SECRETARÍA GENERAL

Resolución 549/2022

RESOL-2022-549-APN-SGP

Ciudad de Buenos Aires, 18/08/2022

VISTO el EX-2022-76987534- -APN-CGD#SGP, el Decreto N° 50 del 19 de diciembre de 2019 y sus modificatorios, la Decisión Administrativa N° 641 del 25 de junio de 2021; la Disposición N° 1 de la Dirección Nacional de Ciberseguridad de la JEFATURA DE GABINETE DE MINISTROS del 14 de febrero de 2022, y

CONSIDERANDO

Que a través de la Decisión Administrativa N° 641/21 se aprobaron los “REQUISITOS MINIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, que son aplicables a todas las entidades y jurisdicciones comprendidas en el inciso a) del art. 8° de la ley 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias.

Que la mencionada norma establece, entre otras obligaciones, que los organismos comprendidos deben implementar una Política de Seguridad de la Información, con el fin de proteger adecuadamente los activos tecnológicos esenciales para el desenvolvimiento de la jurisdicción.

Que conforme lo normado por el artículo 3° de la Decisión Administrativa N° 641/21, las entidades y jurisdicciones del Sector Público Nacional comprendidos en la norma deben aprobar un Plan de Seguridad en el cual se establezcan los plazos de cumplimiento de cada uno de los requisitos mínimos de seguridad de la información contemplados en el Anexo IF-2021-50348419-APN-SSTIYC#JGM aprobado por aquélla.

Que asimismo, el Punto V del Anexo mencionado en el considerando precedente, establece que la Política de Seguridad de la Información debe ser aprobada por las máximas autoridades del organismo e informada a la Dirección Nacional de Ciberseguridad de la JEFATURA DE GABINETE DE MINISTROS.

Que mediante la Disposición N° 1/22 la Dirección Nacional de Ciberseguridad de la JEFATURA DE GABINETE DE MINISTROS aprobó el “Modelo Referencial de Política de Seguridad de la Información” (IF-2022-09912113-APN-DNCIB#JGM) para ser utilizado como base para su implementación por los organismos alcanzados por la Decisión Administrativa N° 641/21, debiendo ser interpretado como un aporte y una guía en materia de seguridad de la información y adaptado a la realidad, competencias y recursos de cada organismo.

Que en un contexto marcado por el incremento de la actividad maliciosa en general, amenazas y vulnerabilidades que ponen en riesgo los activos de información, el diseño y adopción de una Política de Seguridad de la Información brinda un marco adecuado para proteger la infraestructura y garantizar la continuidad de las operaciones de la jurisdicción.

Que asimismo resulta necesario que los principios que integran la Política de Seguridad de la Información lleguen a formar parte de la cultura organizacional mediante su activa difusión, consolidación y cumplimiento de todas las unidades organizativas que integran la jurisdicción.

Que el Comité de Control de Seguridad Informática creado por la RESOL-2022-371-APN-SGP en el ámbito de la SECRETARIA GENERAL de la PRESIDENCIA DE LA NACIÓN ha prestado conformidad de manera unánime a la Política de Seguridad de la Información propuesta por la Dirección de Seguridad Informática de la Dirección General de Tecnología Informática y Telecomunicaciones dependiente de la Subsecretaría de Coordinación de esta SECRETARÍA GENERAL de la PRESIDENCIA DE LA NACIÓN.

Que la presente medida no implica erogación presupuestaria para la jurisdicción.

Que ha tomado la intervención de su competencia la Dirección General de Asuntos Jurídicos de la SECRETARÍA GENERAL de la PRESIDENCIA DE LA NACIÓN.

Que la presente medida se dicta en virtud de las facultades conferidas por el Decreto N° 50/19 y la Decisión Administrativa N° 641/21.

Por ello,

EL SECRETARIO GENERAL DE LA PRESIDENCIA DE LA NACIÓN

RESUELVE:

ARTICULO 1°.- Apruébase la “POLITICA DE SEGURIDAD DE LA INFORMACIÓN DE LA SECRETARÍA GENERAL DE LA PRESIDENCIA DE LA NACIÓN” obrante en el IF-2022-85903213-APN-DSI#SGP que como Anexo forma parte integrante de la presente medida.

ARTÍCULO 2°.- Establécese que la política aprobada por el artículo 1° de la presente será de aplicación obligatoria en el ámbito de la SECRETARÍA GENERAL de la PRESIDENCIA DE LA NACIÓN.

ARTÍCULO 3°.- Delégase en la Subsecretaría de Coordinación de esta SECRETARÍA GENERAL de la PRESIDENCIA DE LA NACIÓN la facultad de actualizar y de dictar las normas aclaratorias y complementarias que resulten necesarias respecto de la “POLITICA DE SEGURIDAD DE LA INFORMACIÓN DE LA SECRETARÍA GENERAL DE LA PRESIDENCIA DE LA NACIÓN” aprobada mediante el artículo 1° de la presente medida y la de aprobar el Plan de Seguridad a ser elaborado de conformidad con lo dispuesto por el artículo 3° de la Decisión Administrativa N° 641/21.

ARTÍCULO 4°.- Encomiéndase a la Dirección de Seguridad Informática de la Dirección General de Tecnología Informática y Telecomunicaciones dependiente de la Subsecretaría de Coordinación de esta SECRETARÍA GENERAL de la PRESIDENCIA DE LA NACIÓN la revisión anual de la política aprobada por el artículo 1° de la presente medida.

ARTÍCULO 5°.-Comuníquese a la Dirección Nacional de Ciberseguridad de la JEFATURA DE GABINETE DE MINISTROS.

ARTÍCULO 6°.- Publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Julio Fernando Vitobello

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-


(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)



La Secretaría General de la Presidencia de la Nación en cumplimiento de la Decisión Administrativa N° 641/2021, establece la presente Política de Seguridad de la Información (PSI), que define las directrices orientadas a resguardar la confidencialidad, integridad y disponibilidad de la información, protección de los recursos tecnológicos y la continuidad de las operaciones de la Secretaría General de la Presidencia de la Nación, de conformidad con las leyes y normativas vigentes.

Las directrices son las que a continuación se mencionan.

Políticas de Seguridad y Normativas de Seguridad de la información

Se establece la “Política de Seguridad de Información” (PSI), aprobada por el Señor Secretario General de la Presidencia Nación, y obligatoria para el todo el personal que presta servicios en la SGP.

Se promueve el dictado de la “Política de Uso Aceptable de los Recursos de Tecnología de la Información” (PUA), la cual establecerá las normas de conducta razonable, que deben observar los agentes y funcionarios en el ámbito de la Secretaría General de la Presidencia de la Nación, cuando utilicen los recursos tecnológicos puestos a su disposición para el desempeño de sus tareas.

Sobre esta base, serán aprobadas normas específicas, procedimientos, lineamientos y manuales que complementarán y fortalecerán la política de seguridad de la información del Organismo.

Política Organizativa

Se conforma el Comité de Control de Seguridad Informática que estará integrado por Directores/as Generales y Subsecretarios/as. Tendrá a su cargo -entre otras funciones- las de revisar y proponer al Secretario General la aprobación de la política de seguridad de la información y sus actualizaciones e impulsar su implementación.

La función de Responsable de la Seguridad de la Información se asigna al titular de la Dirección de Seguridad Informática -área con competencia en la materia-, que tiene a su cargo las funciones relativas a la seguridad de los sistemas de información y procesos de la Secretaría General de la Presidencia de la Nación, así como también ejerce la supervisión de todos los aspectos inherentes a la seguridad tratados en la presente política. Asimismo, elaborará, propondrá y elevará al Comité de Control de Seguridad Informática para su aprobación posterior, la política de seguridad de la información y sus actualizaciones.

Dicha asignación de funciones debe ser comunicada a la Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Pública, dependiente de la Jefatura de Gabinete de Ministros.

Se establecen responsables del cumplimiento de los distintos procesos de seguridad. Se designan, propietarios de la información y propietarios de activos, quienes serán responsables por el resguardo de los mismos.

Se promueve el contacto con otros organismos públicos y entidades privadas para el intercambio de experiencias en materias de seguridad, con el objeto de actualizar y profundizar en los conocimientos relativos a seguridad y promover la capacitación continua en la materia.

Todos los Planes de Seguridad deben ser remitidos a la Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Pública, dependiente de la Jefatura de Gabinete de Ministros.

Política de Recursos Humanos

Toda persona que desempeñe tareas en el ámbito de la SGP deberá manifestar en forma expresa su aceptación de los documentos “Acuerdo de Confidencialidad” y “PUA” y deberá proceder a la devolución de activos al finalizar el vínculo laboral con la Secretaría General de la Presidencia de la Nación.
Los funcionarios a cargo de las diversas dependencias de la SGP serán los encargados de velar por el cumplimiento de las normativas vigentes, asumiendo el compromiso de concientizar y capacitar al personal en temas referidos a las políticas, procedimientos y buenas prácticas en seguridad informática

Se prevén sanciones a todo agente o funcionario que viole las políticas, normativas y procedimientos de seguridad vigentes.

Política de Gestión de Activos

Se establece la identificación, clasificación y criticidad de los activos de información, físicos y de recursos humanos, mediante un inventario actualizado, designándose responsable de los mismos a los Propietarios de Activos.

Se identifican, documentan y definen normativas de uso de los activos de tecnología según las pautas declaradas en la PUA.

Se definen directrices de clasificación, etiquetado y manipulación de activos de información.

Se establece que el tratamiento de la información, respecto a su almacenamiento, transporte y eliminación se realizará de forma segura.

Política de Control de Accesos

Con el objetivo de asegurar el adecuado uso de la información y los recursos tecnológicos de la Secretaría General de la Presidencia de la Nación, se establecen pautas y procedimientos que reglamentan la gestión de usuarios y la gestión de permisos de acceso a la información y a los recursos tecnológicos de la Secretaría General de la Presidencia de la Nación.

El acceso a la información se restringe, en concordancia con la clasificación de la misma, sobre la base de la premisa rectora: “Todo acceso está prohibido, a menos que se permita explícitamente”.

Se establece la gestión segura de las contraseñas, como también las responsabilidades de los usuarios, sobre el uso de las mismas.

Se monitorea, inspecciona y controla, el tráfico de datos en las redes de la Secretaría General de la Presidencia de la Nación, como también toda comunicación externa entrante hacia las redes de la Secretaría General de la Presidencia de la Nación y toda comunicación saliente hacia internet con el objeto de verificar que no se violen las políticas de seguridad establecidas.

Política de Criptografía

Se establece el uso de la criptografía para asegurar la información y las comunicaciones, como ser contraseñas, almacenamiento de las copias de resguardo, cifrado de dispositivos móviles, servicios expuestos a internet y transmisión de datos, dentro y fuera del ámbito de la Secretaría General de la Presidencia de la Nación.

Política Físico y Ambiental

El control de ingreso físico a las dependencias de la SGP tendrá por objeto evitar el acceso no autorizado, el posible daño a las instalaciones o interferencias en las actividades de la Secretaría General de la Presidencia de la Nación. Se definen, además, perímetros de seguridad y controles, para proteger las áreas consideradas críticas, considerando que su mal funcionamiento o puesta fuera de servicio, pueda entorpecer el normal desempeño de los sistemas de información de la Secretaría General de la Presidencia de la Nación y/o exponer información que administra dicha área.

Se asegura la continuidad operacional del suministro de energía eléctrica y del control ambiental en el centro de procesamiento de datos y sala de comunicaciones, como también la existencia de controles de seguridad para asegurar la protección del cableado de transmisión de datos.

Se realiza el mantenimiento periódico del equipamiento informático, control de su entrada y salida de las dependencias de la Secretaría General de la Presidencia de la Nación y destrucción segura cuando el equipamiento no pueda ser reutilizado, con el objeto de no exponer información residual, considerada privada o confidencial en el equipo informático.

Se adopta la política de escritorios limpios, con el objeto de proteger documentación en papel u otro medio de almacenamiento de información que pudiera existir en el área de trabajo, evitando de este modo su pérdida y divulgación no deseada.

Se adopta la política de pantallas limpias, a fin de reducir los riesgos de acceso no autorizado a un equipo informático desatendido.

Política de Seguridad en las Operaciones

Se establece la evaluación periódica de las necesidades de capacidad operacional de los sistemas y la proyección de futuras demandas, con el objeto de garantizar que el crecimiento no ponga en riesgo las actividades operativas ante la falta de recursos.

Se implementan procedimientos para gestionar tareas operativas designando responsables para la ejecución de las mismas.

En los procesos de desarrollo de software, se definen entornos separados entre sí, desarrollo, pruebas funcionales, pruebas de seguridad y producción, con el objeto de generar sistemas seguros.

Se protegen los sistemas tecnológicos contra todo tipo de código malicioso, mediante la ejecución de análisis periódicos preventivos y controles de detección en las estaciones de trabajo, servidores, conexiones de internet y correo electrónico.

La información y los sistemas se resguardan mediante la generación de copias de seguridad de manera periódica y programada.

Se monitorean, registran y auditan los eventos de los usuarios y sistemas, respecto de accesos, fallas, instalación y ejecución de software, alertas de seguridad y cualquier otra actividad relevante.

La instalación de software está supeditada conforme a los procedimientos, autorizaciones, conformidades y pruebas previas pertinentes.

Se evalúa el grado de riesgo de los sistemas publicados, mediante pruebas periódicas de evaluación de vulnerabilidades e informes de remediación y mejoría.

Política en la Gestión de Comunicaciones

Se monitorea, controla, segrega y restringe el tráfico, el acceso, independientemente del medio de transmisión implementado, en todas las redes de datos que integran la infraestructura de comunicaciones de la SGP.

Se considera el correo electrónico como un servicio crítico, por lo cual se implementan medidas de protección para su funcionamiento continuo y de manera eficiente.

La utilización de servicios de internet, es monitoreada y controlada, con el objeto de evitar que el uso indebido de dichos servicios, afecten el rendimiento de la infraestructura de comunicaciones o pongan en riesgo la seguridad de la misma. En consecuencia, tanto el uso de internet como el del correo electrónico laboral, estarán sujetos a las condiciones de uso descriptas en la PUA.

Política de Adquisición, Desarrollo y Mantenimiento de Sistemas

En toda adquisición de sistemas informáticos, como también en todos los proyectos de desarrollo de software, tanto propios o de terceros, se establece la inclusión de requerimientos de seguridad. Se considerará a la seguridad de la información como una parte integral en los ciclos de vida de los procesos de desarrollo y adquisición.

Se protegen todos los sistemas expuestos a internet contra actividades fraudulentas, modificaciones y divulgación de datos no autorizados, intercepción, vulneración de la confidencialidad, suplantación de identidad o cualquier otra amenaza existente.

Se realizan pruebas de evaluación de vulnerabilidades en los sistemas e infraestructura de la SGP, con el objeto de detectar debilidades para luego remediarlas.

Se usan datos de prueba de manera segura y siguiendo requisitos de seguridad estipulados en los entornos de desarrollo y pruebas funcionales y de seguridad.

Política en Relación a los Proveedores

Se establecen requisitos de seguridad para proteger los activos de información de la SGP a los que tienen acceso los proveedores, como también los riesgos asociados a los servicios provistos por parte de terceros.

Se controlan las implementaciones de los proveedores, se monitorea su cumplimiento y la gestión en los cambios, con el fin de asegurar que los servicios que se presten, cumplan con todos los requerimientos acordados previamente con los proveedores en el marco de la presente.

Política de Gestión de Incidentes de Seguridad

Todo el personal de la SGP, es responsable de informar los incidentes de seguridad que se detecten, como también de comunicar las fallas o debilidades que adviertan en el uso regular de los sistemas tecnológicos.

Se establecen responsabilidades y procedimientos para gestionar los incidentes de seguridad, con el fin de garantizar una respuesta rápida, eficaz y sistemática, ante la aparición de los mismos.

Se podrán iniciar los procedimientos sumariales contemplados en la normativa vigente de la Administración Publica Nacional, a los empleados que violen la Política de Seguridad de la Información y la Política de Uso Aceptable de los Recursos de Tecnología de la Información.

Cuando la respuesta a un incidente de seguridad de la información, implique medidas administrativas o judiciales se establecerán procedimientos complementarios de identificación, adquisición y almacenamiento de evidencia forense.

Política de Gestión de la Continuidad

A fin de contrarrestar la aparición de incidentes, se desarrollan e implantan planes de contingencia para asegurar la continuidad de los procesos de la Secretaría General de la Presidencia de la Nación, para que las operaciones se puedan restaurar en los plazos requeridos y manteniendo los requerimientos de seguridad.

Política de Cumplimiento

Se promueve el conocimiento y estricta observación de las leyes relacionadas a la propiedad intelectual, protección de datos personales, firma digital, delitos informáticos, así como también todo el marco normativo interno de seguridad de la información. Para lo cual se establece realizar revisiones de cumplimiento y de auditoría en los sistemas de información, infraestructura tecnológica y en los procesos existentes.

1. Introducción

Si bien el uso de las actuales tecnologías informáticas, permiten procesar grandes cantidades de información, estas tecnologías están expuestas a múltiples amenazas, más aún, cuando no se cuenta con una correcta gestión de la seguridad de la información.

La Política de Seguridad de la Información (PSI), nos brinda un marco para proteger la información y garantizar la continuidad de las operaciones de los sistemas de información, asegurando de este modo el cumplimiento eficiente de los objetivos de la Secretaría General de la Presidencia de la Nación, siendo para ello necesario, el compromiso manifiesto de las máximas autoridades de la Secretaría General de la Presidencia de la Nación y de los titulares de todas las unidades organizativas, para promover la difusión, consolidación y cumplimiento de la política de seguridad adoptada, con el fin que estos principios lleguen a formar parte de la cultura organizacional.

La presente Política de Seguridad de la Información (PSI) será utilizada como base para establecer un conjunto de normas, procedimientos, lineamientos y guías acordes a los procesos que se llevan adelante en el organismo, su plataforma tecnológica y demás recursos de los que disponga.

1.1 Alcance

La presente Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes y deberá ser conocida y cumplida por todo el personal de la Secretaría General de la Presidencia de la Nación - funcionarios y personal-, sea cual fuere su nivel escalafonario, su situación de revista o modalidad contractual.

Esta Política se aplica en todo el ámbito de la Secretaría General de la Presidencia de la Nación, a todos sus recursos y a la totalidad de los procesos, ya sean estos internos, externos o vinculado a través de acuerdos o contratos con terceros.

1.2 Objetivo

El objetivo de la presente política, es proteger los activos de información y los recursos tecnológicos de la Secretaría General de la Presidencia de la Nación, que se utilizan en la recopilación, procesamiento, almacenamiento y transmisión frente a amenazas internas o externas, pudiendo ser estas deliberadas o accidentales, mediante la implementación de un adecuado conjunto de controles, que incluyen, políticas, procesos, procedimientos, estructura organizacional, funciones de software y hardware, identificación de recursos y partidas presupuestarias necesarias para alcanzar dichos objetivos.

2. Lineamientos

2.1 Principios

La presente política se basa en principios básicos que rigen la Seguridad de la Información y principalmente en la confidencialidad, integridad y disponibilidad de la información, así como en el principio de la continuidad operacional.

2.2 Responsabilidad

Es responsabilidad de la Secretaría General de la Presidencia de la Nación dar a conocer e implementar la Política de Seguridad de la Información, como parte de sus herramientas de gobierno y gestión. Así también debe promover y dar efectivo cumplimiento a los estándares, procedimientos y lineamientos que garanticen su acatamiento.

2.3 Acatamiento

La presente Política de Seguridad de la Información, expresa declaraciones respecto a temáticas inherentes a la seguridad que resultan de cumplimiento obligatorio, motivo por el cual la terminología utilizada es de imperativo acatamiento.

2.4 Excepciones

Todas las excepciones a la Política de Seguridad de la Información, deberán ser formalmente documentadas, registradas y revisadas.

La excepción al cumplimiento de la presente Política de Seguridad será solicitada expresamente por el Responsable de la Dirección interesada y el Responsable de la Seguridad de la Información (RSI) decidirá, antes de su implementación, si así correspondiera.

2.5 Marco Legal

Todas las definiciones de la presente Política de Seguridad de la Información son concordantes con la legislación vigente, en especial:


Como también a los estándares internacionalmente aceptados para la práctica de seguridad de la información, particularmente respecto de:


3. Términos y Definiciones

Se entiende a la seguridad de la información como la preservación de los siguientes principios:


A los efectos de una correcta interpretación de la presente política, se realizan las siguientes definiciones:


4. Organización del documento Política de Seguridad de la Información

Siguiendo los lineamientos contemplados en el Anexo I “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL” aprobado por la Decisión Administrativa N° 641/21, se establecen catorce (14) directrices para organizar la presente Política de Seguridad de la Información:


5. Gestión de Políticas y Normativas de Seguridad

Objetivo

Proteger los recursos de información de la Secretaría General de la Presidencia de la Nación y la tecnología utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información.

Proporcionar a la Secretaría General de la Presidencia de la Nación, la dirección y soporte para la seguridad de la información en concordancia con los requerimientos y las leyes y regulaciones relevantes. se establecerá claramente la dirección de la política en línea con los objetivos.

5.1 Políticas y Normativas de Seguridad

5.1.1 Política de Seguridad de la Información

La presente Política de Seguridad de la Información, una vez aprobada por el Señor Secretario General de la Presidencia de la Nación, entrará en vigencia a partir del día siguiente de su publicación en el Boletín Oficial.

5.1.2 Políticas y Normativas Complementarias

La “Política de Uso Aceptable de los Recursos de Tecnología de la Información” (PUA), establecerá las normas de conducta razonable, que deben observar los funcionarios y agentes de la Secretaría General de la Presidencia de la Nación cuando utilicen los recursos informáticos puestos a su disposición, con la finalidad de minimizar riesgos producto del mal uso de los mismos. De la misma manera, podrán existir otra serie de políticas y normativas más detalladas, aplicables en áreas específicas.

Por ello se establecerán las siguientes jerarquías respecto a la documentación de seguridad, a fin de garantizar que los objetivos y medidas establecidos en la presente política de seguridad cuente con un orden establecido:


5.1.3 Revisión de Políticas

La Política de Seguridad de la Información y la Política de Uso Aceptable de los Recursos de Tecnología de la Información, deberán ser revisadas cada 12 meses, contados a partir de la fecha de su publicación, o cuando ocurran cambios significativos referidos a las políticas adoptadas y deban ser aprobadas por el Responsable de la Seguridad de la Información.

La Política de Seguridad de la Información y la Política de Uso Aceptable de los Recursos de Tecnología de la Información deben poseer un responsable de las actividades de desarrollo, evaluación y revisión de la política.

La actividad de revisión debe incluir las oportunidades de mejoras, en respuesta a los cambios, entre otros, organizacionales, normativos o tecnológicos.

6. Política Organizativa

Objetivos

Administrar la seguridad de la información dentro de la Secretaría General de la Presidencia de la Nación y establecer un marco gerencial para iniciar y controlar su implementación, así como para la distribución de funciones y responsabilidades.

Fomentar la consulta y cooperación con Organismos especializados para la obtención de asesoría en materia de seguridad de la información.

Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información de la Secretaría General de la Presidencia de la Nación.

6.1 Organización Interna

6.1.1 Compromiso del Comité de Control de Seguridad Informática

El Comité de Control de Seguridad Informática de la SGP se compromete con la seguridad de la información a través de una orientación clara, mostrando compromiso, asignando roles y asumiendo las responsabilidades establecidas en el presente.

Revisará y previa conformidad, propondrá al Secretario General la aprobación de la política de seguridad de la información, que fuera elevada previamente por el Responsable de la Seguridad de la Información. Así también, revisará los beneficios de su implementación.

La seguridad de la información es responsabilidad de la Secretaría General de la Presidencia de la Nación compartida por todas las Autoridades políticas y Directores Nacionales o Generales, Directores o equivalentes, por lo cual se crea el Comité de Control de Seguridad Informática, quien cumplirá la función de impulsar la implementación de la presente Política.

Se crea el Comité de Control de Seguridad Informática, integrado por los responsables de las siguientes Direcciones y Subsecretarías:


El Comité presentará la evolución de los planes, programas y objetivos para su aprobación y apoyo.

El Comité de Control de Seguridad Informática tendrá entre sus funciones:


6.1.2 Responsable de la Seguridad de la Información (RSI)

La “Dirección de Seguridad Informática” -área con competencia en la materia conforme el Decreto N° 194/20- tiene a su cargo las funciones relativas a la seguridad de los sistemas de información de la SGP y procesos asociados, así como también se le asigna como Responsable de la Seguridad de la Información la supervisión de todos los aspectos inherentes a la seguridad tratados en la presente política.

En ese carácter, elabora, propone y eleva al Comité de Control de Seguridad Informática para su aprobación posterior, la política de seguridad de la información y sus actualizaciones. Asimismo, la Dirección de Seguridad Informática, será responsable de que las actividades de seguridad sean ejecutadas de conformidad con la Política de Seguridad de la Información. Para ello, deberá:


6.1.3 Asignación de Responsabilidades de la Seguridad de la Información

6.1.4 Propietarios de la Información

Se designarán propietarios de la información que se procesa y almacena en la Secretaría General de la Presidencia de la Nación a los responsables de las Direcciones o Coordinaciones que utilizan dicha información.

Si bien los propietarios de la información podrán delegar la administración de sus funciones a personal idóneo, seguirán conservando la responsabilidad sobre la misma.

La asignación de la responsabilidad de la información deberá ser formalmente documentada y proporcionada al Responsable de la Seguridad de la Información (RSI), debiendo registrarse descripción de la información, propietario, procesos involucrados, área, recursos asociados, responsable técnico y cualquier otra información que sea relevante.

6.1.5 Autorización de Equipamiento para Procesamiento de Información

Los nuevos recursos de procesamiento de información deberán ser autorizados por la Dirección General de Tecnología Informática y Telecomunicaciones en conjunto con el Responsable de la Seguridad de la Información (RSI), a fin de garantizar que se cumplan todas las Políticas y requerimientos de seguridad existentes.

El uso de recursos personales de procesamiento de información en el lugar de trabajo puede ocasionar nuevas vulnerabilidades. En consecuencia, su uso será evaluado y autorizado por la Dirección General de Tecnología Informática y Telecomunicaciones en conjunto con el Responsable de la Seguridad de la Información, siguiendo las directrices del punto 6.2.2 Dispositivos Móviles Personales.

6.1.6 Acuerdo de confidencialidad

Se definirán, implementarán y revisarán regularmente los acuerdos de confidencialidad o de no divulgación para asegurar la protección de la información de la Secretaría General de la Presidencia de la Nación que deberán ser firmados por la totalidad del personal de la Secretaría General de la Presidencia de la Nación, cualquiera sea su situación de revista como también por terceros que tengan relaciones contractuales con la Secretaría General de la Presidencia de la Nación.

Mediante este instrumento el empleado se comprometerá a utilizar la información solamente para el uso específico al que se ha destinado y a no transferir, publicar o divulgar la información a persona humana o jurídica, salvo autorización previa y por escrito del Responsable del Activo de que se trate.

6.1.7 Contacto con otros organismos

A efectos de intercambiar experiencias, obtener asesoramiento o capacitación para el mejoramiento de las prácticas y controles de seguridad, se mantendrán contactos con otros organismos especializados en temas relativos a la seguridad informática.

El intercambio de información confidencial para fines de asesoramiento o de transmisión de experiencias, sólo se permitirá cuando se haya firmado previamente un Acuerdo de Confidencialidad con aquellas organizaciones públicas y privadas especializadas en temas relativos a la seguridad de la Información.

6.1.8 Contacto con grupos especializados en seguridad informática

El responsable de la Seguridad de la Información, coordinará los conocimientos y las experiencias disponibles en la Secretaría General de la Presidencia de la Nación en materia de seguridad de la información, promoviendo su capacitación continua que impartirá la Dirección Seguridad Informática.

Promoverá la asistencia y contacto con eventos, grupos, foros o asociaciones especializados de seguridad informática, con el fin de actualizar los conocimientos en materia de seguridad de la información del área, fomentará el intercambio con otros organismos de alertas tempranas, avisos y recomendaciones ante la aparición de nuevas vulnerabilidades o formas de violar la seguridad implementada.

A su vez la Dirección Seguridad Informática informara al CERT NACIONAL (CENTRO NACIONAL DE RESPUESTA A INCIDENTES INFORMÁTICOS) para interactuar y cooperar frente a incidentes de seguridad a nivel nacional.

6.1.9 Seguridad de la información en la gestión de proyectos

Se deberá contemplar al Responsable de la Seguridad de la Información en la gestión de proyectos, a efectos de garantizar que se reflejen adecuadamente las disposiciones de la Política de Seguridad de la Información en los mismos.

6.1.10 Segregación de Funciones

Se deberá diseñar el esquema de roles, segregando funciones y áreas de responsabilidades para evitar el conflicto de intereses con el objeto de reducir modificaciones no autorizadas o el mal uso de la información o servicios.

6.2 Dispositivos Móviles y Trabajo Remoto

6.2.1 Dispositivos Móviles de la Secretaria General de la Nación

Todo dispositivo móvil perteneciente a la Secretaría General de la Presidencia de la Nación (laptop, notebooks, notebooks tabletas, teléfonos celulares, etc.), que pudiera contener información de la Secretaría General de la Presidencia de la Nación, deberá cumplir con medidas seguridad adecuadas para proteger el dispositivo móvil y la información que contiene, contra todos los riesgos derivados del uso del mismo.

Por lo cual se deberán desarrollar procedimientos para asegurar al dispositivo móvil y la información contenida, debiendo tener en cuenta los siguientes conceptos:



Se confeccionará un procedimiento que permita al poseedor del dispositivo reportar rápidamente cualquier incidente sufrido y de esta manera mitigar los riesgos a los que eventualmente estuviera exponiendo a la SGP ante la ocurrencia del incidente, los que incluirán:


6.2.2 Dispositivos Móviles Personales

Cuando sea necesario el uso de equipamiento personal, en las instalaciones de la Secretaría General de la Presidencia de la Nación, este deberá ser evaluado y autorizado por el Responsable de la Seguridad de la Información en conjunto con la Dirección General de Tecnología Informática y Telecomunicaciones.

Todo dispositivo móvil no perteneciente a la Secretaría General de la Presidencia de la Nación (laptop, notebooks, notebooks tabletas, teléfonos celulares, etc.) deberá cumplir con las medidas de seguridad adecuadas con el fin de proteger los recursos informáticos a los cuales accede.

Se deberán desarrollar procedimientos para estos dispositivos, que abarquen los siguientes conceptos:


6.2.3 Trabajo a Distancia

El trabajo a distancia deberá ser autorizado y solicitado por la Dirección a la cual pertenezca el usuario, el Responsable de la Seguridad de la Información evaluará tal solicitud en conjunto con la Dirección General de Tecnología Informática y Telecomunicaciones y sólo serán contempladas situaciones que justifiquen la imposibilidad de otra forma de acceso o ante urgencias.

Estos casos serán de excepción tomando en consideración situaciones que justifiquen la imposibilidad de otra forma de acceso y la urgencia, tales como horarios de la Secretaría General de la Presidencia de la Nación, solicitud de las autoridades, etc.

Los controles y disposiciones comprenden:


7. Política de Recursos Humanos

Objetivos

Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la información.

Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos de confidencialidad a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad de la Secretaría General de la Presidencia de la Nación en el transcurso de sus tareas normales.

Establecer Compromisos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.

Establecer las herramientas y mecanismos necesarios para promover la comunicación de debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

7.1 Antes del empleo

7.1.1 Funciones y Responsabilidades del Puesto de Trabajo

Las funciones y responsabilidades en materia de seguridad deberán ser incorporadas en la descripción de las responsabilidades de los puestos de trabajo.

Además, se incluirán las responsabilidades generales relacionadas con la implementación de la Política de Seguridad de la Información, la Política de Uso Aceptable de los Recursos de Tecnología de la Información y las responsabilidades específicas vinculadas a la protección de cada uno de los activos o la ejecución de procesos o actividades a realizar en los puestos de trabajo.

Deberán definirse y comunicarse claramente los roles y responsabilidades de seguridad a los candidatos para el puesto de trabajo durante el proceso de preselección.

7.1.2 Revisión de Antecedentes

Se deberán realizar revisiones de antecedentes referidos a currículum, referencias, títulos académicos, etc., de los postulantes al empleo, en concordancia con el puesto y activos a los cuales tendrá acceso. Teniendo en consideración las regulaciones vigentes, ética y leyes relevantes.

7.2 Inicio del empleo

7.2.1 Aceptación de Términos y Condiciones de Contratación

Toda persona que se incorpore a la SGP, cualquiera sea la modalidad de contrato, deberá firmar el “Acuerdo de Confidencialidad” y la “Política de Uso Aceptable de los Recursos de Tecnología de la Información”. En virtud de ello, el agente conoce y acepta el control y monitoreo del uso de los recursos tecnológicos que utilizará en el desempeño de sus tareas.

Las copias así firmadas quedarán a resguardo en la Dirección General de Recursos Humanos.

7.3 Durante el empleo

7.3.1 Responsabilidad de la Dirección

Las direcciones - en todos los niveles - impulsarán que se aplique la política de seguridad de la información en concordancia con las pautas y procedimientos establecidos, por lo que deberán también informar de su existencia y las expectativas de cumplimiento en el desempeño de sus funciones.

7.3.2 Concientización, formación y capacitación en seguridad de la información

Se deberán realizar tareas de capacitación y concientización de las políticas, normativas y procedimientos dirigidos a todos los agentes que se desempeñen en el ámbito de la Secretaría General de la Presidencia de la Nación. Dicha capacitación comprenderá requerimientos de seguridad, responsabilidades legales, uso correcto de los dispositivos tecnológicos asignados y el uso correcto de los recursos en general.

7.3.3 Procedimiento disciplinario

La Secretaría General de la Presidencia de la Nación podrá iniciar un procedimiento administrativo disciplinario, con el objeto de sancionar administrativamente, según la normativa vigente, a todos aquellos agentes, sea cual fuere su situación de revista, que violen las Políticas, Normas y Procedimientos de Seguridad.

Los agentes que desempeñan sus tareas en el ámbito de la SGP, sea cual fuere su nivel escalafonario y su situación de revista incurrirán también, en su caso, en responsabilidad civil o patrimonial, si ocasionan daños sobre los bienes y/o recursos aquí contemplados.

Podrán, asimismo incurrir en responsabilidad penal cuando su conducta se encuentre tipificada y constituya un comportamiento considerado delito por la Ley N° 26.388 de Delitos Informáticos, Ley N° 17.622 de Estadística y Censos y demás leyes especiales.

7.4 Cese del empleo o Cambio de puesto de trabajo

7.4.1 Responsabilidad del Cese o Cambio

Se deberán definir procedimientos y asignar responsabilidades para controlar que los procesos de cambio de función y desvinculación laboral de los empleados, contratistas o terceras personas no afecte el normal desempeño de las actividades de la Secretaría General de la Presidencia de la Nación.

7.4.2 Transferencia de Conocimientos

Los agentes que prestan servicios en la SGP que tengan conocimiento relevante de ciertas operaciones y dicho conocimiento sea desconocido por el personal restante del área donde prestan servicios, deberán documentar dicha información y transferirla a la Secretaría General de la Presidencia de la Nación antes de proceder a su desvinculación.

8. Política de Gestión de Activos

Objetivos


8.1 Responsabilidad sobre los Activos

8.1.1 Inventario de activos

Se deberá mantener un inventario de activos preciso y actualizado, debiendo ser revisado con una periodicidad no mayor de tres meses, cada activo deberá poseer un propietario asignado.

Todos los activos deberán estar claramente identificados y tipificados según sea:


8.1.2 Responsables de Activos

Deberá designarse responsables de los activos registrados, quienes deberán:


La implementación de los controles de seguridad podrá ser delegada a personal especializado, como también la gestión técnica u operativa.

8.1.3 Uso Aceptable de Activos de Tecnología

Se identificarán, documentarán y definirán normativas generales para el uso de los activos de tecnología, en el documento “Política de Uso Aceptable de los Recursos de Tecnología de la Información”.

Todos los agentes, sin importar su situación de revista, contratistas y usuarios de terceras partes deberán seguir las reglas establecidas para el uso aceptable de los activos de tecnología de la información.

Toda excepción a la normativa deberá ser autorizada por el máximo responsable del área que solicita la excepción al cumplimiento de dicha normativa.

8.1.4 Devolución de Activos

Todos los empleados, contratistas y usuarios de terceras partes deberán devolver todos los activos (equipamiento tecnológico, software, documentos, tarjetas de ingreso, etc.) que les fueron asignados, pero no inmediatamente en la terminación de su empleo, contrato o acuerdo. Por tal razón deberá existir un Procedimiento de Repliegue de Bienes, como también un Procedimiento de Devolución de Dispositivos Digitales Portátiles, para el adecuado cumplimiento de esta tarea.

8.2 Política de Clasificación de la Información

8.2.1 Directrices de Clasificación de la Información

Se deberán definir procedimientos de clasificación y etiquetado, para determinar la criticidad de la información que se administra en la Secretaría General de la Presidencia de la Nación, en base a las tres características de seguridad de la información: confidencialidad, integridad y disponibilidad.

8.2.2 Etiquetado y Manipulado de Activos de Información

Se deberá definir procedimientos de etiquetado y de manejo de los activos de información, de acuerdo al esquema de clasificación establecido y criticidad de la información. Los mismos contemplarán los recursos de información tanto en formatos físicos como electrónicos e incorporarán las actividades de procesamiento de la información referidos a copias, almacenamiento, transmisión por correo electrónico, telefonía o transmisiones de datos a través de sistemas de intercambio de archivos.

Para cada uno de los niveles de clasificación, se deben definir los procedimientos de manejo seguros, incluyendo las actividades de procesamiento, almacenaje, transmisión, desclasificación y destrucción.

8.3 Gestión de Soportes de Almacenamiento

8.3.1 Soportes Removibles

Se deberán implementar procedimientos para la gestión de los soportes informáticos extraíbles. Debiendo considerarse aspectos tales como la autorización y registro del retiro de soportes de almacenamiento removibles fuera de los edificios de la Secretaría General de la Presidencia de la Nación.

Se deberán almacenar los soportes de medio extraíbles (cintas magnéticas, discos externos, etc.) en un ambiente seguro y protegido, teniendo en cuenta la criticidad de la información contenida y las especificaciones de los fabricantes o proveedores del soporte de almacenamiento. Para ello, se podrá contar con la opción de una Caja de Seguridad para el resguardo de los elementos antedichos.

8.3.2 Eliminación Segura de Soportes de Información

Se deberán implementar procedimientos para el borrado seguro de la información al declararse la baja del soporte de almacenamiento que lo contiene, como también procedimientos de borrado seguro para las operaciones de reciclado de los dispositivos de almacenamiento, teniendo en cuenta que el mecanismo de eliminación debe contemplar el tipo de dispositivo y la criticidad de la información contenida.

Los procedimientos de eliminación segura deberán considerar elementos de soporte de información, tales como papeles, cintas magnéticas (datos, audio y video), discos magnéticos, dispositivos de almacenamiento óptico, unidades extraíbles de estado sólido y cualquier otra tecnología o soporte de almacenamiento de datos.

Los medios de almacenamiento, que no puedan ser reutilizables, deberán ser destruidos físicamente de manera apropiada, para que la información contenida, no pueda ser recuperada utilizando técnicas forenses.

8.3.3 Tránsito de Soportes de Almacenamiento

Se deberá proteger la información y los soportes de almacenamiento en tránsito, conforme a la sensibilidad y criticidad de la información a transportar. Razón por la cual se deben definir procedimientos de transporte de soportes de almacenamiento, teniendo en cuenta el cifrado de la información contenida en el soporte, utilización de servicios de mensajería confiables, la adopción de embalajes sellados, entrega en mano, o cualquier otro mecanismo para asegurar el soporte de almacenamiento durante el tránsito del mismo.

9. Política de Control de Accesos

Objetivos

Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información. Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.

Controlar la seguridad en la conexión entre la red de la Secretaría General de la Presidencia de la Nación y otras redes públicas o privadas.

Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.

Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.

9.1 Requerimientos para el Control de Accesos

9.1.1 Política de Gestión de Accesos

Se controlará el acceso a la información y a los recursos tecnológicos de la Secretaría General de la Presidencia de la Nación. Se definirán procedimientos que tengan en cuenta aspectos tales como:


9.1.2 Control de Acceso a las Redes

Los usuarios tendrán acceso solo a la red y a los servicios de red que hubieran sido específicamente autorizados.

9.2 Gestión de Acceso de Usuarios

9.2.1 Creación e Inhabilitación de Cuentas de usuario

Cada usuario deberá tener un identificador unívoco denominado “cuenta de usuario”, el cual será de uso personal y exclusivo, cuyo fin será garantizar la trazabilidad de las operaciones efectuadas por él.

Se deberán definir procedimientos que permitan crear e inhabilitar cuentas de usuarios, con el fin de otorgar y revocar el acceso a los sistemas, bases de datos y servicios de información. Dichos procedimientos deberán:




En el caso de existir excepciones para evitar inhabilitar cuentas de usuario, estas deberán ser debidamente justificadas y aprobadas por el Responsable de la Seguridad de la Información.

9.2.2 Gestión de Asignación de Permisos de Acceso

Se controlará la asignación y uso de privilegios a todas las cuentas de todos los sistemas y servicios.

Los responsables de Información (Subsecretaria, Directores Generales y Directores) serán los encargados de aprobar la asignación de los permisos de acceso y solicitar su implementación con la autorización también, del Responsable de la Seguridad de la Información.

El proceso de autorización deberá tener en cuenta los siguientes aspectos:


9.2.3 Gestión de Asignación de Permisos de Acceso con Privilegios Especiales

La asignación y uso de derechos de acceso con privilegios especiales, deberá seguir la misma política de permisos de acceso definida previamente, pero además se deberá considerar los siguientes aspectos:


9.2.4 Distribución de Contraseñas y de Dispositivos de Acceso

Se deberán establecer procedimientos para la distribución segura de contraseñas o de cualquier otro tipo de dispositivos o mecanismos de autenticación. No por correo electrónico la credencial compuesta por usuario y contraseña en texto plano.

9.2.5 Revisión de Derechos de Acceso de los Usuarios

A fin de mantener un control eficiente del acceso a los datos y servicios de información, el Responsable de la Seguridad de la Información, podrá llevar a cabo, procesos formales de revisión de todos los accesos.

Se deberán revisar periódicamente, los derechos de acceso y privilegios asignados a los usuarios, a fin de verificar que los mismos hayan sido autorizadas debidamente.

9.2.6 Revocación y Cambios de Derechos de Acceso

Se deberán implementar procedimientos formales para la revocación y cambios de derechos de acceso de los usuarios en todos los sistemas y servicios.

Tras la desvinculación del usuario, se deberán inhabilitar los derechos de acceso a todos los sistemas y servicios de información utilizados por el individuo.

Ante un cambio de función de un usuario, se deberán remover todos los derechos de acceso que no fueron aprobados para la nueva función, comprendiendo todos los derechos de accesos lógicos y físicos, como ser llaves, tarjetas de identificación y accesos a instalaciones de procesamiento de la información.

Se deberán cambiar las contraseñas de acceso que pudiera conocer el agente, contratista o usuario de tercera parte, tras la finalización de vínculo o ante un cambio de función, cuando dicha contraseña formara parte de una credencial de acceso de administración aún activa.

9.3 Responsabilidades del Usuario

9.3.1 Responsabilidad en el uso de las Contraseñas

Los usuarios deberán seguir las buenas prácticas de seguridad referidas al uso de contraseñas en concordancia con la política 9.4.4 Gestión de Contraseñas de Usuarios.

Debiendo cumplir con las siguientes premisas:


9.4 Control de Acceso a Sistemas y Aplicaciones

9.4.1 Política de Utilización de los Servicios de Red

Se restringirá y controlará el acceso a los servicios de red tanto internos como externos, en concordancia con el punto 9.2 Gestión de Acceso de Usuarios, para garantizar que los usuarios que accedan a las redes y a sus servicios no comprometan la seguridad de los mismos.

El Responsable de la Seguridad de la Información autorizará el acceso a los recursos de red, servicios e información, únicamente mediante un pedido formal del titular de la Dirección propietaria de la información a la cual se pretende acceder.

Se deberán desarrollar procedimientos para conceder o derogar derechos de acceso a la información, identificando las redes y servicios a los cuales se concedió el acceso.

9.4.2 Procedimientos Seguros de Inicio de Sesión

El acceso a los servicios de información deberá ser posible, solo a través de un proceso de inicio de sesión segura, no deberá divulgar ningún indicio que provea asistencia a usuarios no autorizados.

En el proceso de inicio seguro deberá:



9.4.3 Autentificación de Usuarios para Conexiones Externas

Las conexiones externas representan un gran riesgo para la infraestructura tecnológica de la Secretaría General de la Presidencia de la Nación. Por consiguiente, el acceso de usuarios remotos estará estrictamente limitado y sujeto al cumplimiento de procesos de aprobación, los cuales deberán requerir de la expresa autorización del Director del área de pertenencia y de la Dirección de Seguridad Informática.

Se deberá considerar la implementación de mecanismos de autenticación extras a la credencial de acceso (usuario y contraseña), es decir, el uso de más de un factor de autenticación, mediante métodos de autenticación física (tokens), tarjetas coordenadas, o bien cualquier otro mecanismo que refuerce la identificación de la conexión externa.

Cuando se utilicen mecanismos de autenticación físicos, deben implementarse procedimientos que incluyan, asignación de la herramienta de autenticación, registro de los poseedores de dichos autenticadores, mecanismo de rescate al momento de la desvinculación del personal al que se le otorgó y procedimiento de revocación de acceso del autenticador, en caso de compromiso de seguridad (pérdida o robo).

Las conexiones externas deberán estar cifradas, con algoritmos actualizados, pudiendo ser de dos tipos:


Se deberá asignar preferentemente conectividad al “Portal Web de Acceso Remoto”, salvo pedido expreso que deberá ser evaluado por la Dirección de Seguridad Informática.

9.4.4 Gestión de Contraseñas de Usuarios

Se deberán implementar sistemas gestores de contraseñas que garanticen la confidencialidad y eficiencia en la administración de las mismas, en concordancia con la política 9.3.1 Responsabilidad en el uso de las Contraseñas y la política 9.2.4 Distribución de Contraseñas y de Dispositivos de Acceso.

Se deberá controlar la gestión de contraseñas mediante un proceso formal que deberá tener en consideración los siguientes aspectos:


9.4.5 Gestión de Contraseñas Críticas

Las cuentas administrativas genéricas (administrador, root, admin, etc.) con privilegios especiales para efectuar actividades críticas serán resguardadas de manera especial y sólo serán utilizadas ante necesidades específicas para realizar tareas de contingencia, recupero o reconfiguración que lo requieran.

El Responsable de la Seguridad de la Información definirá el procedimiento para la administración de contraseñas críticas que contemplará los siguientes aspectos.


9.4.6 Detección de Aplicaciones de Riesgo

Se deberán implementar controles para detectar y restringir el uso de sistemas, aplicaciones y utilidades de software que pudieran anular o evitar los controles de seguridad o que pudieran usarse para evaluar la seguridad de la infraestructura tecnológica de la Secretaría General de la Presidencia de la Nación sin haber sido debidamente autorizadas.

9.4.7 Acceso a Internet

El acceso a internet deberá ser utilizado para propósitos laborales.

Se habilitará el acceso básico a Internet a todos los agentes que cuenten con una cuenta de usuario, estableciéndose pautas de utilización de internet para todos los usuarios conforme al documento “Política de Uso Aceptable de los Recursos de Tecnología de la Información”.

Se deberán definir procedimientos para solicitar y aprobar accesos a sitios restringidos de Internet. Dichos accesos deberán ser solicitados por el responsable de la Dirección a cargo del personal que lo requiera.

Se registrarán los accesos de todos los usuarios a internet, con el objeto de realizar revisiones de auditoría o análisis forense ante incidentes de seguridad.

Con el objeto de minimizar el riesgo de violación a la seguridad a través del uso incorrecto del servicio de internet, se deberán seguir las siguientes pautas de cumplimiento:


9.4.8 Control de Acceso al Código Fuente

Se deberá restringir y controlar el acceso al código fuente de las aplicaciones de software desarrolladas en la Secretaría General de la Presidencia de la Nación, con el fin de evitar que sean introducidos cambios sin la debida autorización y control de las áreas involucradas o copia no autorizada del código fuente.

Se deberá definir un responsable de la función de “Administrador de Código Fuentes”, quien tendrá a cargo la custodia de los programas fuentes y deberá llevar un registro actualizado de todos los programas fuentes en uso, indicando nombre del programa, programador, Analista Responsable que autorizó, versión, fecha de última modificación y fecha / hora de compilación y estado (en modificación, en producción).

Se deberá establecer que todo programa objeto o ejecutable en producción tenga un único programa fuente asociado que garantice su origen, es decir que exista trazabilidad de versión entre el programa objeto y el código fuente.

Se deberá establecer la existencia de un implementador de producción, el cual será el responsable del pase a producción.

Se deberá desarrollar un procedimiento que garantice que toda vez que se migre a producción el módulo fuente, se cree el código ejecutable correspondiente en forma automática.

Se deberá prohibir el resguardo de programas fuentes históricos (que no sean los correspondientes a los programas operativos) en el ambiente de producción.

Se deberá prohibir el acceso a todo operador y/o usuario de aplicaciones a los ambientes y a las herramientas que permitan la generación y/o manipulación de los programas fuentes.

Se deberán realizar copias de respaldo de los programas fuentes cumpliendo los requisitos de seguridad establecidos por la Secretaría General de la Presidencia de la Nación en los procedimientos que surgen de la presente política, teniendo para ello presente, el punto 12.3.1 Copia de Resguardo y Restauración.

9.4.9 Identificación Automática de Estaciones de Trabajo

Se deberá tener en cuenta la identificación automática de las estaciones de trabajo conectadas a la red interna de la Secretaría General de la Presidencia de la Nación, con el objeto de validar las conexiones generadas, debiendo segregarse de la red, aquellas estaciones de trabajo que no estuvieran normalizadas según las directivas de seguridad preestablecidas o que no pudieran identificarse debidamente.

9.4.10 Identificación y Autenticación de los Usuarios

Se deberán seguir expresamente las siguientes directivas:

Todos los usuarios (incluido el personal de soporte técnico, como los operadores, administradores de red, programadores de sistemas y administradores de bases de datos) tendrán un identificador univoco (ID de usuario) solamente para su uso personal exclusivo, de manera que las actividades puedan rastrearse con posterioridad hasta llegar al individuo responsable, a fin de garantizar la trazabilidad de las transacciones. Los identificadores de usuario no darán ningún indicio del nivel de privilegio otorgado.

En circunstancias excepcionales, cuando existaun claro beneficio parala Secretaría General de la Presidencia de la Nación, podrá utilizarse un identificador compartido para un grupo de usuarios o una tarea específica. Se documentará la justificación y se registrará la aprobación del Propietario de la Información.

Si se utiliza un método de autenticación físico (por ejemplo, autenticadores de hardware), debe implementarse un procedimiento que incluya:


10. Política de Criptografía

Objetivos

Garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad, no repudio, la autenticidad y/o la integridad de la información.

10.1 Cumplimiento de Requisitos

10.1.1 Política de Uso de Controles Criptográficos

Se utilizarán sistemas y técnicas criptográficas para el resguardo de la información, con el fin de asegurar una adecuada protección de su confidencialidad. Se deberá asegurar la información y las comunicaciones mediante la utilización de controles criptográficos, en los siguientes casos:


Se deberán utilizar algoritmos de cifrado robustos, que deberán ser validados periódicamente por el Responsable de la Seguridad de la Información, con el objeto de evitar el uso de algoritmos de cifrado obsoletos, producto del avance de las técnicas de descifrado.

Al implementar la política de criptografía en la Secretaría General de la Presidencia de la Nación, se considerarán cuando sea necesario, los controles aplicables a la exportación e importación de tecnología criptográfica.

10.1.2 Firma Digital

Cuando sea necesario asegurar la autenticidad e integridad de los documentos electrónicos, los mismos deberán firmarse digitalmente.

Se deberán tomar los recaudos pertinentes para proteger la confidencialidad de las claves privadas, dichas claves deben ser resguardadas bajo el control exclusivo de su titular. Asimismo, es importante proteger la integridad de la clave pública, mediante el uso de un certificado de clave pública.

Se recomienda que las claves criptográficas utilizadas para firmar digitalmente no sean empleadas en procedimientos de cifrado de información.

Al utilizar firmas y certificados digitales, se deberá contemplar lo dispuesto en la Ley N° 25.506, el Decreto N° 2628/02 y normas complementarias.

10.1.3 Servicios de No Repudio

Se deberán utilizar los servicios de “no repudio”, cuando sea necesario garantizar transacciones electrónicas que pudieran generar disputas acerca de la ocurrencia y participación en las mismas. Es decir, cuando un individuo que envía el mensaje no pueda negar que es el emisor del mismo (no repudio en origen) y que el receptor no puede negar que recibió dicho mensaje (no repudio en destino), garantizando de este modo, la participación de las partes en dicha comunicación.

10.1.4 Procedimientos para la Gestión de Claves Criptográficas

Se deberá implementar un proceso seguro de administración de claves criptográficas para respaldar la utilización por parte de la Secretaría General de la Presidencia de la Nación de las claves secretas (en criptografía simétrica) y las claves privadas (en criptografía asimétrica), para protegerlas contra modificación, destrucción, copia y divulgación no autorizada.

Se deberán implementar los mecanismos y tomar los recaudos necesarios para proteger la confidencialidad de las claves privadas.

Por lo cual, se deberán redactar procedimientos que estipulen operaciones de:


11. Política Físico y Ambiental

Objetivo

Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información de la Secretaría General de la Presidencia de la Nación.

Proteger el equipamiento de procesamiento de información crítica de la Secretaría General de la Presidencia de la Nación, ubicándolo en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. Asimismo, contemplar la protección del mismo en su traslado y permanencia fuera de las áreas protegidas, por motivos de mantenimiento u otros.

Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático que alberga la información de la Secretaría General de la Presidencia de la Nación.

Implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores habituales.

Brindar protección proporcional a los riesgos identificados.

11.1 Áreas Seguras

11.1.1 Perímetro de seguridad física

Se deberán definir perímetros de seguridad, para proteger las áreas que contienen instalaciones de procesamiento de información, sala de los equipos de comunicaciones, instalaciones de suministro de energía eléctrica, instalaciones de aire acondicionado y cualquier otra área considerada crítica, que su puesta fuera de servicio o mal funcionamiento pueda entorpecer el normal funcionamiento de los sistemas de información de la Secretaría General de la Presidencia de la Nación.

11.1.2 Controles físicos de entrada

Todas las instalaciones edilicias de la Secretaría General de la Presidencia de la Nación deberán implementar controles de acceso físico y monitoreo mediante cámaras de seguridad para supervisar la entrada y salida de personas y materiales.

Se deberán registrar fecha, horario y motivo de la visita al ingresar a las áreas protegidas, ya que sólo se permitirá el acceso por motivos específicos y autorizados. Y se deberá registrar fecha y horario al egresar de dichas áreas.

Se deberá almacenar debidamente los registros de acceso a los efectos de auditorías o investigación de incidentes.

Se controlará y limitará el acceso a la información clasificada y a las instalaciones de procesamiento de información, exclusivamente a las personas autorizadas. Se mantendrá un registro protegido para permitir auditar todos los accesos.

Se deberá usar una identificación unívoca visible para todo el personal del área protegida e instruirlo acerca de cuestionar la presencia de desconocidos no escoltados por personal autorizado y a cualquier persona que no exhiba una identificación visible.

Se revisarán y actualizarán cada 6 meses los derechos de acceso a las áreas protegidas, dichos procesos serán documentados y firmados por el responsable de la Unidad Organizativa de la que dependa.

Se revisarán los registros de acceso a las áreas protegidas.

11.1.3 Seguridad de oficinas, despachos e instalaciones

Se aplicarán mecanismos extras de control de acceso de seguridad física y/o electrónica a las oficinas y salas de la Secretaría General de la Presidencia de la Nación, también definidas como áreas críticas, considerando la actividad desempeñada o el activo que administran.

Se definirán los siguientes sitios como áreas críticas, dada la actividad desarrollada en las mismas:


11.1.4 Protección contra amenazas de origen ambiental y externas

Deberán existir controles adecuadamente ubicados de protección física contra incendios.

Deberá existir personal de seguridad física para contrarrestar amenazas de revueltas internas y externas y resguardo las áreas protegidas.

11.1.5 Trabajo en áreas críticas

Para incrementar la seguridad de las áreas críticas, se deberán establecer controles y lineamientos adicionales, tanto para el personal de la Secretaría General de la Presidencia de la Nación, como las actividades desarrollas por terceros que tengan lugar en dichas áreas, como ser:


11.1.6 Áreas de acceso público, de carga y descarga

Se deberán establecer controles en las áreas de recepción, carga y descarga a fin de impedir accesos no autorizados a las instalaciones edilicias de la Secretaría General de la Presidencia de la Nación.

Las áreas de recepción, carga y descarga deberán estar aisladas de las instalaciones de procesamiento de información y de las áreas protegidas.

Para ello se establecerán controles físicos que considerarán los siguientes lineamientos:


11.2 Seguridad de los equipos

11.2.1 Emplazamiento y protección de equipos

El equipamiento deberá ser ubicado y protegido de tal manera que se reduzcan los riesgos ocasionados por amenazas, peligros ambientales y acceso a personas no autorizadas, teniendo en cuenta los siguientes puntos:


11.2.2 Seguridad en el suministro eléctrico

El equipamiento de procesamiento de datos deberá estar protegido ante posibles fallas en el suministro de energía u otras anomalías eléctricas.

Para asegurar la continuidad del suministro de energía, deberá contarse con equipamiento de Suministro de Energía Interrumpible (UPS) y grupo Generador de Energía Eléctrica de respaldo.

Se deberá proveer de iluminación de emergencia en caso de producirse una falla en el suministro principal de energía. Se deberá implementar además protección contra descargas eléctricas en todos los edificios y líneas de comunicaciones externas de acuerdo con las normativas vigentes, adoptando filtros de protección contra rayos a todas las líneas de ingreso de energía eléctrica y comunicaciones.

11.2.3 Seguridad del cableado

El cableado de comunicaciones que transporta datos y brinda apoyo a los servicios de información deberá estar protegido contra intercepción o daño. Por ello, el cableado deberá:


11.2.4 Mantenimiento del equipamiento informático

Se deberán realizar tareas periódicas de mantenimiento preventivodel equipamiento de procesamiento de datos y comunicaciones para asegurar su disponibilidad e integridad permanentes, de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor y con la autorización formal del responsable de la Dirección de Seguridad Informática o la Comisión de Seguridad Informática. La Dirección mencionada, deberá mantener un listado actualizado del equipamiento con el detalle de la frecuencia en que se realizará el mantenimiento preventivo.

Se deberá eliminar la información confidencial que contenga cualquier equipamiento que sea necesario retirar, realizándose previamente las respectivas copias de resguardo.

11.2.5 Seguridad de los equipos fuera de las instalaciones

El uso de equipamiento destinado al procesamiento de información, fuera del ámbito de la Secretaría General de la Presidencia de la Nación, deberá ser autorizado por el responsable patrimonial. En caso que en el mismo se almacene información clasificada, debe ser aprobado además por el Propietario de la misma.

Cuando se autorice el uso de equipamiento informático fuera del ámbito de las dependencias de la Secretaría General de la Presidencia de la Nación, el mismo deberá contar con controles de seguridad preventivos ante pérdida, robo, daño o intercepción.

Se deberán respetar permanentemente las instrucciones del fabricante respecto del cuidado del activo. Asimismo, se mantendrá una adecuada cobertura de seguro para proteger el equipamiento fuera del ámbito de la Secretaría General de la Presidencia de la Nación, cuando el activo lo amerite.

11.2.6 Reutilización o Baja de equipamiento informático

Se deberán aplicar operaciones de borrado seguro a todo equipamiento informático, antes de que el mismo sea normalizado para su reutilización, previo resguardo de la información útil y licencias alojadas en dicho equipamiento, teniendo en cuenta las directivas mencionadas en el punto 8.3.2 Eliminación Segura de Soportes de Información.

11.2.7 Retiro de propiedad de la Secretaría General de la Presidencia de la Nación

El equipamiento, soportes de almacenamiento, información y software no se deberán retirar o transmitir fuera del ámbito de las dependencias de la Secretaría General de la Presidencia de la Nación sin previa autorización formal.

Se podrán llevar a cabo comprobaciones periódicas para detectar el retiro no autorizado de activos de la Secretaría General de la Presidencia de la Nación.

11.2.8 Pantallas Limpias

Los usuarios deberán cerrar las sesiones de las aplicaciones, sistemas y servicios de red, cuando no estén siendo usadas.

Los usuarios al ausentarse momentáneamente de su puesto de trabajo deberán cerrar la sesión activa o en su defecto, bloquear el equipo informático, para evitar el acceso indebido al mismo en su ausencia.

Se deberá establecer el bloqueo automático de las pantallas, cuando el equipo se encuentre desatendido por más de 5 (cinco) minutos con el objeto de evitar accesos no autorizados a los mismos.

Los usuarios deberán cerrar las sesiones activas al finalizar su jornada laboral y apagar el equipo informático o en su defecto cerrar las sesiones de servicios abiertos y activar el bloqueo del mismo cuando sea solicitado por el Responsable de la Seguridad de la Información para realizar tareas de mantenimiento fuera del horario laboral.

11.2.9 Escritorios Limpios

Los usuarios deberán proteger la información no pública que utilizan en sus tareas, no dejando documentación en papel u otro medio de almacenamiento (pendrives, unidades removibles, cd, etc.) sobre su puesto de trabajo sin ningún tipo de control.

Se deberá almacenar bajo llave en gabinetes seguros o cajas fuertes, cuando corresponda, los documentos en papel y soportes de almacenamiento que posean información sensible o crítica, cuando no estén siendo utilizados, especialmente fuera del horario de trabajo.

Se deberá retirar inmediatamente la información sensible o confidencial, una vez impresa.

Se deberán bloquear las fotocopiadoras fuera del horario normal de trabajo y proteger los puntos de recepción y envío de correo postal (primera vez que se las nombra).

12. Política de Seguridad en las Operaciones

Objetivo

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.

Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.

12.1 Procedimientos y Responsabilidades Operativas

12.1.1 Documentación de los Procedimientos Operativos

Los procedimientos operativos deberán ser identificados, documentados, actualizados y puestos a disposición de todos los usuarios que lo requieran. Las responsabilidades referidas a las tareas operativas deberán estar formalmente asignadas.

Los procedimientos especificarán instrucciones para la ejecución detallada de cada tarea, incluyendo:


12.1.2 Cambios en las Operaciones

Se deberán definir procedimientos para controlar los cambios en los procesos operativos que pudieran afectar la seguridad en los sistemas de procesamiento de la SGP.

Se deberá almacenar un registro detallado de los cambios para operaciones de auditoría y respuesta de incidentes, conteniendo el mismo toda información relevante a cada cambio implementado.

Se deberá controlar que los cambios a implementar no afecten la seguridad de los procesos asociados ni de la información que administra.

Se deberán definir procedimientos para el control de los cambios en el ambiente operativo y de comunicaciones. Todo cambio deberá ser evaluado previamente en sus aspectos técnicos y de seguridad.

Se deberá controlar que los cambios en los componentes operativos y de comunicaciones no afecten la seguridad de los mismos ni de la información que soportan. Razón por la cual se deberá evaluar el posible impacto operativo de los cambios previstos y verificar su correcta implementación.

Se retendrá un registro de auditoría que contenga toda la información relevante de cada cambio implementado.

Los procedimientos de control de cambios contemplarán los siguientes puntos:


12.1.3 Planificación de la Capacidad

Se deberá monitorear y evaluar las necesidades de capacidad operacional actuales de los sistemas y proyectar las futuras demandas, con el objeto de garantizar que el crecimiento no ponga en riesgo las actividades operativas ante la falta de recursos.

12.1.4 Separación de entornos de desarrollo, pruebas y producción

Deberán existir cuatro ambientes diferenciados de trabajo, desarrollo, pruebas, pruebas de seguridad y producción, los cuales deberán estar separados y ser independientes.

Deberán existir procedimientos formales para el traspaso entre estos ambientes, con el fin de reducir el riesgo de cambios no autorizados en los mismos y garantizar la producción de sistemas seguros. Estos controles deberán tener en cuenta los siguientes aspectos:


12.2 Protección contra Código Malicioso

12.2.1 Controles contra Código Malicioso

Se deberán proteger los sistemas tecnológicos mediante la implementación de controles para prevenir, detectar, eliminar y recuperar los sistemas afectados por código malicioso.

Dichos sistemas de detección de código malicioso deberán estar instalados y actualizados en todas las estaciones de trabajo y servidores que conforman la infraestructura tecnológica de la Secretaría General de la Presidencia de la Nación.

Para evitar la ejecución de código malicioso, se deberá controlar toda actividad de lectura y grabación de archivos, en estaciones de trabajo y servidores, todo tráfico de carga y descarga de archivos en los servidores de conexión a internet y el control en los correos electrónicos con archivos adjuntos o enlaces a sitios web.

Se deberán realizar periódicamente, análisis preventivos para la detección y eliminación de código malicioso en los servidores y estaciones de trabajo.

Se deberán implementar las directivas emanadas en la Política de Uso Aceptable de los Recursos de Tecnología de la Información existente.

12.3 Copias de Seguridad

12.3.1 Copia de Resguardo y Restauración

Se definirán procedimientos para el resguardo de la información, que deberá considerar:


12.4 Registro de Actividad y Monitoreo

12.4.1 Registro de eventos

Se deberán registrar los eventos referidos a la actividad de usuarios y sistemas, eventos asociados a errores y seguridad.

Se deberán almacenar remotamente los eventos de las estaciones de trabajo y servidores críticos, con el objeto de garantizar su integridad y disponibilidad para la detección e investigación de incidentes de seguridad. Los registros de auditoría se almacenarán localmente para las estaciones de trabajo y servidores considerados, no críticos.

Se deberán registrar mínimamente los siguientes datos:


Para el registro de los eventos se debe considerar la política 18.1.3 Protección de los Registros de la Secretaría General de la Presidencia de la Nación.

12.4.2 Protección del registro de información de auditoría

Se implementarán controles para la protección de los registros de auditoría almacenados, contra cambios no autorizados, como ser alteración de los mismos o eliminación.

Se deberán implementar controles para evitar fallas por falta de espacio de almacenamiento.

12.4.3 Actividad de los Administradores y Operadores

Se deberá controlar periódicamente la actividad de los usuarios administradores y operadores de sistemas que administren información confidencial, privada o secreta.

Se deberán definir alertas automáticas que informen actividades catalogadas sospechosas, ya sea debido a accesos u operaciones indebidas o fallas de los sistemas.

12.4.4 Sincronización de Relojes

Se deberán sincronizar los relojes de todos los sistemas y equipos informáticos en relación a una o varias fuentes de sincronización únicas de referencia, a fin de garantizar la exactitud de los registros de auditoría.

12.5 Control en la Instalación de Software

12.5.1 Instalación de Software en Producción

Se deberán definir procedimientos para controlar la instalación de software en sistemas operacionales en producción que establezcan los pasos a seguir para validar autorizaciones, conformidades y pruebas previas pertinentes.

Toda aplicación, desarrollada por la Secretaría General de la Presidencia de la Nación o por un tercero, deberá tener un único responsable designado formalmente por la Dirección de Informática.

Ningún programador o analista de desarrollo podrá acceder a los ambientes de producción, en concordancia con el punto 12.1.4 Separación de entornos de desarrollo, pruebas y producción.

Se debería conservar la versión previa del sistema, como medida de contingencia y control, llevar un registro de auditoría de las actualizaciones efectuadas e instalar sólo los ejecutables en el ambiente de producción.

Se designarán formalmente a los implementadores de los sistemas en producción, evitando que sean los mismos programadores o analista de desarrollo del software que se desea poner en producción.

12.6 Gestión de Vulnerabilidades Técnicas

12.6.1 Vulnerabilidades Técnicas y Remediación

Se deberán efectuar pruebas técnicas y de seguridad, con el objeto de conocer el grado de exposición del sistema antes de desplegarlo en producción, a fin de adoptar las medidas necesarias para minimizar o eliminar los riesgos asociados. Esto también aplica para todo sistema de software desarrollado en la Secretaría General de la Presidencia de la Nación teniendo en cuenta las directivas de la política 14.2.9 Evaluación de Vulnerabilidades de Seguridad.

Se deberán minimizar los riesgos de actualización, mediante la implementación del control de cambios, imponiendo el cumplimiento de procedimientos formales que garanticen que se cumplan pautas de seguridad y control. Se deberá verificar que los cambios cumplan con los requisitos solicitados y se cuente con las autorizaciones necesarias.

Se deberán establecer roles y responsabilidad asociados a los procesos de identificación de vulnerabilidades técnicas, procedimientos de remediación mediante la instalación de actualizaciones de seguridad, implementación de directrices de configuraciones seguras y controles para asegurar su cumplimiento.

12.6.2 Restricciones en la Instalación de Software

Se prohíbe la instalación de software, a menos que sea autorizada por el Responsable de la Seguridad de la Información, ya que la instalación no controlada de software en sistemas informáticos puede dar pie a la introducción de vulnerabilidades y a la fuga de información, a la falta de integridad u otros incidentes de seguridad de información o bien a la transgresión de derechos de propiedad intelectual.

La instalación de software deberá respetar la Ley de Propiedad Intelectual N° 11.723 y sus normas complementarias, como así también el tipo de licenciamiento designado por el autor del mismo. Por lo que se prohíbe la instalación y uso de cualquier tipo de aplicación y utilidades que active licencias de manera indebida (ver punto 18.1.2 Derechos de Propiedad Intelectual).

12.7 Auditoría de los Sistemas en Producción

12.7.1 Controles de auditoría en los sistemas de información

Se deberá planificar y definir cuidadosamente las actividades de auditoría a realizar sobre los sistemas en producción, con el objeto de minimizar el impacto en la SGP, por esta razón deberán existir procedimientos formales para tal actividad.

Las actividades de auditoría sobre los sistemas en producción deberán tomar los recaudos necesarios que permitan revertir los cambios efectuados en los sistemas auditados.

Se protegerá el acceso a los elementos utilizados en las auditorías de sistemas, o sea archivos de datos o software, a fin de evitar el mal uso o el compromiso de los mismos.

Dichas herramientas estarán separadas de los sistemas en producción y de desarrollo, y se les otorgará el nivel de protección requerido.

Se observarán las normas de auditoría dispuestas por la Sindicatura General de la Nación.

13. Política en la Gestión de Comunicaciones

Objetivo

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones.

13.1 Gestión en la Seguridad en las Redes de Datos

13.1.1 Controles en las Redes de Datos

Se deberán restringir las conexiones a los puertos de los dispositivos de red, permitiendo conectarse únicamente a los dispositivos con direcciones físicas autorizadas, habilitando de este modo la seguridad de los puertos de conexión.

Se deberán definir controles que inspeccionen los paquetes de datos que circulan en la red con el objeto de detectar código malicioso que intente vulnerar los sistemas informáticos.

Se deberá controlar la navegación ilimitada de internet para evitar comprometer el rendimiento y/o estabilidad del acceso a la misma.

Se deberán controlar los equipos informáticos que se conecten hacia y desde internet. Tal control deberá ser efectuado a través de dispositivos de seguridad que inspeccionan el tráfico saliente y entrante, con el objeto de evitar que la navegación transgreda las normas establecidas en la Política de Uso Aceptable de los Recursos de Tecnología de la Información.

Se deberá controlar el tráfico de datos interno y externo de la red informática mediante dispositivos de seguridad que controlen activamente las comunicaciones con origen y destino autorizados.

Se deberán implementar controles para mantener la alta disponibilidad de los servicios de red y equipamiento informático interconectado.

Se deberá controlar el acceso, administración y uso de los servicios web publicados. Se deberá mantener instalados y habilitados sólo aquellos servicios que hayan sido autorizados.

13.1.2 Seguridad de los Servicios Activos

El Responsable de la Seguridad de la Información definirá las pautas para garantizar la seguridad de los servicios de red de la Secretaría General de la Presidencia de la Nación. Dichos servicios activos deberán ser revisados periódicamente, proponiendo recomendaciones cuando sea necesario.

Se deberán seguir expresamente las siguientes directivas:


13.1.3 Segregación de redes

Con el fin de restringir el acceso indebido a los datos, se deberá segregar el tráfico de datos que circulan por las redes de la Secretaría General de la Presidencia de la Nación, en función de criterios, como ser, estructura organizacional, grupos de servicios utilizados, ubicación u otro. Estos perímetros de seguridad definidos en la segregación de redes deberán ser formalmente definidos y documentados.

13.2 Intercambio de Información con Partes Externas

13.2.1 Procedimientos y Controles de Intercambio de la Información

Se deberán establecer procedimientos para solicitar y aprobar accesos especiales a internet.

El uso de internet estará sujeto a la Política de Uso Aceptable de los Recursos de Tecnología de la Información, la cual considera aspectos tales como, responsabilidades de los empleados con respecto a la difamación, hostigamiento, personificación, reenvío de cadenas de comunicación de correo electrónico, redes sociales y otros.

La información intercambiada hacia y desde internet deberá ser protegida contra la intercepción, copiado o modificación.

Los servicios que se exponen hacia internet deberán estar protegidos ante amenazas externas.

Se deberán implementar controles para la detección de código malicioso que puede ser transmitido desde internet hacia las redes de la Secretaría General de la Presidencia de la Nación.

Se deberá hacer uso de técnicas criptográficas actualizadas para proteger la confidencialidad, integridad y la autenticidad de la información que se transmite y envía hacia redes externas.

13.2.2 Acuerdos en los Intercambios de Información con Entidades Externas

Cuando se realicen acuerdos entre la Secretaría General de la Presidencia de la Nación y otros organismos, relativos al intercambio de información y software, se deberá especificar e implementar las consideraciones de seguridad para la transferencia segura de datos entre ambas partes.

13.2.3 Seguridad del Correo Electrónico

El uso del servicio de correo electrónico laboral estará sujeto a la Política de Uso Aceptable de los Recursos de Tecnología de la Información, por lo cual todos los empleados de la Secretaría General de la Presidencia de la Nación deberán aceptar y firmar las pautas de uso declaradas en dicha política, antes de acceder a la cuenta de correo electrónica asignada.

Se deberá proteger el sistema de correo electrónico para evitar el acceso no autorizado, denegación de servicio, correos publicitarios no deseados, suplantación de identidad del remitente y demás amenazas existentes.

El tráfico del sistema de correo electrónico laboral será analizado por sistemas antimalware, con el objeto de detectar archivos binarios maliciosos adjuntos que pusieran en peligro a la infraestructura tecnológica de la Secretaría General de la Presidencia de la Nación.

Se prohíbe adjuntar en la cuenta de correo electrónico laboral binarios ejecutables, cifrados, multimedia de audio y video o archivos de gran tamaño que pudieran degradar el sistema de correo electrónico institucional.

13.2.4 Acuerdo de Confidencialidad en el Intercambio de Información.

Se deberán identificar, revisar y documentar los acuerdos de confidencialidad, para la protección de la información de la Secretaría General de la Presidencia de la Nación que es transferida a entidades externas. Dichos acuerdos deben responder a los requerimientos de confidencialidad o no divulgación de la Secretaría General de la Presidencia de la Nación.

Dichos acuerdos de confidencialidad deberán contemplar la normativa vigente en la materia.

14. Política de Adquisición, Desarrollo y Mantenimiento de Sistemas

Objetivo

Asegurar la inclusión de controles de seguridad y validación de datos en la adquisición, desarrollo y mantenimiento de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan.

Definir los métodos de protección de la información crítica o sensible.

Alcance

Esta Política se aplica a todos los sistemas informáticos, tanto los desarrollos propios como los de terceros, y a todos los Sistemas Operativos y/o Software de Base que integren cualquiera de los ambientes administrados por la Secretaría General de la Presidencia de la Nación en donde residan los desarrollos mencionados.

Responsabilidad

El responsable de Seguridad de la Información junto con el Propietario de la Información y la Unidad de Auditoría Interna, definirán los controles a ser implementados en los sistemas desarrollados internamente o por terceros, en función de una evaluación de riesgos.

El responsable de Seguridad de la Información, junto con el Propietario de la Información, definirá en función a la criticidad de la información, los requerimientos de protección mediante métodos criptográficos. Luego, el responsable de Seguridad de la Información definirá junto con el responsable de la Dirección de Seguridad Informática, los métodos de encriptación a ser utilizados.

El responsable de Seguridad de la Información cumplirá las siguientes funciones:


El responsable del Área Informática propondrá para su aprobación, por parte del superior jerárquico que corresponda, la asignación de funciones de “implementador” y “administrador de programas fuentes” al personal de su área que considere idóneo y cuyas responsabilidades se detallan en la presente cláusula. Asimismo, verificará el cumplimiento de las definiciones establecidas sobre los controles y las medidas de seguridad a ser incorporadas a los sistemas.

El Área de Sistemas propondrá quiénes realizarán la administración de las técnicas criptográficas y claves.

El responsable del Área de Administración incorporará aspectos relacionados con el licenciamiento, la calidad del software y la seguridad de la información en los contratos con terceros por el desarrollo de software. El responsable del Área Jurídica participará en dicha tarea.

14.1 Requerimientos de Seguridad de los Sistemas

14.1.1 Análisis y Especificaciones de los Requerimientos de Seguridad

Se deberán incorporar requisitos de seguridad en los sistemas de información (desarrollos propios y de terceros) y en todas las mejoras o actualizaciones que se les incorporen. Razón por la cual, el Responsable de la Seguridad de la Información deberá formar parte del ciclo de vida de desarrollo de los sistemas informáticos.

Así también se deben tener en cuenta las siguientes consideraciones:


14.1.2 Seguridad en los Servicios accedidos desde Redes Públicas

Se deberán implementar controles de seguridad que den soporte a todos los sistemas de la Secretaría General de la Presidencia de la Nación, dichos controles deberán ser los seguidamente detallados:


14.1.3 Protección de la Información en servicios de aplicativos

Se tomarán recaudos para la protección de la integridad de la información publicada electrónicamente a fin de prevenir la modificación no autorizada que podría dañar la reputación de la Secretaría General de la Presidencia de la Nación. Es posible que la información de un sistema de acceso público, por ejemplo, la información en un servidor Web accesible por internet, deba cumplir con ciertas normas de la jurisdicción en la cual se localiza el sistema o en la cual tiene lugar la transacción electrónica. Se implementará un proceso de autorización formal antes de que la información se ponga a disposición del público, estableciéndose en todos los casos los encargados de dicha aprobación.

Todos los sistemas de acceso público deberán prever que:


14.2 Seguridad en Procesos de Desarrollo

14.2.1 Desarrollo Seguro de Software

Se deberá establecer una Política de Requisitos de Seguridad para el Desarrollo Seguro de Software aplicable a todo desarrollo de aplicaciones y sistemas de información dentro de la Secretaría General de la Presidencia de la Nación como así también el realizado por terceros.

Se deberá involucrar al Responsable de la Seguridad de la Información en el ciclo de vida de desarrollo de los sistemas de información desde el inicio con el objeto de validar la arquitectura de seguridad.

Los requisitos mínimos que se deberán considerar son los siguientes:


Así también se tomarán en cuenta los siguientes controles:

Controles de Procesamiento Interno:

Se definirá un procedimiento para que durante la etapa de diseño se incorporen controles de validación a fin de eliminar o minimizar los riesgos de fallas de procesamiento y/o vicios por procesos de errores.

Para ello se implementarán:


Control de Validación de Datos de Salidas:

Se establecerán procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:


Control Software Operativo:

Se definen los siguientes controles a realizar durante la implementación del software en producción, a fin de minimizar el riesgo de alteración de los sistemas:


14.2.2 Procedimiento de Control de Cambios

Para el ciclo de vida de desarrollo de software se deberá elaborar el procedimiento de gestión de cambios con el objeto de minimizar los riesgos de alteración de los sistemas de información. Esto garantizará que se cumplan los procedimientos de seguridad y control, respetando la división de funciones.

Para ello se deberán tomar las siguientes consideraciones:


14.2.3 Revisión después de cambios en los Sistemas Operativos

Deberán existir procedimientos de revisión y control para asegurar que no se produzca ningún impacto negativo en el funcionamiento o degradación, en la seguridad de las aplicaciones y sistemas que contiene, cuando se realicen cambios en los Sistemas Operativos por actualizaciones o instalación de componentes.

14.2.4 Restricción del Cambio de Paquetes de Software

Todo cambio en los paquetes de software suministrados por terceros deberá ser controlado de manera estricta. Para ello se deberá:


14.2.5 Principios de Arquitectura de Ingeniería Segura

Se deberán establecer, documentar, mantener y aplicar los principios de seguridad en ingeniería de sistemas para cualquier labor de implementación en los sistemas de información.

Se deberá diseñar contemplando la seguridad en todos los niveles de la arquitectura -negocios, datos, aplicaciones y tecnología- equilibrando la necesidad de seguridad con la de accesibilidad.

Se deberá analizar la tecnología nueva para conocer sus riesgos de seguridad antes de incluirse como parte del diseño.

14.2.6 Seguridad en los Entornos de Desarrollo

Se deberán implementar controles para proteger adecuadamente los entornos en los que se efectuarán labores de desarrollo e integración de software, abarcando todo el ciclo de vida del desarrollo del sistema y contemplando los recursos humanos, los procesos y las tecnologías asociadas. Dichos controles deberán considerar los siguientes aspectos:



14.2.7 Tercerización del Desarrollo de Software

Se deberán establecer los requerimientos contractuales de calidad y seguridad del código que incluyan auditorías, una revisión del código para detectar código malicioso, como así también el cumplimiento de los requerimientos de desarrollo mencionados en el punto 14.2.1 Desarrollo Seguro de Software.

Se deberán elaborar acuerdos de licencias, propiedad de código y derechos conferidos.

Se deberá considerar el establecimiento de acuerdos de custodia del código fuente del software por parte de un tercero en caso de quiebra y/o inhabilidad por parte del proveedor del servicio de desarrollo de software.

14.2.8 Evaluación de Requisitos Funcionales

Se deberán establecer programas de ejecución de pruebas funcionales que permitan evaluar los requisitos funcionales y el cumplimiento de estos en los sistemas desarrollados.

14.2.9 Evaluación de Vulnerabilidades de Seguridad

Se deberán realizar evaluaciones de seguridad en búsqueda de vulnerabilidades sobre los nuevos sistemas a implementar, sistemas de información utilizados, incluyendo desarrollos propios y de terceros, como también a las plataformas del sistema operativo sobre los cuales están implementados los mismos, con el objeto de detectar canales encubiertos de transmisión de datos no autorizados o cualquier otra vulnerabilidad que atente contra la seguridad.

14.3 Datos de Prueba y Operativos

14.3.1 Protección de los Datos de Prueba

Las pruebas de los sistemas desarrollados podrán efectuarse con datos extraídos del ambiente operativo con autorización previa si los mismos son despersonalizados y enmascarados antes de su uso para evitar exponer información que pueda ser sensible.

Los datos de prueba se deberán eliminar inmediatamente al finalizar las pruebas.

14.3.2 Cambios a Datos Operativos

La modificación, actualización o eliminación de los datos operativos deberán ser realizados, solo a través de los sistemas que procesan dichos datos y de acuerdo con el esquema de control de accesos implementado en los mismos. Cualquier modificación por fuera de los sistemas a un dato almacenado, ya sea en un archivo o base de datos, podría poner en riesgo la integridad de la información.

Todos los casos en los que no fuera posible la aplicación de esta política serán considerados como excepciones. El Responsable de Seguridad Informática es quien definirá los procedimientos para la gestión de dichas excepciones que deberán contemplar lo siguiente:


15 Política en Relación a los Proveedores

Objetivo

Establecer y mantener el nivel acordado de seguridad de la información y prestación de los servicios conforme a los acuerdos con el proveedor.

La Secretaría General de la Presidencia de la Nación, deberá aprobar los Planes de Seguridad en el plazo máximo de NOVENTA (90) días desde la entrada en vigencia de la presente. Dichos Planes de Seguridad deberán establecer los plazos en que se dará cumplimiento a cada uno de los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL” plazo que no podrá ser posterior al 31 de diciembre del 2022.

15.1 Seguridad en las Relación con los Proveedores

15.1.1 Seguridad de la Información que es Accedida por los Proveedores

Se deberán documentar y acordar los requisitos de seguridad sobre los activos de información que son accedidos por los proveedores, con el objeto de mitigar los riesgos emergentes al tener acceso a la información y los recursos tecnológicos de la Secretaría General de la Presidencia de la Nación.

Se deberán analizar y definir los riesgos en la provisión del servicio para establecer todos los requisitos de seguridad pertinentes. Para ello se deberá definir con cada proveedor, que información podrá acceder, procesar, almacenar o transmitir.

15.1.2 Seguridad dentro de los Acuerdos de los Proveedores

Se deberán establecer y documentar los acuerdos para garantizar que no existen discrepancias entre la Secretaría General de la Presidencia de la Nación y el proveedor en cuanto a las obligaciones de ambas partes para cumplir con los requisitos de seguridad de la información establecidos.

Se deberá identificar e incluir en los acuerdos de servicio los mecanismos de seguridad, los niveles de servicio y los requisitos de administración de todos los servicios de red contratados a terceros.

A continuación, se definen los términos para incluir en los acuerdos con el fin de poder satisfacer los requisitos de seguridad de la información identificados:


15.1.3 Cadena de suministro de la tecnología de información y comunicación

Se deben incluir en los acuerdos con los proveedores los requisitos para abordar los riesgos de seguridad de la información asociados con la cadena de suministro de los servicios y productos de tecnología de información y comunicaciones.

Se deben incluir los siguientes temas en los acuerdos con el proveedor sobre la seguridad de la cadena de suministro:


15.2 Administración de la Prestación de Servicios de Proveedores

15.2.1 Supervisión y Revisión de los Servicios

Se deberá llevar a cabo el seguimiento, control y revisión de los servicios prestados por terceras partes, comprobando que se encuentran adheridos a los términos de seguridad de la información con las condiciones definidas en los acuerdos y que los incidentes de seguridad de la información y los problemas son manejados en forma apropiada.

Se recomienda que se asegure que se mantenga la visibilidad de las actividades de seguridad como gestión de cambios, identificación de vulnerabilidades y reporte/respuesta de incidentes de seguridad de información a través de un proceso de reportes claro y definido, con formato y estructura.

15.2.2 Gestión de Cambios en la Prestación de Servicios

Se deberá llevar la gestión de cambios en la provisión de los servicios, incluyendo el mantenimiento y las mejoras de los procedimientos y controles de seguridad de la información existentes.

El proceso de gestión de servicios de terceros deberá tener en cuenta los siguientes cambios en la Secretaría General de la Presidencia de la Nación:


El proceso de gestión deberá, también tener en cuenta los siguientes cambios en el servicio ofrecido por el proveedor:


16. Política de Gestión de Incidentes de Seguridad

Objetivo

Garantizar que los eventos de seguridad de la información y las debilidades asociados a los sistemas de información sean comunicados de forma tal que se apliquen las acciones correctivas en el tiempo oportuno.

16.1 Gestión de Incidentes de Seguridad y Mejoras

16.1.1 Responsabilidades y Procedimientos

Se establecerán claramente las responsabilidades y los procedimientos para el manejo de incidentes con el fin de garantizar una respuesta rápida, eficaz y sistemática a los incidentes relativos a la seguridad de la información.

Se deberá contemplar la incorporación en los procedimientos de incidentes de seguridad una definición de las primeras medidas a implementar como ser, identificación, clasificación y análisis de la causa del incidente, la planificación de la solución y recupero de los sistemas afectados, la comunicación formal de las áreas afectadas y la notificación formal al Responsable de la Seguridad de la Información y a la Dirección General de Asuntos Jurídicos, de considerarlo necesario.

Seguridad Informática podrá acceder a todo equipamiento tecnológico involucrado en alertas de seguridad cuando considere que dicho incidente pudiera afectar la disponibilidad, confidencialidad o integridad de la información o los recursos tecnológico de la Secretaría General de la Presidencia de la Nación.

16.1.2 Notificación de los eventos de seguridad de la información

Los incidentes relativos a la seguridad deberán ser comunicados tan pronto como sean detectados mediante el registro de estos en los canales formales siguiendo el procedimiento establecido.

Cuando las áreas usuarias detectasen un incidente de seguridad deberán comunicarlo inmediatamente al Responsable de la Seguridad de la Información, quien procederá a dar respuesta al incidente de seguridad informado.

Se establecerá un procedimiento formal de comunicación y respuesta a incidentes, indicando la acción que ha de emprenderse al recibir un informe sobre incidentes.

Dicho procedimiento deberá contemplar que, ante la detección de un supuesto incidente o violación de la seguridad, el Responsable de Seguridad de la Información sea informado tan pronto como se haya tomado conocimiento. Este indicará los recursos necesarios para la investigación y resolución del incidente, y se encargará de su monitoreo.

Se notificará del incidente de seguridad que se produzcan en la Secretaría General de la Presidencia de la Nación, dentro de las CUARENTA Y OCHO (48) horas de tomado conocimiento de su ocurrencia o de su potencial ocurrencia, a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS

Todos los agentes, sea cual fuere su situación contractual, deberán conocer fehacientemente el procedimiento de comunicación de incidentes de seguridad y deben informar los mismos tan pronto hayan tomado conocimiento de su ocurrencia.

16.1.3 Notificación de puntos débiles de la seguridad

Todos los usuarios de los servicios de información de la Secretaría General de la Presidencia de la Nación que detectasen fallas o debilidades de seguridad, o tomasen conocimiento indirectamente acerca de la existencia de ellas, serán responsables de comunicarlo formalmente al Responsable de la Seguridad de la Información.

Está expresamente prohibido que los usuarios ajenos a la Dirección de Seguridad Informática realizar pruebas para detectar y/o explotar supuestas debilidades o fallas de seguridad.

16.1.4 Comunicación de Anomalías del Software Instalado

Todos los usuarios de los servicios de información de la Secretaría General de la Presidencia de la Nación que detectasen anomalías del software en uso deberán comunicarlo formalmente al Responsable de la Seguridad de la Información, para determinar si la misma califica como un incidente de seguridad informática o no.

16.1.5 Valoración de los eventos de seguridad

Deberá existir un procedimiento de evaluación de los eventos de seguridad que permita decidir si el evento clasificará como incidente de seguridad de la información.

Se deberán registrar los resultados de la evaluación y la decisión en detalle con fines de referencia y verificación futuros.

16.1.6 Respuesta a los incidentes de seguridad

Todo incidente de seguridad deberá ser respondido siguiendo los procedimientos establecidos. El procedimiento de respuesta al incidente de seguridad debería incluir:


Restablecido el normal funcionamiento y reanudado el nivel de seguridad normal se deberá realizar un análisis post-incidente, cuando sea necesario, para profundizar el análisis o confirmar del origen del mismo.

16.1.7 Aprendizaje de los incidentes de la seguridad

Se deberán documentar, cuantificar y monitorear los tipos, volúmenes y costos de las anomalías e incidentes de seguridad. Esta información se utilizará para identificar y evaluar aquellos que sean recurrentes o de alto impacto. A efectos de establecer la necesidad de mejorar o agregar controles para limitar la frecuencia, daño y costo de casos futuros similares.

16.1.8 Recopilación de evidencias

Se deberán definir procedimientos para la identificación, recopilación, adquisición y preservación de la información que pudiera servir como evidencia válida, ya sea para implementar una medida disciplinaria interna o iniciar una acción judicial.

Para lograr la validez de la evidencia, la Secretaría General de la Presidencia de la Nación deberá garantizar que sus sistemas de información cumplen con la normativa y los estándares o códigos de práctica relativos a la producción de evidencia válida, como también se deberá asegurar la disponibilidad de los recursos tecnológicos necesarios para la recopilación, adquisición y preservación de evidencia forense.

Para lograr la calidad y totalidad de la evidencia es necesario la solidez de esta, por lo cual se establecerán los siguientes requisitos:


17. Política de Gestión de la Continuidad

Objetivo

Minimizar los efectos de las posibles interrupciones de las actividades normales de la Secretaría General de la Presidencia de la Nación (sean éstas resultado de desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u otros hechos) y proteger los procesos críticos mediante una combinación de controles preventivos y acciones de recuperación.

Analizar las consecuencias de la interrupción del servicio y tomar las medidas correspondientes para la prevención de hechos similares en el futuro.

Maximizar la efectividad de las operaciones de contingencia de la Secretaría General de la Presidencia de la Nación con el establecimiento de planes que incluyan al menos las siguientes etapas:


17.1 Gestión de Continuidad de las Operaciones

17.1.1 Proceso de Administración de los Planes de Continuidad

Deberá existir un plan de contingencia, para actuar ante la interrupción de la continuidad de las operaciones en la Secretaría General de la Presidencia de la Nación, a fin de garantizar que los planes operativos de restauración de las operaciones sean ordenados y consistentes entre sí.

El proceso de administración de la continuidad de la operatoria deberá tener en cuenta:


17.1.2 Continuidad de las Actividades y Análisis de los impactos

Al establecer un Plan de Continuidad de las Actividades de la Secretaría General de la Presidencia de la Nación se deberán contemplar los siguientes puntos:


Esta actividad será llevada a cabo con la activa participación de los propietarios de los procesos y recursos de información de que se trate y el Responsable de Seguridad de la Información, considerando todos los procesos de las actividades de la Secretaría General de la Presidencia de la Nación y no limitándose a las instalaciones de procesamiento de la información.

Según los resultados de la evaluación de esta actividad, se desarrollará un plan estratégico para determinar el enfoque global con el que se abordará la continuidad de las actividades de la Secretaría General de la Presidencia de la Nación. Una vez que se ha creado este plan, el mismo debe ser propuesto por el Responsable de la Seguridad de la Información al Secretario General de la Presidencia de la Nación para su aprobación.

17.1.3 Elaboración e implementación de los planes de continuidad de las Actividades de la Secretaria General de Nación

Los propietarios de procesos y recursos de información, con la asistencia del Responsable de Seguridad Informática, elaborarán los planes de contingencia necesarios para garantizar la continuidad de las actividades de la Secretaría General de la Presidencia de la Nación.

El proceso de planificación de la continuidad de las actividades considerará los siguientes puntos:



Asimismo, el proceso de planificación debe concentrarse en los objetivos de las actividades requeridas de la Secretaría General de la Presidencia de la Nación, por ejemplo, restablecimiento de los servicios a los usuarios en un plazo aceptable. Deben considerarse los servicios y recursos que permitirán que esto ocurra, incluyendo, dotación de personal, recursos que no procesan información, así como acuerdos para reanudación de emergencia en sitios alternativos de procesamiento de la información.

17.1.4 Marco para la Planificación de la Continuidad de las Actividades de la Secretaría General de la Presidencia de la Nación

Se mantendrá un solo marco para los planes de continuidad de las actividades de la Secretaría General de la Presidencia de la Nación, a fin de garantizar que los mismos sean uniformes e identificar prioridades de prueba y mantenimiento.

Cada plan de continuidad especificará claramente las condiciones para su puesta en marcha, así como las personas a cargo de ejecutar cada componente del mismo. Cuando se identifiquen nuevos requerimientos, se modificarán los procedimientos de emergencia establecidos, por ejemplo, los planes de evacuación o los recursos de emergencia existentes.

El administrador de cada plan de continuidad será el encargado de coordinar las tareas definidas en el mismo.

El marco para la planificación de la continuidad de las actividades de la Secretaría General de la Presidencia de la Nación tendrá en cuenta los siguientes puntos:


Se deberán definir explícitamente los administradores de los planes de contingencia. El cumplimiento de los procedimientos implementados para llevar a cabo las acciones contempladas en cada plan de continuidad, deben contarse entre las responsabilidades de los administradores de cada plan. Las disposiciones de emergencia para servicios técnicos alternativos, como instalaciones de comunicaciones o de procesamiento de información, normalmente se cuentan entre las responsabilidades de los proveedores de servicios.

17.1.5 Ensayo, Mantenimiento y Reevaluación de los Planes de continuidad de la Secretaría General de la Presidencia de la Nación.

Debido a que los planes de continuidad de las actividades de la Secretaría General de la Presidencia de la Nación pueden fallar, por suposiciones incorrectas, errores o cambios en el equipamiento, se establecen las siguientes pautas de acción:


Se deben utilizar diversas técnicas para garantizar que los planes de contingencia funcionarán ante un hecho real, y éstas incluirán por lo menos:


Para las operaciones críticas de la Secretaría General de la Presidencia de la Nación se tomarán en cuenta, además, los siguientes mecanismos:


Todas las pruebas efectuadas deben ser documentadas, resguardándose la evidencia formal de la ejecución y de los resultados obtenidos.

Los planes de continuidad de las actividades de la Secretaría General de la Presidencia de la Nación serán revisados y actualizados periódicamente, para garantizar su eficacia permanente. Se incluirán procedimientos en el programa de administración de cambios de la Secretaría General de la Presidencia de la Nación para garantizar que se aborden adecuadamente los tópicos de continuidad de las actividades.

Se deberá definir la periodicidad de revisión de los planes de contingencia, indicando el nombre del plan de contingencia, responsable y periodicidad de revisión. Cada uno de los Responsables de Procesos es el responsable de las revisiones periódicas de cada uno de los planes de continuidad de su incumbencia, como así también de la identificación de cambios en las disposiciones relativas a las actividades de la Secretaría General de la Presidencia de la Nación aún no reflejadas en dichos planes.

Debe prestarse atención, especialmente, a los cambios de:


Todas las modificaciones efectuadas serán propuestas por el Responsable de la Seguridad de la Información para su aprobación por el superior jerárquico que corresponda.

Por otra parte, el resultado de este proceso será dado a conocer a fin de que todo el personal involucrado tenga conocimiento de los cambios incorporados.

17.2 Redundancia

17.2.1 Redundancia en las Instalaciones de Procesamiento y Transmisión de la Información

Se deberá implementar en las instalaciones de procesamiento y transmisión de la información, componentes y/o arquitecturas redundantes, a efectos de cumplir con los requisitos de disponibilidad operativa.

18. Política de Cumplimiento

Objetivos

Cumplir con las disposiciones normativas y contractuales y Garantizar que los sistemas cumplan con la política, normas y procedimientos de seguridad de la Secretaría General de la Presidencia de la Nación. las mismas tendrán una periodicidad no superior a los DOCE (12) meses a partir de la publicación o última actualización de las mismas.

Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de la política, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas de información.

Optimizar la eficacia del proceso de auditoría de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

Garantizar la existencia de controles que protejan los sistemas en producción y las herramientas de auditoría en el transcurso de las auditorías de sistemas.

Determinar los plazos para el mantenimiento de información y para la recolección de evidencia de la Secretaría General de la Presidencia de la Nación

18.1 Cumplimiento de Requisitos Legales

18.1.1 Identificación de la Legislación Aplicable

Se deberán identificar y documentar en los sistemas de información de la Secretaría General de la Presidencia de la Nación los requisitos normativos, contractuales o legales. Del mismo modo se deberá definir y documentar los controles específicos, las responsabilidades y funciones individuales para cumplir con dichos requisitos.

18.1.2 Derechos de Propiedad Intelectual

Se deberá garantizar el cumplimiento de los requisitos legales y contractuales relacionados con la instalación y uso de software protegido por la legislación relativa a la propiedad intelectual.

Los agentes podrán utilizar únicamente material autorizado por la Secretaría General de la Presidencia de la Nación. La SGP sólo podrá autorizar el uso de material producido por el mismo, o material autorizado o suministrado por su titular, conforme los términos y condiciones acordados y lo dispuesto por la normativa vigente.

Los usuarios solo podrán utilizar software autorizado por el Organismo según las condiciones de instalación descripta en el punto 12.6.2 Restricciones en la Instalación de Software

18.1.3 Protección de los Registros de la Secretaría General de la Presidencia de la Nación

Los registros de datos se deberán proteger contra pérdida, destrucción, acceso no autorizado, publicación no autorizada, degradación del medio de almacenamiento, obsolescencia del formato o medio de almacenamiento.

Los registros de datos, correspondientes a las cuentas de correos electrónicos no deberán ser eliminadas cuando el propietario de dicha cuenta fuera desvinculado de la Secretaría General de la Presidencia de la Nación. Las cuentas de correos electrónicos deberán ser almacenados por un período mínimo de diez años.

Los sistemas de almacenamiento de datos deberán ser seleccionados de modo tal que los datos requeridos puedan recuperarse de una manera aceptable ante el requerimiento del Poder Judicial. Se deberá clasificar y detallar los períodos de retención, medios de almacenamiento y responsables de su mantenimiento. Los sistemas de almacenamiento y manipulación deberán garantizar una clara identificación de los registros y de su período de retención legal.

La protección de los datos deberá ser garantizada por el documento “Acuerdo de Confidencialidad”. Asimismo, los funcionarios o empleados que revelen a terceros o utilicen en provecho propio cualquier información individual de carácter estadístico o censal, de la cual tengan conocimiento por sus funciones, o que incurran dolosamente en tergiversación, omisión o adulteración de datos de los censos o estadísticas, serán pasibles a acciones penales por violación a la Ley N°17.622 y concordantes.

18.1.4 Protección de Datos y Privacidad de la Información Personal

A través de la presente “Política de Seguridad de la Información” y la “Política de Uso Aceptable de los Recursos de Tecnología de la Información” se informarán y detallarán las actividades que serán objeto de control y monitoreo.

Todos los empleados deben conocer las restricciones al tratamiento de los datos y de la información respecto a la cual tengan acceso con motivo del ejercicio de sus funciones. Por lo cual la Secretaría General de la Presidencia de la Nación poseerá un “Acuerdo de Confidencialidad”, el cual deberá ser suscrito por todos los funcionarios públicos y contratistas, en concordancia con el punto 6.1.6 Acuerdo de confidencialidad.

18.1.5 Prevención del Uso Inadecuado de los Recursos de Procesamiento de Información

Toda utilización de los recursos de procesamiento de información, con propósitos no autorizados o ajenos al destino por el cual fueron provistos se considerará como uso indebido.

Todos los agentes deberán conocer el alcance preciso del uso adecuado de los recursos informáticos y deberán respetarlo, según se declara en la Política de Uso Aceptable de los Recursos de Tecnología de la Información.

En particular, se deberá respetar lo dispuesto por las siguientes normas:


18.1.6 Delitos Informáticos

Todos los agentes deberán tomar conocimiento de los principios establecidos en la Ley N° 26.388 de Delitos Informáticos.

18.2 Revisiones de Cumplimiento de Seguridad

18.2.1 Revisión independiente de la Seguridad de la Información

Deberán efectuarse revisiones independientes de seguridad, para garantizar la eficacia de la implementación de seguridad existente. Esta revisión será independiente a laque deberá realizar el Responsable de la Seguridad de la Información y permitirá incluir oportunidades de mejora en los objetivos de control y cambios en el enfoque de seguridad existente.

Dicha revisión deberá ser realizada por individuos independientes al Responsable de la Seguridad de la Información, por ejemplo, Auditoría Interna o Especialistas de Seguridad externos al Organismo.

18.2.2 Cumplimiento de la Política y Procedimientos de Seguridad

Los responsables de cada Dirección, dentro de su área de responsabilidad, deberán velar por el correcto cumplimiento de las normas y procedimientos de seguridad establecidos y brindarán apoyo a las revisiones de cumplimiento, efectuadas por el Responsable de la Seguridad de la Información.

El Responsable de la Seguridad de la Información, tendrá la autoridad de realizar revisiones periódicas en todas las áreas de la Secretaría General de la Presidencia de la Nación a efectos de garantizar el cumplimiento de las políticas, normas y procedimientos de seguridad vigentes.

18.2.3 Verificación de Cumplimiento en los Sistemas de Información

Se verificará periódicamente que los sistemas de información cumplan con la política, normas y procedimientos de seguridad, las que incluirán la revisión de los sistemas en producción a fin de garantizar que los controles de hardware y software hayan sido correctamente implementados. En caso de ser necesario, estas revisiones contemplarán la asistencia técnica especializada.

El resultado de la evaluación se volcará en un informe técnico para su ulterior interpretación por parte de los especialistas. Para ello, la tarea podrá ser realizada por un profesional experimentado (en forma manual o con el apoyo de herramientas de software), o por un paquete de software automatizado que genere reportes que serán interpretados por un especialista técnico.

La verificación del cumplimiento comprenderá pruebas de penetración y tendrá como objetivo la detección de vulnerabilidades en el sistema y la verificación de la eficacia de los controles con relación a la prevención de accesos no autorizados. Se tomarán los recaudos necesarios en el caso de pruebas de penetración exitosas que comprometan la seguridad del sistema.

Las verificaciones de cumplimiento sólo serán realizadas por personas competentes, formalmente autorizadas y bajo la supervisión.