SINDICATURA GENERAL DE LA NACIÓN

Resolución 206/2023

RESOL-2023-206-APN-SIGEN

Ciudad de Buenos Aires, 31/03/2023

VISTO la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y la Resolución SIGEN N° 300 del 10 de julio de 2022 y el Expediente N° EX-2022-63920916-APN-SIGEN y,

CONSIDERANDO:

Que por Resolución SIGEN N° 300/2022, se aprobó la metodología “Papeles de Trabajo Digitales” con el objeto de actualizar el proceso de gestión y administración de los Papeles de Trabajo que sustentan las tareas de auditoría llevadas a cabo, incorporando las ventajas que ofrecen los avances tecnológicos, lo dispuesto por las Normas de Auditoría Interna Gubernamental aprobadas por la Resolución SIGEN N° 152/2002 y las nuevas formas de trabajo a distancia.

Que en virtud de lo indicado en el artículo 3° de la citada resolución, las Gerencias de Tecnología Informática y de Planificación y Desarrollo Normativo elaboraron las presentes pautas de interpretación e instrumentación de la metodología “Papeles de Trabajo Digitales”.

Que la Gerencia de Asuntos Jurídicos ha tomado la intervención de su competencia.

Que el suscripto es competente para dictar la presente en virtud de lo dispuesto por el artículo 112 inciso a) de la Ley N° 24.156.

Por ello,

EL SÍNDICO GENERAL DE LA NACIÓN

RESUELVE:

ARTÍCULO 1°.- Apruébase la reglamentación de la Resolución SIGEN N° 300/2022 , que como Anexo I “REGLAMENTACIÓN - PAUTAS DE INTERPRETACIÓN E INSTRUMENTACIÓN DE LA METODOLOGÍA PAPELES DE TRABAJO DIGITALES” (IF-2023-28623486-APN-SNI#SIGEN) forma parte integrante de la presente y junto a sus Anexos A “INFORMACIÓN REQUERIDA PARA LA ELABORACIÓN DEL LEGAJO DIGITAL PERMANENTE” (IF-2023-02472325-APN-SNI#SIGEN), B “PRÁCTICAS RECOMENDADAS PARA ASEGURAR LA DISPONIBILIDAD DE LA INFORMACIÓN - MARCO GENERAL DE SEGURIDAD DE LA INFORMACION SIGEN” (IF-2023-24810522-APN-SNI#SIGEN) y C “CONDICIONES DE SEGURIDAD PARA EL RESGUARDO DE LOS PAPELES DE TRABAJO DIGITALES -ESQUEMA DE RESGUARDO DE LA INFORMACION SIGEN” (IF-2023-24811091-APN-SNI#SIGEN) constituyen las “Pautas de interpretación e instrumentación de la metodología Papeles de Trabajo Digitales”.

ARTÍCULO 2°.- Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese

Carlos Antonio Montero

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 04/04/2023 N° 22149/23 v. 04/04/2023

(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)

ANEXO I - REGLAMENTACIÓN - PAUTAS DE INTERPRETACIÓN E INSTRUMENTACIÓN DE LA METODOLOGÍA PAPELES DE TRABAJO DIGITALES.

ARTÍCULO 1°-. OBJETO.

La presente reglamentación tiene por objeto establecer las pautas de interpretación e instrumentación correspondientes a la Metodología “Papeles de Trabajo Digitales” (IF-2022- 69149124-APN-SNI-SIGEN), aprobada por la Resolución SIGEN RESOL-2022-300-APN-SIGEN.

I. PAUTAS APLICABLE A LAS ÁREAS COMPETENTES DE LA SINDICATURA GENERAL DE LA NACIÓN.

ARTÍCULO 2°-. PERMISO DE ACCESO Y/O USO:

Legajo Digital Permanente (LDP): La Unidad Organizativa (UO) de SIGEN (Gerencias de Control/Sindicatura Jurisdiccional/Comisión Fiscalizadora/UAI-SIGEN) que tenga a su cargo Proyectos de Auditoría, tendrá acceso al LEGAJO DIGITAL PERMANENTE (LDP) de cada uno de los sujetos comprendidos dentro de su ámbito de control, el cual se encontrará disponible en el Sistema Organización del Estado (SOE) propiedad de esta Sindicatura General de la Nación.

Legajo Digital Corriente (LDC): El/la titular de la Unidad Organizativa de SIGEN (Gerencias de Control/Sindicatura Jurisdiccional/Comisión Fiscalizadora/UAI-SIGEN), a cargo de un Proyecto de Auditoría, identificará -mediante la carátula del Sistema Informe Digital (ID)- al personal bajo su dependencia que participará en dicho Proyecto.

En aquellos casos en que un agente desvinculado del Organismo o de la Unidad Organizativa que haya realizado la labor de auditoría, sea convocado en sede judicial o administrativa por su labor ejercida, podrá solicitar, por escrito, ante el titular de dicha Unidad Organizativa, el acceso a los Legajos (LDP/LDC). La solicitud podrá ser concedida o rechazada mediante decisión escrita y fundada del titular de la UO.

ARTÍCULO 3. CARGA DEL LEGAJO DIGITAL PERMANENTE (LDP).

La carga de la información que compone el LDP deberá ser efectuada por la Unidad Organizativa de SIGEN, que se encuentre a cargo de la administración del Sistema de Organización del Estado (SOE).

Para ello, es necesario que las distintas Unidades Organizativas, remitan al citado administrador la información actualizada requerida en el ANEXO A “INFORMACIÓN REQUERIDA PARA LA ELABORACIÓN DEL LEGAJO DIGITAL PERMANENTE” (IF-2023-02472325-APN-SNI#SIGEN), el cual se aprueba a través de la presente.

En el caso de producirse modificaciones en el contenido del citado ANEXO A, se deberá remitir la información actualizada dentro de los TREINTA (30) días de producirse las modificaciones.

ARTÍCULO 4°. CARGA DEL LEGAJO DIGITAL CORRIENTE (LDC).

Los Papeles de Trabajo Digitales (PTD) que conforman el LDC, serán cargados en el sistema ID de acuerdo a los datos que en éste sean requeridos.

El LDC, será de aplicación para el reguardo de la documentación respaldatoria de la emisión de informes de Auditoría, de Control y de Evaluación (aprobados por Resolución SIGEN N° 128/2015).

Todo agente que participe en un Proyecto de Auditoría deberá, en lo que concierne a su intervención, proceder a la carga de los PTD en el sistema informático, recayendo en el titular de la Unidad Organizativa a cargo, la responsabilidad de su cumplimiento.

La carga del LDC deberá efectuarse en forma concomitante con el avance de la labor de la auditoría y, como fecha límite, dentro de los TREINTA (30) días de aprobado el Informe Final por las autoridades correspondientes.

Finalizado este plazo y registrada la totalidad de los papeles de trabajo, el responsable de la UO procederá a cerrar la carga del LDC a través de la opción dispuesta en el sistema ID.

Cuando el Informe sea elaborado en forma conjunta entre SIGEN y una Unidad de Auditoría Interna (UAI), deberán arbitrarse los medios necesarios a los efectos de que cada una de las Organizaciones, cuente con una copia digital completa del LDC.

ARTÍCULO 5° Firma de los Papeles de Trabajo Digitales

Los Papeles de Trabajo Digitales deberán ser firmados digitalmente por los titulares de las Unidades Organizativas a cargo de la labor de auditoría, debiendo poder asegurarse en el tiempo su validez, autoría y autenticidad.

ARTÍCULO 6°. GUARDA DEL LEGAJO DIGITAL CORRIENTE (LDC).

Los Papeles de Trabajo Digitales deberán registrarse en el Sistema Informe Digital (ID) y resguardarse según las condiciones establecidas en el Anexo C, por un plazo no inferior a DIEZ (10) años, contado desde la fecha de aprobación del Informe por parte de las autoridades correspondientes.

En el caso que, antes de cumplimentarse el plazo mencionado en el párrafo anterior, la Unidad Organizativa que realizó la auditoría, tome conocimiento fehaciente de la apertura de una investigación judicial o administrativa referida a dicha labor, informará de tal situación, mediante comunicación oficial al área de Tecnología Informática, a los fines de la conservación de los papeles de trabajo digitales, hasta tanto se resuelva la investigación citada.

ARTÍCULO 7°.- ORDENAMIENTO Y REFERENCIACIÓN.

El área de Tecnología Informática, desarrollará las herramientas necesarias para permitir la inserción de las referencias o marcas de supervisión en los archivos correspondientes.

A los efectos de incorporar referencias entre el informe y sus evidencias, se podrá utilizar una copia del informe denominada “Informe con Referencias” o similar, sobre la cual el auditor responsable, agregará sobre cada hallazgo, los comentarios con las referencias pertinentes. Al respecto se podría utilizar por ejemplo “Revisar-Nuevo Comentario” del procesador de textos utilizado -ej. Word-, o cualquier otra forma que se adapte a los requerimientos.

ARTÍCULO 8°.-Apruébanse las “Prácticas Recomendadas para Asegurar la Disponibilidad de la Información - Marco General de la Seguridad de la Información SIGEN” que, como ANEXO B (IF-2023- 24810522-APN-SNI#SIGEN), forma parte integrante de la presente medida.

ARTÍCULO 9°.- Apruébanse las “Condiciones de Seguridad para el Resguardo de los Papeles de Trabajo Digitales - Esquema de Resguardo de la Información SIGEN” que, como ANEXO C (IF-2023- 24811091-APN-SNI#SIGEN), forma parte integrante de la presente medida.

II. PAUTAS APLICABLES A LAS UNIDADES DE AUDITORÍA INTERNA.

ARTÍCULO 10°.- Instrúyase a las UNIDADES DE AUDITORÍA INTERNA, en función de las características intrínsecas de su infraestructura informática, a adoptar las medidas que tengan por objeto dar cumplimiento a la Metodología de Papeles de Trabajo Digitales.

ARTÍCULO 11.- LA SINDICATURA GENERAL DE LA NACIÓN pondrá a disposición de las UNIDADES DE AUDITORÍA INTERNA, herramientas e instructivos que faciliten la gestión digital de la documentación para la instrumentación de la presente medida.

ARTÍCULO 12.- Aquellas UNIDADES DE AUDITORÍA INTERNA que no posean un sistema informático específico para la registración de los Papeles de Trabajo Digitales, podrán habilitar carpetas y subcarpetas en la Red de Trabajo o Disco Compartido, a las cuales se les incorporará la información necesaria para la elaboración del Legajo Digital Permanente y la que surja en el transcurso de cada auditoría para la elaboración del Legajo Digital Corriente, de acuerdo a lo descripto en los Puntos 4.1.1 y 4.1.2 del Anexo de la RESOL-2022-300-APN-SIGEN.

A los efectos de un adecuado ordenamiento y fácil acceso, tanto a la documentación contenida en el Legajo Digital Permanente como a los PTD incorporados al Legajo Digital Corriente, se sugieren las siguientes estructuras de carpetas, subcarpetas y archivos:

I. INFORMACIÓN CONTENIDA EN EL LEGAJO DIGITAL PERMANENTE:


II. INFORMACIÓN CONTENIDA EN EL LEGAJO DIGITAL CORRIENTE:


Cada proyecto de auditoría debe ser almacenado/incorporado en la carpeta del año correspondiente como una subcarpeta, la cual podría ser denominada de acuerdo al número identificatorio del Proyecto de Auditoría otorgado por el Sistema de Seguimiento de Acciones Correctiva (SISAC) en el Plan Anual de Trabajo (PAT).

Como primer documento, se sugiere la incorporación de un archivo denominado ÍNDICE, el cual permita acceder, a través de hipervínculos -de ser posible- a todos los archivos que conforman el LDC.

Se sugiere la creación de una subcarpeta denominada INFORME, en la cual se archiven los proyectos de informes de avance que se hubieran elaborado durante la ejecución del proyecto, así como los informes ejecutivo y analítico.

A los efectos del resguardo ordenado de la información, es conveniente, que cada proyecto contenga, como mínimo, las subcarpetas que a continuación se detallan, de acuerdo a lo establecido en el punto 4.1.2 del Anexo de la Resolución SIGEN N° 300/2022:

a) Antecedentes que dieron origen al proyecto: citar el número identificatorio del SISAC en el Plan Anual de Trabajo (PAT); en caso de proyectos no programados indicar origen de los mismos; informes de auditorías anteriores sobre la temática a abordar; análisis de riesgos de los procesos, programas o áreas a auditar.

b) Planificación del proyecto, incluyendo identificación del objeto y alcance del trabajo y formulario de Inicio de Auditoría o similar utilizado.

c) Programa de trabajo utilizado, el cual deberá referenciarse a los documentos electrónicos donde se verifique la ejecución de la tarea y su responsable.

d) Hallazgos, observaciones, recomendaciones y conclusiones obtenidas de la ejecución del proyecto. Cada punto debe encontrarse referenciado con la/s evidencia/s que la/s soporta/n.

e) Correspondencia, correos y demás comunicaciones que tengan relación con la ejecución del proyecto.

f) Opinión al auditado: incorporar la Nota de requerimiento y la pertinente respuesta.

g) Sugerencias para futuros exámenes.

h) Toda otra subcarpeta que contenga documentos/información que el/la auditor/a considere relevante.

IF-2023-28623486-APN-SNI#SIGEN



Anexo al Artículo 3° de la Reglamentación - Pautas de Interpretación e Instrumentación de la metodología de Papeles de Trabajo Digitales.

ANEXO A - INFORMACIÓN REQUERIDA PARA LA ELABORACIÓN DEL LEGAJO DIGITAL PERMANENTE.

INFORMACIÓN SOLICITADA

Completar la información requerida y adjuntar los documentos solicitados

A) Información General (completar)

Nombre exacto del Ente:________________________________________________________

Jurisdicción a la que pertenece:___________________________________________________

Número del Servicio Administrativo Financiero (SAF):___________________________________

Web institucional:______________________________________________________________

Domicilio real y legal

• Real:__________________________________________________________________

• Legal:_________________________________________________________________

Email de contacto:______________________________________________________________

Teléfono de contacto:___________________________________________________________

Copia de la normativa de creación y sucesivas modificaciones (copiar enlace a infoleg u otros):

Copia de estatutos, objetivos del ente, misiones y funciones (copiar enlace a infoleg, web oficial u otros):

____________________________________________________________________________

____________________________________________________________________________

Estructura Organizativa actualizada (copiar enlace a infoleg, web oficial u otros):

____________________________________________________________________________

Nómina de las autoridades; fecha, número y tipo de acto administrativo de su designación:

____________________________________________________________________________

Unidad de Auditoría Interna: datos del/de la titular, dotación total, domicilio, dirección de correo electrónico y teléfonos:

____________________________________________________________________________

Dotación de personal en todas sus formas de vinculación (planta permanente, planta transitoria y contratada):

____________________________________________________________________________

Último Presupuesto aprobado con su apertura por Programas e Incisos (copiar enlace a la web del Ministerio de Economía: https://www.economia.gob. ar/onp/presupuestos/202x):

____________________________________________________________________________

B) Documentos Solicitados (adjuntar en formato PDF al remitir la información anterior)

1. Dispersión Geográfica

Dispersión geográfica que incluirá la nómina de las delegaciones y sus responsables.

2. Plan Anual de Trabajo (PAT)

Últimos TRES (3) planeamientos de la Unidad de Auditoría Interna (copiar enlace a SISAC).

3. Plan Estratégico

4. Plan Operativo

5. Plan de acción

6. Principales Riesgos

Identificación de los principales riesgos.

7. Indicadores de Gestión

8. Estados Contables

Último Estado Contable, de corresponder.

9. Actas

Actas de las reuniones del Comité de Control/Comité de Auditoría (copiar enlace al Sistema respectivo).

10. Otros

Toda otra información que el/la titular de la Unidad Organizativa entienda pertinente a los efectos de obtener la más acabada caracterización del Ente.

IF-2023-02472325-APN-SNI#SIGEN



ANEXO B - PRÁCTICAS RECOMENDADAS PARA ASEGURAR LA DISPONIBILIDAD DE LA INFORMACIÓN - MARCO GENERAL DE SEGURIDAD DE LA INFORMACION SIGEN.

INTRODUCCION

El proceso de producción de los informes en la Sindicatura General de la Nación (SIGEN) se encuentra soportado por el Sistema de Informe Digital.

A partir del dictado de la Resolución SIGEN N° 300/2022, se incorpora al mencionado Sistema el módulo que permite el registro digital de todos los Papeles de Trabajo que surgen de la labor de auditoría.

La información gestionada por este Sistema, y aquella que procesan el resto de los sistemas productivos en SIGEN, se encuentra protegida -de acuerdo a su criticidad- por estrictos controles de seguridad física y lógica.

Estos controles surgen de lo establecido en la Política de Seguridad Informática (PSI) vigente en SIGEN, la cual se desarrolló sobre la base del modelo de Normas ISO 27002.

En líneas generales, los controles que actualmente establece la PSI vigente para proteger la información almacenada en nuestra infraestructura de Tecnología de la Información (TI), se pueden sintetizar en el siguiente esquema:

1. CONTROLES DE ACCESO A LOS RECURSOS

Cada recurso que forma parte de la infraestructura de red de SIGEN, cuenta con su debido control de acceso. Estos recursos cuentan con un propietario designado que autoriza aquellas personas que pueden hacer uso del mismo.

En todos los casos, los agentes autorizados para acceder a un recurso, cuentan con credenciales personales de acceso (nombre de usuario/contraseña) que lo identifican en la infraestructura de red y registran su actividad.

Particularmente, desde el punto de vista técnico, el acceso a los Papeles de Trabajo en el Sistema ID debe cumplir un estricto proceso de autorizaciones y asignación de derechos que garantiza altos niveles de seguridad sobre la información almacenada.

Por un lado, el usuario debe contar con credenciales de acceso a la Intranet SIGEN, que son autorizadas por niveles Gerenciales o Superiores. Luego, deben gestionarse las autorizaciones correspondientes con los Propietarios designados del mencionados Sistema. Finalmente, los responsables de administrar la Infraestructura de TI de SIGEN, asignan los derechos necesarios que permiten, exclusivamente, acceder al Sistema y a la estructura de datos que almacena la información del mismo.

Es importante destacar que de acuerdo a la estructura de seguridad que posee cada Sistema de Información en SIGEN, los derechos otorgados a cada agente se encuentran limitados al acceso exclusivo de la información correspondiente al ámbito de trabajo del mismo.

Este proceso de creación de credenciales y asignación de derechos de acceso a recursos de la infraestructura de TI, se lleva delante de acuerdo a lo establecido en el procedimiento Pr 0023 “Gestión de la Infraestructura Informática y Seguridad de Red” vigente.

2. CONTROLES PERIMETRALES DE PROTECCIÓN DE ACCESO A NUESTRA INFRAESTRUCTURA DE TI.

La infraestructura de TI de SIGEN, al igual que muchas otras, posee conexiones con redes externas (Internet, Ministerio de Economía, etc.) que posibilitan el uso de diversos servicios. Paralelamente, muchos agentes del organismo que realizan sus actividades en dependencias externas a la Sede Central, acceden remotamente para utilizar recursos internos de TI (Intranet, Sistemas de Información, Plataformas de e-learning, etc.)

Para brindar protección a estas conexiones externas, nuestra infraestructura cuenta un importante esquema de Seguridad Perimetral.

Principalmente y como fuera abordado en el tópico anterior, el acceso externo a los recursos de TI de SIGEN requiere de credenciales sujetas a estrictos controles.

Todo intento de ingreso externo es sometido rigurosamente al análisis y control de dos dispositivos que centralizan nuestro esquema de seguridad perimetral.

El primero de ellos, un Firewall (cortafuegos), controla que solo puedan ser accedidos aquellos servicios/recursos que el organismo determina necesarios, reduciendo de esta manera la posibilidad de acceder a información sensible o privada.

Por otro lado, la seguridad perimetral se encuentra provista de un sistema de prevención de Intrusiones (IPS). El IPS trabaja comparando el tráfico cursado con conexiones externas, lo compara con patrones que permiten identificar comportamientos inadecuados o riesgosos y, de ser necesario, puede determinar el bloqueo de la conexión.

3. CONTROL EN LAS COMUNICACIONES

Toda comunicación que un usuario realiza al conectarse a un determinado Sistema de Información, a la Intranet SIGEN, o a otro servicio o recursos de TI provistos por SIGEN, se establece mediante Canales Seguros (TLS).

Estos canales trabajan con protocolos de comunicaciones que utilizan Certificados Digitales - emitidos por entidades oficiales- que permiten encriptar todo el tráfico circulante entre origen y destino. Esto impide que la información pueda ser interpretada garantizando su confidencialidad.

4. CONTROL DE ACCESO FÍSICO A LAS INSTALACIONES DE PROCESAMIENTO DE DATOS CENTRAL.

Todo el equipamiento que da soporte al procesamiento del Sistema ID, y por ende al almacenamiento de los Papeles de Trabajo, se encuentra alojado en el Centro de Datos de SIGEN. El acceso físico a estas instalaciones se encuentra controlado por sistemas de seguridad con dispositivos biométricos y de video vigilancia, encargados de brindar acceso solo a personal autorizado y registrar todo evento dentro del recinto.

5. CONTROLES SOBRE LA DISPONIBILIDAD DE LOS SERVICIOS DE TI.

Con el objetivo de mantener la continuidad operativa de los Servicios Informáticos, el Centro de Datos de SIGEN se encuentra provisto de una serie de sistemas de respaldo que brindan tolerancias a fallas ante la ocurrencia de determinados eventos adversos.

Entre los principales sistemas que brindan alta disponibilidad a las operaciones se destaca:

Sistema de Energía Ininterrumpida

Uno de los principales eventos que puede afectar a los servicios de TI, es el corte del suministro eléctrico. Para ello se cuenta con Unidades de Alimentación Ininterrumpida (UPS) y generadores eléctricos que proveen alimentación ante desperfectos en el suministro de red.

Sistema de refrigeración de precisión

Este sistema se encarga de mantener las condiciones ambientales de humedad y temperatura dentro del recinto en márgenes que favorecen la vida útil del equipamiento allí ubicado.

Sistemas de detección y extinción de incendios

Permite contrarrestar y reaccionar de manera temprana a incidentes que puedan derivar en un siniestro ígneo.

Sistema de procesamiento e información redundantes.

Los servicios críticos informáticos y la información que estos procesan, son implementados bajo un esquema de clúster que brinda alta disponibilidad. Esto permite que ante un eventual desperfecto en el hardware o software que los administra, entren en funcionamiento de manera automática una réplica del mismo hardware y software, manteniendo la continuidad operativa al servicio.

6. CONTROLES ANTIVIRUS

Toda la información procesada y almacenada en los servidores del Centro de Datos, o aquella residente en las estaciones de trabajo (notebooks/PC) de cada agente, es constantemente monitoreada por una plataforma de Antivirus institucional que realiza las siguientes funciones:

Control Antivirus sobre Archivos: todo archivo que ingresa, utilizando el medio que sea (descarga de internet, copia desde unidad externa -pen drive, cdrom-, correo electrónico, etc.) es analizado en búsqueda de código malicioso. En caso de detección de virus se procede al bloqueo mediante la eliminación o puesta en cuarentena del archivo infectado.

Control Anti Spam/Anti Malware en correo electrónico: los servidores encargados de intercambiar correo con el mundo exterior poseen potentes herramientas que analizan el tráfico en búsqueda de código malicioso, evitando que estos lleguen a los buzones de los usuarios y que produzcan efecto nocivo en la operatoria del Organismo.

Control y Análisis de Tráfico en navegación Internet: el otro punto de entrada e intercambio de información que es utilizada como una importante vía de distribución de código malicioso lo constituyen los servidores de acceso a Internet (Proxis). SIGEN cuenta con una herramienta que analiza el tráfico en búsqueda de distintos tipos de amenazas a la información (virus, programas potencialmente peligrosos, troyanos, páginas de mala reputación, etc.). Adicionalmente, permite establecer reglas para evitar el acceso a sitios web potencialmente peligrosos.

El conjunto de soluciones Antivirus implementado en el Organismo utiliza distintas técnicas en sus motores de detección (firmas, reconocimiento predictivo, análisis de comportamiento, listas negras, etc.), en nuestro caso a lo largo del tiempo, ha impedido el éxito de ataques que se valen de vulnerabilidades conocidas mediante virus inmersos en archivos de todos los tipos.

Es fundamental contar con un antivirus de buena reputación y controlar su correcta actualización. En SIGEN, la solución antivirus es administrada centralizadamente desde la Gerencia de Tecnología Informática (GTI) y se cuenta con el respaldo del fabricante ante eventuales incidentes.

7. ACTUALIZACIÓN DEL SOFTWARE

Manteniendo el software actualizado se reduce considerablemente el éxito de ataques a las infraestructuras que se aprovechan de vulnerabilidades conocidas.

En SIGEN se hace una atenta gestión de la seguridad del software, investigando en sitios especializados, participando de grupos afines y con suscripciones a distintos boletines que informan sobre vulnerabilidades recién descubiertas y sus métodos para impedir el aprovechamiento por parte de un tercero con malas intenciones.

El proceso de gestión de actualizaciones se hace sobre el software que motoriza a los servicios informáticos (Sistemas Operativos, correo electrónico, bases de datos, mensajería instantánea, intercambiadores de correo, servidores de acceso a internet, antivirus, etc.) pero también se pone énfasis en el proceso de actualización de las estaciones de trabajo de nuestros usuarios (Sistemas operativos, lectores de PDF, software de ofimática, anti virus, etc.).

Como parte de este proceso, se realizan periódicamente análisis de vulnerabilidades sobre la infraestructura, de manera de aplicar técnicas de hardening (fortalecimiento) del software mediante configuraciones que impidan el aprovechamiento de alguna debilidad detectada (cierre de puertos de comunicaciones innecesarios, desactivación de cuentas innecesarias, cambio de passwords por default, etc.).

IF-2023-24810522-APN-SNI#SIGEN



ANEXO C - CONDICIONES DE SEGURIDAD PARA EL RESGUARDO DE LOS PAPELES DE TRABAJO DIGITALES -ESQUEMA DE RESGUARDO DE LA INFORMACION SIGEN

OBJETIVOS

Especificar la metodología de implementación de un plan operativo que asegure la correcta realización de las actividades de respaldo y recupero de la información asociada al Sistema Informe Digital (ID) y el registro de sus Papeles de Trabajo.

ALCANCE

El presente Plan se aplica al despliegue de todas las actividades que aseguren el eficaz resguardo de la información asociada al Sistema Informe Digital y el registro de sus Papeles de Trabajo, así como la correcta implementación de acciones que permitan recuperar efectivamente los datos almacenados y procesados por el mencionado Sistema.

RESPONSABLES

La Gerencia de Tecnología Informática (GTI) es responsable sobre la definición, aprobación y ejecución del Plan de Backup y sus respectivas actualizaciones.

La Coordinación de División Calidad de Tecnología Informática tiene injerencia sobre el control de ejecución del procedimiento, comprobando la trazabilidad de las operaciones y verificando su exitosa concreción.

Los Propietarios de la Información gestionada por el Sistema ID son responsables, en caso de corresponder, de solicitar modificaciones sobre el presente Plan de Backup o modificar el tiempo de guarda establecido.

NORMATIVA Y DOCUMENTOS RELACIONADOS

• Normas ISO 27002

• Decisión Administrativa N° 641/2021 - Requisitos mínimos de Seguridad de la Información para los Organismos del Sector Público Nacional.

DESARROLLO

Para el desarrollo del presente Plan se dispone de una determinada infraestructura de hardware y software compuesta por servidores físicos que utilizan técnicas de virtualización y, distintos dispositivos de almacenamiento de información en discos y cintas magnéticas de variadas capacidades.

La SIGEN adoptó el modelo de virtualización de servidores para la implementación de los sistemas y servicios que se brindan a través de la red -esenciales para el funcionamiento del Organismo- utilizando herramientas de backup aptas para dichos ambientes.

El Plan se implementa mediante la ejecución de procesos y tareas específicas. Ellas pueden enumerarse agrupándolos por conjuntos de operaciones que despliegan:

• Identificación y definición de los objetos de backups institucionales.

• Determinación -de acuerdo a las normas vigentes y necesidades institucionales- del régimen de backup que se aplica a cada objeto (período de retención de la información esencial, copias de archivos que deben mantenerse permanentemente, etc.).

• Establecimiento de la ubicación física -interna y externa- de los soportes de datos respaldados.

• Definición de los lineamientos operativos JOB's (tareas) de backup -qué, cómo y cuándo se respalda la información, y por qué- y establecimiento de los recursos y medios utilizados para el backup de los Sistemas de Información Críticos (debe abarcar toda la información, aplicaciones y datos necesarios para recuperar el sistema completo en caso de desastre).

• Configuración de los tiempos, secuencias y periodicidad de ejecución de las actividades.

• Catalogación codificada de todos los soportes de información almacenados dentro y fuera del Organismo ante cualquier situación de desastre en el Centro de Datos.

• Control del nivel de protección física y ambiental donde se ubican las copias de respaldo.

• Supervisión y control aleatorio de los registros de actividades.

• Prueba de los medios de respaldo para asegurar la confiabilidad de su uso.

• Chequeos de la correcta ejecución de las tareas de respaldo-recuperación de información en concordancia con la política de TI establecida.

• Establecimiento de la franja horaria de ejecución de las tareas de backup.

• Control de la infraestructura involucrada.

IDENTIFICACIÓN Y DEFINICIÓN DE LOS OBJETOS DE BACKUPS INSTITUCIONALES

La GTI a través de sus áreas operativas incluye en el Plan de Backup todo servicio informático y la información asociada que resulte necesaria para el desempeño de alguna actividad en el Organismo.

No obstante ello, se encuentran definidos en el Manual de Procedimientos de la Gerencia de Tecnología Informática (procedimientos, instructivos y formularios), los mecanismos para que los sectores usuarios soliciten copias de seguridad sobre objetos de información específicos a sus actividades.

En la siguiente grilla se encuentra un resumen, a modo de ejemplo, de los objetos de backups (Archivos compartidos, Bases de Datos, sitio web, Nube SGN, Intranet, aplicaciones, etc.), la periodicidad de realización de la copia (backup) y su tiempo de guarda asociado*.

Definimos el término periodicidad del backup, como el intervalo de tiempo entre la realización de una copia y la próxima.

El tiempo de guarda hace referencia al tiempo que se almacena un medio (cinta de backup, disco magnético, disco óptico, etc.) antes de ser reutilizado y por ende pisado con otra copia.

El tiempo de guarda indica el tiempo que se puede volver atrás para recuperar una unidad de información.


* En caso que el Propietario necesite un régimen diferente al propuesto, puede efectuar una SAT ante la MAI. La GTI analizará su viabilidad técnica y económica e informará su conclusión al solicitante.

** En el presente documento se detalla el Plan de Backup del Sistema Informe Digital y registro de sus Papeles de Trabajo.

RÉGIMEN DE BACKUP - SISTEMA INFORME DIGITAL Y REGISTRO DE SUS PAPELES DE TRABAJO.

El Sistema ID mantiene una base de datos para la indexación y búsqueda de los documentos asociados a las distintas auditorías que realiza el Organismo. Asimismo, genera un repositorio de archivos digitalizados en formato PDF que responden a las versiones preliminares/finales de los informes y a los Papeles de Trabajo que surgieron de la producción de los mismos.

Para mantener la consistencia entre la información registrada en la base de datos y el repositorio de archivos, es necesario que al momento del realizar el resguardo/backup de este sistema se incluyan ambos elementos.

Tanto la información almacenada como los documentos asociados en el repositorio crecerán con cada auditoría realizada.

Para establecer un adecuado plan de resguardo sobre la información que produce este Sistema se deben considerar las siguientes afirmaciones:

1. Los Papeles de Trabajo Digitales deben mantenerse por un período mínimo inicial de DIEZ (10) años.

2. El sistema no permite la eliminación de información relacionada con los Papeles de Trabajo que ya fuera registrada.

3. No se requiere de recuperaciones de información a un estadio particular en el tiempo, siempre resguardará la información a la actualidad.

4. Alcanzado los DIEZ (10) años de guarda, el/los propietario/s del sistema deberá/n determinar la depuración de información o la extensión del tiempo de guarda.

PLAN DE BACKUP

El Plan de Backup que se describe a continuación, satisface las necesidades planteadas para el resguardo de los Papeles de Trabajo del Sistema Informe Digital (ID).

Si consideramos que el Sistema mantendrá toda la información no depurada por alcanzar el tiempo de guarda, la última copia de seguridad mensual contendrá toda la información alguna vez ingresada al Sistema que no haya sido depurada.

Esto es viable porque se cumplen las siguientes premisas:

• El Sistema sólo permite la adición de Papeles de Trabajos para las distintas auditorías que realiza SIGEN.

• El Sistema mantendrá accesible toda la información que haya sido cargada y no depurada.

• No se permite la eliminación de Papeles de Trabajo en el Sistema, salvo que hayan alcanzado el tiempo de guarda y exista un pedido expreso de depuración por su/s Propietario/s.

• Las copias de resguardo se utilizarán ante la necesidad de recuperar la infraestructura ante un incidente total, modificación o daño involuntario en la base de datos o el repositorio.

• La copia mensual, que es la que se almacenará por SEIS (6) meses contiene la totalidad de la información histórica no depurada.

EJECUCIÓN DE TAREAS DE BACKUPS Y MEDIOS DE ALMACENAMIENTO PROPUESTOS

1. Semanal:

Se realizan los días viernes.

El primer viernes (V1) del mes la copia es Full (toda la información). Los restantes viernes del mes la copia es Diferencial (diferencias respecto de la copia Full). Estas copias se mantienen en unidades de almacenamiento en disco, permitiendo restauraciones rápidas.

El tiempo de guarda que permite este proceso es de UN (1) mes.


2. Mensual:

Copia de resguardo que se realiza el último día del mes y consiste en enviar a cinta magnética la copia Full del primer viernes del mes y la copia Diferencial del último viernes de ese mes.

La cinta resultante se duplica, una copia es enviada a un sitio externo y la otra se almacena en el Organismo.

Se utiliza un juego conformado por DOCE (12) cintas del tipo LTO, las cuales se reescriben cada SEIS (6) meses y siguen un plan de rotación que observa la utilización homogénea de cada una de ellas, atendiendo además el tiempo de vida útil recomendado por el fabricante.


Vu: dependiendo la cantidad de viernes del mes puede ser V4 o V5

Mn: se numera de 1(UNO) a 6 (SEIS), desde el mes 7 (SIETE) al 12 (DOCE) vuelve a numerarse de 1 (UNO) a 6 (SEIS).

FORTALEZA Y REDUNDANCIA DE LAS COPIAS DE BACKUP

Para la realización de las copias semanales no se utilizan simples discos rígidos. Si bien el medio de almacenamiento especificado puede denominarse disco, en este caso el espacio en disco a utilizar es provisto por complejas unidades de almacenamiento compartido. Estos dispositivos constan de múltiples elementos de tolerancia a fallos, poseen fuentes de alimentación redundantes conectadas a líneas de alimentación protegidas por unidades de alimentación ininterrumpidas diferentes, las que a su vez cuentan con el respaldo de auto generadores eléctricos que se ponen en funcionamiento de manera automática ante irregularidades en el suministro eléctrico de red.

Los espacios de discos disponibles, cuentan con medidas de tolerancia a fallo que minimizan el riesgo de salida de servicio y pérdida de información. Con configuraciones de discos que entran en funcionamiento de manera automática si algún elemento del conjunto se daña.

Como medida de protección adicional, la información del backup en disco de cada semana, se duplicará en otra unidad de almacenamiento compartido con idénticas medidas de tolerancia a fallos.

Las copias mensuales se hacen en cintas magnéticas del tipo LTO duplicadas, quedando una en el sitio principal mientras que la otra se envía a un sitio externo.

A modo resumen se detalla gráficamente la redundancia de información que el Plan de Backup proveerá en todo momento.


CONTROLES A EFECTUAR SOBRE LAS COPIAS DE SEGURIDAD

Para controlar la correcta ejecución del Plan de Backup y reducir el riesgo de que la copia no contenga la información esperada, en momentos que se necesite su restauración, se efectuarán pruebas mensuales de los procedimientos implementados cumpliendo los protocolos establecidos al efecto.

Semana 1:

Luego de efectuada la copia mensual a cinta, los primeros días del mes se realiza la prueba de integridad -según protocolo definido- de las cintas que se guardarán por el término de SEIS (6) meses. Si se obtiene el resultado esperado, se envía uno de los medios al sitio externo quedando el otro en dependencias del Organismo. Caso contrario, se procede según lo indicado en el apartado “DETECCIÓN DE FALLAS EN LA EJECUCIÓN DE TAREAS”.

Cada una de las restauraciones de prueba se registra como SAT en la MAI y se indican los resultados obtenidos.

PROTOCOLO DE PRUEBAS DE INTEGRIDAD DE LAS COPIAS DE BACKUP

Cada prueba de integridad de las copias de backup realizada, ya sea de periodicidad semanal o mensual, debe cumplir el siguiente protocolo:

1. La Coordinación de División de Calidad de Tecnología Informática inicia el proceso de evaluación de la integridad mediante la apertura de una SAT en el Sistema de Gestión de Incidentes de la MAI, pidiendo la restauración de un objeto de backup correspondiente al presente Plan.

2. El pedido se deriva a la Coordinación General de Gestión de Redes y Seguridad (CGGDRyS)

3. El personal de la CGGDRyS se encarga de identificar el medio que contiene el objeto de backup a restaurar.

4. Efectúan la restauración del elemento en ambiente no productivo.

5. Realizan en conjunto con el personal de la División de Calidad de Tecnología Informática, la verificación de la operatividad de la copia restaurada.

6. Si la prueba arroja un resultado no exitoso, se procede a registrar un nuevo caso en el Sistema de Gestión de Incidentes para que la CGGDRyS proceda a reprogramar el JOB de backup.

7. Si la prueba es exitosa, se deriva el pedido a la Coordinación de División de Calidad de Tecnología Informática, quien efectúa la aceptación registrando lo actuado y procediendo a la baja de la SAT en el Sistema de Gestión de Incidentes.

DETECCIÓN DE FALLAS EN LA EJECUCIÓN DE TAREAS

La infraestructura de backups a disco y a cintas magnéticas cuenta con un sistema de alertas por medio de correo electrónico que permite implementar medidas correctivas si los JOBS de backups no se realizan correctamente. Estos correos son enviados al grupo de administradores de infraestructuras, los que -ante un evento de falla en alguna tarea- proceden a realizar la modificación necesaria y programan una nueva ejecución. Se dejará registro de cada JOB de backup que requiera ser reprogramado, por falla en su ejecución, mediante el ingreso de una SAT en el Sistema de Gestión de Incidentes de la MAI.

La otra causa que motiva la reprogramación de un JOB de backup y que debe registrarse como SAT es la verificación de integridad fallida; en ese caso, se reprogramará el JOB de manera que no afecte la ejecución del resto de las copias de resguardo.

CONTROL DE LA INFRAESTRUCTURA INVOLUCRADA

Semestralmente los responsables de la ejecución del Plan de Backup elaboran un informe, conteniendo mínimamente la siguiente información:

• Eventos que motivaron la reprogramación de algún JOB de backup.

• Control de espacio de almacenamiento en los medios utilizados, arreglos de discos, cintas magnéticas, etc.

• Tamaño del backup mensual por servicio. Variación respecto al período anterior.

• Tamaño del backup total. Variación respecto del período anterior.

• Listado de JOBs de restauración de información.

• Actualizaciones realizadas sobre el software y hardware de backup.

• Control de los dispositivos físicos de backup y sus medios de almacenamiento.

• Análisis de necesidades.

REVISIÓN Y ACTUALIZACIÓN DEL PROCEDIMIENTO

El procedimiento será sujeto a revisión durante el primer trimestre de cada año para efectuar las actualizaciones que correspondan y someterlo a aprobación.

GLOSARIO

Activo (de información): Activo se define de acuerdo a la norma ISO 27000 como "...cualquier cosa que tenga valor para la Organización (ISO/IEC 13335-1:2004)”. Partiendo de este concepto, nos referimos a la información como uno de los activos más importantes para SIGEN y comprende “...Bases de Datos y Sistemas de Información, archivos de documentación publicados en los sitios web, información de los sistemas de gestión de los usuarios, correo institucional, etc.”.

Backup: En el ámbito de la Tecnología de la Información (TI), se denomina así a una copia de respaldo de los datos digitales almacenados en un medio, que se resguardan en un lugar seguro para que puedan utilizarse para ser restaurados luego de un evento de pérdida de los mismos (por eliminación o corrupción, o para recuperar datos a un momento anterior). Es una copia de los datos de archivos digitales en un soporte que posibilite su recuperación

Un plan de respaldo contempla al menos una copia de todos los datos que se consideren esenciales para restaurar el normal funcionamiento de una entidad o empresa.

Backup incremental: Es una forma de resguardar información en la que sólo se copian en un soporte los datos e información que fueron modificados desde la realización del último resguardo de ellos.

Backup full/completo: Es una modalidad de respaldo de datos e información donde se almacenan todos ellos, sin importar si fueron o no modificados desde la realización del último backup.

Backup diferencial: Es una copia de los datos que contiene todos los archivos que han sufrido cambios desde el último resguardo completo. La ventaja sobre los demás métodos es que se acorta el tiempo de restauración en comparación con una copia de seguridad completa o incremental.

Objeto de backup: Se define como objeto de backup a las infraestructuras virtualizadas (máquinas virtuales, redes virtuales, discos virtuales asociados, etc.) y la información que generan los usuarios mediante la utilización de los servicios desplegados en ellas y que son afectados por el plan de copias de seguridad de la información.

Job (tarea) de backup: Programación de un proceso de generación de copias de resguardo que afecta a un conjunto de información, que será ejecutado en día y horario contenido como especificación del mismo.

Datos: Los datos son unidades de información que se recopilan mediante observación. En un sentido técnico, los datos son valores de variables cualitativas o cuantitativas sobre uno o más objetos.

Seguridad de la información: Preservación de la confidencialidad, la integridad y la disponibilidad de la información; pudiendo involucrar además propiedades tales como: autenticidad, trazabilidad, no repudio y fiabilidad.

SAT (Solicitud de Asistencia Técnica): Requerimiento que se registra en el Sistema de Gestión de Incidentes de la Mesa de Ayuda Informática.

MAI (Mesa de Ayuda Informática): Agrupación de agentes dentro de la GTI que se encarga primordialmente del registro de solicitudes (SAT) y atención primaria de las mismas.

LTO (Linear Tape-Open): Es una tecnología de almacenamiento de datos en cinta magnética.

IF-2023-24811091-APN-SNI#SIGEN