InfoLEG - Ministerio de Justicia y Derechos Humanos

INSTITUTO NACIONAL DE ASOCIATIVISMO Y ECONOMÍA SOCIAL

Resolución 870/2023

RESFC-2023-870-APN-DI#INAES

Ciudad de Buenos Aires, 01/03/2023

VISTO el EX-2023-11005920-APN-CSDI#INAES, la Decisión Administrativa N° 641/2021, y

CONSIDERANDO:

Que mediante el Decreto N° 103/01, se aprobó el Plan Nacional de Modernización de la Administración Pública Nacional orientado a eficientar el funcionamiento de la Administración Pública Nacional y a introducir en la gestión de las organizaciones públicas el cumplimiento de resultados mensurables y cuantificables.

Que atento los adelantos tecnológicos producidos en los últimos años, como el impacto de las redes sociales, el desarrollo de las aplicaciones móviles y las políticas de gobierno, se requirió una normativa superadora que incluya los nuevos elementos tecnológicos disponibles.

Que por el Decreto N° 434/2016, se aprobó el Plan de Modernización del Estado que contempla el Plan de Tecnología y Gobierno Digital, en el cual se establece como uno de los objetivos el fortalecimiento y optimización de la infraestructura tecnológica.

Que mediante la Decisión Administrativa N° 641/2021, se aprobaron los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, que son aplicables a todas las entidades y jurisdicciones comprendidas en el inciso a) del art. 8° de la ley 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias.

Que la citada norma establece que los organismos comprendidos deben implementar una Política de Seguridad de la Información, con el fin de proteger adecuadamente los activos tecnológicos esenciales para el desenvolvimiento de la jurisdicción y que para ello se debe desarrollar e implementar un marco organizativo que habilite una efectiva gestión y operación de la seguridad de la información en el organismo.

Que conforme el Anexo V de dicha norma, la política de seguridad debe ser aprobada por las máximas autoridades del organismo, las iniciativas propuestas deben ser impulsadas por ellas, y una vez aprobada la política debe ser informada a la Dirección Nacional de Ciberseguridad de la JEFATURA DE GABINETE DE MINISTROS.

Que para cumplimiento de los objetivos que establece la normativa, se deberá asignar a un área del organismo con competencia en la materia que acarreará las responsabilidades relativas a la seguridad de la información.

Que mediante la Disposición N° 1/22 la Dirección Nacional de Ciberseguridad de la JEFATURA DE GABINETE DE MINISTROS se aprobó el “Modelo Referencial de Política de Seguridad de la Información” (IF-2022-09912113-APN-DNCIB#JGM) para ser utilizado como base en su implementación por los organismos alcanzados por la Decisión Administrativa N° 641/21.

Que a los fines de cumplir con la normativa vigente en la materia y de proteger los activos de la información, se propone la creación del Área de Ciberseguridad del INAES, la que deberá implementar la POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN del Instituto y adoptar las medidas preventivas, detectivas y correctivas destinadas a proteger la información.

Que la asignación de funciones relativas al Área de Ciberseguridad del INAES no implica erogaciones presupuestarias adicionales.

Que el Servicio Jurídico Permanente ha tomado la intervención de su competencia.

Por ello, y en uso de las facultades conferidas por las Leyes N° 19.331, N° 20.321 y N° 20.337, el Decreto N° 721/00 y la Decisión Administrativa N°1302/2022,

EL DIRECTORIO DEL INSTITUTO NACIONAL DE ASOCIATIVISMO Y ECONOMIA SOCIAL

RESUELVE:

ARTÍCULO 1°.- Apruébase la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN” del INSTITUTO NACIONAL DE ASOCIATIVISMO Y ECONOMÍA SOCIAL que, identificada como IF-2023-11033879-APN-CSDI#INAES, integra la presente medida.

ARTÍCULO 2º.- Créase el ÁREA DE CIBERSEGURIDAD DEL INSTITUTO NACIONAL DE ASOCIATIVISMO Y ECONOMÍA SOCIAL en la órbita de la COORDINACIÓN DE SERVICIOS DIGITALES E INFORMÁTICOS.

ARTÍCULO 3°.- Déjase establecido que la presente no implica cambios en la estructura orgánica funcional, ni asignación de recursos extraordinarios.

ARTÍCULO 4º.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y cumplido archívese.

Fabian Brown - Zaida Chmaruk - Ariel Guarco - Nahum Mirad - Alejandro Russo - Alexandre Roig

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 03/03/2023 N° 12142/23 v. 03/03/2023

(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Introducción

El Instituto Nacional de Asociativismo y Economía Social (INAES), se compromete a establecer medidas de control y seguridad orientadas a proteger la gestión de la seguridad de la información, con el objeto de propiciar la continuidad de los sistemas, minimizar los riesgos de las amenazas y contribuir al eficiente cumplimiento de los objetivos de la organización; todo ello enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión del Organismo. Para cumplir con ello, se desarrolla el presente marco normativo “Política de Seguridad de la Información”.

La Política de Seguridad de la Información (PSI), nos brinda un marco para proteger la información y garantizar la continuidad de las operaciones de los sistemas de información, el compromiso manifiesto de las máximas autoridades de este organismo para promover la difusión, consolidación y cumplimiento de la política de seguridad adoptada, con el fin que estos principios lleguen a formar parte de la cultura organizacional.

La presente Política de Seguridad de la Información (PSI) será utilizada como base para establecer un conjunto de normas, procedimientos, lineamientos y guías acordes a los procesos que se llevan adelante en el Organismo, su plataforma tecnológica y demás recursos de los que disponga.

Se declaran inicialmente las políticas generales de seguridad de la información. Posteriormente como anexos, las políticas particulares y directrices, para consolidar la gestión de la seguridad de la información dentro del organismo. De esta manera se da cumplimiento a la Decisión Administrativa N° 641/2021, la cual establece en la sección V. DIRECTRICES, punto 1. Política de Seguridad de la Información del organismo, “Los organismos deben desarrollar una Política de Seguridad de la Información compatible con la responsabilidad primaria y las acciones de su competencia...”.

El presente documento se redactó según la política de seguridad de la información modelo indicada en la Disposición N° 1/2022 de la Dirección Nacional de Ciberseguridad y alineada con los requisitos mínimos de seguridad de la información para organismos según la Decisión Administrativa N° 641/2021 JGM. Como también se encuentra alineada al código de buenas prácticas de controles para la seguridad de la información de la Norma ISO/IEC 27002:2013.

Objetivos

Establecer un marco de referencia para la protección de la información y continuidad de los procesos y/o servicios, a través del resguardo de la confidencialidad, conservación de la integridad y mantenimiento de la disponibilidad de la información y de todos los recursos tecnológicos del Organismo, utilizados en la transmisión, procesamiento y almacenamiento, frente a posibles amenazas internas o externas, deliberadas o accidentales.

Alcance

La presente Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes y deberá ser conocida y cumplida por todo el Organismo - funcionarios y personal-, sea cual fuere su nivel escalafonario, su situación de revista o modalidad contractual.

Esta Política se aplica en todo el ámbito del Organismo, a todos sus recursos y a la totalidad de los procesos, ya sean estos internos, externos o vinculado a través de acuerdos o contratos con terceros.

Asimismo, debe ser conocida y cumplida por todas aquellas personas, ya sean internos o externos, vinculadas a la entidad a través de contratos, convenios, acuerdos o algún otro instrumento válido para establecer la relación con terceros, en la medida en que les sea aplicable y en las secciones que le corresponden.

Marco Normativo

El marco normativo de la presente Política de Seguridad de la Información se encuentra alineado respecto a la Legislación de la República Argentina.

Leyes relacionadas a la Ciberseguridad:

• Ley 26.388 de Delitos informáticos

• Ley 25.326 de Protección de Datos Personales

• Decreto Reglamentario N° 1558/2001

• Ley 25.506 de Firma Digital

• Decreto Reglamentario N° 2628/2002

• Ley 26.904 de Grooming

• Ley 11.723 Propiedad Intelectual y Ley 25.036 Modificatoria de Ley 11.723

Normativa vinculada a las funciones de la Dirección Nacional de Infraestructuras Críticas de la Información y Ciberseguridad:

• Decisión Administrativa 641/2021. Establece los requisitos mínimos de seguridad de la información para organismos públicos.

• Disposición 1/2022 Dirección Nacional de Ciberseguridad JGM. Aprueba el “Modelo Referencial de Política de Seguridad de la Información”.

• Disposición 6/2021. Creación del Comité Asesor para el Desarrollo e Implementación de aplicaciones seguras.

• Disposición 1/2021. Centro Nacional de Respuestas a Incidentes Informáticos (CERT.ar) en el ámbito de la Dirección Nacional de Ciberseguridad.

• Resolución 580/2011. Creación del Programa Nacional de Protección de Infraestructuras Críticas de Información y Ciberseguridad.

• Resolución 1523/2019. Definición de Infraestructuras Críticas.

Otras normativas relacionadas a la Ciberseguridad:

• Decreto 577/2017. Creación del Comité de Ciberseguridad.

• Decreto 480/2019. Modificación del Decreto 577/2017.

• Resolución 829/2019. Aprobación de la Estrategia Nacional de Ciberseguridad.

• Resolución 141/2019. Presidencia del Comité de Ciberseguridad.

Normativa internacional:

• Norma ISO/IEC 27002:2013 Código de Buenas Prácticas de Controles para la Seguridad de la Información.

Revisión y Actualización

El organismo se compromete a revisar la PSI anualmente, adaptándola a nuevas exigencias organizativas o del entorno, así como a comunicar a su planta de personal y a los terceros involucrados. También dispondrá las medidas necesarias para que esté a disposición de los alcanzados en todo momento.

Adicionalmente, procederá a su revisión y eventual modificación, cada vez que se produzca un cambio significativo en la plataforma tecnológica, una modificación de la normativa vigente aplicable, un cambio en los objetivos estratégicos del organismo o cualquier otro evento que lo amerite.

El área de ciberseguridad será la responsable de llevar adelante las revisiones sean periódicas o ad-hoc, dejándose constancia de ellas en el presente documento.

Quien ejerza el cargo de responsable del área aprobará las nuevas versiones, que serán comunicadas en tiempo y forma a todos los alcanzados para su cumplimiento.

Lineamientos específicos

Siguiendo los lineamientos contemplados en el Anexo I “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL” aprobado por la Decisión Administrativa N° 641/21, se establecen catorce (14) directrices para organizar la presente Política de Seguridad de la Información:

• Gestión de las Políticas y Normativas de Seguridad

• Política Organizativa

• Política de Recursos Humanos

• Política de Gestión de Activos

• Política de Control de Accesos

• Política de Criptografía

• Política Físico y Ambiental

• Política de Seguridad en las Operaciones

• Política en la Gestión de la Comunicación

• Política de Adquisición, Desarrollo y Mantenimiento de Sistemas

• Política con relación a los Proveedores

• Política de Gestión de Incidentes de Seguridad

• Política de Gestión de la Continuidad

• Política de Cumplimiento

Gestión de las Políticas y Normativas de Seguridad

La presente Política de Seguridad de la Información, deberá ser cumplida por todo el personal prestatario de servicios en el ámbito del Organismo, tanto funcionarios jerárquicos, administrativos, operativos y técnicos, sea cual fuere su modalidad de contratación, nivel escalafonario y situación de revista. Como también deberá ser utilizada como base para establecer el conjunto de normas, procedimientos, lineamientos y guías acordes a los procesos que se llevan adelante en el Organismo, en su plataforma tecnológica y demás recursos de los que disponga.

Se establecen una serie de políticas de seguridad específicas, incluidas como anexos en el presente documento, las cuales indican objetivos, responsabilidades y políticas detalladas aplicables a áreas particulares y también de cumplimiento con carácter obligatorio, se indican además documentos modelos y glosario de términos.

La Política de Seguridad de la Información, será revisada anualmente de forma regular con el objeto de permitir su constante actualización. La actividad de revisión incluye oportunidades de mejoras, en respuesta a los cambios organizacionales, a cambios significativos en procesos críticos o a cambios normativos, legales, de terceros, tecnológicos o de otra índole. Los cambios en la Política de Seguridad de la Información deberán ser aprobados por la máxima autoridad de la jurisdicción o en quien ella delegue esa facultad.

Política Organizativa de la Seguridad

El organismo apoyará e impulsará las iniciativas de seguridad que se propongan con el objeto de preservar la confidencialidad, integridad y disponibilidad de la información que se gestiona y almacena.

Se establecerán responsables del cumplimiento de los distintos procesos y funciones asociados a la seguridad de los sistemas de información dentro del Organismo, como también la supervisión de los aspectos inherentes a la seguridad tratados en la presente política.

Se designarán, propietarios de la información y propietarios de activos, quienes serán responsables por el resguardo de estos.

Se establecerá la segregación de las funciones asignando distintos perfiles o áreas de responsabilidad para evitar tener conflictos de intereses.

Se promoverá el contacto con otros organismos públicos y entidades privadas para el intercambio de experiencias en materias de seguridad, con el objeto de actualizar e intercambiar conocimientos relativos a seguridad y promover la capacitación continua.

Se contemplará la seguridad de la información en todos los proyectos tecnológicos que lleve adelante en el Organismo.

Se establecerán requisitos de seguridad para el uso de dispositivos móviles, al igual que requisitos para implementar el trabajo remoto.

Política de Uso Aceptable de los Recursos de Tecnología de la Información

Se establecen directivas para el uso adecuado de la información, los sistemas informáticos y entorno tecnológico que posee el Organismo, se especifican acciones consideradas prohibidas con respecto al uso del correo electrónico, Internet y demás recursos tecnológicos de hardware y/o de software, cedidos para su uso laboral al personal del Organismo. Se establecen pautas de conducta para regular el uso de los recursos informáticos que se utilizan.

Política de Recursos Humanos

Se establecerá, la aceptación del cumplimiento del acuerdo de confidencialidad y de la Política de Seguridad de la Información en la contratación. Y durante la relación laboral, la responsabilidad del debido cuidado de los activos tecnológicos cedidos para sus labores y la devolución de estos al finalizar el vínculo laboral con el Organismo.

La Coordinación de Recursos Humanos en las etapas de inducción de los agentes, notificará la existencia y el deber de cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ellas surja.

Deberán existir procesos disciplinarios a los agentes que hayan cometido una apertura en la seguridad de la información en conformidad con la normativa vigente del organismo y atendiendo en cada caso la situación de revista y forma de contratación de cada agente. Todas las direcciones velarán e impulsarán el cumplimiento de la política de seguridad de la información. Asimismo, deberán establecer claramente los niveles, perfiles o permisos para acceder a la información y sistemas para todo personal a su cargo, definiendo los perfiles de trabajo y/o permisos en las áreas de su incumbencia.

Los directores y/o jefes de unidades organizativas son responsables ante la desvinculación o cambio de función del personal, que el conocimiento que estos posean sea documentado y transferido apropiadamente, antes de proceder a su desvinculación o cambio de función para evitar afectar el normal funcionamiento de las tareas en su ausencia.

Se establece el compromiso de concientizar y capacitar al personal en temas referidos a las buenas prácticas en seguridad de la información en la Coordinación de Servicios Digitales e Informáticos. Como también el de promover el entrenamiento especializado y frecuente de quienes desarrollan funciones en áreas de seguridad de la información del Organismo.

Política de Gestión de Activos

Se establecerá la existencia de un inventario de activos actualizado, debiendo designar responsables. Si bien la implementación de los controles de seguridad, gestión técnica u operativa podrá ser delegada a personal especializado, el responsable seguirá teniendo a su cargo el activo que le ha sido asignado.

Se establecerá el compromiso de devolución de activos asignados previa a su desvinculación, antes de la finalización del vínculo laboral, contrato o acuerdo con el Organismo.

Se definen normas de uso de los activos de tecnología según las pautas declaradas en la Política de Uso de los Activos de los Recursos de Tecnología de la Información y la devolución de estos cuando el agente se desvincule laboralmente o cuando sea necesario su entrega debido a un cambio en sus funciones.

Se establecerá el tratamiento apropiado para la eliminación de forma segura de los activos de información sobre cualquier medio que pueda contener información del Organismo.

Política de Control de Accesos

Se controlará el acceso a las redes, servicios, información y a los recursos tecnológicos del Organismo, a través de la existencia de directivas y procedimientos que reglamentan la gestión de usuarios y la gestión de permisos de acceso a la información y a los recursos tecnológicos del Organismo.

Se restringirá el acceso a la información, en concordancia con la clasificación de esta, sobre la base de la premisa rectora, “Todo acceso está prohibido, a menos que se permita explícitamente” mediante la autorización formalizada de cada dirección indicando los perfiles y permisos de acceso del personal a su cargo a los sistemas y/o recursos de información que sean requeridos para las actividades y tareas que cada empleado o funcionario deba llevar adelante.

Se establecerá el seguimiento de las cuentas con privilegios especiales y la revisión de los permisos de acceso configurados en los sistemas mediante auditorias periódicas, controlando que estos coincidan con los perfiles y permisos informados por cada dirección del Organismo.

Se establecerá la gestión segura de las contraseñas y/o dispositivos de autenticación, como también las responsabilidades de los usuarios sobre el uso de estos, por lo cual se establecerá que los agentes, funcionarios y demás usuarios deberán hacer un uso responsable de sus dispositivos y datos de autenticación. Se declara que se encuentra estrictamente prohibido compartir los mismos.

Se establecerá que los sistemas de administración de contraseñas apliquen contraseñas de calidad, por lo cual se deberán establecer criterios de complejidad como ser longitud mínima, caracteres, mayúsculas, minúsculas y caracteres numéricos o especiales para su conformación y cambios de forma periódica. Se promoverá el uso de gestores de almacenamiento de contraseñas para los usuarios finales mediante aplicaciones específicas para tal fin.

Se prohíbe que personal no autorizado haga uso de programas especiales con capacidades de anulación de los sistemas de control y seguridad.

Se promoverá el inicio de sesión seguro mediante la implementación de dos o más factores de autenticación para acceder a los sistemas y servicios cuando sea posible. Se limitará el acceso al código fuente de los programas del Organismo solo al personal autorizado.

Se monitorea, inspecciona y controla el tráfico de datos en las redes del Organismo, comunicaciones internas, como también toda comunicación externa entrante hacia las redes del Organismo y toda comunicación saliente hacia Internet con el objeto de verificar que no se violen las políticas de seguridad establecidas.

Política en la Gestión de la Criptografía

Se establecerá el uso de la criptografía para asegurar la información y las comunicaciones, el resguardo de las contraseñas, en el almacenamiento de las copias de seguridad, en el cifrado de dispositivos móviles, en las conexiones de trabajo remoto, en la comunicación de los servicios expuestos a Internet y en toda transmisión de datos, dentro y fuera del ámbito del Organismo.

Se establece el uso de certificados digitales en todos los sitios de Internet que publica el Organismo para asegurar un canal de comunicación cifrado.

Política Físico Ambiental

Se controlará la identificación, ingreso y egreso físico a las dependencias del Organismo, con el objeto de evitar el acceso no autorizado, daño o hurto a las instalaciones e interferencias en las actividades del Organismo.

Se definen perímetros de seguridad y controles extras, para proteger las áreas consideradas como críticas, definiéndose inicialmente éstas como las áreas ocupadas por las oficinas de las autoridades superiores del Organismo, Sala de Comunicaciones, Centro de Procesamiento de Datos, Instalaciones de los Grupos Electrógenos e Instalaciones de Aire Acondicionado, considerando que la exposición, mal funcionamiento o puesta fuera de servicio de las mismas, pueda afectar el normal desempeño de los sistemas de información del Organismo. A estos fines se establecerán controles adicionales, a través de la existencia de distintos niveles de accesos biométricos, control de seguridad física permitiendo solo el acceso autorizado, seguimiento y control mediante cámaras de seguridad, prohibición de grabaciones de video y fotografías sin la debida autorización y acompañamiento por personal del Organismo ante la ejecución de trabajos por parte de proveedores.

Se asegura la continuidad operacional del suministro de energía eléctrica y del control ambiental en el centro de procesamiento de datos y sala de comunicaciones, como también la existencia de controles de seguridad para asegurar la protección del cableado de transmisión de datos.

Se establecerá la existencia del inventario de activos físicos que procesan información, indicando su localización física y asignación organizacional y personal para su uso. Se establecerá el registro de las personas y de los activos que son retirados fuera de las instalaciones del Organismo, la adopción de controles y medidas de seguridad extras para el equipamiento informático que es utilizado fuera del Organismo, con el objeto de minimizar el impacto ante la pérdida o robo de este.

Se propiciará el mantenimiento periódico del equipamiento informático y destrucción segura de los dispositivos de almacenamiento, cuando el equipamiento no pueda ser reutilizado o donado, con el objeto de no exponer información residual, considerada privada o confidencial en el equipo informático.

Se adoptará la política de escritorios limpios, con el objeto de proteger documentación en papel u otro medio de almacenamiento de información reservada, confidencial o secreta que pudiera existir en el área de trabajo, evitando de este modo su pérdida y divulgación no deseada. Se adoptará también la política de pantallas limpias, a fin de reducir los riesgos de acceso no autorizado y/o fuga de información desde el equipo informático que se encontrase desatendido.

Política de Seguridad en las Operaciones

Se declararán responsables de las operaciones, quienes deberán documentar procedimientos para gestionar las principales tareas operativas en las instalaciones de procesamiento de información. Se redactará documentación de gestión de cambios, como requisito previo a la implementación de los cambios en la infraestructura y/o sistemas de procesamiento de información.

Se evaluarán periódicamente las necesidades de capacidad operacional de los sistemas y la proyección de futuras demandas, con el objeto de garantizar que el crecimiento no ponga en riesgo las actividades operativas ante la falta de recursos.

En los procesos de desarrollo de software, se definirán entornos separados e independientes entre sí, con el objeto de generar software seguro, sin defectos o fallos en el servicio que ofrecen y evitar problemas de indisponibilidad.

Se protegerán los sistemas tecnológicos contra todo tipo de código malicioso, mediante la ejecución de análisis periódicos preventivos de detección y eliminación de malware en las estaciones de trabajo, servidores, como también controles de detección y eliminación de malware en las conexiones de internet y correo electrónico.

La información y los sistemas se deberán resguardar de manera periódica y programada mediante la generación de copias de seguridad y pruebas de restauración.

Se sincronizan los relojes de todos los sistemas para el correcto registro de los eventos de los usuarios y sistemas; respecto de accesos, fallas, instalación y ejecución de software, alertas de seguridad y cualquier otra actividad relevante. Dichos registros de eventos se almacenarán de forma segura para futuras consultas o actividades de auditoría, teniendo especial cuidado con los registros de eventos de usuarios con privilegios administrativos para evitar su manipulación.

La instalación de software está supeditada conforme a los procedimientos, autorizaciones, conformidades y pruebas previas pertinentes antes que los mismos sean puestos en producción y solo podrá ser efectuado por personal autorizado.

Se evaluará la seguridad de los sistemas publicados, mediante pruebas periódicas de evaluación de vulnerabilidades y elaboración de informes de remediación y mejoría para su corrección.

Política en la Gestión de las Comunicaciones

Se monitoreará, registrará, controlará y restringirá el acceso a las redes que integran la infraestructura de telecomunicaciones del Organismo, independientemente del medio de transmisión implementado.

Se segregará y restringirá el tráfico de red de acuerdo con los perfiles y permisos asignados a los usuarios, que fueran declarados por los responsables de las distintas unidades organizativas.

Se controlará el tráfico hacia y desde Internet con el objeto de evitar que la navegación transgreda las normas establecidas en la Política de Uso Aceptable de los Recursos de Tecnología del Información.

Se promoverá que la autenticación de los usuarios sea realizada implementando múltiples factores de autenticación para asegurar la identidad de los usuarios antes que estos acceden remotamente a las redes de la Organismo.

Se implementarán dispositivos de red redundantes para mantener la alta disponibilidad en los servicios de red.

El intercambio de información con entidades externas se deberá realizar a través conexiones cifradas de extremo a extremo y se deberá promover la implementación de certificados digitales para la validación de las dos partes intervinientes y de este modo asegurar la confidencialidad, integridad y la autenticidad de la información que se transmite y envía hacia redes externas.

En los acuerdos entre el Organismo y otras entidades públicas o privadas, relativos al intercambio de información, se especificarán consideraciones técnicas de seguridad para la transferencia segura de datos entre ambas partes, como también se establecerán acuerdos de confidencialidad para la protección de la información que se comparte.

Se considera al correo electrónico un servicio crítico, por lo cual se implementan medidas de protección mediante sistemas redundantes para la gestión del correo electrónico y sistemas de seguridad antimalware y filtros anti-spam, con el objeto de detectar archivos adjuntos maliciosos o correos fraudulentos que intenten robar o dañar los activos de información.

La utilización de servicios de Internet será monitoreada y controlada, con el objeto de evitar que el uso indebido de dichos servicios afecte el rendimiento de la infraestructura de comunicaciones o pongan en riesgo la seguridad de esta ante la descarga e instalación de archivos. Razón por la cual el uso de Internet, al igual que el uso del correo electrónico laboral estará sujeta a las condiciones de uso descriptas en la Política de Uso Aceptable de los Recursos de la Tecnología de la Información.

Política de Adquisición, Desarrollo y Mantenimiento de Sistemas

En toda adquisición de sistemas informáticos, como también en todos los proyectos de desarrollo de software, tanto propios o de terceros, se deberá establecer la inclusión de requerimientos de seguridad, como también la existencia de directivas de seguridad para el desarrollo de aplicaciones, las cuales describen requerimientos básicos de seguridad a considerar en todo desarrollo.

Se considera a la seguridad de la información como una parte importante en los ciclos de vida de los procesos de desarrollo y adquisición, por lo cual se deberá contemplar la seguridad en todos los niveles de la arquitectura, negocios, datos, aplicaciones y tecnología; equilibrando la necesidad de la seguridad con la accesibilidad.

Se deberán establecer controles para asegurar los sistemas del Organismo expuestos a Internet, con el objeto de protegerlos contra actividades fraudulentas, modificaciones y divulgación de datos no autorizados, intercepción, vulneración de la confidencialidad, suplantación de identidad y cualquier otra amenaza existente.

Se deberán evaluar, validar y documentar los cambios, con el objeto de minimizar los riesgos de modificaciones indebidas que pudieran comprometer las operaciones en el entorno productivo, respetando las instancias de desarrollo, pruebas y producción e incorporando de este modo efectivos controles cruzados o por oposición.

Se deberán realizar evaluaciones de seguridad en busca de vulnerabilidades sobre desarrollos de software nuevos o modificaciones, propios o de terceros y del sistema operativo de la plataforma en la que está implementada la misma antes que los mismos sean puestos en producción.

Se deberán establecer programas de ejecución de pruebas funcionales que permitan evaluar los requisitos funcionales y el cumplimiento de estos en los sistemas desarrollados. Se declara que todo algoritmo o código fuente desarrollado internamente o por terceros es de propiedad exclusiva del Organismo, estando prohibida su copia parcial, total y distribución de esta a terceros sin la debida autorización.

Se deberán usar datos de prueba de manera segura para las pruebas funcionales.

La modificación, actualización o eliminación de los datos operativos en producción deberán ser realizadas, solo a través de los sistemas que procesan dichos datos. Se considerarán excepciones, debiendo ser las mismas documentadas e informadas a las partes interesadas siendo estos los propietarios de la información, los responsables de la gestión funcional y técnica y el responsable de los procesos a los cuales afecte la modificación manual, debiéndose registrar detalladamente dicha modificación.

Política con relación a los Proveedores

Se incluirán los niveles de servicio (SLA) y acuerdos de confidencialidad en los contratos o convenios con los proveedores.

Se establece que todo cambio a realizar por lo proveedores sobre los sistemas e infraestructura deberá ser planificado e informado previamente al personal técnico del área de competencia, para su evaluación, cálculo del riesgo que implica dicho cambio y confirmación de ejecución por parte del personal técnico del Organismo; para lo cual se establece la gestión de cambios.

Los proveedores que accedan físicamente a las instalaciones para dar soporte se deberán identificar, registrar sus ingresos y deberán estar siempre acompañados por personal técnico del Organismo dentro de las instalaciones de la Organismo.

Se deberán controlar las implementaciones de los proveedores, monitorear su cumplimiento y la gestión en los cambios, con el fin de asegurar que los servicios que se presten cumplan con todos los requerimientos acordados previamente.

Política de Gestión de Incidentes de Seguridad

Se establece que la Coordinación de Servicios Digitales e Informáticos tiene la autoridad para acceder a todo sistema o dispositivo de la infraestructura tecnológica involucrada en alertas o incidentes de seguridad que considere apropiado, para evitar que escale y pudiera afectar la disponibilidad, confidencialidad o integridad de la información y de los recursos tecnológicos del Organismo

El personal del Organismo, cuando descubra fallas o debilidades, detecte alertas o incidentes de seguridad, tiene la obligación de informarlo a la Coordinación de Servicios Digitales e Informáticos.

Se deberán establecer procesos documentados y asignación de responsabilidades para la adecuada gestión de respuesta a incidentes de seguridad de la información. Se deberá incluir la recopilación y registro de evidencia para su evaluación inicial, análisis del incidente y acciones de remediación, comunicación del estado de situación del proceso de resolución del incidente, registro formal de las acciones realizadas y cierre del incidente, cuando sea necesario se realizará un análisis forense y/o post-incidente, para confirmar la causa y aprender del mismo.

Se deberán documentar procedimientos para la correcta adquisición de imágenes forenses y preservación de la información que pudiera servir como evidencia, ya sea para implementar una medida disciplinaria interna o iniciar una acción legal.

Política de Gestión de la Continuidad

A fin de contrarrestar la pérdida de la continuidad operativa, se deberá desarrollar e implantar el plan de contingencia para asegurar la continuidad de los procesos del Organismo, para que las operaciones se puedan restaurar en los plazos requeridos.

Para garantizar que los planes operativos de restauración de las operaciones sean ordenados y consistentes entre sí, se deberá tener en cuenta la priorización de los procesos críticos, la asignación de responsabilidades, la identificación de las amenazas que pudieran ocasionar interrupciones en los procesos, la documentación de la estrategia de continuidad de las actividades consecuente con los objetivos y prioridades acordados, la comunicación y capacitación del personal, en materia de procedimientos y procesos de emergencia acordados y de recuperación.

Se deberán realizar pruebas y revisiones de los planes de continuidad de las operaciones con el objeto de mantenerlos actualizados ante cambios en los procesos de negocio y en la tecnología involucrada.

Para minimizar el riesgo de la pérdida de la continuidad operativa se deberán implementar arquitecturas y/o componentes redundantes en las instalaciones de procesamiento y transmisión de la información.

Política de Cumplimiento Normativo y Técnico

Se respetan los requisitos contractuales, regulatorios y legales vigentes. Los empleados aceptan conocer y cumplir con lo dispuesto por la Ley 25.164 (Ley Marco de Regulación de Empleo Público Nacional), Ley 25.188 (Ética en el Ejercicio de la Función Pública), Decreto 41/99 (Código de Ética de la Función Pública), Ley 11.723 (Ley de Propiedad Intelectual), Ley N° 25.506 (Ley de Firma Digital) y Ley 26.388 (Ley de Delitos Informáticos).

Se establece la protección de los registros de datos contra pérdida, destrucción, acceso no autorizado, publicación no autorizada, degradación del medio de almacenamiento, obsolescencia del formato o medio de almacenamiento.

Se respeta la privacidad de la información personal por lo cual se informa y detallan las actividades que serán objeto de control y monitoreo, a fin de no violar el derecho a la privacidad del empleado. A su vez los empleados conocen las restricciones al tratamiento de los datos y de la información que administran con motivo del ejercicio de sus funciones, por lo cual firman el Acuerdo de Confidencialidad.

Se verifica periódicamente que los sistemas de información cumplan con lo establecido por la Política de Seguridad de la Información, normas y procedimientos de seguridad; las que incluirán la revisión de los sistemas en producción. Esta verificación comprende pruebas de evaluación de vulnerabilidades y/o pruebas de penetración, cuyo objetivo es la detección de vulnerabilidades en los sistemas y la infraestructura.

Se establecen auditorias de cumplimiento en los sistemas de información, infraestructura tecnológica y en los procesos existentes, como también de la revisión independiente del estado de la seguridad realizada por la Unidad de Auditoría Interna o Especialistas de Seguridad externos al Organismo para garantizar la eficacia de los controles implementados.

IF-2023-11033879-APN-CSDI#INAES

ANEXO - Términos y Definiciones

Seguridad de la Información

La seguridad de la información se entiende como la preservación de las siguientes características:

• Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

• Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.

• Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

Adicionalmente, deben considerarse los conceptos de:

• Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior.

• Autenticidad: busca asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.

• Confiabilidad de la Información: es decir, que la información generada sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones.

• Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeto el organismo.

• No repudio: se refiere a evitar que una entidad que haya enviado o recibido información alegue ante terceros que no la envió o recibió.

• Protección a la duplicación: consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transacción para luego reproducirla, con el objeto de simular múltiples peticiones del mismo remitente original.

A los efectos de una correcta interpretación de la presente Política, se realizan las siguientes definiciones:

• Activo: Información, conocimiento sobre los procesos, el personal, hardware, software y cualquier otro recurso involucrado en el tratamiento de los datos, que tenga valor para la organización.

• Amenaza: Una causa potencial de un incidente no deseado, el cual puede ocasionar daños a un sistema u organización.

• Control: Medio para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras organizacionales, las cuales pueden ser de naturaleza administrativa, técnica, de gestión, o legal.

NOTA. Control es también utilizado como sinónimo de salvaguarda o de contramedida.

• Contraseñas Críticas: En los diferentes ambientes de procesamiento existen cuentas de usuarios con las cuales es posible efectuar actividades críticas como ser instalación de plataformas o sistemas, habilitación de servicios, actualización de software, configuración de componentes informáticos, etc. Dichas cuentas no serán de uso habitual (diario), sino que sólo serán utilizadas ante una necesidad específica de realizar alguna tarea que lo requiera y se encontrarán protegidas por contraseñas con un mayor nivel de complejidad que el habitual.

• Evaluación de Riesgos: Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de esta, la probabilidad de que ocurran y su potencial impacto en la operatoria del organismo.

• Gestión de Riesgos: Actividades coordinadas para dirigir y controlar una organización en lo que concierne al riesgo.

NOTA. La gestión de riesgos usualmente incluye la evaluación de riesgos, el tratamiento de riesgos, la aceptación de riesgos y la comunicación de riesgos.

• Incidente de Seguridad: Un incidente de seguridad es un evento adverso en un sistema de computadoras, o red de computadoras, que puede comprometer o compromete la confidencialidad, integridad y/o disponibilidad de la información. Puede ser causado mediante la explotación de alguna vulnerabilidad o un intento o amenaza de romper los mecanismos de seguridad existentes.

• Información: Se refiere a toda comunicación o representación de conocimiento como datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.

• Riesgo: Combinación de la probabilidad de ocurrencia de un evento y sus consecuencias o impacto.

• Sistema de Información: Se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.

• Tecnología de la Información: Se refiere al hardware y software operados por la UTN o por un tercero que procese información en su nombre, para llevar a cabo una función propia del organismo, sin tener en cuenta la tecnología utilizada, ya se trate de computación de datos, telecomunicaciones u otro tipo.

• Tratamiento de Riesgos: Proceso de selección e implementación de medidas para modificar el riesgo.

• Vulnerabilidad: Una debilidad de un activo o grupo de activos que puede ser aprovechada por una amenaza.

• Inducción: Es el proceso por el cual un empleado adquiere los conocimientos necesarios para manejarse dentro de la empresa e integrarse plenamente en su funcionamiento.

• Ad-hoc: significa "para este propósito" o "para esto". Es una frase latina que a menudo se utiliza para indicar que un determinado acontecimiento es temporal y es destinado a ese propósito específico.

• SLA: Un acuerdo de nivel de servicio (Service Level Agreement) es un contrato que establece las responsabilidades y obligaciones entre una empresa y su cliente. Entre otras cosas, define sin lugar a duda las expectativas que deberán cumplirse entre ambas partes sobre la calidad del servicio prestado.

• Obsolescencia: Es el proceso de volverse obsoleto, anticuado, ya no de uso general, o ya no útil, o la condición de estar en tal estado.

• Malware o “software malicioso”: Es un término amplio que describe cualquier programa o código malicioso que es dañino para los sistemas.

IF-2023-11033879-APN-CSDI#INAES