ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS

Resolución 71/2023

RESFC-2023-71-APN-ORSNA#MTR

Ciudad de Buenos Aires, 18/10/2023

VISTO el Expediente N° EX-2021-74433054-APN-USG#ORSNA, la Ley N° 24.156 y sus modificatorias, el Decreto N° 375 del 24 de abril de 1997, ratificado por el Decreto N° 842 del 27 de agosto de 1997, el Decreto N° 1344 de fecha 4 de octubre de 2007, la Decisión Administrativa N° 641 del 25 de junio de 2021, la Disposición N° 1 del 14 de febrero de 2022 de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS, la RESFC-2023-39-APN-ORSNA#MTR del 12 de mayo de 2022 del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA), y

CONSIDERANDO:

Que por el Expediente que se menciona en el visto tramita el proyecto de Reglamento denominado “POLÍTICAS ESPECÍFICAS DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN” del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS, propiciado por el DEPARTAMENTO DE SISTEMAS Y TECNOLOGÍA INFORMÁTICA de la GERENCIA DE ADMINISTRACIÓN Y PRESUPUESTO.

Que cabe considerar que la Decisión Administrativa N° 641 del 25 de junio de 2021 aprobó los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, los cuales son aplicables a todas las entidades y jurisdicciones comprendidas en el inc. a) del artículo 8° de la ley 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias.

Que, a través de la Disposición N° 1 del 14 de febrero de 2022 de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS, se aprobó el “MODELO REFERENCIAL DE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN” con el fin de asistir en el proceso de elaboración de las Políticas de Seguridad de la Información y ser utilizado como guía por los organismos comprendidos en la Decisión Administrativa N° 641/21.

Qu,e por medio de la RESFC-2022-39-APN-ORSNA#MTR del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA), se dejó sin efecto la Resolución N° 51 del 8 de noviembre de 2007 y se aprobó la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA)”.

Que el ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA) reconoce la importancia de proteger adecuadamente sus datos y activos de información que, como otros bienes y servicios requeridos para el cumplimiento de los objetivos del Organismo, resulta esencial para el desarrollo de las actividades de su competencia.

Que, en atención a lo expuesto, el DEPARTAMENTO DE SISTEMAS Y TECNOLOGÍA INFORMÁTICA dependiente de la GERENCIA DE ADMINISTRACIÓN Y PRESUPUESTO del Organismo Regulador proyectó las Políticas específicas de Seguridad de la Información, con el objetivo de desarrollar y profundizar los lineamientos de la seguridad de la información.

Que han tomado debida intervención la GERENCIA DE RECURSOS HUMANOS y el DEPARTAMENTO DE COMPRAS Y CONTRATACIONES, PATRIMONIO Y SUMINISTROS de la GERENCIA DE ADMINISTRACIÓN Y PRESUPUESTO del Organismo Regulador, en el ámbito de sus respectivas competencias.

Que la UNIDAD DE AUDITORÍA INTERNA de este Organismo Regulador ha tomado la intervención de su competencia, en virtud del artículo 101 del Decreto N° 1344 de fecha 4 de octubre de 2007, reglamentario de la Ley N° 24.156.

Que la GERENCIA DE ASUNTOS JURÍDICOS ha tomado la intervención que le compete.

Que el Directorio del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA) resulta competente para dictar la presente medida, en virtud de lo dispuesto por el artículo 3° de la Ley Nacional de Procedimientos Administrativos N° 19.549, lo establecido en el Decreto N° 375 de fecha 24 de abril de 1997, la Decisión Administrativa N° 641/21, y demás normativa citada precedentemente.

Que en Reunión Abierta de Directorio del 17 de octubre de 2023 se ha considerado el asunto, facultándose a los suscriptos a dictar la presente medida.

Por ello,

EL DIRECTORIO DEL ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS

RESUELVE:

ARTÍCULO 1°.- Aprobar las “POLÍTICAS ESPECÍFICAS DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN” del ORGANISMO REGULADOR DEL SISTMA NACIONAL DE AEROPUERTOS (ORSNA) contenida en el IF-2023-98320897-APN-GAYP#ORSNA.

ARTÍCULO 2°.- Notificar al personal del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA), comunicar a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS, publicar, dar a la DIRECCIÓN NACIONAL DE REGISTRO OFICIAL y cumplido, archivar.

Carlos Pedro Mario Aníbal Lugones Aignasse - Fernando José Muriel

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 20/10/2023 N° 84753/23 v. 20/10/2023

(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)



ÍNDICE











1- Organización de la Seguridad de la Información

El Directorio del ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA) es el responsable de asegurar la implementación de la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS” (PSI).

El Directorio asigna al DEPARTAMENTO DE SISTEMAS Y TECNOLOGÍA INFORMÁTICA (DSyTI) las responsabilidades operativas relativas a la seguridad de la información, que tendrá a su cargo la coordinación de todas las actividades tendientes a la implementación de la PSI.

Dicho Departamento velará por una adecuada segregación de funciones, por un abordaje de la seguridad de la información en todos los proyectos y programas del ORSNA y por la confección de adecuados procedimientos de seguridad.

El Directorio del ORSNA se compromete a impulsar las iniciativas que el área competente proponga con el objetivo de preservar la confidencialidad, integridad y disponibilidad de la información que gestiona.

2- Seguridad Informática de los Recursos Humanos

2.1. Compromiso de confidencialidad

2.1.1. Ingreso al empleo

Al ingresar un nuevo agente, la GERENCIA DE RECURSOS HUMANOS (GRRHH), pondrá a disposición del mismo, el COMPROMISO DE CONFIDENCIALIDAD, el cual deberá suscribir, declarando conocer la existencia de la POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN, conforme el Anexo I.

2.1.2. Durante el empleo

2.1.2.1. Permisos de acceso

Las Unidades Organizativas establecerán para todo el personal a su cargo, los permisos de acceso a la información y sistemas utilizados en sus labores diarias, de conformidad a lo establecido en la cláusula 4.5.2.

2.1.2.2. Concientización y Capacitación en Seguridad de la Información

Se promoverán actividades en materia de seguridad de la información, mediante la implementación de un plan de concientización para los agentes del ORSNA.

2.1.3. Desvinculación o Cambio de puesto de trabajo

Se establece que ante la desvinculación o cambio de función de los agentes del ORSNA, la GRRHH informará mediante Comunicación Oficial (CCO) a través del Sistema de Gestión Documental Electrónica (GDE), al DEPARTAMENTO DE PRENSA Y RELACIONES INSTITUCIONALES (DPyRI); al DEPARTAMENTO DE COMPRAS Y CONTRATACIONES, PATRIMONIO Y SUMINISTROS (DCyCPyS), al ÁREA DE TESORERÍA, y al Superior Jerárquico del agente.

Asimismo, la GRRHH deberá informar al DEPARTAMENTO DE SISTEMAS Y TECNOLOGIA INFORMATICA mediante el sistema de ticket la desvinculación o cambio de función del personal del ORSNA a los fines de garantizar el resguardo de los activos, en atención a lo establecido en la cláusula 3 del presente documento.

3- Gestión de Activos

3.1. Propietario de activos

El propietario de los activos es el ORSNA, salvo aquellos activos que le fueren cedidos en comodato al Organismo.

3.2. Inventario de activos

El DCyCPyS realiza el inventariado y el alta patrimonial de bienes tangibles e intangibles registrables.

Para ello, el DSyTI deberá informar al DCyCPyS todos los activos adquiridos que resulten registrables.

3.3. Administración de activos

Cumplido el inventariado, el DSyTI llevará un registro propio de los Activos a efectos de identificar la descripción de los mismos, su asignación, ubicación, traslado y estado de conservación, debiendo informar al DCyCPyS cualquier modificación que se suscite.

3.4. Responsable de la gestión de los activos

El responsable de los activos será el DSyTI, quien deberá asegurar la clasificación y asignación de los mismos.

3.5. Asignación de activos

De acuerdo a las necesidades de las unidades organizativas del ORSNA, el DSyTI asignará los activos. A tal fin, realizará su instalación y puesta en marcha dejando constancia de la entrega del bien al agente depositario a través del ACTA DE ENTREGA (conforme Anexo II)

El agente será responsable del buen uso de los activos.

Los dispositivos móviles se encuentran autorizados a ser retirados del Organismo por el agente al cual le hubieren sido asignados.

3.6. Devolución de activos

Al finalizar el vínculo laboral con el ORSNA, el agente hará devolución de los activos que se le hubieran asignado para el cumplimiento de sus tareas conforme el ACTA DE DEVOLUCIÓN (Anexo III).

3.7. Cesión y/o Baja de activos

El DSyTI informará al DCyCPyS sobre aquellos activos que se encuentren en estado de desuso o rezago a fin de llevar a cabo el procedimiento previsto en la normativa vigente.

3.8. Gestión de Soportes de Almacenamiento

3.8.1. Soportes de Almacenamiento Removibles

Se almacenan los soportes de medio extraíbles (cintas magnéticas, discos externos u otros) en un ambiente seguro y protegido, teniendo en cuenta la criticidad de la información contenida y las especificaciones de los fabricantes o proveedores del soporte de almacenamiento.

Se establece el control de los dispositivos de almacenamiento removibles, mediante el monitoreo de los archivos que se copian desde y hacia estos dispositivos.

3.8.2. Eliminación Segura de Soportes de Información

A fin de evitar el acceso a información residual en los soportes de almacenamiento, se implementarán procedimientos de borrado seguro de la información al momento de declararse la baja del soporte de almacenamiento, o bien para operaciones de reciclado de los dispositivos de almacenamiento.

La eliminación segura se considera para todo elemento de soporte de información tales como papeles, cintas magnéticas (datos, audio y video), discos magnéticos o de estado sólido, dispositivos de almacenamientos ópticos, unidades extraíbles y cualquier otra tecnología o soporte de almacenamiento de datos.

Los medios de almacenamiento que se intenten reutilizar, pero no puedan ser recuperados serán destruidos físicamente de manera apropiada para que la información contenida no pueda ser recuperada utilizando técnicas forenses.

4- Autenticación, autorización y control de Acceso

4.1. Usos Aceptables

4.1.1. Uso General

Los recursos tecnológicos del ORSNA solo deben ser utilizados de modo que guarden relación con las funciones asignadas.

Los usuarios de los sistemas informáticos toman conocimiento que una cuenta de usuario representa una identidad digital. Por lo tanto, cada vez que se utilicen o se intentaren utilizar los recursos informáticos de los diferentes sistemas, se registrarán los accesos y/o actividades que se realizan con dicha cuenta de agente. La contraseña utilizada para autenticar una cuenta de agente, es de uso estrictamente personal y confidencial.

4.1.2. Uso del Equipamiento

El ORSNA proveerá a su personal y a toda persona que preste tareas en su ámbito, las herramientas de hardware y software necesarias para su desempeño laboral, siendo los mismos responsables de su uso y debiendo ser utilizados exclusivamente para propósitos relacionados con sus actividades laborales.

El agente está obligado a dar el debido tratamiento para el cuidado de dichas herramientas, de forma tal de evitar cualquier daño, conexión, desconexión o traslado sin la debida autorización.

4.1.3. Uso de los Sistemas de Software

Solo los agentes que fueran autorizados podrán acceder a los sistemas y a la información del ORSNA para el desarrollo de sus actividades laborales. Cualquier acceso no autorizado o intento de acceso no autorizado será considerado como una posible violación a la PSI.

Los agentes que por alguna razón consideren que necesitan accesos adicionales, deberán canalizar el pedido a través de su superior jerárquico mediante el sistema de ticket.

El DSyTI es responsable de la instalación, configuración, puesta en funcionamiento y mantenimiento de todo el equipamiento y software existente en el ORSNA.

Cuando las unidades organizativas requieran para el desempeño de sus tareas software específico, deberán remitir la solicitud de adquisición y/o instalación mediante el sistema de ticket. Todo aquel software que se encuentre instalado sin la debida autorización o almacenado en carpetas locales o compartidas que no guarde correspondencia con el software autorizado por el ORSNA podrá ser desinstalado y/o eliminado.

4.1.4. Uso de la Información

La información perteneciente al ORSNA será utilizada únicamente dentro del marco de las actividades propias del organismo, quedando prohibida la utilización de la misma en beneficio propio y todo tipo de divulgación a terceros, sin previa autorización del ORSNA.

El ORSNA se reserva el derecho de auditar los archivos en las carpetas de los agentes, ya sea en los servidores compartidos como en los dispositivos de almacenamientos externos o internos (discos locales de almacenamiento en las estaciones de trabajo) pertenecientes al ORSNA, y podrá ser considerada información no deseada y ser pasible a ser borrada sin aviso previo.

Los agentes que cambien de función o se desvinculen laboralmente del ORSNA, están obligados a entregar a su superior jerárquico, toda la información y documentos electrónicos que hubieran elaborado en el cumplimiento de su función hasta el momento que la desempeñaba, de forma tal que su desvinculación no genere problema alguno en la continuidad de las tareas que se venía desarrollando.

Todos aquellos archivos de documentos que se encuentren en carpetas locales o compartidas que no guarden relación con las funciones desempeñadas, podrán ser eliminados.

Queda prohibido realizar cualquier actividad contraria a los intereses del ORSNA, así como también, difundir y/o publicar información reservada, confidencial o secreta, acceder sin autorización a recursos compartidos o archivos, e impedir el acceso a otros agentes mediante el mal uso deliberado de recursos comunes.

El que altere, destruya o inutilice datos, documentos, programas o sistemas informáticos; o venda, distribuya, haga circular o introduzca en el sistema informático, cualquier programa destinado a causar daños, será considerado incurso en una falta grave, pudiendo ser pasible de la aplicación de una pena conforme lo establecido en el Código Penal.

4.1.5. Uso de las Contraseñas

Los agentes se comprometen a mantener las contraseñas en secreto. Cuando existiera indicio de que la confidencialidad de la contraseña hubiera sido comprometida, se informará y solicitará al DSyTI el cambio de la misma, inmediatamente.

El agente no podrá almacenar contraseñas en papel, archivos de texto, planillas de cálculo o cualquier aplicación cuya función no sea expresamente el almacenamiento seguro de contraseñas.

4.2. Usos Inadecuados

4.2.1. Uso Inadecuado de los Recursos

Los recursos informáticos del ORSNA se suministran con el propósito de asistir al agente en la ejecución de sus tareas y en el correcto procesamiento de la información. Toda utilización de estos recursos con propósitos no autorizados o ajenos al destino para el cual fueron provistos será considerada como uso indebido.

4.3. Uso del Almacenamiento de Información por el Usuario

4.3.1. Almacenamiento Local

Los discos locales de los equipos informáticos se destinarán al almacenamiento y procesamiento de archivos relacionados con sus actividades laborales. Cada agente es responsable de administrar el espacio y resguardo seguro de la información que el equipo informático contenga. Por ello se indica que para el mantenimiento de una copia de resguardo es necesario almacenar los datos en el servicio de almacenamiento que ofrece el ORSNA - Tronador- para asegurar la existencia de una copia de resguardo en el caso que se lo requiera.

4.3.2. Almacenamiento en Repositorios del ORSNA

Los archivos electrónicos relacionados con las actividades laborales deberán almacenarse en los servicios de almacenamiento de los servidores del ORSNA. Esta información será asegurada a través de procesos de copias de resguardo establecidos por el DSyTI.

En caso de requerir la restauración de una copia de resguardo, el agente deberá comunicarse mediante sistema de ticket con el DSyTI para iniciar el proceso de restauración de copias de resguardo.

4.3.3. Almacenamiento en Servicios Externos al ORSNA

Está prohibido almacenar archivos laborales o documentos electrónicos del ORSNA en los servicios de almacenamiento de Internet, ya que se expone al riesgo de pérdida de la confidencialidad de los mismos.

Cuando se requiera utilizar un servicio de almacenamiento accesible desde Internet para compartir o almacenar archivos, se debe utilizar el servicio del ORSNA (Nextcloud: https://private.orsna.gob.ar/login), el cual fue creado para tal necesidad y posee los requerimientos de seguridad necesarios, como ser factor de autenticación para asegurar su acceso.

4.4. Política de Control de Accesos

Se controlará el acceso a la información y a los recursos tecnológicos del ORSNA, por lo cual se declara la:

a) Revocación o modificación de los derechos de acceso ante cambios de función o desvinculación laboral.

b) Segregación de las funciones referidas a quien solicita, quien autoriza y quien concede operativamente el acceso.

c) Revisión periódica de los permisos de acceso concedidos.

4.5. Gestión de Acceso de Usuario

4.5.1. Cuentas

Se utilizará una cuenta de usuario asociada a un agente con una identificación unívoca para su uso personal exclusivo, de manera que las actividades puedan rastrearse con posterioridad a los fines de garantizar la trazabilidad de sus acciones.

Las cuentas de servicio se crean y utilizan para fines específicos de software y sistemas. Podrán estar asociadas y configuradas en más de un sistema y su alta, baja y modificación está bajo responsabilidad del DSyTI.

Las cuentas de usuario institucional son las utilizadas por un grupo de agentes, por razones exclusivamente operativas, que será creada a requerimiento del Superior Jerárquico de la Unidad Organizativa requirente.

Se establecerá una revisión trimestral con el objeto de:

- Inhabilitar cuentas de usuarios de los sistemas principales de gestión de usuarios (controladores de dominio) inactivas por más de cuarenta (40) días corridos - siempre que no se encuentren en goce de licencia ordinaria o extraordinaria- o cuentas de usuarios desvinculados del ORSNA.

- Eliminar cuentas de usuarios inactivas por más de sesenta (60) días corridos, de los sistemas, base de datos, aplicaciones y servicios, cuando la eliminación de las mismas no provoque inconvenientes operativos.

- Eliminar las cuentas de usuarios redundantes o no identificables previo análisis de sus actividades.

- Las excepciones para evitar inhabilitar o eliminar cuentas de usuario, deberán ser formalmente comunicadas por el solicitante a la DSyTI a través del sistema de ticket.

4.5.2. Gestión de Permisos de Accesos

Se controlarán los permisos de acceso a los activos de información.

Se identificarán niveles de acceso de lectura, escritura o una combinación de ambos para los sistemas, bases de datos y aplicaciones.

Se priorizará el principio de asignación de mínimos privilegios, suficientes para realizar las tareas solicitadas.

4.5.3. Permisos de Acceso de Administrador

La asignación de permisos de acceso de administrador se concederá solo al personal del DSyTI. Los agentes con permisos de acceso administrador podrán poseer dos cuentas de agente, una para sus tareas habituales y otra para realizar estrictamente actividades que requieren estos permisos de acceso administrador.

No se deberá utilizar la cuenta de agente con permisos de administrador para realizar actividades habituales como ser navegación en Internet o lectura del correo electrónico, sino que estas, sólo se utilizarán ante la necesidad de realizar tareas específicas que lo requieran, como ser de instalación, reconfiguración, contingencia y/o recupero.

4.5.4. Gestión Central de Contraseñas

Se establecerán mecanismos automáticos que permitan a los agentes cambiar las contraseñas asignadas inicialmente, la primera vez que ingresan al sistema.

Se establecen como mínimo las siguientes características básicas de complejidad: longitud mínima de OCHO (8) caracteres, compuesta por mayúsculas, minúsculas y caracteres numéricos en su conformación.

Se configurarán los sistemas principales de gestión de agentes (controladores de dominio) de forma tal que soliciten el recambio de la contraseña cada SEIS (6) meses impidiendo la reutilización de las últimas TRES (3) contraseñas.

Se cambiarán las contraseñas por defecto (de agente administrador, root o similar) de los sistemas y dispositivos luego que hubieran finalizado su instalación y configuración inicial.

Una vez finalizados los servicios de soporte externo del ORSNA, se modificarán las contraseñas de las cuentas utilizadas.

Se almacenarán en los sistemas de gestión de contraseñas las credenciales de los usuarios, se almacenarán en sobre cerrado y caja fuerte las contraseñas críticas (administrador, root o similares) según el procedimiento establecido.

4.5.5. Revisión de Permisos de Acceso

Se llevarán revisiones periódicas de accesos de los agentes a fin de mantener un control eficiente del acceso a los datos y servicios de información.

Se solicitará regularmente la actualización de los permisos de accesos concedidos a los agentes por las unidades organizativas, con el objeto de contrastar el nivel de cumplimiento de los procesos de gestión de permisos de acceso.

4.5.6. Revocación y Cambios de Permisos de Acceso

Conforme lo establecido en la cláusula 4.4.b, se implementarán procedimientos formales para la revocación y cambios de permisos de acceso de los agentes en todos los sistemas y servicios.

Tras la desvinculación del agente, el DSyTI deshabilitará los permisos de acceso a todos los sistemas y servicios de información utilizados por el agente.

Ante un cambio de función se realizarán las modificaciones de permisos de acceso que correspondieren, comprendiendo todos los permisos de accesos lógicos y físicos, como ser llaves, tarjetas de identificación y accesos a instalaciones de procesamiento de la información.

Se cambiarán las contraseñas de acceso administrador que pudiera conocer el agente, tras su desvinculación o ante un cambio de función.

4.6. Control de Acceso a Sistemas y Aplicaciones

4.6.1. Política de Restricción del Ingreso a los Sistemas e Información

Al igual que la política de control de accesos a las redes y servicios asociados se restringirá el acceso a la red interna, a los sistemas, base de datos y otros activos de información en base a la premisa “Todo acceso a la información y recursos tecnológicos está prohibido, a menos que se permita explícitamente”.

Los agentes tendrán acceso solo a los sistemas y activos de información que hubieran sido específicamente autorizados.

El DSyTI autorizará el acceso a los sistemas, bases de datos y activos de información, mediante el pedido formal del superior jerárquico de la información a la cual se pretende acceder.

Esta autorización describirá detallada y explícitamente los permisos concedidos a los agentes para acceder a los sistemas y activos de información.

4.6.2. Directivas para Asegurar los Inicios de Sesión

El acceso a los servicios de información se realizará a través de inicios seguros de sesión. El mismo contempla:

a) Evitar mostrar mensajes de ayuda que pudieran asistir al agente durante el procedimiento de conexión, que diera indicio del dato erróneo (agente o contraseña) ante una autenticación incorrecta. Es decir, no divulgar ningún indicio que provea asistencia a agentes aún no autenticados.

b) Validar la información de la conexión sólo al completarse la totalidad de los datos de entrada. Si surgiere una condición de error, el sistema no indicará que parte de los datos fue correcta o incorrecta.

c) Suscribir el compromiso de confidencialidad antes de acceder a los recursos tecnológicos del ORSNA, consintiendo mediante esta firma su conocimiento y aceptación.

d) Evitar configurar el equipo informático con credenciales almacenadas que provoquen el inicio de sesión de forma automática.

e) Registrar todas las conexiones exitosas y los intentos de conexión fallidas.

f) Evitar implementaciones que transmitan las contraseñas en texto plano sobre la red de datos.

g) Implementar medidas para la protección ante ataques de fuerza bruta, como ser:

- Bloqueo de la cuenta del agente luego de TRES (3) reintentos fallidos.

- Desbloqueo automático de la cuenta luego de DIEZ (10) minutos de haberse bloqueado.

4.6.3. Uso de programas utilitarios privilegiados

Se prohíbe el uso de programas con capacidades de evasión de los sistemas de control y seguridad, como así también la búsqueda y evaluación de vulnerabilidades de seguridad sin el debido control y la autorización del DSyTI.

4.6.4. Control de Acceso al Código Fuente

Se restringirá y controlará el acceso al código fuente de las aplicaciones de software desarrolladas en el ORSNA solo al personal autorizado por el DSyTI, con el fin de evitar que sean introducidos cambios sin la debida autorización y control de las áreas involucradas, copias y descargas no autorizada del código fuente.

Todo programa objeto o ejecutable en producción tendrá un único programa fuente asociado que garantice su origen, es decir, que existirá trazabilidad de versión entre el programa objeto y el código fuente.

Se establecerá la existencia de un implementador del sistema y/o aplicaciones, el cual será responsable de su pase a producción.

Se prohíbe el resguardo de código fuente en los ambientes de producción.

Se realizarán copias de respaldo de los programas fuentes cumpliendo los requisitos de seguridad establecidos por el ORSNA.

4.7. Gestión de cuentas de Usuario

4.7.1. Inicio del proceso

El área requirente enviará mediante el sistema de ticket los datos solicitados en los formularios respectivos de Alta, Baja o Modificación según corresponda, adjuntando la documentación respaldatoria. (Formularios Anexo V; VI y VII).

Si el alta, baja o modificación refiere a una cuenta de usuario, el área requirente será la GRRHH.

Si el alta, baja o modificación refiere a una cuenta de usuario institucional, el área requirente será el superior jerárquico.

El DSyTI recibirá el ticket y el área de soporte validará que la información del formulario esté completa y adjunta la documentación respaldatoria. En caso de no cumplir se solicitará al área requirente documentación complementaria.

4.7.2. Alta

El Alta consiste en la creación de una cuenta de usuario o cuenta de usuario institucional.

El área de soporte reenviará el ticket recibido a los responsables del área de Infraestructura a efectos de crear la cuenta de usuario o cuenta de usuario institucional en los sistemas del ORSNA (Correo Electrónico, Carpeta Compartida, Equipos de escritorio, Acceso Remoto, entre otros).

Los permisos de acceso asignados se limitan al sector del ORSNA definido en el formulario. Una vez culminada su tarea el área de infraestructura devolverá el ticket a los responsables del área de Soporte. De tratarse de un usuario institucional finalizará el proceso. En caso de tratarse de la creación de una cuenta de usuario el ticket será remitido a los responsables de Soporte y el proceso continuará.

El área de Soporte enviará el ticket al área de Desarrollo a fin de generar el alta en el SIGESTO y la Intranet. Los permisos de acceso asignados se limitan al sector del ORSNA definido en el formulario. Cumplido, el ticket será devuelto al área de Soporte.

El área de Soporte enviará el ticket a Administración para que:

a) Si el agente no tiene cuenta de GDE se proceda a su creación.

b) Si el agente tiene cuenta de GDE se proceda a su adecuación.

Cuando finalice su tarea devolverá el ticket al área de Soporte para que:

a) Realice la Instalación, configuración y puesta en marcha del equipamiento informático.

b) Cierre al ticket finalizando así el proceso.

4.7.3. Baja

Se eliminarán los permisos de acceso de los usuarios una vez cumplido el procedimiento indicado en la cláusula 2.1.3.

Así, el área de soporte reenviará el ticket al área de Infraestructura la que será responsable del bloqueo de la cuenta de usuario en los sistemas del ORSNA (Correo Electrónico, Carpeta Compartida, Equipos de escritorio, Acceso Remoto) De tratarse de un usuario institucional finaliza el proceso. En caso de tratarse de la baja de una cuenta de usuario el ticket será remitido al área Soporte y el proceso continuará.

El área de soporte enviará el ticket al área de Desarrollo, quedando a su cargo, el bloqueo de la cuenta de usuario en el SIGESTO y la Intranet, a efectos de suspender los permisos de acceso que tenía asignados. Cuando termina su tarea devuelve el ticket a Soporte.

El área de soporte enviará el ticket al área de Administración, quien bloqueará la cuenta de usuario del sistema de Gestión De Expedientes Electrónicos. Cuando termina su tarea devolverá el ticket al área de Soporte para que:

a) Realice el retiro del equipamiento informático.

b) Finalice el proceso, dando cumplimiento a lo requerido mediante ticket.

4.7.4. Modificación

La modificación consiste en un cambio en la cuenta de usuario o cuenta de usuario institucional.

El área de soporte reenviará el ticket al área de Infraestructura donde se modificará la cuenta de usuario o cuenta de usuario institucional en los sistemas del ORSNA (Correo Electrónico, Carpeta Compartida, Equipos de escritorio, Acceso Remoto). De tratarse de un usuario institucional finalizará el proceso. En caso de tratarse de la modificación de una cuenta de usuario el ticket será remitido al área de soporte y el proceso continúa. El área de soporte enviará el ticket al área de desarrollo donde se modificará la cuenta de usuario en el SIGESTO y la Intranet. Cuando termina su tarea devolverá el ticket al área de Soporte.

El área de soporte enviará el ticket al área de administración donde se modificará la cuenta de usuario de GDE. Cuando termine su tarea devolverá el ticket al área de soporte para que:

a) Realice la modificación del equipamiento informático.

b) Cierre al ticket y así finaliza el proceso.

5- Uso de herramientas criptográficas

5.1. Trabajo Remoto

Todo acceso remoto será implementado mediante una conexión cifrada, la cual será monitoreada y controlada por los dispositivos de seguridad del ORSNA, implementando restricciones de acceso a determinados activos de información dependiendo de la criticidad de la misma y perfil del agente.

Se establecerán factores de autenticación para asegurar la identidad de las conexiones remotas a las redes privadas virtuales (VPN) del ORSNA.

5.2. Cumplimiento de Requisitos

5.2.1. Política de Uso de Controles Criptográficos

Se utilizarán sistemas y técnicas criptográficas para el resguardo de la información, con el fin de asegurar la confidencialidad. Por lo cual, se asegura la información y las comunicaciones mediante la utilización de controles criptográficos, en los siguientes casos:

- Almacenamiento de datos, cuando el nivel de protección sea requerido.

- Transmisión de información fuera del ámbito del ORSNA.

- Copias de Resguardo de la Información.

Se utilizarán algoritmos de cifrado robusto, que serán validados periódicamente con el objeto de evitar el uso de algoritmos de cifrado obsoletos, en desuso, o producto del avance de técnicas de descifrado.

6- Seguridad física

6.1. Seguridad de Oficinas e Instalaciones

Se controlará el ingreso y egreso a la sede principal del Organismo, mediante personal de seguridad.

6.1.1. Protección contra amenazas de origen ambiental, internas y externas

Existirá seguridad física en las entradas de las instalaciones y en el piso en el cual se encontrase la sala de comunicaciones, el centro de procesamiento de datos y centro de operaciones de seguridad (SOC), con el objeto de contrarrestar cualquier amenaza interna o externa que pusiera en peligro los activos y operaciones del ORSNA.

Se establecerán protocolos de actuación ante amenazas internas, externas (vándalos, accesos forzados, etc.) y procedimiento de actuación ante incendios.

6.2. Seguridad de los equipos

6.2.1. Ubicación y Protección de Equipos

Se deberá ubicar el centro de cómputos de tal manera que se reduzcan los riesgos ocasionados por amenazas, peligros ambientales y accesos no autorizados. El sitio será de acceso restringido y deberá permitir la supervisión constante a los fines de minimizar el riesgo de amenazas potenciales por robo, hurto, incendio, polvo, calor y radiaciones electromagnéticas.

Se establece que está prohibido comer, beber y fumar dentro del centro de cómputos, la sala de comunicaciones, como también está prohibido tomar fotografías o realizar grabaciones sin la debida autorización.

6.2.2. Seguridad en el Suministro Eléctrico

Los centros de procesamientos de datos y las salas de comunicaciones estarán protegidos ante posibles fallas en el suministro de energía u otras anomalías eléctricas. La continuidad del suministro de energía se realizará por medio de la existencia de equipamiento de Suministro de Energía Interrumpible (UPS) y el uso de Generadores de Energía Eléctrica de respaldo.

Se deberá contar con la iluminación de emergencia en caso de falla en el suministro principal de energía.

6.2.3. Seguridad en el Cableado Eléctrico y de Datos

Se protegerán las instalaciones contra descargas eléctricas dentro del edificio de acuerdo a la normativa vigente, adoptando filtros de protección contra rayos a todas las líneas de ingreso de energía eléctrica y telecomunicaciones.

El cableado de comunicaciones que transporta datos y brinda apoyo a los servicios de información deberá estar protegido contra intercepción o daño. El cableado eléctrico y de transmisión de datos y telecomunicaciones deberá cumplir con los requisitos técnicos vigentes de la República Argentina.

Deberá existir separación de los cables de energía de los cables de comunicaciones de datos para evitar interferencias.

Se protegerá el tendido del cableado de red troncal entre los pisos, mediante la utilización de ductos y redes redundantes. Se utilizarán bandejas dedicadas, piso técnico y/o ductos embutidos en las paredes, siempre que sea posible.

6.3. Mantenimiento del Equipamiento Informático

Se deberán realizar tareas periódicas de mantenimiento preventivo del equipamiento de procesamiento de datos y comunicaciones para asegurar su disponibilidad e integridad permanentes, de acuerdo con los intervalos de servicio programados por el DSyTI.

6.3.1. Ingreso y Egreso de Equipos de Escritorio

Se registrará el ingreso y egreso de equipos de escritorio.

A fin proceder a su egreso, el Superior Jerárquico de la Unidad Organizativa requirente deberá comunicar el mismo al DSyTI, correspondiendo suscribir un ACTA DE EGRESO DE EQUIPOS DE ESCRITORIO (Anexo IV). Asimismo, registrará dicho egreso, debiendo informar al DCyCPyS.

6.3.2. Seguridad de los Equipos fuera de las Instalaciones

Los agentes deberán respetar el cuidado de los activos siguiendo las pautas de la cláusula 4.1.

En caso de robo o hurto, el agente al cual se le hubiera asignado el bien deberá efectuar una denuncia policial en donde se proporcionen los datos del bien sustraído.

Asimismo, deberá enviar un memorándum, comunicando los hechos al DSyTI, con copia a su Superior Jerárquico, remitiendo como archivo embebido la denuncia policial. A su vez, el agente comunicará a los grupos de trabajo a los cuales potencialmente podría comprometer la información almacenada en el dispositivo.

Recibido el Memorándum, el DSyTI procederá al blanqueo de la contraseña de la cuenta de usuario asociada; y solicitará a la UNIDAD SECRETARIA GENERAL (USG) la apertura de un Expediente Electrónico al cual vinculará la documentación remitida por el agente, y el ACTA DE ENTREGA suscripta oportunamente.

Mediante una PV remitirá las actuaciones al DCyCPyS, a efectos de solicitar la baja definitiva del bien en cuestión conforme la normativa vigente.

6.3.3. Reutilización o Baja de Equipamiento Informático

Se deberán aplicar operaciones de borrado seguro a todo equipamiento informático, siguiendo las directivas mencionadas en la cláusula 3.8.2, antes de que el mismo sea normalizado para su reutilización o fuera dado de baja, previo resguardo de la información útil o licencias alojadas en dicho equipamiento.

6.3.4. Equipos Desatendidos y Pantallas Limpias

Los agentes deberán cerrar las sesiones de las aplicaciones, sistemas y servicios de red, cuando no estén siendo utilizados y son desatendidos.

Los agentes al ausentarse momentáneamente de su puesto de trabajo deberán cerrar las sesiones activas o en su defecto, bloquear el equipo informático para evitar el acceso indebido al mismo en su ausencia. Este cierre o bloqueo deberá realizarse aun cuando se establece el bloqueo automático de las pantallas de las estaciones de trabajo y servidores en todo equipo que se encuentre desatendido por más de cinco (5) minutos, con el objeto de evitar accesos no autorizados a los mismos.

Los agentes deberán apagar los equipos informáticos cuando finalizan su jornada laboral, excepto cuando sea solicitado por autoridad competente, para lo cual bloquean sus equipos informáticos.

6.3.5. Escritorios Limpios

Los agentes deben proteger la información no pública que utilizan en sus tareas diarias, no exponiendo documentación en papel u otro medio de almacenamiento (pendrives, unidades removibles, cd, etc.) sobre su puesto de trabajo de manera desatendida.

Toda documentación en papel y soportes de almacenamiento con información reservada, confidencial o crítica deberá mantenerse resguardada.

7- Seguridad operativa

7.1. Política de Dispositivos Móviles y Trabajo Remoto

7.1.1. Dispositivos Móviles

Todo dispositivo móvil perteneciente al ORSNA (notebooks, tabletas, teléfonos celulares y otros), deberá cumplir con medidas de seguridad adecuadas para proteger el dispositivo móvil y la información que contiene contra todos los riesgos derivados del uso del mismo.

Se establecen las siguientes directivas para asegurar al dispositivo móvil y la información contenida:

a) Etiquetado de teléfonos de contacto para posibilitar su recupero en caso de pérdida.

b) Instalación de software antimalware en el dispositivo móvil.

c) Implementación de controles para la gestión remota de dispositivos móviles.

7.1.2. Dispositivos Personales

Todo dispositivo personal que fuera autorizado para su acceso a la infraestructura del ORSNA deberá acceder a la misma, mediante escritorio remoto virtual.

7.2. Procedimientos y Responsabilidades Operativas

7.2.1. Separación de Entornos

Se definirán mínimamente dos ambientes diferenciados: desarrollo, y producción, los cuales deberán estar separados y ser independientes.

Se definirán procedimientos formales para el traspaso entre estos ambientes, con el fin de reducir el riesgo de cambios no autorizados en los mismos y garantizar la producción de sistemas seguros.

Se deberá dar cumplimiento a las siguientes directivas:

a) El personal de desarrollo no tendrá acceso al ambiente productivo, oficiando solo como asesor del personal de producción cuando este lo requiera.

b) Ante extrema necesidad se deberá establecer el registro del acceso y el cambio efectuado en el servidor de producción por el personal de desarrollo en caso de urgencia.

c) Se deberá aislar el ambiente de seguridad para realizar pruebas de evaluación de vulnerabilidades o pruebas de penetración, para que en caso de comprometer o dañar el ambiente, no afecte a los restantes entornos.

d) El ambiente de producción deberá contar solamente con el software necesario para el funcionamiento del sistema al que sirve, no deberán existir en él compiladores u otros utilitarios del sistema que pudieran alterar el correcto funcionamiento del sistema productivo.

7.3. Protección contra Código Malicioso

7.3.1. Controles contra Código Malicioso

Se protegerán los sistemas tecnológicos mediante la implementación de controles para prevenir, detectar, eliminar y recuperar los sistemas afectados por código malicioso. Los sistemas de detección de código malicioso deberán estar instalados y actualizados en todas las estaciones de trabajo y servidores que conforman la infraestructura tecnológica del ORSNA.

Se controlará toda actividad de lectura y grabación de archivos, en estaciones de trabajo y servidores, todo tráfico de carga y descarga de archivos en los servidores de conexión a Internet y el control en los correos electrónicos con archivos adjuntos o accesos sitios de Internet, con el objeto de evitar la ejecución de código que pudiera dañar o alterar el normal funcionamiento de la infraestructura tecnológica del ORSNA.

Se ejecutarán periódicamente análisis preventivos para la detección y eliminación de código malicioso en los servidores y estaciones de trabajo.

7.4. Copias de Seguridad

7.4.1. Copia de Resguardo y Restauración

Se establecerán procedimientos para las actividades de Copia de Resguardo y Restauración, debiendo ser los mismos revisados y actualizados cuando se requiera.

Se definirá un esquema de rotulado de las copias de resguardo, que permita contar con toda la información necesaria para identificar y administrar cada una de ellas debidamente.

Se establecerá un esquema de reemplazo de los medios de almacenamiento de las copias de resguardo, una vez concluida la posibilidad de ser reutilizados, de acuerdo a lo indicado por el proveedor y asegurando la destrucción segura de los medios desechados.

Se almacenará en una ubicación remota del origen, las copias de resguardo junto con registros exactos y completos de las mismas y procedimientos documentados de restauración, a una distancia suficiente como para evitar daños provenientes de un desastre en el sitio origen de la copia.

Se asignará a la información de resguardo, un nivel de protección física y ambiental según los requisitos del proveedor del medio de almacenamiento y las normas aplicadas en el sitio principal.

Se verificarán periódicamente la efectividad de los procedimientos de copias y restauración, asegurándose que cumplan con los requerimientos de los planes de continuidad de las actividades, a los efectos de minimizar las posibles interrupciones de las mismas (sean éstas resultado de desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u otros hechos).

Se establecerá el cifrado de las Copias de Resguardo.

Se establece la siguiente periodicidad para la realización de copias de resguardo:

a) Una copia diaria incremental de toda la información almacenada desde la última copia completa en medio magnético almacenado en disco.

b) Una copia semanal completa resguardada en medio magnético almacenado en disco.

c) Una copia mensual completa resguardada en medio magnético almacenado en disco

d) Una copia completa semestral bajada a medio extraíble, es decir a cinta magnética.

Se establecerá período de retención en cintas magnéticas por un (1) año antes de reusar el medio de almacenamiento, a partir de la fecha de entrada en vigencia de la presente política de seguridad.

Se establecerá el siguiente alcance, como mínimo, para realizar copias de seguridad de los activos de información de los entornos en Producción de:

a) Las máquinas virtuales completas en ejecución dentro de los servidores físicos.

b) Los servidores de base de datos.

c) Los servidores de repositorios y recursos compartidos que almacenan archivos de los agentes.

d) Los servidores de correo electrónico.

7.5. Registro de Actividad y Monitoreo

7.5.1. Registro de Eventos

Se registrarán los eventos referidos a la actividad de agentes y del sistema, eventos asociados a errores y la seguridad en los servidores accedidos.

Se almacenarán ajenos a su origen, los eventos de las estaciones de trabajo y servidores críticos con el objeto de garantizar su integridad y disponibilidad para la detección e investigación de incidentes de seguridad. Los registros de eventos podrán almacenarse localmente en las estaciones de trabajo y servidores que sean consideradas no críticos.

7.5.2. Protección de los Registros de Información de Auditoría

Se implementarán controles para la protección de los registros de auditoría almacenados contra alteración de los mismos o su eliminación.

Se implementarán controles para evitar fallas por falta de espacio en los dispositivos de almacenamiento de los registros de auditoría.

7.5.3. Actividad de los Administradores y Operadores

Se registrará la actividad de los usuarios administradores y operadores de sistemas que administren información confidencial, reservada o secreta.

Se implementarán alertas automáticas que informen actividades catalogadas como sospechosas, ya sea debido a accesos, operaciones indebidas o fallas de los sistemas.

7.5.4. Sincronización de Relojes de los Sistemas

Se sincronizarán los relojes de todos los sistemas y equipos informáticos en relación a una o varias fuentes de sincronización únicas de referencia, a fin de garantizar la exactitud de los registros de auditoría.

7.6. Control en la Instalación de Software

7.6.1. Instalación de Software en Producción

Se controlará la instalación de software en sistemas operacionales en producción estableciéndose previamente autorizaciones, conformidades y pruebas.

Toda aplicación, desarrollada por el ORSNA o por un tercero, tendrá un responsable técnico.

Se establecerá la gestión de cambios ante actualizaciones de software en producción antes que el nuevo sistema sea puesto en el ambiente productivo. Se conservará la versión previa del sistema a poner en producción, como medida de contingencia y posibilidad de acciones de reversión de los cambios si fuera necesario.

7.7. Gestión de Vulnerabilidades

7.7.1. Vulnerabilidades Técnicas y Remediación

Se efectuarán pruebas de evaluación de vulnerabilidades de seguridad de los sistemas con el objeto de conocer el grado de exposición, antes de desplegarlo en producción y se adoptarán las medidas necesarias para remediar las vulnerabilidades detectadas, para todo sistema de software utilizado por el ORSNA.

Se instalarán las actualizaciones de seguridad de forma automática de los sistemas operativos y se implementarán directrices de configuraciones seguras.

Se establecerán escaneos periódicos en busca de vulnerabilidades de seguridad sobre la infraestructura del ORSNA.

Se elaborarán informes de evaluación ante vulnerabilidades detectadas y acciones de remediación para corregir las fallas de seguridad detectadas.

7.7.2. Restricciones en la Instalación de Software

Se prohíbe la instalación de software que no sea autorizada por el DSyTI, ya que la instalación no controlada de estos en sistemas informáticos puede dar inicio a la introducción de vulnerabilidades, fuga de información, falta de integridad u otros incidentes de seguridad.

Se implementarán revisiones y controles para detectar y restringir el uso de aplicaciones y utilidades de software que pudieran anular o evitar los controles de seguridad o bien, que pudieran usarse para evaluar la seguridad de la infraestructura tecnológica del ORSNA sin haber sido debidamente autorizadas.

7.8. Auditoría de los Sistemas en Producción

7.8.1. Controles de Auditoría de los Sistemas de Información

Se planificarán y definirán actividades de auditoría sobre los sistemas en producción para determinar los privilegios asignados formalmente mediante los permisos de acceso y con el objeto de auditar permisos asignados y responsabilidades en su mantenimiento. Se auditarán los incidentes operacionales para detectar si las soluciones aplicadas son permanentes o temporales, con el objeto de delimitar su ocurrencia.

Se auditará la efectividad de las actividades de Infraestructura referidas al mantenimiento, monitoreo y gestión de accesos y actualizaciones.

7.9. Almacenamiento en servidores

A través de Infraestructura se gestionará el resguardo de la información en los servidores del ORSNA.

7.9.1. Análisis de capacidad de almacenamiento

El DSyTI revisará regularmente la capacidad de almacenamiento de los servidores para determinar la necesidad de su incremento. Esto puede incluir el monitoreo de los niveles de ocupación de disco y la identificación de archivos o aplicaciones que estén utilizando una gran cantidad de espacio.

7.9.2. Planificación de expansión de almacenamiento

Frente a la necesidad de contar con mayor almacenamiento, será el DSyTI el encargado de proyectar el modo de expansión de almacenamiento y seleccionará el modo más conveniente.

7.9.3. Redundancia

El DSyTI configurará los discos duros en un sistema RAID (Redundant Array of Independent Disks) a fines de proporcionar una mayor seguridad y disponibilidad del almacenamiento o bien otra tecnología superadora.

7.9.4. Configuración de respaldo

El DSyTI elaborará los procedimientos de respaldo para garantizar la seguridad de la información almacenada en los servidores. Esto incluirá la configuración de copias de seguridad automatizadas y la planificación de pruebas de recuperación de desastres.

7.9.5. Monitoreo y mantenimiento

El DSyTI deberá monitorear regularmente el almacenamiento en los servidores y realizar el mantenimiento necesario para garantizar que los servidores estén funcionando correctamente. Esto deberá incluir la verificación de errores en los discos duros y la optimización de los sistemas de almacenamiento.

7.9.6. Análisis y mejora continua

El DSyTI analizará regularmente el almacenamiento en los servidores para identificar tendencias y áreas de mejora Conforme el análisis realizado, implementará cambios para alcanzar un mayor índice de eficacia y eficiencia del almacenamiento en los servidores.

7.10. Soporte a usuarios.

7.10.1. Creación del ticket

El ticket será creado a solicitud de un agente o bien cuando el DSyTI advierte un problema. El mismo deberá ser creado a través de una cuenta de agente del ORSNA mediante la herramienta disponible en http://tickets.orsna.gov.ar/.

7.10.2. Asignación del ticket

Una vez creado, el ticket será asignado a un agente del DSyTI con conocimiento en el tema a ser tratado.

7.10.3. Análisis y resolución

El DSyTI realizará un análisis del ticket. Una vez resuelto el motivo que originó la creación del mismo, el DSyTI deberá poner en conocimiento al agente, y este validará la resolución satisfactoria del requerimiento.

7.10.4. Cierre del ticket y documentación de la solución

Una vez validado por el agente, el DSyTI dará cierre al ticket, dejando constancia de la solución adoptada, a los fines de identificar tendencias y áreas de mejora en el proceso de soporte.

8- Seguridad de las comunicaciones

8.1. Uso de Internet

El ORSNA otorga acceso a Internet para mejorar y facilitar la actividad laboral de sus agentes, a efectos de acceder a información técnica, comunicación con otros organismos oficiales, instituciones académicas y/o accesos relativos a temas inherentes con la función que desempeñan.

El servicio de acceso a Internet es restringido y controlado, ya que se bloquean sitios clasificados con determinadas categorías. Por ello, con el objeto de minimizar el riesgo de violación a la seguridad a través del uso incorrecto del servicio de Internet, se encuentran prohibidas las siguientes acciones:

a) Evadir los controles de navegación por medio de software especializado o por medio de sitios de terceros que actúan como servidores intermediarios (proxies externos).

b) El uso de streaming para entretenimiento.

c) La descarga de archivos de software sin la debida autorización.

d) El incumplimiento de lo dispuesto por la Ley N° 11.723 de Propiedad Intelectual.

e) Distribuir software malicioso (malware).

f) Acceder a material pornográfico, actividades lúdicas o de entretenimiento, diversión o pasatiempos de similar tenor, páginas que promuevan el odio, el racismo, inciten a la violencia o con contenido contrario a las normas de orden público y buenas costumbres.

g) Emitir comentarios o brindar información en redes sociales sobre incidentes de seguridad acaecidos dentro del ORSNA.

h) Atentar contra la infraestructura tecnológica de terceros y/o del ORSNA.

8.2. Monitoreo y Auditoría

Dado que el equipamiento, los sistemas y la información que componen la infraestructura tecnológica son propiedad del ORSNA, el uso de los mismos serán monitoreados y/o auditados mediante herramientas de seguridad y auditoria diseñadas para tal fin, comprendiendo dicha actividad el uso de los equipos informáticos, tráfico de la red de datos, accesos a sistemas y bases de datos, uso de Internet y del correo electrónico, con las limitaciones que las disposiciones legales imponen en cuanto al respeto de la privacidad.

8.3. Uso del Correo Electrónico

8.3.1. Correo Electrónico

El agente se compromete a cumplir con la normativa aplicable y es el único responsable de todos los actos u omisiones que sucedan en relación con su cuenta de correo y/o contraseña.

El servicio de correo electrónico habilitado al personal del ORSNA es para uso laboral, debiendo ser usado únicamente para el desempeño de sus funciones.

Los correos electrónicos enviados y recibidos por los agentes serán controlados por los sistemas de seguridad antimalware y antispam, para minimizar el riesgo de recibir y enviar por este medio, correos y/o adjuntos maliciosos que pudieran vulnerar la seguridad de la infraestructura tecnológica del ORSNA.

El espacio de almacenamiento de mensajes en el servicio de correo electrónico es limitado, esto significa que el servicio cumple la función de recepción y envío mientras tenga espacio suficiente para tal operación, por lo que el agente debe gestionar los mismos de manera adecuada.

Con el objeto de mejorar la gestión y seguridad del correo electrónico se requiere el cumplimiento de las siguientes directivas:

a) No adjuntar en los correos electrónicos archivos que puedan presentar un riesgo a la seguridad de la información. A saber: programas ejecutables, librerías, scripts, macros, y archivos multimedia, o los que en un futuro el DSyTI pueda considerar un riesgo.

b) No adjuntar archivos de más de 21 Mb. Ante la necesidad de compartir archivos que superen el tamaño mencionado se deberán utilizar los servicios de repositorio del ORSNA.

c) Periódicamente mover los mensajes enviados y recibidos a Carpeta Locales del cliente de correo electrónico, a fin de mantener la casilla de correo con el espacio usado por debajo de su límite para evitar inconvenientes de denegación del servicio por falta de espacio.

d) Evitar escribir el texto del “Asunto” en mayúsculas, debido a la posibilidad de que los sistemas antispam de los destinos cataloguen el correo como spam.

e) Comunicar a Soporte aquellos correos que consideren como “maliciosos” o catalogados como “spam” para contribuir a mejorar los sistemas antimalware y antispam.

f) No abrir ni guardar localmente correos de origen desconocido que contengan archivos adjuntos.

h) Evitar acceder a los enlaces embebidos en los cuerpos de los correos recibidos, para no caer en correos maliciosos de ataques de phishing. En su lugar copiar el enlace y pegarlo en el navegador web para validar el dominio web al que se accede e ingresa sus credenciales.

8.3.2. Firma de Correo Electrónico

Los correos electrónicos que sean enviados mediante el correo institucional deberán contener al pie del mismo, la firma respectiva del agente indicando nombre, función, correo electrónico, domicilio, teléfono y dependencia a la cual pertenece.

A tal fin, el DPyRI remitirá a cada agente la firma a utilizar en el correo electrónico.

8.3.3. Envío de Correos Electrónicos Masivos

8.3.3.1. Externo

Se define como el envío de correo electrónico masivo externo a todo mensaje que es enviado simultáneamente a más de DOSCIENTAS (200) casillas, superado dicho umbral los correos serán bloqueados, salvo expresa autorización.

8.3.3.2. Interno.

Las áreas que por razones inherentes a sus funciones necesitaren realizar una comunicación masiva a todo el personal del ORSNA mediante el envío de un correo electrónico, deberán solicitarlo a través de un pedido formal mediante el sistema de ticket a Soporte.

8.4. Gestión en la Seguridad en las Redes de Datos

8.4.1. Seguridad en las Redes

Se documentará la información referida a topologías de redes internas, externas, redes de interconexión con otros organismos y enlaces de proveedores de servicios de Internet.

Se establecen las reglas de acceso sobre la premisa “Todo acceso a la información y recursos tecnológicos está prohibido, a menos que se permita explícitamente”.

Los agentes deberán tener acceso solo a las redes respecto a las cuales hubieran sido específicamente autorizados.

Se deberán monitorear y registrar las actividades en la red de manera preventiva, para lo cual se definirán controles que inspeccionen los paquetes de datos que circulan en la red con el objeto de detectar tráfico indebido que pueda vulnerar la seguridad de los sistemas informáticos.

Se limitará la navegación de Internet para evitar comprometer el rendimiento y/o estabilidad del acceso a la misma.

Se controlará el tráfico de datos interno y externo de la red informática mediante dispositivos de seguridad que controlen activamente las comunicaciones con origen y destino autorizados.

Se implementarán controles para mantener la alta disponibilidad de los servicios de red y equipamiento informático interconectado.

Las conexiones externas hacia equipos internos estarán restringidas y sujetas al cumplimiento de procesos de aprobación del responsable.,

Se implementarán mecanismos de autenticación simple a las conexiones que accedan mediante redes privadas virtuales (VPN) a la infraestructura interna del ORSNA.

Se promoverá el uso de certificados digitales para validar los extremos de la conexión. Las conexiones externas estarán cifradas por medio de algoritmos actualizados.

8.4.2. Nivel de Acuerdo de Servicios en Redes y Telecomunicaciones

Se establecerá el acuerdo de Nivel de Servicio para las redes internas con las siguientes características: disponibilidad del 99%, velocidad 100Mbps como mínimo, segregación de redes y seguridad de puertos, existencia de procedimiento para verificar conectividad y escalamiento hasta nivel 3 (especialista en redes y comunicaciones) para resolución de problemas.

8.5. Intercambio de Información con partes externas

8.5.1. Controles en el Intercambio de la Información

Todo intercambio de información con entidades externas se deberá realizar a través de conexiones cifradas de extremo a extremo. Se promoverá la implementación de certificados para la validación de cada uno de los dos extremos antes del intercambio de la información y de este modo asegurar la confidencialidad, integridad y la autenticidad de la información que se transmite y envía hacia redes externas; evitando la intercepción, copia no autorizada, modificación o direccionamiento incorrecto.

Todo intercambio de información de gran tamaño se deberá realizar mediante los servicios locales de almacenamiento provisto para tal fin y disponible para todos los agentes del ORSNA. En virtud de ello, se desaconseja el intercambio mediante el uso de cuentas particulares en repositorios de almacenamiento públicos.

8.5.2. Intercambio de Información con partes externas

Los intercambios de información con entidades externas deberán definir puntos tales como responsabilidad de las partes en el uso, protección y custodia de la información, trazabilidad de los datos, cumplimiento de las normas técnicas y legales y requisitos de cifrado entre otros.

9- Adquisición de sistemas, desarrollo y mantenimiento de sistemas de información

9.1. Requerimientos de Seguridad de los Sistemas

9.1.1. Análisis y especificaciones de los requerimientos de seguridad

El DSyTI participará en las fases tempranas del ciclo de vida de desarrollo de los sistemas informáticos.

Se establecerán directivas de seguridad para el desarrollo de aplicaciones, las cuales deberán describir requerimientos básicos de seguridad.

9.2. Seguridad en Procesos de Desarrollo

9.2.1. Política de Desarrollo Seguro de Software

Se declara el compromiso de involucrar al DSyTI en el ciclo de vida de desarrollo de los sistemas de información desde el inicio del mismo con el objeto de validar la seguridad en su arquitectura.

Se deberán incorporar en el diseño y desarrollo de los nuevos sistemas de información y en todas las mejoras o actualizaciones, las directivas de seguridad para el desarrollo de aplicaciones, la que será aplicable a todo desarrollo de sistemas de información, dentro del ORSNA, como también el realizado por terceros.

9.2.2. Control de Cambios en el Proceso de Desarrollo

Durante el ciclo de vida de desarrollo de software se deberán evaluar, validar y documentar los cambios realizados, mediante un versionado detallado con el objeto de minimizar los riesgos de modificaciones indebidas que pudieran comprometer las operaciones del entorno productivo, respetando las instancias de desarrollo, pruebas y producción.

9.2.3. Revisión luego de Cambios en Sistemas Operativos de las Plataformas

Luego de la instalación de actualizaciones de las plataformas operativas y sistemas operativos se deberán realizar revisiones funcionales para asegurar que no se ha generado un impacto adverso en las aplicaciones operativas y por ende en las operaciones de negocio.

9.2.4. Restricciones a los Cambios de Paquetes de Software

Se limitará la instalación de las actualizaciones de los paquetes de software, bases de datos y sistemas operativos a aquellos absolutamente necesarios, siendo prioritarias las actualizaciones de seguridad. Luego de la instalación de actualizaciones se deberán realizar revisiones funcionales para asegurarse de que no se ha generado un impacto adverso en las aplicaciones operativas y por ende en las operaciones de negocio.

9.2.5. Seguridad en la Ingeniería de Software

Se contemplarán requisitos de seguridad de identificación, autenticación, autorización, auditabilidad y trazabilidad en los diseños de software.

Se documentará detalladamente el código fuente.

Se establecerá una metodología para una clara codificación y se documentarán los procesos y componentes del sistema.

9.2.6. Seguridad en los Entornos de Desarrollo

Se establecerán entornos de desarrollo seguros, por lo cual se deberá restringir el acceso al código fuente solo al personal necesario, se realizarán copias de resguardo periódicamente del código fuente, se utilizarán entornos independientes de desarrollo y se establecerán procedimientos de pasaje de entornos.

9.2.7. Desarrollo de Software por terceros

Se establecerán requerimientos contractuales de calidad y seguridad que deberán plasmarse en acuerdos firmados y consensuados con el proveedor del desarrollo de software.

9.2.8. Pruebas seguridad y aceptación del Sistema

Se realizarán evaluaciones de seguridad y pruebas funcionales para evaluar los requisitos y la aceptación de los mismos en los sistemas desarrollados antes de pasarlo al entorno productivo.

9.2.9. Propiedad Intelectual del Desarrollo de Software

Todo algoritmo o código fuente desarrollado por el ORSNA o por terceros es de propiedad exclusiva del ORSNA, quedando prohibida su copia parcial, total y distribución de la misma a terceros sin la debida autorización.

9.3. Datos de Prueba y Operativos

9.3.1. Protección de los Datos de Prueba

Las pruebas de los sistemas desarrollados se deberán realizar con datos ficticios. Excepcionalmente podrán realizarse con datos extraídos del ambiente productivo, mediante autorización previa del superior jerárquico de la unidad requirente, debiendo los mismos ser despersonalizados y enmascarados antes de su uso, evitando de este modo exponer información que pueda no ser pública.

9.3.2. Cambios de Datos de Sistemas en Producción

La modificación, actualización o eliminación de datos operativos en producción serán realizadas, solo a través de los sistemas que procesan dichos datos. Una modificación por fuera de los sistemas de un dato almacenado, sea en un archivo o base de datos, podría poner en riesgo la integridad de la información.

Excepcionalmente, cuando ello no fuera posible, la modificación manual deberá ser requerida por el superior jerárquico mediante el sistema de ticket, indicando la operación a realizar y el motivo de la modificación.

Tal modificación quedará documentada en el mencionado sistema, debiendo el DSyTI informar: agente, fecha, hora, cuentas utilizadas, y solución implementada, a las partes interesadas.

9.4. Adquisición y gestión de hardware y software

Será el DSyTI, mediante Administración quien tome intervención en aquellos supuestos de adquisición y mantenimiento de los sistemas y programas informáticos necesarios para el funcionamiento del ORSNA.

En ese sentido, deberán encargarse del asesoramiento para identificar las tecnologías disponibles en el mercado, métodos de adquisición, especificaciones técnicas, informes técnicos, al tiempo que operarán como interlocutores entre el organismo y la Oficina Nacional de Tecnología Informática en aquellos procesos en que por normativa requiera su intervención.

10- Relación con proveedores

El Organismo incluye en los pliegos de bases y condiciones particulares cláusulas vinculadas a la Seguridad de la Información, de cumplimiento efectivo y obligatorio por parte de los contratantes.

Estas disposiciones consideran los aspectos pertinentes a la protección de la Información y los servicios que se brinden.

11- Gestión de incidentes de seguridad

11.1. Procedimientos y Responsabilidades

Se establecerá un plan general de respuesta a incidentes que contemple la preparación, detección, comunicación, evaluación, análisis, contención, recuperación de los sistemas afectados y aprendizaje del mismo.

Se establecerán procedimientos de respuesta a incidentes de seguridad de la información para la correcta gestión de los mismos, con el fin de garantizar una respuesta rápida, eficaz y sistemática a los incidentes relativos a la seguridad.

Se establece que el DSyTI tiene la facultad para acceder a todo sistema, dispositivo o equipamiento tecnológico involucrado en alertas de seguridad que considere apropiado, para analizar el incidente, evitar que escale y afecte la disponibilidad, confidencialidad e integridad de la información o de los sistemas del ORSNA como también para realizar actividades forenses luego que hubiera ocurrido el incidente.

11.2. Comunicación de Alertas o Incidentes de Seguridad

Se establece la obligatoriedad de comunicar cualquier alerta o incidente de seguridad, tan pronto como estos sean detectados por el personal del ORSNA.

11.3. Comunicación de Debilidades de Seguridad de la Información

Todos los agentes del ORSNA deberán informar cualquier debilidad de seguridad sospechada o detectada en los sistemas o servicios del Organismo.

Se prohíbe que el personal intente buscar o probar dichas debilidades de seguridad detectadas o sospechadas, por medio de cualquier software de evaluación de vulnerabilidades o pruebas de penetración. Tal actitud se podrá interpretar como un intento de violación a la seguridad de los sistemas del ORSNA y generar las sanciones correspondientes.

11.4. Evaluación de los Eventos y Análisis de los Incidentes de Seguridad de la Información

Se deberá proceder a la evaluación inicial de los eventos de seguridad catalogados como incidentes y analizar su impacto y urgencia de resolución. Por ello se establecerán criterios de priorización de incidentes dependiendo del sistema, servicio, información o agente afectado.

11.5. Respuesta a los Incidentes de Seguridad

Ante incidentes de seguridad se llevará a cabo la recopilación, el registro de evidencias para su evaluación inicial, el análisis de incidente, acciones de remediación, aprendizaje del incidente y análisis forense para profundizar su estudio y confirmar la causa. Posteriormente, se comunicará el estado de situación de la resolución a todas las personas y Unidades Organizativas con incumbencia.

11.6. Aprendizaje de los Incidentes de la Seguridad

Se documentará la resolución del incidente, con el objeto de identificar y evaluar aquellos que sean recurrentes o de alto impacto, a efectos de mejorar y agregar controles para limitar la frecuencia, daño y costo de futuros similares.

Se documentarán todas las fallas encontradas en los procedimientos descriptos u operaciones desarrolladas y los inconvenientes detectados para su resolución.

11.7. Recopilación de Evidencias

Se procederá a la adquisición de imágenes forenses y preservación de la información que pudiera servir como evidencia, ya sea para conocer la causa del incidente, implementar una medida disciplinaria o iniciar una acción legal, cuando así corresponda.

Para ello se documentará la detección del incidente, se resguardarán los registros de los eventos asociados, como también los equipos informáticos involucrados en el mismo.

En este aspecto, se deberán evaluar las sanciones disciplinarias, conforme la magnitud y característica del aspecto no cumplido, de acuerdo con la normativa aplicable al ORSNA.

12- Aspectos de seguridad para la continuidad de la gestión.

12.1.1. Planificación de la Continuidad de las Operaciones

Se deberá establecer un plan de contingencia para actuar ante incidentes que produzcan la interrupción de la continuidad de las operaciones en el ORSNA, con el objeto de garantizar que los planes operativos de restauración de las operaciones sean ordenados y consistentes entre sí.

El proceso de administración de la continuidad deberá tener en cuenta:

a) Priorización de los procesos críticos del ORSNA.

b) Identificación de las amenazas que pudieran ocasionar interrupciones en los procesos de las actividades.

c) Asignación de responsabilidades.

d) Establecimiento de una estructura de gestión.

e) Documentación de la estrategia de continuidad de las actividades consecuente con los objetivos y prioridades acordados.

f) Comunicación y capacitación del personal, en materia de procedimientos y procesos de emergencia acordados a través de procedimientos de recuperación.

12.1.2. Procedimientos para la Continuidad en situaciones de emergencia

Se deberán mantener los requisitos de seguridad de la información en los planes de continuidad de las operaciones que dan respuesta a situaciones de emergencia.

Se deberán establecer procedimientos de recuperación de desastres para diferentes escenarios de contingencia.

Se deberá nominar al personal de respuesta ante incidentes con la responsabilidad, autoridad y la competencia en los distintos niveles técnicos, comunicacionales y jerárquicos para ejecutar el procedimiento de recuperación de desastres.

Se deberá establecer una estructura de administración adecuada para mitigar y responder ante un evento disruptivo, con personal técnico y la competencia necesaria.

Se deberá desarrollar un plan documentado, procedimientos de respuesta y recuperación, detallando cómo el ORSNA administrará un evento disruptivo y mantendrá la seguridad de su información a un nivel predeterminado.

12.1.3. Verificación de los Planes de Continuidad de las Operaciones

Se deberán realizar revisiones periódicas de los planes de continuidad de las operaciones, implementado a través de la planificación anual de pruebas para evaluar la efectividad de la misma. Esta actividad será llevada a cabo con la participación activa de los responsables de los procesos, recursos de información de que se trate y el DSyTI.

12.2. Redundancia

12.2.1. Redundancia en las Instalaciones de Procesamiento y Transmisión de la Información

Se deberán implementar componentes y/o arquitecturas redundantes en las instalaciones de procesamiento y transmisión de la información, a efectos de cumplir con los requisitos de disponibilidad operativa.

GLOSARIO

ACTIVO: A los efectos de esta PSI, los activos refieren a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para el organismo, pueden ser procesos de negocio, datos, aplicaciones, equipos informáticos, personal, soportes de información, redes, equipamiento auxiliar o instalaciones, entre otros.

ADMINISTRACIÓN: Agentes del DSyTI responsables de la gestión de contrataciones tecnológicas, gestión administrativa de servicios tecnológicos y documentación de procesos.

CODIGO FUENTE: Conjunto de instrucciones escritas en un lenguaje de programación específico que conforman un programa de software. Es creado por los programadores y desarrolladores de software como parte del proceso de desarrollo de aplicaciones y programas informáticos.

CODIGO MALICIOSO: Es un tipo de software que tiene como objetivo dañar o infiltrarse sin el consentimiento de su propietario en un sistema de información. Palabra que nace de la unión de los términos en inglés de software malintencionado: malicious software.

Algunos ejemplos comunes de malware incluyen Virus, Gusanos (worms), Troyanos (Trojan horse), Ransomware, Spyware, Adware, etc.

CONTROL DE ACCESOS: Sistema de verificación que permite el acceso a un determinado recurso si la persona o entidad tiene los derechos necesarios para solicitarlo. Este acceso puede ser a recursos de tipo físico (por ejemplo, a un edificio o un departamento) o lógicos (por ejemplo, a un sistema o una aplicación software específica)

DATOS: Elementos básicos de información que pueden ser representados en forma numérica, textual, gráfica, visual o cualquier otro formato legible por una computadora u otro sistema.

DESARROLLO: Agentes del DSyTI responsables del desarrollo y la gestión de aplicaciones de servidor del ORSNA.

DSyTI: Departamento de Sistemas y Tecnología Informática

ENTORNO PRODUCTIVO: Refiere al ambiente en el que se ejecutan y operan las aplicaciones, sistemas o servicios informáticos en producción.

El entorno productivo suele ser el resultado final de un proceso de desarrollo y pruebas, donde se han validado y probado las funcionalidades del software, se han corregido errores y se han realizado las configuraciones necesarias para su correcto despliegue y funcionamiento.

INFORMACIÓN: Se refiere a toda comunicación o representación de conocimiento como datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.

INFRAESTRUCTURA: Agentes del DSyTI responsables de la gestión del hardware de servidores, software de base de servidores y redes del ORSNA.

INVENTARIO: El inventario de bienes refiere al registro y control de los activos físicos e intangibles.

ORSNA: Organismo Regulador del Sistema Nacional de Aeropuertos.

RECURSOS INFORMÁTICOS: A los efectos de esta PSI los "recursos informáticos" se refieren a los activos, herramientas y tecnologías utilizadas para respaldar y facilitar las operaciones y servicios mediante el uso de sistemas informáticos y tecnología de la información.

SIGESTO: SISTEMA DE GESTIÓN AEROPORTUARIA

SERVICIOS DE INFORMACIÓN: Refiere a los servicios que proporcionan acceso, búsqueda, recuperación, procesamiento, análisis y distribución de información a los usuarios. Estos servicios están destinados a ayudar a las personas o a las organizaciones a obtener la información que necesitan para sus actividades, toma de decisiones, investigación, aprendizaje o cualquier otro propósito específico.

SOPORTE: Agentes del DSyTI responsables de la gestión del equipamiento informático de agentes y gestión de software de agentes del ORSNA.

SOPORTE DE ALMACENAMIENTO REMOVIBLES: Refiere a dispositivo utilizado para almacenar y transportar datos de forma portátil. Estos soportes son extraíbles, ya que se pueden insertar y quitar fácilmente de un dispositivo o sistema de almacenamiento.

USUARIO: Persona que hace uso de los servicios digitales del ORSNA.

USUARIO INSTITUCIONAL: Grupo de usuarios, sector o división definidos por el ORSNA.

FUENTES DE REFERENCIA

• Glosario de términos de ciberseguridad, INCIBE (2021)

• Glosario de Términos de Ciberseguridad, Anexo II, Resolución 1523/2019 de la Secretaría de Gobierno de Modernización de la Jefatura de Gabinete de Ministros

• Política de Seguridad de la Información de la Secretaría Legal y Técnica de la Presidencia de la Nación - IF-2022-45701224-APN-DGSI#SLYT-.

ANEXO I

COMPROMISO DE CONFIDENCIALIDAD

Quien suscribe, ……………………………………… con LE/LC/DNI N° …………… y domicilio en ………………

DECLARA BAJO JURAMENTO guardar estricta reserva respecto a la información y/o documentación a la que haya tenido acceso en razón de las tareas desarrolladas para el ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS (ORSNA.), y se compromete a no revelar, divulgar, ni facilitar comunicaciones verbales, escritas o que por cualquier otro medio reciba, en cumplimiento del principio de la buena fe y el deber de fidelidad (LEY N° 20.744 DE CONTRATO DE TRABAJO Capítulo VII “DE LOS DERECHOS Y DEBERES DE LAS PARTES” Art. 63 y 85).

La persona trabajadora acepta el control y monitoreo del uso de los recursos tecnológicos que le serán facilitados, comprometiéndose a utilizar la información exclusivamente a los efectos del desarrollo de sus funciones

Asimismo, DECLARA BAJO JURAMENTO conocer los términos de la Resolución N° RESFC-2022-39-APN-ORSNA#MTR del 12 de mayo de 2022 aprobatoria de la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL ORGANISMO REGULADOR DEL SISTEMA NACIONAL DE AEROPUERTOS”, en el marco de la Decisión Administrativa N° 641 del 25 de junio de 2021 sus modificatorias y/o complementarias; así como las POLITICAS ESPECÍFICAS de la PSI.


ANEXO II

ACTA DE ENTREGA

Referencia: Entrega de equipamiento informático ORSNA Usuario GDE

Objeto:

En el día de la fecha, en mi carácter de representante del DEPARTAMENTO DE SISTEMAS Y TECNOLOGÍA INFORMÁTICA del ORSNA., se hace entrega del equipo detallado al pie de la presente, a ………………………………………, DNI ………………, perteneciente a …………………… (indicar Gerencia, Departamento y/o Unidad del ORSNA).

En el momento que el agente se desvincule del Organismo o bien si el Directorio del ORSNA lo dispusiera, deberá hacer entrega de el/los equipo/s en el Departamento de Sistemas y Tecnología Informática, donde deberá suscribir un acta de devolución de los mismos.

1) El agente no podrá bajo ningún concepto:

• Abrir el/los equipo/s para proceder a ninguna clase de reparación por su propia cuenta.

• Utilizar accesorios o componentes que no sean del equipo o accesorios que no sean originales.

• Proceder a la carga de ninguna clase de Software, que no estuviera aprobado por el Departamento de Sistemas y Tecnología Informática.

• Ceder en calidad de préstamo ningún equipo o componente del mismo a otro agente del Organismo, sin previo consentimiento del Departamento de Sistemas y Tecnología Informática.

• Pedir reparaciones por su propia cuenta.

2) En caso de hurto y/o robo deberá cumplir con el procedimiento establecido en la Política de Seguridad de la Información del Organismo Regulador del Sistema Nacional de Aeropuertos (PSI).

3) Al momento de la devolución de bienes, los mismos deberán encontrarse en condiciones operativas normales conjuntamente con todos los componentes y/o accesorios entregados.


La entrega se efectúa de entera conformidad por parte del agente aceptando la totalidad de los términos expresados en la presente y en pleno conocimiento de la PSI.

En virtud de lo expuesto, se firma la presente Acta entre las distintas partes involucradas.


ANEXO III

ACTA DE DEVOLUCIÓN

Referencia: Devolución de equipamiento informático ORSNA Usuario GDE

Objeto:

En el día de la fecha, ……/…………/……, ………………………………………… con DNI …………, (perteneciente a ………… (indicar la Gerencia, Departamento y/o Unidad del ORSNA), DEVUELVE el equipo y accesorios detallados al pie de la presente que le fuere entregado mediante ACTA DE ENTREGA N° …………….de fecha ……………


En virtud de lo expuesto, se firma la presente Acta entre las distintas partes involucradas, de entera conformidad por parte del interesado aceptando la totalidad de los términos expresados en los párrafos que anteceden.


ANEXO IV

ACTA DE EGRESO DE EQUIPOS DE ESCRITORIO

En el día de la fecha, ……/…………/………, ………………………………, quien suscribe, en su carácter de ……………………… autoriza la salida del equipamiento tecnológico que se detalla a continuación:


El retiro de equipamiento obedece a los siguientes motivos: …………………………………………………………………………………………………………………………………………………………………………………………………………


ANEXO V

SOLICITUD DE ALTA


ANEXO VI

SOLICITUD DE MODIFICACIÓN



ANEXO VII

SOLICITUD DE BAJA


IF-2023-98320897-APN-GAYP#ORSNA