InfoLEG - Ministerio de Justicia y Derechos Humanos

MINISTERIO DE SEGURIDAD

Resolución 324/2022

RESOL-2022-324-APN-MSG

Ciudad de Buenos Aires, 31/05/2022

VISTO el Expediente EX-2022-37630322- -APN-DIC#MSG del registro del MINISTERIO DE SEGURIDAD, la Ley de Ministerios (t.o. Decreto N° 438 del 12 de marzo de 1992) y sus modificatorias, la Ley de Seguridad Interior N° 24.059, la Decisión Administrativa N° 335 del 6 de marzo de 2020, la Resolución del MINISTERIO DE SEGURIDAD N° 75 de fecha 10 de febrero de 2022, Resolución del MINISTERIO DE SEGURIDAD N° 86 de fecha 11 de febrero de 2022 y, CONSIDERANDO:

Que, el artículo 22 bis del DECFO-2019-7-APN-SLYT, modificatorio de la Ley 22.250, determina que EL MINISTERIO posee entre sus competencias, todo lo concerniente a la seguridad interior, a la preservación de la libertad, la vida y el patrimonio de los habitantes, sus derechos y garantías en plena vigencia de las instituciones del sistema democrático.

Que la Decisión Administrativa N° 335 del 6 de marzo de 2020 en su Anexo IV establece que la DIRECCIÓN DE INVESTIGACIONES DEL CIBERDELITO dependiente de la DIRECCIÓN NACIONAL DE INVESTIGACIÓN CRIMINAL de la SUBSECRETARIA DE INVESTIGACION CRIMINAL Y COOPERACION JUDICIAL de la SECRETARIA DE SEGURIDAD Y POLITICA CRIMINAL del MINISTERIO DE SEGURIDAD tendrá a su cargo, entre otras acciones, el diseño y la ejecución del Plan Anual de Ciberseguridad del MINISTERIO DE SEGURIDAD y de las Fuerzas Policiales y de Seguridad a través de equipos de respuesta ante incidencias de seguridad (CSIRT) y Centros de Operaciones de Seguridad (SOC) como asimismo, la articulación de acciones con las Fuerzas Policiales y de Seguridad, áreas competentes de la Administración Pública Nacional, Provincial y Municipal, y con organismos internacionales, para la detección de delitos de su competencia

Que, durante la pandemia del COVID-19, se puso de manifiesto el incremento de delitos a través de las tecnologías informáticas en sus diferentes modalidades y de la necesidad de ampliar y agilizar los procesos, actualizar las metodologías, protocolos y la seguridad para proteger los activos y la información de las organizaciones tanto públicas como privadas.

Que, el volumen de información que refrenda la importancia de la ciberseguridad para las organizaciones públicas y privadas aumenta día a día.

Que dada la gravedad de las amenaza cibernética, y que el número de ciberataques está creciendo de forma exponencial, numerosas organizaciones han creado sus Planes de Ciberseguridad para, entre otras acciones, la protección de los activos físicos y de los servicios públicos, buenas practicas, protocolos, y concientizar al conjunto de la organización sobre la importancia de la seguridad de la información y la protección de casi toda nuestra actividad laboral.

Que, en este caso, el Plan Anual de Ciberseguridad del Ministerio de Seguridad, es una hoja de ruta, en la que se definirán y planificarán una serie de acciones y proyectos con el objetivo de reducir los riesgos a los que está expuesto el Ministerio, desarrollando actividades de seguridad y protección de los activos necesarios para el cumplimiento de los objetivos de la gestión pública de un Estado eficiente.

Que el Plan Anual consistirá de varias fases desde el análisis de la situación hasta la implantación de las acciones concretas y su posterior verificación, siendo un proceso cíclico, es decir que una vez se hayan llevado a cabo todas las acciones e implementaciones, volveremos al inicio, gestionando las posibles nuevas mejoras y actualizaciones. Que la Resolución N° 75/2022 del Ministerio de Seguridad actualizó el PLAN FEDERAL DE PREVENCIÓN DE DELITOS TECNOLÓGICOS Y CIBERDELITOS (2021-2024) que establece entre sus principios rectores que el Ministerio de Seguridad impulsa en materia de ciberseguridad y ciberdelito acciones multiagenciales con fuerte participación de la ciudadanía en general, con el objeto de evitar que los distintos tipos de delitos asociados al ciberespacio ocurran; en esta línea contempla entre sus líneas de acción la actualización del marco normativo vinculado a la ciberseguridad, entre otras cuestiones.

Que por la Resolución del Ministerio de Seguridad N° 86 del 11 de febrero de 2022 se creó en el ámbito de la UNIDAD DE GABINETE DE ASESORES del MINISTERIO DE SEGURIDAD, el “PROGRAMA DE FORTALECIMIENTO EN CIBERSEGURIDAD Y EN INVESTIGACION DEL CIBERCRIMEN (ForCIC)” que tiene por objeto coordinar, asistir y brindar asesoramiento en técnicas de seguridad de las infraestructuras digitales y en técnicas de investigación en materia de ciberdelitos y delitos con presencia de la tecnología y/o utilización de tecnologías, que entre sus objetivos tiene el de ejecutar todas las acciones conducentes y tendientes a la optimización de la ciberseguridad. Que la DIRECCIÓN DE INVESTIGACIÓN DEL CIBERDELITO dependiente de la DIRECCIÓN NACIONAL DE INVESTIGACIÓN CRIMINAL de la SUBSECRETARIA DE INVESTIGACION CRIMINAL Y COOPERACION JUDICIAL de la SECRETARIA DE SEGURIDAD Y POLITICA CRIMINAL del MINISTERIO DE SEGURIDAD realizó la propuesta de su competencia.

Que la presente medida no implica erogación presupuestaria adicional al ESTADO NACIONAL.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de este MINISTERIO DE SEGURIDAD ha tomado la intervención de su competencia.

Que la presente medida se dicta en uso de las atribuciones conferidas por los artículos 4°, inciso b, apartado 9° y 22° bis de la Ley de Ministerios (t.o 1992) y sus modificaciones.

Por ello,

EL MINISTRO DE SEGURIDAD

RESUELVE:

ARTÍCULO 1°. - Apruébese “EL PLAN ANUAL DE CIBERSEGURIDAD DEL MINISTERIO DE SEGURIDAD Y DE LAS FUERZAS POLICIALES Y DE SEGURIDAD”, que, como Anexo Único (IF-2022-38362003-APN-DIC#MSG), forma parte integrante de la presente medida.

ARTÍCULO 2°. - Facultase al titular de la UNIDAD GABINETE DE ASESORES del MINISTERIO DE SEGURIDAD o a quien este designe a entender en el desarrollo, implementación y coordinación del “PLAN ANUAL DE CIBERSEGURIDAD DEL MINISTERIO DE SEGURIDAD” como asimismo a dictar las normas aclaratorias y complementarias a que diera lugar la aplicación de la presente Resolución.

ARTÍCULO 3°. - Instrúyase al Jefe de la POLICÍA FEDERAL ARGENTINA, al Director Nacional de GENDARMERÍA NACIONAL, al Director Nacional de la POLICÍA DE SEGURIDAD AEROPORTUARIA y al Prefecto Nacional Naval de la PREFECTURA NAVAL ARGENTINA a crear y/o actualizar sus POLÍTICAS DE SEGURIDAD DE LA INFORMACION en coordinación con la UNIDAD GABINETE DE MINISTROS del MINISTERIO DE SEGURIDAD

ARTÍCULO 4°. - La presente medida entrará en vigor el día de su publicación en el Boletín Oficial de la República Argentina.

ARTÍCULO 5°. - Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Aníbal Domingo Fernández

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial. gob.ar-

e. 02/06/2022 N° 39937/22 v. 02/06/2022

(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)

Anexo Único

PLAN ANUAL DE CIBERSEGURIDAD - MINISTERIO DE SEGURIDAD Y DE LAS FUERZAS POLICIALES Y DE SEGURIDAD

1. OBJETIVO

• Poder contar, en línea con el PLAN FEDERAL DE PREVENCIÓN DE DELITOS TECNOLÓGICOS Y CIBERDELITOS (2021-2024), al año 2024 con la capacidad instalada y en producción, para lograr la protección de las infraestructuras digitales de información del Ministerio de Seguridad y de las Fuerzas Policiales y de Seguridad.

• Generar un marco de ciber higiene y ciber resiliencia que permita la mejora continua, contando con medidas proactivas y reactivas que ayuden a elevar los umbrales de seguridad de la organización.

2. FUNDAMENTACIÓN/JUSTIFICACIÓN

La intensificación de la utilización de las tecnologías de información y comunicación resultan cada vez más indispensables para la gestión operativa de las administraciones públicas, pero a su vez presentan una gran cantidad de amenazas y riesgos que ponen en peligro la fuga de activos de información (públicos, reservados y confidenciales) además de debilitar el cumplimiento efectivo de las tareas que cada funcionario tiene que desarrollar con la mencionada información.

El uso incorrecto o irresponsable de los recursos informáticos comprometen datos personales (propios y de terceros), de patrimonio, de proyectos y de bienestar de los distintos empleados y funcionarios del Ministerio y las Fuerzas Federales Policiales y de Seguridad que lo conforman.

La intromisión de terceros a los sistemas de información, ocasionando la sustracción, la alteración y/o modificación de los activos de información o de los sistemas con los que cuenta el Ministerio y las Fuerzas Federales Policiales y de Seguridad, pone en peligro el funcionamiento de las infraestructuras críticas que posee, lo que exige profundizar los esfuerzos, acciones y tareas para su protección.

El presente Plan Anual de Ciberseguridad se encuentra comprendido en las misiones y funciones de la Dirección de Investigaciones del Ciberdelito a través de la Decisión Administrativa N° 335/2020 la cual establece que será la Dirección de investigaciones del Ciberdelito quien deberá diseñar y ejecutar el Plan Anual de Ciberseguridad del MINISTERIO DE SEGURIDAD y de las Fuerza Policiales y de Seguridad a través de equipos de respuesta ante Incidentes de seguridad (CSIRT) y Centros de Operaciones de Seguridad (SOC).

Cabe señalar en este punto, los ataques que se vienen produciendo frecuentemente no sólo a nivel nacional, contra infraestructuras de información e informáticas de organismos de gobierno causando pérdida de imagen y confianza en las administraciones sino también cuantiosas pérdidas de tiempos, datos y fondos debido a que la resolución de estos ataques es más costosa que la inversión en protección preventiva, la cual se amortiza en cada intento de ataque.

Finalmente debemos indicar que el presente listado de acciones, son enunciaciones de las tareas a encarar las cuales requieren de una articulación interna tanto para el rediseño de la Política de Seguridad de la Información de la institución como para acción en particular con las áreas vinculantes.

3. ANTECEDENTES

La Resolución N° 75/2022 del Ministerio de Seguridad actualizó el PLAN FEDERAL DE PREVENCIÓN DE DELITOS TECNOLÓGICOS Y CIBERDELITOS (2021-2024), que establece entre sus principios rectores establece que el Ministerio de Seguridad impulsa en materia de ciberseguridad y ciberdelito acciones multiagenciales con fuerte participación de la ciudadanía en general, con el objeto de evitar que los distintos tipos de delitos asociados al ciberespacio ocurran; en esta línea contempla entre sus líneas de acción la actualización del marco normativo vinculado a la ciberseguridad, entre otras cuestiones.

En esta misma línea es dable destacar que la Resolución del Ministerio de Seguridad N° 86 del 11 de febrero de 2022 creó en el ámbito de la UNIDAD DE GABINETE DE ASESORES del MINISTERIO DE SEGURIDAD, el “PROGRAMA DE FORTALECIMIENTO EN CIBERSEGURIDAD Y EN INVESTIGACION DEL CIBERCRIMEN (ForCIC)” que tiene por objeto coordinar, asistir y brindar asesoramiento en técnicas de seguridad de las infraestructuras digitales y en técnicas de investigación en materia de ciberdelitos y delitos con presencia de la tecnología y/o utilización de tecnologías, que entre sus objetivos tiene el de ejecutar todas las acciones conducentes y tendientes a la optimización de la ciberseguridad.

Así mismo, el presente Plan se adecúa a lo estipulado en la Estrategia Nacional de Ciberseguridad sancionada mediante la Resolución Jefatura de Gabinete de Ministros N° 829/2019, que indica como fundamental “articular adecuadas capacidades de prevención, detección, análisis, investigación, recuperación, defensa y respuesta, que constituyen elementos esenciales para alcanzar todos los beneficios que el uso seguro del ciberespacio ofrece a nuestra Nación”.

4. AMBITO

El presente Plan tiene como alcance el Ministerio de Seguridad de la Nación, las Fuerzas Policiales y de Seguridad Federales. Quedan invitadas a contribuir al mismo las empresas del sector privado, así como organizaciones civiles sin fines de lucro.

5. PLAN DE ACCIONES

5.1. FORTALECIMIENTO DE LA PROTECCIÓN DE LAS INFRAESTRUCTURAS DIGITALES DE INFORMACIÓN

Considerando que tanto el Ministerio de Seguridad, como cada una de la Fuerzas Federales Policiales y de Seguridad que lo componen, poseen sus propias áreas de tecnologías, informática y comunicaciones, es necesario encarar un proyecto de creación e inversión en el Equipo de Respuesta de Incidentes Tecnológicos (CSIRT-MINSEG) para toda la organización que se enfoque en la protección cibernética y la resiliencia del entorno digital. Asimismo, impulsar la creación formal, y/o fortalecimiento de quienes ya los tengan, de los Centros de Operaciones de Seguridad (SOC) en cada una de las fuerzas y en el Ministerio propiamente, con el fin de lograr de articulación, coordinación y colaboración para la identificación, protección, detección, respuesta y recupero en base a los ataques, vulnerabilidades e incidentes que se vienen registrando históricamente en detrimento de las instituciones, de su personal y de la seguridad interior en su conjunto. Por último se deben arbitrar los medios a los efectos de proteger la disponibilidad de la información crítica y garantizar la continuidad de la gestión del organismo, con especial énfasis en los servicios esenciales que presta.

Así mismo, el Ministerio de Seguridad y las Fuerzas Federales Policiales y de Seguridad deben realizar gestión de activos, clasificándolos según su criticidad, con el fin de adoptar las medidas de protección más adecuada para cada uno de ellos.

5.2. AMPLIACIÓN DE CAPACIDADES DE LOS RECURSOS HUMANOS

Los activos de mayor valor para lograr estos objetivos son los recursos humanos que componen los equipos de los grupos trabajo. Por ello es que se proyecta trabajar en el incremento y especialización de los recursos existentes, así como de nuevos recursos que egresen de los institutos, de cada fuerza, para lograr una política de formación y capacitación perdurable en el tiempo y escalable a todo el país. Estos recursos serán los garantes de desarrollar políticas de protección de las infraestructuras digitales de información y comprenderán la formación en todo lo relacionado a los asuntos cibernéticos tanto nacional como internacionalmente, permitiendo de esta forma incorporar las mejores prácticas en beneficio de las instituciones que custodiarán.

5.3. INVESTIGACIÓN Y DESARROLLO

El continuo avance de las tecnologías, y su posterior adopción, hace necesario incursionar en la investigación y continuo desarrollo e inversión en nuevas herramientas, procesos y procedimientos que permitan ir adaptando las acciones y políticas del Ministerio en cuanto a la protección de sus infraestructuras digitales. Considerando el caudal de conocimiento que muchas de las áreas tecnológicas del Ministerio y de las Fuerzas Policiales y de Seguridad poseen en sus equipos técnicos, es viable y necesario contar con herramientas reconocidas internacionalmente pero también es necesario el fomento para el desarrollo de otras herramientas en base a software libre y código abierto, que permitan su evolución y control de cumplimiento, articulando entre ambos tipos e herramienta según necesidad y escenario, en pos de elevar la garantía de desempeño e incrementar la protección de la información.

5.4. PRUEBAS DE VULNERABILIDADES Y DETECCIÓN

En entornos digitales la seguridad absoluta no existe, por lo que es necesario que periódicamente se realicen pruebas de acceso no autorizados, búsqueda de vulnerabilidades, vectores de entradas no conocidas y otros posibles problemas que, por error u omisión, generen que el Ministerio o sus fuerzas dependientes, sean víctimas de incidentes. A este fin se confeccionará un plan de comprobación de vulnerabilidades y detección de ataques para que, periódicamente, sean ejecutados y permitan conocer el estado de situación de las plataformas tecnológicas y sistemas en uso, ayudando a detectar y proactivamente mitigar cualquier vulnerabilidad.

5.5. CULTURA CIBERNETICA Y CONCIENTIZACIÓN

La seguridad de los entornos digitales no es solo tema de las áreas informáticas, sino que aplican transversalmente a todas las áreas y organismos. Para llegar a todas ellas, es que se procederá a elaborar una estrategia comunicacional en busca de lograr la concientización de todo el personal del Ministerio y de las fuerzas, en el correcto uso de las tecnologías, sus riesgos y como proceder para asegurar su privacidad, sus activos digitales y los de la organización. También resulta necesaria la programación, en conjunto con las áreas de capacitación, de mecanismos de pruebas y evaluación obligatorias del nivel de conocimiento y ciber higiene que presenta el personal de los organismos, contribuyendo en estos resultados a optimizar el aprendizaje, la concientización y sensibilización en estos temas a través de módulos de aprendizaje y autotest periódicos.

5.6. ESTRATEGIA NACIONAL DE CIBERSEGURIDAD

El Ministerio de Seguridad es parte primigenia de la mencionada Estrategia Nacional de Ciberseguridad, aprobada por Resol JGM 829/2019. Por ella razón, y confirmando la importancia que el Ministerio le brinda a las acciones llevadas adelante en el ciberespacio, es que se pretende continuar y apoyar en el marco de su competencia, con las acciones que propendan a una mayor protección de los entornos digitales y a las infraestructuras críticas de información. Por ello, parte de este Plan Anual de Ciberseguridad, es continuar prestando participación y colaboración al Comité de Ciberseguridad Nacional, para lograr una construcción colaborativa de las acciones de protección, así como de reacción en caso de incidentes.

5.7. PARTICIPACIÓN PRIVADA Y DE ORGANIZACIONES CIVILES SIN FINES DE LUCRO

La estructura tecnológica del ciberespacio está compuesta mayormente por empresas del sector privado de las cuales somos usuarios o clientes, convirtiéndolas a muchas de ellas, en parte de nuestra infraestructura crítica de información. Estas mismas empresas poseen un caudal de conocimiento de herramientas e información de vulnerabilidades, vectores de ataques, nuevas amenazas, etc. por lo que es necesario explorar las posibilidades de cooperación para prevenir y subsanar incidentes, así como para colaborar proactivamente en el Plan de ciberseguridad de la organización. Por ello es que algunas de las acciones detalladas en este Plan podrían ser articuladas con el conocimiento y hasta la participación de empresas del sector privado especialistas en la materia, así como con organizaciones civiles sin fines de lucro que presenten la pericia necesario en procesos de ciberseguridad, mencionados en los diferentes temas relacionadas en las acciones y que hayan adherido al “Plan Federal de Prevención de Delitos Tecnológicos y Ciberdelitos”.

En otro orden de ideas, las diferentes contrataciones que realice el organismo y las fuerzas federales dependientes para la provisión de bienes y servicios incluirán la consideración de aspectos vinculados con la identificación, análisis y gestión de riesgo de seguridad de la información.

5.8. GESTIÓN DE INCIDENTES, MÉTRICAS Y SEGUIMIENTO DE AVANCE.

Para comprobar la efectividad de las medidas adoptar, es necesario establecer un sistema de métricas y de seguimiento de avance de cada una de las acciones, que coadyuve a la ejecución coordinada de las mismas y nos permita focalizar el potencial de trabajo en esos vectores que más lo requieran. Para ello se establecerán vectores de medición, análisis de riesgos, así como hitos de comprobación de cumplimiento de las acciones llevadas adelante, permitiéndonos conocer los estados y nuevos riesgos en los que enfocar las políticas de seguridad, así como generar buenas prácticas y protocolos en casos de incidentes.