apoyo a la gestión de la seguridad de la información como parte integrante de la gestión del resto de los procesos establecidos en su ámbito.

Asimismo, sus autoridades se comprometen a liderar la mejora continua de los procesos de gestión de seguridad de la información, asegurando su eficacia y eficiencia, procurando asignar los recursos necesarios. Las personas alcanzadas por esta PSI reciben una concientización periódica y pertinente a su función, respecto del compromiso que asumen para cumplir con esta PSI.

En el mismo sentido, el ORSNA se compromete a cumplir con la normativa legal y reglamentaria aplicable a todos los niveles, así como a adaptarse a futuras normas y requisitos del contexto interno o externo y a aquellos que emanan de la vinculación con terceros involucrados.

El incumplimiento de esta política tendrá como resultado la aplicación de sanciones disciplinarias, conforme a la magnitud y característica del aspecto no cumplido, de acuerdo con la normativa aplicable al ORSNA.

Al respecto y de acuerdo a la normativa vigente, se establece como falta el incumplimiento de los lineamientos y disposiciones de esta PSI, por parte de los agentes y funcionarios, en función de lo dispuesto en el marco jurídico aplicable al ORSNA.

El ORSNA establece sus requisitos de seguridad de la información en base a la evaluación y posterior gestión de riesgos de seguridad sobre sus activos de la información.

Revisión y actualización

El ORSNA se compromete a revisar esta PSI anualmente, adaptándola a nuevas exigencias organizativas o del entorno, así como a comunicarla a su personal y a los terceros involucrados. También dispondrá las medidas necesarias para que esté a disposición de los alcanzados en todo momento.

Adicionalmente, procederá a su revisión y eventual modificación, cada vez que se produzca un cambio significativo en la plataforma tecnológica, una modificación de la normativa vigente aplicable, un cambio en los objetivos estratégicos del ORSNA o cualquier otro evento que lo amerite.

El DSyTI es responsable de llevar adelante las revisiones sean periódicas o ad-hoc, dejándose constancia de ellas. El Directorio será responsable de la aprobación de las nuevas versiones, que serán comunicadas en tiempo y forma a todos los alcanzados para su cumplimiento.

Lineamientos específicos

Organización de la Seguridad de la Información:

El Directorio del ORSNA es el responsables de asegurar la implementación de la PSI.

El Directorio asigna al DSyTI las responsabilidades operativas relativas a la seguridad de la información, que tendrá a su cargo la coordinación de todas las actividades tendientes a la implementación de la presente PSI.

Dicho departamento velará por una adecuada segregación de funciones, por un abordaje de la seguridad de la información en todos los proyectos y programas del ORSNA y por la confección de adecuados procedimientos de seguridad, en base a un plan de tratamiento de riesgos.

El Directorio del ORSNA se compromete a impulsar las iniciativas que el área competente proponga con el objetivo de preservar la confidencialidad, integridad y disponibilidad de la información que gestiona.

Seguridad Informática de los Recursos Humanos

El personal es considerado un recurso central para la protección de la información, motivo por el cual es adecuadamente entrenado en caso del personal técnico y concientizado a través de programas específicos, para quienes no realizan actividades de ese tenor. A tal fin, se establecen las medidas necesarias en los procesos de selección de personal, durante la vinculación laboral y al momento de la desvinculación, pudiendo inclusive excederlo. En todo momento se protegen los derechos individuales de los empleados, especialmente aquellos relacionados con la privacidad.

Se establece la obligatoriedad de la suscripción de compromisos de confidencialidad en función de las responsabilidades que correspondan y a las funciones que se desarrollen. Los permisos de acceso son otorgados en función de cada perfil de trabajo y se mantienen actualizados.

El área responsable operativa de este lineamiento es la GRRHH.

Gestión de Activos

La gestión y protección efectiva de los activos en función de su clasificación por criticidad es una prioridad para el ORSNA. Entre los activos se incluyen tanto el hardware como el software y los dispositivos de comunicación, los elementos de apoyo, la información y los datos en sí mismos, cualquiera sea el soporte y formato en el que se encuentren. Para la clasificación se tienen en cuenta la confidencialidad, integridad y disponibilidad de los datos, así como las funciones que soporta el activo y la normativa aplicable.

Se llevan inventarios actualizados y se exige a todos los agentes y funcionarios que se desvinculan la devolución de los activos de información en su poder. En el mismo sentido, se procede a una eliminación segura de información crítica o datos personales en cualquier medio que pueda contenerla, para lo cual, se cuenta con procedimientos adecuados.

Las áreas responsables operativas de este lineamiento son DCyCPyS y DSyTI.

Autenticación, autorización y control de Acceso

El ORSNA adopta los mecanismos necesarios para que solo el personal autorizado acceda a los activos de información, bajo la premisa básica de que “Todo está prohibido a menos que se permita expresamente” para a aquellos activos considerados críticos. El acceso a la información se establecerá en base a la “necesidad de saber”, es decir que quienes accedan deben tener un motivo válido para hacerlo en razón de su rol y/o funciones y usando una política de “Mínimo Privilegio”. Estos privilegios se otorgan en forma expresa, son autorizados por los niveles competentes y se gestionan adecuadamente las altas y bajas de las cuentas y permisos de acceso, con revisiones periódicas. Se requiere a los empleados, funcionarios y demás usuarios, el uso responsable de los dispositivos y datos de autenticación otorgados por el ORSNA para el cumplimiento de sus funciones, que no los compartan y que los mantengan siempre seguros, tanto dentro como fuera del ORSNA.

El área responsable operativa de este lineamiento es el DSyTI.

Uso de herramientas criptográficas

Se utilizan sistemas y técnicas criptográficas para la protección de la información del ORSNA, con el fin de preservar su confidencialidad, integridad, autenticidad y no repudio, tanto para su almacenamiento como para su transmisión.

Para ello, se requiere el cifrado de toda la información crítica, especialmente cuando ésta sea transmita fuera del ORSNA.

El área responsable operativa de este lineamiento es el DSyTI.

Seguridad física

Se monitorean los accesos físicos para permitir solo ingresos y egresos debidamente autorizados. Se mantiene un registro actualizado de los activos físicos que procesan información.

Se implementan y hacen cumplir medidas de seguridad para los activos físicos informáticos que deben llevarse fuera del ORSNA, manteniéndose el registro correspondiente.

Se implementan y hacen cumplir medidas de seguridad para los activos físicos en soporte papel que deben llevarse fuera del ORSNA, manteniéndose el registro correspondiente.

Las áreas responsables operativas de este lineamiento son DCyCPyS, DSyTI y USG.

Seguridad operativa

Las operaciones del ORSNA se desarrollan en forma segura, en todas las instalaciones de procesamiento de información, asignándose las debidas responsabilidades y desarrollando procedimientos acordes. Se adoptan medidas para minimizar los riesgos de acceso y cambios no autorizados o pérdida de información y para proteger las instalaciones y plataformas tecnológicas contra infecciones de código malicioso.

Las vulnerabilidades son gestionadas de manera apropiada y se controla la actividad de administradores y operadores.

El área responsable operativa de este lineamiento es el DSyTI.

Seguridad de las comunicaciones

El ORSNA adopta las medidas necesarias para proteger adecuadamente la información que se comunica por sus redes informáticas y para minimizar los riesgos que pudieran afectar la infraestructura de soporte. Toda información que se transfiere fuera del ORSNA, incluyendo la que se transmite a través de los servicios de correo electrónico es protegida de acuerdo a su nivel de criticidad.

Se asignan cuentas institucionales a todos los empleados y funcionarios, quienes están obligados a utilizarlas para toda comunicación vinculada a sus funciones. Dicho personal es informado por sus respectivas autoridades sobre los riesgos de incumplir este requerimiento, y se les exige la firma de acuerdos de confidencialidad y no divulgación, en los casos en los que el ORSNA lo considere necesario.

El área responsable operativa de este lineamiento es el DSyTI.

Adquisición de sistemas, desarrollo y mantenimiento de sistemas de información

El ORSNA adopta las medidas de seguridad necesarias para proteger por defecto y desde el diseño todas las aplicaciones que se desarrollen internamente, utilizando una metodología de desarrollo seguro, e incorpora requerimientos y evaluaciones de seguridad en el proceso de contratación de aplicaciones a terceros.

Se evalúa la seguridad de las aplicaciones antes de ponerlas productivas.

El área responsable operativa de este lineamiento es el DSyTI.

Relación con proveedores

El ORSNA incluye en los pliegos de bases y condiciones particulares cláusulas vinculadas a la seguridad de la información, de cumplimiento efectivo y obligatorio por parte de los proveedores y contratistas. Estas disposiciones consideran los aspectos pertinentes a la protección de la información y los servicios que se brinden, desde el inicio de la relación contractual y a perpetuidad. Los requisitos a incluir son acordes a la criticidad de la información y los servicios, la evaluación de riesgos y el cumplimiento de todas las normas legales y contractuales aplicables.

El área responsable operativa de este lineamiento es el DCyCPyS.

Gestión de incidentes de seguridad
El ORSNA adopta las medidas necesarias para prevenir, detectar, gestionar, resolver y reportar los incidentes de seguridad que puedan afectar sus activos de información. Las debilidades en los procesos son debidamente comunicadas, identificadas y minimizadas de forma tal que se apliquen las acciones correctivas en el menor tiempo posible.

Cuando los empleados detecten un evento que podría constituir un incidente de seguridad, lo deben comunicar al DSyTI. De producirse el incidente, y que éste hubiera afectado información o datos personales de terceros, el ORSNA informará públicamente tal ocurrencia, de acuerdo a lo dispuesto por la normativa vigente.

El área responsable operativa de este lineamiento es el DSyTI.

Aspectos de seguridad para la continuidad de la gestión

Se contemplan todos los aspectos de seguridad requeridos en los procedimientos de continuidad de la gestión del ORSNA que se desarrollan, especialmente cuando se trate de información, servicios o sistemas críticos. Se realizan análisis de impacto y se identifican las ventanas de recuperación requeridas en los procesos críticos.

El área responsable operativa de este lineamiento es el DSyTI.

Cumplimiento

El ORSNA cumple las disposiciones legales, normativas y contractuales que le son aplicables y promueve el acatamiento de las políticas y normas de seguridad que se aprueban en su ámbito. En el mismo sentido, atiende y da cumplimiento a las recomendaciones correspondientes a los hallazgos de las auditorías internas y externas que se realicen, adoptando las medidas correctivas que correspondan.

GLOSARIO:

ORSNA: Organismo Regulador del Sistema Nacional de Aeropuertos.

UAI: Unidad de Auditoría Interna.

GRRHH: Gerencia de Recursos Humanos.

GAyP: Gerencia de Administración y Presupuesto.

DSyTI: Departamento de Sistemas y Tecnología Informática dependiente de GAyP.

DCyCPyS: Departamento de Compras y Contrataciones, Patrimonio y Suministros dependiente de GAyP.

IF-2022-3 9465 803-APN-GAYP#ORSNA