AGENCIA
DE ACCESO A LA INFORMACIÓN PÚBLICA
Resolución 211/2023
RESOL-2023-211-APN-AAIP
Ciudad de Buenos Aires, 27/10/2023
VISTO el Expediente Nº EX-2023-123052025- -APN-AAIP; la Ley N° 27.275;
el Decreto N° 577 del 28 de julio de 2017, modificado por su similar N°
480 del 11 de julio de 2019; las Decisiones Administrativas N° 1865 del
16 de octubre de 2020, N° 641 del 25 de junio de 2021, y N° 1094 del 1°
de noviembre de 2022; las Resoluciones de la ex-SECRETARÍA DE GOBIERNO
DE MODERNIZACIÓN N° 829 del 24 de mayo de 2019, y N° 1523 del 12 de
septiembre de 2019; la Resolución de la SECRETARIA DE INNOVACIÓN
PÚBLICA N° 44 del 1° de septiembre de 2023; y
CONSIDERANDO:
Que, según lo establecido en el artículo 19 de la Ley N° 27.275, la
AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), ente autárquico con
autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE
MINISTROS, debe velar por el cumplimiento de los principios y
procedimientos establecidos en la citada norma, garantizar el efectivo
ejercicio del derecho de acceso a la información pública, promover
medidas de transparencia activa y actuar como Autoridad de Aplicación
de la Ley de Protección de Datos Personales N° 25.326.
Que todas las infraestructuras tecnológicas de información,
comunicación y operación del Sector Público se encuentran expuestas a
riesgos de disrupción que podrían afectar severamente los servicios que
se prestan a la población.
Que por el Decreto N° 577/2017, modificado por su similar N° 480/2019,
se creó el COMITÉ DE CIBERSEGURIDAD en la órbita de la ex-SECRETARÍA DE
GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, el
cual tiene como objetivo la elaboración de la Estrategia Nacional de
Ciberseguridad.
Que por la Resolución N° 829/2019 de la ex-SECRETARÍA DE GOBIERNO DE
MODERNIZACIÓN se aprobó la ESTRATEGIA NACIONAL DE CIBERSEGURIDAD; y
mediante la Resolución N° 1523/2019 de la exSecretaría antes mencionada
se aprobaron las definiciones de Infraestructuras Críticas y de
Infraestructuras Críticas de Información, la enumeración de los
criterios de identificación y la determinación de los sectores
alcanzados.
Que en el Anexo de la Resolución citada el último término en el párrafo
anterior se define a las Infraestructuras Críticas como aquellas que
resultan indispensables para el adecuado funcionamiento de los
servicios esenciales de la sociedad, la salud, la seguridad, la
defensa, el bienestar social, la economía y el funcionamiento efectivo
del Estado, cuya destrucción o perturbación, total o parcial, los
afecte y/o impacte significativamente; y, de modo similar, se define a
las Infraestructuras Críticas de Información como aquellas tecnologías
de información, operación y comunicación, así como la información
asociada, que resultan vitales para el funcionamiento o la seguridad de
las Infraestructuras Críticas.
Que mediante la Resolución N° 44/2023 de la SECRETARIA DE INNOVACIÓN
PÚBLICA, modificatoria de la Resolución N° 829/2019 de la ex-SECRETARÍA
DE GOBIERNO DE MODERNIZACIÓN, se implementó la Segunda Estrategia
Nacional de Seguridad orientada a fijar las previsiones nacionales en
materia de protección del ciberespacio, y con la finalidad de brindar
un contexto seguro para su aprovechamiento por parte de las personas y
organizaciones públicas y privadas, desarrollando, de forma coherente y
estructurada, acciones de prevención, detección, respuesta y
recuperación frente a las ciberamenazas, junto con el desarrollo de un
marco normativo e institucional acorde.
Que a través de la Decisión Administrativa N° 641/2021 se aprobaron los
“REQUISITOS MINIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS
DEL SECTOR PÚBLICO NACIONAL”, que como ANEXO I
(IF-2021-50348419-APN-SSTIYC#JGM), forman parte integrante de dicha
medida y son aplicables a todas las entidades jurisdicciones
comprendidas en el inciso a) del art. 8° de la Ley N° 24.156.
Que la mencionada norma establece, entre otras obligaciones, que los
organismos alcanzados por su ámbito de aplicación deben desarrollar una
Política de Seguridad de la Información compatible con la
responsabilidad primaria y las acciones de su competencia, sobre la
base de una evaluación de riesgos que pudieran afectarlos; aprobar sus
Planes de Seguridad, estableciendo los plazos en que se dará
cumplimiento a cada uno de los requisitos mínimos de seguridad de la
información (art. 3°); y adoptar las medidas preventivas, de detección
y correctivas destinadas a proteger la información que reciban, generen
o gestionen, así como sus recursos (art. 6°).
Que, conforme se dispuso mediante la Decisión Administrativa N°
1094/2022, la Dirección de Informática e Innovación tiene como
responsabilidad primaria la de asistir a la titular de la Agencia en el
análisis, formulación, implementación, actualización y rediseño de los
sistemas de información, con miras a los procesos y procedimientos
tanto internos como externos, así como en la infraestructura
informática, sistemas y otras herramientas que contribuyan al
fortalecimiento de las políticas de acceso a la información pública y
la protección de los datos personales.
Que, entre otras acciones, la Dirección citada debe asistir a la
titular de la AAIP en la definición y aplicación de metodologías y
normas relativas a la seguridad y privacidad de la información, de
conformidad con la normativa vigente y estándares aplicables en la
materia; y supervisar el desarrollo de los sistemas informáticos,
establecer sus estándares de control y seguridad, como así también
supervisar la aplicación de las normas de integridad y seguridad de
datos de la Agencia.
Que con la finalidad de mejorar y simplificar los procedimientos
administrativos que se desarrollan en su ámbito funcional, la AAIP se
encuentra abocada a la progresiva implementación en sus procesos de
trabajo de las Tecnologías de la Información y las Comunicaciones (TIC)
y de otras tecnologías emergentes.
Que, teniendo en cuenta lo expuesto, se encomendó a la Dirección de
Informática e Innovación proyectar la Política de Seguridad de la
Información (PSI) del organismo, con el objetivo de fortalecer la
seguridad de la información que recibe, produce y administra, en
concordancia con los REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN
PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL, establecidos en el
Anexo I de la Decisión Administrativa N° 641/2021.
Que dicha política busca proteger los recursos de la información de la
AAIP y las herramientas tecnológicas utilizadas para su procesamiento
frente a amenazas internas y externas, deliberadas o accidentales;
asegurar el cumplimiento de la confidencialidad, integridad,
disponibilidad, legalidad y confiabilidad de la información; y afianzar
la adecuada implementación de las medidas de seguridad, identificando
los recursos disponibles.
Que la PSI debe estar entrelazada con la cultura institucional y, para
alcanzar ese objetivo, contará con el compromiso manifiesto de las
autoridades de la AAIP.
Que la Unidad de Auditoría Interna y el Servicio Jurídico permanente de
la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA han tomado las
intervenciones de sus respectivas competencias.
Que la presente medida se dicta en cumplimiento de lo establecido por
la Decisión Administrativa N° 641/2021.
Por ello,
LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1°.- Aprobar la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA
AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA”, que como Anexo
IF-2023-127002770-APN-DIEI#AAIP forma parte integrante de la presente
medida.
ARTÍCULO 2°.- Establecer que la Política aprobada por el artículo 1° se
aplica en todo el ámbito institucional de la AGENCIA DE ACCESO A LA
INFORMACIÓN PÚBLICA, a sus recursos y a la totalidad de sus procesos,
ya sean internos o externos, vinculados a través de contratos o
convenios con terceros.
ARTÍCULO 3°.- Delegar en el titular de la Dirección de Informática e
Innovación de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la facultad
de actualizar la política aprobada por el artículo 1°; dictar las
normas aclaratorias y complementarias que resulten necesarias para su
adecuada implementación; y aprobar el PLAN DE SEGURIDAD que se elabore
de conformidad con lo establecido en el artículo 3° de la Decisión
Administrativa N° 641/21.
ARTÍCULO 4°.- Encomendar a la Dirección de Informática e innovación de
la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la revisión anual de la
política aprobada por el artículo 1° de la presente.
ARTÍCULO 5°.- Comuníquese, publíquese, dese a la Dirección Nacional del
Registro Oficial y archívese.
Beatriz de Anchorena
NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la
edición web del BORA -www.boletinoficial.gob.ar-
e. 31/10/2023 N° 87694/23 v. 31/10/2023
(Nota
Infoleg:
Los anexos referenciados en la presente norma han sido extraídos de la
edición web de Boletín Oficial)
Aspectos Generales
Necesidad de la Política de Seguridad
de la Información
Esta P.S.I. surge de la necesidad de los organismos estatales de poner
el foco en la seguridad de su información. En consonancia con esto, la
Secretaría de Innovación Pública en el año 2021 promulga la Decisión
Administrativa 640/21, que apunta a promover una política pública que
enmarque una conducta responsable en materia de seguridad de la
información en los organismos estatales, sus agentes y funcionarios.
Además, y debido al constante avance de la tecnología, la información
puede ser hoy en día objeto de una amplia gama de peligros, amenazas y
usos indebidos e ilícitos, por lo que se pretende extremar las medidas
tendientes a la preservación de su confidencialidad, integridad y
disponibilidad.
Objeto de la Política de Seguridad de
la Información
Proteger los recursos de la información de la Agencia de Acceso a la
Información Pública (AAIP) y las herramientas tecnológicas utilizadas
para su procesamiento, frente a amenazas internas y externas,
deliberadas o accidentales.
Asegurar el cumplimiento de la confidencialidad, integridad,
disponibilidad, legalidad y confiabilidad de la información.
Afianzar la adecuada implementación de las medidas de seguridad,
identificando los recursos disponibles.
Mantener la P.S.I. de la Agencia actualizada, a efectos de asegurar su
vigencia y nivel de eficacia.
Alcance de la Política de Seguridad de
la Información
Esta P.S.I. se aplica en todo el ámbito institucional, a sus agentes,
ya sean internos o externos, vinculados a la Agencia a través de
contratos o convenios con terceros, y a la totalidad de los procesos.
Revisión de la política de Seguridad
de la Información
Las áreas observadas o que tengan interés legítimo a efectos
modificatorios, deberán elevar sus propuestas al Área Responsable por
la Seguridad de la Información a fin de coordinar su inclusión,
modificación y/o sustitución.
Ante contingencias técnicas operativas y funcionales en los sistemas de
información, bastará la ocurrencia de un incidente para que ésta
intervenga.
El Área Responsable por la Seguridad de la Información deberá impulsar
una revisión de la P.S.I. por lo menos una vez cada 12 (doce) meses,
contados a partir de la última publicación o actualización. Dichas
actualizaciones serán revisadas por el Comité de Control de Seguridad
de la Información y luego de su aprobación, elevadas a la Autoridad
Superior. Serán publicados en el sitio de Internet que, a tal fin,
establezca la AAIP.
Incumplimiento
Todo incumplimiento de la P.S.I. debe ser informado de forma inmediata
al Área Responsable por la Seguridad de la Información para su
tratamiento.
Con el dictamen emitido, de corresponder, se adoptarán las medidas
legales y/o administrativas necesarias.
Política de Seguridad de la Información
A. Organización
.A.1 Aspectos Generales
La P.S.I será parte de la cultura institucional, por ello es necesario
el compromiso manifiesto de la alta dirección de la organización.
a. Objetivo
Definir funciones y asignar responsabilidades de seguridad de la
información en todos los niveles de la estructura de la Agencia, a fin
de implementar y cumplimentar esta P.S.I.
Definir las responsabilidades en el cumplimiento de la seguridad y la
normativa vigente desde la perspectiva de la confidencialidad, la
integridad y la disponibilidad de la información, a los fines de
proteger adecuadamente los datos, sistemas y recursos de información
frente amenazas internas y externas.
Definir las funciones y responsabilidades de un Comité de Control de
Seguridad de la Información (C.C.S.I) en el marco de la Agencia.
b. Alcance
Todo el personal de la Agencia, cualquiera sea su situación de revista,
así como el personal externo que efectúe tareas y/o brinde servicios al
Organismo, se encuentra alcanzado por esta política.
Las instrucciones, normas y procedimientos de Seguridad de la
Información deben basarse en los principios desarrollados en el
presente documento.
.A.2 Comité de Control de Seguridad de
la Información
La creación de un Comité de Control de Seguridad de la Información
(C.C.S.I) en el marco de la Agencia tiene como objetivo general el de
ser un cuerpo plural y representativo de las distintas áreas del
Organismo que pueda controlar, revisar, difundir y promover cambios
relativos a la seguridad de la información.
a. Objetivos
• Proporcionar lineamientos para la
creación de un Comité de Control de Seguridad de la Información en el
ámbito de la Agencia y sus responsabilidades.
b. Definición de Funciones y
Asignación de Responsabilidades
• Analizar las actualizaciones a la
P.S.I propuestas por el Responsable de la Seguridad de la Información y
previa conformidad, elevarlas para la aprobación de la Autoridad
Superior de la Agencia.
• Tomar conocimiento y supervisar la investigación y monitoreo de
aquellos incidentes relevantes relativos a la seguridad.
• Promover la difusión y concientización de la seguridad de la
información dentro de la Agencia y promover la cooperación entre sus
miembros en toda implementación referida a la temática.
• Tomar conocimiento y supervisar el proceso de administración de la
continuidad de la operatoria de los sistemas de tratamiento de la
información de la Agencia frente a interrupciones imprevistas.
.A.3 Organización Interna
a. Objetivos
• Gestionar la P.S.I. en el ámbito
estructural de la Agencia.
• Proporcionar a la Agencia el marco de gestión para el tratamiento de
la seguridad de la información, en conformidad con los requerimientos y
normativas vinculadas a la P.S.I.
• Asegurar la aplicación de medidas de seguridad adecuadas en los
accesos de terceros a la información de la Agencia.
b. Definición de Funciones y
Asignación de Responsabilidades
Intervienen en la Gestión de la Seguridad de la Información de la
Agencia:
c. Compromiso de Confidencialidad
Se definirán, implementarán y revisarán regularmente compromisos de
confidencialidad o de no divulgación a los fines de proteger la
información, debiendo cumplir con toda normativa que alcance a la
Agencia en materia de confidencialidad de la información. Dichos
compromisos deberán ser implementados con:
a. Personal de la Agencia.
b. Organismos externos que accedan o hagan uso de los datos de la
Agencia.
c. Personal contratado, proveedores, etc.
d. Accesos de Terceras Partes a la
Información
Toda la información deberá protegerse contra acceso de terceros no
autorizados.
El acceso de terceras partes a la información de la AAIP debe ser
expresamente autorizado por los o las Propietarios/as de la
Información. Adicionalmente, de acuerdo a la clasificación de la
información a compartir, se requerirá un acuerdo de confidencialidad y
no divulgación de la información deberá ser suscrito entre éstas y la
AAIP.
Cualquier pérdida o acceso no autorizado o sospechoso a la información
sensible deberá informarse en modo fehaciente inmediatamente al
Propietario/a de la Información haciendo extensiva dicha comunicación
(de corresponder) a su línea jerárquica.
Los pedidos de cuestionarios, informes financieros, documentos de la
política interna, procedimientos, exámenes y entrevistas con el
personal están cubiertos por esta política
.A.4 Grupos o Personas Externas
a. Objetivo
Resguardar la seguridad de la información y los medios de procesamiento
de información de la Agencia que son ingresados, procesados,
comunicados, o manejados por grupos externos.
b. Aspectos Generales
En todos los contratos o acuerdos cuyo objeto sea la prestación de
servicios a título personal bajo cualquier modalidad jurídica que deban
desarrollarse dentro de la Agencia, se establecerán los controles,
requerimientos de seguridad y compromisos de confidencialidad
aplicables al caso, restringiendo al mínimo necesario, los permisos a
otorgar.
En ningún caso se otorgará acceso a terceros a la información, a las
instalaciones de procesamiento u otras áreas de servicios críticos,
hasta tanto se hayan implementado los controles apropiados y se haya
firmado un contrato o acuerdo que defina las condiciones para la
conexión o el acceso.
c. Contratos o Acuerdos con Terceras
Partes
Debe tenerse en cuenta que ciertas actividades de la Agencia pueden
requerir que terceros accedan a información interna, o bien puede ser
necesaria la tercerización de ciertas funciones relacionadas con el
procesamiento de la información. Por este motivo, es necesario que se
establezcan cláusulas en los contratos, convenios, acuerdos o demás
instrumentos para establecer y/o mantener dicha relación, que
garanticen que los terceros vinculados con acceso a la información,
recursos y/o administración y control de los sistemas, conozcan y
acepten la PSI, así como cláusulas aplicables frente a su eventual
incumplimiento.
Por su parte, se deberán incluir cláusulas y/o se solicitará la
suscripción obligatoria de convenios de confidencialidad en los
contratos, convenios, acuerdos o demás instrumentos para establecer
relaciones con terceros.
En ningún caso se otorgará acceso a terceros a la información, a las
instalaciones de procesamiento u otras áreas de servicios críticos,
hasta tanto se hayan efectuado los controles apropiados, los cuales
definan, asimismo, las condiciones para la conexión o el acceso, y se
hayan suscripto los respectivos convenios respecto a la
confidencialidad de la información.
d. Copias No Autorizadas de la
Información
Usuarios y usuarias deberán, previamente a copiar información, tener la
autorización debida en base a los lineamientos establecidos por los
Propietarios de la Información.
La realización de copias de backups se permite solo cuándo ésta
responda a normas, procedimientos de seguridad y resguardo de
información, y sólo será realizada por personal autorizado del Área
Responsable por la Seguridad Informática.
e. Recepción y Envío de Información
Toda transmisión de información debe utilizar los procedimientos que
garanticen el no repudio cuando haya que resolver disputas sobre la
ocurrencia o no de un envío de información.
f. Divulgación de las Medidas de
Seguridad de la Información
La información con respecto a las medidas de seguridad de los sistemas
y las redes es confidencial y no se debe divulgar a usuarios no
autorizados.
.B.Clasificación de Activos
La Agencia debe tener conocimiento preciso sobre los activos de la
información como parte importante de la administración de riesgos.
Se entiende por Activo de Información a todo aquel elemento que
contiene o trata información relevante para la Agencia, o que su
pérdida o degradación pudieran afectar de algún modo a la continuidad
de los servicios ofrecidos.
Los siguientes ítems son activos de información de la Agencia:
• Recursos de Información: bases de
datos y archivos de datos, documentación de sistema, manuales de
usuarios, material de capacitación, procedimientos operativos o de
soporte, planes de continuidad y contingencia, información archivada en
soporte digital.
• Recursos Software: software de aplicaciones, sistemas operativos,
herramientas de desarrollo y publicación de contenidos, utilitarios.
• Activos físicos: equipamiento informático, equipamiento de
comunicaciones, medios magnéticos y de almacenamientos fijos y
portátiles y otros equipos técnicos.
• Instalaciones físicas: edificios, ubicaciones físicas, tendido
eléctrico, red de agua y gas, controles de acceso físico, usinas o
generadores eléctricos, aires acondicionados, mobiliarios en general.
• Servicios: servicios informáticos, servicios de comunicaciones
(Convencionales (VHF), troncalizados, telecomunicaciones, satelitales),
Servicios Web (intranet e Internet), servicios generales como ser:
calefacción, iluminación, energía, aire acondicionado, etc.
• Activos intangibles: reputación y la imagen de la Agencia,
direcciones de correo electrónico, direcciones IP y nombres de dominio.
Toda la información administrada por la Agencia, y sus medios de
procesamiento, son de su propiedad.
a. Objetivo
Alcanzar y mantener una protección adecuada para los activos de
información de la Agencia.
Establecer los lineamientos para clasificar la información, según su
relación con los criterios de confidencialidad, integridad,
disponibilidad y criticidad.
Definir niveles de protección y medidas de tratamiento especial acordes
a su clasificación. Dichos niveles deben contemplar el alcance y las
excepciones de la ley de la ley 27275 de Acceso a la Información
Pública.
b. Alcance
Aplica a todos los activos de información de la Agencia.
c. Responsabilidad
Los y las Responsables de Áreas Sustantivas y Operativas serán
Propietarios/as de la Información relacionada con las funciones
inherentes a su cargo y de los medios necesarios para el procesamiento
de la misma.
Los y las Propietarios/as de Información son encargados/as de
clasificar la información de acuerdo a su grado de sensibilidad y
criticidad, de documentar y mantener actualizada la clasificación
efectuada, de definir las funciones que deben tener permisos de acceso
a los archivos y son los responsables de mantener los controles
adecuados.
El término Propietario/a identifica a la persona que será responsable
de controlar la producción, desarrollo, mantenimiento, uso, aplicación
y protección de la información, sin implicar la posesión efectiva de
derechos de propiedad.
El Área Responsable por la Seguridad de la Información establecerá los
lineamientos para la utilización de los recursos de la tecnología de
información contemplando en los requerimientos de seguridad
establecidos según la criticidad de la información que procesan.
.B.1 Responsabilidad Sobre los Activos
de Información
a. Objetivo
Todos los Activos de Información deben ser inventariados y contar con
un(a) Responsable.
b. Inventario de Activos de Información
Se identificarán los activos asociados a cada sistema de información,
sus respectivos propietarios y su ubicación, para luego elaborar un
inventario con dicha información.
Toda modificación a la información registrada en el inventario debe ser
registrada.
c. Inventario de Hardware y Software
Para tener un control y registros de equipos informáticos con su
información de configuraciones de
Hardware
y
Software, se
utilizarán herramientas informáticas de identificación y control de los
mismos.
El Área Responsable de Infraestructura Informática deberá controlar las
configuraciones iniciales de los equipos, así como los productos de
software instalados en los mismos.
Todo cambio o alteración a estas configuraciones deberá ser informado
inmediatamente al Área Responsable de Infraestructura Informática, a
fin de poder tomar acción correctiva y evitar penalidades por uso de
software ilegítimo.
d. Propiedad de los Activos de
Información
Cada Responsable de Área, como Propietario/a de Activos de Información,
deberá cumplir las funciones de:
• Clasificar los activos de la
información.
• Documentar y mantener actualizada la clasificación efectuada.
• Definir los permisos de acceso a sus activos.
• Informar sobre cualquier cambio que afecte el inventario de activos.
• Velar por la implementación y el mantenimiento de los controles
adecuados de seguridad requeridos en los activos.
El Área Responsable por la Seguridad Informática verificará los
mecanismos de acceso a la información, garantizando que los niveles de
clasificación sean estrictamente observados.
e. Uso Aceptable de los Activos de
Información
El Área Responsable de Seguridad de la Información establecerá y
verificará reglas para el uso aceptable de los activos de la
información, específicamente para los activos asociados con las
instalaciones de procesamiento de la misma, según corresponda.
Todo el personal de la Agencia, así como los terceros autorizados a
utilizar los Activos de Información de la misma, deberán seguir dichas
reglas, incluyendo:
• Correo electrónico,
• Sistemas de gestión,
• Estaciones de trabajo,
• Dispositivos móviles,
• Herramientas y equipamiento de publicación de contenidos, etc.
Se consideran usuarios y usuarias de la red de datos a toda persona que
tenga acceso autorizado a los distintos sistemas de información. Los
usuarios y usuarias de la red de datos utilizarán la infraestructura de
la red sólo para el intercambio de información cuyo contenido sea
necesario para el desempeño de sus funciones.
El acceso a la red de comunicaciones interna de la Agencia será
restringido al personal que brinda funciones en la misma. Toda
excepción a esta regla deberá ser solicitada formalmente por un/a
funcionario/a con rango no inferior a Director/a y gestionada por las
Áreas Responsables por la Gestión de Accesos.
La utilización de los diferentes sistemas de información y elementos
informáticos es de uso exclusivo para asuntos de servicio. El uso
aceptado no se considera un derecho del usuario/a y se encuentra sujeto
al estricto control permanente de la Autoridad a cargo del área donde
el usuario/a desempeñe sus funciones.
El uso aceptado puede ser controlado, revocado o limitado en cualquier
momento por razón de la función, por cuestiones operativas y/o de
seguridad de la red ya sea por la autoridad de aplicación y/o por los y
las funcionarios/as responsables.
No se considera uso aceptable aquel que demande un gasto adicional para
la Agencia, excepto el que derive del uso normal de los recursos
informáticos.
.B.2 Clasificación de la Información
a. Objetivo
Asegurar que la información reciba un nivel de protección apropiado.
Establecer una metodología de clasificación de activos de la
información en función de cada una de las siguientes características de
la seguridad: confidencialidad, integridad, criticidad y disponibilidad.
Al momento de establecer los criterios de clasificación se deberá tener
en cuenta la Ley 27.275 de Acceso a la Información Pública y sus
excepciones, como también la legislación asociada a la protección de
Datos Personales, mencionadas en el apartado J.
b. Directrices de Clasificación
Para clasificar un activo de información, se utilizarán los criterios
definidos en los siguientes niveles:
i. Confidencialidad
• Nivel
0 "Información No Clasificada": Se
aplica a toda información cuyo impacto en la Agencia es de severidad
nula. Es información que puede ser conocida y utilizada sin
autorización por el personal de la Agencia o terceros.
• Nivel 1 "Uso Interno": Se
aplica a toda la información que requiera ser considerada de uso
interno para la adecuada y normal gestión y/o elaboración de los
procesos y sistemas de información de producción, cuyo impacto en la
Agencia es de severidad baja. Su divulgación o uso no autorizado podría
ocasionar daños leves a la Agencia o a terceros.
• Nivel 2 "Confidencial": Se
aplica a toda información que deba ser resguardada para que no tome
dominio público, accedida sólo por un grupo de usuarios/as
autorizados/as y cuyo impacto en la Agencia es de severidad media o
alta. Por ejemplo: información de los sistemas, correos electrónicos,
información proveniente de otros organismos de gobierno con
clasificación equivalente, etc. Si un activo de información no ha
podido ser clasificado, hasta tanto ocurra su clasificación, deberá ser
considerado como si fuese de clasificación confidencial. Su divulgación
o uso no autorizado podría ocasionar un daño significativo a la Agencia
o a terceros.
• Nivel 3 "Confidencial Restringido":
Se aplica a toda información estratégica y que sea extremadamente
sensible para la Agencia. Su divulgación o uso no autorizados podría
ocasionar graves pérdidas materiales o grave perjuicio de imagen.
ii. Integridad
• Nivel
0: Información cuya modificación no autorizada puede repararse
fácilmente o no afecta la operatoria de la Agencia. No Clasificado.
• Nivel 1: Información cuya
modificación no autorizada puede repararse, aunque podría ocasionar
daño leve para la Agencia.
• Nivel 2: Información cuya
modificación no autorizada es de difícil reparación y podría ocasionar
daños significativos para la Agencia
• Nivel 3: Información cuya
modificación no autorizada no podría repararse, ocasionando daños
graves para la Agencia.
iii. Disponibilidad
• Nivel
0: Información cuya inaccesibilidad no afecta la operatoria de
la Agencia. No Clasificado.
• Nivel 1: Información cuya
inaccesibilidad permanente durante una semana podría ocasionar daños
significativos para la Agencia.
• Nivel 2: Información cuya
inaccesibilidad permanente durante un día podría ocasionar daños
significativos para la Agencia.
• Nivel 3: Información cuya
inaccesibilidad permanente durante una hora podría ocasionar daños
significativos para la Agencia.
iv. Criticidad
• CRITICIDAD
BAJA: ninguno de los valores asignados supera el nivel 1.
• CRITICIDAD MEDIA: alguno de
los valores asignados es 2.
• CRITICIDAD ALTA: alguno de
los valores asignados es 3.
Sólo el o la Propietario/a de la información puede asignar o cambiar su
nivel de clasificación, cumpliendo con los siguientes requisitos
previos:
• Asignarle una fecha de efectividad
y/o caducidad del nivel de clasificación.
• Comunicárselo al depositario/a del recurso.
• Realizar los cambios necesarios para que los usuarios y usuarias
conozcan la nueva clasificación.
Luego de clasificar la información, el o la Propietario/a identificará
los recursos asociados (sistemas, equipamiento, servicios, etc.) y
definirá los perfiles funcionales que deben tener acceso a la misma.
En adelante se mencionará como "información clasificada" (o "datos
clasificados") a aquella que se encuadre en los niveles 1, 2 o 3 de
Confidencialidad.
v. Etiquetado y Manipulación de la
Información
El Área Responsable de Seguridad de la Información definirá los
lineamientos para el manejo de información de acuerdo al esquema de
clasificación definido. Los mismos contemplarán los recursos de
información tanto en formatos físicos como electrónicos e incorporarán
las siguientes actividades de procesamiento de la información:
• Copia.
• Manipulación de datos por medio de aplicaciones y/o sistemas
informáticos.
• Manipulación y almacenamiento de datos.
• Manipulación y almacenamiento de datos en dispositivos móviles.
• Almacenamiento para resguardo o recupero.
• Transmisión por correo, correo electrónico;
• Transmisión oral (telefonía fija y móvil, correo de voz,
contestadores automáticos, etc.).
• Transmisión a través de mecanismos de intercambio de archivos (FTP,
almacenamiento masivo remoto, etc.) publicación masiva o restringida en
algún medio gráfico, Internet o Intranet.
Los niveles de clasificación deben contemplar procedimientos de manejo
seguros, incluyendo las actividades de procesamiento, almacenaje,
transmisión, de clasificación y destrucción.
.C.Segiindad de los Recursos Humanos
.C.1 Aspectos Generales
La información sólo tiene sentido cuando es utilizada por las personas
y son éstas quienes, en último término, deben gestionar adecuadamente
este importante recurso. Por lo tanto, no se puede proteger
adecuadamente la información sin una correcta gestión del personal,
teniendo en cuenta aspectos como: la selección de nuevos ingresantes,
su formación, la implementación de las normativas internas o la gestión
del personal que se desvincula de la Agencia.
a. Objetivo
Contribuir a mitigar riesgos provocados por:
• errores humanos,
• comisión de ilícitos,
• uso inadecuado de instalaciones y recursos,
• manejo no autorizado de la información.
Comunicar las responsabilidades en materia de seguridad de la
información, relacionadas con:
• Verificar su cumplimiento durante el
desempeño del personal en actividad.
• La etapa de desvinculación de personal.
b. Alcance
Aplica a todo el personal la Agencia que se encuentre en actividad
hasta su desvinculación definitiva.
c. Responsabilidades
El Área Responsable de Recursos Humanos informará a los y las
ingresantes acerca de sus obligaciones respecto del cumplimiento de la
P.S.I.; gestionará los convenios de confidencialidad que correspondan;
y coordinará las tareas de capacitación de usuarios y usuarias, junto
al Área Responsable por la Seguridad de la Información.
.C.2 Acciones Previas al Ingreso
a. Objetivo
Asegurar que los y las postulantes entiendan sus futuras
responsabilidades y sean idóneos/as para las funciones que desarrollen.
Dar a conocer las responsabilidades en materia de seguridad de la
información, mediante una descripción adecuada del trabajo, en los
términos y condiciones del puesto a cubrir.
b. Términos y condiciones
Como parte de sus términos y condiciones iniciales para el servicio, el
personal, cualquiera sea su labor en la Agencia, deberá firmar un
compromiso de confidencialidad que incluya los términos y
responsabilidades relacionadas con la gestión de la información, tanto
de la Agencia como de terceros entregada a esta.
Una copia firmada del compromiso de confidencialidad será resguardada
en el legajo del personal en forma segura.
Mediante el compromiso de confidencialidad la persona declarará conocer
y aceptar la existencia de determinadas actividades que pueden ser
objeto de control y monitoreo. Estas actividades deben ser detalladas a
fin de no violar el derecho a la privacidad de la persona.
Los términos y las condiciones del servicio establecerán la
responsabilidad del personal en materia de seguridad de la información.
Si las condiciones particulares y/o especiales del servicio lo ameritan
se podrá establecer que estas responsabilidades puedan extenderse más
allá de los límites que fija la normativa vigente. Los términos y
condiciones deberán contemplar derechos y obligaciones del personal
relativos a las leyes de Propiedad Intelectual y/o la legislación de
protección de datos personales, incluyéndose información acerca de los
alcances de la Ley N° 26.388 de delitos informáticos.
.C.3 Durante el Desempeño de las
Actividades
a. Responsabilidad de la Dirección
Los y las Responsables de cada Área, como responsables del uso de los
sistemas de información, deberán verificar que todo el personal a su
cargo y toda persona que realice tareas en el área de su incumbencia
cumpla en forma estricta todas y cada una de las disposiciones
establecidas en la presente política.
Deben tener conocimiento adecuado de sus funciones y responsabilidades
de seguridad de la información antes de que se le otorgue el acceso a
información sensible o a los sistemas de información.
Deben cumplir con las P.S.I. de la Agencia y concientizar al área sobre
la importancia de dicho cumplimiento.
b. Formación y Capacitación en Materia
de Seguridad de la Información
Todo el personal de la Agencia y, cuando sea pertinente, los y las
usuarios/as externos/as que desempeñen funciones en el organismo,
deberán recibir una adecuada capacitación y actualización periódica y
permanente en materia de las políticas, normas y procedimientos de
seguridad de la información (se recomienda al menos a personal
jerárquico), incluyendo los requerimientos de confidencialidad de la
información, seguridad y las responsabilidades legales, así como la
capacitación referida al uso correcto de las instalaciones de
procesamiento de información y el uso correcto de los recursos en
general, como por ejemplo su estación de trabajo.
El Área Responsable por la Seguridad de la Información arbitrará los
medios técnicos necesarios para comunicar a todo el personal,
eventuales modificaciones o novedades en materia de seguridad que deban
ser tratadas con un orden preferencial.
El Área Responsable por la Seguridad de la Información en conjunto con
el Área de Recursos Humanos, coordinarán la formulación de contenidos y
las acciones para los planes de concientización y/o capacitación en
materia de seguridad de información.
c. Desempeño de las Actividades
El Área Responsable por la Seguridad Informática realizará el monitoreo
e inspección de los sistemas de información, así como las áreas de
trabajo, en cualquier momento con el objeto de garantizar la seguridad
de las operaciones y de la información.
Estas inspecciones, cuando sean integrales, pueden llevarse a cabo con
o sin el consentimiento del personal involucrado, de acuerdo a
procedimientos objetivos, debidamente justificados, documentados y
autorizados fehacientemente por las autoridades competentes.
La información que podrá inspeccionarse puede incluir registros (logs)
de actividades, discos rígidos, e-mails, documentos impresos,
escritorios y áreas de archivo.
.C.4 Cese del Servicio o Cambio de
Puesto de Trabajo
a. Responsabilidad de la Dirección
En el caso en que se deba desafectar a personal de la Agencia, el o la
director/a o coordinador/a del área correspondiente podrá solicitar al
responsable de Infraestructura Informática el resguardo de los datos
contenidos en los activos de información que hubieran sido asignados al
desafectado.
Una vez generado el respaldo, el mismo quedará en poder y guarda del o
de la solicitante.
El Área Responsable de Infraestructura Informática deberá garantizar la
correcta eliminación de toda información existente en un equipo
informático antes de su reasignación.
b. Responsabilidad del Cese o Cambio
Las responsabilidades para realizar la desvinculación o cambio de
puesto deben estar claramente definidas y asignadas, incluyendo
requerimientos de seguridad y responsabilidades legales a posteriori y,
cuando sea apropiado, las responsabilidades contenidas dentro de
cualquier acuerdo de confidencialidad, y los términos y condiciones de
empleo con continuidad por un período definido de tiempo luego de la
finalización del trabajo del personal, contratista o usuario de tercera
parte.
c. Devolución de Activos
Todo el personal que se encuentre en actividad y aquellos que la
Agencia determine, contratistas o usuarios de terceras partes debe
devolver todos los activos al organismo en su poder (software,
documentos, equipamiento, dispositivos de computación móviles, tarjetas
de ingreso, etc.) antes de la finalización fehaciente del vínculo
laboral existente con la Agencia, efectuándose los registros formales
que correspondan.
Toda información de relevancia para las operaciones actuales, conocido
por quienes se hallan en situación de desvinculación, deberá
documentarse y transferirse a la Agencia.
d. Retiro de permisos de acceso a los
sistemas
Se revisarán los permisos de acceso de un usuario a los activos
asociados con los sistemas y servicios de información tras la
desvinculación o el cese temporal de sus funciones dentro de la Agencia.
Cada cambio en un puesto de trabajo implicará remover todos los
permisos que no fueran aprobados para el nuevo usuario, comprendiendo
esto accesos lógicos y físicos, llaves, instalaciones de procesamiento
de la información y suscripciones.
En los casos donde el personal que se está desvinculando tenga
conocimiento de contraseñas para cuentas que permanecen activas, éstas
deberán ser modificadas tras la finalización o cambio de puesto de
trabajo.
El Área Responsable de Seguridad de la Información podrá solicitar la
reducción o eliminación de los permisos de acceso a los activos de la
información, de forma previa a que el usuario quede cesante o cambie su
destino, dependiendo de factores de riesgo.
.D.Seguridad Física y Ambiental
.D.1 Aspectos Generales
La Seguridad Física brinda un marco de referencia para el control de
acceso físico a las áreas donde se custodia o almacena información
sensible, así como aquellas áreas donde se encuentren los equipos de
cómputo críticos y demás infraestructura de soporte a los sistemas de
información, en tanto que la Seguridad Ambiental remite a los controles
ambientales que evitan o disminuyen los riesgos de pérdidas de
información o interrupción de las actividades por problemas del medio
ambiente.
Para ello se tendrán en cuenta los siguientes criterios:
• Perímetro de protección física de
accesos: permite establecer los controles de acceso físico a
instalaciones de procesamiento de información, con el fin de proteger
la información crítica y sensible de accesos no autorizados.
• Protección ambiental: permite garantizar el correcto funcionamiento
de los equipos de procesamiento y minimizar las interrupciones de
servicio.
• Transporte, protección, documentación y mantenimiento de equipamiento.
a. Objetivo
Preservar la seguridad de la información mediante las siguientes
acciones:
• Prevenir e impedir accesos no
autorizados, daños e interferencia a las instalaciones e información
que pertenece a la Agencia.
• Proteger los equipos de procesamiento de información crítica,
ubicándolo en áreas seguras con medidas de seguridad y controles de
acceso apropiados.
• Identificar y controlar los factores de seguridad ambiental que
podrían perjudicar el normal funcionamiento de los equipos de
procesamiento de la información de la Agencia.
• Implementar medidas para proteger la información que maneja el
personal en los registros, en el marco normal de sus labores habituales.
b. Alcance
Se aplica a todos los activos físicos relativos a los sistemas de
información.
c. Responsabilidades
El Área Responsable de Sistemas de Información deberá priorizar las
siguientes medidas de seguridad:
• Seguridad física y ambiental para el
resguardo de los activos de información críticos, en función a un
análisis de riesgo.
• El control de la implementación de los mecanismos de seguridad.
• Verificación del cumplimiento de las disposiciones sobre seguridad
física y ambiental indicadas en la presente Política.
Las medidas de seguridad física, incluirán los procedimientos
documentados con sus respectivos instructivos sobre:
• Control de Acceso del Personal
• Control de Acceso de Proveedores y Contratistas
• Control de Acceso de Bienes, Materiales e Insumos
• Gestión de Documentación enviada a Terceros
• Política de Identificación del Personal y Visitas
• Política de Protección del Personal de Vigilancia
• Política de Gestión de Seguridad Física
• Política de Gestión de Seguridad Ambiental
El Área Responsable de Seguridad de la Información controlará su
implementación, y el mantenimiento del equipamiento informático de
acuerdo a las indicaciones de proveedores tanto dentro como fuera de
las instalaciones de la Agencia.
El Área Responsable de Infraestructura Informática, definirá los
criterios para el control del acceso físico del personal a las áreas
restringidas bajo su responsabilidad.
Todo el personal de la Agencia será responsable del cumplimiento de la
política de pantallas y escritorios limpios, para la protección de la
información relativa al trabajo diario en las oficinas.
.D.2 Areas Seguras
a. Objetivo
El centro de procesamiento de información debe:
• Ubicarse en áreas seguras, protegidas
por los perímetros de seguridad definidos, con las barreras de
seguridad y controles de entrada apropiados.
• Estar físicamente protegidos de accesos físicos no autorizados, daños
e interferencia con la información.
b. Perímetro de Seguridad Física
Se deberán definir y establecer perímetros de seguridad para proteger
las áreas que contienen los activos de información. Asimismo, deberán
establecerse medidas de seguridad adicionales en aquellos recintos
donde se encuentren las instalaciones de procesamiento de información,
de suministro de energía eléctrica, de aire acondicionado y cualquier
otra área considerada crítica para el correcto funcionamiento de los
sistemas de información.
El emplazamiento y la fortaleza de cada barrera deberán ser definidos
de acuerdo al análisis de riesgos efectuado oportunamente.
Se emitirán lineamientos respecto de los controles y requerimientos
necesarios en cuanto a la seguridad física de esta Agencia y sus
instalaciones de procesamiento de información, teniendo en cuenta los
siguientes aspectos:
• Definir claramente perímetros de
seguridad
• Ubicar las instalaciones de procesamiento de información dentro del
perímetro de un área segura
• Definir las barreras físicas necesarias para asegurar el perímetro de
seguridad que
• corresponda a dicha área
• Verificar la existencia de un área de recepción atendida por
personal. Si esto no fuera posible se debe implementar medios
alternativos de control de acceso físico al área o edificio que serán
establecidos oportunamente
• Definir y controlar áreas de recepción y distribución de equipamiento
e insumos
• Identificar claramente todas las puertas de emergencia de un
perímetro de seguridad
c. Controles Físicos de Entrada
Las áreas seguras se deben resguardar mediante el empleo de controles
de acceso físico, a fin de permitir que sea solo para el personal
autorizado. Estos controles deben reunir las siguientes características:
• Controlar y limitar el acceso a las
instalaciones de procesamiento de información clasificada como crítica
exclusivamente a las personas autorizadas. Idealmente se deben utilizar
controles de autenticación para autorizar y validar todos los accesos.
• Supervisar o inspeccionar a los visitantes a las áreas seguras y
registrar la fecha y horario de su ingreso y egreso
• Permitir el acceso mediando propósitos específicos y autorizados
previamente.
d. Protección Contra Amenazas Externas
y de Origen Ambiental
Se deben considerar los siguientes lineamientos para evitar el daño por
fuego, inundación, terremoto, explosión, convulsión social y otras
formas de desastres naturales o causados por la acción humana:
• Los materiales peligrosos o
combustibles se deben almacenar a una distancia segura del Centro de
Procesamiento de Datos
• El equipo de reemplazo y los medios de respaldo se deben ubicar a una
distancia segura para evitar que un desastre afecte el Centro de
Procesamiento de Datos
• Se debe proporcionar equipo contra incendios ubicado adecuadamente.
.D.3 Seguridad de los Equipos
Informáticos
a. Objetivo
Evitar pérdida, daño, robo o compromiso de los activos y la
interrupción de las actividades de laAAIP.
Proteger el equipo de amenazas físicas y ambientales.
b. Emplazamiento y Protección de
Equipos Informáticos y sus instalaciones
El equipamiento será ubicado y protegido de tal manera que se reduzcan
los riesgos ocasionados por amenazas y peligros ambientales, y las
oportunidades de acceso no autorizado, teniendo en cuenta los criterios
de áreas seguras mencionados anteriormente en este mismo apartado.
c. Mantenimiento de los Equipos
El Área Responsable de Infraestructura Informática deberá velar por el
mantenimiento del equipamiento necesario y las instalaciones de
procesamiento de medios de lectura y/o procesamiento de información
para reforzar su disponibilidad e integridad. Para ello se debe
considerar:
a. Someter el
equipamiento/instalaciones a tareas de mantenimiento preventivo, de
acuerdo con los intervalos de servicio y especificaciones recomendados
por el proveedor o fabricante del equipamiento.
b. Mantener un listado actualizado del equipamiento/instalaciones con
el detalle de la frecuencia en que se realizará el mantenimiento
preventivo.
c. Establecer que sólo el personal especializado autorizado puede
brindar mantenimiento y llevar a cabo reparaciones en el equipamiento.
d. Registrar todas las fallas supuestas o reales y todo el
mantenimiento preventivo y correctivo realizado.
e. Eliminar la información confidencial que contenga cualquier
equipamiento que sea necesario retirar, realizándose previamente las
respectivas copias de resguardo.
d. Seguridad del Equipamiento
Informático Fuera de las Instalaciones
La utilización de equipamiento destinado al procesamiento de
información por fuera del ámbito de las instalaciones de la Agencia
deberá realizarse únicamente con autorización del Área Responsable
Patrimonial y el Área Responsable de Seguridad de la Información. En el
caso de que en el mismo se almacene información clasificada, éste
deberá ser notificado fehacientemente.
La seguridad provista debe ser equivalente a la suministrada dentro del
ámbito de la Agencia para un propósito similar, teniendo en cuenta los
riesgos de trabajar fuera de la misma.
Se respetarán permanentemente las instrucciones del fabricante respecto
del cuidado del equipamiento.
e. Reutilización o Retiro Seguro de
Equipos
Los medios de almacenamiento conteniendo material sensible, por
ejemplo, discos rígidos no removibles, serán físicamente destruidos o
sobrescritos en forma segura en lugar de utilizar las funciones de
borrado estándar, según corresponda.
Los dispositivos que contengan información confidencial deben requerir
una evaluación de riesgo para determinar si los ítems debieran ser
físicamente destruidos en lugar de enviarlos a reparar, sobrescribir o
descartar.
f. Retiro de Materiales Propiedad de
la Agencia
El equipamiento, la información y el software no deben retirarse de la
Agencia sin autorización formal. Periódicamente, se deberá llevar a
cabo comprobaciones puntuales para detectar el retiro no autorizado de
activos de la Agencia.
g. Política de Escritorios y Pantallas
Limpias
Se adopta una política de escritorios limpios para proteger documentos
en papel y dispositivos de almacenamiento removibles, y una política de
pantallas limpias en las instalaciones de procesamiento de información,
a fin de reducir los riesgos de acceso no autorizado, pérdida y daño de
la información, tanto durante el horario normal de trabajo como fuera
del mismo, estableciendo los siguientes lineamientos:
a. Almacenar bajo llave los documentos en papel y los medios
informáticos que contengan información clasificada, en gabinetes y/u
otro tipo de mobiliario seguro cuando no están siendo utilizados,
especialmente fuera del horario de trabajo.
b. Guardar bajo llave la información
sensible o crítica de la Agencia (preferentemente en una caja fuerte o
gabinete a prueba de incendios) cuando no está en uso, especialmente
cuando no hay personal en la oficina.
c. Proteger las computadoras personales y otras terminales mediante
cerraduras de seguridad, contraseñas u otros controles cuando no están
en uso (como por ejemplo la utilización de protectores de pantalla con
contraseña).
d. De necesitar imprimir información sensible se debe retirar
inmediatamente del medio de impresión una vez impresa dicha información.
.E.Gestión de Accesos
.E.1 Aspectos Generales
El Área Responsable de Seguridad de la Información implementará los
procedimientos formales para controlar la asignación de permisos de
acceso a los sistemas, bases de datos y servicios de información.
Dichos procedimientos deberán estar documentados y comunicados a las
áreas usuarias y debidamente controlados en cuanto a su cumplimiento.
a. Objetivo
Impedir el acceso a todo aquel personal que no se encuentre debidamente
autorizado para utilizar los sistemas, bases de datos y servicios de
información.
b. Alcance
Las disposiciones establecidas en este documento se aplican a todas las
formas de acceso que hayan sido autorizadas al personal para utilizar
los sistemas, bases de datos y servicios de información de la Agencia.
Idéntico temperamento se adopta para el personal técnico que define,
instala, administra y mantiene permisos de accesos, haciendo extensivo
este concepto de conexiones de red, y a todos aquellos que administran
la seguridad.
c. Responsabilidades
El Área Responsable de la Seguridad de la Información será responsable
de:
• Definir normas y procedimientos para
circunscribir la operatoria para
a. Gestión de accesos de todos los
sistemas, bases de datos y servicios de Informática.
b. Monitoreo del uso de las instalaciones de procesamiento de la
información.
c. Uso de computación móvil.
d. Conexiones remotas y reporte de incidentes relacionados.
e. Respuesta a la activación de alarmas silenciosas.
f. Revisión de registro de actividad / logs.
g. Ajustes de relojes de acuerdo a un estándar preestablecido.
• Definir pautas de utilización de Internet para todos los usuarios y
usuarias.
• Verificar periódicamente el cumplimiento de los procedimientos de
revisión de registros de auditoría.
• Participar en la definición de normas y procedimientos de seguridad a
implementar en el ambiente informático (ej.: sistemas operativos,
servicios de red, etc.) y validarlos periódicamente.
• Controlar periódicamente la asignación de privilegios a usuarios y
usuarias.
• Verificar el cumplimiento de las pautas establecidas, relacionadas
con control de accesos, registración de usuarios y usuarias,
administración de privilegios, administración de contraseñas,
utilización de servicios de red, autenticación de usuarios y usuarias,
y nodos, uso controlado de utilitarios del sistema, alarmas
silenciosas, desconexión de terminales por tiempo muerto, limitación
del horario de conexión, registro de eventos, protección de puertos
(físicos y lógicos), subdivisión de redes, control de conexiones a la
red, control de ruteo de red, etc.
• Efectuar un control de los registros de auditoría generados por los
sistemas operativos y de comunicaciones.
• Instruir a los usuarios y usuarias sobre el uso apropiado de
contraseñas y de equipos de trabajo.
El Área Responsable de la Seguridad Informática deberá:
• Definir el esquema de red que permita
una adecuada subdivisión e implementar los mecanismos tecnológicos para
el control de acceso a las redes en función de las necesidades
operativas de cada usuario o usuaria.
• Implementar la configuración que debe efectuarse para cada servicio
de red, de manera de garantizar la seguridad en su operatoria.
• Implementar los métodos de autenticación y control de acceso
definidos en los sistemas, bases de datos y servicios.
• Implementar el control de puertos, de conexión a la red y de ruteo de
red.
• Implementar el registro de eventos o actividades (logs) de usuarios y
usuarias de acuerdo a lo definido por los y las Propietarios/as de la
Información, así como la depuración de los mismos.
• Implementar los controles para los eventos y actividades
correspondientes a sistemas operativos y otras plataformas de
procesamiento.
Los y las Propietarios/as de la Información estarán encargados de:
• Evaluar los riesgos a los cuales se
expone la información para coordinar la definición, en conjunto con las
Áreas Responsables de la Seguridad, los controles y mecanismos de
autenticación a implementar.
• Definir las reglas de acceso para los sistemas e información bajo su
custodia. En ausencia de una regla de acceso definida, todo acceso
deberá ser autorizado por el/la propietario/a de la información.
• Llevar a cabo un proceso formal y periódico de revisión de los
permisos de acceso a los sistemas de información,
• Definir los eventos y la actividad de los usuarios y usuarias a ser
registrados en los sistemas de procesamiento de su incumbencia y la
periodicidad de revisión de los mismos, así como los criterios para la
guarda y depuración de los mismos, en concordancia con las normas
vigentes y las capacidades tecnológicas disponibles.
Los y las Directores/as de cada Área, o Coordinadores/as dependientes
directamente del/la Titular de la Agencia, serán los responsables de:
• Solicitar formalmente los accesos a
los servicios y recursos de red e Internet, de los usuarios y usuarias
a su cargo, verificando que el nivel de acceso otorgado es adecuado
para el propósito de la función del usuario.
.E.2 Administración de Accesos
a. Objetivo
Implementar procedimientos formales para controlar la asignación de
permisos de acceso a los sistemas, bases de datos y servicios de
información, con el objetivo de impedir el acceso no autorizado a la
información.
Definir procedimientos que abarquen todas las etapas en el ciclo de
vida del acceso del usuario, desde el registro inicial de usuarios
nuevos hasta la baja final de los usuarios que ya no requieren acceso a
los sistemas y servicios de información.
b. Política de Control de Accesos
Todos los activos de información de la Agencia deben ser protegidos
mediante controles de acceso, contemplando los siguientes aspectos:
a. Identificar los sistemas y
aplicaciones de la Agencia que permiten el acceso a información
clasificada.
b. Establecer criterios coherentes entre esta Política de Control de
Acceso y Política de Clasificación y de información de los diferentes
sistemas y redes.
c. Identificar la legislación aplicable y las obligaciones
contractuales con respecto a la protección del acceso a datos y
servicios.
d. Definir los perfiles de acceso de usuarios estándar, comunes a cada
categoría de puestos de trabajo.
e. Administrar los permisos de acceso en un ambiente distribuido y de
red, que reconozca todos los tipos de conexiones y dispositivos
disponibles.
f. Velar por el cumplimiento del principio de mínimos privilegios; todo
usuario/a deberá tener los mínimos accesos necesarios para realizar sus
funciones asignadas, con la mayor granularidad posible de acuerdo a las
capacidades disponibles y sin obstaculizar el funcionamiento operativo
de la Agencia.
c. Registro y Gestión de Usuarios y
Usuarias
El Área Responsable de Seguridad de la Información definirá los
procedimientos que considere necesarios para otorgar y revocar el
acceso a todos los sistemas, bases de datos y servicios de información
multiusuario/a.
Dichos procedimientos que deberán comprender:
a. Utilizar identificadores de
usuario/a únicos, de manera que se pueda identificar a los usuarios y
usuarias por sus acciones, evitando la existencia de múltiples perfiles
de acceso para una misma persona. El uso de identificadores grupales se
debe evitar salvo imposibilidad técnica, la cual deberá quedar
debidamente justificada, documentada y registrada.
b. Verificar que el usuario/a tiene autorización del/la Propietario/a
de la Información para el uso del sistema, base de datos o servicio de
información.
c. Requerir, siempre que corresponda, que los usuarios y usuarias
firmen el convenio de confidencialidad previsto en la presente P.S.I.,
señalando que comprenden y aceptan las condiciones para el acceso.
d. Garantizar que los y las proveedores/as de servicios no otorguen
acceso hasta que se hayan completado los procedimientos de autorización.
e. Mantener un registro formal e histórico de todas las personas
registradas para utilizar cada servicio.
f. Cancelar inmediatamente los permisos de acceso de los usuarios y
usuarias que cambiaron sus tareas, o de aquellos/as a los que se les
revocó la autorización, se desvincularon de la Agencia o sufrieron la
pérdida/robo de sus credenciales de acceso.
g. Efectuar revisiones periódicas con el objeto de cancelar
identificadores y cuentas de usuario redundantes, así como inhabilitar
o eliminar cuentas inactivas por un determinado tiempo.
h. En el caso de existir excepciones, deben ser debidamente
justificadas, documentadas y aprobadas.
i. Impedir la reutilización de cuentas e identificadores de usuario/a.
d. Definición de Reglas de Acceso
Los y las Propietarios/as de la Información serán los encargados/as de
definir las reglas de acceso a la información y sistemas y/o módulos
bajo su custodia, solicitando su implementación al Área Responsable de
la Seguridad Informática.
Las reglas de acceso deberán especificar:
a. Los permisos de acceso que un
usuario/a debe tener en función de su rol y área en la que se desempeña.
b. Para los derechos no incluidos en el inciso anterior, el mecanismo
de solicitud, autorización y registro de la asignación de dichos
derechos.
e. Gestión de Permisos de Acceso
El Área Responsable de Seguridad de Informática será la responsable de
Gestión de Permisos de Acceso, por sí misma o a través de la
implementación sistemas informáticos que permitan la automatización de
ese proceso. En todos los casos se deberán tener en cuenta los
siguientes criterios:
a. Identificar los tipos de acceso
asociados a cada sistema de información.
b. Asignar permisos de acceso a los usuarios y usuarias sobre la base
de necesidad de uso, en función del requerimiento mínimo para el rol
funcional, con la mayor granularidad posible, considerando factibilidad
técnica y razonabilidad de los costos operativos, en equilibrio con la
criticidad del acceso a otorgar.
c. Mantener un registro de todos los permisos de acceso otorgados,
incluyendo el proceso de asignación y/o autorización del derecho.
d. Evitar el otorgamiento de permisos de acceso hasta que no se hayan
completado los supuestos para su otorgamiento y removerlos a la mayor
brevedad posible en los casos que dichos supuestos perdieran validez.
e. Establecer un período de vigencia para el mantenimiento de los
permisos de acceso en los casos que (a) se requieran por un período
predefinido de tiempo o (b) por su criticidad se defina necesaria su
renovación periódica.
f. Promover el desarrollo y uso de automatización e integración de
sistemas que permitan evitar necesidad de otorgar elevados permisos de
acceso a usuarios y usuarias.
f. Gestión de Contraseñas de Usuario/a
La Gestión de Contraseñas de Usuario/a deberá considerar los siguientes
criterios:
a. Requerir que los usuarios y usuarias
participen de actividades de capacitación y concientización,
comprometiéndose a mantener sus contraseñas personales en secreto y las
contraseñas de los grupos de trabajo exclusivamente entre los miembros
del grupo.
b. Generar contraseñas provisorias seguras siempre que un usuario/a
deba ingresar por primera vez o en casos de olvido de contraseña,
asegurando que las mismas sean modificadas durante el primer ingreso.
c. Proveer mecanismos seguros para la entrega de contraseñas.
d. Almacenar las contraseñas sólo en sistemas informáticos protegidos y
de forma segura.
e. Incorporar otras tecnologías de autenticación y autorización de
usuarios adicionales, cuando la evaluación de riesgos lo determine
conveniente.
f. Establecer configuraciones de seguridad en los sistemas que permitan:
• definir criterios mínimos de
seguridad para las contraseñas, tales como longitud mínima o la
presencia de diferentes tipos de caracteres.
• suspender o bloquear usuarios ante indicadores de ataques a la
contraseña, tales como la repetición de intentos de ingreso con una
contraseña incorrecta.
• establecer criterios de duración máxima de las contraseñas acordes a
la criticidad de cada sistema.
g. Revisión de Permisos de Acceso
A fin de mantener un control eficaz del acceso a los datos y servicios
de información, los y las Propietarios/as de la Información deberán,
periódicamente, revalidar los permisos de acceso de los usuarios de la
información bajo su custodia.
.E.3 Responsabilidades de los Usuarios
y Usuarias
a. Objetivo
Disponer los mecanismos para evitar los accesos de usuarios y usuarias
no autorizados/as, minimizando los riesgos de robo, adulteración y/o
destrucción de información, así como evitar poner en peligro los medios
de procesamiento de la información.
Dar a conocer a los usuarios y usuarias sus responsabilidades para
mantener controles de acceso efectivos, particularmente con relación al
uso de claves secretas y la seguridad del equipo del usuario.
Implementar una política de escritorio y pantalla limpios para reducir
el riesgo de acceso no autorizado o daño a los papeles y medios de
procesamiento de la información.
b. Política de Uso de Contraseñas
Los usuarios deberán seguir buenas prácticas de seguridad en la
selección y uso de contraseñas, reconociendo que constituyen un medio
autenticación de su identidad y consecuentemente un medio para
establecer permisos de acceso a las instalaciones o servicios de
procesamiento de información.
Para ello, deben cumplir las siguientes directivas:
a. Mantener las contraseñas en secreto,
evitando su almacenamiento por cualquier mecanismo no autorizado
explícitamente por el Área Responsable de Seguridad Informática.
b. Informar cualquier indicio de compromiso de la contraseña (pérdida,
robo o cualquier indicio de ausencia de confidencialidad) al Área
Responsable de Seguridad de la
Información, para que ésta pueda analizar la situación y ejecutar las
acciones que correspondieren, incluyendo el blanqueo de la contraseña
comprometida.
c. Seleccionar contraseñas seguras,
siguiendo las premisas definidas por el Área responsable de Seguridad
de la Información.
d. Cambiar las contraseñas cada vez que el sistema se lo solicite y
evitar reutilizar o reciclar viejas contraseñas, según se defina.
e. Cambiar las contraseñas provisorias en el primer inicio de sesión.
f. Evitar la reutilización de contraseñas entre los sistemas del
Organismo que permitan el acceso a información clasificada y otros
servicios externos al mismo o que no cumplan los mismos niveles de
protección de contraseñas definidos en la presente.
c. Equipos Desatendidos en Áreas de
Usuarios/as
Los equipos instalados en áreas de usuarios y usuarias, tales como los
equipos de computación personal, deberán contar con una protección
específica contra accesos no autorizados cuando se encuentran
desatendidos por el usuario/a (por ejemplo cuando un usuario/a deja su
puesto laboral y se dirige a otro puesto a trabajar con un compañero/a
dejando su equipamiento informático desatendido).
El Área Responsable de Seguridad de la Información coordinará las
tareas de concientización a todos los usuarios/as y contratistas acerca
de los requerimientos y procedimientos de seguridad para la protección
de equipos desatendidos, así como de sus funciones en relación a la
implementación de dicha protección.
Los usuarios cumplirán con las siguientes pautas:
a. Concluir las sesiones activas al
finalizar las tareas, a menos que puedan protegerse mediante un
mecanismo de bloqueo adecuado; por ejemplo, un protector de pantalla
protegido por contraseña.
b. Proteger las PC o terminales contra usos no autorizados mediante un
bloqueo de seguridad o control equivalente; por ejemplo, contraseña de
acceso cuando no se utilizan.
.E.4 Control de Acceso a la Red
a. Objetivo
Evitar el acceso no autorizado a los servicios de la red. Controlar el
acceso a los servicios de redes internas y externas, evitando
comprometer su seguridad.
Asegurar que el acceso de los usuarios y usuarias a las redes y
servicios no comprometa la seguridad de los servicios de la red
controlando:
a. Que existan las interfaces
apropiadas entre la red de la Agencia, las redes de otras
organizaciones y redes públicas.
b. Que se apliquen los mecanismos de autenticación apropiados para los
usuarios y usuarias, así como los equipos que se conecten a la red de
la Agencia.
b. Política de Utilización de los
Servicios de Red
El Área Responsable de la Seguridad Informática tendrá a cargo la
administración de accesos a los servicios y recursos de red,
segmentando el acceso de acuerdo a la criticidad de la información y
los sistemas, así como a las posibilidades técnicas y operativas.
c. Acceso a Internet
El Área Responsable de la Seguridad de la Información definirá pautas
de utilización de Internet para todos los usuarios y usuarias.
El Área Responsable de la Seguridad Informática, evaluará la
conveniencia de recolectar y mantener un registro de los accesos de los
usuarios a internet, con el objeto de realizar revisiones de los
accesos efectuados o analizar casos particulares. Dicho control deberá
ser comunicado adecuadamente a los usuarios y usuarias.
Asimismo, tendrá la potestad de implementar controles técnicos que
considere necesarios para restringir el acceso a sitios considerados
peligrosos.
d. Redes Compartidas y Conexión con
Otras Redes
En las redes compartidas, por fuera de los límites de la Agencia, el
Área Responsable de la Seguridad Informática implementará los controles
necesarios para:
a. Proteger la información en tránsito
de la Agencia de accesos no autorizados.
b. Establecer un mecanismo de autorización, registro y control para
toda conexión entre las redes de la Agencia y redes de terceros.
c. Asegurar las fronteras de las redes de la Agencia, impidiendo el
acceso de terceros no autorizados a entornos y sistemas de la Agencia.
d. Velar por la aplicación del principio de mínimos privilegios al
autorizar la interconexión de terceros a las redes del organismo.
e. Seguridad de los Servicios de Red
El Área Responsable por la Seguridad Informática será responsable de
implementar las medidas necesarias para proteger los servicios de red
de la Agencia, tanto públicos como privados, teniendo en cuenta las
siguientes directivas:
a. Controlar el acceso lógico a los
servicios, tanto a su uso como a su administración.
b. Configurar cada servicio de manera segura, evitando las
vulnerabilidades que pudieran presentar.
c. Instalar periódicamente las actualizaciones de seguridad.
d. Remover los servicios que caigan en desuso temporaria o
permanentemente.
.E.5 Control y Monitoreo de Acceso a
las Aplicaciones
a. Objetivo
Evitar el acceso no autorizado a la información mantenida en las
aplicaciones.
Utilizar medios de seguridad para restringir el acceso a y dentro de
los sistemas de aplicación.
Asegurar que se registren y se evalúen todos los eventos significativos
para la seguridad de accesos.
Verificar la existencia de herramientas para monitorear el uso de las
instalaciones de procesamiento de la información.
b. Accesos Lógicos a las Aplicaciones
y Sistemas
El acceso lógico al software de aplicación y la información estará
limitado a los usuarios autorizados. Los sistemas de aplicación deberán
controlar el acceso del usuario a la información y las funciones del
sistema de aplicación, impidiendo accesos no autorizados.
c. Registro de Eventos
Los registros de auditoría deberán:
a. Incluir la identificación del
usuario y del equipo desde el que se realiza la operación.
b. Incluir información temporal del evento, incluyendo inicio y
finalización cuando fuera aplicable.
c. Registrar los intentos exitosos y fallidos de acceso a los sistemas,
datos y otros recursos informáticos, donde fuera aplicable.
d. Almacenarse en un equipo diferente al que los genere, siempre que
fuera posible.
El registro, almacenamiento y tiempo de guarda de los eventos deberá
ser definido teniendo en cuenta la criticidad de los eventos
recolectados y su potencial utilidad posterior en caso de necesidad,
así como las capacidades tecnológicas disponibles.
d. Informe de Eventos de Seguridad
El Área responsable de Seguridad de la Información implementará un
procedimiento para informar eventos significativos para la Seguridad de
la Información, incluyendo incidentes de seguridad y ataques dirigidos
contra los sistemas de la Agencia.
Asimismo, los y las Propietarios/as de la Información podrán solicitar
la revisión de los registros de auditoría, en caso de contar con
indicios de vulneraciones a la seguridad. Ante tal evento, se debe
respetar la separación de responsabilidades entre quienes realizan la
revisión y aquellos cuyas actividades están siendo monitoreadas.
Las herramientas de registro deben contar con los controles de acceso
necesarios, a fin de garantizar la detección de las siguientes
situaciones:
a. La desactivación de la herramienta
de registro.
b. La alteración o supresión de archivos de registro.
c. La saturación de un medio de soporte de archivos de registro.
d. La falla en los registros de los
eventos.
.E.6 Dispositivos Móviles y Conexiones
Remotas
a. Objetivo
Asegurar la seguridad de la información cuando se utilizan dispositivos
móviles o en situación de conexiones remotas con activos de
procesamiento de información pertenecientes a la Agencia.
b. Utilización de Dispositivos Móviles
En el caso de utilizar dispositivos informáticos móviles se debe tener
especial cuidado en garantizar que no se comprometa la información ni
la infraestructura de la Agencia.
Las presentes disposiciones son aplicables para todo dispositivo con
capacidad para el procesamiento y/o almacenamiento de información
clasificada de la Agencia, incluyendo: notebooks, tabletas, teléfonos
celulares, discos extraíbles, tarjetas de memoria, pendrives, entre
otros.
El Área Responsable de la Seguridad de la Información definirá las
políticas necesarias para minimizar los riesgos de seguridad de la
información derivados del uso de dichos dispositivos, contemplando los
siguientes aspectos:
a. La protección física necesaria.
b. El acceso seguro a los dispositivos.
c. La utilización segura de los dispositivos en lugares públicos.
d. El acceso a los sistemas de información y servicios de la Agencia a
través de dichos dispositivos.
e. Las técnicas criptográficas a utilizar para la transmisión de
información sensible.
f. Los mecanismos de resguardo de la información contenida en los
dispositivos.
g. La protección contra software malicioso.
h. Acciones a tomar frente a frente a pérdida, robo o hurto.
i. Reporte de incidentes y mitigación de riesgos.
Asimismo, se desarrollarán normas, procedimientos, así como acciones de
capacitación y concientización sobre los cuidados especiales a observar
ante la posesión de dispositivos móviles.
c. Conexión Remota
De ser necesario el desarrollo de tareas de manera remota desde un
lugar externo a la Agencia, el Área Responsable por la Seguridad de la
Información establecerá normas y procedimientos para esta conexión
remota que consideren los siguientes aspectos:
a. Identificar los recursos
informáticos que pueden ser accedidos desde una locación remota.
b. Garantizar la seguridad en las comunicaciones entre el equipo remoto
y los recursos informáticos de la Agencia.
c. Evitar la instalación/desinstalación de software no autorizado sobre
el equipamiento utilizado.
d. Restringir el almacenamiento de información sensible en el equipo
remoto desde el cual se accede a la red de la Agencia y los sistemas
internos.
e. Asegurar el reintegro del equipamiento en las mismas condiciones en
que fue entregado, en el caso en que cese la necesidad de desarrollar
tareas de forma remota.
.F.Gestión de Incidentes de Seguridad
.F.1 Aspectos Generales
Se define como Incidente de Seguridad a aquellos eventos adversos en un
entorno informático que pueden comprometer la confidencialidad,
integridad y/o disponibilidad de la información. Un incidente puede
afectar a activos físicos (ej.: impresoras, servidores de archivos),
lógicos (ej.: bases de datos) y servicios (ej.: correo electrónico,
página web).
Una adecuada gestión de los Incidentes de Seguridad requiere de
herramientas y procedimientos para la detección, tratamiento y
comunicación de los incidentes; control de daños; gestión de la
contingencia; recuperación de los activos afectados; restablecimiento
de la operatoria normal; y gestión de los aprendizajes para la
prevención de amenazas futuras.
a. Objetivo
Asegurar que los eventos de seguridad de la información y las
debilidades asociados a los sistemas de información sean comunicados de
forma tal que se apliquen las acciones correctivas en el tiempo
oportuno.
b. Alcance
Se aplica a todo incidente que pueda afectar la seguridad de la
información de la Agencia
c. Responsabilidades
El Área Responsable por la Seguridad de la Información será responsable
del seguimiento, documentación y análisis de los incidentes de
seguridad reportados, así como su comunicación a los y las
Propietarios/as de la información y, en el caso de ser un incidente de
relevancia, al Comité de Control de Seguridad de la Información y a la
máxima autoridad.
El Comité de Control de Seguridad de la Información será responsable de
promover y revisar modificaciones para la mejora continua de esta
gestión de incidentes
El Área Responsable Legal asesorará en cuestiones legales para el
tratamiento de incidentes de seguridad que requieran de su intervención.
Todo aquel o aquella que utilice activos de información de la Agencia,
será responsable de reportar debilidades e incidentes de seguridad que
oportunamente detecte.
.F.2 Informe de los Eventos y
Vulnerabilidades de Seguridad
a. Objetivo
Asegurar que los eventos y debilidades de la seguridad de la
información asociados con los sistemas de información sean comunicados
de una manera que permita una acción correctiva oportuna.
b. Reporte de las Debilidades de
Seguridad
Los usuarios y usuarias de servicios de información, al momento de
tomar conocimiento, directo o indirecto, acerca de una debilidad de
seguridad, son responsables de registrar y comunicar formalmente las
mismas e informar al Área Responsable de la Seguridad de la Información.
Se prohíbe expresamente a los usuarios y usuarias la realización de
pruebas para detectar y/o utilizar una supuesta debilidad o falla de
seguridad.
c. Comunicación de Anomalías del
Software
Los y las usuarios/as de servicios de información que detecten
anomalías en el comportamiento de los servicios que utilizan deberán:
• Registrar los síntomas del problema y
los mensajes que aparecen en pantalla.
• Ponerse en contacto inmediatamente con el Área Responsable por la
Infraestructura Informática.
Se prohíbe a usuarios y usuarias quitar o modificar el software que
presuntamente presente una anomalía, a menos que estén autorizados
formalmente para hacerlo. La recuperación será realizada por personal
habilitado.
.F.3 Gestión de los Incidentes y
Mejoras de Seguridad
a. Objetivo
Asegurar que se aplique un enfoque consistente y efectivo a la gestión
de los incidentes en la seguridad de la información.
Establecer las responsabilidades y procedimientos para manejar de
manera efectiva los eventos y debilidades en la seguridad de la
información una vez que han sido reportados.
Aplicar un proceso de mejora continua para la respuesta, monitoreo,
evaluación y gestión general de los incidentes en la seguridad de la
información.
b. Responsabilidades y Procedimientos
El Área Responsable de Seguridad de la Información definirá los
criterios y coordinará las actividades necesarias para la Gestión de
Incidentes de Seguridad, de acuerdo a las siguientes premisas:
a. Considerar todos los tipos probables
de incidentes relativos a seguridad, incluyendo, como mínimo:
• Fallas operativas.
• Código malicioso.
• Intrusiones.
• Fraude informático.
• Error humano.
b. Comunicar formalmente los incidentes a través de canales apropiados
tan pronto como sea posible.
c. Definir planes de contingencia para los servicios informáticos,
diseñados para recuperar sistemas y servicios tan pronto como sea
posible, considerando:
• Definición de las primeras medidas a
implementar.
• Análisis e identificación de la causa del incidente.
• Planificación e implementación de soluciones para evitar la
repetición del mismo, si fuera necesario.
• Comunicación formal con las personas afectadas o involucradas con la
recuperación del incidente.
• Notificación de la acción a la autoridad y/u organismos pertinentes.
d. Registrar pistas de auditoría y evidencia similar para:
• Análisis de problemas internos.
• Uso como evidencia en relación con una probable violación contractual
o infracción normativa, o en marco de un proceso judicial, siempre que
sea viable (Ver Cumplimiento de Requisitos Legales).
• Compensaciones por parte de los proveedores de software y de
servicios.
e. Implementar controles detallados y formalizados de las acciones de
recuperación respecto de las violaciones de la seguridad y de
corrección de fallas del sistema, garantizando:
• Acceso a los sistemas y datos
existentes sólo al personal claramente identificado y autorizado.
• Documentación en forma detallada de todas las acciones de emergencia
emprendidas.
• Constatación de la integridad de los controles y sistemas de la
Agencia en un plazo mínimo.
c. Aprendizaje a Partir de los
Incidentes de Seguridad
El Área Responsable de Seguridad de la Información deberá coordinar las
actividades que permitan documentar, cuantificar y monitorear los tipos
y volúmenes de los incidentes y anomalías.
Esta información se utilizará para identificar aquellos que sean
recurrentes o de alto impacto, así como a efectos de establecer la
necesidad de mejorar o agregar controles para limitar la frecuencia y
daño de casos futuros.
Cambios relevantes en la gestión de incidentes deben ser comunicados al
C.C.S.I y revisados por dicho Comité.
.G. Adquisición, Desarrollo y
Mantenimiento de Sistemas
.G.1 Aspectos Generales
a. Objetivo
Establecer la inclusión de controles de seguridad en la adquisición,
implementación y desarrollo de los sistemas de información.
Definir lineamientos de seguridad a aplicar durante el ciclo de vida de
los sistemas de información y en la infraestructura de base en la cual
se apoyan.
b. Alcance
Esta política se aplica a los sistemas de información, ya sean
desarrollados internamente o por parte de terceros, y a la totalidad de
los procesos relacionados con el procesamiento de datos en el ámbito
del Organismo.
c. Responsabilidades
El Área Responsable por el Desarrollo de Software deberá:
a. Definir los procedimientos para
permitir la trazabilidad entre los requerimientos y pedidos de cambio a
los sistemas de información y el software productivo, a través de los
procesos de definición, construcción, prueba, despliegue de software.
b. Incorporar, durante los procesos de desarrollo y mantenimiento de
software, los requerimientos de seguridad establecidos.
El Área Responsable de Seguridad Informática debe:
a. Definir los lineamientos de
seguridad que se aplicarán durante el ciclo de vida de los sistemas de
información y en la infraestructura de base en la cual se apoyan.
b. Establecer los lineamientos de seguridad para la adquisición y/o
implementación de sistemas de información.
.G.2 Requerimientos de Seguridad de
los Sistemas
a. Objetivos
Garantizar la seguridad de los sistemas de información.
Identificar los requerimientos de seguridad de forma previa del
desarrollo y/o implementación de los sistemas de información.
b. Análisis y Especificación de los
Requerimientos de Seguridad
Las áreas requirentes de sistemas de información deberán dar
intervención al Área Responsable de Seguridad de la Información, en
todo proyecto de desarrollo, adquisición o implementación de sistemas
de información en el ámbito del Organismo, desde el inicio del proyecto
y a lo largo de todo su ciclo de vida.
El Área responsable de la Seguridad de la Información deberá evaluar
los requerimientos de seguridad y los controles requeridos, teniendo en
cuenta que éstos deben ser proporcionales en costo y esfuerzo al valor
del bien que se quiere proteger y al daño potencial que pudiera
ocasionar a las actividades realizadas.
.G.3 Seguridad en los Sistemas de
Aplicación
a. Objetivos
Establecer controles y registros de auditoría, verificando:
a. La validación de datos de entrada.
b. El procesamiento interno.
c. La autenticación de mensajes (interfaces entre sistemas).
d. La validación de datos de salida.
b. Validación de Datos de Entrada
El Área Responsable de Desarrollo de Software definirá controles que
aseguren la validez de los datos ingresados, considerando formatos,
secuencias, rangos de valores posibles, conjuntos de valores
determinados, formatos de archivos recibidos, entre otros, con el
objetivo de evitar la posibilidad de ataques por estos medios,
ajustándose a los estándares de la materia.
c. Controles de Procesamiento Interno
El Área Responsable de Seguridad de la Información definirá las
validaciones a implementar a fin de minimizar los riesgos de pérdida de
información por fallas de procesamiento y/o errores. Se establecerán
controles y verificaciones para prevenir la ejecución de programas
fuera de secuencia o cuando falle el procesamiento previo y se deberá
alertar ante potenciales anomalías de forma temprana.
d. Autenticación de Mensajes
Cuando una aplicación envíe mensajes que contengan información
clasificada, se implementarán los controles criptográficos determinados
en el punto "Controles Criptográficos".
e. Validación de Datos de Salida
El Área Responsable de Seguridad de la Información definirá los
controles a realizar para validar la corrección y completitud de las
salidas de datos desde las aplicaciones.
.G.4 Controles Criptográficos
a. Objetivo
Establecer lineamientos para la utilización de técnicas criptográficas
para la protección de la confidencialidad e integridad de la
información.
b. Política de Utilización de Técnicas
Criptográficas
El Área Responsable de Seguridad de la Información determinará los
lineamientos para la utilización de controles criptográficos,
incluyendo:
a. Situaciones que requieren la
utilización de técnicas criptográficos, de acuerdo a las evaluaciones
de riesgo, tales como:
1. Cifrado de información en reposo o
en tránsito, incluyendo las claves de acceso a sistemas, datos y
servicios.
2. Firma Digital.
3. Técnicas de No repudio.
b. Mecanismos para la administración de claves; recuperación de
información cifrada en caso de pérdida, compromiso o daño de las
claves; y reemplazo de las claves de cifrado.
c. Algoritmos y longitudes de clave aplicables en cada caso.
c. Firma Digital
Las firmas y certificados digitales se rigen por la legislación
nacional vigente (Ley de Firma Digital N° 25.506), que determina las
condiciones bajo las cuales una firma digital es legalmente válida.
Por ello se deberá respetar y aplicar los recaudos establecidos por la
normativa citada para proteger la confidencialidad de las claves
privadas. Asimismo, es importante proteger la integridad de la clave
pública mediante el uso de un certificado de clave pública. Dichas
claves deben ser resguardadas bajo el control exclusivo de su titular.
Por último, se deberán elaborar los procedimientos correspondientes
para la adquisición de la firma digital para el personal de la Agencia
que así lo requiera en función de sus tareas.
.G.5 Seguridad de los Archivos del
Sistema
a. Objetivo
Garantizar que las actividades de soporte a los sistemas se lleven a
cabo de manera segura, controlando el acceso a los archivos en los
ambientes productivos.
b. Software
Operativo
Para minimizar el riesgo de alteración de los sistemas se debe realizar
los siguientes controles durante la implementación del software en
producción:
a. Evitar la presencia de archivos y
programas innecesarios en el ambiente productivo.
b. Llevar un registro de auditoría de las actualizaciones realizadas.
c. Retener las versiones previas del sistema, como medida de
contingencia.
d. Implementar mecanismos que registren las autorizaciones y pruebas
realizadas de forma previa a la implementación en el ambiente
productivo.
e. Establecer mecanismos para restringir y monitorear las
modificaciones a configuraciones y código fuente por parte de los
implementadores de sistemas.
c. Protección de los Datos de Prueba
del Sistema
Los datos del ambiente operativo deberán ser resguardados,
restringiendo su uso para las pruebas de los sistemas.
Cuando se utilicen datos productivos para las pruebas, en función de la
criticidad de los mismos, se deberán evaluar las siguientes medidas:
a. Despersonalizar el conjunto de
datos, siempre que resulte operativamente viable.
b. Solicitar autorización formal al Propietario de la Información para
realizar una copia de la base operativa como base de prueba, llevando
registro de tal autorización.
c. Establecer procedimientos de control de acceso similares a los del
ambiente productivo.
d. Eliminar inmediatamente, una vez completadas las pruebas, la
información operativa utilizada.
d. Acceso a Datos Operativos
El acceso, modificación, actualización o eliminación de los datos
operativos deberá realizarse a través de los sistemas que procesan
dichos datos y de acuerdo al esquema de control de accesos implementado
en los mismos.
En los casos en los que no fuera posible la aplicación de la precedente
política, deberán contemplar las siguientes premisas:
a. Generar una solicitud formal que
deberá quedar registrada.
b. Contar con la aprobación de quien sea Propietario/a de la Información
c. Registrar todas las actividades realizadas.
.G.6 Seguridad de los Procesos de
Desarrollo y Soporte
a. Objetivo
Controlar los entornos y el soporte dados a los procesos.
b. Procedimiento de Control de Cambios
El Área Responsable de la Infraestructura Informática implementará
controles estrictos
durante la implementación de cambios, imponiendo el cumplimiento de
procedimientos
formales que garantizarán que se cumplan los procedimientos de
seguridad y control.
El procedimiento deberá incluir las siguientes consideraciones:
a. Verificar que los cambios cuenten
con las aprobaciones correspondientes, incluyendo la del Propietario/a
de la Información cuando se trate de sistemas de procesamiento de la
misma.
b. Verificar que se respeten los términos y condiciones que surjan de
las licencias de uso de los productos de terceros.
c. Planificar el cambio, minimizando la continuidad de las actividades,
e informar a las áreas que pudieran ver afectada su normal operatoria.
d. Velar por la seguridad de la información a lo largo de todo el
proceso: antes, durante y una vez culminada la aplicación de los
cambios.
e. Establecer los mecanismos de prueba adecuados para minimizar la
aparición de errores en el ambiente productivo.
f. Implementar automatizaciones en los mecanismos de traspaso de los
ambientes de prueba a los ambientes productivos, siempre que sea
posible.
g. Mantener un registro de las versiones implementadas en el ambiente
productivo, así como toda otra información necesaria para su
reconstrucción y/o para el diagnóstico en caso de errores.
c. Cambios al SofWvare de Base
Toda vez que sea necesario realizar un cambio en el Sistema Operativo u
otro software de base, los sistemas deben ser revisados para asegurar
que no se produzca un impacto en su funcionamiento o seguridad.
El Área responsable de la Infraestructura Informática deberá coordinar
las actividades necesarias para garantizar que los cambios no tengan
impacto en la operatoria, informando o solicitando intervención de las
áreas involucradas, según corresponda.
d. Cambio de Paquetes de Software de
Terceros
Cuando se modifiquen paquetes de software suministrados por terceros,
el Área responsable por la Infraestructura Informática deberá:
a. Analizar los términos y condiciones
de la licencia para determinar si las modificaciones se encuentran
autorizadas.
b. Determinar la conveniencia de que la modificación sea efectuada por
personal de la Agencia, por el proveedor o por un tercero.
c. Establecer mecanismos de contingencia para retrotraer los cambios en
caso de errores.
e. Canales Ocultos y Código Malicioso
Un canal oculto puede exponer información utilizando algunos medios
indirectos y desconocidos. El código malicioso está diseñado para
afectar a un sistema en forma no autorizada.
Todo producto software utilizado en la Agencia deberá ser evaluado y
autorizado por el Área Responsable por la Seguridad Informática, que
deberá:
a. Evaluar la procedencia de los
productos.
b. Examinar los códigos fuentes (cuando sea posible) antes de utilizar
los programas.
c. Controlar el acceso y las modificaciones al código instalado.
d. Implementar herramientas para la protección contra la infección del
software con código malicioso.
f. Desarrollo Externo de Software
Para el caso que se considere la tercerización del desarrollo de
software, las Áreas responsables del Desarrollo de Software,
Infraestructura Informática y Seguridad Informática, establecerán:
a. Acuerdos de licencias, propiedad de código y derechos conferidos
(Ver Derechos de Propiedad Intelectual).
b. Requerimientos contractuales con respecto a la calidad y seguridad
del código y la existencia de garantías.
c. Procedimientos de certificación de la calidad y precisión del
trabajo llevado a cabo por el proveedor que incluyan auditorías,
revisión de código para detectar código malicioso, verificación del
cumplimiento de los requerimientos de seguridad del software
establecidos, etc.
d. Verificación del cumplimiento de las condiciones de seguridad.
.G.7 Gestión de Vulnerabilidades
Técnicas
a. Objetivo
Definir criterios para obtener y administrar información sobre la
presencia de vulnerabilidades de seguridad en los productos de software
utilizados en la Agencia, con el objetivo de organizar las acciones
necesarias para minimizar los riesgos asociados a dichas
vulnerabilidades.
b. Vulnerabilidades Técnicas
El proceso de gestión de las vulnerabilidades técnicas debe comprender:
a. Mantenimiento de un inventario de
software instalado;
b. Identificación y priorización de vulnerabilidades técnicas
potenciales;
c. Definición de prioridades para la atención de necesidades
relacionadas con actualizaciones de seguridad;
d. Identificación de los riesgos asociados y las acciones a llevar a
cabo ante vulnerabilidades identificadas;
e. Planificación del tratamiento de vulnerabilidades, mediante la
instalación de parches o controles alternativos, considerando aspectos
como la criticidad de la vulnerabilidad, la criticidad de la
información que podría verse afectada y los riesgos asociados a los
diferentes cursos de acción disponibles.
f. Generación y mantenimiento de un registro de auditoría para todos
los procedimientos emprendidos;
g. Seguimiento y evaluación regular del proceso de gestión de las
vulnerabilidades técnicas para garantizar su efectividad y eficiencia.
.H.Gestión de las Operaciones
.H.1 Aspectos Generales
La Gestión de Comunicaciones y Operaciones es un conjunto de acciones y
procedimientos que aseguran la operación correcta y fiable de los
recursos de comunicación y tratamiento de información evitando pérdidas
o modificaciones en la misma.
a. Objetivo
Garantizar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de información y comunicaciones. Establecer
responsabilidades y procedimientos para su gestión y operación,
incluyendo instrucciones operativas, procedimientos para la respuesta a
incidentes y separación de funciones.
b. Alcance
Se aplica a todas las áreas o instalaciones de procesamiento y
transmisión de información de la Agencia.
c. Responsabilidades
El Área Responsable de Seguridad de la Información deberá
a. Definir y documentar una norma clara
con respecto al uso del correo electrónico.
b. Controlar los mecanismos de distribución y difusión de información
dentro de la Agencia.
c. Verificar el cumplimiento de las normas, procedimientos y controles
de seguridad establecidos.
d. Definir procedimientos para el manejo de incidentes de seguridad y
para la administración de los medios de almacenamiento.
e. Verificar que los y las responsables por el desarrollo e
implementación de sistemas informáticos efectúen todos los
procedimientos definidos para comunicar las fallas en el procesamiento
de la información o los sistemas de comunicaciones, coordinando la
ejecución de las medidas correctivas que se consideren oportunas.
f. Definir y ejecutar procedimientos para la administración de medios
informáticos de almacenamiento y para la eliminación segura de los
mismos.
g. Participar en el tratamiento de los incidentes de seguridad, de
acuerdo a los procedimientos establecidos.
h. Asistir a los y las propietarios/as de la Información en la
determinación de los requerimientos para resguardar la información por
la cual son responsables.
El Area Responsable de Seguridad Informática deberá definir y
documentar los controles para la detección y prevención del acceso no
autorizado y la protección contra el software malicioso para garantizar
la seguridad de los datos y servicios conectados en las redes que posee
la Agencia.
Las áreas responsables por el desarrollo, adquisición y administración
de sistemas informáticos deberán establecer criterios de aprobación
para nuevos sistemas de información, actualizaciones y nuevas
versiones, contemplando la realización de las pruebas necesarias antes
de su aprobación definitiva. Verificar que dichos procedimientos de
aprobación de software incluyan aspectos de seguridad para todas las
aplicaciones.
El Área Responsable de Infraestructura Informática deberá:
a. Evaluar el posible impacto operativo
de los cambios previstos a sistemas y equipamiento y verificar su
correcta implementación, asignando responsabilidades.
b. Administrar los medios técnicos necesarios para permitir la
segregación de los ambientes de procesamiento.
c. Monitorear las necesidades de capacidad de los sistemas en operación
y proyectar las futuras demandas de capacidad, a fin de evitar
potenciales amenazas a la seguridad del sistema o a los servicios del
usuario.
.H.2 Procedimientos y
Responsabilidades Operativas
a. Objetivo
Establecer las responsabilidades y procedimientos para la gestión y
operación de todos los medios de procesamiento de la información.
b. Documentación de los Procedimientos
Operativos
Los procedimientos para la operación de los sistemas informáticos serán
documentados y
actualizados por el Área Responsable de Infraestructura Informática.
Se deberá contar con:
a. Procedimientos para el procesamiento
y manejo de la información.
b. Documentación de restricciones en el uso de utilitarios del sistema.
c. Personas de soporte a contactar en caso de dificultades operativas o
técnicas imprevistas.
d. Procedimientos de reinicio y recuperación en caso de producirse
fallas en el sistema.
c. Separación entre Instalaciones de
Desarrollo e Instalaciones Operativas
Los ambientes de desarrollo, prueba y operaciones, siempre que sea
posible, deberán estar separados, y se deberán definir y documentar las
reglas para la transferencia de software desde el estado de desarrollo
hacia el estado productivo.
Para ello, el Área Responsable de Infraestructura Informática, deberá:
a. Ejecutar el software de desarrollo y
de producción, en diferentes ambientes de operaciones.
b. Separar las actividades de desarrollo y prueba, en entornos
diferentes.
c. Utilizar perfiles de acceso diferenciados por ambiente y prohibir a
los usuarios compartir contraseñas en estos sistemas. Las interfaces de
los sistemas identificarán claramente a qué instancia se está
realizando la conexión.
d. Definir propietarios de la información para cada uno de los
ambientes de procesamiento existente.
.H.3 Planificación y Aprobación de
Sistemas
a. Objetivo
Planificar la disponibilidad de la capacidad y los recursos adecuados
para entregar el desempeño del sistema requerido.
Proyectar los requerimientos de la capacidad futura para reducir el
riesgo de sobrecarga en el sistema.
Establecer, documentar y probar los requerimientos operacionales de los
sistemas nuevos antes de su aceptación y uso.
b. Planificación de la Capacidad
El Área Responsable de la Infraestructura Informática, deberá
monitorear las necesidades de capacidad de los sistemas en operación y
proyectar las futuras demandas. El objetivo de este monitoreo es
garantizar el procesamiento y almacenamiento adecuado.
Para ello, los y las propietarios/as de la Información deberán informar
con la debida antelación los nuevos requerimientos de los sistemas, de
acuerdo a la planificación que el Área defina, teniendo en cuenta las
tendencias actuales y proyectadas en el procesamiento de la información
de la Agencia para el período estipulado de vida útil de cada
componente.
c. Aprobación del Sistema
El Área Responsable de Infraestructura Informática establecerá
criterios de aprobación para la implementación de los nuevos sistemas
de información, haciendo extensivo este concepto a las actualizaciones
o nuevas versiones. Para ello se deberá realizar pruebas o test
necesarios que harán viables o no su aprobación definitiva, para lo
cual se considerarán los siguientes criterios:
a. Verificar el impacto en el desempeño
y los requerimientos de capacidad de las computadoras.
b. Garantizar la recuperación ante errores.
c. Preparar y poner a prueba los procedimientos operativos de rutina
según normas definidas.
d. Garantizar la implementación de un conjunto adecuado de controles de
seguridad.
e. Establecer procedimientos que garanticen la continuidad de las
actividades de la Agencia.
f. Asegurar que la instalación del nuevo sistema no afectará
negativamente los sistemas existentes, especialmente en los períodos
pico de procesamiento.
g. Analizar el efecto que tiene el nuevo sistema en la seguridad global
de la Agencia.
h. Capacitar al personal que utilizará la aplicación y/o nuevo sistema.
.H.4 Protección Contra Código Malicioso
a. Objetivo
Proteger la integridad del software y la integración contra la
introducción de códigos maliciosos.
Dar a conocer los peligros del código malicioso, tales como virus,
troyanos, bombas lógicas, etc.
b. Código Malicioso
El Área Responsable de Seguridad de la Información implementará
procedimientos de concientización para el personal en materia de
seguridad, controles de acceso al sistema y administración de cambios.
Asimismo, deberá impartir los instructivos para que el personal idóneo
de las áreas usuarias de TI implemente todos y cada uno de los
controles sobre detección y prevención de software malicioso.
Se establecerán mediante instructivos formales que contemplen las
siguientes acciones:
a. Prohibir la instalación y uso de
software no autorizado por la Agencia.
b. Evitar los riesgos relacionados con la obtención de archivos y
software desde o a través de redes externas, o por cualquier otro medio
(ej.: dispositivos portátiles), señalando las medidas de protección a
tomar.
c. Instalar y actualizar periódicamente software de detección y
reparación de virus, examinado computadoras y medios informáticos, como
medida precautoria y rutinaria.
d. Mantener los sistemas al día con las últimas actualizaciones de
seguridad disponibles, de acuerdo a la planificación que se defina en
conjunto con las áreas responsables de Sistemas e Infraestructura
informática respectivamente.
e. Revisar periódicamente el contenido de software y datos de los
equipos de procesamiento que sustentan procesos críticos de la Agencia,
investigando formalmente la presencia de archivos no aprobados o
modificaciones no autorizadas. En especial, realizar revisión y
análisis de logs.
f. Verificar, antes de su uso, la presencia de virus en archivos de
medios electrónicos de origen incierto, o en archivos recibidos a
través de redes no confiables.
g. Verificar toda la información relativa a software malicioso.
h. Establecer una adecuada protección en la conexión mediante
dispositivos móviles y fijar permisos de acceso.
.H.5 Copias de Respaldo
a. Objetivo
Mantener la integridad y disponibilidad de la información y de los
medios de procesamiento de información.
Establecer los procedimientos de rutina para implementar la política de
respaldo acordada y la estrategia para tomar copias de respaldo de los
datos y practicar su restauración oportuna.
b. Resguardo de la Información
El Área Responsable de Seguridad Informática determinará los
requerimientos para resguardar cada porción de información en función
de la clasificación realizada por los y las propietarios/as de la
información, definiendo y documentando un esquema de resguardo adecuado
a dicha clasificación.
Asimismo, el Área Responsable de la Seguridad de la Información
fiscalizará la realización de dichas copias, así como la prueba
periódica de su restauración e integridad.
Para la definición de procedimientos de resguardo de la información, se
considerarán los siguientes lineamientos:
a. Definir un esquema de rótulo de las
copias de resguardo que permita
contar con toda la información necesaria para identificar cada una de
ellas y administrarlas debidamente.
b. Establecer un esquema de remplazo de los medios de almacenamiento de
las copias de resguardo una vez concluida la posibilidad de ser
reutilizados de acuerdo a lo indicado por el proveedor, asegurando la
destrucción de los medios desechados
c. Almacenar en una ubicación remota copias recientes de información de
resguardo junto con registros exactos y completos de las mismas, y los
procedimientos documentados de restauración, a una distancia suficiente
para evitar daños provenientes de un desastre en el sitio principal.
d. Retener al menos tres generaciones o ciclos de información de
resguardo para la información y el software esenciales para la Agencia
e. Asignar a la información de resguardo un nivel de protección física
y ambiental según las normas aplicadas en el sitio principal.
f. Probar periódicamente los medios de resguardo.
g. Probar periódicamente los procedimientos de restauración,
garantizando su eficacia y cumplimiento dentro del tiempo asignado a la
recuperación, según lo indicado en los procedimientos operativos.
c. Registro de Actividades del
Personal Operativo
El Área Responsable de la Infraestructura Informática deberá asegurar
el registro de las actividades realizadas en los sistemas, incluyendo
cuando corresponda lo siguiente:
a. Tiempos de inicio y cierre del
sistema.
b. Errores del sistema y medidas correctivas tomadas.
c. Intentos de acceso a sistemas, recursos o información crítica o
acciones restringidas.
d. Ejecución de operaciones críticas.
e. Cambios a información crítica.
.H.6 Gestión de las Redes Informáticas
a. Objetivo
Asegurar la protección de la información en redes y la protección de la
infraestructura de soporte.
Brindar una gestión y administración segura de las redes de datos que
posee la Agencia.
Establecer controles adicionales para proteger la información
confidencial cuando se utilice la red pública.
b. Redes
El Área Responsable de la Seguridad Informática definirá controles para
garantizar la seguridad de los datos y los servicios conectados a la
red de la Agencia contra el acceso no autorizado, considerando la
ejecución de las siguientes acciones:
a. Establecer los procedimientos para la administración del
equipamiento remoto, incluyendo los equipos en las áreas usuarias.
b. Establecer controles especiales para salvaguardar la
confidencialidad e integridad del procesamiento de los datos que pasan
a través de redes públicas, y para proteger los sistemas conectados.
Implementar controles especiales para mantener la disponibilidad de los
servicios de red y computadoras conectadas.
c. Supervisar para asegurar que los controles se aplican uniformemente
en toda la infraestructura de procesamiento de información.
.H.7 Administración y Seguridad de los
Medios de Almacenamiento
a. Objetivo
Establecer los procedimientos de operación apropiados para proteger los
documentos, medios de cómputo (por ejemplo, cintas y discos),
entrada/salida de datos (input/output) y documentación del sistema de
una divulgación no autorizada, modificación, eliminación y destrucción.
b. Procedimientos para el Manejo de la
Información
El Área Responsable de la Seguridad de la Información definirá
procedimientos para la manipulación y almacenamiento de la información
de acuerdo a la clasificación establecida.
Dichos procedimientos deberán contemplar la protección de: documentos,
sistemas informáticos, redes, computación móvil, comunicaciones
móviles, correo, correo de voz, comunicaciones de voz en general,
multimedia, servicios e instalaciones postales y cualquier otro ítem
potencialmente sensible.
Los procedimientos contemplarán las siguientes acciones, de acuerdo a
la criticidad de la información y a la utilización de cada tipo de
dispositivo:
a. Restringir el acceso sólo al
personal debidamente autorizado.
b. Mantener un registro formal de los receptores autorizados de datos.
c. Garantizar que los datos de entrada son completos, que el
procesamiento se lleva a cabo correctamente y que se validan las
salidas.
d. Proteger los datos en espera ("colas") y memorias temporales (ej.:
caché).
e. Conservar los medios de almacenamiento en un ambiente que concuerde
con las especificaciones de los fabricantes o proveedores.
f. Eliminación segura del medio de información en el caso que sea
necesario. La evaluación del mecanismo de eliminación debe contemplar
el tipo de dispositivo y la criticidad de la información contenida.
.H.8 Seguridad del Correo Electrónico
a. Objetivo
Garantizar la seguridad de los servicios de correo electrónico y su uso
seguro.
b. Riesgos de Seguridad
El Área Responsable de Seguridad Informática implementarán los
controles para reducir los posibles riesgos de incidentes de seguridad
en los servicios enunciados:
a. La vulnerabilidad de los mensajes al
acceso o modificación no autorizada o a la denegación de servicio.
b. La posible intercepción y el consecuente acceso a los mensajes en
los medios de transferencia que intervienen en la distribución de los
mismos.
c. Las posibles vulnerabilidades a errores; por ejemplo, consignación
incorrecta de la dirección o dirección errónea, y la confiabilidad y
disponibilidad general del servicio.
d. La posible recepción de código malicioso en un mensaje de correo que
afecte la seguridad de la terminal receptora o de la red a la que se
encuentra conectada.
e. El impacto de un cambio en el medio de comunicación en los procesos
de la Agencia
f. Las consideraciones legales, como la necesidad potencial de contar
con prueba de origen, envío, entregay aceptación.
g. Las implicancias de la publicación externa de información sensible o
confidencial, accesibles al público.
h. El acceso remoto a las cuentas de correo electrónico.
i. El uso inadecuado por parte del personal.
c. Política de Correo Electrónico
El Área Responsable de Seguridad de la Información deberá definir y
documentar las normas y procedimientos con relación al correo
institucional, que deberá contemplar los siguientes aspectos:
a. Protección contra ataques al correo
electrónico, tales como virus, intercepción de mensajes, etc.
b. Protección de archivos adjuntos de correo electrónico.
c. Uso de técnicas criptográficas para proteger la confidencialidad e
integridad de los mensajes electrónicos (Ver Controles Criptográficos).
d. Retención de mensajes que pudieran ser necesarios en caso de litigio.
e. Controles adicionales para examinar mensajes electrónicos que no
pueden ser autenticados.
f. Aspectos operativos para garantizar el correcto funcionamiento del
servicio (ej.: tamaño máximo de información transmitida y recibida,
cantidad de destinatarios, tamaño máximo del buzón del usuario, etc.).
g. Definición de los alcances del uso del correo electrónico por parte
del personal de la Agencia
h. Alcance de la potestad de la AAIP para auditar los mensajes
recibidos o emitidos por los servidores de la AAIP.
Asimismo, deberá informar claramente al personal de la Agencia:
a. cuál es el uso que espera que haga
del correo electrónico otorgado; y
b. bajo qué condiciones los mensajes pueden ser objeto de control y
monitoreo.
.H.9 Sistemas de Acceso Público
Para la protección de la integridad de la información publicada
electrónicamente, se tomarán recaudos a fin de prevenir la modificación
no autorizada que podría dañar la reputación de quien emite la
publicación.
Es posible que la información de un sistema de acceso público, por
ejemplo, la información en un servidor Web accesible por Internet, deba
cumplir con ciertas normas en la cual tiene lugar la transacción
electrónica.
Se implementará un proceso de autorización formal antes de que la
información se publique, estableciéndose en todos los casos los
responsables de dicha aprobación.
Todos los sistemas de acceso público deben prever que:
a. La información se obtenga, procese y
proporcione de acuerdo a la
normativa vigente, en especial la Ley de Protección de Datos Personales.
b. La información que se ingresa al sistema de publicación, o aquella
que procesa el mismo, sea procesada en forma completa, exacta y
oportuna.
c. La información sensible o confidencial sea protegida durante el
proceso de recolección y su almacenamiento.
d. El acceso al sistema de publicación no permita el acceso accidental
a las redes a las cuales se conecta el mismo.
e. El o la responsable de la publicación de información en sistemas de
acceso masivo sea claramente identificado.
f. La información se publique teniendo en cuenta las normas
establecidas al respecto.
.H.10Seguimiento y Control
a. Objetivo
Detectar las actividades de procesamiento de información no autorizadas.
b. Registro de Auditoría
Todo sistema deberá producir y mantener registros de auditoría en los
cuales se registren las actividades, excepciones, y eventos de
seguridad de la información de los usuarios de la aplicación, por un
período acordado para permitir la detección e investigación de
incidentes.
El Área Responsable de Seguridad de la Información deberá evaluar y
priorizar, de acuerdo a las posibilidades técnicas, la registración de
la siguiente información:
a. identificación de los usuarios de la
aplicación;
b. fechas, tiempos y detalles de los eventos principales, por ejemplo,
inicio y cierre de sesión;
c. identidad del equipo o la ubicación;
d. registros de intentos de acceso al sistema exitosos y fallidos;
e. registros de intentos de acceso a los datos u otro recurso, exitosos
y rechazados;
f. cambios a la configuración del sistema;
g. uso de privilegios;
h. uso de utilitarios y aplicaciones de sistemas;
i. archivos accedidos y el tipo de acceso;
j. direcciones de redes y protocolos;
k. alarmas que son ejecutadas por el sistema de control de accesos;
l. activación y desactivación de los sistemas de protección, tales como
sistemas antivirus y sistemas de detección de intrusos.
c. Protección de los Registros
El Área Responsable de la Seguridad Informática implementará controles
para la protección de los registros de auditoría contra cambios no
autorizados y problemas operacionales, incluyendo:
a. Alteraciones de los tipos de
mensajes que son grabados;
b. Edición o eliminación de archivos de registro;
c. Exceso de la capacidad de almacenamiento de los archivos de
registro, resultando en la falla para registrar los eventos o
sobrescribiendo eventos registrados en el pasado.
d. Registro de Actividad de Administrador y Operador
El Área Responsable de la Seguridad de la Información revisará
periódicamente el registro de las actividades de los administradores y
operadores de sistema incluyendo:
a. Cuenta de administración u operación
involucrada;
b. Momento en el cual ocurre un evento (éxito o falla);
c. Información acerca del evento (por ejemplo, los archivos
manipulados) o las fallas (por ejemplo, los errores ocurridos y las
acciones correctivas tomadas);
d. Procesos involucrados.
e. Sincronización de Relojes
A fin de garantizar la exactitud de los registros de auditoría, al
menos los equipos que realicen estos registros, deben tener una
correcta configuración de sus relojes.
Para ello, se dispondrá de un procedimiento de ajuste de relojes, el
cual indicará también la verificación de los relojes contra una fuente
externa del dato y la modalidad de corrección ante cualquier variación
significativa
.I. Continuidad de los Servicios
Informáticos
.I.1 Aspectos generales
La Gestión de la Continuidad de los Servicios Informáticos se ocupa de
impedir la interrupción de los servicios TI y proteger sus procesos
críticos frente a desastres o grandes fallas de los sistemas de
información, combinando estrategias proactivas, que buscan impedir o
minimizar las consecuencias de una grave interrupción del servicio, y
reactivas, cuyo propósito es reanudar el servicio tan pronto como sea
posible.
La Continuidad de los Servicios Informáticos incluye tanto los
mecanismos tecnológicos automáticos que posibilitan que un sistema sea
resiliente de forma autónoma a fallos de alguno de sus componentes,
como las acciones humanas necesarias toda vez que los mecanismos
automáticos no fueran suficientes.
La Política de Continuidad debe preferir los mecanismos automáticos
frente a los manuales, siempre que sea posible. Ello así por su mayor
velocidad de reacción, que posibilita minimizar o incluso evitar las
interrupciones del servicio, pérdida o corrupción de la información,
entre otras; menor posibilidad de error humano ante situaciones
críticas; y mayor posibilidad de verificación.
a. Objetivos
• Minimizar los efectos de las posibles
interrupciones de las actividades normales de los servicios de TI.
• Proteger los sistemas de información que sustentan los procesos
críticos de la Agencia mediante una combinación de controles
preventivos y acciones de recuperación.
• Analizar las consecuencias de una interrupción del servicio y tomar
las medidas correspondientes para la prevención de hechos similares en
el futuro.
• Maximizar la efectividad de las operaciones de contingencia,
considerando las siguientes etapas:
o Notificación/Activación: Consistente
en la detección del daño y la determinación de las acciones
subsiguientes.
o Reanudación: Consistente en la restauración temporal de las
operaciones y recuperación del daño producido al sistema original.
o Recuperación: Consistente en la restauración de las capacidades de
proceso del sistema a las condiciones de operación normales.
• Asegurar la coordinación con el personal de la Agencia y los
contactos externos que participarán en las estrategias de planificación
de contingencias. Asignar funciones para cada actividad definida.
b. Alcance
Se aplica a todos los procesos y datos de la Agencia considerados como
críticos (Ver
clasificación de la información).
c. Responsabilidades
El Área Responsable por la Seguridad de la Información coordinará la
definición de los
mecanismos de contingencia, cumpliendo las siguientes funciones:
• Identificar las amenazas que puedan
ocasionar interrupciones de los procesos y/o las actividades de la
Agencia.
• Coordinar la evaluación de los riesgos en conjunto a los y las
Propietarios/as de la Información para determinar el impacto de dichas
interrupciones.
• Coordinar la identificación de los controles preventivos, en conjunto
con todas las áreas con competencia en la materia.
• Mantener informado de los sucesos relevantes al C.C.S.I y de las
acciones tomadas por el área para el aseguramiento de la continuidad
del servicio y/o actividades de la Agencia.
.I.2 Gestión de Continuidad de los
Servicios Informáticos
a. Objetivo
Contraatacar las interrupciones a las actividades y proteger los
procesos críticos de los efectos de fallas importantes o desastres en
los sistemas de información, y asegurar su reanudación oportuna.
b. Responsabilidades
El Área Responsable por la Seguridad de la Información tendrá a cargo
la coordinación las actividades relativas a la continuidad de la
operatoria de los sistemas de tratamiento de información de la Agencia,
lo cual incluye las siguientes funciones:
a. Coordinar, en conjunto a los y las
Propietarios/as de la
Información, la identificación de los procesos críticos de la Agencia,
su priorización, y los Activos de Información asociados.
b. Identificar las amenazas que puedan ocasionar interrupciones en los
procesos de las actividades, tales como: fallas en el equipamiento,
comisión de ilícitos, interrupción del suministro de energía eléctrica,
inundación e incendio, desastres naturales, destrucción edilicia,
atentados, etc.
c. Proponer una definición de criticidad y prioridades de recuperación,
en relación al impacto asociado a la interrupción de cada servicio de
información, que permita guiar la planificación de actividades de
contingencia, incluyendo la asignación de recursos adecuados en cada
caso.
d. Coordinar la definición, en conjunto con todas las áreas con
competencia en la materia y de forma consecuente con los objetivos y
prioridades acordados, así como de los recursos disponibles, los que
asignados de acuerdo a la criticidad de cada servicio:
• las medidas destinadas a maximizar la
Continuidad de los Servicios Informáticos.
• los mecanismos para la gestión de la contingencia y/o recuperación
ante una interrupción de los servicios informáticos.
• pruebas periódicas de los mecanismos de contingencia y recuperación.
c. Implementación
La gestión de la continuidad de las actividades incluye las siguientes
actividades:
a. Analizar los posibles escenarios de
contingencia y definir
mecanismos técnicos y acciones humanas para la prevención y corrección
de dichos escenarios.
b. Identificar y asignar todas las funciones y tareas en caso de
emergencia para permitir la recuperación y restablecimiento en el menor
plazo posible. Se debe dedicar especial atención a la evaluación de las
dependencias de actividades externas y a los contratos vigentes.
c. Instruir al personal involucrado en los procedimientos de
reanudación y recuperación en los siguientes temas:
• Objetivo del plan.
• Mecanismos de coordinación y comunicación entre equipos (personal
involucrado).
• Procedimientos de divulgación.
• Requisitos de la seguridad.
• Responsabilidades individuales.
d. Planificar la prueba de los planes, guardando evidencia formal de
las pruebas y sus resultados.
La definición de los mecanismos y actividades requeridos debe
concentrarse en los objetivos de las actividades de la Agencia; por
ejemplo, restablecimiento de los servicios a los usuarios en un plazo
aceptable. Deben considerarse los servicios y recursos que permitirán
que esto ocurra, incluyendo: dotación de personal, recursos que no
procesan información, así como acuerdos para reanudación de emergencia
en sitios alternativos de procesamiento de la información.
.J. Cumplimiento Normativo
.J.1 Aspectos Generales
Asegurar el cumplimiento de las disposiciones normativas y legales que
regulan el acceso, la disponibilidad y la protección de la información
almacenada y procesada en el ámbito de cada sector de la Agencia.
a. Objetivo
Establecer la obligatoriedad en el cumplimiento de la normativa
aplicable en la materia.
Asegurar que los sistemas de información y las plataformas tecnológicas
cumplan efectivamente con las políticas, normas y procedimientos de
seguridad.
Revisar periódicamente las políticas de seguridad de la información a
efectos de garantizar la adecuada aplicación en lo referido a la
protección de sus datos y recursos.
Optimizar la eficacia del proceso de auditoría de sistemas y minimizar
los problemas que pudiera ocasionar el mismo, o los obstáculos que
pudieran afectarlo.
Asegurar la existencia de controles que protejan los sistemas en
producción y las herramientas de auditoría en el transcurso de las
auditorías de sistemas.
Determinar los plazos para la guarda de información y la recolección de
evidencia.
Determinar los mecanismos de adecuación ante los cambios normativos,
teniendo en cuenta las limitaciones de recursos disponibles, y
garantizando la continuidad operativa de la Agencia.
b. Alcance
Se aplica a todo usuario de sistemas de información, a los sistemas de
información, normas, procedimientos, documentación y plataformas
técnicas, y a las auditorías efectuadas sobre los mismos.
c. Responsabilidades
El Área Responsable de la Seguridad de la Información tendrá las
siguientes responsabilidades:
• Realizar revisiones periódicas de
todas las áreas a efectos de
asegurar el cumplimiento de la política, normas y procedimientos de
seguridad.
• Verificar periódicamente que los sistemas de información cumplan la
política, normas y procedimientos de seguridad establecidos.
• Garantizar la seguridad y el control de las herramientas utilizadas
para las revisiones de auditoría.
• Definir y documentar claramente todos los requisitos normativos y
contractuales pertinentes a sus sistemas de información.
• Redactar un compromiso de confidencialidad a ser firmado por todos
los usuarios del mismo.
.J.2 Cumplimiento de Requisitos Legales
a. Objetivo
Evitar la violación de las normas aplicables y de todo requerimiento
relacionado con la seguridad, el uso y la gestión de los recursos y
sistemas de información.
El diseño, operación, uso y gestión de los sistemas de información
pueden estar sujetos a requerimientos de seguridad normativos y
contractuales.
b. Identificación de la Legislación
Aplicable
Los y las Propietarios/as de los Sistemas de Información, con
asistencia del Área Responsable Legal de la Agencia, deberán
identificar los requisitos normativos y contractuales en materia de
Seguridad de la Información pertinentes para cada Sistema de
Información de su propiedad.
El Área Responsable de la Seguridad Informática, en conjunto con las
áreas responsables por la implementación de los sistemas, definirán los
controles específicos y responsabilidades para cumplir con dichos
requisitos.
c. Derechos de Propiedad Intelectual
Los y las Propietarios/as de los Sistemas de Información, con
asistencia del Área Responsable Legal de la Agencia, deberán asegurar
que las definiciones de los sistemas cumplan con la normativa vigente
en relación a las siguientes normas:
• Ley de Propiedad Intelectual N°
11.723.
• Ley de Marcas N° 22.362.
• Ley de Patentes de Invención y Modelos de Utilidad N° 24.481.
Los y las usuarios/as de información únicamente podrán utilizar
material autorizado por los y las Propietarios/as de la Información.
d. Derechos de Propiedad Intelectual
del Software
Todas las Áreas involucradas en las definiciones técnicas y soporte de
los Sistemas de Información, con la asistencia del Área Legal, deberán
analizar los términos y condiciones de las licencias de los productos
de software a utilizar en los sistemas de información con el objetivo
de garantizar el cumplimiento de los términos y condiciones en cada
caso. Adicionalmente las Áreas Responsables por el Soporte e
Infraestructura Tecnológica, deberán:
• Mantener un adecuado registro de los
activos de propiedad intelectual bajo su administración.
• Conservar pruebas y evidencias de propiedad de licencias, discos
maestros, manuales, etc.
• Implementar controles para evitar el exceso del número máximo
permitido de usuarios.
• Instalar únicamente productos con licencia y software autorizado.
• Cumplir con los términos y condiciones establecidos para obtener
software e información en redes públicas.
e. Protección de Datos, Privacidad de
la Información Personal y Acceso a la Información Pública
Todo el personal debe conocer las restricciones al tratamiento de los
datos y de la información respecto de la cual tengan conocimiento con
motivo del ejercicio de sus funciones.
Sólo se divulgará, procesará y/o comunicará aquella información que
esté autorizada previamente por el o la propietario/a de la información
según corresponda.
Por otra parte, y según lo establecido en el punto "Términos y
Condiciones de la relación laboral", el Área Responsable por la
Seguridad Informática se reserva el derecho de efectuar control y
monitoreo sobre las actividades ejercidas en su ámbito, preservando el
derecho a la privacidad del personal, según corresponda.
En particular, para el tratamiento de la privacidad de los datos y la
posibilidad de acceso a esa información por su carácter de pública, se
deben tener presentes las siguientes normas:
Protección de Datos Personales. Ley N°
25.326: Establece
responsabilidades para aquellas personas que recopilan, procesan y
divulgan información personal, y define criterios para procesar datos
personales y/o cederlos a terceros.
Protección de Datos Personales.
Resolución AAIP N° 47/2018: Establece
nuevas medidas de seguridad recomendadas para la administración,
planificación, control y mejora continua de la seguridad de la
información, respecto al tratamiento de los datos personales.
Acceso a la Información Pública. Ley
N° 27.275: Establece y da un marco
normativo acerca de la publicidad de la información en poder del Estado
y establece que esta información debe ser accesible por todas las
personas, aunque también establece un conjunto de excepciones a este
acceso.
Confidencialidad. Ley N° 24.766:
Impide la divulgación a terceros, o su
utilización sin previo consentimiento y de manera contraria a los usos
comerciales honestos, de información secreta y con valor comercial que
haya sido objeto de medidas razonables para mantenerla secreta.
Delitos Informáticos. Ley N° 26.388:
Modifica el Código Penal,
incorporando diversos delitos informáticos, tales como violación de
correo electrónico, acceso ilegítimo a sistemas informáticos, daño
informático, interrupción de comunicaciones, distribución de virus y
pornografía infantil.
Código Penal: Sanciona a aquel
que abriere o accediere indebidamente a
una comunicación electrónica o indebidamente la suprimiere o desviare
(Art. 153), al que a sabiendas accediere por cualquier medio, sin la
debida autorización o excediendo la que posea, a un sistema o dato
informático de acceso restringido (Art.153 bis), al que hallándose en
posesión de una correspondencia, una comunicación electrónica, un
pliego cerrado, un despacho telegráfico, telefónico o de otra
naturaleza, no destinados a la publicidad, los hiciere publicar
indebidamente, si el hecho causare o pudiere causar perjuicios a
terceros (Art. 155), al que teniendo noticias de un secreto cuya
divulgación pueda causar daño, lo revelare sin justa causa (Art. 156),
al funcionario público que revelare hechos, actuaciones o documentos
que por la ley deben quedar secretos (Art. 157), al que a sabiendas e
ilegítimamente, o violando sistemas de confidencialidad y seguridad de
datos, accediere, de cualquier forma, a un banco de datos personales,
ilegítimamente proporcionare o revelare a otro información registrada
en un archivo o en un banco de datos personales cuyo secreto estuviere
obligado a preservar por disposición de la ley e ilegítimamente
insertare o hiciere insertar datos en un archivo de datos personales
(Art. 157 bis), al que alterare, destruyere o inutilizare datos,
documentos, programas o sistemas informáticos (Art. 183), al que
revelare secretos políticos o militares concernientes a la seguridad, a
los medios de defensa o a las relaciones exteriores de la Nación, o al
que por imprudencia o negligencia diere a conocer los secretos
mencionados anteriormente, de los que se hallare en posesión en virtud
de su empleo u oficio (Art. 222 y 223).
f. Prevención del Uso Inadecuado de
los Recursos de Procesamiento
Los recursos de procesamiento de información de la Agencia se
suministran con un propósito determinado. Toda utilización de estos
recursos con propósitos no autorizados o ajenos al destino por el cual
fueron provistos debe ser considerada como uso indebido.
El alcance preciso del uso adecuado se definirá según lo indicado en el
punto "Términos y Condiciones de la relación laboral" y "Uso aceptable
de los activos de información".
.J.3 Revisiones de la PSI y
Compatibilidad Técnica
a. Objetivo
Asegurar el cumplimiento de los sistemas con las políticas y estándares
de seguridad organizacional.
Establecer criterios para la gestión de la seguridad de los sistemas de
información en su etapa productiva y hasta el final de su ciclo de vida.
b. Cumplimiento de la Política de
Seguridad
El Área Responsable por la Seguridad de la Información velará por la
correcta implementación y cumplimiento de las normas y procedimientos
de seguridad establecidos, dentro de su ámbito de responsabilidad.
Para ello establecerá los controles que estime convenientes incluyendo
tanto mecanismos automáticos como acciones manuales, de acuerdo a la
criticidad de cada sistema y los recursos disponibles.
Entre las áreas a revisar se incluyen las siguientes:
a. Sistemas de información
b. Proveedores de sistemas
c. Propietarios de información
d. Usuarios
e. Servicios TIC
Los y las Propietarios/as de la información brindarán apoyo a la
revisión periódica del cumplimiento de la política, normas,
procedimientos y otros requisitos de seguridad aplicables.
c. Verificación de la Compatibilidad
Técnica
El Área Responsable por la Seguridad de la Información determinará las
medidas y controles necesarios para que los sistemas de información
cumplan con la política, normas y procedimientos de seguridad a lo
largo de todo su ciclo de vida, incluyendo la revisión de
los sistemas en producción, a fin de garantizar que los controles de
hardware y software hayan sido correctamente implementados.
.J.4 Consideraciones de Auditorías de
Sistemas
a. Objetivo
Maximizar la efectividad del proceso de auditoría de sistemas de
información y minimizar las interferencias que pueda sufrir.
Verificar durante las auditorías de los sistemas de información la
existencia de los controles para salvaguardar los sistemas
operacionales y herramientas de auditoría.
b. Aspectos Generales
Con relación a las auditorías, serán de aplicación las Normas de
Control Interno para Tecnologías de Información, aprobadas por la
resolución SIGEN N° 87/2022 (ex Resolución 48/05), como así todo
Instructivo de Trabajo que SIGEN habilite.
c. Controles de Auditoría de Sistemas
Para las actividades de auditoría que involucren verificaciones de los
sistemas en producción se seguirán los lineamientos establecidos en la
resolución SIGEN N° 87/2022.
Se tomarán recaudos en la planificación de los requerimientos y tareas
y se acordará con las áreas involucradas a efectos de minimizar el
riesgo de interrupciones en las operaciones, contemplando los criterios
subsiguientes:
a. Acordar con el área que corresponda
los requerimientos de auditoría.
b. Controlar el alcance de las verificaciones. Esta función será
realizada por la Unidad de Auditoría Interna.
c. Limitar las verificaciones a un acceso de sólo lectura del software
y datos de producción. Caso contrario, se tomarán los resguardos
necesarios a efectos de aislar y contrarrestar los efectos de las
modificaciones realizadas una vez finalizada la auditoría. Por ejemplo:
i. Eliminar archivos transitorios.
ii. Eliminar entidades ficticias y datos incorporados en archivos
maestros.
iii. Revertir transacciones.
iv. Revocar privilegios otorgados
d. Identificar claramente los recursos de TI para llevar a cabo las
verificaciones, los cuales serán puestos a disposición de los
auditores. A tal efecto, la Unidad de Auditoría Interna o, en su
defecto, quien sea propuesto, completará el siguiente formulario, el
cual debe ser puesto en conocimiento de las áreas involucradas:
i. Recursos de TI a utilizar en la Verificación
ii. Sistemas de información
iii. Base de datos
iv. Hardware
v. Software de Auditoría
vi. Medios Magnéticos
vii. Personal de Auditoría
viii. Interlocutores de las Áreas de Informática
ix. Interlocutores de las Áreas Usuarias
x. Conexiones a Red
e. Identificar y acordar los requerimientos de procesamiento especial o
adicional.
f. Monitorear y registrar todos los accesos, a fin de generar una pista
de referencia. Los datos a resguardar deben incluir como mínimo:
i. Fecha y hora
ii. Puesto de trabajo
iii. Usuario
iv. Tipo de acceso.
v. Identificación de los datos accedidos
vi. Estado previo y posterior
vii. Programa y/o función utilizada
g. Documentar todos los procedimientos de auditoría, requerimientos y
responsabilidades.
.J.5 Plan de Adecuación
a. Objetivo
Establecer los criterios mínimos para la definición de planes de
adecuación para la implementación de la P.S.I, así como cualquier otro
cambio normativo que pudiera afectar a la Seguridad de la Información
de la Agencia.
Garantizar la planificación adecuada de los recursos necesarios para la
ejecución de las tareas de adecuación.
b. Responsabilidades
El Área Responsable por la Seguridad de la Información coordinará la
definición del Plan de Adecuación de la Agencia.
Todas las Áreas con responsabilidades definidas por esta P.S.I deberán
comprometer las acciones necesarias para el cumplimiento normativo, de
acuerdo a un cronograma conjunto acorde a los recursos disponibles y a
la priorización en etapas que defina el Área Responsable por la
Seguridad Informática.
c. Ámbito de Aplicación
Esta Cláusula será aplicable ante un cambio normativo que impacte sobre
los Activos de Información preexistentes a la norma.
Todo Activo de Información generado con posterioridad a la entrada en
vigencia de la norma deberá dar cumplimiento a la misma o gestionarse
por vía de Excepción.
d. Definición del Plan de Adecuación
Previo a todo cambio normativo que impacte en la Seguridad de la
Información de la Agencia, se deberán definir las acciones necesarias
para adecuar el funcionamiento de la Agencia a la nueva normativa,
incluyendo:
• Definición de Procesos y
Procedimientos complementarios.
• Actualización y/o corrección de los Sistemas de Información.
• Actualización y/o corrección de la infraestructura informática,
comunicaciones, redes de datos, etc.
• Adquisición de los bienes y servicios necesarios para el cumplimiento
normativo.
• Revisión retroactiva de actuaciones previas que requieran una
adecuación a la nueva normativa, tales como contratos, autorizaciones,
asignación de privilegios, etc.
Los cronogramas correspondientes a los Planes de Adecuación deberán ser
acordados entre el Área Responsable por la Seguridad de la Información
y las Áreas intervinientes en cada caso, siguiendo las prioridades
definidas por el Área Responsable por la Seguridad de la Información.
e. Asignación de Recursos
Todas las áreas intervinientes deberán planificar la asignación de los
recursos necesarios para la ejecución de los Planes de Adecuación
acordados.
f. Desvíos
Cualquier desvío en la implementación de los Planes de Adecuación
deberá ser informado formalmente al Área Responsable por la Seguridad
de la Información.
.J.6 Política de Gestión de Excepciones
a. Objetivo
Identificar las acciones necesarias para registrar, evaluar y aprobar o
rechazar las excepciones al cumplimiento de la P.S.I.
Documentar los requerimientos, sistemas, configuraciones o
procedimientos imposibilitados de cumplir, de forma temporal o
permanente, con el Marco Normativo de Seguridad de la Información.
Proveer un proceso que contemple el análisis y seguimiento de los
planes de mitigación, acompañando las mejoras requeridas para el
cumplimiento de la normativa de Seguridad de la Información.
b. Consideraciones Generales
Las políticas y estándares de Seguridad de la Información establecidos
en la Agencia son la base fundamental para la protección de los Activos
de Información.
Cualquier imposibilidad en el cumplimiento de la presente P.S.I. se
deberá tramitar mediante el Procedimiento de Gestión de Excepciones.
Todas las Excepciones a la Política de Seguridad de la Información
deberán ser formalmente documentadas, registradas y revisadas.
c. Alcance
Todo incumplimiento al Marco Normativo de Seguridad de la Información y
a los lineamientos que deban aplicarse a infraestructura tecnológica,
sistemas y/o procedimientos, cuando dichos lineamientos no puedan ser
respetados por imposibilidad técnica o la falta de disponibilidad
temporal de recursos y la suspensión de los sistemas o actividades en
cuestión pudiera afectar operativamente al cumplimiento de las
responsabilidades, compromisos y obligaciones de la Agencia o alguna de
sus áreas.
d. Responsabilidades
El o la responsable del área interesada deberá elevar el Pedido de
Excepción al Área Responsable por la Seguridad de la Información,
indicando las razones funcionales y operativas que motivan la solicitud
y justifican la Excepción.
Todas las Áreas involucradas deberán:
a. Informar las limitaciones técnicas,
procedimentales y de recursos que impiden el cumplimiento normativo.
b. Informar las acciones correctivas a implementar, a saber: Plan de
Normalización y/o Mitigación, según corresponda.
El Área Responsable por la Seguridad de la Información deberá:
a. Mantener un registro de las
excepciones vigentes y sus
correspondientes acciones correctivas definidas y la aceptación de los
riesgos residuales.
b. Velar por la existencia de acciones correctivas adecuadas a cada
excepción solicitada, que permitan mitigar los riesgos involucrados en
cada caso.
c. Informar, de corresponder, los riesgos residuales al área
requirente, en función de las acciones correctivas definidas, para su
toma de conocimiento.
Anexo I: Glosario
Activo (de Información): activo
se define de acuerdo a la norma ISO
2700 como '...cualquier cosa que tenga valor para la Organización
(ISO/IEC 13335-1:2004)”. Partiendo de este concepto, existen activos
intangibles y tangibles, como por ejemplo Bases de Datos y Sistemas de
Información, archivos de documentación publicados en los sitios web,
información de los sistemas de gestión de los usuarios, correo
institucional, informes impresos, etc.
Amenaza: cualquier evento o
circunstancia que pueda poner en riesgo la
seguridad de la información, como malware, ataques cibernéticos,
desastres naturales, etc.
Autenticación: el proceso de
verificar la identidad de un usuario o
entidad para asegurarse de que tengan acceso autorizado a un sistema o
recurso.
Cifrado: el proceso de
transformar datos en un formato ilegible
(cifrado) para proteger su confidencialidad y que solo pueden ser
descifrados por usuarios autorizados que poseen la clave de cifrado
adecuada.
Código malicioso: un programa
malicioso (del inglés malware), también
conocido como programa maligno, programa malintencionado o código
maligno, es cualquier tipo de software que realiza acciones dañinas en
un sistema informático de forma intencionada (al contrario que el
«software defectuoso») y sin el conocimiento del usuario (al contrario
que el "software" potencialmente no deseado.
Confidencialidad: uno de los
tres pilares de la seguridad de la
información, se refiere a la protección de datos e información sensible
para evitar su divulgación a personas no autorizadas. Garantiza que
solo las personas o entidades autorizadas puedan acceder a la
información confidencial.
Criptografía: la criptografía
es el desarrollo de un conjunto de
técnicas de cifrado que permiten alterar y modificar mensajes o
archivos con el objetivo de que no puedan ser leídos por todos aquellos
usuarios que no estén autorizados a hacerlo. Hoy en día, en pleno auge
de las comunicaciones digitales, funciona como la base para cualquier
proceso de seguridad informática.
Disponibilidad: se refiere a la
capacidad de garantizar que los
sistemas, datos e información crítica estén disponibles y accesibles
cuando se necesiten. Esto implica prevenir interrupciones no
planificadas, como fallas técnicas o ataques cibernéticos, que podrían
afectar la disponibilidad de los recursos.
Incidente de Seguridad: un
evento inesperado que compromete, puede o
pudo comprometer la seguridad de la información, como una violación de
datos o un ataque cibernético.
Integridad: se relaciona con la
garantía de que los datos o la
información no han sido alterados de manera no autorizada o indebida
durante su almacenamiento, procesamiento o transmisión. La integridad
asegura que la información sea precisa y fiable.
Log: en informática, se usa el
término registro, log o historial de log
para referirse a la grabación secuencial en un archivo o en una base de
datos de todos los acontecimientos (eventos o acciones) que afectan a
un proceso particular (aplicación, actividad de una red informática,
etc.). De esta forma constituye una evidencia del comportamiento del
sistema.
No Repudio: un principio de
seguridad que asegura que una entidad no
puede negar la validez de una acción previamente realizada, como la
firma de un documento electrónico. Esto garantiza que las partes
involucradas no puedan negar su participación en una transacción.
Propietarios de la Información: en
líneas generales es una parte
designada de la entidad, un funcionario, o grupo de trabajo que tiene
la responsabilidad de garantizar que la información y los activos
asociados con los servicios de procesamiento de información se
clasifiquen adecuadamente, y de definir y revisar periódicamente las
restricciones y clasificaciones del acceso, teniendo en cuenta las
políticas aplicables sobre el control del acceso
Seguridad de la Información: un
conjunto de prácticas, políticas y
procedimientos diseñados para proteger la confidencialidad, integridad
y disponibilidad de la información crítica de una organización. El
objetivo es garantizar que los datos estén protegidos contra amenazas y
riesgos, como acceso no autorizado, alteración o destrucción.
Vulnerabilidad: una debilidad o
fallo en un sistema, proceso o control
de seguridad que podría ser explotado por amenazas o atacantes para
comprometer la seguridad de la información.
IF-2023-127002770-APN-DIEI#AAIP