MINISTERIO
DE TRANSPORTE
Resolución 444/2023
RESOL-2023-444-APN-MTR
Ciudad de Buenos Aires, 03/08/2023
VISTO el Expediente N° EX-2023-66439191- -APN-DGD#MTR, las Leyes N°
22.520 (T.O. Decreto N° 438/92), N° 24.156, la Decisión Administrativa
N° 641 de fecha 25 de junio de 2021, la Disposición N° 1 de fecha 14 de
febrero de 2022 de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD dependiente
de la SUBSECRETARÍA DE TECNOLOGÍAS DE LA INFORMACIÓN de la SECRETARÍA
DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS; y
CONSIDERANDO:
Que por el Expediente citado en el Visto tramita la aprobación de la
“POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE TRANSPORTE”,
propiciada por la DIRECCIÓN DE INFORMÁTICA Y TECNOLOGÍA dependiente de
la DIRECCIÓN GENERAL DE INFRAESTRUCTURA Y SERVICIOS de la SUBSECRETARÍA
DE GESTIÓN ADMINISTRATIVA del MINISTERIO DE TRANSPORTE mediante la
Providencia N° PV-2023-69936449-APN-DIYT#MTR de fecha 16 de junio de
2023.
Que por la Decisión Administrativa N° 641 de fecha 25 de junio de 2021
se aprobaron los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN
PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, aplicables a todas
las entidades y jurisdicciones comprendidas en el inciso a) del
artículo 8° de la Ley 24.156 de Administración Financiera y de los
Sistemas de Control del Sector Público Nacional y sus modificatorias.
Que la Decisión Administrativa referida en el considerando precedente
estableció, entre otras obligaciones, que los organismos comprendidos
deben implementar una Política de Seguridad de la Información, con el
fin de proteger adecuadamente los activos tecnológicos esenciales para
su desenvolvimiento, así como asignar las funciones relativas a la
seguridad de sus sistemas de información al área con competencia en la
materia.
Que el artículo 5 de la Decisión Administrativa N° 641/21 dispuso que
las máximas autoridades de las entidades y jurisdicciones alcanzadas
por dicha norma deberán asignar las funciones relativas a la seguridad
de sus sistemas de información al área con competencia en la materia.
Que, en ese marco, por la Disposición N° 1 del 14 de febrero de 2022 de
la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD dependiente de la SUBSECRETARÍA
DE TECNOLOGÍAS DE LA INFORMACIÓN de la SECRETARÍA DE INNOVACIÓN PÚBLICA
de la JEFATURA DE GABINETE DE MINISTROS se aprobó el “MODELO
REFERENCIAL DE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN” que como Anexo
I (IF-2022-09912113-APN-DNCIB#JGM) forma parte de esa medida.
Que la DIRECCIÓN GENERAL DE INFRAESTRUCTURA Y SERVICIOS dependiente de
la SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA del MINISTERIO DE TRANSPORTE
señaló en la Providencia N° PV-2023-70962136-APN-DGIYS#MTR de fecha 21
de junio de 2023, que la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL
MINISTERIO DE TRANSPORTE” ha sido elaborada teniendo en consideración
los requisitos mínimos dispuestos por la referida Decisión
Administrativa N° 641/21, el modelo referencial elaborado por la
mencionada DIRECCIÓN NACIONAL DE CIBERSEGURIDAD, y a partir de un
análisis de los riesgos para los procesos que lleva adelante el
MINISTERIO DE TRANSPORTE.
Que, en ese entendimiento, la mencionada Dirección General indicó que
la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE
TRANSPORTE” que se propicia tiene como objetivo la preservación de
confidencialidad, integridad y disponibilidad de la información y de
los activos de información del organismo.
Que, asimismo, expresó que la Política que se impulsa permitirá
asegurar la continuidad de funcionamiento de los activos de información
del MINISTERIO DE TRANSPORTE, minimizándose los riesgos que pudieran
surgir en las operaciones que éste desarrolla.
Que la DIRECCIÓN GENERAL DE RECURSOS HUMANOS dependiente de la
SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA del MINISTERIO DE TRANSPORTE
prestó conformidad a la aprobación de la “POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN DEL MINISTERIO DE TRANSPORTE” por medio de la Providencia
N° PV-2023-71361169-APN-DGRRHH#MTR de fecha 22 de junio de 2023.
Que, por su parte, la UNIDAD DE AUDITORÍA INTERNA del MINISTERIO DE
TRANSPORTE tomó conocimiento de la medida en trato, sin formular
observaciones al respecto, mediante la Providencia N°
PV-2023-72059384-APN-UAI#MTR de fecha 23 de junio de 2023.
Que, por lo expuesto, corresponde aprobar la “POLÍTICA DE SEGURIDAD DE
LA INFORMACIÓN DEL MINISTERIO DE TRANSPORTE”, que será de aplicación en
todo el ámbito de esta jurisdicción, y asignar a la COORDINACIÓN DE
DISEÑO Y DESARROLLO DE SISTEMAS dependiente de la DIRECCIÓN DE
INFORMÁTICA Y TECNOLOGÍA de la DIRECCIÓN GENERAL DE INFRAESTRUCTURA Y
SERVICIOS de la SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA del MINISTERIO
DE TRANSPORTE las funciones relativas a la seguridad de los sistemas de
la jurisdicción, en los términos del artículo 5° de la Decisión
Administrativa N° 641/21.
Que la DIRECCIÓN GENERAL DE INFRAESTRUCTURA Y SERVICIOS dependiente de
la SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA del MINISTERIO DE TRANSPORTE
ha tomado la intervención de su competencia.
Que la DIRECCIÓN DE DICTÁMENTES dependiente de la DIRECCIÓN GENERAL DE
ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA del
MINISTERIO DE TRANSPORTE ha tomado la intervención de su competencia.
Que la presente medida se dicta en ejercicio de las facultades
conferidas por la Ley de Ministerios N° 22.520 (T.O. Decreto N° 438/92)
y por la Decisión Administrativa N° 641 de fecha 25 de junio de 2021.
Por ello,
EL MINISTRO DE TRANSPORTE
RESUELVE:
ARTÍCULO 1°.- Apruébase la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL
MINISTERIO DE TRANSPORTE” que como Anexo
(IF-2023-86487121-APN-SSGA#MTR), forma parte integrante de la presente
medida.
ARTÍCULO 2°.- Asígnanse las funciones relativas a la seguridad de los
sistemas de información del MINISTERIO DE TRANSPORTE a la COORDINACIÓN
DE DISEÑO Y DESARROLLO DE SISTEMAS dependiente de la DIRECCIÓN DE
INFORMÁTICA Y TECNOLOGÍA de la DIRECCIÓN GENERAL DE INFRAESTRUCTURA Y
SERVICIOS de la SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA del MINISTERIO
DE TRANSPORTE, en cumplimiento de lo establecido por el artículo 5° de
la Decisión Administrativa N° 641 de fecha 25 de junio de 2021.
ARTÍCULO 3°.- Comuníquese a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD
dependiente de la SUBSECRETARÍA DE TECNOLOGÍAS DE LA INFORMACIÓN de la
SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE
MINISTROS.
ARTÍCULO 4°.- Publíquese, comuníquese, dése a la DIRECCIÓN NACIONAL DEL
REGISTRO OFICIAL y archívese.
Diego Alberto Giuliano
NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la
edición web del BORA -www.boletinoficial.gob.ar-
e. 07/08/2023 N° 60726/23 v. 07/08/2023
(Nota
Infoleg:
Los anexos referenciados en la presente norma han sido extraídos de la
edición web de Boletín Oficial)
POLÍTICA
DE SEGURIDAD DE LA INFORMACIÓN
ÍNDICE
1. INTRODUCCIÓN
Los Organismos del Sector Público Nacional comprendidos en el artículo
8° de la Ley N° 24.156 y sus modificatorias son de los principales
receptores y productores de información de nuestro país. Esa
información pertenece mayormente a sus habitantes y a las diversas
entidades públicas y privadas que desarrollan sus actividades en su
territorio. Todos ellos confían sus datos a los Organismos que lo
componen para distintos fines.
La información puede ser hoy en día objeto de una amplia gama de
peligros, amenazas y usos indebidos e ilícitos, debiéndose, por lo
tanto, extremar las medidas tendientes a la preservación de su
confidencialidad, integridad y disponibilidad. Con esto se busca
proteger los derechos y libertades individuales de las personas al
tiempo de contribuir a la efectiva prestación continua e ininterrumpida
de los diversos servicios prestados por las diferentes entidades y
jurisdicciones y, al mismo tiempo, propender a su correcta y mejor
gestión interna.
En un contexto de transversalidad en el uso de las tecnologías para la
vida social, económica, política y cultural de las personas, la
Seguridad de la Información cumple un rol fundamental. Por
consiguiente, los agentes públicos, cualquiera sea el nivel jerárquico
y la modalidad de contratación, tienen la obligación de dar tratamiento
y hacer un uso responsable, seguro y cuidado de los datos que utilizan
en sus labores habituales, adoptando todas las medidas a su alcance
para protegerlos.
Los responsables de los activos de la información deben atender y
diligenciar los recursos necesarios para asegurar el cumplimiento de
los objetivos de la presente en el ámbito de su jurisdicción. En tal
sentido, los datos gestionados en los Organismos deben ser protegidos
tanto dentro como fuera del ámbito institucional, con independencia del
formato y del soporte en el que estén contenidos y si los mismos están
siendo objeto de tratamiento electrónico, se encuentran almacenados o
están siendo transmitidos.
Los Organismos determinarán sus políticas, normas específicas,
procedimientos y guías que, sobre la base de los siguientes requisitos
mínimos, sean aplicables a los procesos específicos que desarrollen.
Este conjunto de normas debe surgir a partir de un análisis de los
riesgos para los procesos que lleven adelante. Se entenderán como
principios de Seguridad de la Información a la preservación de
confidencialidad, integridad y disponibilidad de la información y de
los activos de información del Sector Público Nacional.
Desde esta perspectiva y teniendo en cuenta que la información puede
definirse como un activo que resulta esencial para el MINISTERIO DE
TRANSPORTE como Organismo integrante del Sector Público Nacional el
mismo necesita ser protegido adecuadamente.
Por otra parte, la Seguridad de la Información refiere a la protección
de la información de un rango amplio de amenazas para poder asegurar la
continuidad de funcionamiento del MINISTERIO DE TRANSPORTE
minimizándose los riesgos que pudieran surgir en las operaciones que se
generan en el Organismo.
En ese contexto, conforme la manda normativa, este MINISTERIO DE
TRANSPORTE a partir de la aprobación de las presentes “POLÍTICA DE
SEGURIDAD DE LA INFORMACIÓN EN LA ÓRBITA DEL MINITERIO DE TRANSPORTE”
tiene como objetivo final adecuar el conjunto de estructuras
organizacionales y funciones de software y hardware que responderán a
los lineamientos del instrumento Modelo aprobado por la OFICINA
NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN.
Asimismo, dentro de los objetivos, resulta ineludible definir
determinados conceptos específicos de la temática a fin de propender
una comunicación fluida entre las áreas que manipularan el manejo de la
información en la órbita de este MINISTERIO DE TRANSPORTE, tales como:
información, procesos; sistemas y redes de apoyo. Todos ellos
entendidos como activos estratégicos en la Administración Pública
Nacional.
2. OBJETIVOS
2.1. Objetivo General
Establecer los lineamientos generales y mínimos para los Organismos del
Sector Público Nacional comprendidos en el inciso a) del artículo 8° de
la Ley N° 24.156, con el fin de protegerlos activos de información,
frente a riesgos internos o externos, que pudieran afectarlos, para así
preservar su confidencialidad, integridad y disponibilidad.
2.2. Objetivos Específicos
• Proteger los derechos de los titulares de datos personales o
propietarios de información que es tratada por el Sector Público
Nacional.
• Proteger la información, los datos personales y activos de
información propios del conjunto de Organismos que componen el Sector
Público Nacional.
• Promover una política pública que enmarque una conducta responsable
en materia de Seguridad de la Información de los Organismos que
conforman el Sector Público Nacional, sus agentes y funcionarios.
• Evidenciar el compromiso e interés de quienes componen el Sector
Público Nacional en pos deldesarrollo de una cultura de ciberseguridad.
El objetivo del presente instrumento es establecer criterios y
directrices en la órbita del MINISTERIO DE TRANSPORTE a fin de
propender a una gestión adecuada de la seguridad de la información, los
sistemas informáticos y el ambiente tecnológico, en cumplimiento de las
disposiciones legales vigentes.
3. ALCANCE
Los alcances del presente instrumento recaen sobre:
• Activos: Todos los activos de información administrados o generados
por el MINISTERIO DE TRANSPORTE, en las formas que éstos se presenten.
• Sujetos alcanzados: Las Políticas de Seguridad de la Información
alcanzan a todos los sujetos que se encuentran comprendidos bajo un
régimen laboral en la órbita del MINISTERIO DE TRANSPORTE. Las pautas
de Seguridad de la Información deberán ser conocidas y cumplidas por
toda la planta de personal del Organismo, tanto se trate de
funcionarios políticos como técnicos y sea cual fuere su nivel
jerárquico y situación de revista.
• Responsables: Las personas que tienen a cargo ejecutar las Políticas
de Seguridad de la Información deben propender a la difusión y
publicidad de los lineamientos aprobados en el presente documento.
4. DEFINICIONES
A los efectos de una correcta interpretación de la presente Política de
Seguridad de la Información, se realizan las siguientes definiciones:
• Acceso remoto: La habilidad para acceder a una computadora desde una
ubicación apartada.
• Activo: Todo aquello que tiene o representa valor para el MINISTERIO
DE TRANSPORTE.
• Activo de información: Es cualquier información o sistema relacionado
con el tratamiento de lamisma que tenga valor para la organización.
Pueden ser procesos de negocio, datos, aplicaciones, equipos
informáticos, personal, soportes de información, redes, equipamiento
auxiliar o instalaciones (conforme define el Centro Criptológico
Nacional en su Informe de Actividad 2015-2016 -en adelante CCN- página
7).
• Antivirus: Es un programa informático específicamente diseñado para
detectar, bloquear y eliminar código malicioso (virus, troyanos,
gusanos, etc.) así como proteger los equipos de otros programas
peligrosos conocidos genéricamente como malware (CCN, pág. 83).
• BCP: Abreviatura de «Business Continuity Plan». Es un conjunto
formado por planes de actuación, planes de emergencia, planes
financieros, planes de comunicación y planes de contingencias
destinados a mitigar el impacto provocado por la concreción de
determinados riesgos sobre la información y los procesos de negocio de
una compañía (CCN, pág. 673).
• BIA: Abreviatura de «Business Impact Analysis» o análisis del impacto
del negocio. Se trata de un informe que muestra el coste ocasionado por
la interrupción de los procesos críticos de negocio. Este informe
permitirá asignar una criticidad a los procesos de negocio, definir los
objetivos de recuperación y determinar un tiempo de recuperación a cada
uno de ellos (CCN, pág. 69).
• Cifrado: Proceso para convertir información en un formato ilegible
aplicando un algoritmo criptográfico y se utiliza para proteger la
información de la divulgación no autorizada. Sinónimo de algoritmo de
cifra (CCN, pág. 218).
• Impacto: Consecuencia que sobre un activo tiene la materialización de
una amenaza. Información: Se refiere a toda comunicación o
representación de conocimiento como datos,en cualquier forma, con
inclusión de formas textuales, numéricas, gráficas, cartográficas,
narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en
papel, en pantallas de computadoras, audiovisual u otro.
• Custodio de la Información: En el MINISTERIO DE TRANSPORTE serán
custodios de la información y administración técnica de los sistemas
que utilizan esta información la DIRECCIÓN DE INFORMÁTICA Y TECNOLOGÍA
dependientes de la DIRECCIÓN GENERAL DE INFRAESTRUCTURA Y SERVICIOS de
la SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA.
• Fuga de datos o fuga de información: Es la pérdida de la
confidencialidad de la información privada de una persona o empresa.
• Funciones críticas: Aquellas cuya interrupción, perturbación o
afectación total o parcial puede tener un efecto significativo para la
sociedad.
• Informática forense: Proceso de investigación de los sistemas de
información para detectar toda evidencia que pueda ser presentada como
prueba fehaciente en un procedimiento judicial. Se aplican técnicas
científicas y analíticas especializadas que permiten identificar,
preservar, analizar y presentar datos que sean válidos dentro de un
proceso legal (Instituto Nacional de Ciberseguridad, en adelante
INCIBE).
• Infraestructuras críticas de información: Son las tecnologías de
información, operación y comunicación, así como la información
asociada, que resultan vitales para el funcionamiento o la seguridad de
las Infraestructuras críticas.
• Infraestructuras críticas: Son aquellas que resultan indispensables
para el adecuado funcionamiento de los servicios esenciales de la
sociedad, la salud, la seguridad, la defensa, el bienestar social, la
economía y el funcionamiento efectivo del Estado, cuya destrucción o
perturbación, total o parcial, los afecte y/o impacte
significativamente.
• Infraestructura tecnológica: El conjunto de dispositivos de hardware,
software y comunicaciones utilizados por la organización para el
cumplimiento de sus funciones, incluyendo el ámbito físico donde se
encuentran ubicados.
• Organismo: En el presente documento el concepto Organismo hace
referencia al MINISTERIO DE TRANSPORTE.
• Política: Orientaciones o directrices que rigen la actuación de una
persona o entidad en un asunto o campo determinado (CCN, pág. 679).
Tiene como propósito influenciar y guiar en la toma de decisiones
presentes y futuras describiendo, además, las consecuencias de la falta
de cumplimiento de las mismas.
• Política de Seguridad de la Información: Decisiones o medidas de
seguridad que el Organismo toma respecto a la seguridad de sus sistemas
de información luego de evaluar el valor de sus activos y los riesgos
(INCIBE). Suele plasmarse en un documento escrito (CCN, pág. 682).
• Propietario de la Información: Define a la persona responsable de la
integridad, confidencialidad y disponibilidad de una cierta información.
• Sistema de Información: Se refiere a un conjunto independiente de
recursos de información organizados para la recopilación,
procesamiento, mantenimiento, transmisión y difusión de información
según determinados procedimientos, tanto automatizados como manuales.
• Tecnología de la Información: Se refiere al hardware y software
operados por el Organismo o por un tercero que procese información en
su nombre, para llevar a cabo una función propia del Organismo, sin
tener en cuenta la tecnología utilizada, ya se trate de computación de
datos, telecomunicaciones u otro tipo.
• Usuario: Se refiere a los trabajadores del MINISTERIO DE TRANSPORTE o
relacionados que utilizan de manera recurrente las computadoras,
sistemas de información y redes a fin de realizar sus tareas inherentes.
• Seguridad de la Información: La Seguridad de la Información se
entiende como la preservación de las siguientes características:
• Confidencialidad: se garantiza que la información sea accesible sólo
a aquellas personasautorizadas.
• Integridad: Se salvaguarda la exactitud y totalidad de la información
y los métodos deprocesamiento.
• Disponibilidad: Se garantiza que los usuarios autorizados tengan
acceso a la información y a losrecursos relacionados con la misma, toda
vez que lo requieran.
Adicionalmente deben considerarse los siguientes términos:
• Autenticidad: Busca asegurar la validez de la información en tiempo,
forma y distribución. Asimismo, se garantiza el origen de la
información, validando el emisor para evitar suplantación de
identidades.
• Auditabilidad: Define que todos los eventos de un sistema deben poder
ser registrados para su control posterior.
• Protección contra la duplicación de transacciones: Consiste en
asegurar que una transacción sólo se realiza una vez, a menos que se
especifique lo contrario. Impedir que se grabe una transacción para
luego reproducirla, con el objeto de simular múltiples peticiones del
mismo remitente original.
• No repudio: Se refiere a evitar que una entidad que haya enviado o
recibido informaciónalegue ante terceros que no la envió o recibió.
• Legalidad: Referido al cumplimiento de las leyes, normas,
reglamentaciones o disposiciones a las que está sujeto el Organismo.
• Confiabilidad de la Información: Es decir, que la información
generada sea adecuada para sustentar la toma de decisiones y la
ejecución de las misiones y funciones.
• Evaluación de Riesgos: Evaluación de las amenazas y vulnerabilidades
relativas a la informacióny a las instalaciones de procesamiento de la
misma, la probabilidad de que ocurran y su potencial impacto en la
operatoria del Organismo.
• Tratamiento de Riesgos: Proceso de selección e implementación de
medidas para modificar el riesgo.
• Gestión de Riesgos: Actividades coordinadas para dirigir y controlar
una organización en lo queconcierne al riesgo.
• Responsable de Seguridad de la Información: Es la persona que cumple
la función de supervisar el cumplimiento de la presente Política y de
asesorar en materia de Seguridad de la Información a los integrantes
del Organismo que así lo requieran.
• Incidente de Seguridad: Evento adverso en un sistema de computadoras,
o red de computadoras, que puede comprometer o compromete la
confidencialidad, integridad y/o disponibilidad de la información.
Puede ser causado mediante la explotación de alguna vulnerabilidad o un
intento o amenaza de romper los mecanismos de seguridad existentes.
• Riesgo: Combinación de la probabilidad de ocurrencia de un evento y
sus consecuencias o impacto.
• Amenaza: Una causa potencial de un incidente no deseado, el cual
puede ocasionar daños a unsistema u organización.
• Vulnerabilidad: Una debilidad de un activo o grupo de activos que
puede ser aprovechada por una amenaza.
• Control: Medio para gestionar el riesgo, incluyendo políticas,
procedimientos, directrices, prácticas o estructuras organizacionales,
las cuales pueden ser de naturaleza administrativa, técnica, de
gestión, o legal.
5. REVISIÓN Y ACTUALIZACIÓN
Los requisitos mínimos de Seguridad serán revisados por la DIRECCIÓN
NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la
JEFATURA DE GABINETE DE MINISTROS, o el área que la reemplace en el
futuro, cuando lo estime conveniente, con una periodicidad no superior
a DOCE (12) meses, a partir de su publicación o última actualización.
Serán publicados también en el sitio de Internet que a tal fin
establezca la citada dirección.
6. DIRECTRICES
6.1. Política de Seguridad de la
Información del Organismo
Objetivo
Manejar la Seguridad de la Información dentro del Organismo. Establecer
un marco referencial, para iniciar y controlar la implementación de la
Seguridad de la Información dentro del Organismo. Aprobar la política
de Seguridad de la Información, asignar los roles de seguridad y
coordinar y revisar la implementación de la seguridad en todo el
Organismo.
PSI 1.1.1. Compromiso con la Seguridad de la Información: El MINISTERIO
DE TRANSPORTE declara su compromiso con la Política de Seguridad de la
Información (PSI) e insta a todos sus trabajadores, propios y
contratados, a conocerlas e impulsarlas dentro de sus actividades
diarias.
PSI 1.1.2. Asignación de responsabilidades de la Seguridad de la
Información: La asignación de responsabilidades de la Seguridad de la
Información debe ejecutarse en forma alineada a la Política de
Seguridad de la Información.
Dichas funciones serán asignadas al Coordinador de Diseño y Desarrollo
de Sistemas (responsable de Seguridad de la Información). Incluyen la
supervisión de todos los aspectos inherentes a seguridad informática
tratados en la presente Política.
PSI 1.1.3. Autorización para instalaciones de procesamiento de
información: El responsable de Seguridad de la Información arbitrará
los medios necesarios a los fines de otorgar lo requerido, garantizando
que se cumplan todas las políticas y requerimientos de seguridad
pertinentes.
PSI 1.1.4. Compromisos de confidencialidad: Se definirán, implementarán
y revisarán regularmente los compromisos de confidencialidad o de no
divulgación para la protección de la información del Organismo. Dichos
compromisos deben responder a los requerimientos del Organismo.
Asimismo, deben cumplir con toda legislación o normativa que alcance al
MINISTERIO DE TRANSPORTE en materia de confidencialidad de la
información. Dichos compromisos deben celebrarse tanto con el personal
del Organismo como con aquellos terceros que se relacionen de alguna
manera con su información.
PSI 1.1.5. Contacto con otros Organismos: A efectos de intercambiar
experiencias y obtener asesoramiento para el mejoramiento de las
prácticas y controles de seguridad, se mantendrán contactos con la
OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN (ONTI).
PSI 1.1.6. Revisión independiente de la Seguridad de la Información: La
UNIDAD DE AUDITORÍA INTERNA realizará revisiones independientes sobre
la vigencia, implementación y gestión de la Política de Seguridad de la
Información, a efectos de garantizar que las prácticas del MINISTERIO
DE TRANSPORTE reflejen adecuadamente sus disposiciones.
6.2. Dispositivos móviles y trabajo
remoto
Objetivo
Asegurar la Seguridad de la Información cuando se utilizan medios
informáticos y móviles.
La protección requerida se debe conmensurar con los riesgos que causan
estas maneras de trabajo específicas. Cuando se utiliza computación
móvil, se deben considerar los riesgos de trabajar en un ambiente
desprotegido y se debiera aplicar la protección apropiada. En el caso
del teletrabajo, la organización debe aplicar protección al lugar del
teletrabajo y asegurar que se establezcan los arreglos adecuados para
esta manera de trabajar.
Política
PSI 1.2.1. Dispositivos móviles: El MINISTERIO DE TRANSPORTE asigna
dispositivos informáticos móviles a fin de apoyar las actividades
inherentes del trabajador de acuerdo a sus responsabilidades. Teniendo
en cuenta que la utilización de dispositivos móviles incrementa la
probabilidad de ocurrencia de incidentes del tipo de pérdida, robo,
hurto e ingreso de software malicioso, el Organismo establecerá las
normas y procedimientos para su uso, a fin de garantizar que no se
comprometa la información ni la infraestructura.
PSI 1.2.2. Trabajo remoto: El trabajo remoto sólo será autorizado por
la Autoridad responsable de la Unidad Organizativa, o superior
jerárquico correspondiente, a la cual pertenezca el usuario
solicitante, y el responsable de Seguridad de la Información arbitrará
los medios necesarios a los fines de brindar lo solicitado, verificando
que sean adoptadas todas las medidas que correspondan en materia de
Seguridad de la Información, de modo de cumplir con la política, normas
y procedimientos existentes.
6.3. Seguridad Informática de los
Recursos Humanos
6.3.1. Proceso de contratación.
Objetivo
Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idóneos para los roles para los cuales son
considerados; y reducir el riesgo de robo, fraude y mal uso de los
medios.
Las responsabilidades de seguridad deben ser tratadas antes del empleo
en las definiciones de trabajo adecuadas y en los términos y
condiciones del empleo.
Política
PSI 2.1.1. Funciones y responsabilidades: Notificar a todo el personal
de sus obligaciones respecto al cumplimiento de la Política de
Seguridad de la Información y gestionar los Compromisos de
Confidencialidad para su posterior resguardo. Contemplar la inclusión
de las responsabilidades en materia de Seguridad de la Información,
según la definición de perfiles aportada por los responsables de cada
unidad organizativa respecto del personal a su cargo. El responsable de
la DIRECCIÓN DE DESARROLLO Y PLANIFICACIÓN DE RECURSOS HUMANOS
dependiente de la DIRECCIÓN GENERAL DE RECURSOS HUMANOS será el
encargado de coordinar las acciones de capacitación que surjan de la
presente Política de Seguridad de la Información y a requerimiento del
responsable de Seguridad de la Información.
PSI 2.1.2. Términos y condiciones de contratación: Establecer
compromisos de confidencialidad con todo el personal, cualquiera sea su
situación de revista, y los usuarios externos que efectúen tareas en el
ámbito del MINISTERIO DE TRANSPORTE, en lo que respecta al tratamiento
de su información.
6.3.2. Durante el tiempo de empleo
Objetivo
Asegurar que los usuarios empleados, contratistas y terceras personas
estén al tanto de las amenazas e inquietudes de la Seguridad de la
Información, sus responsabilidades y obligaciones, y estén equipadas
para apoyar la política de seguridad organizacional en el curso de su
trabajo normal, y reducir el riesgo de error humano.
Se deben definir las responsabilidades del área para asegurar que se
aplique la seguridad a lo largo de todo el tiempo del empleo de la
persona dentro del Organismo.
Política
PSI 2.2.1. Responsabilidad de las Direcciones/Áreas: Todas las
Direcciones/Áreas, pertenecientes al MINISTERIO DE TRANSPORTE
propenderán que los empleados, contratistas e invitados partes
implementen las políticas de seguridad que se impulsan dentro del
MINISTERIO DE TRANSPORTE en la medida de sus acciones.
PSI 2.2.2. Concientización, formación y capacitación en Seguridad de la
Información: Todos los empleados del MINISTERIO DE TRANSPORTE deberán
recibir una adecuada capacitación y actualización periódica en materia
de su política, normas y procedimientos. Esto comprende los
requerimientos de seguridad y las responsabilidades legales, así como
la capacitación referida al uso correcto de las instalaciones de
procesamiento de información y de los recursos en general, tales como
computadoras, escritorios, entre otros.
Asimismo, cuando sea pertinente, los usuarios externos y los terceros
que desempeñen funciones en el MINISTERIO DE TRANSPORTE recibirán el
mismo tratamiento.
PSI 2.2.3. Proceso disciplinario: Se seguirá el proceso disciplinario
formal contemplado en las normas estatutarias, escalafonarias y
convencionales que rigen al personal de la Administración Pública
Nacional, sobre aquellos empleados que se verifique efectivamente que
se hayan apartado de las políticas, normas y procedimientos de
seguridad impulsadas por el MINISTERIO DE TRANSPORTE.
6.3.3. Cese del empleo o cambio de
puesto de trabajo
Objetivo
Asegurar que los usuarios empleados, contratistas y terceras personas
salgan del Organismo o cambien de empleo de una manera ordenada.
Se deben establecer las responsabilidades para asegurar que la salida
del Organismo del usuario empleado, contratista o tercera persona sea
manejada y se complete la devolución de todo el equipo y se eliminen
todos los derechos de acceso.
Política
PSI 2.3.1. Responsabilidad del cese o cambio: Las responsabilidades
para realizar la desvinculación y/o cambio de puesto deben ser
claramente definidas y asignadas, incluyendo requerimientos de
seguridad y responsabilidades legales a posteriori y, cuando sea
apropiado, las responsabilidades contenidas dentro de cualquier acuerdo
de confidencialidad, y los términos y condiciones de empleo con
continuidad por un período definido de tiempo luego de la finalización
del trabajo del empleado, contratista y/o usuario de tercera parte.
Es responsabilidad de los directores o responsables de las unidades
organizativas notificar en forma inmediata a la DIRECCIÓN DE DESARROLLO
Y PLANIFICACIÓN DE RECURSOS HUMANOS dependiente de la DIRECCIÓN GENERAL
DE RECURSOS HUMANOS los ceses de funciones cambios o modificaciones en
los puestos de trabajo a fin de efectivizar las desactivaciones de
privilegios otorgados en el ejercicio de las funciones del trabajador.
Producido el cese de funciones en el empleo, modificaciones o cambios
en los puestos laborales, la DIRECCIÓN GENERAL DE RECURSOS HUMANOS
deberá comunicar a las Direcciones/Áreas correspondientes la
formalización del trámite iniciado.
PSI 2.3.2. Retiro de los derechos de acceso: Se deberán revocar los
derechos de acceso de un individuo a los activos asociados con los
sistemas y servicios de información tras la desvinculación.
Asimismo, si un empleado, contratista o invitado tiene conocimiento de
contraseñas para cuentas que permanecen activas, éstas deben ser
cambiadas tras la finalización o cambio de empleo, contrato o acuerdo.
7. GESTIÓN DE ACTIVOS
7.1. Responsabilidad sobre los activos
Objetivo
Todos los activos deben ser inventariados y contar con un propietario
nombrado.
Los propietarios deben identificar todos los activos y se debiera
asignar la responsabilidad por el mantenimiento de los controles
apropiados. La implementación de controles específicos puede ser
delegada por el propietario, pero sigue siendo responsable por la
protección apropiada de los activos.
Política
PSI 3.1.1. Responsabilidad sobre los activos: Todos los activos deben
ser inventariados y contar con un propietario nombrado. La
implementación de controles específicos puede ser delegada por el
propietario, pero éste sigue siendo responsable por la protección
apropiada de los activos.
PSI 3.1.2. Inventario de activos: El MINISTERIO DE TRANSPORTE a través
de la DIRECCIÓN DE ADMINISTRACIÓN DE BIENES deberá llevar un inventario
de los activos de información que se utilizan y distribuyen en el
Organismo. El inventario deberá detallar el código de identificación,
el tipo de activo, breve descripción y las principales características
técnicas, el responsable y/o administrador del activo.
El inventario debe ser actualizado ante cualquier modificación y
revisado periódicamente por los responsables del mismo.
7.2. Clasificación de la información
Objetivo
Asegurar que la información reciba un nivel de protección apropiado.
La información debe ser clasificada para indicar la necesidad,
prioridades y grado de protección esperado cuando se maneja la
información.
La información tiene diversos grados de confidencialidad e importancia.
Algunos ítems pueden requerir un nivel de protección adicional o manejo
especial. Se debe utilizar un esquema de clasificación de información
para definir un conjunto apropiado de niveles de protección y comunicar
la necesidad de medidas de uso especiales.
Política
PSI 3.2.1. Clasificación de la información: El MINISTERIO DE TRANSPORTE
deberá clasificar los activos de información de acuerdo a su necesidad,
prioridad y grados de protección, y delega esta responsabilidad en los
propietarios designados de acuerdo a su confidencialidad, integridad y
disponibilidad, en conformidad con las directrices siguientes:
• Confidencialidad:
1. PÚBLICA: Que puede ser conocida y utilizada por cualquier persona o
sistema deprocesamiento de información.
2. RESERVADA:
I. USO INTERNO: Que sólo puede ser
utilizada por todo el personal del Organismo y tercerosautorizados.
II. CONFIDENCIAL: Que sólo puede ser conocida y utilizada por el
personal del Organismoautorizado.
III. SECRETA: Que sólo puede ser conocida y utilizada por un grupo
reducido de empleados, generalmente los responsables de las unidades
organizativas.
• Integridad:
1. Información cuya modificación no
autorizada puede repararse fácilmente, o no afecta la operatoria del
Organismo.
2. Información cuya modificación no autorizada puede repararse, aunque
podría ocasionar pérdidas leves para el Organismo, el Sector Público
Nacional o terceros.
3. Información cuya modificación no autorizada es de difícil reparación
y podría ocasionar pérdidas significativas para el Organismo, el Sector
Público Nacional o terceros.
• Disponibilidad:
1. Información cuya inaccesibilidad no afecta la operatoria del
Organismo.
2. Información cuya inaccesibilidad permanente durante una (1) semana
podría ocasionar pérdidas significativas para el Organismo, el Sector
Público Nacional o terceros.
3. Información cuya inaccesibilidad permanente durante un (1) día
podría ocasionar pérdidas significativas al Organismo, al Sector
Público Nacional o a terceros.
4. Información cuya inaccesibilidad permanente durante una (1) hora
podría ocasionar pérdidas significativas al Organismo, al Sector
Público Nacional o a terceros.
PSI 3.2.2. Rotulado de los activos de información: Los activos de
información deben ser rotulados según el esquema de clasificación y su
nivel de confidencialidad de manera visible.
En material impreso o digital, la clasificación debe ir en el
encabezado o al pie de página con la palabra - Clasificación -
anteponiendo al texto, por ejemplo: Clasificación: RESERVADA
CONFIDENCIAL.
La clasificación puede colocarse a la izquierda, al centro o a la
derecha de la hoja siempre quesea visible.
7.3. Gestión de medios
Objetivo
Exigir a todos los agentes y empleados la devolución de los activos de
información en su poder al finalizar la relación laboral o cuando un
cambio en las funciones lo requiera. Efectuar una destrucción segura de
cualquier medio que pueda contener información o datos personales, en
función de su nivel de criticidad, sobre la base de un procedimiento
documentado, una vez que se haya catalogado como defectuoso o rezago.
PSI 3.3.1. Devolución de activos: Todos los empleados, contratistas y
usuarios deben devolver todos los activos del MINISTERIO DE TRANSPORTE
que estuvieren en su poder (software, documentos corporativos,
equipamiento, dispositivos de computación móviles, tarjetas
corporativas, tarjetas de ingreso, etc.) tras la terminación de su
empleo, contrato, o acuerdo.
PSI 3.3.2. Eliminación de medios de información: El MINISTERIO DE
TRANSPORTE a través del área responsable de la plataforma tecnológica y
el responsable de Seguridad de la Información, definirán procedimientos
para la destrucción segura de los medios que puedan contener
información, respetando la normativa vigente.
Los procedimientos deben considerar que los siguientes elementos
requerirán almacenamiento y eliminación segura:
➢ Bienes Móviles e Informáticos
➢ Cintas magnéticas.
➢ Discos u otros dispositivos removibles.
➢ Medios de almacenamiento óptico (todos los formatos incluyendo todos
los medios dedistribución de software del fabricante o proveedor).
La evaluación del mecanismo de eliminación debe contemplar el tipo de
dispositivo y la criticidad de la información contenida.
8. AUTENTICACIÓN, AUTORIZACIÓN Y
CONTROL DE ACCESOS
8.1. Gestión de Accesos
Objetivo
Controlar el acceso a la información. Se debe controlar el acceso a la
información, medios de procesamiento de la información y procesos sobre
la base de los requerimientos del Organismo y de seguridad. Las reglas
de control del acceso deben tomar en cuenta las políticas para la
divulgación y autorización de la información.
Política
PSI 4.1.1. Requerimientos para la gestión de acceso: Todo acceso a los
activos de información debe contar con una solicitud formal, aprobada
por el propietario de la información, en conformidad con los
procedimientos establecidos por la unidad responsable de la asignación
del acceso.
8.2. Administración de Gestión de
Usuarios
Objetivo
Con el objetivo de impedir el acceso no autorizado a la información se
implementarán procedimientos formales para controlar la asignación de
derechos de acceso a los sistemas, datos y servicios de información.
Los procedimientos debieran abarcar todas las etapas en el ciclo de
vida del acceso del usuario, desde el registro inicial de usuarios
nuevos hasta la baja final de los usuarios que ya no requieren acceso a
los sistemas y servicios de información.
Política
PSI 4.2.1. Gestión de usuarios: El responsable de Seguridad de la
Información en colaboración con los titulares de cada unidad
organizativa definirá un procedimiento formal de alta, baja y
modificación de usuarios y/o privilegios.
PSI 4.2.2. Política de contraseñas de usuarios: Las contraseñas de
acceso a los sistemas son individuales e intransferibles y deben
tratarse con el más alto nivel de confidencialidad. Se deben
confeccionar procedimientos para la elaboración de contraseñas robustas
a fin de proteger la plataforma tecnológica del MINISTERIO DE
TRANSPORTE.
Debido al carácter de las contraseñas, queda absolutamente prohibido
divulgarlas a terceras personas.
Si el usuario tuviera conocimiento que otra persona conoce su clave y/o
contraseña, deberá cambiarla inmediatamente y ponerlo en conocimiento
del MINISTERIO DE TRANSPORTE. En caso de incumplimiento de estas
obligaciones, el usuario será el único responsable de los actos
realizados por la persona que utilice su identificador de forma no
autorizada.
PSI 4.2.3. Revisión de derechos de acceso de usuarios: El propietario
del activo de información deberá definir un proceso formal de revisión
del acceso a los datos y/o servicios, pudiendo requerir colaboración a
la DIRECCIÓN DE INFORMÁTICA Y TECNOLOGÍA en los casos que así
correspondan.
PSI 4.2.4. Escritorio limpio: Se debe implementar una política de
escritorio y pantalla limpios para reducir el riesgo de acceso no
autorizado o daño a los medios de procesamiento de la información.
8.3. Acceso a Sistemas y Aplicaciones
Objetivo
Evitar el acceso no autorizado a los servicios de la red. Se debe
controlar el acceso a los servicios de redes internas y externas.
Política
PSI 4.3.1. Control de acceso a sistemas y aplicaciones: Se deben
controlar los accesos a las redes públicas o privadas en conformidad
con el responsable de Seguridad de la Información.
PSI 4.3.2. Utilización de los servicios de red: El MINISTERIO DE
TRANSPORTE controlará el acceso a los servicios de red tanto internos
como externos. Esto es necesario para garantizar que los usuarios que
tengan acceso a las redes y a sus servicios no comprometan la seguridad
de los mismos.
El acceso a los servicios y recursos de red, será realizado por el área
designada para tal fin, únicamente de acuerdo al pedido formal del
titular de la unidad organizativa que lo solicite para personal de su
incumbencia.
PSI 4.3.3. Acceso a internet: El MINISTERIO DE TRANSPORTE ofrece el
servicio de acceso a Internet como herramienta para apoyar las
actividades inherentes a las responsabilidades de sus trabajadores, así
como para el desarrollo personal y profesional.
El MINISTERIO DE TRANSPORTE, a través del responsable de Seguridad de
la Información, implementará políticas de filtrado de contenido web
para protección de su plataforma tecnológica a través de la unidad
organizativa destinada para tal fin.
Todo acceso no autorizado deberá ser formalmente solicitado y
justificado por el director de la unidad organizativa del trabajador
que lo requiere, y será aprobado bajo revisión del responsable de
Seguridad de la Información quien notificará de los riesgos que
pudieren surgir.
PSI 4.3.4. Identificación y autenticación de los usuarios: Todos los
usuarios tendrán un identificador único (ID de usuario) solamente para
uso laboral y exclusivo. Los identificadores de usuario no darán ningún
indicio del nivel de privilegio otorgado.
En circunstancias excepcionales, cuando existe un claro beneficio para
El MINISTERIO DE TRANSPORTE, se podrá utilizar un identificador
compartido para un grupo de usuarios o una tarea específica. Para estos
supuestos, se documentará la justificación y aprobación del propietario
de la información de que se trate.
9. CRIPTOGRAFÍA
9.1. Utilización de Controles
Criptográficos
Objetivo
Garantizar el uso adecuado y eficaz de la criptografía para proteger la
confidencialidad, no-repudio, la autenticidad y/o la integridad de la
información.
Política
PSI 5.1.1. Política de utilización de controles criptográficos: Se
implementarán controles criptográficos a fin de resguardar información
confidencial y/o secreta en los siguientes casos:
a) Todos los sitios web del MINISTERIO DE TRANSPORTE tendrán que estar
bajo el dominio *.transporte.gob.ar a fin de utilizar el certificado
SSL correspondiente y así brindar mayor seguridad a las aplicaciones
web.
b) Para la transmisión de información clasificada, fuera del ámbito del
Organismo.
c) Para el resguardo de información, cuando así surja de la evaluación
de riesgos realizada por el propietario de la información y el
responsable de Seguridad de la Información.
10. PROTECCIÓN FÍSICA Y AMBIENTAL
10.1. Áreas Seguras
Objetivo
Evitar el acceso físico no autorizado, daño e interferencia con la
información y los locales del Organismo.
Los medios de procesamiento de información crítica o confidencial deben
ubicarse en áreas seguras, protegidas por los perímetros de seguridad
definidos, con las barreras de seguridad y controles de entrada
apropiados. Deben estar físicamente protegidos del acceso no
autorizado, daño e interferencia.
Política
PSI 6.1.1. Áreas seguras: Los medios de procesamiento de información
crítica o confidencial deben ubicarse en áreas seguras, protegidas por
los perímetros de seguridad definidos, con barreras de seguridad y
controles de entrada apropiados.
PSI 6.1.2. Perímetro de seguridad física: En caso de corresponder, se
crearán barreras físicas sobre los perímetros de seguridad que limiten
el acceso del personal no autorizado a las áreas contenedoras de
activos físicos afectados al funcionamiento, almacenamiento o
procesamiento de información.
PSI 6.1.3. Depósitos y áreas de acceso público: Se controlará el acceso
a los depósitos y áreas públicas. Éstos deben estar aislados de las
áreas de procesamiento de información.
PSI 6.1.4. Protección de equipos: El equipamiento será ubicado y
protegido de tal manera que se reduzcan los riesgos ocasionados por
amenazas y peligros ambientales, y las oportunidades de acceso no
autorizado.
PSI 6.1.5. Instalaciones de suministro: El equipamiento en centros de
procesamiento de información estará protegido con respecto a las
posibles fallas en el suministro de energía u otras anomalías
eléctricas. El suministro de energía estará de acuerdo con las
especificaciones del fabricante o proveedor de cada equipo.
PSI 6.1.6. Mantenimiento de equipos: Se realizará el mantenimiento de
los equipos informáticos para asegurar su disponibilidad e integridad
permanentes.
PSI 6.1.7. Seguridad de los equipos fuera de las instalaciones: El uso
de equipos destinados al procesamiento de información fuera del
Organismo será autorizado por el responsable de la unidad organizativa.
La seguridad provista debe ser equivalente a la suministrada dentro del
ámbito del Organismo para un propósito similar, teniendo en cuenta los
riesgos de trabajar fuera de la misma.
PSI 6.1.8. Equipo Informático de usuario desatendido: El Organismo
garantizará la adecuada protección de los equipos desatendidos. No
obstante, los usuarios deberán cumplir con las normativas de uso que se
establezcan al respecto.
Sin perjuicio de lo mencionado, los usuarios deberán:
a) Concluir las sesiones activas al
finalizar las tareas, a menos que puedan protegerse mediante un
mecanismo de bloqueo adecuado, por ejemplo, un protector de pantalla
protegido por contraseña.
b) Proteger las terminales contra usos no autorizados mediante un
bloqueo de seguridad o control equivalente, por ejemplo, contraseña de
acceso cuando no se utilizan.
PSI 6.1.9. Políticas de escritorios limpios: Se adopta una política de
escritorios limpios para proteger documentos en papel y dispositivos de
almacenamiento removibles y una política de pantallas limpias en las
instalaciones de procesamiento de información, a fin de reducir los
riesgos de acceso no autorizado, pérdida y daño de la información,
tanto durante el horario normal de trabajo como fuera del mismo.
Se aplicarán los siguientes lineamientos:
a) Almacenar bajo llave, cuando
corresponda, los documentos en papel y los medios informáticos, en
gabinetes y/u otro tipo de mobiliario seguro cuando no están siendo
utilizados, especialmente fuera del horario de trabajo.
b) Guardar bajo llave la información sensible o crítica del Organismo
(preferentemente en una caja fuerte o gabinete a prueba de incendios)
cuando no está en uso, especialmente cuando no hay personal en la
oficina.
c) Bloqueo de las computadoras, cuando están desatendidas. Las mismas
deben ser protegidas mediante contraseñas u otros controles cuando no
están en uso (como por ejemplo la utilización de protectores de
pantalla con contraseña). Los responsables de cada área mantendrán un
registro de las contraseñas o copia de las llaves de seguridad
utilizadas en el sector a su cargo.
11. SEGURIDAD DE LAS OPERACIONES
11.1. Procedimientos y
Responsabilidades Operativas
Objetivo
Asegurar la operación correcta y segura de los medios de procesamiento
de la información.
Se deben establecer las responsabilidades y procedimientos para la
gestión y operación de todos los medios de procesamiento de la
información. Esto incluye el desarrollo de los procedimientos de
operación apropiados.
Política
PSI 7.1.1. Documentación de los procedimientos: Se documentarán y
mantendrán actualizados los procedimientos operativos identificados en
esta política y sus cambios serán autorizados por el responsable de
Seguridad de la Información.
PSI 7.1.2. Gestión de cambios en las operaciones: Se definirán
procedimientos para el control de los cambios en el ambiente operativo
y de comunicaciones.
El responsable de Seguridad de la Información controlará que los
cambios en los componentes operativos y de comunicaciones no afecten la
seguridad de los mismos ni de la información que soportan. El
MINISTERIO DE TRANSPORTE evaluará el posible impacto operativo de los
cambios previstos y verificará su correcta implementación.
PSI 7.1.3. Gestión de la capacidad: Se debe realizar monitoreo de las
necesidades de capacidad de los sistemas en operación y proyectar las
futuras demandas a fin de garantizar un procesamiento y almacenamiento
adecuados.
PSI 7.1.4. Separación de entornos de desarrollo, pruebas y
operacionales: Los ambientes de desarrollo, prueba y operaciones,
siempre que sea posible, estarán separados y se definirán y
documentarán las reglas para la transferencia de software desde el
estado de desarrollo hacia el estado productivo.
11.2. Protección contra el código
malicioso
Objetivo
Proteger la integridad del software y la integración. Se requiere tomar
precauciones para evitar y detectar la introducción de códigos
maliciosos. El software y los medios de procesamiento de la información
son vulnerables a la introducción de códigos maliciosos, como ser,
entre otros, virus, troyanos, gusanos, bombas lógicas, etc. Los
usuarios deben estar al tanto de los peligros de los códigos
maliciosos. Cuando sea apropiado, los responsables de las reparticiones
deben introducir controles para evitar, detectar y eliminar los códigos
maliciosos.
Política
PSI 7.2.1. Protección contra el código malicioso: El responsable de
Seguridad de la Información definirá controles de detección y
prevención para la protección contra software malicioso. El responsable
de la DIRECCIÓN DE INFORMÁTICA Y TECNOLOGÍA o el personal designado por
éste, implementará dichos controles.
11.3. Copias de Seguridad de la
Información
Objetivo
Mantener la integridad y disponibilidad de la información y los medios
de procesamiento de información.
Se deben establecer los procedimientos de rutina para implementar la
política de respaldo acordada y la estrategia para tomar copias de
respaldo de los datos y practicar su restauración oportuna.
Política
PSI 7.3.1. Copias de Seguridad de la Información: La unidad responsable
de la plataforma tecnológica junto al responsable de Seguridad de la
Información definirá los esquemas de resguardos y restauración de la
información crítica del MINISTERIO DE TRANSPORTE.
Los sistemas de resguardo deberán probarse periódicamente, asegurándose
de que cumplen con los requerimientos de los planes de continuidad de
las actividades del Organismo.
11.4. Registro y Monitoreo
Objetivo
Detectar las actividades de procesamiento de información no autorizadas.
Se deben monitorear los sistemas y se deben reportar los eventos de
Seguridad de la Información. Se deben utilizar bitácoras de operador y
se deben registrar las fallas para asegurar que se identifiquen los
problemas en los sistemas de información. Una organización debe cumplir
con todos los requerimientos legales relevantes aplicables a sus
actividades de monitoreo y registro.
Política
PSI 7.4.1. Registro de eventos: Se producirán y mantendrán registros de
auditoría en los cuales se preserven las actividades, excepciones, y
eventos de Seguridad de la Información de los usuarios, administradores
y operadores de sistemas, por un período acordado para permitir la
detección e investigación de incidentes.
PSI 7.4.2. Protección del registro de información: Se implementarán
controles para la protección de los registros de auditoría contra
cambios no autorizados y problemas operacionales.
PSI 7.4.3. Sincronización de relojes: Se dispondrá de un procedimiento
de ajuste de relojes, el cual indicará también la verificación de los
mismos contra una fuente externa del dato y la modalidad de corrección
ante cualquier variación significativa.
PSI 7.4.4. Monitoreo de la plataforma: El MINISTERIO DE TRANSPORTE
realizará un monitoreo de la plataforma a fin de proteger los activos
de información contra eventos que afecten su disponibilidad,
confidencialidad e integridad. Para ello implementará dispositivos que
registran el uso de los activos información tales como internet, redes
públicas y privadas, aplicaciones, datos accedidos, entre otros.
Los accesos y usos de la plataforma informática serán registrados a fin
de garantizar la trazabilidad y apoyar las investigaciones ante
incidentes que puedan comprometer sus activos de información.
11.5. Administración de
vulnerabilidades técnicas
Objetivo
Se implementará la gestión de las vulnerabilidades técnicas de forma
efectiva, sistemática y repetible, con mediciones que confirmen su
efectividad. Dichas consideraciones incluirán los sistemas operativos,
y cualquier otra aplicación en uso.
Política
PSI 7.5.1. Restricciones en la instalación de software: El Organismo,
considerando las Políticas de Seguridad de la Información, evaluará,
autorizará e instalará el software en los equipos de computación del
mismo.
PSI 7.5.1. Administración de vulnerabilidades técnicas: Se obtendrá
información oportuna acerca de las vulnerabilidades técnicas de los
sistemas de información utilizados, la exposición del Organismo a tales
vulnerabilidades evaluadas, y se tomarán las medidas necesarias para
tratar los riesgos asociados. El responsable de Seguridad de la
Información junto con la DIRECCIÓN DE INFORMÁTICA Y TECNOLOGÍA
establecerán los procedimientos para detectar las vulnerabilidades y el
tratamiento de los riesgos, los que serán notificados a las áreas
correspondientes.
11.6. Auditoría de los sistemas de
información
Objetivo
Minimizar el impacto de las actividades de auditoría en los sistemas
operacionales.
Política
PSI 7.6.1. Controles de auditoría de los sistemas de información:
Cuando se realicen actividades de auditoría que involucren
verificaciones de los sistemas en producción, se tomarán recaudos en la
planificación de los requerimientos y tareas, y se acordará con las
áreas involucradas a efectos de minimizar el riesgo de interrupciones
en las operaciones.
PSI 7.6.2. Protección de los elementos utilizados por la auditoría de
sistemas: Se protegerá el acceso a los elementos utilizados en las
auditorías de sistemas, o sea archivos de datos o software, a fin de
evitar el mal uso o el compromiso de los mismos.
Dichas herramientas estarán separadas de los sistemas en producción y
de desarrollo, y se les otorgará el nivel de protección requerido.
Se tomarán los recaudos necesarios a efectos de cumplimentar las normas
de auditoría dispuestas por la SINDICATURA GENERAL DE LA NACIÓN.
12. GESTIÓN DE COMUNICACIONES
12.1. Gestión de la Seguridad de la Red
Objetivo
Asegurar la protección de la información en redes y la protección de la
infraestructura de soporte.
La gestión segura de las redes, la cual puede abarcar los límites
organizacionales, requiere de la cuidadosa consideración del flujo de
datos, implicancias legales, monitoreo y protección.
También se pueden requerir controles adicionales para proteger la
información confidencial que pasa a través de redes públicas.
Política
PSI 8.1.1. Redes: El responsable de Seguridad de la Información
definirá controles para garantizar la seguridad de los datos y los
servicios conectados en las redes del Organismo, contra el acceso no
autorizado.
PSI 8.1.2. Seguridad de los servicios de red: El responsable de
Seguridad de la Información junto con la unidad responsable de la
plataforma tecnológica definirán las pautas para garantizar la
seguridad de los servicios de red del Organismo, tanto públicos como
privados.
12.2. Transferencia de información
Objetivo
Mantener la seguridad en el intercambio de información dentro del
Organismo y con cualquier otra entidad externa.
Los intercambios de información dentro de las organizaciones se deben
basar en una política formal de intercambio, seguida en línea con los
acuerdos de intercambio, y debiera cumplir con cualquier legislación
relevante.
Política
PSI 8.2.1. Intercambio de la información: Se establecerán
procedimientos y controles formales para proteger el intercambio de
información tomando en cuenta su nivel confidencialidad y criticidad.
PSI 8.2.2. Acuerdos de intercambio de información: Cuando se realicen
acuerdos entre organizaciones para el intercambio de información y
software, se especificarán el grado de sensibilidad de la información
del Organismo involucrada y las consideraciones de seguridad sobre la
misma.
13. ADQUISICIÓN, DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
13.1. Requerimientos de Seguridad de
los Sistemas
Objetivo
Asegurar la inclusión de controles de seguridad y validación de datos
en la adquisición y el desarrollo de los sistemas de información.
Definir y documentar las normas y procedimientos que se aplicarán
durante el ciclo de vida de los aplicativos y en la infraestructura de
base en la cual se apoyan.
Definir los métodos de protección de la información crítica o sensible.
Política
PSI 9.1.1. Análisis y especificaciones de los requerimientos de
seguridad: Se deben
incorporar controles de seguridad en los requerimientos para nuevos
sistemas o mejoras a los existentes. Para ello se contará la asesoría
del responsable de Seguridad de la Información del MINISTERIO DE
TRANSPORTE.
PSI 9.1.2. Política de desarrollo seguro: El Organismo controlará que
todo software o sistema de información desarrollado interna o
externamente cumplan con los lineamientos de seguridad informática,
tales como:
• Control de cambios en los
sistemas/software.
• Principios de construcción seguros.
• Ambientes de desarrollo seguro.
• Pruebas de seguridad.
• Pruebas de aceptación.
• Protección de datos de prueba
PSI 9.1.3. Control de cambios: A fin de minimizar los riesgos de
alteración de los sistemas de información, se implementarán controles
estrictos durante la implementación de cambios imponiendo el
cumplimiento de procedimientos formales. Éstos garantizarán que se
cumplan los procedimientos de seguridad y control, respetando la
división de funciones.
PSI 9.1.4. Revisión técnica de los cambios en el sistema operativo:
Toda vez que sea necesario realizar un cambio en el sistema operativo,
los sistemas serán revisados para asegurar que no se produzca un
impacto en su funcionamiento o seguridad. Para ello, se definirá un
procedimiento que incluya:
a) Revisar los procedimientos de
integridad y control de aplicaciones para garantizar que no hayan sido
comprometidas por el cambio.
b) Garantizar que los cambios en el sistema operativo sean informados
con anterioridad a la implementación.
c) Asegurar la actualización de los planes de continuidad del Organismo.
PSI 9.1.5. Restricción del cambio de paquetes de software: En caso de
considerarlo necesario la modificación de paquetes de software
suministrados por proveedores, el Organismo deberá:
a) Analizar los términos y condiciones
de la licencia a fin de determinar si las modificaciones se encuentran
autorizadas.
b) Determinar la conveniencia de que la modificación sea efectuada por
el Organismo, por el proveedor o por un tercero.
c) Evaluar el impacto que se produciría si el Organismo se hace cargo
del mantenimiento.
d) Retener el software original realizando los cambios sobre una copia
perfectamente identificada, documentando exhaustivamente por si fuera
necesario aplicarlo a nuevas versiones.
PSI 9.1.6. Uso de principios de seguridad en ingeniería de sistemas: La
Dirección responsable del desarrollo de software, deberá aplicar
principios para ingeniería de sistemas seguros, que se documentarán y
aplicarán en la implementación de cualquier sistema de información.
PSI 9.1.7. Entorno de desarrollo seguro: La Dirección responsable del
desarrollo de software deberá definir y establecer formalmente la
documentación requerida en las diferentes etapas de ciclo de vida de
los sistemas.
PSI 9.1.8. Desarrollo externo de software: Para el caso que se
considere la tercerización del desarrollo de software, se establecerán
normas y procedimientos que contemplen los siguientes puntos:
a) Acuerdos de licencias, propiedad de
código y derechos conferidos.
b) Requerimientos contractuales con respecto a la calidad y seguridad
del código y la existencia de garantías.
c) Procedimientos de certificación de la calidad y precisión del
trabajo llevado a cabo por el proveedor, que incluyan auditorías,
revisión de código para detectar código malicioso, verificación del
cumplimiento de los requerimientos de seguridad del software
establecidos, etc.
d) Verificación del cumplimiento de las condiciones de seguridad.
e) Acuerdos de custodia de las fuentes del software (y cualquier otra
información requerida) en caso de quiebra en caso de quiebra y/o
inhabilidad de la tercera parte.
14. RELACIONES CON PROVEEDORES
14.1. Seguridad de la información en
las relaciones con el proveedor
Objetivo
Garantizar y asegurar la protección de la información del Organismo que
es accedida por losproveedores, cumpliendo con el nivel de seguridad
establecido.
Política
PSI 10.1.1. Política de Seguridad de la Información para las relaciones
con el proveedor: Se deberán acordar y documentar los requisitos de
Seguridad de la Información para mitigar los riesgos asociados al
acceso de los proveedores a los activos de información del Organismo.
El Organismo deberá identificar e imponer controles de Seguridad de la
Información para abordar específicamente el acceso de los proveedores a
la información del Organismo en una política.
PSI 10.1.2. Cadena de suministro de tecnologías de la información y
comunicaciones: Se deberán incluir en los acuerdos con los proveedores,
los requisitos para abordar los riesgos de Seguridad de la Información
asociados con la cadena de suministro de los servicios y productos de
tecnología de información y comunicaciones.
14.2. Administración de Prestación de
Servicios de Proveedores
Objetivo
Garantizar el mantenimiento del nivel acordado de seguridad de
información y prestación de servicios conforme a los acuerdos del
proveedor.
Política
PSI 10.2.1. Supervisión y revisión de los servicios del proveedor: Se
llevará a cabo el seguimiento, control y revisión de los servicios de
las terceras partes asegurando que se encuentran adheridos a los
términos de Seguridad de la Información y las condiciones definidas en
los acuerdos, y que los incidentes de Seguridad de la Información y los
problemas son manejados en forma apropiada.
El Organismo mantendrá control suficiente y visión general de todos los
aspectos de seguridad para la información sensible o crítica, o de las
instalaciones de procesamiento de información accedida, procesada o
gestionada por una tercera parte, asegurando que se mantenga la
visibilidad de las actividades de seguridad como gestión de cambios,
identificación de vulnerabilidades y reporte/respuesta de incidentes de
seguridad de información a través de un proceso de reportes claro y
definido, con formato y estructura.
Se prohíbe expresamente a los usuarios la utilización de herramientas
automatizadas para la detección de debilidades y/o fallas de seguridad.
15. GESTIÓN DE INCIDENTES DE SEGURIDAD
15.1. Gestión de los Incidentes y
Mejoras de la Seguridad de la Información
Objetivo
Garantizar que los eventos de Seguridad de la Información y las
debilidades asociados a los sistemas de información sean comunicados de
forma tal que se apliquen las acciones correctivas en el tiempo
oportuno.
Política
PSI 11.1.1. Responsabilidades y procedimientos: Se establecerán
funciones y procedimientos de manejo de incidentes garantizando una
respuesta rápida, eficaz y sistemática a los incidentes relativos a
seguridad.
PSI 11.1.2. Reporte de los eventos de la seguridad de información: Los
incidentes relativos a la seguridad serán comunicados tan pronto como
sea posible.
Ante la detección de un supuesto incidente o violación de la seguridad,
el responsable de Seguridad de la Información será informado tan pronto
como se haya tomado conocimiento. Éste indicará los recursos necesarios
para la investigación y resolución del incidente, y se encargará de su
monitoreo.
PSI 11.1.3. Reporte de las debilidades de la seguridad: Los usuarios de
servicios de información, al momento de tomar conocimiento directo o
indirectamente acerca de una debilidad de seguridad, son responsables
de registrar y comunicar formalmente las mismas al responsable de
Seguridad de la Información.
Se prohíbe expresamente a los usuarios la realización de pruebas para
detectar y/o utilizar una supuesta debilidad o falla de seguridad.
PSI 11.1.4. Recopilación de evidencias: Ante cualquier evento de
seguridad será necesario contar con una adecuada evidencia, para ello
los sistemas recolectarán los registros correspondientes, que asimismo
permitan deslindar cualquier tipo de responsabilidad, según lo
establecido en la presente Política.
Los propietarios de procesos y recursos de información, con la
asistencia del responsable de Seguridad de la Información, elaborarán
los planes de contingencia necesarios para garantizar la continuidad de
las actividades del Organismo.
16. GESTIÓN DE LA CONTINUIDAD
16.1. Gestión de Continuidad del
Organismo
Objetivo
Contraatacar las interrupciones a las actividades del Organismo y
proteger los procesos críticos de los efectos de fallas importantes o
desastres en los sistemas de información y asegurar su reanudación
oportuna.
Política
PSI 12.1.1. Proceso de administración de la continuidad de las
actividades del Organismo: El responsable de Seguridad de la
Información será el responsable de la coordinación del desarrollo de
los procesos que garanticen la continuidad de las actividades del
Organismo.
PSI 12.1.2. Elaboración e implementación de los planes de continuidad
de las actividades del Organismo: Los propietarios de procesos y
recursos de información, con la asistencia del responsable de Seguridad
de la Información, elaborarán los planes de contingencia necesarios
para garantizar la continuidad de las actividades del Organismo.
PSI 12.1.3. Continuidad de las actividades y análisis de los impactos:
El Organismo identificará los eventos (amenazas) que puedan ocasionar
interrupciones en los procesos de las actividades, evaluará los riesgos
para determinar el impacto de dichas interrupciones e identificará los
controles preventivos.
PSI 12.1.4. Prueba, mantenimiento y reevaluación de los planes de
continuidad del organismo: El responsable de Seguridad de la
Información establecerá un cronograma de pruebas periódicas de cada uno
de los planes de contingencia. El cronograma indicará quienes son los
responsables de llevar a cabo cada una de las pruebas.
16.2. Redundancias
Objetivo
Asegurar la continuidad de la información y que esté integrada a los
sistemas de gestión.
Política
PSI 12.2.1. Disponibilidad de las instalaciones de procesamiento de la
información: Se deberán contar con esquemas de redundancia en los
centros de procesamiento de información. Para ello, el Organismo deberá
identificar los requisitos funcionales para considerar los componentes
o arquitecturas redundantes. Hay que tener en cuenta durante el diseño,
la actividad de la gestión de los riesgos de integridad y
confidencialidad de la información que puedan acarrear las redundancias.
17. CUMPLIMIENTO
17.1. Cumplimiento de Requisitos
Legales
Objetivo
Evitar las violaciones a cualquier ley, regulación estatutaria,
reguladora o contractual y cualquier requerimiento de seguridad.
El diseño, operación, uso y gestión de los sistemas de información
pueden estar sujetos a requerimientos de seguridad estatutarios,
reguladores y contractuales.
Política
PSI 13.1.1. Identificación de la legislación aplicable: Se definirán y
documentarán claramente todos los requisitos normativos y contractuales
pertinentes para cada sistema de información. Del mismo modo se
definirán y documentarán los controles específicos y las
responsabilidades y funciones individuales para cumplir con dichos
requisitos.
PSI 13.1.2. Derechos de propiedad intelectual: Se implementarán
procedimientos adecuados para garantizar el cumplimiento de las
restricciones legales al uso del material protegido por normas de
propiedad intelectual.
Los empleados únicamente podrán utilizar material autorizado por el
Organismo. El Organismo solo podrá autorizar el uso de material
producido por el mismo, o material autorizado o suministrado al mismo
por su titular, conforme los términos y condiciones acordadas y lo
dispuesto por la normativa vigente.
PSI 13.1.3. Protección de los registros del Organismo: Los registros
críticos del Organismo se protegerán contra pérdida, destrucción y
falsificación. Algunos registros pueden requerir una retención segura
para cumplir requisitos legales o normativos, así como para respaldar
actividades esenciales del Organismo.
PSI 13.1.4. Protección de datos y privacidad de la información
personal: Todos los empleados, contratistas y terceros que desarrollen
tareas en el Organismo, deberán conocer las restricciones al
tratamiento de los datos y de la información respecto a la cual tengan
conocimiento con motivo del ejercicio de sus funciones.
El MINISTERIO DE TRASNPORTE redactará un “Compromiso de
Confidencialidad”, el cual debe ser suscripto por todos los
funcionarios públicos y contratistas. La copia firmada del compromiso
será retenida en forma segura por el Organismo.
Mediante este instrumento el empleado, contratistas y/o tercero se
comprometerá a utilizar la información solamente para el uso específico
al que se ha destinado y a no comunicar, diseminar o de alguna otra
forma hacer pública la información a ninguna persona, firma, compañía o
tercera persona, salvo autorización previa y escrita del responsable
del activo de que se trate. A través del “Compromiso de
Confidencialidad” se advertirá que determinadas actividades pueden ser
objeto de control y monitoreo. Estas actividades deben ser detalladas a
fin de no violar el derecho a la privacidad del individuo.
PSI 13.1.5. Uso Inadecuado de los recursos de procesamiento de
información: Los recursos de procesamiento de información del Organismo
se suministran con un propósito determinado.
Toda utilización de estos recursos con propósitos no autorizados o
ajenos al destino por el cual fueron provistos debe ser considerada
como uso indebido.
Todos los empleados y quienes desempeñen tareas en el Organismo deben
conocer el alcance preciso del uso adecuado de los recursos
informáticos y deben respetarlo.
PSI 13.1.6. Uso del correo electrónico: El correo electrónico es
también un instrumento de trabajo propiedad del Organismo y como tal,
su utilización debe estar relacionada con los cometidos laborales
encomendados, sin que pueda utilizarse como instrumento para el
intercambio de información cuyo contenido sea ajeno a las gestiones de
esas tareas. Las comunicaciones realizadas a través de cuentas
oficiales de correo electrónico no pueden considerarse privadas y no
son apropiadas para remitir información personal y/o confidencial.
PSI 13.1.7. Regulación de controles para el uso de criptografía: Al
utilizar firmas digitales o electrónicas, se debe considerar lo
dispuesto por la Ley N°25.506 y su Decreto Reglamentario Decreto
2628/02, que establecen las condiciones bajo las cuales una firma
digital es legalmente válida.
PSI 13.1.8. Recolección de Evidencia: Es necesario contar con adecuada
evidencia para respaldar una acción contra una persona u organización.
Siempre que esta acción responda a una medida disciplinaria interna, la
evidencia necesaria estará descrita en los procedimientos internos.
Cuando la acción implique la aplicación de una ley, la evidencia
presentada debe cumplir con lo establecido por las normas procesales.
Para lograr la validez de la evidencia, el Organismo garantizará que
sus sistemas de información cumplen con la normativa y los estándares o
códigos de práctica relativos a la producción de evidencia válida.
Cuando se detecta un incidente, puede no resultar obvio si éste
derivará en una demanda legal por lo tanto se deben tomar todos los
recaudos establecidos para la obtención y preservación de la evidencia.
Se debe tener presente lo dispuesto por el Reglamento de
Investigaciones Administrativas, procedimiento administrativo especial,
de naturaleza correctiva interna que constituye garantía suficiente
para la protección de los derechos y correcto ejercicio de las
responsabilidades impuestas a los agentes públicos. Este Decreto debe
ser complementado por lo dispuesto en la Ley N° 19.549 (Ley de
Procedimientos Administrativos) y por toda otra normativa aplicable,
incluido el Código Penal, el que sanciona a quien sustrajere, alterare,
ocultare, destruyere o inutilizare en todo o en parte objetos
destinados a servir de prueba ante la autoridad competente, registros o
documentos confiados a la custodia de un funcionario público o de otra
persona en el interés del servicio público (Art. 255).
PSI 13.1.9. Delitos Informáticos: Todos los empleados deben conocer la
existencia de la Ley N°26.388 de Delitos Informáticos, a partir de cuyo
dictado se castigan penalmente ciertas conductas cometidas mediante
medios informáticos. En tal sentido, los agentes públicos deben conocer
con exactitud el alcance de los nuevos tipos penales introducidos por
la norma mencionada.
Cabe señalar que la mayoría de las conductas descritas por dicha norma
vinculada ya han sido señaladas en los apartados precedentes.
17.2. Categoría: Revisiones de la
Política de Seguridad de la Información y la Compatibilidad Técnica
Objetivo
Asegurar el cumplimiento de los sistemas con las políticas y estándares
de seguridad organizacional. La seguridad de los sistemas de
información se debiera revisar regularmente.
Política
PSI 13.2.1. Cumplimiento de la política de seguridad: Cada responsable
de unidad organizativa velará por la correcta implementación y
cumplimiento de las normas y procedimientos de seguridad establecidos,
dentro de su área de responsabilidad.
El responsable de Seguridad de la Información realizará revisiones
periódicas de todas las áreas del Organismo a efectos de garantizar el
cumplimiento de la política, normas y procedimientos de seguridad.
PSI 13.2.2. Comprobación del cumplimiento: El responsable de Seguridad
de la Información verificará periódicamente que los sistemas de
información cumplan con la política, normas y procedimientos de
seguridad, las que incluirán la revisión de los sistemas en producción
a fin de garantizar que los controles de hardware y software hayan sido
correctamente implementados. En caso de ser necesario, estas revisiones
contemplarán la asistencia técnica especializada.
El resultado de la evaluación se volcará en un informe técnico para su
ulterior interpretación por parte de los especialistas. Para ello, la
tarea podrá ser realizada por un profesional experimentado (en forma
manual o con el apoyo de herramientas de software), o por un paquete de
software automatizado que genere reportes que serán interpretados por
un especialista técnico.
La verificación del cumplimiento comprenderá pruebas de penetración y
tendrá como objetivo la detección de vulnerabilidades en el sistema y
la verificación de la eficacia de los controles con relación a la
prevención de accesos no autorizados. Se tomarán los recaudos
necesarios en el caso de pruebas de penetración exitosas que
comprometan la seguridad del sistema.
Las verificaciones de cumplimiento sólo serán realizadas por personas
competentes, formalmente autorizadas y bajo la supervisión.
PSI 13.2.3. Sanciones previstas por incumplimiento: Se sancionará
administrativamente a toda conducta que sea contraria a lo dispuesto en
la presente Política de Seguridad de la Información conforme a lo
dispuesto por las normas estatutarias, escalafonarias y convencionales
que rigen al personal de la Administración Pública.
IF-2023-86487121-APN-SSGA#MTR