Anexo Único
PLAN ANUAL DE CIBERSEGURIDAD - MINISTERIO DE SEGURIDAD Y DE LAS FUERZAS POLICIALES Y DE SEGURIDAD
1. OBJETIVO
• Poder contar, en línea con el PLAN FEDERAL DE PREVENCIÓN DE DELITOS
TECNOLÓGICOS Y CIBERDELITOS (2021-2024), al año 2024 con la capacidad
instalada y en producción, para lograr la protección de las
infraestructuras digitales de información del Ministerio de Seguridad y
de las Fuerzas Policiales y de Seguridad.
• Generar un marco de ciber higiene y ciber resiliencia que permita la
mejora continua, contando con medidas proactivas y reactivas que ayuden
a elevar los umbrales de seguridad de la organización.
2. FUNDAMENTACIÓN/JUSTIFICACIÓN
La intensificación de la utilización de las tecnologías de información
y comunicación resultan cada vez más indispensables para la gestión
operativa de las administraciones públicas, pero a su vez presentan una
gran cantidad de amenazas y riesgos que ponen en peligro la fuga de
activos de información (públicos, reservados y confidenciales) además
de debilitar el cumplimiento efectivo de las tareas que cada
funcionario tiene que desarrollar con la mencionada información.
El uso incorrecto o irresponsable de los recursos informáticos
comprometen datos personales (propios y de terceros), de patrimonio, de
proyectos y de bienestar de los distintos empleados y funcionarios del
Ministerio y las Fuerzas Federales Policiales y de Seguridad que lo
conforman.
La intromisión de terceros a los sistemas de información, ocasionando
la sustracción, la alteración y/o modificación de los activos de
información o de los sistemas con los que cuenta el Ministerio y las
Fuerzas Federales Policiales y de Seguridad, pone en peligro el
funcionamiento de las infraestructuras críticas que posee, lo que exige
profundizar los esfuerzos, acciones y tareas para su protección.
El presente Plan Anual de Ciberseguridad se encuentra comprendido en
las misiones y funciones de la Dirección de Investigaciones del
Ciberdelito a través de la Decisión Administrativa N° 335/2020 la cual
establece que será la Dirección de investigaciones del Ciberdelito
quien deberá diseñar y ejecutar el Plan Anual de Ciberseguridad del
MINISTERIO DE SEGURIDAD y de las Fuerza Policiales y de Seguridad a
través de equipos de respuesta ante Incidentes de seguridad (CSIRT) y
Centros de Operaciones de Seguridad (SOC).
Cabe señalar en este punto, los ataques que se vienen produciendo
frecuentemente no sólo a nivel nacional, contra infraestructuras de
información e informáticas de organismos de gobierno causando pérdida
de imagen y confianza en las administraciones sino también cuantiosas
pérdidas de tiempos, datos y fondos debido a que la resolución de estos
ataques es más costosa que la inversión en protección preventiva, la
cual se amortiza en cada intento de ataque.
Finalmente debemos indicar que el presente listado de acciones, son
enunciaciones de las tareas a encarar las cuales requieren de una
articulación interna tanto para el rediseño de la Política de Seguridad
de la Información de la institución como para acción en particular con
las áreas vinculantes.
3. ANTECEDENTES
La Resolución N° 75/2022 del Ministerio de Seguridad actualizó el PLAN
FEDERAL DE PREVENCIÓN DE DELITOS TECNOLÓGICOS Y CIBERDELITOS
(2021-2024), que establece entre sus principios rectores establece que
el Ministerio de Seguridad impulsa en materia de ciberseguridad y
ciberdelito acciones multiagenciales con fuerte participación de la
ciudadanía en general, con el objeto de evitar que los distintos tipos
de delitos asociados al ciberespacio ocurran; en esta línea contempla
entre sus líneas de acción la actualización del marco normativo
vinculado a la ciberseguridad, entre otras cuestiones.
En esta misma línea es dable destacar que la Resolución del Ministerio
de Seguridad N° 86 del 11 de febrero de 2022 creó en el ámbito de la
UNIDAD DE GABINETE DE ASESORES del MINISTERIO DE SEGURIDAD, el
“PROGRAMA DE FORTALECIMIENTO EN CIBERSEGURIDAD Y EN INVESTIGACION DEL
CIBERCRIMEN (ForCIC)” que tiene por objeto coordinar, asistir y brindar
asesoramiento en técnicas de seguridad de las infraestructuras
digitales y en técnicas de investigación en materia de ciberdelitos y
delitos con presencia de la tecnología y/o utilización de tecnologías,
que entre sus objetivos tiene el de ejecutar todas las acciones
conducentes y tendientes a la optimización de la ciberseguridad.
Así mismo, el presente Plan se adecúa a lo estipulado en la Estrategia
Nacional de Ciberseguridad sancionada mediante la Resolución Jefatura
de Gabinete de Ministros N° 829/2019, que indica como fundamental
“articular adecuadas capacidades de prevención, detección, análisis,
investigación, recuperación, defensa y respuesta, que constituyen
elementos esenciales para alcanzar todos los beneficios que el uso
seguro del ciberespacio ofrece a nuestra Nación”.
4. AMBITO
El presente Plan tiene como alcance el Ministerio de Seguridad de la
Nación, las Fuerzas Policiales y de Seguridad Federales. Quedan
invitadas a contribuir al mismo las empresas del sector privado, así
como organizaciones civiles sin fines de lucro.
5. PLAN DE ACCIONES
5.1. FORTALECIMIENTO DE LA PROTECCIÓN DE LAS INFRAESTRUCTURAS DIGITALES DE INFORMACIÓN
Considerando que tanto el Ministerio de Seguridad, como cada una de la
Fuerzas Federales Policiales y de Seguridad que lo componen, poseen sus
propias áreas de tecnologías, informática y comunicaciones, es
necesario encarar un proyecto de creación e inversión en el Equipo de
Respuesta de Incidentes Tecnológicos (CSIRT-MINSEG) para toda la
organización que se enfoque en la protección cibernética y la
resiliencia del entorno digital. Asimismo, impulsar la creación formal,
y/o fortalecimiento de quienes ya los tengan, de los Centros de
Operaciones de Seguridad (SOC) en cada una de las fuerzas y en el
Ministerio propiamente, con el fin de lograr de articulación,
coordinación y colaboración para la identificación, protección,
detección, respuesta y recupero en base a los ataques, vulnerabilidades
e incidentes que se vienen registrando históricamente en detrimento de
las instituciones, de su personal y de la seguridad interior en su
conjunto. Por último se deben arbitrar los medios a los efectos de
proteger la disponibilidad de la información crítica y garantizar la
continuidad de la gestión del organismo, con especial énfasis en los
servicios esenciales que presta.
Así mismo, el Ministerio de Seguridad y las Fuerzas Federales
Policiales y de Seguridad deben realizar gestión de activos,
clasificándolos según su criticidad, con el fin de adoptar las medidas
de protección más adecuada para cada uno de ellos.
5.2. AMPLIACIÓN DE CAPACIDADES DE LOS RECURSOS HUMANOS
Los activos de mayor valor para lograr estos objetivos son los recursos
humanos que componen los equipos de los grupos trabajo. Por ello es que
se proyecta trabajar en el incremento y especialización de los recursos
existentes, así como de nuevos recursos que egresen de los institutos,
de cada fuerza, para lograr una política de formación y capacitación
perdurable en el tiempo y escalable a todo el país. Estos recursos
serán los garantes de desarrollar políticas de protección de las
infraestructuras digitales de información y comprenderán la formación
en todo lo relacionado a los asuntos cibernéticos tanto nacional como
internacionalmente, permitiendo de esta forma incorporar las mejores
prácticas en beneficio de las instituciones que custodiarán.
5.3. INVESTIGACIÓN Y DESARROLLO
El continuo avance de las tecnologías, y su posterior adopción, hace
necesario incursionar en la investigación y continuo desarrollo e
inversión en nuevas herramientas, procesos y procedimientos que
permitan ir adaptando las acciones y políticas del Ministerio en cuanto
a la protección de sus infraestructuras digitales. Considerando el
caudal de conocimiento que muchas de las áreas tecnológicas del
Ministerio y de las Fuerzas Policiales y de Seguridad poseen en sus
equipos técnicos, es viable y necesario contar con herramientas
reconocidas internacionalmente pero también es necesario el fomento
para el desarrollo de otras herramientas en base a software libre y
código abierto, que permitan su evolución y control de cumplimiento,
articulando entre ambos tipos e herramienta según necesidad y
escenario, en pos de elevar la garantía de desempeño e incrementar la
protección de la información.
5.4. PRUEBAS DE VULNERABILIDADES Y DETECCIÓN
En entornos digitales la seguridad absoluta no existe, por lo que es
necesario que periódicamente se realicen pruebas de acceso no
autorizados, búsqueda de vulnerabilidades, vectores de entradas no
conocidas y otros posibles problemas que, por error u omisión, generen
que el Ministerio o sus fuerzas dependientes, sean víctimas de
incidentes. A este fin se confeccionará un plan de comprobación de
vulnerabilidades y detección de ataques para que, periódicamente, sean
ejecutados y permitan conocer el estado de situación de las plataformas
tecnológicas y sistemas en uso, ayudando a detectar y proactivamente
mitigar cualquier vulnerabilidad.
5.5. CULTURA CIBERNETICA Y CONCIENTIZACIÓN
La seguridad de los entornos digitales no es solo tema de las áreas
informáticas, sino que aplican transversalmente a todas las áreas y
organismos. Para llegar a todas ellas, es que se procederá a elaborar
una estrategia comunicacional en busca de lograr la concientización de
todo el personal del Ministerio y de las fuerzas, en el correcto uso de
las tecnologías, sus riesgos y como proceder para asegurar su
privacidad, sus activos digitales y los de la organización. También
resulta necesaria la programación, en conjunto con las áreas de
capacitación, de mecanismos de pruebas y evaluación obligatorias del
nivel de conocimiento y ciber higiene que presenta el personal de los
organismos, contribuyendo en estos resultados a optimizar el
aprendizaje, la concientización y sensibilización en estos temas a
través de módulos de aprendizaje y autotest periódicos.
5.6. ESTRATEGIA NACIONAL DE CIBERSEGURIDAD
El Ministerio de Seguridad es parte primigenia de la mencionada
Estrategia Nacional de Ciberseguridad, aprobada por Resol JGM 829/2019.
Por ella razón, y confirmando la importancia que el Ministerio le
brinda a las acciones llevadas adelante en el ciberespacio, es que se
pretende continuar y apoyar en el marco de su competencia, con las
acciones que propendan a una mayor protección de los entornos digitales
y a las infraestructuras críticas de información. Por ello, parte de
este Plan Anual de Ciberseguridad, es continuar prestando participación
y colaboración al Comité de Ciberseguridad Nacional, para lograr una
construcción colaborativa de las acciones de protección, así como de
reacción en caso de incidentes.
5.7. PARTICIPACIÓN PRIVADA Y DE ORGANIZACIONES CIVILES SIN FINES DE LUCRO
La estructura tecnológica del ciberespacio está compuesta mayormente
por empresas del sector privado de las cuales somos usuarios o
clientes, convirtiéndolas a muchas de ellas, en parte de nuestra
infraestructura crítica de información. Estas mismas empresas poseen un
caudal de conocimiento de herramientas e información de
vulnerabilidades, vectores de ataques, nuevas amenazas, etc. por lo que
es necesario explorar las posibilidades de cooperación para prevenir y
subsanar incidentes, así como para colaborar proactivamente en el Plan
de ciberseguridad de la organización. Por ello es que algunas de las
acciones detalladas en este Plan podrían ser articuladas con el
conocimiento y hasta la participación de empresas del sector privado
especialistas en la materia, así como con organizaciones civiles sin
fines de lucro que presenten la pericia necesario en procesos de
ciberseguridad, mencionados en los diferentes temas relacionadas en las
acciones y que hayan adherido al “Plan Federal de Prevención de Delitos
Tecnológicos y Ciberdelitos”.
En otro orden de ideas, las diferentes contrataciones que realice el
organismo y las fuerzas federales dependientes para la provisión de
bienes y servicios incluirán la consideración de aspectos vinculados
con la identificación, análisis y gestión de riesgo de seguridad de la
información.
5.8. GESTIÓN DE INCIDENTES, MÉTRICAS Y SEGUIMIENTO DE AVANCE.
Para comprobar la efectividad de las medidas adoptar, es necesario
establecer un sistema de métricas y de seguimiento de avance de cada
una de las acciones, que coadyuve a la ejecución coordinada de las
mismas y nos permita focalizar el potencial de trabajo en esos vectores
que más lo requieran. Para ello se establecerán vectores de medición,
análisis de riesgos, así como hitos de comprobación de cumplimiento de
las acciones llevadas adelante, permitiéndonos conocer los estados y
nuevos riesgos en los que enfocar las políticas de seguridad, así como
generar buenas prácticas y protocolos en casos de incidentes.