INSTITUTO NACIONAL CENTRAL ÚNICO COORDINADOR DE ABLACIÓN E IMPLANTE

Resolución 203/2022

RESFC-2022-203-APN-D#INCUCAI

Ciudad de Buenos Aires, 30/06/2022

VISTO el EX-2021-87179656-APN-DA#INCUCAI del registro del INSTITUTO NACIONAL CENTRAL ÚNICO COORDINADOR DE ABLACIÓN E IMPLANTE (INCUCAI), la Ley Nº 24.156, el Decreto Reglamentario N° 1344/2007; y

CONSIDERANDO:

Que la Ley Nº 24.156 establece y regula la Administración Financiera y los Sistemas de Control del Sector Público Nacional; aprobando el Decreto Nº 1344/2007 el Reglamento para llevar adelante la aplicación de norma.

Que la DIRECCIÓN DE TECNOLOGÍAS Y SISTEMAS DE INFORMACIÓN ha presentado una propuesta de políticas de seguridad informática para aplicar en este Organismo Nacional, a fin de llevar adelante correctamente la actividad regulada en la citada normativa.

Que la UNIDAD DE AUDITORÍA INTERNA del INCUCAI ha tomado la intervención prevista en el artículo 101 del Anexo al Decreto N° 1344/2007.

Que el Área de Calidad de este Organismo Nacional, en el ámbito de sus incumbencias, ha evaluado y validado los procedimientos propuestos por la citada Dirección.

Que la DIRECCIÓN DE TECNOLOGÍAS Y SISTEMAS DE INFORMACIÓN y la DIRECCIÓN DE ASUNTOS JURÍDICOS, han tomado la intervención de su competencia.

Que la presente medida se dicta en uso de las facultades conferidas por el artículo 57 de la Ley N° 27.447.

Que la presente medida se trató en reunión de Directorio del día 30 de junio de 2022, Acta Nº 25.

Por ello

EL INSTITUTO NACIONAL CENTRAL ÚNICO COORDINADOR DE ABLACIÓN E IMPLANTE

RESUELVE:

ARTÍCULO 1°.- Apruébense los procedimientos para la implementación de las políticas de seguridad informática del INSTITUTO NACIONAL CENTRAL ÚNICO COORDINADOR DE ABLACIÓN E IMPLANTE (INCUCAI), que como ANEXO ÚNICO (IF-2022-63726256-APN-DTYSI#INCUCAI) forma parte integrante de la presente, por los motivos expuestos en los considerandos.

ARTÍCULO 2°.- Regístrese, comuníquese. Dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL para su publicación y archívese.

Jose Luis Bustos - Carlos Soratti

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-


(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)



Los criterios de elaboración de los documentos que conforman el Marco Normativo de TI se basan en el establecimiento de unas reglas claras considerando su tipología y el ciclo de vida de dichos documentos.

1.1. OBJETIVO

La presente política tiene por objeto establecer la codificación y los criterios que se utilizarán para elaborar las Políticas, Procesos, Procedimientos y Estándares que conforman el Marco Normativo de TI vigente en el INCUCAI.

1.2. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

2. CONTENIDO

A continuación, se resumen los criterios a adoptar para la redacción de los documentos que conformarán el Marco Normativo de TI vigente en el INCUCAI:

2.1. TIPOLOGÍA DE LOS DOCUMENTOS

2.1.1.POLÍTICA GENERAL

Documento de máxima relevancia que define las competencias y actuaciones, cumpliendo una función coordinadora, orientadora y reguladora. Por su carácter estratégico y como medio para proteger la información, posee un interés prioritario y el máximo apoyo por parte de la INCUCAI, estableciendo los controles necesarios a fin de garantizar la seguridad de la información que genera, procesa y almacena el INCUCAI.

La Política General define una serie de interrogantes, que necesariamente deben estar incluidos en su enunciado:

• Qué es lo que se pretende proteger (objetivo).

• Alcance e impacto (a quiénes aplica).

• Sobre quiénes recae su ejecución (responsabilidades).

2.1.2.POLÍTICA

Disposiciones que soportan los objetivos recogidos en la Política General y concretan las orientaciones, competencias y regulaciones específicas indicadas en la misma. Las Políticas abarcan la definición de los roles y responsabilidades de actuación en la gestión de TI y seguridad de la información, tanto para el personal interno como externo al INCUCAI.

2.1.3.PROCESO

Conjunto estructurado de actividades diseñado para la consecución de un objetivo determinado. Los Procesos requieren de una o más entradas y producen una serie de salidas, ambas previamente definidas. Un Proceso suele incorporar la definición de los roles que intervienen, las responsabilidades, herramientas, regulaciones y controles de gestión necesarios para obtener las salidas de forma eficaz. El Proceso podrá definir las Políticas, Procedimientos, Estándares, así como las actividades y las instrucciones de trabajo que fueran necesarias.

2.1.4.PROCEDIMIENTOS

Los procedimientos establecen en detalle, los pasos necesarios a seguir a efectos de realizar una determinada tarea y así cumplir con uno o varios objetivos de control.

Dichos procedimientos:

• Deben referenciar a una política.

• Deben ser auditables, es decir, deben dejar evidencias de cumplimiento.

• Deben ser ejecutados por personas, identificando responsables.

• Pueden referenciar a otros procedimientos (procedimientos anidados).

• Pueden referenciar a un estándar.

2.1.5.ESTÁNDARES

Los estándares definen un conjunto de criterios y/o especificaciones orientadas a cumplimentar los objetivos de control del marco normativo en un ámbito de aplicación concreto.

Los estándares:

• Constituyen un marco de referencia dentro del ámbito de aplicación.

• Son de obligado cumplimiento.

• Si son tecnológicos no deben corresponderse con un fabricante específico.

2.2. CICLO DE VIDA DE LA DOCUMENTACIÓN

Las responsabilidades que a continuación se describen se refieren específicamente al ciclo de vida de toda la documentación que formará parte del Marco Normativo de TI del INCUCAI.

2.2.1.ELABORACIÓN

Corresponde a la Dirección de Tecnologías y Sistemas de Información dependientes del INCUCAI, velar por la seguridad de la información, proponiendo, elaborando, revisando y manteniendo de forma estricta el Marco Normativo de TI, con el objeto de garantizar el cumplimiento de dicha premisa en el ámbito del INCUCAI.

2.2.2.PUBLICACIÓN, DISTRIBUCIÓN Y CUSTODIA

El INCUCAI será el encargado de promover la publicación y distribución del Marco Normativo de TI aprobado, cuyas referencias se fundamentan en la Decisión Administrativa 641/2021 “Requisitos mínimos de Seguridad de la Información para Organismos”, a todo el personal afectado. Una vez publicado y distribuido cada documento, quedará bajo la custodia de las Direcciones Generales.

2.2.3.CONTROL DEL CUMPLIMIENTO

Cada dependencia será responsable de controlar el cumplimiento del Marco Normativo de TI dentro de su ámbito.

Corresponde a la Dirección de Tecnologías y Sistemas de Información monitorear el cumplimiento del Marco Normativo de TI, de acuerdo con sus objetivos de control en materia de seguridad de la información.

Corresponde al área encargada de la auditoría verificar el cumplimiento de la Normativa vigente, detectando, reportando y proponiendo mejoras en su contenido, fruto de las auditorías realizadas.

2.2.4.ACTUALIZACIÓN

Toda la documentación podrá revisarse y actualizarse cuando se considere necesario. Dicha revisión se planificará en función de su antigüedad, grado de obsolescencia, acciones correctivas en curso y observaciones recibidas. Se evitará mantener en vigor documentos no revisados de más de 1 año de antigüedad. El deber de dicha actualización recaerá en la DTySI.

Será responsabilidad de cada dependencia, mantener actualizados en todo momento aquellos Procedimientos y Estándares alineados con el Marco Normativo de TI de la INCUCAI.

3. Generalidades

Cualquier violación a la presente política puede derivar en la restricción inmediata del acceso a la información digital sin perjuicio de otras acciones que se puedan emprender en el ámbito administrativo, civil o penal.

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por la INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

4. CONTROL DE CAMBIOS


Índice



1. INTRODUCCIÓN

La información hoy en día es un bien valioso que brinda grandes beneficios en términos de intereses políticos, objetivos de gestión y ayuda en la toma de decisiones.

La información digital puede presentarse de diversas formas y en diferentes contextos como es la información almacenada en soportes electrónicos, transmitida por correo o publicada en redes sociales, representada en imágenes, o expuesta en una conversación telefónica. En este sentido, cualquiera sea el modo en el que se manifieste, almacene o comunique, debe ser debidamente protegida, dado que representa un patrimonio para el Instituto Nacional Central Único Coordinador de Ablación e Implante.

La seguridad protege a la información de una amplia variedad de amenazas, con el objeto de asegurar la continuidad de las actividades, minimizar los riesgos y maximizar la calidad en la entrega de los servicios de tecnología informática.

Esto se logra implementando un conjunto adecuado de controles, que incluye: políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware; los cuales se deben establecer, implementar, supervisar, revisar y mejorar, cuando sea necesario, a fin de garantizar que se alcancen los objetivos de la Dirección de Tecnologías y Sistemas de Información.

Es importante que los principios de la Política General de Seguridad Informática formen parte de la cultura organizacional, a fin de facilitar su efectivo cumplimiento.

1.1. OBJETIVO

La presente Política General de Seguridad Informática tiene por objetivo constituir un marco general para establecer y mantener las políticas, procesos, procedimientos y estándares que definen las medidas de seguridad informática a aplicar en el INCUCAI, de acuerdo con la normativa vigente.

1.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

1.3. ÁMBITO DE APLICACIÓN

La política general de seguridad informática, así como el resto de las políticas enmarcadas dentrode la normativa vigente, se aplica con carácter obligatorio a todo al ámbito de la Dirección de Tecnologías y Sistemas de Información, a sus recursos y a la totalidad de los procesos, ya sean internos o externos vinculados a la organización a través de contratos o acuerdos con terceros. Abarca toda la información digital utilizada por el INCUCAI para el desarrollo de sus actividades y los sistemas de información que la soportan.

1.4. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

2. CONTENIDO

2.1. PRINCIPIOS FUNDAMENTALES

La Política General de Seguridad Informática vela por la seguridad de todos sus procesos, siendo esta de aplicación en todas las fases de su ciclo de vida: generación, distribución, almacenamiento, procesamiento, transporte, consulta y destrucción, así como de los sistemas que los soportan: análisis, diseño, desarrollo, pruebas, homologación, producción; operación y mantenimiento.

La Dirección de Tecnologías y Sistemas de Información adoptará acciones tendientes a preservar en cada momento los tres componentes básicos de la seguridad de la información:

• CONFIDENCIALIDAD: Garantizar que a la información y a los sistemas de información solo accedan personas debidamente autorizadas.

• INTEGRIDAD: Garantizar la exactitud de la información y de los sistemas de información contra alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta.

• DISPONIBILIDAD: Garantizar que la información y los sistemas de información pueden ser utilizados en la forma y tiempo requeridos.

Sobre estos tres pilares, la Dirección de Tecnologías y Sistemas de Información cimienta su política general en materia de seguridad informática, dado que son vitales para la gestión de gobierno, la imagen social y la calidad en la atención de los ciudadanos.

Adicionalmente, se adoptarán conductas destinadas a garantizar el cumplimiento de los principios que se detallan a continuación:

• AUTENTICACIÓN: Establecer la identidad del usuario y asegurar que este sea quién dice ser.

• TRAZABILIDAD: Asegurar que cualquier acción o transacción pueda ser relacionada unívocamente asegurando el cumplimiento de controles claves establecidos en las correspondientes políticas, así como el almacenamiento en un histórico para posibles inspecciones legales.

• LEGALIDAD: Garantía de que la información organizacional cumple con las leyes, reglamentaciones y disposiciones vigentes.

2.2. IMPLEMENTACIÓN DEL MARCO NORMATIVO DE TI

El conjunto de documentos incluidos en el marco normativo de TI se define e implementan en base a diferentes dominios de seguridad, sobre los cuales también se funda la presente Política General de Seguridad Informática:

1.1.1. ORGANIZACIÓN DE LA SEGURIDAD

Administrar la seguridad de la información dentro de la organización, estableciendo una estrategia y un marco gerencial para controlar su implementación.

1.1.2. SEGURIDAD DE LOS RECURSOS HUMANOS

Hay que asegurar que el personal de planta, personal con contrato en cualquiera de sus modalidades y proveedores entiendan sus responsabilidades, sean adecuados a sus roles asignados y estén preparados para respaldar la política general de seguridad informática.

1.1.3. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información, implementando y manteniendo un nivel de seguridad adecuado en la provisión de servicios y detectando las actividades de procesamiento de información no autorizadas.

Corresponden a este dominio los siguientes documentos:

• Política de copias de resguardo y recuperación.

• Política de seguridad en redes.

• Política de prevención de software malicioso.

• Política de instalación de estaciones de trabajo.

• Política de uso de correo electrónico

• Política de uso de internet.

1.1.4. CONTROL DE ACCESOS

Controlar los accesos a la información sobre la base de los requerimientos de seguridad y de los objetivos definidos por la Dirección de Tecnologías y Sistemas de Información. Los accesos serán otorgados sobre los principios de “mínimo privilegio” y “necesidad de conocer”, aplicables a cada usuario.

Corresponden a este dominio los siguientes documentos:

• Política de administración de portátiles.

• Política de registro de eventos de ti.

• Política de control de eventos de ti.

• Política de administración de contraseñas.

• Política de administración de accesos a software de aplicación.

• Política de accesos remotos.

1.1.5. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Garantizar que la seguridad sea una parte integral del ciclo de vida de los sistemas de información, previniendo errores, pérdidas, modificaciones no autorizadas o mal uso de la información en las aplicaciones.

1.1.6. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Asegurar que se aplique un proceso de mejora continua para la gestión de los incidentes de seguridad de la información, garantizando que los eventos sean registrados y comunicados de forma correcta y oportuna. Corresponden a este dominio los siguientes documentos:

• Política de respuesta ante incidentes de TI.

1.1.7. GESTIÓN DE LA CONTINUIDAD DE LAS ACTIVIDADES

Desarrollar e implementar planes de continuidad que aseguren la reanudación oportuna de las operaciones esenciales. Contrarrestar las interrupciones de las operaciones y proteger los procesos críticos del INCUCAI.

3. GENERALIDADES

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

4. CONTROL DE CAMBIOS


Contenido

INDICE



1. INTRODUCCIÓN

Al momento de elaborar documentos, tener en cuenta los aspectos básicos de las normas ortográficas y gramaticales posibilita una comunicación escrita con sentido y una transmisión clara del mensaje al lector.

Cuando se emplea el lenguaje escrito, no hay modo de escapar a ciertas exigencias que no tiene el lenguaje oral.

Los criterios de elaboración de los documentos que conforman el Marco Normativo de TI se basan en el establecimiento de unas reglas claras de codificación y recomendaciones generales de redacción.

Asimismo, se define la tipología y el ciclo de vida de dichos documentos.

2. OBJETIVO

La presente política tiene por objeto establecer la codificación y los criterios que se utilizarán para elaborar las Políticas, Procesos, Procedimientos, Estándares, Guías y Modelos que conforman el Marco Normativo de TI vigente en el INCUCAI.

3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

4. CONTENIDO

A continuación, se resumen los criterios a adoptar para la redacción de los documentos que conformarán el Marco Normativo de TI vigente en el INCUCAI.

Éstos se encuentran alcanzados por el procedimiento INCU-CyEP-PO-0501 “Gestión de Documentos” aprobado por RESFC-2021-150-APN-D#INCUCAI o los que en un futuro modifiquen dicha resolución.

A. CRITERIOS DE REDACCIÓN

Los criterios que se deben seguir en la redacción de los documentos del marco normativo son los siguientes:

Tiempos verbales

Dentro de lo posible se deberá utilizar el mismo tiempo verbal para todo el documento.

Se recomienda utilizar el infinitivo o el futuro en tercera persona.

Es importante que el sujeto de la acción esté siempre claramente identificado: "abrir el archivo, registrar la incidencia, rellenar los datos del apartado 1,...", "el operador abrirá el archivo, registrará la incidencia y la comunicará a su responsable".

Las instrucciones y controles deben redactarse en imperativo, ya que la voz pasiva puede resultar ambigua "...la tiene que activar el lector”.

Estructura del documento

En los procedimientos, se recomienda estructurar los mismos, en una secuencia cronológica de pasos, en el orden en que se deben de suceder.

Verbo 'deber'

No abusar del verbo 'deber': "se configurará la política de contraseñas" por "se deberá configurar la política de contraseñas".

Uso de 'deber' y 'deber de': 'deber' implica obligación y 'deber de' significa probabilidad: "el sistema debe cumplir", "el sistema debe de estar en mal funcionamiento".

Evitar la perífrasis

Usar siempre el menor número de palabras y expresar una sola idea:

"Tomar en consideración" por "Considerar"

"Resultado final" por "Resultado"

"Todos y cada uno" por "Todos"

Eliminar completamente" por "eliminar"

Botón de color rojo" por "Botón rojo

Ser concreto

Evitar la ambigüedad seleccionando palabras precisas y los detalles necesarios: "Configurar el certificado" por "Abrir el archivo cert.cer y guardar el contenido del certificado".

Claridad

El sentido debe resultar unívoco y fácilmente comprensible para el lector.

Brevedad

Cuanto más largo es un documento más difícil es de leer y utilizar. El documento debe ser lo suficientemente largo como para resultar claro. Deben eliminarse las frases innecesarias, las redundancias, repeticiones y los principios de frase que no aporten nada.

Sencillez

Las frases deben ser breves (25 palabras como máximo). Transformar las frases largas en listas o en otras más breves.

Deben dividirse los párrafos largos en otros más breves.

Las palabras deben ser sencillas, precisas y descriptivas, en lugar de retóricas y complicadas.

También la estructura de las frases debe ser sencilla.

Debe eliminarse la terminología técnica innecesaria.

Corrección formal

El lector se forma su primera impresión del documento a partir de sus aspectos formales. Si encuentra indicios de descuido, dudará de la calidad de la información.

Deben respetarse las reglas gramaticales (acentuación, puntuación, etc.).

Deben respetarse otras convenciones tales como: unidades físicas de medida, abreviaturas, acrónimos, etc.

5. GENERALIDADES

Cualquier violación a la presente política puede derivar en la restricción inmediata del acceso a la información digital sin perjuicio de otras acciones que se puedan emprender en el ámbito administrativo, civil o penal.

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

6. CONTROL DE CAMBIOS


Contenido



2. INTRODUCCIÓN

La información es un recurso de vital importancia para el funcionamiento del Instituto Nacional Central Único Coordinador de Ablación e Implante (en adelante INCUCAI) y, por consiguiente, debe ser debidamente protegida a través de mecanismos de seguridad lógica y física. Dichos mecanismos se establecen adecuadamente a partir de un análisis de riesgos.

2.1. OBJETIVO

Definir y establecer los requisitos para la realización de evaluaciones de riesgos tecnológicos y la administración de los mismos dentro del ámbito del INCUCAI.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de la información y de las comunicaciones del INCUCAI.

3. CONTENIDO

El INCUCAI tiene como objetivo organizar y coordinar la infraestructura tecnológica y los sistemas de información que se utilizan en el INCUCAI. Para cumplir con esta premisa, podrá realizar evaluaciones de riesgos cuando lo considere necesario, estableciendo las siguientes pautas:

3.1. ROLES Y RESPONSABILIDADES

El INCUCAI podrá solicitar revisiones periódicas de los riesgos de seguridad y de las salvaguardas implementadas a fin de:

a. Reflejar los cambios en los requerimientos y prioridades del INCUCAI;

b. Considerar nuevas amenazas y vulnerabilidades;

c. Corroborar que las salvaguardas siguen siendo eficaces y apropiadas.

Las revisiones podrán llevarse a cabo con diferentes niveles de profundidad según los resultados de evaluaciones anteriores y los niveles variables de riesgo que el INCUCAI está dispuesta a aceptar.

El Área de Seguridad Informática será el responsable de establecer los controles o mecanismos de salvaguarda, de acuerdo al grado de exposición a potenciales riesgos de los procesos, activos de información, aplicaciones, software de base, equipamiento, redes de comunicaciones e instalaciones dentro del ámbito del INCUCAI.

Asimismo, el Área de Seguridad Informática será el responsable de realizar la ejecución de dichos análisis de riesgos y reportar los resultados a la Dirección Ejecutiva del INCUCAI.

3.2. METODOLOGÍA

La metodología de evaluación de riesgos adoptada por el INCUCAI es una consideración sistemática de los siguientes puntos:

a. Establecimiento de un inventario o árbol de activos tecnológicos. El que será actualizado ante cualquier modificación de la información registrada.

b. Valoración cualitativa de los activos de dicho inventario tecnológico.

c. Impacto potencial de una falla de seguridad en la administración de los recursos del INCUCAI, teniendo en cuenta las potenciales consecuencias por una pérdida de la confidencialidad, integridad o disponibilidad de la información.

d. Probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidades predominantes, la posibilidad de propagación de esas amenazas sobre los recursos del INCUCAI y los controles actualmente implementados.

Los resultados de esta evaluación ayudarán a orientar y a determinar las prioridades y acciones de gestión adecuadas para la administración de los riesgos concernientes a seguridad informática, y para la implementación de los controles o salvaguardas seleccionadas a fin de brindar protección contra dichos riesgos.

Los controles o salvaguardas se seleccionarán teniendo en cuenta el costo de implementación en relación a los riesgos que debe reducir y a las pérdidas que podrían producirse de tener lugar una violación de la seguridad. Asimismo, el INCUCAI podrá considerar otros factores no monetarios como el daño en la reputación o en la imagen del INCUCAI.

4. GENERALIDADES

Cualquier violación a la presente política puede derivar en la restricción inmediata del acceso a la información digital sin perjuicio de otras acciones que se puedan emprender en el ámbito administrativo, civil o penal.

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo a los principios generales del derecho.

5. CONTROL DE CAMBIOS


1. ÍNDICE



2. INTRODUCCIÓN

La presente política establece los criterios de seguridad necesarios para la gestión de redes que garanticen la confidencialidad, integridad y disponibilidad de la información en los usos requeridos por los agentes del INCUCAI.

2.1. OBJETIVO

Asegurar una adecuada protección de la información procesada en la red de datos del INCUCAI.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

3. CONTENIDO

3.1. SEGURIDAD EN REDES

Todos los accesos a la red del INCUCAI, tanto físicos como lógicos son autorizados, administrados y monitoreados por el área Atención a Usuarios y Soporte Técnico, quien tiene competencia exclusiva de aplicar las políticas de seguridad correspondientes.

3.2. CONTROLES DE RED

Se requiere un conjunto de controles para lograr y mantener la seguridad de las redes de datos. Se deben implementar controles para garantizar la seguridad de los datos y la protección de los servicios conectados contra el acceso no autorizado, en particular, el área de Atención a Usuarios y Soporte Técnico observará lo siguiente:

■ Se deben establecer controles de tráfico en la administración del equipamiento perteneciente a los dominios Internet, DMZ e intranet, así como los accesos remotos, accesos externos (confiables y no confiables).

■ Deben establecerse controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y en especial para proteger las conexiones de los usuarios que realizan teletrabajo con información sensible. También pueden requerirse controles especiales para mantener la disponibilidad de los servicios de red y equipos conectados.

■ Las actividades gerenciales deben estar estrechamente coordinadas, tanto para optimizar el negocio, como para garantizar que los controles se apliquen uniformemente en toda la infraestructura de procesamiento de información.

3.3. SEGMENTACIÓN DE LA RED CORPORATIVA

Se debe diseñar una adecuada estructura de red implementando dominios lógicos separados, protegidos por un perímetro acotado de seguridad. Se definirán y crearán distintos dominios lógicos, realizando divisiones por servicios o grupos.

■ Cada red protegida deberá tener su perímetro de seguridad, y los distintos dominios se conectarán por medio de enlaces seguros entre dos redes distintas que filtren el tráfico entre los dominios.

■ La segmentación se realizará dividiendo la red en dominios de seguridad lógicos con la finalidad de:

a. Proteger el acceso a la información y a los sistemas en función de su criticidad.

b. Limitar el acceso de usuarios exclusivamente a los servicios que necesite para llevar a cabo sus funciones.

c. Aislar los problemas en la red ante la presencia de software malicioso, errores, averías, intrusiones, etc.

d. Facilitar la localización, gestión y administración de los activos conectados a la red.

■ Todos los dominios deben estar identificados y separados física o lógicamente. Dentro de los propios dominios pueden existir componentes que no deban estar en el mismo segmento de red debido al compromiso de seguridad que supondría la conectividad plena entre ambos. Se establecerán entonces subdominios en base a criterios de segmentación concretos.

■ La interconexión entre dominios se deberá realizar a través de dispositivos que permitan la segregación de tráfico permitido y no permitido y que mantengan un registro de las conexiones que se realizan.

■ En los casos en que un mismo equipo pertenezca a varios dominios a la vez, se debe utilizar una interfaz para cada dominio, bien sea lógico o físico, y se debe deshabilitar el enrutado para que los servidores no actúen como "puente” entre dominios.

■ Deberán establecerse medidas que aseguren la disponibilidad de los segmentos de red, por lo que se estudiará la capacidad de tráfico soportada por los diferentes componentes de la red teniendo en cuenta el tráfico previsto en función de los usuarios que acceden y las operaciones que realicen. Dentro de las consideraciones técnicas que fija el área de Atención a Usuarios y Soporte Técnico para implementar la segmentación de red, se pueden destacar:

a. Implementar un segmento dedicado a los servidores con funciones de autenticación como son los de repositorio de usuarios, servidor de dominio, etc. que se ubicarán en el dominio de servidores.

b. Comprobar que, en el dominio de servidores, todas las bases de datos ubicadas en el mismo segmento contienen datos con el mismo nivel de criticidad y/o características de seguridad comunes para el negocio. En el caso contrario se recomienda crear otro segmento en el mismo dominio, separando los servidores críticos de los otros.

c. Mejorar la seguridad elevando el número de segmentos de red. Un mayor número redunda en una mayor seguridad, ya que la posibilidad de extensión de un ataque queda reducida a las máquinas directamente adyacentes a la atacada, a su vez que permite habilitar reglas de tráfico más sencillas y flexibles dando lugar a un acceso más selectivo a determinados servicios, considerando esta una ventaja estratégica fundamental.

d Las áreas involucradas comprendan la importancia de tener un esquema de front-end y back-end que a su vez se divida en Producción y Desarrollo, prohibiendo que las áreas de desarrollo tengan acceso a las zonas productivas.

3.4. POLÍTICA GENERAL DE FLUJO DE TRÁFICO

Las políticas generales de flujos de tráfico pretenden dar las pautas de dirección de los flujos de datos entre dominios. Los controles generales de dirección de flujos de datos que fija la Subdirección General de Sistemas son los que se exponen a continuación:

■ El dominio de redes públicas solo podrá realizar peticiones a equipos que se encuentren en el domino de extranet. En ningún caso se deben realizar conexiones a equipos que se encuentren en dominios confiables distintos de la extranet.

■ Los servidores del dominio de DMZ podrán realizar peticiones exclusivamente hacia los servidores del dominio de servidores que tengan sus bases de datos.

■ Los servidores de pasarela (Gateway) de la DMZ tendrán privilegios especiales de acceso, pudiendo acceder a Internet (proxy de salida) y a la Intranet (dispositivos de VPN).

■ El dominio de Intranet no podrá realizar conexiones hacia los dominios públicos. Para poder acceder a ellos deberán hacerlo a través de las pasarelas de acceso a Internet (proxy de salida).

■ Los servidores del dominio en ningún caso podrán realizar conexiones salientes hacia otros dominios. Podrán recibir conexiones del resto de dominios a través de la interfaz que corresponda.

3.5. ADMINISTRACIÓN DE LA SEGMENTACIÓN

La administración de los segmentos de la Red Corporativa deberá realizarse de acuerdo a los controles que a continuación dispone el área de Comunicaciones:

■ Se establecerán reglas genéricas de acceso para favorecer en la medida de lo posible la administración de los dispositivos de seguridad.

Se incluirán tiempos de vigencia en las reglas temporales de acceso

■ Se definirán y documentarán los procesos de revisión de registros y las acciones a tomar en caso de detección de una incidencia.

■ Se establecerán fechas periódicas de auditoría.

■ Se centralizará la administración de las pasarelas (Gateway), implementando las políticas de tráfico en la red corporativa, a fin de establecer un único punto de gestión, reduciendo el riesgo que puede provocar una inadecuada gestión de dichos dispositivos.

■ Se deberán documentar y mantener procedimientos operativos que registren los servicios, las características del tráfico y la política de comunicaciones.

■ Se definirán e implantarán herramientas que ayuden a establecer el flujo de autorización de las peticiones de modificación en la configuración de los dispositivos de seguridad.

Se mantendrán diagramas de red actualizados que permitirán identificar los protocolos utilizados, servicios existentes, direccionamiento utilizado, estrategias de enrutado, hardware y software, etc.

3.6. ADMINISTRACIÓN DEL TRÁFICO DE RED

Las conexiones de la red de datos se gestionan a nivel corporativo. Debido a que el INCUCAI posee edificios localizados en diferentes áreas geográficas, el soporte de la red metropolitana (WAN) será un requerimiento básico, siendo necesaria una adecuada gestión de las rutas de tráfico. Cuando se compara el ancho de banda de la LAN con una WAN, se puede apreciar que es un recurso escaso y que debe ser cuidadosamente manejado. A partir de esta premisa, el área de Atención a Usuarios y Soporte Técnico dispone las siguientes medidas que se deberán aplicar a los dispositivos enrutadores:

■ Filtrado de paquetes de red que brinde garantías de seguridad y control de los accesos en toda la Organización. Los accesos no autorizados pueden provocar pérdidas de negocio, fuga de datos sensibles, datos corruptos, además de reducir potenciales responsabilidades legales de los usuarios.

■ Conexión de todas las oficinas ubicadas en las diferentes áreas geográficas, tomando en cuenta la tecnología existente en el mercado y los costos de uso, a fin de que el organismo pueda seleccionar la mejor opción desde el punto de vista económico y tecnológico.

■ Propiedades de reconocimiento de cada protocolo, permitiendo priorizar tráfico y soporte para protocolos sensibles a retardos de la WAN.

■ Gestión de ancho de banda. Siempre que sea posible, se deberá gestionar el ancho de banda máximo que se utilice, sin importar quién es el usuario que desea hacer uso del recurso.

Para facilitar la gestión y administración de la red perimetral, el área de Atención a Usuarios y Soporte Técnico establece los controles que a continuación se detallan:

■ Incluir tiempos de vigencia de las reglas de acceso y revocar automáticamente aquellas que sobrepasen el tiempo para el que fueron definidas.

■ Definir y documentar los procesos de administración y establecer herramientas que ayuden a establecer el flujo de las peticiones de modificación en los privilegios de acceso.

■  Definir y documentar procesos de revisión de logs y las acciones a tomar en caso de detección de un incidente.

■ Establecer fechas periódicas de auditoría.

■ Se deberá centralizar la administración de los firewalls, implementando las políticas de tráfico en la red corporativa, a fin de establecer un único punto de gestión (con diferentes privilegios de administración), reduciendo el riesgo que puede provocar una inadecuada gestión de dichos dispositivos.

Asimismo, es necesario evitar el acceso a Internet de forma directa, de los usuarios de la red interna y de las diferentes ubicaciones edilicias que pertenecen al INCUCAI. Esto debe realizarse a través de unos medios que garanticen el acceso únicamente a los protocolos HTTP o HTTPS y FTP o SSH, a través de algún tipo de Proxy HTTP / FTP (ya sea software instalado sobre un servidor de propósito general o sobre una plataforma dedicada). el área de Atención a Usuarios y Soporte Técnico dispone de las siguientes medidas que deberán implementarse para garantizar el acceso de los usuarios a Internet de forma segura:

■ Gestión de contenidos. Filtrar los contenidos no autorizados (sexo, violencia, juego, sitios inseguros, etc.) evitando el acceso desde las terminales de los usuarios.

■ Caché de contenidos. Deberán implantarse dispositivos con capacidad para cachear en disco local, páginas frecuentemente accedidas, a fin de reducir el ancho de banda utilizado y mejorar los tiempos de respuesta a los usuarios de red.

■ Autenticación de usuarios. Deberá habilitarse la autenticación de los usuarios ante el Proxy de salida, de manera que los accesos pueden ser registrados y auditados en caso de incidente o de manera sistemática. Es posible, integrar esta autenticación con el servidor de dominio, de manera que sea totalmente transparente para el usuario, evitando el uso de identificadores genéricos o compartidos.

■ Homogenizar siempre que sea posible, la plataforma navegadora del usuario.

■ Registro de actividad. Se deberán mantener logs de todos los accesos realizados, con el propósito de reconstruir incidentes o para su auditoria sistemática. Esto tendrá relación directa con la política de trazabilidad de las aplicaciones, en función de los niveles de clasificación de información definidos.

■ Restricción de comunicaciones. Deberán implantarse dispositivos que permitan de manera sencilla, efectiva y segura, administrar qué protocolos se permiten para los usuarios.

■ Integración de un sistema de control de software malicioso. Se deberá integrar en el Proxy un sistema de control de software malicioso que filtre los contenidos descargados en busca de malware o código malicioso, en el software recibido.

Finalmente, existirán ciertas consideraciones que deberán tenerse en cuenta con el fin de detectar de forma preventiva eventos que supongan una amenaza para los sistemas de información. Los sistemas de detección de intrusión (IDS) están formados por un conjunto de sondas de red que analizan el tráfico que fluye por la misma con el fin de detectar los eventos que están sucediendo en los segmentos más sensibles de la red o en los sistemas más críticos que puedan suponer una amenaza para los sistemas de información. El INCUCAI dispone de las siguientes medidas a tener en cuenta al momento de implantar un IDS:

■ Se deberá procesar previamente la información obtenida de las alarmas de eventos recibidos. Es necesario discriminar los eventos en función de vulnerabilidades conocidas de los servidores (obtenidas de bases de datos), estableciendo un workflow de alertas a los administradores, para acometer acciones según sea el caso.

■ Las diferentes sondas de red deberán ser utilizadas para monitorear

a. Los accesos a los servicios publicados en Internet y los accesos a los servidores VPN.

Las mismas deberán ubicarse en el segmento externo (detrás de los firewalls).

b. El tráfico interno, gestiones realizadas por los usuarios y administradores en sus labores diarias.

3.7. DOCUMENTACIÓN

El área de Atención a Usuarios y Soporte Técnico establece la necesidad de documentar y mantener procedimientos operativos que registren los servicios, las características del tráfico y la política de comunicaciones implementada en la red corporativa.

Los procedimientos deberán ser tratados como documentos formales y los cambios deberán ser autorizados por el áreao de Atención a Usuarios y Soporte Técnico, en todos los casos:

■ Se deberá documentar toda la información referente a las comunicaciones del entorno, obteniendo el siguiente detalle:

a. Mapas de red

b. Topología de la red

c. Inventario de redes

d. Inventario de dispositivos de comunicaciones

e. Inventario de dispositivos de seguridad

■ Asimismo, deberá documentarse toda la información referente a la política de comunicaciones implantada en la red corporativa. Esta política posibilita identificar los flujos de tráfico permitidos y los no permitidos de la red, así como los caminos utilizados para acceder de un entorno a otro. Se deberán identificar los protocolos de enrutamiento configurados en la red, el plan de direccionamiento implementado en el entorno de red especificado por el área de Atención a Usuarios y Soporte Técnico y demás puntos que se consideren de utilidad para su registro y posterior análisis.

■ Se deberán documentar las características del tráfico actual de la red, a fin de que sirvan de punto de comparación en futuras elecciones de soluciones tecnológicas. Se procederá a documentar:

a. Identificación de puntos críticos

b. Escuchas (sniffers) con fines estadísticos sobre los puntos críticos.

c. Carga actual de los dispositivos de comunicaciones: firewalls, switches, routers, bridges y ocupación de las líneas de comunicaciones.

4. GENERALIDADES

Queda prohibido el uso de dispositivos o herramientas que permitan realizar "escuchas", alterar los datos, descifrarlos, desviarlos, entre otras acciones, sobre los equipos o líneas de comunicaciones, salvo autorización expresa del INCUCAI para permitir diagnosticar o resolver algún inconveniente o mal funcionamiento puntual.

La detección de cualquier irregularidad en el tráfico de red es motivo suficiente para que el INCUCAI proceda a la desconexión sin previo aviso.

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por la Dirección de Tecnologías y Sistemas de Información. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

5. HISTORIAL DE CAMBIOS


1. índice


2. INTRODUCCIÓN

El software malicioso es código desarrollado que se instala de forma no autorizada e interfiere con el normal funcionamiento de los equipos de procesamiento, almacenamiento o incluso la red de comunicaciones. Ante la amenaza continua de la existencia de código malicioso y su nivel de sofisticación para expandirse, es necesario establecer una serie de medidas que velen por la seguridad, disponibilidad e integridad de la información de los usuarios y sistemas del INCUCAI.

La forma más común en que se transmite el código malicioso es por transferencia de archivos, descarga o ejecución de archivos adjuntos de correos, visitando páginas web o leyendo un correo electrónico.

Por ello, se deben tomar las medidas necesarias a fin de poder detectar y eliminar el software malicioso de los equipos de procesamiento centralizado y las estaciones de trabajo conectadas a la red de comunicaciones del INCUCAI mediante la utilización de una herramienta antivirus.

2.1. OBJETIVO

Establecer los requerimientos que deben cumplir todos los equipos de procesamiento centralizado y estaciones de trabajo conectados a la red de comunicaciones del INCUCAI, de forma de garantizar la detección y eliminación de software malicioso (virus informáticos, troyanos, gusanos, malware en general; incluyendo código móvil), minimizando el riesgo de infección y su propagación e impedir los accesos no autorizados, robo o destrucción de información del INCUCAI.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

3. CONTENIDO

3.1. IMPLEMENTACIÓN DEL ANTIVIRUS CORPORATIVO

Todos los equipos de procesamiento centralizado y estaciones de trabajo conectados a la red de comunicaciones del INCUCAI deberán tener instalado el antivirus corporativo determinado por la Dirección de Tecnologías y Sistemas de Información, a fin de prevenir y eliminar cualquier tipo de infección, propagación y/o ejecución de software malicioso. Este producto será puesto a disposición a través de los medios que la Dirección de Tecnologías y Sistemas de Información determine.

La implementación del antivirus corporativo se realizará teniendo en cuenta lo siguiente:

a. Debe ser instalado por los agentes de soporte técnico.

b. Debe ser configurado para actualizar su base de firmas en forma periódica, con el objetivo de contar con las últimas versiones publicadas por el proveedor.

c. Debe ser configurado en todos los equipos para una protección en tiempo real.

La solución del antivirus corporativo se encuentra configurada para limpiar, eliminar o poner en cuarentena los archivos detectados con infección.

3.2. RESTRICCIONES Y CONSIDERACIONES

Los agentes de soporte técnico y los usuarios deberán tener en cuenta las siguientes consideraciones sobre las estaciones de trabajo y equipos de procesamiento centralizado:

a. Todos los equipos de procesamiento centralizado y estaciones de trabajo conectados a la red del INCUCAI deberán tener instalado el antivirus corporativo. Si por cualquier razón no fuera posible la instalación de este producto en algún equipo, el mismo no debería estar conectado a la red.

b. No se permite instalar una solución distinta al antivirus corporativo determinado por la Dirección de Tecnologías y Sistemas de Información.

c. No se permite desinstalar o detener la ejecución del antivirus corporativo, salvo expresa autorización de la Dirección de Tecnologías y Sistemas de Información, o en casos en que los agentes de soporte se encuentren realizando tareas de soporte, habilitando a tal fin una ventana de tiempo determinada para la ejecución de las tareas.

e. La Dirección de Tecnologías y Sistemas de Información podrá realizar controles periódicos y programados en forma automática para verificar y garantizar la instalación del antivirus corporativo en todos los equipos de procesamiento centralizado y estaciones de trabajo conectados a la red de comunicaciones del INCUCAI. Si como resultado de estos controles se identificaran equipos que no cumplan con la instalación del antivirus corporativo, la DTySI emitirá un informe dando cuenta de lo sucedido. Este informe será comunicado a la máxima autoridad del organismo o área donde se haya producido la falta, quien tomará las medidas que considere necesarias en relación con lo sucedido.

f. La Dirección de Tecnologías y Sistemas de Información se reserva el derecho a desactivar el acceso a la red del equipo de procesamiento centralizado o estación de trabajo que no disponga del antivirus corporativo debidamente instalado y actualizado, con el fin de proteger a los demás usuarios y equipos de la red.

g. Todas aquellas ejecuciones que se realicen a través de medios de almacenamiento personales, haciendo uso de discos, pendrives, u otros medios removibles, serán analizados por el antivirus corporativo no permitiendo la ejecución de los archivos o elementos que se encuentren infectados o que presenten algún tipo de riesgo para la red de comunicaciones del INCUCAI.

3.3. CONTROLES CONTRA CÓDIGO MÓVIL

El código móvil es aquel que sin instalarse en el equipo se ejecuta de manera automática, realizando una función específica con poca o ninguna interacción de los usuarios.

En su gran mayoría dicho código proviene del navegador y se ejecuta dentro de él, pero puede afectar también al correo electrónico y a otras aplicaciones. La incorporación de código malicioso aprovechando alguna vulnerabilidad técnica sobre la aplicación que se esté utilizando, puede tener diversos motivos como robar sesiones, instalar spyware, entre otros.

En este sentido, el empleo de código móvil deberá ser autorizado expresamente por la Dirección de Tecnologías y Sistemas de Información; probando su ejecución en un ambiente seguro y controlado con el fin de garantizar que el mismo no contenga código malicioso.

4. GENERALIDADES

En caso de constatarse un incumplimiento al presente documento, implicará la restricción inmediata del acceso a la información digital y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI para que evalúe, de corresponder, las acciones a seguir en el ámbito administrativo, civil o penal.

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N°90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

5. HISTORIAL DE CAMBIOS


contenido



1. INTRODUCCIÓN

La utilización de las tecnologías informáticas en las comunicaciones realizadas por los organismos públicos que conforman la APN, además de haberse instalado en la cultura laboral de los mismos, también es promovida por el Decreto 378/2005.

El software malicioso es código desarrollado que se instala de forma no autorizada e interfiere con el normal funcionamiento de los equipos de procesamiento, almacenamiento o incluso la red de comunicaciones.

La forma más común en que se transmite el código malicioso es por transferencia de archivos, descarga o ejecución de archivos adjuntos de correos, visitando páginas web o leyendo un correo electrónico.

Como usuarios debemos tomar las medidas necesarias a fin de mantener libre de software malicioso los equipos de procesamiento centralizado y las estaciones de trabajo conectadas a la red de comunicaciones del INCUCAI.

2.1. OBJETIVO

Que el usuario conozca y observe los requerimientos que deben cumplir todos los equipos de procesamiento centralizado y estaciones de trabajo conectados a la red de comunicaciones del INCUCAI, mediante el uso de las buenas prácticas, minimizando el riesgo de infección y su propagación e impedir los accesos no autorizados, robo o destrucción de información del INCUCAI.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias,dando cumplimento a las mismas.

2.3. ALCANCE

Esta guía, al igual que la política de la que deriva, INCU-DSyTI-PS-0704, alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

Asimismo, la elaboración de este documento se encuentra alcanzada por el procedimiento INCU-CyEP-PO-0501 “Gestión de Documentos” aprobado por RESFC-2021-150-APN-D#INCUCAI o los que en un futuro modifiquen dicha resolución.

2. CONTENIDO

3.1. USO DEL SERVICIO

Es importante recordar que es responsabilidad del usuario adoptar las precauciones apropiadas para prevenir la distribución de estos y otros tipos de virus.

3.2. MALWARE Y CÓDIGO MALICIOSO

A los efectos de promover las buenas prácticas a continuación se consigan información de utilidad y consejos útiles para el buen uso de la Tecnología disponible en el Organismo:

✓ ¿Qué es el malware?

Es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario.

Existen distintos tipos de malware o código dañino de acuerdo a cómo actúan.

Los virus informáticos son un tipo de malware que afecta principalmente a archivos ejecutables.

✓ ¿Qué es un antivirus o antimalware?

Es un programa informático específicamente diseñado para detectar la presencia de virus o código dañino y eliminarlo.

✓ ¿Cómo me puedo infectar?

La infección por virus se produce por la ejecución de un programa contaminado, por ejemplo, si se ejecuta un programa o se abre un archivo infectado independientemente de dónde esté (disco rígido, pendrive, correo electrónico, etc.), o si se navega por páginas de Internet que tienen código dañino.

✓ ¿Qué debo vigilar para no infectarme?

Es conveniente verificar periódicamente que el software de protección esté activo, y que el mismo sea el ofrecido y adquirido por el INCUCAI.

Se debe evitar el uso de productos sin licencia o adquiridos de fuentes sin garantía.

No abrir o ejecutar archivos o programas de origen desconocido o sospechoso.

Resumiendo: todos los archivos descargados de Internet o recibidos por otros medios (pendrives, correo electrónico, etc.) deben ser convenientemente revisados en busca de presencia de virus o malware.

✓ ¿Qué hago si detecto un comportamiento inusual?

Si tenés sospechas fundamentadas sobre la existencia de código malicioso/virus en tu estación de trabajo, debés comunicarte con Soporte Técnico de la DSyTI, para el aislamiento de los sistemas afectados y la eliminación del virus.

3. GENERALIDADES

En caso de constatarse un incumplimiento al presente documento, implicará la restricción inmediata del acceso a la información digital y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI para que evalúe, de corresponder, las acciones a seguir en el ámbito administrativo, civil o penal.

El presente documento debe ser interpretado armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

4. HISTORIAL DE CAMBIOS


1. ÍNDICE


2. INTRODUCCIÓN

La estación de trabajo del usuario es un recurso clave en la infraestructura de tecnología informática del INCUCAI. Constituye el nexo entre el usuario y la información digital de la Institución.

El mal uso de la estación de trabajo o la instalación no autorizada de software o hardware, además de poder constituir violaciones a los derechos de propiedad intelectual, puede ocasionar el mal funcionamiento de esta.

Por tal motivo, se deben tomar los recaudos necesarios para minimizar el riesgo de pérdida de información, las vulnerabilidades de seguridad o los plagios.

2.1. OBJETIVO

Establecer los lineamientos necesarios para regular la instalación de software y hardware de las estaciones de trabajo del INCUCAI y las responsabilidades de los agentes, cualquiera sea su función asignada.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza a todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

3. CONTENIDO

El Departamento Atención a Usuarios y Soporte Técnico tomará las medidas necesarias para regular y estandarizar la instalación de software en estaciones de trabajo, estableciendo las siguientes pautas:

3.1. SOFTWARE CORPORATIVO

La Dirección de Tecnologías y Sistemas de Información establecerá el software autorizado que podrá ser utilizado en las estaciones de trabajo. Dicho software será denominado corporativo y estará a disposición de los usuarios a través de los medios que se determine. Si el software requerido no estuviese disponible dentro de los autorizados, deberá solicitarse la aprobación del mismo.

La Dirección de Tecnologías y Sistemas de Información pondrá a disposición, en caso de que el software lo permita, las actualizaciones en línea de manera automática, cuando el usuario se conecte a la red de comunicaciones.

3.2. INSTALACIÓN DE SOFTWARE Y HARDWARE

Si un Agente requiere para el desempeño de sus funciones, la instalación de un software de aplicación no disponible en su estación de trabajo deberá generar el requerimiento, por medio de los circuitos formales establecidos.

Los requerimientos deberán ser aprobados por el Propietario de la Información en casos de software de aplicación, o por la Dirección de Tecnologías y Sistemas de Información cuando se trate de un software utilitario.

Las instalaciones serán realizadas por los Agentes de la Dirección de Tecnologías y Sistemas de Información o por personal autorizado para tal fin, quienes son los encargados de instrumentar los medios para aplicar los requerimientos fijados por la Dirección de Tecnologías y Sistemas de Información en materia de seguridad.

La instalación de cualquier hardware será realizada por los Agentes de la Dirección de Tecnologías y Sistemas de Información o personal esta autorice para tal fin.

No se permite a los usuarios instalar o desinstalar hardware en sus estaciones de trabajo.

En el caso de gestiones que impliquen reasignaciones, transferencias o cambios de destino de las estaciones de trabajo, los datos contenidos en la misma deberán ser eliminados de forma segura antes de ejecutarse la gestión.

4. REQUISITOS DE SEGURIDAD LÓGICA

Al momento de encender la estación de trabajo, la misma deberá contar con una contraseña o credencial válida de arranque como mecanismo de seguridad por defecto.

No se permite el arranque del sistema operativo desde cualquier medio de almacenamiento que no sea el disco interno.

En períodos de inactividad de la estación de trabajo, se deberá implementar el bloqueo automático, mediante contraseña o credencial válida.

La Dirección de Tecnologías y Sistemas de Información evaluará la necesidad de establecer medidas de autenticación adicionales en aquellos servicios que crea conveniente.

5. RESTRICCIONES

Debido al riesgo que implica comprometer los mecanismos de seguridad existentes en recursos informáticos, ningún agente del INCUCAI puede instalar:

a. Copias ilegales de cualquier software.

b. Software descargado de internet.

c. Software adquirido para uso personal del usuario.

d. Software de entretenimiento.

e. Cualquier otro software que no corresponda al autorizado como Software Corporativo por el INCUCAI.

Los Agentes no deberán participar en la copia, distribución, transmisión o cualquier otra práctica no autorizada en las licencias de uso de software.

6. RESPONSABILIDADES

Una estación de trabajo podrá ser asignada a más de un agente, sin embargo, el período de uso será exclusivo y cada uno será el responsable de los datos que se manipulen en ella y para todos los efectos de su uso durante ese período.

Los agentes no podrán retirar o trasladar la estación de trabajo fuera de las instalaciones del INCUCAI o de la dependencia a la cual fue asignada sin la previa autorización del Referente de la Información y del área administrativa correspondiente.

Los Agentes de la Dirección de Tecnologías y Sistemas de Información serán los responsables de mantener el inventario de los equipos conectados a la red que administran, juntamente con sus configuraciones, pertenencia, software instalado, ubicación y modelo. Dicho inventario debe estar disponible de acceso para la Dirección de Tecnologías y Sistemas de Información en todo momento.

Si se detecta o evidencia que la estación de trabajo fue vulnerada, se deberá notificar de manera inmediata a el INCUCAI, y a la Mesa de Ayuda a efectos de tomar las medidas tecnológicas necesarias.

Los Agentes de la Dirección de Tecnologías y Sistemas de Información definirán la disponibilidad en las estaciones de trabajo de la incorporación, la deshabilitación o la modificación de los componentes de hardware o elementos tecnológicos requeridos para la implementación de medios de almacenamiento removible.

7. CONSIDERACIONES

Los Agentes de la Dirección de Tecnologías y Sistemas de Información asignados y el personal autorizado por el Propietario de la Información son los únicos autorizados para la administración de su estación de trabajo.

La Dirección de Tecnologías y Sistemas de Información podrá realizar controles periódicos del software instalado en las estaciones de trabajo conectadas a su red de comunicaciones. Si como consecuencia de estos controles se detectara el incumplimiento a la presente política, la Dirección de Tecnologías y Sistemas de Información podrá emitir un reporte dando cuenta de lo sucedido y comunicarlo a la máxima autoridad de la dependencia donde se haya producido la falta, quien tomará las medidas que considere necesarias.

8. GENERALIDADES

Todo usuario está obligado a conocer el alcance de uso de cada una de las licencias de software disponible a su disposición, siendo el responsable ante el INCUCAI y ante terceros del uso que haga de él.

El INCUCAI se reserva el derecho de solicitar la devolución temporal de la estación de trabajo para desinstalar los programas de software que no cumplan con lo establecido en la presente política, sin perjuicio de otras acciones que se puedan emprender en el ámbito administrativo, civil o penal.

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N°90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

9. HISTORIAL DE CAMBIOS


1. ÍNDICE



2. INTRODUCCIÓN

La utilización de las tecnologías informáticas en las comunicaciones realizadas por los organismos públicos que conforman la APN, además de haberse instalado en la cultura laboral de los mismos, también es promovida por el Decreto 378/2005.

Las normas vigentes en la APN prohíben a los empleados a hacer uso indebido o con fines particulares del patrimonio estatal e imponen la obligación de usar los bienes y recursos del estado con los fines autorizados y de manera racional, evitando su abuso, derroche o desaprovechamiento.

El correo electrónico es una herramienta más de trabajo provista al empleado a fin de ser utilizada conforme el uso al cual está destinada, y faculta al Organismo a implementar sistemas de controles destinados a velar por la protección y el buen uso de sus recursos. Esta facultad, sin embargo, se ejercerá salvaguardando el derecho a la privacidad de los empleados.

En este sentido, el uso del correo electrónico institucional @incucai.gov.ar debe ser empleado de manera racional y responsable, exclusivamente para fines institucionales y no personales, y cada usuario es responsable del uso que haga de su cuenta de correo, siendo objeto de auditoría cuando su práctica comprometa la seguridad del sistema y la red, teniendo el Organismo la potestad para auditar los mensajes recibidos o emitidos por los servidores de correo, dentro de las normas vigentes y preservando el “Compromiso de Confidencialidad”.

Los mensajes salientes serán firmados acorde al modelo de firma aprobado por la Presidencia del INCUCAI, siendo su uso de carácter obligatorio y no pudiendo ser modificada sin previa autorización.

La utilización del correo electrónico como medio de transmisión de información del INCUCAI es recomendada frente a otros medios tradicionales en función de sus notorias ventajas: economía, rapidez, eficiencia y confiabilidad. Sin embargo, sus características exigen un comportamiento responsable por parte de los usuarios, con el fin de convertirlo en un sistema ágil y seguro.

Al utilizar una cuenta de correo electrónico del INCUCAI, los usuarios deben tomar en consideración que están actuando en representación de la organización.

3. OBJETIVO

Establecer las pautas de comportamiento referidas a la utilización del servicio de cuenta de correo electrónico del INCUCAI por parte de los usuarios, de forma de garantizar una adecuada protección de la información y los recursos informáticos y prevenir el tráfico de spam en la red de comunicaciones del Organismo.

2.1 REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

4. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

5. CONTENIDO

a. SOLICITUD DE SERVICIO

Las solicitudes de altas, bajas y modificaciones de las cuentas de correo electrónico del Organismo se realizarán conjuntamente a la de usuarios de dominio incucai.gov.ar.

b. CUENTA DE CORREO ELECTRÓNICO DEL INCUCAI

Toda cuenta de correo electrónico cuyo dominio sea "@incucai.gov.ar” es propiedad del INCUCAI.

Todas las cuentas de correo electrónico INCUCAI deben corresponder a una persona física en particular. La misma debe tener como dominio la identificación del usuario, con su nombre y apellido o similar (ej.: pgomez@incucai.gov.ar).

La creación de cuentas genéricas de correo electrónico será gestionada solo en aquellos casos en que fuera estrictamente necesario, ya que deben asignarse a un usuario del INCUCAI y requieren mantenimiento constante. La necesidad deberá encontrarse justificada en la solicitud, la que deberá ser emitida por un funcionario con rango no inferior a Director, equivalente, superior jerárquico o en su defecto al funcionario a su cargo que éstos designen.

c. USO DEL SERVICIO

Al utilizar el correo electrónico del INCUCAI el usuario acepta los siguientes términos y condiciones de uso:

A. Los usuarios son los únicos responsables del contenido y del uso de sus cuentas de acceso y buzón provistos por el INCUCAI.

B. El uso del mail es personal y sus claves son confidenciales e intransferibles.

C. No está permitido el uso del correo electrónico con fines privados, ya que es una herramienta de trabajo.

D. Las comunicaciones privadas deben realizarse a través de los buzones ofrecidos por cualquier proveedor de internet, y solo de manera excepcional desde los sistemas provistos por el INCUCAI. En el caso en que se realicen por este último medio, quedarán sujetas a los términos y condiciones de esta normativa.

E. Está prohibida la participación de los usuarios en la propagación de cartas encadenadas y la distribución de mensajes en forma masiva, ya sea a cuentas de correo INCUCAI o a cuentas externas. La distribución de mensajes masivos solo puede realizarse a través de cuentas definidas para tal fin.

F. La redacción de las comunicaciones debe ser breve, estilo telegráfico, para evitar el congestionamiento de la red. Si es imprescindible enviar un alto volumen de información deberá insertarse como documento adjunto.

G. La información que se recibe de manera personal y confidencial por correo electrónico no puede

reenviarse a otra persona, sin autorización del remitente.

H. Todos los mensajes deben enviarse correctamente identificados con el nombre, función y dependencia al que pertenece el remitente.

I. Los usuarios deben evitar transmitir o almacenar información considerada confidencial. Se recomienda utilizar un medio de encriptación seguro en caso de enviar un mensaje de este tipo.

La Dirección de Tecnologías y Sistemas de Información se reserva el derecho de administrar o limitar el tráfico de archivos adjuntos u otro tipo de información anexa al servicio de correo electrónico, por motivos de seguridad o por rendimiento de la red.

d. CONTROL DE SPAM

Se denomina spam al uso del correo electrónico para enviar mensajes no solicitados o no deseados, habitualmente de tipo publicitario y enviados de forma masiva.

La Dirección de Tecnologías y Sistemas de Información establece las medidas necesarias para el control de este tipo de mensajes a fin de minimizar los riesgos de seguridad y maximizar el rendimiento de su red de comunicaciones.

e. LISTAS DE DISTRIBUCIÓN

Los mails masivos de información general del INCUCAI institucionales, tales como newsletters o comunicaciones internas, solo podrán ser enviados desde cuentas que se destinen para tal fin, denominadas “listas de distribución”, (ej. Compras@incucai.gov.ar) o que son creadas para ciertos fines (ej. Boletín@incucai.gov.ar).

La creación de listas de distribución deberá ser solicitada solo en aquellos casos en que fuera estrictamente necesario, debiendo ser requeridas por un funcionario con rango no inferior a Director, equivalente, superior o en su defecto al funcionario a su cargo que éstos designen, a través de una nota.

Para solicitar la creación de una lista de distribución, se deberán suministrar los siguientes datos:

A. Nombre de la lista de distribución.

B. Lista de usuarios miembros.

C. Motivo de la solicitud.

D. Sector y usuarios autorizados para su utilización.

f. PAUTAS PARA EL BUEN USO DEL CORREO INSTITUCIONAL

A los efectos de promover el buen uso de ésta herramienta se les recomendará a los usuarios la puesta en práctica de pautas disponibles en la Guía INCU-DTySI-GU-0701.

6. GENERALIDADES

En caso de constatarse un incumplimiento al presente documento, implicará la restricción inmediata del acceso a la información digital y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI para que evalúe, de corresponder, las acciones a seguir en el ámbito administrativo, civil o penal.

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

7. HISTORIAL DE CAMBIOS


CONTENIDO



2. INTRODUCCIÓN

La utilización de las tecnologías informáticas en las comunicaciones realizadas por los organismos públicos que conforman la APN, además de haberse instalado en la cultura laboral de los mismos, también es promovida por el Decreto 378/2005.

Las normas vigentes en la APN prohíben a los empleados a hacer uso indebido o con fines particulares del patrimonio estatal e imponen la obligación de usar los bienes y recursos del estado con los fines autorizados y de manera racional, evitando su abuso, derroche o desaprovechamiento.

El correo electrónico es una herramienta más de trabajo provista al empleado a fin de ser utilizada conforme el uso al cual está destinada, y faculta al Organismo a implementar sistemas de controles destinados a velar por la protección y el buen uso de sus recursos. Esta facultad, sin embargo, se ejercerá salvaguardando el derecho a la privacidad de los empleados.

En este sentido, el uso del correo electrónico institucional @incucai.gov.ar debe ser empleado de manera racional y responsable, exclusivamente para fines institucionales y no personales, y cada usuario es responsable del uso que haga de su cuenta de correo, siendo objeto de auditoría cuando su práctica comprometa la seguridad del sistema y la red, teniendo el Organismo la potestad para auditar los mensajes recibidos o emitidos por los servidores de correo, dentro de las normas vigentes y preservando el “Compromiso de Confidencialidad”.

La utilización del correo electrónico como medio de transmisión de información del INCUCAI es recomendada frente a otros medios tradicionales en función de sus notorias ventajas: economía, rapidez, eficiencia y confiabilidad. Sin embargo, sus características exigen un comportamiento responsable por parte de los usuarios, con el fin de convertirlo en un sistema ágil y seguro.

Al utilizar una cuenta de correo electrónico del INCUCAI, los usuarios deben tomar en consideración que están actuando en representación de la organización.

2.1. OBJETIVO

Establecer las pautas de comportamiento referidas a la utilización del servicio de cuenta de correo electrónico del INCUCAI por parte de los usuarios, de forma de garantizar una adecuada protección de la información y los recursos informáticos y prevenir el tráfico de spam en la red de comunicaciones del Organismo.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta guía, al igual que la política de la que deriva, INCU-DSyTI-PS-0706, alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

Asimismo, la elaboración de este documento se encuentra alcanzado por el procedimiento INCU-CyEP-PO-0501 “Gestión de Documentos” aprobado por RESFC-2021-150-APN-D#INCUCAI o los que en un futuro modifiquen dicha resolución.

3. CONTENIDO

3.1. USO DEL SERVICIO

Es importante resaltar que al utilizar el correo electrónico del INCUCAI el usuario acepta los términos y condiciones de uso que se indican en la política INCU-DSyTI-PS-0706.

3.2. PAUTAS PARA EL BUEN USO DEL CORREO INSTITUCIONAL
A los efectos de promover el buen uso de ésta herramienta se recomienda a los usuarios la puesta en práctica de las siguientes pautas:

✓ No responder al correo no solicitado.

Responder al correo no solicitado (spam) aumenta la cantidad de correo basura en nuestro buzón ya que indica al remitente que la cuenta es leída. Los mensajes no deseados (incluidos los que contiene o contenían virus) deben borrarse sin más. Si los mismos solicitan confirmación de lectura, seleccionar la opción “NO”.

✓ No abrir archivos que no esperamos.

Aunque procedan aparentemente de personas conocidas no se deben abrir mensajes no esperados que contengan adjuntos, ya que puede tratarse de virus, aunque el servicio antivirus del correo los haya limpiado es bueno tener esta costumbre.

✓ No difundir correo no solicitado.

Reenviar correo no solicitado (cadenas de mensajes, publicidad, etc), solo contribuye a aumentar este tipo de correo entre los destinatarios. En consecuencia, el servidor de correo del Organismo puede ser incluido en las listas negras, causando que otros servidores de Correo rechacen mensajes que procedan o hayan pasado por éste.

Incluso si no tienen carácter publicitario, los envíos masivos y no solicitados de convocatorias, noticias, etc, también se consideran spam (correo basura).

✓ No enviar mensajes a muchas personas en el campo "Para".

Si se envía un correo a una larga lista de personas en el campo "Para" está contribuyendo a que estas personas reciban más correo no solicitado. Además puede que algunos de ellos no deseen que su dirección sea conocida por terceros. Utilice para ello el campo CCO (copia oculta).

✓ Dar nuestra dirección con moderación.

No proporcionar su dirección de correo en páginas web de procedencia dudosa o que puedan enviarle publicidad no deseada. Estar atentos al completar formularios para no indicar, sin saberlo, que queremos recibir publicidad. Para registrarse en este tipo de sitios, disponer de un cuenta gratuita.

✓ Diferenciar entre correo profesional y personal.

Obtenga una cuenta de correo electrónico para asuntos personales. De esta forma podrá reducir el volumen de correo de su buzón institucional, manteniendo ésta para fines adecuados.

✓ Limitar el tamaño de los mensajes y el uso de adjuntos.

El correo electrónico no es el mecanismo adecuado para transferir archivos. Tenga en cuenta que el destinatario puede tener problemas para leerlos, bien por su excesivo tamaño o porque el tipo de archivo (.exe, .vbs, ...) puede estar prohibido en el sistema receptor. Cuando enviemos un adjunto indicar en el texto del mensaje cuál es su contenido y su propósito para evitar que el destinatario sospeche de que se trata de un virus.

✓ No enviar archivos adjuntos mayores a 25 mb.

El servidor de correo limita el tamaño de los mails a esta capacidad.

✓ Incluir un "Asunto" del mensaje.

Indicar en el campo "Asunto" una frase descriptiva del mensaje. Esto facilita la clasificación, recuperación y lectura al destinatario y constituye una norma de cortesía.

✓ Respetar la privacidad de los mensajes y el destinatario.

No reenviar mensajes destinados a usted sin el permiso del remitente, sobre todo aquellos con contenido conflictivo o confidencial. No divulgar la dirección de una persona a terceros, sin su permiso. No publicar direcciones de correo en una web sin permiso del titular.

4. GENERALIDADES

En caso de constatarse un incumplimiento al presente documento, implicará la restricción inmediata del acceso a la información digital y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI para que evalúe, de corresponder, las acciones a seguir en el ámbito administrativo, civil o penal.

El presente documento debe ser interpretado armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

5. HISTORIAL DE CAMBIOS


1. índice



2. INTRODUCCIÓN

Internet constituye la herramienta más efectiva para el acceso y la transmisión de información. Es el medio de mayor alcance que puede utilizar cualquier organismo, tanto público como privado, para difundir información acerca de sus actividades.

Por otra parte, mientras que Internet es una red en general abierta a todos, una Intranet es una red interna, propia de una organización, que utiliza protocolos de Internet para compartir información y parte de sus sistemas informáticos que facilita la publicación de información interna.

La dirección de tecnologías y sistemas de información promueve el uso tanto de Internet como de Intranet para que los agentes realicen trabajos específicos a su función.

2.1. OBJETIVO

Establecer las pautas de comportamiento referidas a la utilización de Internet para un uso debido por parte de los usuarios conectados a la red de comunicaciones del INCUCAI, de forma de garantizar una adecuada protección de la información.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

3. CONTENIDO

El servicio de acceso a Internet deberá ser utilizado únicamente con fines laborales.

Todos los accesos desde Internet a recursos informáticos de la red de comunicaciones del INCUCAI deben utilizar protocolos de comunicación que garanticen un adecuado nivel de integridad y confidencialidad de los datos transmitidos.

3.1. SOLICITUD DE SERVICIO

Todo personal que no sea agente del INCUCAI que se encuentre prestando un servicio y requiera acceso a Internet podrá hacerlo y estará sujeto a las reglas de filtrado de contenido que el INCUCAI tiene para las comunicaciones.

3.2. CONTENIDO FILTRADO EN LA NAVEGACIÓN

Los usuarios tendrán prohibido el acceso a todo contenido considerado inapropiado para el ámbito laboral. En la medida en que los sistemas lo posibiliten, la dirección de tecnologías y sistemas de información se reserva el derecho de limitar a los usuarios el acceso a los sitios que pudieran perjudicar los intereses y la reputación del INCUCAI o pongan en riesgo su red de comunicaciones.

3.3. PROHIBICIONES

Las restricciones y prohibiciones definidas a continuación deben ser respetadas por todos los usuarios que utilicen cualquiera de los recursos de la red de comunicaciones del INCUCAI para el acceso a Internet, ya sea porque utiliza una estación de trabajo o porque utiliza alguno de los recursos de comunicaciones para conectarse.

Quedan prohibidos los siguientes usos de Internet, utilizando recursos informáticos del INCUCAI en cualquier horario:

a. Intentar obtener acceso no autorizado o comprometer el desempeño o la privacidad de cualquier sistema de computación.

b. Descargar archivos de video o de voz, salvo que los mismos sean para fines laborales. Esta limitación se debe al considerable espacio de almacenamiento que ocupan dichos archivos y a la tasa de transferencia que requiere.

c. Realizar cualquier actividad ilegal o contraria a los intereses del INCUCAI, tales como publicar información reservada, acceder sin autorización a recursos o archivos o impedir el acceso a otros usuarios mediante el mal uso deliberado de recursos comunes.

d. Efectuar cualquier actividad comercial en Internet, excepto que lo haga en representación del INCUCAI mediando autorización expresa.

e. Iniciar cualquier actividad que pueda comprometer la seguridad de los servidores del INCUCAI.

f. Dar a conocer sus contraseñas de acceso o compartirlas con otros usuarios. La contraseña es personal y confidencial. Si llegara a detectarse esta situación el usuario quedará automáticamente inhabilitado.

g. Realizar cualquier actividad de recreación personal o de promoción de intereses personales (tales como creencias religiosas, hobbies, etc.).

h. Iniciar sesiones de Internet desde ubicaciones remotas, usando recursos de información del INCUCAI, excepto aquellos casos que estén debidamente autorizados.

i. Utilizar Internet para violar derechos de propiedad intelectual.

j. Aceptar descargas de software propuestas por páginas web durante su navegación.

k. Establecer una página como predeterminada diferente a la Intranet del INCUCAI.

l. Intentar eludir o eludir los mecanismos de control y filtrado.

m. Utilizar lenguaje inapropiado.

n. Realizar cualquier actividad que atente contra la moral y las buenas costumbres.

o. Llevar a cabo cualquier práctica que pueda considerarse discriminatoria.

3.4. RESPONSABILIDADES DE LOS USUARIOS

Los usuarios tendrán las siguientes responsabilidades:

a. Aplicar lo establecido en la presente política.

b. Respetar la presente política para el uso de los servicios de Internet y evitar toda práctica que pueda dañar los recursos informáticos y la información del INCUCAI.

c. Tomar en consideración todo requerimiento especial para proteger y acceder a información según lo establecido por el INCUCAI, incluyendo material protegido por las leyes de propiedad intelectual (ley Nacional N° 25.326, o aquella que en su futuro la reemplace), o en lo que hace a la privacidad de sus propios datos.

d. Utilizar Internet en forma apropiada incluyendo los procedimientos e indicaciones a seguir cuando se usen servicios de computadoras remotas y cuando se transfieran archivos a otras computadoras.

e. El INCUCAI se reserva el derecho de monitorear las actividades que realicen los usuarios en Internet. El simple uso de los servicios de Internet implica el consentimiento a este monitoreo de seguridad, quedando a criterio de cada usuario evaluar su nivel de exposición, de acuerdo con el establecimiento de sesiones que en su mayoría no son privadas.

f.  Cada persona es responsable tanto de los sitios como de la información a la que accede con su cuenta de usuario, así como también de toda información que se copia para su conservación en los equipos del INCUCAI.

3.5. MONITOREO

Todos los accesos pueden ser sujetos a monitoreo y conservación permanente por parte de la dirección de tecnologías y sistemas de información.

Los usuarios no deben desactivar ninguno de los mecanismos de control definidos por la dirección de tecnologías y sistemas de información, tales como programas de filtrado de sitios y contenidos o de monitoreo de accesos.

4. GENERALIDADES

Cualquier violación a la presente política puede derivar en la cancelación del acceso a la red de comunicaciones del INCUCAI, sin perjuicio de otras acciones que pudieran corresponder en el ámbito administrativo, civil o penal.

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo a los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

5. HISTORIAL DE CAMBIOS


1. índice



2. INTRODUCCIÓN

Los equipos portátiles son utilizados como herramientas de trabajo profesional, se conectan a la red de comunicaciones del INCUCAI, en ellos se procesa y se almacena gran cantidad de información, en muchos de los casos de tipo confidencial. Es por esto que se deben aplicar medidas de seguridad adecuadas que permitan garantizar la protección de la información procesada en dichos equipos.

2.1. OBJETIVO

Establecer los lineamientos de seguridad a implementar para el tratamiento de los equipos portátiles que procesan, almacenan información del INCUCAI o requieran conexión a su red de comunicaciones.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

3. CONTENIDO

3.1. EQUIPOS PORTÁTILES PROPIEDAD DEL INCUCAI

Los equipos portátiles pertenecientes al INCUCAI deben cumplir con las medidas de seguridad definidas para su tratamiento y protección.

3.1.1. ASIGNACIÓN Y ADMINISTRACIÓN

Con el fin de que la Dirección de Tecnologías y Sistemas de Información cuente con información de la asignación de los equipos portátiles, el área de Patrimonio deberá mantener un registro de los equipos suministrados a los agentes del INCUCAI, en el cual se detallen los datos correspondientes del dispositivo (marca, modelo y número de serie) y del agente del INCUCAI a quien le ha sido otorgado. Dicho registro se deberá encontrar disponible para su control.

Para la asignación de un equipo portátil a un agente será condición necesaria que cuente con un ID de Usuario INCUCAI a través del cual será identificado.

Seguridad Informática deberá proceder a la baja de los accesos y recursos que el usuario tiene asignado cuando deje de prestar servicios en el INCUCAI.

Por reasignación o baja de equipos, los directores informarán la Dirección de Tecnologías y Sistemas de Información.

La Dirección de Tecnologías y Sistemas de Información capacitará al personal cuando opere el equipamiento fuera de las instalaciones del INCUCAI, con el objeto de cumplir con las pautas de control de acceso y seguridad física requeridas.

3.1.2. SOFTWARE

La Dirección de Tecnologías y Sistemas de Información establecerá el software autorizado que podrá ser utilizado en los equipos portátiles. Si el software requerido no estuviese disponible dentro de los autorizados, deberá solicitarse a esta dirección para su aprobación.

La Dirección de Tecnologías y Sistemas de Información pondrá a disposición, en caso que el software lo permita, las actualizaciones en línea de manera automática, cuando el usuario se conecte a su red de comunicaciones.

La instalación de cualquier software en el equipo portátil será realizada por la Dirección de Tecnologías y Sistemas de Información o a quienes esta designe para tal fin, quienes son los encargados de instrumentar los medios para aplicar los requerimientos fijados por la Dirección de Tecnologías y Sistemas de Información en materia de seguridad.

Si un agente requiere la instalación de un software de aplicación no disponible en su equipo portátil para el desempeño de sus funciones deberá generar el requerimiento por medio de los circuitos formales establecidos por la Dirección de Tecnologías y Sistemas de Información.

Los equipos portátiles pertenecientes a el INCUCAI no podrán sufrir modificaciones, ni ser remplazadas sus configuraciones de seguridad.

En el caso de gestiones que impliquen reasignaciones, transferencias o cambio de titularidad del equipo portátil, los datos contenidos en el mismo deberán ser eliminados de forma segura antes de ejecutarse la gestión.

Debido al riesgo que implica comprometer los mecanismos de seguridad existentes en recursos informáticos, ningún agente podrá descargar o instalar en el equipo portátil software que no corresponda con el Software Corporativo autorizado por la Dirección de Tecnologías y Sistemas de Información.

3.1.3. HARDWARE

La instalación de cualquier hardware será realizada por la Dirección de Tecnologías y Sistemas de Información o a quienes esta designe para tal fin.

No se permite a los usuarios instalar o desinstalar hardware en los equipos portátiles.

3.2. REQUERIMIENTOS DE SEGURIDAD Y USO

Todos los equipos portátiles que se conecten a la red de comunicaciones del INCUCAI o bien que almacenen o procesen información perteneciente a este, deben cumplir con las medidas de seguridad definidas para su tratamiento y protección:

3.2.1. REQUISITOS DE SEGURIDAD LÓGICA

La información del INCUCAI almacenada o procesada en los equipos portátiles debe ser protegida de manera de imposibilitar los accesos no autorizados. El mecanismo utilizado para la protección deberá ser aprobado por la Dirección de Tecnologías y Sistemas de Información.

Al momento de encender el equipo, este deberá contar con una contraseña o credencial válida de arranque como mecanismo de seguridad por defecto.

No se permite el arranque del sistema operativo desde cualquier medio de almacenamiento que no sea el disco interno.

En períodos de inactividad, se deberá implementar el bloqueo automático del equipo portátil, mediante contraseña o credencial válida.

3.2.2. CONEXIONES A LA RED

No se permite la conexión de los equipos portátiles a la red de comunicaciones del INCUCAI simultáneamente con otros entornos como son las redes públicas, Internet, vía dispositivos de acceso móvil o redes inalámbricas no controladas.

Los equipos portátiles podrán contar con mecanismos de control de conexiones establecidos por el área de Comunicaciones, a fin de prevenir y controlar las conexiones no autorizadas, cuando se encuentre conectado a la red de comunicaciones del INCUCAI.

El registro de eventos de acceso se mantendrá habilitado para que Seguridad Informática pueda detectar, en caso de necesidad, cualquier incidente de seguridad o intentos de accesos no autorizados.

3.2.3. SEGURIDAD FÍSICA

Los equipos no deberán encontrarse desatendidos, cuando se trabaje en oficinas o sean llevados a salas de reuniones, aunque sea por un corto período.

El equipo portátil en caso de ser propiedad del INCUCAI, debe ser transportado, por el agente del INCUCAI, en el bolso que se le ha asignado, a fin de reducir accidentes de transporte.

El equipo portátil no deberá dejarse en compartimientos o ubicaciones externas a las instalaciones del INCUCAI, ni tampoco estar desatendidos en áreas de paso sin vigilancia o de acceso público. El agente deberá evaluar el riesgo de uso del equipo fuera de las instalaciones y actuar en consecuencia a fin de minimizar el impacto.

Si el equipo portátil del INCUCAI o el equipo del tercero fuese sustraído o extraviado durante el transcurso de la prestación del servicio se deberá realizar la correspondiente denuncia policial y notificar de manera inmediata al área de Atención a Usuarios y Soporte Técnico, a efectos de tomar las medidas tecnológicas necesarias.

3.2.4. SOFTWARE MALICIOSO

Los equipos portátiles pertenecientes al INCUCAI, deberán tener instalada, actualizada y habilitada la solución corporativa de prevención de software malicioso definida por el área de Atención a Usuarios y Soporte Técnico.

Los equipos portátiles de terceros o propiedad de agentes del INCUCAI tendrán que contar con una solución de prevención de software malicioso con soporte vigente y lista de definiciones actualizada.

3.3. INGRESO Y EGRESO DE EQUIPOS PORTÁTILES

Todos los ingresos y egresos de equipos portátiles que no sean propiedad del INCUCAI, serán registrados dejando constancia los siguientes datos:

■  Marca

■  Número de serie

■  Persona responsable de la misma (Nombre y apellido, DNI)

■  Repartición / Empresa a la cual pertenece

■  Fecha y hora

Dichos requisitos serán solicitados por el personal de seguridad edilicia, responsable de comprobar la veracidad de los datos y su posterior asiento.

4. GENERALIDADES

En caso de constatarse un incumplimiento al presente documento, implicará la restricción inmediata del acceso a la información digital y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI para que evalúe, de corresponder, las acciones a seguir en el ámbito administrativo, civil o penal.

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

5. HISTORIAL DE CAMBIOS


1. índice



2. INTRODUCCIÓN

Para garantizar un adecuado esquema de seguridad frente a los accesos a los recursos de infraestructura de TI y el software del INCUCAI, es indispensable contar con mecanismos de registro de eventos, que garanticen la trazabilidad y faciliten el posterior monitoreo de los accesos y actividades realizadas sobre dichos recursos.

2.1. OBJETIVO

Definir las pautas generales para asegurar una adecuada registración de eventos relacionados con los servicios de TI del INCUCAI, maximizando la trazabilidad de los mismos.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

3. CONTENIDO

A fin de efectuar un adecuado registro de los eventos relacionados con la seguridad de la información, se deben tener en cuenta las siguientes consideraciones en la registración de eventos. Se producirán y mantendrán registros de auditoría en los cuales se registren las actividades, excepciones, y eventos de seguridad de la información, a fin de permitir la detección e investigación de incidentes, violación o infracción normativa en el acceso o uso de los recursos de infraestructura de TI, software de base y software de aplicación del INCUCAI.

3.1. REGISTRO DE LOS EVENTOS DE AUDITORÍA

Todo el hardware y software empleado debe permitir la registración automática y explotación de la información considerada como evento de auditoría.

Todo software de base y de aplicación implementado en INCUCAI debe brindar facilidades de registro automático de eventos, pudiendo utilizarse software complementario en aquellos casos en los que el software de base o la aplicación no posean dicha funcionalidad.

Los registros se llevarán y mantendrán de forma cronológica de acuerdo con las operaciones efectuadas por el sistema u aplicación.

Los registros contendrán información que permita identificar al usuario, el evento o acción realizada, los recursos involucrados y el registro cronológico, como mínimo. Adicionalmente, deberán contar con controles de seguridad apropiados a fin de evitar su alteración.

Todos los registros serán tratados como información de criticidad alta de acuerdo con lo establecido por el INCUCAI y en función del nivel de clasificación asignado.

Los usuarios no poseerán permisos de modificación sobre los archivos de configuración, ni tampoco podrán acceder a funcionalidades que permitan deshabilitar la grabación de registros de eventos. Se deben tomar las medidas de seguridad necesarias para garantizar su protección frente a intentos de eliminación u modificación no autorizados.

Los registros de eventos estarán previstos para generar trazas que permitan detectar, diagnosticar, auditar y analizar, tanto problemas de seguridad, como aspectos relacionados con el tratamiento de la información, y la detección de errores accidentales.

3.2. GESTIÓN DEL REGISTRO DE EVENTOS

De ser posible técnicamente, el INCUCAI consolidará automáticamente todos los eventos de forma centralizada considerando como elementos clave la automatización (configuración inicial y revisión posterior si fuese necesario), el tipo de almacenamiento y la compresión.

De acuerdo a las directrices establecidas por el INCUCAI, los resguardos de registros de eventos deberán realizarse de forma independiente a los resguardos de la información en producción.

El Propietario de la Información cuyos eventos sean registrados, podrá acceder al archivo de resguardo de registros de eventos, solo con permisos de lectura. Asimismo, con la debida autorización podrá acceder el personal de Sindicatura General y el personal de Unidad de Auditoría Interna (UAI).

3.3. REGISTRO DE EVENTOS PARA SOFTWARE DE APLICACIÓN

El registro de este tipo de eventos poseerá en su alcance la registración de todos aquellos cambios o acciones críticas que se realicen dentro de las bases de datos o repositorios con los cuales opere la aplicación; estos cambios se ejecutan a través de transacciones, las cuales deben quedar registradas.

Para que un registro de eventos transaccionales cumpla con la finalidad requerida, deberá realizarse un análisis y estudio previo de la información que procesa cada aplicación y cuáles son las necesidades de trazabilidad de la misma; en concordancia con los criterios de clasificación de la información establecidos por el INCUCAI.

Partiendo de la base de que cada acción / transacción que procesa el software de aplicación va a generar un nuevo evento, todas las acciones, cualesquiera sean, van a compartir un set de datos informativos básicos y obligatorios, que se registrarán siempre. De esta manera, se obtiene la trazabilidad y la referencia del cambio de la información, se recogen las modificaciones de datos y se detalla cual fue la actividad general del software de aplicación.

Existe, para estos casos, información general como identificación de usuario que realiza la acción, fecha hora, identificación del equipo, ubicación, transacción ejecutada, información de la acción, entre otras, que deberá registrarse de forma obligatoria y será aplicable al software en ambientes de producción dentro del ámbito del INCUCAI.

Asimismo, existe información particular de resguardo. La información particular y de gestión de gobierno, que impactará en los registros de auditoría de cada software de aplicación deberá ser evaluada al momento de realizar el análisis de la misma, teniendo en cuenta y definiendo lo que se quiere controlar, el tráfico de información de mayor riesgo y la sensibilidad que posee la ejecución de validaciones, cambios o consultas específicas. El Propietario de la Información, tendrá sus registros de eventos alineados con sus misiones y funciones, los cuales deberán ser validados con la Unidad de Auditoría Interna que le corresponde.

Para todo el software de aplicación que se opere dentro del ámbito del INCUCAI, el Organismo adquiriente o desarrollador del software deberá incorporar como mínimo, en los registros de eventos las acciones o actividades realizadas con:

• Información reservada, de acuerdo con lo definido por el INCUCAI.

• Todo dato que pueda en su contexto, modificar valores monetarios.

• Modificaciones a datos presupuestarios, catastrales o impositivos.

• Modificaciones en el modelo de autorización del software de aplicación.

Para la implementación de un nuevo software, la configuración y el contenido de los registros de eventos deberán ser aprobados por el INCUCAI, quienes aprobarán u observarán los correspondientes registros, antes de ser incorporados en el ambiente productivo del INCUCAI.

Los cambios posteriores a las aplicaciones productivas deberán cumplir idénticos requerimientos y serán evaluados previamente a su implementación por el INCUCAI, quienes darán intervención a la UAI del Organismo, en caso de ser necesario para su aprobación.

3.4. AUDITORIA DE BASE DE DATOS POR FUERA DE UNA APLICACIÓN

Toda modificación de los datos operativos del ambiente de producción por fuera del software de aplicación y que se realice por excepción justificada y aprobada, deberá reflejar el cambio en los registros de eventos correspondientes, como requisito obligatorio para la ejecución de dicha modificación.

En el caso en que el recurso tecnológico lo permita, se deberá activar la automatización de registración de actividades, a fin de evidenciar cualquier tipo de instrucción ejecutada sobre los repositorios de datos.

4. GENERALIDADES


La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo a los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

5. HISTORIAL DE CAMBIOS


1. índice



2. INTRODUCCIÓN

A fin de monitorizar todos los sucesos importantes que se producen en los sistemas informáticos del INCUCAI y poder anticiparse a los problemas, resolverlos y prevenirlos, se debe realizar un control sobre los eventos capturados en los registros.

A efectos de la operación del servicio, se denomina evento a todo suceso detectable que tiene importancia para la estructura de TI, para la prestación de un servicio o para la evaluación del mismo, como, por ejemplo, las notificaciones creadas por los servicios, los elementos de configuración o las herramientas de monitoreo y control.

2.1. OBJETIVO

Definir las pautas generales para asegurar una adecuada identificación y seguimiento de los eventos en los servicios de TI registrados en los sistemas del INCUCAI.

Asegurar que se registren y se evalúen todos los eventos significativos para la seguridad de accesos.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

3. CONTENIDO

El Centro de Operaciones de Seguridad o SOC (por sus siglas en inglés), realizará un control sobre todas las actividades registradas en los recursos informáticos y recursos de infraestructura. Para el caso del software de aplicación, el Centro de Operaciones de Seguridad o SOC realiza el registro de los eventos y su guarda, recayendo el control de esos eventos en el Propietario de la Información, quien son los responsables de indicar la necesidad de registrar aquellos eventos que consideren críticos para la operatoria que se encuentra bajo su responsabilidad.

A fin de efectuar un adecuado control de los eventos relacionados con la seguridad de la información, se deben tener en cuenta las siguientes consideraciones:

3.1. CLASIFICACIÓN DE EVENTOS

La Dirección de Tecnologías y Sistemas de Información reconoce la siguiente tipología de eventos a aplicar:

3.1.1.Eventos Informativos

Se utiliza la ocurrencia de estos eventos con el fin de reunir información sobre el hardware, el software, los problemas del sistema. Son sucesos cuya ocurrencia no implica una amenaza potencial para la gestión de los servicios de TI, sino que tan solo son reportados como medida preventiva y con la finalidad de lograr el control interno y el monitoreo del correcto funcionamiento de los servicios.

3.1.2.Eventos De Advertencia

Eventos que no son necesariamente significativos, pero podrían indicar un posible problema futuro para el mantenimiento de la gestión de los servicios de TI.

3.1.3.Eventos De Alerta

Asimismo, existen eventos que por sí mismos pueden caer dentro de una de las categorías, pero, en conjunto con otros eventos, pueden configurar una situación de mayor nivel de riesgo.

3.2. ACCESO A LA INFORMACIÓN DE LOS REGISTROS

Los registros de eventos serán accedidos por personal autorizado del Centro de Operaciones de Seguridad o SOC, pudiendo disponer de la utilización de herramientas o software apropiados para llevar a cabo el control de los mismos.

Los Órganos de Control u otros Organismos que requieran acceso a la información deberán contar con la correspondiente notificación del Propietario de la Información indicando el alcance y la justificación de la solicitud. La información a acceder será brindada por el Centro de Operaciones de Seguridad o SOC en la medida que los sistemas lo permitan. La recuperación de la información será realizada por personal experimentado y adecuadamente habilitado por el Centro de Operaciones de Seguridad o SOC .

El usuario autorizado para llevar a cabo los procesos de generación de copias de resguardo de los registros de eventos solo deberá tener los accesos que su función requiere, es decir, no contando con acceso al contenido de los mismos. Los agentes que realizan las funciones de revisión y aquellos cuyas actividades están siendo monitoreadas, deberán encontrarse obligatoriamente separadas.

No está permitida la eliminación de los registros de eventos, a menos que se trate de una depuración programada y realizada por personal autorizado por el Centro de Operaciones de Seguridad o SOC.

No está permitida la desactivación de la herramienta de registro, la alteración de eventos registrados o la sobrescritura de los mismos. El Centro de Operaciones de Seguridad o SOC, ejecutará los controles de acceso necesarios a fin de garantizar que no ocurran dichas situaciones.

El Centro de Operaciones de Seguridad o SOC realizará revisiones periódicas de los registros de eventos obtenidos, con el fin de analizar las actividades definidas para tal fin y generará un registro de dichas revisiones.

3.3. RESPUESTA A EVENTOS

Ante situaciones de anormalidad, el Centro de Operaciones de Seguridad o SOC evaluará la necesidad de notificación al Propietario de la Información cuyas actividades están siendo monitoreadas, acerca de las anomalías detectadas determinando de manera conjunta la severidad del hallazgo y las acciones a tomar que sean necesarias, en caso de corresponder.

4. GENERALIDADES

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo a los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

5. HISTORIAL DE CAMBIOS


1. índice



2. INTRODUCCIÓN

A los efectos de proteger tanto la información digital como los recursos informáticos del INCUCAI se deben tomar las medidas de seguridad necesarias y aplicar controles de acceso. La efectividad de estos controles, en su gran mayoría, depende de la manera en que se apliquen.

La autenticación permite verificar la identidad del usuario que requiere conectarse a un recurso informático y el control de acceso permite asegurar que el sistema o recurso informático es utilizado solamente por aquellos usuarios autorizados. La autenticación del usuario a partir de contraseñas forma parte de estos controles, con lo cual una correcta administración de las claves resulta indispensable para lograr la protección deseada.

2.1. OBJETIVO

Asegurar una adecuada administración de las contraseñas de usuarios a los recursos informáticos del INCUCAI durante su generación, modificación, utilización y almacenamiento.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

3. CONTENIDO

Todo usuario que acceda a cualquier recurso informático del INCUCAI debe tener asociado obligatoriamente un id y una clave de acceso o contraseña, la cual es personal, confidencial, intransferible y de exclusiva responsabilidad del usuario.

Se deberán contemplar los siguientes requisitos para una adecuada administración de las contraseñas de usuarios; siempre que sea técnicamente posible:

3.1. REQUISITOS GENERALES DE SEGURIDAD DE LAS CONTRASEÑAS

A. Deben permanecer cifradas utilizando un algoritmo unidireccional y residir en archivos ocultos y protegidos.

B. No deben ser visibles por pantalla al momento de ser ingresadas.

C. No podrán estar en blanco (nulas).

D. No debe contener información personal o de fácil identificación del usuario (por ejemplo, D.N.I., domicilio, teléfono, fecha de nacimiento y fecha de ingreso).

E. No debe ser impresa en listados del sistema, ni escrita en lugar visible a otras personas.

3.2. CARACTERÍSTICAS DE LAS CONTRASEÑAS

Las características de las contraseñas pueden variar para la autenticación de los usuarios de dominio, usuarios en custodia y usuarios administradores de equipos de seguridad y comunicaciones. A continuación, se describen las características de las contraseñas que el INCUCAI establece para cada caso:

3.2.1.Contraseñas para usuarios de dominio, servicios y software de aplicación.

• Establecer una longitud mínima de diez (10) caracteres.

• No permitir identificadores de usuario (nombre, apellidos o id).

• Obligar la utilización de contraseñas compuestas por la combinación de caracteres especiales (~! @#$%A&*_-+='|\ O {}[]:;"'<>,.?/), números y letras mayúsculas y minúsculas.

• Bloquear el usuario frente a repetidos intentos de acceso.

• Obligar su cambio cuando el usuario ingrese por primera vez al sistema o servicio.

• Solicitar el cambio obligatorio de la contraseña cada 180 días.

• Conservar un histórico de los sucesivos cambios a fin de evitar su reutilización de forma controlada.

3.2.2. Contraseñas para utilizar con los usuarios en custodia.

• Para los usuarios en custodia se aplicarán los mismos criterios que para los usuarios de dominio, servicios y software de aplicación. Para estos usuarios se establecerá una longitud mínima de quince (15) caracteres.

3.2.3. Contraseñas a utilizar en la administración de equipos de seguridad o de comunicaciones, por ejemplo, routers, proxy, firewall, Ids, otros.

• Todos los equipos de seguridad y comunicaciones utilizarán usuarios nominales (usuarios INCUCAI), por tal, las características de las contraseñas se alinearán con las utilizadas en los accesos a servicios y software de aplicación.

• Las contraseñas predeterminadas por hardware o software (superusuario / root) deberán ser ensobradas y guardadas siguiendo los lineamientos establecidos para usuarios en custodia y se adecuarán los accesos para ingresar a través de usuarios Incucai.

• De ser necesario podrán existir equipos de seguridad o comunicaciones que cuenten con dos (2) factores de autenticación, que incluya como primer factor la utilización de clave de acceso y como segundo factor una medida seguridad superior (filtros, certificados u otros).

3.3. BLOQUEO Y DESCONEXIÓN DE USUARIOS

• Cuando el usuario se haya bloqueado o sea necesario restablecer su clave, solo el administrador de accesos correspondiente podrá desbloquearlo.

• Todo usuario que no haya accedido al sistema por (60) días corridos será bloqueado. El administrador de accesos correspondiente iniciará los procesos de autorización necesarios para darlo de baja definitivamente en caso de corresponder. Ante situaciones de carácter excepcional y previa autorización formal por parte del director, equivalente o superior jerárquico a cargo de la repartición de pertenencia del usuario, se mantendrá activo.

• Se desconectará toda sesión activa cuando la estación de trabajo no verifique uso.

3.4. RESPONSABILIDAD DE LOS USUARIOS

Todos aquellos usuarios de los servicios, software y recursos informáticos del INCUCAI que tienen asignada una cuenta o cualquier otro tipo de acceso en los sistemas de la Institución, son responsables de cumplir con las siguientes pautas de seguridad:

A. Deberán cambiar periódicamente sus contraseñas y, en caso de sospechar que alguna de ellas es conocida por otros usuarios, cambiarla inmediatamente.

B. No podrán compartir su identificador de usuario y clave con otras personas.

C. No deberán revelar su contraseña a nadie, ni siquiera a aquellos que hablen en nombre del INCUCAI

o de un superior de la Institución.

D. No deberán revelar la contraseña en mensajes de correo electrónico ni a través de cualquier otro medio de comunicación electrónica.

E. No deberán escribir la contraseña en papel. Tampoco almacenar las contraseñas en archivos en su estación de trabajo sin proveerlo de algún mecanismo de seguridad.

F. No deberán revelar su contraseña en ningún cuestionario o formulario, independientemente de la confianza que le inspire el mismo.

G. No deberán utilizar la característica de “recordar contraseña”, en ninguna aplicación o servicio que posea esta opción.

H. Cuando, por razones de ausencias prolongadas, deba reemplazarse la tarea de un usuario, no está permitido la utilización de su cuenta de identificador y clave de acceso por otra persona. En estos casos, el sector del cual el usuario se ausente y desempeña sus funciones, debe designar su reemplazante y solicitar los accesos correspondientes para este, quien debe siempre acceder identificándose con su propio identificador y clave de acceso.

3.5. ADMINISTRACIÓN DE LAS CONTRASEÑAS

La administración y entrega de las contraseñas de usuarios del INCUCAI será realizada por la Dirección de Tecnologías y Sistemas de Información, quienes tendrán en cuenta los siguientes puntos:

A. La Dirección de Tecnologías y Sistemas de Información será la única con capacidad entregar, blanquear y restablecer las contraseñas de usuarios INCUCAI siguiendo los procedimientos normados.

B. La contraseña otorgada por las áreas mencionadas será generada mediante un algoritmo, brindando una clave de acceso aleatoria inicial para cada usuario.

C. La entrega de la contraseña inicial se realizará a través de un medio seguro que garantice que la misma puede ser recibida solo por el usuario al cual se le generó la clave.

D. En la entrega de la primera clave o ante un blanqueo de contraseña, el usuario deberá proceder al cambio de esta en el próximo inicio de sesión, cualquiera sea el recurso informático para acceder.

E. La Dirección de Tecnologías y Sistemas de Información podrá revocar las contraseñas de los usuarios INCUCAI, cuando las mismas se encuentren comprometidas o cuando el usuario se desvincule del organismo.

4. GENERALIDADES

Se considera falta grave que el usuario que revele a otra persona su propia clave de acceso o solicite la revelación de una clave de acceso que no le corresponda.

En caso de constatarse un incumplimiento al presente documento, implicará la restricción inmediata del acceso a la información digital y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI para que evalúe, de corresponder, las acciones a seguir en el ámbito administrativo, civil o penal.

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

5. HISTORIAL DE CAMBIOS


1. índice



2. INTRODUCCIÓN

El servicio de acceso remoto permite a los usuarios conectarse a la red de comunicaciones del INCUCAI desde un sitio externo.

Existen usuarios que se conectan a través de este servicio con la finalidad de tener acceso a la información y software de aplicación que se encuentra disponible en la red de comunicaciones del INCUCAI. Estos accesos se realizan a través de una red privada virtual (VPN), empleando redes de dominio público para conectar la estación de trabajo con la red de comunicaciones del INCUCAI. El riesgo que implica el empleo de redes públicas hace necesario establecer medidas de seguridad que garanticen la protección de la información transmitida por este medio.

2.1. OBJETIVO

Establecer los criterios y controles de seguridad que deberán cumplirse al conectar usuarios remotos a la red de comunicaciones del INCUCAI, a fin de garantizar una adecuada protección de la información y los recursos informáticos de la misma.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de la información y de las comunicaciones del INCUCAI.

3. CONTENIDO

El acceso remoto de usuarios a la red de comunicaciones del INCUCAI se lleva a cabo utilizando un método de autenticación físico (dispositivo de autenticación por hardware). El INCUCAI establece los siguientes lineamientos para la prestación de este servicio:

3.1. SOLICITUD DEL SERVICIO

El acceso remoto deberá ser solicitado únicamente en situaciones que justifiquen la imposibilidad de otra forma de acceso, tales como trabajo fuera de horario laboral o en ubicaciones fuera de los Organismos, entre otros.

La Dirección de Tecnologías y Sistemas de Información, como órgano rector de tecnología y comunicación, es la única dirección con la capacidad de otorgar accesos remotos a la red de comunicaciones del INCUCAI.

La solicitud de acceso debe ser enviada por correo electrónico al Área de Atención a Usuarios y Soporte Técnico siguiendo los lineamientos de las políticas de Seguridad Informática, por medio de una nota suscripta por el/la Superior Jerárquico del sector a la que pertenece el usuario, indicando los recursos informáticos a los que se requiere acceder, los datos del usuario, la justificación o motivo del requerimiento y el período de tiempo que el usuario requerirá del acceso.

El acceso remoto a los recursos informáticos deberá estar autorizado por el Propietario correspondiente a dichos recursos.

El usuario para el cual se requiere el acceso debe tener un ID de Usuario INCUCAI, el cual es reconocido como usuario válido para acceder a los recursos informáticos.

El funcionario solicitante debe pertenecer a la línea de dependencia (árbol jerárquico) del usuario que requiere el acceso. La DTySI controlará la relación de dependencia existente entre el usuario y el funcionario solicitante y rechazará todas las solicitudes que no cumplan con esta condición, observando la misma.

Una vez cumplida la condición anterior, el DTySI verificará si el recurso informático a acceder se encuentra bajo el ámbito de responsabilidad del funcionario solicitante, caso contrario la solicitud deberá contar con la autorización del Propietario correspondiente al recurso. De no ser así, el DTySI tendrá la facultad de rechazar la solicitud.

La Dirección de Tecnologías y Sistemas de Información hará entrega presencial del dispositivo de hardware al usuario final, en correspondencia con los accesos que hayan sido solicitados.

3.2. CARACTERÍSTICAS DE LOS ACCESOS REMOTOS

Las medidas de seguridad implementadas por La Dirección de Tecnologías y Sistemas de Información para los accesos remotos a la red de comunicaciones del INCUCAI son las siguientes:

a. Las conexiones externas solo podrán acceder a los servicios, sistemas y/o aplicaciones a los que estén autorizados.

b. El servicio de acceso remoto solo podrá ser utilizado para conexiones entrantes.

c. Los usuarios que utilicen el servicio de acceso remoto, deberán autenticarse mediante la utilización del ID de Usuario INCUCAI y su correspondiente contraseña.

d. La Dirección de Tecnologías y Sistemas de Información podrá monitorear los eventos relacionados con: cambios de derechos de acceso remoto, accesos exitosos y fallidos, la identificación del usuario responsable, la fecha y hora de inicio de conexión, tiempo de conexión, las líneas y protocolos empleados.

e. La Dirección de Tecnologías y Sistemas de Información realizará la gestión y administración de los accesos y dispositivos de autenticación llevando un registro de la asignación de los mismos.

f. La Dirección de Tecnologías y Sistemas de Información verificará que las conexiones establecidas correspondan con los accesos otorgados.

La detección de cualquier irregularidad en los accesos remotos será motivo suficiente para que el INCUCAI tome las medidas correspondientes al caso.

3.3. BAJA DEL SERVICIO

El funcionario solicitante deberá informar a La Dirección de Tecnologías y Sistemas de Información cualquier situación que amerite la baja o modificación de los accesos remotos.

En el caso de que la baja de accesos requiera la devolución del dispositivo de autenticación, el funcionario solicitante será el responsable de operar los mecanismos de recupero del dispositivo, el cual debe ser devuelto a La Dirección de Tecnologías y Sistemas de Información en iguales condiciones físicas a las que fueron entregadas.

Será responsabilidad del usuario la protección y custodia del dispositivo de autenticación. El usuario deberá informar al INCUCAI de forma inmediata, cualquier sospecha de compromiso de las claves del dispositivo.

4. GENERALIDADES

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo con los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

5. HISTORIAL DE CAMBIOS


1. Índice



2. INTRODUCCIÓN

Se define incidente a cualquier evento que desvíe la operación normal de un servicio y cause una interrupción o reducción de su calidad. La gestión de incidentes es un proceso continuo utilizado para administrar y minimizar el impacto de los eventos que comprometan la confidencialidad, integridad, disponibilidad de los servicios de Tecnología Informática del INCUCAI.

2.1. OBJETIVO

Establecer lineamientos que permitan corregir con la máxima celeridad posible, las consecuencias y efectos negativos de los incidentes de los servicios de TI, a fin de minimizar su impacto.

2.2. REFERENCIA NORMATIVA

Las normativas de referencia de la presente política se encuentran comprendidas en el marco de la Decisión Administrativa 641/2021, “Requisitos mínimos de Seguridad de la Información para Organismos”, observando además lo establecido en la Ley 25.326 de Protección de los Datos Personales, sus normas reglamentarias y complementarias, dando cumplimento a las mismas.

2.3. ALCANCE

Esta política alcanza todas las actividades relacionadas directa o indirectamente con la utilización de los recursos de tecnología de información y de las comunicaciones del INCUCAI.

3. CONTENIDO

El objetivo de la gestión de incidentes es recuperar la operación de los servicios estándar tan rápido como sea posible. La Dirección de Tecnologías y Sistemas de Información requiere que todos los servicios de Tecnología Informática (TI) cuenten con un soporte ante incidencias, y que se establezcan medidas y mecanismos que permitan prevenir y detectar a tiempo, la posibilidad de ocurrencia de todos los incidentes que sea posible prever. Algunos de ellos pueden ser: alertas o eventos que afecten a la infraestructura de TI y operaciones de los sistemas informáticos del INCUCAI; anomalías o eventos que afecten la confidencialidad, integridad o disponibilidad de la información del INCUCAI; fallas o errores en las aplicaciones del INCUCAI que afecten su normal funcionamiento.

El responsable de cada servicio de TI disponible en el INCUCAI deberá asegurar un soporte para los incidentes que puedan ocurrir y garantizar su resolución en tiempo y forma, aún ante la necesidad de escalamiento en niveles de soporte, ya sea en el INCUCAI o por un tercero. Todos los incidentes se clasificarán de acuerdo a su prioridad y complejidad de resolución.

3.1. REQUERIMIENTOS DEL SOPORTE ANTE INCIDENTES

Para cada servicio de TI, el SOC requiere que los usuarios cuenten con un único punto de contacto disponible para notificar los posibles incidentes. Asimismo, el responsable de cada servicio de TI deberá establecer un procedimiento formal de comunicación, junto con un procedimiento de respuesta que determine la acción a emprender al recibir un informe sobre un incidente y, luego de su tratamiento, verifique la efectiva resolución de la misma.

Todos los usuarios deberán notificar los posibles incidentes y no intentarán, bajo ninguna circunstancia, explotar, probar un posible punto débil o vulnerabilidad en el esquema de seguridad establecido para los sistemas y componentes de la red de comunicaciones de la Dirección de Tecnologías y Sistemas de Información o alguno de los servicios de TI brindados.

El soporte ante incidentes generalmente se divide en niveles para atender de una forma más eficaz y eficiente a los usuarios. El número de niveles en los que se organiza el soporte depende de las necesidades de cada servicio.

3.2. ACUERDO DE NIVEL DE SERVICIO

Toda contratación de servicio TI deberá contener en los Pliegos de Bases, Condiciones Particulares y Especificaciones Técnicas, un soporte ante incidencias (acuerdo de nivel de servicio) que garantice la resolución de los incidentes en tiempo y forma. El acuerdo de nivel de servicio tiene como objeto de fijar el nivel acordado para la calidad de dicho servicio, en aspectos tales como su definición, medición del rendimiento, gestión de los problemas, tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio, deberes del cliente o usuario, garantías, finalización del acuerdo, entre otros.

3.3. REQUERIMIENTOS DE LA GESTIÓN DE LOS INCIDENTES

Todos los incidentes que afecten a la integridad, confidencialidad y la disponibilidad de los servicios deberán registrarse de manera independiente, excepto aquellos casos en que se presenten incidencias masivas en un servicio. En cada caso registrado se deberán detallar las actividades realizadas durante la investigación antes de cerrar el caso.

Se recomienda que el sector que brinde el soporte a un servicio determinado mantenga una base de conocimientos que documente todos los análisis realizados sobre los incidentes ocurridos y su manera de resolución. Esto puede contribuir a mitigar las debilidades que lo causaron y a utilizar resoluciones pasadas para resolver incidentes actuales y futuros. Se deberá considerar el resguardo de la evidencia original, sin procesar, que se hubiera reunido durante la investigación y respuesta de un incidente.

La Dirección de Tecnologías y Sistemas de Información requiere que se implementen mecanismos que permitan cuantificar y monitorear los tipos, volúmenes y costos de los incidentes. Esta información se utiliza para identificar incidentes recurrentes o de alto impacto, lo cual indicará la necesidad de mejorar o agregar controles para limitar la frecuencia, daño y costo de casos futuros.

4. GENERALIDADES

La presente política debe ser interpretada armónicamente con el plexo normativo vigente a nivel local y con las demás políticas y reglamentos dictados por el INCUCAI. En caso de conflicto de interpretación se resolverá de buena fe, de conformidad a los fines perseguidos y de acuerdo a los principios generales del derecho.

El Comité de Seguridad de la Información del Instituto, creado por Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la readecuación del presente documento.

5. HISTORIAL DE CAMBIOS