e. 07/08/2023 N° 60726/23 v. 07/08/2023

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

ÍNDICE

Los Organismos del Sector Público Nacional comprendidos en el artículo 8° de la Ley N° 24.156 y sus modificatorias son de los principales receptores y productores de información de nuestro país. Esa información pertenece mayormente a sus habitantes y a las diversas entidades públicas y privadas que desarrollan sus actividades en su territorio. Todos ellos confían sus datos a los Organismos que lo componen para distintos fines.

La información puede ser hoy en día objeto de una amplia gama de peligros, amenazas y usos indebidos e ilícitos, debiéndose, por lo tanto, extremar las medidas tendientes a la preservación de su confidencialidad, integridad y disponibilidad. Con esto se busca proteger los derechos y libertades individuales de las personas al tiempo de contribuir a la efectiva prestación continua e ininterrumpida de los diversos servicios prestados por las diferentes entidades y jurisdicciones y, al mismo tiempo, propender a su correcta y mejor gestión interna.

En un contexto de transversalidad en el uso de las tecnologías para la vida social, económica, política y cultural de las personas, la Seguridad de la Información cumple un rol fundamental. Por consiguiente, los agentes públicos, cualquiera sea el nivel jerárquico y la modalidad de contratación, tienen la obligación de dar tratamiento y hacer un uso responsable, seguro y cuidado de los datos que utilizan en sus labores habituales, adoptando todas las medidas a su alcance para protegerlos.

Los responsables de los activos de la información deben atender y diligenciar los recursos necesarios para asegurar el cumplimiento de los objetivos de la presente en el ámbito de su jurisdicción. En tal sentido, los datos gestionados en los Organismos deben ser protegidos tanto dentro como fuera del ámbito institucional, con independencia del formato y del soporte en el que estén contenidos y si los mismos están siendo objeto de tratamiento electrónico, se encuentran almacenados o están siendo transmitidos.

Los Organismos determinarán sus políticas, normas específicas, procedimientos y guías que, sobre la base de los siguientes requisitos mínimos, sean aplicables a los procesos específicos que desarrollen. Este conjunto de normas debe surgir a partir de un análisis de los riesgos para los procesos que lleven adelante. Se entenderán como principios de Seguridad de la Información a la preservación de confidencialidad, integridad y disponibilidad de la información y de los activos de información del Sector Público Nacional.

Desde esta perspectiva y teniendo en cuenta que la información puede definirse como un activo que resulta esencial para el MINISTERIO DE TRANSPORTE como Organismo integrante del Sector Público Nacional el mismo necesita ser protegido adecuadamente.

Por otra parte, la Seguridad de la Información refiere a la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad de funcionamiento del MINISTERIO DE TRANSPORTE minimizándose los riesgos que pudieran surgir en las operaciones que se generan en el Organismo.

En ese contexto, conforme la manda normativa, este MINISTERIO DE TRANSPORTE a partir de la aprobación de las presentes “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN EN LA ÓRBITA DEL MINITERIO DE TRANSPORTE” tiene como objetivo final adecuar el conjunto de estructuras organizacionales y funciones de software y hardware que responderán a los lineamientos del instrumento Modelo aprobado por la OFICINA NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN.

Asimismo, dentro de los objetivos, resulta ineludible definir determinados conceptos específicos de la temática a fin de propender una comunicación fluida entre las áreas que manipularan el manejo de la información en la órbita de este MINISTERIO DE TRANSPORTE, tales como: información, procesos; sistemas y redes de apoyo. Todos ellos entendidos como activos estratégicos en la Administración Pública Nacional.

2.1. Objetivo General

Establecer los lineamientos generales y mínimos para los Organismos del Sector Público Nacional comprendidos en el inciso a) del artículo 8° de la Ley N° 24.156, con el fin de protegerlos activos de información, frente a riesgos internos o externos, que pudieran afectarlos, para así preservar su confidencialidad, integridad y disponibilidad.

2.2. Objetivos Específicos

• Proteger los derechos de los titulares de datos personales o propietarios de información que es tratada por el Sector Público Nacional.

• Proteger la información, los datos personales y activos de información propios del conjunto de Organismos que componen el Sector Público Nacional.

• Promover una política pública que enmarque una conducta responsable en materia de Seguridad de la Información de los Organismos que conforman el Sector Público Nacional, sus agentes y funcionarios.

• Evidenciar el compromiso e interés de quienes componen el Sector Público Nacional en pos deldesarrollo de una cultura de ciberseguridad.

El objetivo del presente instrumento es establecer criterios y directrices en la órbita del MINISTERIO DE TRANSPORTE a fin de propender a una gestión adecuada de la seguridad de la información, los sistemas informáticos y el ambiente tecnológico, en cumplimiento de las disposiciones legales vigentes.

Los alcances del presente instrumento recaen sobre:

• Activos: Todos los activos de información administrados o generados por el MINISTERIO DE TRANSPORTE, en las formas que éstos se presenten.

• Sujetos alcanzados: Las Políticas de Seguridad de la Información alcanzan a todos los sujetos que se encuentran comprendidos bajo un régimen laboral en la órbita del MINISTERIO DE TRANSPORTE. Las pautas de Seguridad de la Información deberán ser conocidas y cumplidas por toda la planta de personal del Organismo, tanto se trate de funcionarios políticos como técnicos y sea cual fuere su nivel jerárquico y situación de revista.

• Responsables: Las personas que tienen a cargo ejecutar las Políticas de Seguridad de la Información deben propender a la difusión y publicidad de los lineamientos aprobados en el presente documento.

A los efectos de una correcta interpretación de la presente Política de Seguridad de la Información, se realizan las siguientes definiciones:

• Acceso remoto: La habilidad para acceder a una computadora desde una ubicación apartada.

• Activo: Todo aquello que tiene o representa valor para el MINISTERIO DE TRANSPORTE.

• Activo de información: Es cualquier información o sistema relacionado con el tratamiento de lamisma que tenga valor para la organización. Pueden ser procesos de negocio, datos, aplicaciones, equipos informáticos, personal, soportes de información, redes, equipamiento auxiliar o instalaciones (conforme define el Centro Criptológico Nacional en su Informe de Actividad 2015-2016 -en adelante CCN- página 7).

• Antivirus: Es un programa informático específicamente diseñado para detectar, bloquear y eliminar código malicioso (virus, troyanos, gusanos, etc.) así como proteger los equipos de otros programas peligrosos conocidos genéricamente como malware (CCN, pág. 83).

• BCP: Abreviatura de «Business Continuity Plan». Es un conjunto formado por planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía (CCN, pág. 673).

• BIA: Abreviatura de «Business Impact Analysis» o análisis del impacto del negocio. Se trata de un informe que muestra el coste ocasionado por la interrupción de los procesos críticos de negocio. Este informe permitirá asignar una criticidad a los procesos de negocio, definir los objetivos de recuperación y determinar un tiempo de recuperación a cada uno de ellos (CCN, pág. 69).

• Cifrado: Proceso para convertir información en un formato ilegible aplicando un algoritmo criptográfico y se utiliza para proteger la información de la divulgación no autorizada. Sinónimo de algoritmo de cifra (CCN, pág. 218).

• Impacto: Consecuencia que sobre un activo tiene la materialización de una amenaza. Información: Se refiere a toda comunicación o representación de conocimiento como datos,en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.

• Custodio de la Información: En el MINISTERIO DE TRANSPORTE serán custodios de la información y administración técnica de los sistemas que utilizan esta información la DIRECCIÓN DE INFORMÁTICA Y TECNOLOGÍA dependientes de la DIRECCIÓN GENERAL DE INFRAESTRUCTURA Y SERVICIOS de la SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA.

• Fuga de datos o fuga de información: Es la pérdida de la confidencialidad de la información privada de una persona o empresa.

• Funciones críticas: Aquellas cuya interrupción, perturbación o afectación total o parcial puede tener un efecto significativo para la sociedad.

• Informática forense: Proceso de investigación de los sistemas de información para detectar toda evidencia que pueda ser presentada como prueba fehaciente en un procedimiento judicial. Se aplican técnicas científicas y analíticas especializadas que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal (Instituto Nacional de Ciberseguridad, en adelante INCIBE).

• Infraestructuras críticas de información: Son las tecnologías de información, operación y comunicación, así como la información asociada, que resultan vitales para el funcionamiento o la seguridad de las Infraestructuras críticas.

• Infraestructuras críticas: Son aquellas que resultan indispensables para el adecuado funcionamiento de los servicios esenciales de la sociedad, la salud, la seguridad, la defensa, el bienestar social, la economía y el funcionamiento efectivo del Estado, cuya destrucción o perturbación, total o parcial, los afecte y/o impacte significativamente.

• Infraestructura tecnológica: El conjunto de dispositivos de hardware, software y comunicaciones utilizados por la organización para el cumplimiento de sus funciones, incluyendo el ámbito físico donde se encuentran ubicados.

• Organismo: En el presente documento el concepto Organismo hace referencia al MINISTERIO DE TRANSPORTE.

• Política: Orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado (CCN, pág. 679). Tiene como propósito influenciar y guiar en la toma de decisiones presentes y futuras describiendo, además, las consecuencias de la falta de cumplimiento de las mismas.

• Política de Seguridad de la Información: Decisiones o medidas de seguridad que el Organismo toma respecto a la seguridad de sus sistemas de información luego de evaluar el valor de sus activos y los riesgos (INCIBE). Suele plasmarse en un documento escrito (CCN, pág. 682).

• Propietario de la Información: Define a la persona responsable de la integridad, confidencialidad y disponibilidad de una cierta información.

• Sistema de Información: Se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.

• Tecnología de la Información: Se refiere al hardware y software operados por el Organismo o por un tercero que procese información en su nombre, para llevar a cabo una función propia del Organismo, sin tener en cuenta la tecnología utilizada, ya se trate de computación de datos, telecomunicaciones u otro tipo.

• Usuario: Se refiere a los trabajadores del MINISTERIO DE TRANSPORTE o relacionados que utilizan de manera recurrente las computadoras, sistemas de información y redes a fin de realizar sus tareas inherentes.

• Seguridad de la Información: La Seguridad de la Información se entiende como la preservación de las siguientes características:

• Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personasautorizadas.

• Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos deprocesamiento.

• Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la información y a losrecursos relacionados con la misma, toda vez que lo requieran.

Adicionalmente deben considerarse los siguientes términos:

• Autenticidad: Busca asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.

• Auditabilidad: Define que todos los eventos de un sistema deben poder ser registrados para su control posterior.

• Protección contra la duplicación de transacciones: Consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transacción para luego reproducirla, con el objeto de simular múltiples peticiones del mismo remitente original.

• No repudio: Se refiere a evitar que una entidad que haya enviado o recibido informaciónalegue ante terceros que no la envió o recibió.

• Legalidad: Referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeto el Organismo.

• Confiabilidad de la Información: Es decir, que la información generada sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones.

• Evaluación de Riesgos: Evaluación de las amenazas y vulnerabilidades relativas a la informacióny a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto en la operatoria del Organismo.

• Tratamiento de Riesgos: Proceso de selección e implementación de medidas para modificar el riesgo.

• Gestión de Riesgos: Actividades coordinadas para dirigir y controlar una organización en lo queconcierne al riesgo.

• Responsable de Seguridad de la Información: Es la persona que cumple la función de supervisar el cumplimiento de la presente Política y de asesorar en materia de Seguridad de la Información a los integrantes del Organismo que así lo requieran.

• Incidente de Seguridad: Evento adverso en un sistema de computadoras, o red de computadoras, que puede comprometer o compromete la confidencialidad, integridad y/o disponibilidad de la información. Puede ser causado mediante la explotación de alguna vulnerabilidad o un intento o amenaza de romper los mecanismos de seguridad existentes.

• Riesgo: Combinación de la probabilidad de ocurrencia de un evento y sus consecuencias o impacto.

• Amenaza: Una causa potencial de un incidente no deseado, el cual puede ocasionar daños a unsistema u organización.

• Vulnerabilidad: Una debilidad de un activo o grupo de activos que puede ser aprovechada por una amenaza.

• Control: Medio para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras organizacionales, las cuales pueden ser de naturaleza administrativa, técnica, de gestión, o legal.

Los requisitos mínimos de Seguridad serán revisados por la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS, o el área que la reemplace en el futuro, cuando lo estime conveniente, con una periodicidad no superior a DOCE (12) meses, a partir de su publicación o última actualización. Serán publicados también en el sitio de Internet que a tal fin establezca la citada dirección.

6.1. Política de Seguridad de la Información del Organismo

Objetivo

Manejar la Seguridad de la Información dentro del Organismo. Establecer un marco referencial, para iniciar y controlar la implementación de la Seguridad de la Información dentro del Organismo. Aprobar la política de Seguridad de la Información, asignar los roles de seguridad y coordinar y revisar la implementación de la seguridad en todo el Organismo.

PSI 1.1.1. Compromiso con la Seguridad de la Información: El MINISTERIO DE TRANSPORTE declara su compromiso con la Política de Seguridad de la Información (PSI) e insta a todos sus trabajadores, propios y contratados, a conocerlas e impulsarlas dentro de sus actividades diarias.

PSI 1.1.2. Asignación de responsabilidades de la Seguridad de la Información: La asignación de responsabilidades de la Seguridad de la Información debe ejecutarse en forma alineada a la Política de Seguridad de la Información.

Dichas funciones serán asignadas al Coordinador de Diseño y Desarrollo de Sistemas (responsable de Seguridad de la Información). Incluyen la supervisión de todos los aspectos inherentes a seguridad informática tratados en la presente Política.

PSI 1.1.3. Autorización para instalaciones de procesamiento de información: El responsable de Seguridad de la Información arbitrará los medios necesarios a los fines de otorgar lo requerido, garantizando que se cumplan todas las políticas y requerimientos de seguridad pertinentes.

PSI 1.1.4. Compromisos de confidencialidad: Se definirán, implementarán y revisarán regularmente los compromisos de confidencialidad o de no divulgación para la protección de la información del Organismo. Dichos compromisos deben responder a los requerimientos del Organismo. Asimismo, deben cumplir con toda legislación o normativa que alcance al MINISTERIO DE TRANSPORTE en materia de confidencialidad de la información. Dichos compromisos deben celebrarse tanto con el personal del Organismo como con aquellos terceros que se relacionen de alguna manera con su información.

PSI 1.1.5. Contacto con otros Organismos: A efectos de intercambiar experiencias y obtener asesoramiento para el mejoramiento de las prácticas y controles de seguridad, se mantendrán contactos con la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN (ONTI).

PSI 1.1.6. Revisión independiente de la Seguridad de la Información: La UNIDAD DE AUDITORÍA INTERNA realizará revisiones independientes sobre la vigencia, implementación y gestión de la Política de Seguridad de la Información, a efectos de garantizar que las prácticas del MINISTERIO DE TRANSPORTE reflejen adecuadamente sus disposiciones.

6.2. Dispositivos móviles y trabajo remoto

Objetivo

Asegurar la Seguridad de la Información cuando se utilizan medios informáticos y móviles.

La protección requerida se debe conmensurar con los riesgos que causan estas maneras de trabajo específicas. Cuando se utiliza computación móvil, se deben considerar los riesgos de trabajar en un ambiente desprotegido y se debiera aplicar la protección apropiada. En el caso del teletrabajo, la organización debe aplicar protección al lugar del teletrabajo y asegurar que se establezcan los arreglos adecuados para esta manera de trabajar.

Política

PSI 1.2.1. Dispositivos móviles: El MINISTERIO DE TRANSPORTE asigna dispositivos informáticos móviles a fin de apoyar las actividades inherentes del trabajador de acuerdo a sus responsabilidades. Teniendo en cuenta que la utilización de dispositivos móviles incrementa la probabilidad de ocurrencia de incidentes del tipo de pérdida, robo, hurto e ingreso de software malicioso, el Organismo establecerá las normas y procedimientos para su uso, a fin de garantizar que no se comprometa la información ni la infraestructura.

PSI 1.2.2. Trabajo remoto: El trabajo remoto sólo será autorizado por la Autoridad responsable de la Unidad Organizativa, o superior jerárquico correspondiente, a la cual pertenezca el usuario solicitante, y el responsable de Seguridad de la Información arbitrará los medios necesarios a los fines de brindar lo solicitado, verificando que sean adoptadas todas las medidas que correspondan en materia de Seguridad de la Información, de modo de cumplir con la política, normas y procedimientos existentes.

6.3. Seguridad Informática de los Recursos Humanos

6.3.1. Proceso de contratación.

Objetivo

Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.

Las responsabilidades de seguridad deben ser tratadas antes del empleo en las definiciones de trabajo adecuadas y en los términos y condiciones del empleo.

Política

PSI 2.1.1. Funciones y responsabilidades: Notificar a todo el personal de sus obligaciones respecto al cumplimiento de la Política de Seguridad de la Información y gestionar los Compromisos de Confidencialidad para su posterior resguardo. Contemplar la inclusión de las responsabilidades en materia de Seguridad de la Información, según la definición de perfiles aportada por los responsables de cada unidad organizativa respecto del personal a su cargo. El responsable de la DIRECCIÓN DE DESARROLLO Y PLANIFICACIÓN DE RECURSOS HUMANOS dependiente de la DIRECCIÓN GENERAL DE RECURSOS HUMANOS será el encargado de coordinar las acciones de capacitación que surjan de la presente Política de Seguridad de la Información y a requerimiento del responsable de Seguridad de la Información.

PSI 2.1.2. Términos y condiciones de contratación: Establecer compromisos de confidencialidad con todo el personal, cualquiera sea su situación de revista, y los usuarios externos que efectúen tareas en el ámbito del MINISTERIO DE TRANSPORTE, en lo que respecta al tratamiento de su información.

6.3.2. Durante el tiempo de empleo

Objetivo

Asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto de las amenazas e inquietudes de la Seguridad de la Información, sus responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano.

Se deben definir las responsabilidades del área para asegurar que se aplique la seguridad a lo largo de todo el tiempo del empleo de la persona dentro del Organismo.

Política

PSI 2.2.1. Responsabilidad de las Direcciones/Áreas: Todas las Direcciones/Áreas, pertenecientes al MINISTERIO DE TRANSPORTE propenderán que los empleados, contratistas e invitados partes implementen las políticas de seguridad que se impulsan dentro del MINISTERIO DE TRANSPORTE en la medida de sus acciones.

PSI 2.2.2. Concientización, formación y capacitación en Seguridad de la Información: Todos los empleados del MINISTERIO DE TRANSPORTE deberán recibir una adecuada capacitación y actualización periódica en materia de su política, normas y procedimientos. Esto comprende los requerimientos de seguridad y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y de los recursos en general, tales como computadoras, escritorios, entre otros.

Asimismo, cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en el MINISTERIO DE TRANSPORTE recibirán el mismo tratamiento.

PSI 2.2.3. Proceso disciplinario: Se seguirá el proceso disciplinario formal contemplado en las normas estatutarias, escalafonarias y convencionales que rigen al personal de la Administración Pública Nacional, sobre aquellos empleados que se verifique efectivamente que se hayan apartado de las políticas, normas y procedimientos de seguridad impulsadas por el MINISTERIO DE TRANSPORTE.

6.3.3. Cese del empleo o cambio de puesto de trabajo

Objetivo

Asegurar que los usuarios empleados, contratistas y terceras personas salgan del Organismo o cambien de empleo de una manera ordenada.

Se deben establecer las responsabilidades para asegurar que la salida del Organismo del usuario empleado, contratista o tercera persona sea manejada y se complete la devolución de todo el equipo y se eliminen todos los derechos de acceso.

Política

PSI 2.3.1. Responsabilidad del cese o cambio: Las responsabilidades para realizar la desvinculación y/o cambio de puesto deben ser claramente definidas y asignadas, incluyendo requerimientos de seguridad y responsabilidades legales a posteriori y, cuando sea apropiado, las responsabilidades contenidas dentro de cualquier acuerdo de confidencialidad, y los términos y condiciones de empleo con continuidad por un período definido de tiempo luego de la finalización del trabajo del empleado, contratista y/o usuario de tercera parte.

Es responsabilidad de los directores o responsables de las unidades organizativas notificar en forma inmediata a la DIRECCIÓN DE DESARROLLO Y PLANIFICACIÓN DE RECURSOS HUMANOS dependiente de la DIRECCIÓN GENERAL DE RECURSOS HUMANOS los ceses de funciones cambios o modificaciones en los puestos de trabajo a fin de efectivizar las desactivaciones de privilegios otorgados en el ejercicio de las funciones del trabajador.

Producido el cese de funciones en el empleo, modificaciones o cambios en los puestos laborales, la DIRECCIÓN GENERAL DE RECURSOS HUMANOS deberá comunicar a las Direcciones/Áreas correspondientes la formalización del trámite iniciado.

PSI 2.3.2. Retiro de los derechos de acceso: Se deberán revocar los derechos de acceso de un individuo a los activos asociados con los sistemas y servicios de información tras la desvinculación.

Asimismo, si un empleado, contratista o invitado tiene conocimiento de contraseñas para cuentas que permanecen activas, éstas deben ser cambiadas tras la finalización o cambio de empleo, contrato o acuerdo.

7.1. Responsabilidad sobre los activos

Objetivo

Todos los activos deben ser inventariados y contar con un propietario nombrado.

Los propietarios deben identificar todos los activos y se debiera asignar la responsabilidad por el mantenimiento de los controles apropiados. La implementación de controles específicos puede ser delegada por el propietario, pero sigue siendo responsable por la protección apropiada de los activos.

Política

PSI 3.1.1. Responsabilidad sobre los activos: Todos los activos deben ser inventariados y contar con un propietario nombrado. La implementación de controles específicos puede ser delegada por el propietario, pero éste sigue siendo responsable por la protección apropiada de los activos.

PSI 3.1.2. Inventario de activos: El MINISTERIO DE TRANSPORTE a través de la DIRECCIÓN DE ADMINISTRACIÓN DE BIENES deberá llevar un inventario de los activos de información que se utilizan y distribuyen en el Organismo. El inventario deberá detallar el código de identificación, el tipo de activo, breve descripción y las principales características técnicas, el responsable y/o administrador del activo.

El inventario debe ser actualizado ante cualquier modificación y revisado periódicamente por los responsables del mismo.

7.2. Clasificación de la información

Objetivo

Asegurar que la información reciba un nivel de protección apropiado.

La información debe ser clasificada para indicar la necesidad, prioridades y grado de protección esperado cuando se maneja la información.

La información tiene diversos grados de confidencialidad e importancia. Algunos ítems pueden requerir un nivel de protección adicional o manejo especial. Se debe utilizar un esquema de clasificación de información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas de uso especiales.

Política

PSI 3.2.1. Clasificación de la información: El MINISTERIO DE TRANSPORTE deberá clasificar los activos de información de acuerdo a su necesidad, prioridad y grados de protección, y delega esta responsabilidad en los propietarios designados de acuerdo a su confidencialidad, integridad y disponibilidad, en conformidad con las directrices siguientes:

• Confidencialidad:

1. PÚBLICA: Que puede ser conocida y utilizada por cualquier persona o sistema deprocesamiento de información.

2. RESERVADA:

I. USO INTERNO: Que sólo puede ser utilizada por todo el personal del Organismo y tercerosautorizados.

II. CONFIDENCIAL: Que sólo puede ser conocida y utilizada por el personal del Organismoautorizado.

III. SECRETA: Que sólo puede ser conocida y utilizada por un grupo reducido de empleados, generalmente los responsables de las unidades organizativas.

• Integridad:

1. Información cuya modificación no autorizada puede repararse fácilmente, o no afecta la operatoria del Organismo.

2. Información cuya modificación no autorizada puede repararse, aunque podría ocasionar pérdidas leves para el Organismo, el Sector Público Nacional o terceros.

3. Información cuya modificación no autorizada es de difícil reparación y podría ocasionar pérdidas significativas para el Organismo, el Sector Público Nacional o terceros.

• Disponibilidad:

1. Información cuya inaccesibilidad no afecta la operatoria del Organismo.

2. Información cuya inaccesibilidad permanente durante una (1) semana podría ocasionar pérdidas significativas para el Organismo, el Sector Público Nacional o terceros.

3. Información cuya inaccesibilidad permanente durante un (1) día podría ocasionar pérdidas significativas al Organismo, al Sector Público Nacional o a terceros.

4. Información cuya inaccesibilidad permanente durante una (1) hora podría ocasionar pérdidas significativas al Organismo, al Sector Público Nacional o a terceros.

PSI 3.2.2. Rotulado de los activos de información: Los activos de información deben ser rotulados según el esquema de clasificación y su nivel de confidencialidad de manera visible.

En material impreso o digital, la clasificación debe ir en el encabezado o al pie de página con la palabra - Clasificación - anteponiendo al texto, por ejemplo: Clasificación: RESERVADA CONFIDENCIAL.

La clasificación puede colocarse a la izquierda, al centro o a la derecha de la hoja siempre quesea visible.

7.3. Gestión de medios

Objetivo

Exigir a todos los agentes y empleados la devolución de los activos de información en su poder al finalizar la relación laboral o cuando un cambio en las funciones lo requiera. Efectuar una destrucción segura de cualquier medio que pueda contener información o datos personales, en función de su nivel de criticidad, sobre la base de un procedimiento documentado, una vez que se haya catalogado como defectuoso o rezago.

PSI 3.3.1. Devolución de activos: Todos los empleados, contratistas y usuarios deben devolver todos los activos del MINISTERIO DE TRANSPORTE que estuvieren en su poder (software, documentos corporativos, equipamiento, dispositivos de computación móviles, tarjetas corporativas, tarjetas de ingreso, etc.) tras la terminación de su empleo, contrato, o acuerdo.

PSI 3.3.2. Eliminación de medios de información: El MINISTERIO DE TRANSPORTE a través del área responsable de la plataforma tecnológica y el responsable de Seguridad de la Información, definirán procedimientos para la destrucción segura de los medios que puedan contener información, respetando la normativa vigente.

Los procedimientos deben considerar que los siguientes elementos requerirán almacenamiento y eliminación segura:

➢ Bienes Móviles e Informáticos

➢ Cintas magnéticas.

➢ Discos u otros dispositivos removibles.

➢ Medios de almacenamiento óptico (todos los formatos incluyendo todos los medios dedistribución de software del fabricante o proveedor).

La evaluación del mecanismo de eliminación debe contemplar el tipo de dispositivo y la criticidad de la información contenida.

8.1. Gestión de Accesos

Objetivo

Controlar el acceso a la información. Se debe controlar el acceso a la información, medios de procesamiento de la información y procesos sobre la base de los requerimientos del Organismo y de seguridad. Las reglas de control del acceso deben tomar en cuenta las políticas para la divulgación y autorización de la información.

Política

PSI 4.1.1. Requerimientos para la gestión de acceso: Todo acceso a los activos de información debe contar con una solicitud formal, aprobada por el propietario de la información, en conformidad con los procedimientos establecidos por la unidad responsable de la asignación del acceso.

8.2. Administración de Gestión de Usuarios

Objetivo

Con el objetivo de impedir el acceso no autorizado a la información se implementarán procedimientos formales para controlar la asignación de derechos de acceso a los sistemas, datos y servicios de información.

Los procedimientos debieran abarcar todas las etapas en el ciclo de vida del acceso del usuario, desde el registro inicial de usuarios nuevos hasta la baja final de los usuarios que ya no requieren acceso a los sistemas y servicios de información.

Política

PSI 4.2.1. Gestión de usuarios: El responsable de Seguridad de la Información en colaboración con los titulares de cada unidad organizativa definirá un procedimiento formal de alta, baja y modificación de usuarios y/o privilegios.

PSI 4.2.2. Política de contraseñas de usuarios: Las contraseñas de acceso a los sistemas son individuales e intransferibles y deben tratarse con el más alto nivel de confidencialidad. Se deben confeccionar procedimientos para la elaboración de contraseñas robustas a fin de proteger la plataforma tecnológica del MINISTERIO DE TRANSPORTE.

Debido al carácter de las contraseñas, queda absolutamente prohibido divulgarlas a terceras personas.

Si el usuario tuviera conocimiento que otra persona conoce su clave y/o contraseña, deberá cambiarla inmediatamente y ponerlo en conocimiento del MINISTERIO DE TRANSPORTE. En caso de incumplimiento de estas obligaciones, el usuario será el único responsable de los actos realizados por la persona que utilice su identificador de forma no autorizada.

PSI 4.2.3. Revisión de derechos de acceso de usuarios: El propietario del activo de información deberá definir un proceso formal de revisión del acceso a los datos y/o servicios, pudiendo requerir colaboración a la DIRECCIÓN DE INFORMÁTICA Y TECNOLOGÍA en los casos que así correspondan.

PSI 4.2.4. Escritorio limpio: Se debe implementar una política de escritorio y pantalla limpios para reducir el riesgo de acceso no autorizado o daño a los medios de procesamiento de la información.

8.3. Acceso a Sistemas y Aplicaciones

Objetivo

Evitar el acceso no autorizado a los servicios de la red. Se debe controlar el acceso a los servicios de redes internas y externas.

Política

PSI 4.3.1. Control de acceso a sistemas y aplicaciones: Se deben controlar los accesos a las redes públicas o privadas en conformidad con el responsable de Seguridad de la Información.

PSI 4.3.2. Utilización de los servicios de red: El MINISTERIO DE TRANSPORTE controlará el acceso a los servicios de red tanto internos como externos. Esto es necesario para garantizar que los usuarios que tengan acceso a las redes y a sus servicios no comprometan la seguridad de los mismos.

El acceso a los servicios y recursos de red, será realizado por el área designada para tal fin, únicamente de acuerdo al pedido formal del titular de la unidad organizativa que lo solicite para personal de su incumbencia.

PSI 4.3.3. Acceso a internet: El MINISTERIO DE TRANSPORTE ofrece el servicio de acceso a Internet como herramienta para apoyar las actividades inherentes a las responsabilidades de sus trabajadores, así como para el desarrollo personal y profesional.

El MINISTERIO DE TRANSPORTE, a través del responsable de Seguridad de la Información, implementará políticas de filtrado de contenido web para protección de su plataforma tecnológica a través de la unidad organizativa destinada para tal fin.

Todo acceso no autorizado deberá ser formalmente solicitado y justificado por el director de la unidad organizativa del trabajador que lo requiere, y será aprobado bajo revisión del responsable de Seguridad de la Información quien notificará de los riesgos que pudieren surgir.

PSI 4.3.4. Identificación y autenticación de los usuarios: Todos los usuarios tendrán un identificador único (ID de usuario) solamente para uso laboral y exclusivo. Los identificadores de usuario no darán ningún indicio del nivel de privilegio otorgado.

En circunstancias excepcionales, cuando existe un claro beneficio para El MINISTERIO DE TRANSPORTE, se podrá utilizar un identificador compartido para un grupo de usuarios o una tarea específica. Para estos supuestos, se documentará la justificación y aprobación del propietario de la información de que se trate.

9.1. Utilización de Controles Criptográficos

Objetivo

Garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad, no-repudio, la autenticidad y/o la integridad de la información.

Política

PSI 5.1.1. Política de utilización de controles criptográficos: Se implementarán controles criptográficos a fin de resguardar información confidencial y/o secreta en los siguientes casos:

a) Todos los sitios web del MINISTERIO DE TRANSPORTE tendrán que estar bajo el dominio *.transporte.gob.ar a fin de utilizar el certificado SSL correspondiente y así brindar mayor seguridad a las aplicaciones web.

b) Para la transmisión de información clasificada, fuera del ámbito del Organismo.

c) Para el resguardo de información, cuando así surja de la evaluación de riesgos realizada por el propietario de la información y el responsable de Seguridad de la Información.

10.1. Áreas Seguras

Objetivo

Evitar el acceso físico no autorizado, daño e interferencia con la información y los locales del Organismo.

Los medios de procesamiento de información crítica o confidencial deben ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Deben estar físicamente protegidos del acceso no autorizado, daño e interferencia.

Política

PSI 6.1.1. Áreas seguras: Los medios de procesamiento de información crítica o confidencial deben ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con barreras de seguridad y controles de entrada apropiados.

PSI 6.1.2. Perímetro de seguridad física: En caso de corresponder, se crearán barreras físicas sobre los perímetros de seguridad que limiten el acceso del personal no autorizado a las áreas contenedoras de activos físicos afectados al funcionamiento, almacenamiento o procesamiento de información.

PSI 6.1.3. Depósitos y áreas de acceso público: Se controlará el acceso a los depósitos y áreas públicas. Éstos deben estar aislados de las áreas de procesamiento de información.

PSI 6.1.4. Protección de equipos: El equipamiento será ubicado y protegido de tal manera que se reduzcan los riesgos ocasionados por amenazas y peligros ambientales, y las oportunidades de acceso no autorizado.

PSI 6.1.5. Instalaciones de suministro: El equipamiento en centros de procesamiento de información estará protegido con respecto a las posibles fallas en el suministro de energía u otras anomalías eléctricas. El suministro de energía estará de acuerdo con las especificaciones del fabricante o proveedor de cada equipo.

PSI 6.1.6. Mantenimiento de equipos: Se realizará el mantenimiento de los equipos informáticos para asegurar su disponibilidad e integridad permanentes.

PSI 6.1.7. Seguridad de los equipos fuera de las instalaciones: El uso de equipos destinados al procesamiento de información fuera del Organismo será autorizado por el responsable de la unidad organizativa. La seguridad provista debe ser equivalente a la suministrada dentro del ámbito del Organismo para un propósito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma.

PSI 6.1.8. Equipo Informático de usuario desatendido: El Organismo garantizará la adecuada protección de los equipos desatendidos. No obstante, los usuarios deberán cumplir con las normativas de uso que se establezcan al respecto.

Sin perjuicio de lo mencionado, los usuarios deberán:

a) Concluir las sesiones activas al finalizar las tareas, a menos que puedan protegerse mediante un mecanismo de bloqueo adecuado, por ejemplo, un protector de pantalla protegido por contraseña.

b) Proteger las terminales contra usos no autorizados mediante un bloqueo de seguridad o control equivalente, por ejemplo, contraseña de acceso cuando no se utilizan.

PSI 6.1.9. Políticas de escritorios limpios: Se adopta una política de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles y una política de pantallas limpias en las instalaciones de procesamiento de información, a fin de reducir los riesgos de acceso no autorizado, pérdida y daño de la información, tanto durante el horario normal de trabajo como fuera del mismo.

Se aplicarán los siguientes lineamientos:

a) Almacenar bajo llave, cuando corresponda, los documentos en papel y los medios informáticos, en gabinetes y/u otro tipo de mobiliario seguro cuando no están siendo utilizados, especialmente fuera del horario de trabajo.

b) Guardar bajo llave la información sensible o crítica del Organismo (preferentemente en una caja fuerte o gabinete a prueba de incendios) cuando no está en uso, especialmente cuando no hay personal en la oficina.

c) Bloqueo de las computadoras, cuando están desatendidas. Las mismas deben ser protegidas mediante contraseñas u otros controles cuando no están en uso (como por ejemplo la utilización de protectores de pantalla con contraseña). Los responsables de cada área mantendrán un registro de las contraseñas o copia de las llaves de seguridad utilizadas en el sector a su cargo.

11.1. Procedimientos y Responsabilidades Operativas

Objetivo

Asegurar la operación correcta y segura de los medios de procesamiento de la información.

Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todos los medios de procesamiento de la información. Esto incluye el desarrollo de los procedimientos de operación apropiados.

Política

PSI 7.1.1. Documentación de los procedimientos: Se documentarán y mantendrán actualizados los procedimientos operativos identificados en esta política y sus cambios serán autorizados por el responsable de Seguridad de la Información.

PSI 7.1.2. Gestión de cambios en las operaciones: Se definirán procedimientos para el control de los cambios en el ambiente operativo y de comunicaciones.

El responsable de Seguridad de la Información controlará que los cambios en los componentes operativos y de comunicaciones no afecten la seguridad de los mismos ni de la información que soportan. El MINISTERIO DE TRANSPORTE evaluará el posible impacto operativo de los cambios previstos y verificará su correcta implementación.

PSI 7.1.3. Gestión de la capacidad: Se debe realizar monitoreo de las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas a fin de garantizar un procesamiento y almacenamiento adecuados.

PSI 7.1.4. Separación de entornos de desarrollo, pruebas y operacionales: Los ambientes de desarrollo, prueba y operaciones, siempre que sea posible, estarán separados y se definirán y documentarán las reglas para la transferencia de software desde el estado de desarrollo hacia el estado productivo.

11.2. Protección contra el código malicioso

Objetivo

Proteger la integridad del software y la integración. Se requiere tomar precauciones para evitar y detectar la introducción de códigos maliciosos. El software y los medios de procesamiento de la información son vulnerables a la introducción de códigos maliciosos, como ser, entre otros, virus, troyanos, gusanos, bombas lógicas, etc. Los usuarios deben estar al tanto de los peligros de los códigos maliciosos. Cuando sea apropiado, los responsables de las reparticiones deben introducir controles para evitar, detectar y eliminar los códigos maliciosos.

Política

PSI 7.2.1. Protección contra el código malicioso: El responsable de Seguridad de la Información definirá controles de detección y prevención para la protección contra software malicioso. El responsable de la DIRECCIÓN DE INFORMÁTICA Y TECNOLOGÍA o el personal designado por éste, implementará dichos controles.

11.3. Copias de Seguridad de la Información

Objetivo

Mantener la integridad y disponibilidad de la información y los medios de procesamiento de información.

Se deben establecer los procedimientos de rutina para implementar la política de respaldo acordada y la estrategia para tomar copias de respaldo de los datos y practicar su restauración oportuna.

Política

PSI 7.3.1. Copias de Seguridad de la Información: La unidad responsable de la plataforma tecnológica junto al responsable de Seguridad de la Información definirá los esquemas de resguardos y restauración de la información crítica del MINISTERIO DE TRANSPORTE.

Los sistemas de resguardo deberán probarse periódicamente, asegurándose de que cumplen con los requerimientos de los planes de continuidad de las actividades del Organismo.

11.4. Registro y Monitoreo

Objetivo

Detectar las actividades de procesamiento de información no autorizadas.

Se deben monitorear los sistemas y se deben reportar los eventos de Seguridad de la Información. Se deben utilizar bitácoras de operador y se deben registrar las fallas para asegurar que se identifiquen los problemas en los sistemas de información. Una organización debe cumplir con todos los requerimientos legales relevantes aplicables a sus actividades de monitoreo y registro.

Política

PSI 7.4.1. Registro de eventos: Se producirán y mantendrán registros de auditoría en los cuales se preserven las actividades, excepciones, y eventos de Seguridad de la Información de los usuarios, administradores y operadores de sistemas, por un período acordado para permitir la detección e investigación de incidentes.

PSI 7.4.2. Protección del registro de información: Se implementarán controles para la protección de los registros de auditoría contra cambios no autorizados y problemas operacionales.

PSI 7.4.3. Sincronización de relojes: Se dispondrá de un procedimiento de ajuste de relojes, el cual indicará también la verificación de los mismos contra una fuente externa del dato y la modalidad de corrección ante cualquier variación significativa.

PSI 7.4.4. Monitoreo de la plataforma: El MINISTERIO DE TRANSPORTE realizará un monitoreo de la plataforma a fin de proteger los activos de información contra eventos que afecten su disponibilidad, confidencialidad e integridad. Para ello implementará dispositivos que registran el uso de los activos información tales como internet, redes públicas y privadas, aplicaciones, datos accedidos, entre otros.

Los accesos y usos de la plataforma informática serán registrados a fin de garantizar la trazabilidad y apoyar las investigaciones ante incidentes que puedan comprometer sus activos de información.

11.5. Administración de vulnerabilidades técnicas

Objetivo

Se implementará la gestión de las vulnerabilidades técnicas de forma efectiva, sistemática y repetible, con mediciones que confirmen su efectividad. Dichas consideraciones incluirán los sistemas operativos, y cualquier otra aplicación en uso.

Política

PSI 7.5.1. Restricciones en la instalación de software: El Organismo, considerando las Políticas de Seguridad de la Información, evaluará, autorizará e instalará el software en los equipos de computación del mismo.

PSI 7.5.1. Administración de vulnerabilidades técnicas: Se obtendrá información oportuna acerca de las vulnerabilidades técnicas de los sistemas de información utilizados, la exposición del Organismo a tales vulnerabilidades evaluadas, y se tomarán las medidas necesarias para tratar los riesgos asociados. El responsable de Seguridad de la Información junto con la DIRECCIÓN DE INFORMÁTICA Y TECNOLOGÍA establecerán los procedimientos para detectar las vulnerabilidades y el tratamiento de los riesgos, los que serán notificados a las áreas correspondientes.

11.6. Auditoría de los sistemas de información

Objetivo

Minimizar el impacto de las actividades de auditoría en los sistemas operacionales.

Política

PSI 7.6.1. Controles de auditoría de los sistemas de información: Cuando se realicen actividades de auditoría que involucren verificaciones de los sistemas en producción, se tomarán recaudos en la planificación de los requerimientos y tareas, y se acordará con las áreas involucradas a efectos de minimizar el riesgo de interrupciones en las operaciones.

PSI 7.6.2. Protección de los elementos utilizados por la auditoría de sistemas: Se protegerá el acceso a los elementos utilizados en las auditorías de sistemas, o sea archivos de datos o software, a fin de evitar el mal uso o el compromiso de los mismos.

Dichas herramientas estarán separadas de los sistemas en producción y de desarrollo, y se les otorgará el nivel de protección requerido.

Se tomarán los recaudos necesarios a efectos de cumplimentar las normas de auditoría dispuestas por la SINDICATURA GENERAL DE LA NACIÓN.

12.1. Gestión de la Seguridad de la Red

Objetivo

Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.

La gestión segura de las redes, la cual puede abarcar los límites organizacionales, requiere de la cuidadosa consideración del flujo de datos, implicancias legales, monitoreo y protección.

También se pueden requerir controles adicionales para proteger la información confidencial que pasa a través de redes públicas.

Política

PSI 8.1.1. Redes: El responsable de Seguridad de la Información definirá controles para garantizar la seguridad de los datos y los servicios conectados en las redes del Organismo, contra el acceso no autorizado.

PSI 8.1.2. Seguridad de los servicios de red: El responsable de Seguridad de la Información junto con la unidad responsable de la plataforma tecnológica definirán las pautas para garantizar la seguridad de los servicios de red del Organismo, tanto públicos como privados.

12.2. Transferencia de información

Objetivo

Mantener la seguridad en el intercambio de información dentro del Organismo y con cualquier otra entidad externa.

Los intercambios de información dentro de las organizaciones se deben basar en una política formal de intercambio, seguida en línea con los acuerdos de intercambio, y debiera cumplir con cualquier legislación relevante.

Política

PSI 8.2.1. Intercambio de la información: Se establecerán procedimientos y controles formales para proteger el intercambio de información tomando en cuenta su nivel confidencialidad y criticidad.

PSI 8.2.2. Acuerdos de intercambio de información: Cuando se realicen acuerdos entre organizaciones para el intercambio de información y software, se especificarán el grado de sensibilidad de la información del Organismo involucrada y las consideraciones de seguridad sobre la misma.

13.1. Requerimientos de Seguridad de los Sistemas

Objetivo

Asegurar la inclusión de controles de seguridad y validación de datos en la adquisición y el desarrollo de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan.

Definir los métodos de protección de la información crítica o sensible.

Política

PSI 9.1.1. Análisis y especificaciones de los requerimientos de seguridad: Se deben

incorporar controles de seguridad en los requerimientos para nuevos sistemas o mejoras a los existentes. Para ello se contará la asesoría del responsable de Seguridad de la Información del MINISTERIO DE TRANSPORTE.

PSI 9.1.2. Política de desarrollo seguro: El Organismo controlará que todo software o sistema de información desarrollado interna o externamente cumplan con los lineamientos de seguridad informática, tales como:

• Control de cambios en los sistemas/software.

• Principios de construcción seguros.

• Ambientes de desarrollo seguro.

• Pruebas de seguridad.

• Pruebas de aceptación.

• Protección de datos de prueba

PSI 9.1.3. Control de cambios: A fin de minimizar los riesgos de alteración de los sistemas de información, se implementarán controles estrictos durante la implementación de cambios imponiendo el cumplimiento de procedimientos formales. Éstos garantizarán que se cumplan los procedimientos de seguridad y control, respetando la división de funciones.

PSI 9.1.4. Revisión técnica de los cambios en el sistema operativo: Toda vez que sea necesario realizar un cambio en el sistema operativo, los sistemas serán revisados para asegurar que no se produzca un impacto en su funcionamiento o seguridad. Para ello, se definirá un procedimiento que incluya:

a) Revisar los procedimientos de integridad y control de aplicaciones para garantizar que no hayan sido comprometidas por el cambio.

b) Garantizar que los cambios en el sistema operativo sean informados con anterioridad a la implementación.

c) Asegurar la actualización de los planes de continuidad del Organismo.

PSI 9.1.5. Restricción del cambio de paquetes de software: En caso de considerarlo necesario la modificación de paquetes de software suministrados por proveedores, el Organismo deberá:

a) Analizar los términos y condiciones de la licencia a fin de determinar si las modificaciones se encuentran autorizadas.

b) Determinar la conveniencia de que la modificación sea efectuada por el Organismo, por el proveedor o por un tercero.

c) Evaluar el impacto que se produciría si el Organismo se hace cargo del mantenimiento.

d) Retener el software original realizando los cambios sobre una copia perfectamente identificada, documentando exhaustivamente por si fuera necesario aplicarlo a nuevas versiones.

PSI 9.1.6. Uso de principios de seguridad en ingeniería de sistemas: La Dirección responsable del desarrollo de software, deberá aplicar principios para ingeniería de sistemas seguros, que se documentarán y aplicarán en la implementación de cualquier sistema de información.

PSI 9.1.7. Entorno de desarrollo seguro: La Dirección responsable del desarrollo de software deberá definir y establecer formalmente la documentación requerida en las diferentes etapas de ciclo de vida de los sistemas.

PSI 9.1.8. Desarrollo externo de software: Para el caso que se considere la tercerización del desarrollo de software, se establecerán normas y procedimientos que contemplen los siguientes puntos:

a) Acuerdos de licencias, propiedad de código y derechos conferidos.

b) Requerimientos contractuales con respecto a la calidad y seguridad del código y la existencia de garantías.

c) Procedimientos de certificación de la calidad y precisión del trabajo llevado a cabo por el proveedor, que incluyan auditorías, revisión de código para detectar código malicioso, verificación del cumplimiento de los requerimientos de seguridad del software establecidos, etc.

d) Verificación del cumplimiento de las condiciones de seguridad.

e) Acuerdos de custodia de las fuentes del software (y cualquier otra información requerida) en caso de quiebra en caso de quiebra y/o inhabilidad de la tercera parte.

14.1. Seguridad de la información en las relaciones con el proveedor

Objetivo

Garantizar y asegurar la protección de la información del Organismo que es accedida por losproveedores, cumpliendo con el nivel de seguridad establecido.

Política

PSI 10.1.1. Política de Seguridad de la Información para las relaciones con el proveedor: Se deberán acordar y documentar los requisitos de Seguridad de la Información para mitigar los riesgos asociados al acceso de los proveedores a los activos de información del Organismo.

El Organismo deberá identificar e imponer controles de Seguridad de la Información para abordar específicamente el acceso de los proveedores a la información del Organismo en una política.

PSI 10.1.2. Cadena de suministro de tecnologías de la información y comunicaciones: Se deberán incluir en los acuerdos con los proveedores, los requisitos para abordar los riesgos de Seguridad de la Información asociados con la cadena de suministro de los servicios y productos de tecnología de información y comunicaciones.

14.2. Administración de Prestación de Servicios de Proveedores

Objetivo

Garantizar el mantenimiento del nivel acordado de seguridad de información y prestación de servicios conforme a los acuerdos del proveedor.

Política

PSI 10.2.1. Supervisión y revisión de los servicios del proveedor: Se llevará a cabo el seguimiento, control y revisión de los servicios de las terceras partes asegurando que se encuentran adheridos a los términos de Seguridad de la Información y las condiciones definidas en los acuerdos, y que los incidentes de Seguridad de la Información y los problemas son manejados en forma apropiada.

El Organismo mantendrá control suficiente y visión general de todos los aspectos de seguridad para la información sensible o crítica, o de las instalaciones de procesamiento de información accedida, procesada o gestionada por una tercera parte, asegurando que se mantenga la visibilidad de las actividades de seguridad como gestión de cambios, identificación de vulnerabilidades y reporte/respuesta de incidentes de seguridad de información a través de un proceso de reportes claro y definido, con formato y estructura.

Se prohíbe expresamente a los usuarios la utilización de herramientas automatizadas para la detección de debilidades y/o fallas de seguridad.

15.1. Gestión de los Incidentes y Mejoras de la Seguridad de la Información

Objetivo

Garantizar que los eventos de Seguridad de la Información y las debilidades asociados a los sistemas de información sean comunicados de forma tal que se apliquen las acciones correctivas en el tiempo oportuno.

Política

PSI 11.1.1. Responsabilidades y procedimientos: Se establecerán funciones y procedimientos de manejo de incidentes garantizando una respuesta rápida, eficaz y sistemática a los incidentes relativos a seguridad.

PSI 11.1.2. Reporte de los eventos de la seguridad de información: Los incidentes relativos a la seguridad serán comunicados tan pronto como sea posible.

Ante la detección de un supuesto incidente o violación de la seguridad, el responsable de Seguridad de la Información será informado tan pronto como se haya tomado conocimiento. Éste indicará los recursos necesarios para la investigación y resolución del incidente, y se encargará de su monitoreo.

PSI 11.1.3. Reporte de las debilidades de la seguridad: Los usuarios de servicios de información, al momento de tomar conocimiento directo o indirectamente acerca de una debilidad de seguridad, son responsables de registrar y comunicar formalmente las mismas al responsable de Seguridad de la Información.

Se prohíbe expresamente a los usuarios la realización de pruebas para detectar y/o utilizar una supuesta debilidad o falla de seguridad.

PSI 11.1.4. Recopilación de evidencias: Ante cualquier evento de seguridad será necesario contar con una adecuada evidencia, para ello los sistemas recolectarán los registros correspondientes, que asimismo permitan deslindar cualquier tipo de responsabilidad, según lo establecido en la presente Política.

Los propietarios de procesos y recursos de información, con la asistencia del responsable de Seguridad de la Información, elaborarán los planes de contingencia necesarios para garantizar la continuidad de las actividades del Organismo.

16.1. Gestión de Continuidad del Organismo

Objetivo

Contraatacar las interrupciones a las actividades del Organismo y proteger los procesos críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna.

Política

PSI 12.1.1. Proceso de administración de la continuidad de las actividades del Organismo: El responsable de Seguridad de la Información será el responsable de la coordinación del desarrollo de los procesos que garanticen la continuidad de las actividades del Organismo.

PSI 12.1.2. Elaboración e implementación de los planes de continuidad de las actividades del Organismo: Los propietarios de procesos y recursos de información, con la asistencia del responsable de Seguridad de la Información, elaborarán los planes de contingencia necesarios para garantizar la continuidad de las actividades del Organismo.

PSI 12.1.3. Continuidad de las actividades y análisis de los impactos: El Organismo identificará los eventos (amenazas) que puedan ocasionar interrupciones en los procesos de las actividades, evaluará los riesgos para determinar el impacto de dichas interrupciones e identificará los controles preventivos.

PSI 12.1.4. Prueba, mantenimiento y reevaluación de los planes de continuidad del organismo: El responsable de Seguridad de la Información establecerá un cronograma de pruebas periódicas de cada uno de los planes de contingencia. El cronograma indicará quienes son los responsables de llevar a cabo cada una de las pruebas.

16.2. Redundancias

Objetivo

Asegurar la continuidad de la información y que esté integrada a los sistemas de gestión.

Política

PSI 12.2.1. Disponibilidad de las instalaciones de procesamiento de la información: Se deberán contar con esquemas de redundancia en los centros de procesamiento de información. Para ello, el Organismo deberá identificar los requisitos funcionales para considerar los componentes o arquitecturas redundantes. Hay que tener en cuenta durante el diseño, la actividad de la gestión de los riesgos de integridad y confidencialidad de la información que puedan acarrear las redundancias.

17.1. Cumplimiento de Requisitos Legales

Objetivo

Evitar las violaciones a cualquier ley, regulación estatutaria, reguladora o contractual y cualquier requerimiento de seguridad.

El diseño, operación, uso y gestión de los sistemas de información pueden estar sujetos a requerimientos de seguridad estatutarios, reguladores y contractuales.

Política

PSI 13.1.1. Identificación de la legislación aplicable: Se definirán y documentarán claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información. Del mismo modo se definirán y documentarán los controles específicos y las responsabilidades y funciones individuales para cumplir con dichos requisitos.

PSI 13.1.2. Derechos de propiedad intelectual: Se implementarán procedimientos adecuados para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual.

Los empleados únicamente podrán utilizar material autorizado por el Organismo. El Organismo solo podrá autorizar el uso de material producido por el mismo, o material autorizado o suministrado al mismo por su titular, conforme los términos y condiciones acordadas y lo dispuesto por la normativa vigente.

PSI 13.1.3. Protección de los registros del Organismo: Los registros críticos del Organismo se protegerán contra pérdida, destrucción y falsificación. Algunos registros pueden requerir una retención segura para cumplir requisitos legales o normativos, así como para respaldar actividades esenciales del Organismo.

PSI 13.1.4. Protección de datos y privacidad de la información personal: Todos los empleados, contratistas y terceros que desarrollen tareas en el Organismo, deberán conocer las restricciones al tratamiento de los datos y de la información respecto a la cual tengan conocimiento con motivo del ejercicio de sus funciones.

El MINISTERIO DE TRASNPORTE redactará un “Compromiso de Confidencialidad”, el cual debe ser suscripto por todos los funcionarios públicos y contratistas. La copia firmada del compromiso será retenida en forma segura por el Organismo.

Mediante este instrumento el empleado, contratistas y/o tercero se comprometerá a utilizar la información solamente para el uso específico al que se ha destinado y a no comunicar, diseminar o de alguna otra forma hacer pública la información a ninguna persona, firma, compañía o tercera persona, salvo autorización previa y escrita del responsable del activo de que se trate. A través del “Compromiso de Confidencialidad” se advertirá que determinadas actividades pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad del individuo.

PSI 13.1.5. Uso Inadecuado de los recursos de procesamiento de información: Los recursos de procesamiento de información del Organismo se suministran con un propósito determinado.

Toda utilización de estos recursos con propósitos no autorizados o ajenos al destino por el cual fueron provistos debe ser considerada como uso indebido.

Todos los empleados y quienes desempeñen tareas en el Organismo deben conocer el alcance preciso del uso adecuado de los recursos informáticos y deben respetarlo.

PSI 13.1.6. Uso del correo electrónico: El correo electrónico es también un instrumento de trabajo propiedad del Organismo y como tal, su utilización debe estar relacionada con los cometidos laborales encomendados, sin que pueda utilizarse como instrumento para el intercambio de información cuyo contenido sea ajeno a las gestiones de esas tareas. Las comunicaciones realizadas a través de cuentas oficiales de correo electrónico no pueden considerarse privadas y no son apropiadas para remitir información personal y/o confidencial.

PSI 13.1.7. Regulación de controles para el uso de criptografía: Al utilizar firmas digitales o electrónicas, se debe considerar lo dispuesto por la Ley N°25.506 y su Decreto Reglamentario Decreto 2628/02, que establecen las condiciones bajo las cuales una firma digital es legalmente válida.

PSI 13.1.8. Recolección de Evidencia: Es necesario contar con adecuada evidencia para respaldar una acción contra una persona u organización. Siempre que esta acción responda a una medida disciplinaria interna, la evidencia necesaria estará descrita en los procedimientos internos.

Cuando la acción implique la aplicación de una ley, la evidencia presentada debe cumplir con lo establecido por las normas procesales. Para lograr la validez de la evidencia, el Organismo garantizará que sus sistemas de información cumplen con la normativa y los estándares o códigos de práctica relativos a la producción de evidencia válida.

Cuando se detecta un incidente, puede no resultar obvio si éste derivará en una demanda legal por lo tanto se deben tomar todos los recaudos establecidos para la obtención y preservación de la evidencia.

Se debe tener presente lo dispuesto por el Reglamento de Investigaciones Administrativas, procedimiento administrativo especial, de naturaleza correctiva interna que constituye garantía suficiente para la protección de los derechos y correcto ejercicio de las responsabilidades impuestas a los agentes públicos. Este Decreto debe ser complementado por lo dispuesto en la Ley N° 19.549 (Ley de Procedimientos Administrativos) y por toda otra normativa aplicable, incluido el Código Penal, el que sanciona a quien sustrajere, alterare, ocultare, destruyere o inutilizare en todo o en parte objetos destinados a servir de prueba ante la autoridad competente, registros o documentos confiados a la custodia de un funcionario público o de otra persona en el interés del servicio público (Art. 255).

PSI 13.1.9. Delitos Informáticos: Todos los empleados deben conocer la existencia de la Ley N°26.388 de Delitos Informáticos, a partir de cuyo dictado se castigan penalmente ciertas conductas cometidas mediante medios informáticos. En tal sentido, los agentes públicos deben conocer con exactitud el alcance de los nuevos tipos penales introducidos por la norma mencionada.

Cabe señalar que la mayoría de las conductas descritas por dicha norma vinculada ya han sido señaladas en los apartados precedentes.

17.2. Categoría: Revisiones de la Política de Seguridad de la Información y la Compatibilidad Técnica

Objetivo

Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional. La seguridad de los sistemas de información se debiera revisar regularmente.

Política

PSI 13.2.1. Cumplimiento de la política de seguridad: Cada responsable de unidad organizativa velará por la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos, dentro de su área de responsabilidad.

El responsable de Seguridad de la Información realizará revisiones periódicas de todas las áreas del Organismo a efectos de garantizar el cumplimiento de la política, normas y procedimientos de seguridad.

PSI 13.2.2. Comprobación del cumplimiento: El responsable de Seguridad de la Información verificará periódicamente que los sistemas de información cumplan con la política, normas y procedimientos de seguridad, las que incluirán la revisión de los sistemas en producción a fin de garantizar que los controles de hardware y software hayan sido correctamente implementados. En caso de ser necesario, estas revisiones contemplarán la asistencia técnica especializada.

El resultado de la evaluación se volcará en un informe técnico para su ulterior interpretación por parte de los especialistas. Para ello, la tarea podrá ser realizada por un profesional experimentado (en forma manual o con el apoyo de herramientas de software), o por un paquete de software automatizado que genere reportes que serán interpretados por un especialista técnico.

La verificación del cumplimiento comprenderá pruebas de penetración y tendrá como objetivo la detección de vulnerabilidades en el sistema y la verificación de la eficacia de los controles con relación a la prevención de accesos no autorizados. Se tomarán los recaudos necesarios en el caso de pruebas de penetración exitosas que comprometan la seguridad del sistema.

Las verificaciones de cumplimiento sólo serán realizadas por personas competentes, formalmente autorizadas y bajo la supervisión.

PSI 13.2.3. Sanciones previstas por incumplimiento: Se sancionará administrativamente a toda conducta que sea contraria a lo dispuesto en la presente Política de Seguridad de la Información conforme a lo dispuesto por las normas estatutarias, escalafonarias y convencionales que rigen al personal de la Administración Pública.

IF-2023-86487121-APN-SSGA#MTR