AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 211/2023

RESOL-2023-211-APN-AAIP

Ciudad de Buenos Aires, 27/10/2023

VISTO el Expediente Nº EX-2023-123052025- -APN-AAIP; la Ley N° 27.275; el Decreto N° 577 del 28 de julio de 2017, modificado por su similar N° 480 del 11 de julio de 2019; las Decisiones Administrativas N° 1865 del 16 de octubre de 2020, N° 641 del 25 de junio de 2021, y N° 1094 del 1° de noviembre de 2022; las Resoluciones de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN N° 829 del 24 de mayo de 2019, y N° 1523 del 12 de septiembre de 2019; la Resolución de la SECRETARIA DE INNOVACIÓN PÚBLICA N° 44 del 1° de septiembre de 2023; y

CONSIDERANDO:

Que, según lo establecido en el artículo 19 de la Ley N° 27.275, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, debe velar por el cumplimiento de los principios y procedimientos establecidos en la citada norma, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326.

Que todas las infraestructuras tecnológicas de información, comunicación y operación del Sector Público se encuentran expuestas a riesgos de disrupción que podrían afectar severamente los servicios que se prestan a la población.

Que por el Decreto N° 577/2017, modificado por su similar N° 480/2019, se creó el COMITÉ DE CIBERSEGURIDAD en la órbita de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, el cual tiene como objetivo la elaboración de la Estrategia Nacional de Ciberseguridad.

Que por la Resolución N° 829/2019 de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN se aprobó la ESTRATEGIA NACIONAL DE CIBERSEGURIDAD; y mediante la Resolución N° 1523/2019 de la exSecretaría antes mencionada se aprobaron las definiciones de Infraestructuras Críticas y de Infraestructuras Críticas de Información, la enumeración de los criterios de identificación y la determinación de los sectores alcanzados.

Que en el Anexo de la Resolución citada el último término en el párrafo anterior se define a las Infraestructuras Críticas como aquellas que resultan indispensables para el adecuado funcionamiento de los servicios esenciales de la sociedad, la salud, la seguridad, la defensa, el bienestar social, la economía y el funcionamiento efectivo del Estado, cuya destrucción o perturbación, total o parcial, los afecte y/o impacte significativamente; y, de modo similar, se define a las Infraestructuras Críticas de Información como aquellas tecnologías de información, operación y comunicación, así como la información asociada, que resultan vitales para el funcionamiento o la seguridad de las Infraestructuras Críticas.

Que mediante la Resolución N° 44/2023 de la SECRETARIA DE INNOVACIÓN PÚBLICA, modificatoria de la Resolución N° 829/2019 de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN, se implementó la Segunda Estrategia Nacional de Seguridad orientada a fijar las previsiones nacionales en materia de protección del ciberespacio, y con la finalidad de brindar un contexto seguro para su aprovechamiento por parte de las personas y organizaciones públicas y privadas, desarrollando, de forma coherente y estructurada, acciones de prevención, detección, respuesta y recuperación frente a las ciberamenazas, junto con el desarrollo de un marco normativo e institucional acorde.

Que a través de la Decisión Administrativa N° 641/2021 se aprobaron los “REQUISITOS MINIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, que como ANEXO I (IF-2021-50348419-APN-SSTIYC#JGM), forman parte integrante de dicha medida y son aplicables a todas las entidades jurisdicciones comprendidas en el inciso a) del art. 8° de la Ley N° 24.156.

Que la mencionada norma establece, entre otras obligaciones, que los organismos alcanzados por su ámbito de aplicación deben desarrollar una Política de Seguridad de la Información compatible con la responsabilidad primaria y las acciones de su competencia, sobre la base de una evaluación de riesgos que pudieran afectarlos; aprobar sus Planes de Seguridad, estableciendo los plazos en que se dará cumplimiento a cada uno de los requisitos mínimos de seguridad de la información (art. 3°); y adoptar las medidas preventivas, de detección y correctivas destinadas a proteger la información que reciban, generen o gestionen, así como sus recursos (art. 6°).

Que, conforme se dispuso mediante la Decisión Administrativa N° 1094/2022, la Dirección de Informática e Innovación tiene como responsabilidad primaria la de asistir a la titular de la Agencia en el análisis, formulación, implementación, actualización y rediseño de los sistemas de información, con miras a los procesos y procedimientos tanto internos como externos, así como en la infraestructura informática, sistemas y otras herramientas que contribuyan al fortalecimiento de las políticas de acceso a la información pública y la protección de los datos personales.

Que, entre otras acciones, la Dirección citada debe asistir a la titular de la AAIP en la definición y aplicación de metodologías y normas relativas a la seguridad y privacidad de la información, de conformidad con la normativa vigente y estándares aplicables en la materia; y supervisar el desarrollo de los sistemas informáticos, establecer sus estándares de control y seguridad, como así también supervisar la aplicación de las normas de integridad y seguridad de datos de la Agencia.

Que con la finalidad de mejorar y simplificar los procedimientos administrativos que se desarrollan en su ámbito funcional, la AAIP se encuentra abocada a la progresiva implementación en sus procesos de trabajo de las Tecnologías de la Información y las Comunicaciones (TIC) y de otras tecnologías emergentes.

Que, teniendo en cuenta lo expuesto, se encomendó a la Dirección de Informática e Innovación proyectar la Política de Seguridad de la Información (PSI) del organismo, con el objetivo de fortalecer la seguridad de la información que recibe, produce y administra, en concordancia con los REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL, establecidos en el Anexo I de la Decisión Administrativa N° 641/2021.

Que dicha política busca proteger los recursos de la información de la AAIP y las herramientas tecnológicas utilizadas para su procesamiento frente a amenazas internas y externas, deliberadas o accidentales; asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información; y afianzar la adecuada implementación de las medidas de seguridad, identificando los recursos disponibles.

Que la PSI debe estar entrelazada con la cultura institucional y, para alcanzar ese objetivo, contará con el compromiso manifiesto de las autoridades de la AAIP.

Que la Unidad de Auditoría Interna y el Servicio Jurídico permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA han tomado las intervenciones de sus respectivas competencias.

Que la presente medida se dicta en cumplimiento de lo establecido por la Decisión Administrativa N° 641/2021.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1°.- Aprobar la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA”, que como Anexo IF-2023-127002770-APN-DIEI#AAIP forma parte integrante de la presente medida.

ARTÍCULO 2°.- Establecer que la Política aprobada por el artículo 1° se aplica en todo el ámbito institucional de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, a sus recursos y a la totalidad de sus procesos, ya sean internos o externos, vinculados a través de contratos o convenios con terceros.

ARTÍCULO 3°.- Delegar en el titular de la Dirección de Informática e Innovación de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la facultad de actualizar la política aprobada por el artículo 1°; dictar las normas aclaratorias y complementarias que resulten necesarias para su adecuada implementación; y aprobar el PLAN DE SEGURIDAD que se elabore de conformidad con lo establecido en el artículo 3° de la Decisión Administrativa N° 641/21.

ARTÍCULO 4°.- Encomendar a la Dirección de Informática e innovación de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la revisión anual de la política aprobada por el artículo 1° de la presente.

ARTÍCULO 5°.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Beatriz de Anchorena

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-


(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)


Aspectos Generales

Necesidad de la Política de Seguridad de la Información

Esta P.S.I. surge de la necesidad de los organismos estatales de poner el foco en la seguridad de su información. En consonancia con esto, la Secretaría de Innovación Pública en el año 2021 promulga la Decisión Administrativa 640/21, que apunta a promover una política pública que enmarque una conducta responsable en materia de seguridad de la información en los organismos estatales, sus agentes y funcionarios. Además, y debido al constante avance de la tecnología, la información puede ser hoy en día objeto de una amplia gama de peligros, amenazas y usos indebidos e ilícitos, por lo que se pretende extremar las medidas tendientes a la preservación de su confidencialidad, integridad y disponibilidad.

Objeto de la Política de Seguridad de la Información

Proteger los recursos de la información de la Agencia de Acceso a la Información Pública (AAIP) y las herramientas tecnológicas utilizadas para su procesamiento, frente a amenazas internas y externas, deliberadas o accidentales.

Asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información.

Afianzar la adecuada implementación de las medidas de seguridad, identificando los recursos disponibles.

Mantener la P.S.I. de la Agencia actualizada, a efectos de asegurar su vigencia y nivel de eficacia.

Alcance de la Política de Seguridad de la Información

Esta P.S.I. se aplica en todo el ámbito institucional, a sus agentes, ya sean internos o externos, vinculados a la Agencia a través de contratos o convenios con terceros, y a la totalidad de los procesos.

Revisión de la política de Seguridad de la Información

Las áreas observadas o que tengan interés legítimo a efectos modificatorios, deberán elevar sus propuestas al Área Responsable por la Seguridad de la Información a fin de coordinar su inclusión, modificación y/o sustitución.

Ante contingencias técnicas operativas y funcionales en los sistemas de información, bastará la ocurrencia de un incidente para que ésta intervenga.

El Área Responsable por la Seguridad de la Información deberá impulsar una revisión de la P.S.I. por lo menos una vez cada 12 (doce) meses, contados a partir de la última publicación o actualización. Dichas actualizaciones serán revisadas por el Comité de Control de Seguridad de la Información y luego de su aprobación, elevadas a la Autoridad Superior. Serán publicados en el sitio de Internet que, a tal fin, establezca la AAIP.

Incumplimiento

Todo incumplimiento de la P.S.I. debe ser informado de forma inmediata al Área Responsable por la Seguridad de la Información para su tratamiento.

Con el dictamen emitido, de corresponder, se adoptarán las medidas legales y/o administrativas necesarias.

Política de Seguridad de la Información

A. Organización

.A.1 Aspectos Generales

La P.S.I será parte de la cultura institucional, por ello es necesario el compromiso manifiesto de la alta dirección de la organización.

a. Objetivo

Definir funciones y asignar responsabilidades de seguridad de la información en todos los niveles de la estructura de la Agencia, a fin de implementar y cumplimentar esta P.S.I.

Definir las responsabilidades en el cumplimiento de la seguridad y la normativa vigente desde la perspectiva de la confidencialidad, la integridad y la disponibilidad de la información, a los fines de proteger adecuadamente los datos, sistemas y recursos de información frente amenazas internas y externas.

Definir las funciones y responsabilidades de un Comité de Control de Seguridad de la Información (C.C.S.I) en el marco de la Agencia.

b. Alcance

Todo el personal de la Agencia, cualquiera sea su situación de revista, así como el personal externo que efectúe tareas y/o brinde servicios al Organismo, se encuentra alcanzado por esta política.

Las instrucciones, normas y procedimientos de Seguridad de la Información deben basarse en los principios desarrollados en el presente documento.

.A.2 Comité de Control de Seguridad de la Información

La creación de un Comité de Control de Seguridad de la Información (C.C.S.I) en el marco de la Agencia tiene como objetivo general el de ser un cuerpo plural y representativo de las distintas áreas del Organismo que pueda controlar, revisar, difundir y promover cambios relativos a la seguridad de la información.

a. Objetivos


b. Definición de Funciones y Asignación de Responsabilidades


.A.3 Organización Interna

a. Objetivos


b. Definición de Funciones y Asignación de Responsabilidades

Intervienen en la Gestión de la Seguridad de la Información de la Agencia:


c. Compromiso de Confidencialidad

Se definirán, implementarán y revisarán regularmente compromisos de confidencialidad o de no divulgación a los fines de proteger la información, debiendo cumplir con toda normativa que alcance a la Agencia en materia de confidencialidad de la información. Dichos compromisos deberán ser implementados con:

d. Accesos de Terceras Partes a la Información

Toda la información deberá protegerse contra acceso de terceros no autorizados.

El acceso de terceras partes a la información de la AAIP debe ser expresamente autorizado por los o las Propietarios/as de la Información. Adicionalmente, de acuerdo a la clasificación de la información a compartir, se requerirá un acuerdo de confidencialidad y no divulgación de la información deberá ser suscrito entre éstas y la AAIP.

Cualquier pérdida o acceso no autorizado o sospechoso a la información sensible deberá informarse en modo fehaciente inmediatamente al Propietario/a de la Información haciendo extensiva dicha comunicación (de corresponder) a su línea jerárquica.

Los pedidos de cuestionarios, informes financieros, documentos de la política interna, procedimientos, exámenes y entrevistas con el personal están cubiertos por esta política

.A.4 Grupos o Personas Externas

a. Objetivo

Resguardar la seguridad de la información y los medios de procesamiento de información de la Agencia que son ingresados, procesados, comunicados, o manejados por grupos externos.

b. Aspectos Generales

En todos los contratos o acuerdos cuyo objeto sea la prestación de servicios a título personal bajo cualquier modalidad jurídica que deban desarrollarse dentro de la Agencia, se establecerán los controles, requerimientos de seguridad y compromisos de confidencialidad aplicables al caso, restringiendo al mínimo necesario, los permisos a otorgar.

En ningún caso se otorgará acceso a terceros a la información, a las instalaciones de procesamiento u otras áreas de servicios críticos, hasta tanto se hayan implementado los controles apropiados y se haya firmado un contrato o acuerdo que defina las condiciones para la conexión o el acceso.

c. Contratos o Acuerdos con Terceras Partes

Debe tenerse en cuenta que ciertas actividades de la Agencia pueden requerir que terceros accedan a información interna, o bien puede ser necesaria la tercerización de ciertas funciones relacionadas con el procesamiento de la información. Por este motivo, es necesario que se establezcan cláusulas en los contratos, convenios, acuerdos o demás instrumentos para establecer y/o mantener dicha relación, que garanticen que los terceros vinculados con acceso a la información, recursos y/o administración y control de los sistemas, conozcan y acepten la PSI, así como cláusulas aplicables frente a su eventual incumplimiento.

Por su parte, se deberán incluir cláusulas y/o se solicitará la suscripción obligatoria de convenios de confidencialidad en los contratos, convenios, acuerdos o demás instrumentos para establecer relaciones con terceros.

En ningún caso se otorgará acceso a terceros a la información, a las instalaciones de procesamiento u otras áreas de servicios críticos, hasta tanto se hayan efectuado los controles apropiados, los cuales definan, asimismo, las condiciones para la conexión o el acceso, y se hayan suscripto los respectivos convenios respecto a la confidencialidad de la información.

d. Copias No Autorizadas de la Información

Usuarios y usuarias deberán, previamente a copiar información, tener la autorización debida en base a los lineamientos establecidos por los Propietarios de la Información.

La realización de copias de backups se permite solo cuándo ésta responda a normas, procedimientos de seguridad y resguardo de información, y sólo será realizada por personal autorizado del Área Responsable por la Seguridad Informática.

e. Recepción y Envío de Información

Toda transmisión de información debe utilizar los procedimientos que garanticen el no repudio cuando haya que resolver disputas sobre la ocurrencia o no de un envío de información.

f. Divulgación de las Medidas de Seguridad de la Información

La información con respecto a las medidas de seguridad de los sistemas y las redes es confidencial y no se debe divulgar a usuarios no autorizados.

.B.Clasificación de Activos

La Agencia debe tener conocimiento preciso sobre los activos de la información como parte importante de la administración de riesgos.

Se entiende por Activo de Información a todo aquel elemento que contiene o trata información relevante para la Agencia, o que su pérdida o degradación pudieran afectar de algún modo a la continuidad de los servicios ofrecidos.

Los siguientes ítems son activos de información de la Agencia:


Toda la información administrada por la Agencia, y sus medios de procesamiento, son de su propiedad.

a. Objetivo

Alcanzar y mantener una protección adecuada para los activos de información de la Agencia.

Establecer los lineamientos para clasificar la información, según su relación con los criterios de confidencialidad, integridad, disponibilidad y criticidad.

Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación. Dichos niveles deben contemplar el alcance y las excepciones de la ley de la ley 27275 de Acceso a la Información Pública.

b. Alcance

Aplica a todos los activos de información de la Agencia.

c. Responsabilidad

Los y las Responsables de Áreas Sustantivas y Operativas serán Propietarios/as de la Información relacionada con las funciones inherentes a su cargo y de los medios necesarios para el procesamiento de la misma.

Los y las Propietarios/as de Información son encargados/as de clasificar la información de acuerdo a su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificación efectuada, de definir las funciones que deben tener permisos de acceso a los archivos y son los responsables de mantener los controles adecuados.

El término Propietario/a identifica a la persona que será responsable de controlar la producción, desarrollo, mantenimiento, uso, aplicación y protección de la información, sin implicar la posesión efectiva de derechos de propiedad.

El Área Responsable por la Seguridad de la Información establecerá los lineamientos para la utilización de los recursos de la tecnología de información contemplando en los requerimientos de seguridad establecidos según la criticidad de la información que procesan.

.B.1 Responsabilidad Sobre los Activos de Información

a. Objetivo

Todos los Activos de Información deben ser inventariados y contar con un(a) Responsable.

b. Inventario de Activos de Información

Se identificarán los activos asociados a cada sistema de información, sus respectivos propietarios y su ubicación, para luego elaborar un inventario con dicha información.

Toda modificación a la información registrada en el inventario debe ser registrada.

c. Inventario de Hardware y Software

Para tener un control y registros de equipos informáticos con su información de configuraciones de Hardware y Software, se utilizarán herramientas informáticas de identificación y control de los mismos.

El Área Responsable de Infraestructura Informática deberá controlar las configuraciones iniciales de los equipos, así como los productos de software instalados en los mismos.

Todo cambio o alteración a estas configuraciones deberá ser informado inmediatamente al Área Responsable de Infraestructura Informática, a fin de poder tomar acción correctiva y evitar penalidades por uso de software ilegítimo.

d. Propiedad de los Activos de Información

Cada Responsable de Área, como Propietario/a de Activos de Información, deberá cumplir las funciones de:


El Área Responsable por la Seguridad Informática verificará los mecanismos de acceso a la información, garantizando que los niveles de clasificación sean estrictamente observados.

e. Uso Aceptable de los Activos de Información

El Área Responsable de Seguridad de la Información establecerá y verificará reglas para el uso aceptable de los activos de la información, específicamente para los activos asociados con las instalaciones de procesamiento de la misma, según corresponda.

Todo el personal de la Agencia, así como los terceros autorizados a utilizar los Activos de Información de la misma, deberán seguir dichas reglas, incluyendo:


Se consideran usuarios y usuarias de la red de datos a toda persona que tenga acceso autorizado a los distintos sistemas de información. Los usuarios y usuarias de la red de datos utilizarán la infraestructura de la red sólo para el intercambio de información cuyo contenido sea necesario para el desempeño de sus funciones.

El acceso a la red de comunicaciones interna de la Agencia será restringido al personal que brinda funciones en la misma. Toda excepción a esta regla deberá ser solicitada formalmente por un/a funcionario/a con rango no inferior a Director/a y gestionada por las Áreas Responsables por la Gestión de Accesos.

La utilización de los diferentes sistemas de información y elementos informáticos es de uso exclusivo para asuntos de servicio. El uso aceptado no se considera un derecho del usuario/a y se encuentra sujeto al estricto control permanente de la Autoridad a cargo del área donde el usuario/a desempeñe sus funciones.

El uso aceptado puede ser controlado, revocado o limitado en cualquier momento por razón de la función, por cuestiones operativas y/o de seguridad de la red ya sea por la autoridad de aplicación y/o por los y las funcionarios/as responsables.

No se considera uso aceptable aquel que demande un gasto adicional para la Agencia, excepto el que derive del uso normal de los recursos informáticos.

.B.2 Clasificación de la Información

a. Objetivo

Asegurar que la información reciba un nivel de protección apropiado.

Establecer una metodología de clasificación de activos de la información en función de cada una de las siguientes características de la seguridad: confidencialidad, integridad, criticidad y disponibilidad.

Al momento de establecer los criterios de clasificación se deberá tener en cuenta la Ley 27.275 de Acceso a la Información Pública y sus excepciones, como también la legislación asociada a la protección de Datos Personales, mencionadas en el apartado J.

b. Directrices de Clasificación

Para clasificar un activo de información, se utilizarán los criterios definidos en los siguientes niveles:

i. Confidencialidad


ii. Integridad


iii. Disponibilidad


iv. Criticidad


Sólo el o la Propietario/a de la información puede asignar o cambiar su nivel de clasificación, cumpliendo con los siguientes requisitos previos:


Luego de clasificar la información, el o la Propietario/a identificará los recursos asociados (sistemas, equipamiento, servicios, etc.) y definirá los perfiles funcionales que deben tener acceso a la misma.

En adelante se mencionará como "información clasificada" (o "datos clasificados") a aquella que se encuadre en los niveles 1, 2 o 3 de Confidencialidad.

v. Etiquetado y Manipulación de la Información

El Área Responsable de Seguridad de la Información definirá los lineamientos para el manejo de información de acuerdo al esquema de clasificación definido. Los mismos contemplarán los recursos de información tanto en formatos físicos como electrónicos e incorporarán las siguientes actividades de procesamiento de la información:


Los niveles de clasificación deben contemplar procedimientos de manejo seguros, incluyendo las actividades de procesamiento, almacenaje, transmisión, de clasificación y destrucción.

.C.Segiindad de los Recursos Humanos

.C.1 Aspectos Generales

La información sólo tiene sentido cuando es utilizada por las personas y son éstas quienes, en último término, deben gestionar adecuadamente este importante recurso. Por lo tanto, no se puede proteger adecuadamente la información sin una correcta gestión del personal, teniendo en cuenta aspectos como: la selección de nuevos ingresantes, su formación, la implementación de las normativas internas o la gestión del personal que se desvincula de la Agencia.

a. Objetivo

Contribuir a mitigar riesgos provocados por:


Comunicar las responsabilidades en materia de seguridad de la información, relacionadas con:


b. Alcance

Aplica a todo el personal la Agencia que se encuentre en actividad hasta su desvinculación definitiva.

c. Responsabilidades

El Área Responsable de Recursos Humanos informará a los y las ingresantes acerca de sus obligaciones respecto del cumplimiento de la P.S.I.; gestionará los convenios de confidencialidad que correspondan; y coordinará las tareas de capacitación de usuarios y usuarias, junto al Área Responsable por la Seguridad de la Información.

.C.2 Acciones Previas al Ingreso

a. Objetivo

Asegurar que los y las postulantes entiendan sus futuras responsabilidades y sean idóneos/as para las funciones que desarrollen.

Dar a conocer las responsabilidades en materia de seguridad de la información, mediante una descripción adecuada del trabajo, en los términos y condiciones del puesto a cubrir.

b. Términos y condiciones

Como parte de sus términos y condiciones iniciales para el servicio, el personal, cualquiera sea su labor en la Agencia, deberá firmar un compromiso de confidencialidad que incluya los términos y responsabilidades relacionadas con la gestión de la información, tanto de la Agencia como de terceros entregada a esta.

Una copia firmada del compromiso de confidencialidad será resguardada en el legajo del personal en forma segura.

Mediante el compromiso de confidencialidad la persona declarará conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad de la persona.

Los términos y las condiciones del servicio establecerán la responsabilidad del personal en materia de seguridad de la información.

Si las condiciones particulares y/o especiales del servicio lo ameritan se podrá establecer que estas responsabilidades puedan extenderse más allá de los límites que fija la normativa vigente. Los términos y condiciones deberán contemplar derechos y obligaciones del personal relativos a las leyes de Propiedad Intelectual y/o la legislación de protección de datos personales, incluyéndose información acerca de los alcances de la Ley N° 26.388 de delitos informáticos.

.C.3 Durante el Desempeño de las Actividades

a. Responsabilidad de la Dirección

Los y las Responsables de cada Área, como responsables del uso de los sistemas de información, deberán verificar que todo el personal a su cargo y toda persona que realice tareas en el área de su incumbencia cumpla en forma estricta todas y cada una de las disposiciones establecidas en la presente política.

Deben tener conocimiento adecuado de sus funciones y responsabilidades de seguridad de la información antes de que se le otorgue el acceso a información sensible o a los sistemas de información.

Deben cumplir con las P.S.I. de la Agencia y concientizar al área sobre la importancia de dicho cumplimiento.

b. Formación y Capacitación en Materia de Seguridad de la Información

Todo el personal de la Agencia y, cuando sea pertinente, los y las usuarios/as externos/as que desempeñen funciones en el organismo, deberán recibir una adecuada capacitación y actualización periódica y permanente en materia de las políticas, normas y procedimientos de seguridad de la información (se recomienda al menos a personal jerárquico), incluyendo los requerimientos de confidencialidad de la información, seguridad y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y el uso correcto de los recursos en general, como por ejemplo su estación de trabajo.

El Área Responsable por la Seguridad de la Información arbitrará los medios técnicos necesarios para comunicar a todo el personal, eventuales modificaciones o novedades en materia de seguridad que deban ser tratadas con un orden preferencial.

El Área Responsable por la Seguridad de la Información en conjunto con el Área de Recursos Humanos, coordinarán la formulación de contenidos y las acciones para los planes de concientización y/o capacitación en materia de seguridad de información.

c. Desempeño de las Actividades

El Área Responsable por la Seguridad Informática realizará el monitoreo e inspección de los sistemas de información, así como las áreas de trabajo, en cualquier momento con el objeto de garantizar la seguridad de las operaciones y de la información.

Estas inspecciones, cuando sean integrales, pueden llevarse a cabo con o sin el consentimiento del personal involucrado, de acuerdo a procedimientos objetivos, debidamente justificados, documentados y autorizados fehacientemente por las autoridades competentes.

La información que podrá inspeccionarse puede incluir registros (logs) de actividades, discos rígidos, e-mails, documentos impresos, escritorios y áreas de archivo.

.C.4 Cese del Servicio o Cambio de Puesto de Trabajo

a. Responsabilidad de la Dirección

En el caso en que se deba desafectar a personal de la Agencia, el o la director/a o coordinador/a del área correspondiente podrá solicitar al responsable de Infraestructura Informática el resguardo de los datos contenidos en los activos de información que hubieran sido asignados al desafectado.

Una vez generado el respaldo, el mismo quedará en poder y guarda del o de la solicitante.

El Área Responsable de Infraestructura Informática deberá garantizar la correcta eliminación de toda información existente en un equipo informático antes de su reasignación.

b. Responsabilidad del Cese o Cambio

Las responsabilidades para realizar la desvinculación o cambio de puesto deben estar claramente definidas y asignadas, incluyendo requerimientos de seguridad y responsabilidades legales a posteriori y, cuando sea apropiado, las responsabilidades contenidas dentro de cualquier acuerdo de confidencialidad, y los términos y condiciones de empleo con continuidad por un período definido de tiempo luego de la finalización del trabajo del personal, contratista o usuario de tercera parte.

c. Devolución de Activos

Todo el personal que se encuentre en actividad y aquellos que la Agencia determine, contratistas o usuarios de terceras partes debe devolver todos los activos al organismo en su poder (software, documentos, equipamiento, dispositivos de computación móviles, tarjetas de ingreso, etc.) antes de la finalización fehaciente del vínculo laboral existente con la Agencia, efectuándose los registros formales que correspondan.

Toda información de relevancia para las operaciones actuales, conocido por quienes se hallan en situación de desvinculación, deberá documentarse y transferirse a la Agencia.

d. Retiro de permisos de acceso a los sistemas

Se revisarán los permisos de acceso de un usuario a los activos asociados con los sistemas y servicios de información tras la desvinculación o el cese temporal de sus funciones dentro de la Agencia.

Cada cambio en un puesto de trabajo implicará remover todos los permisos que no fueran aprobados para el nuevo usuario, comprendiendo esto accesos lógicos y físicos, llaves, instalaciones de procesamiento de la información y suscripciones.

En los casos donde el personal que se está desvinculando tenga conocimiento de contraseñas para cuentas que permanecen activas, éstas deberán ser modificadas tras la finalización o cambio de puesto de trabajo.

El Área Responsable de Seguridad de la Información podrá solicitar la reducción o eliminación de los permisos de acceso a los activos de la información, de forma previa a que el usuario quede cesante o cambie su destino, dependiendo de factores de riesgo.

.D.Seguridad Física y Ambiental

.D.1 Aspectos Generales

La Seguridad Física brinda un marco de referencia para el control de acceso físico a las áreas donde se custodia o almacena información sensible, así como aquellas áreas donde se encuentren los equipos de cómputo críticos y demás infraestructura de soporte a los sistemas de información, en tanto que la Seguridad Ambiental remite a los controles ambientales que evitan o disminuyen los riesgos de pérdidas de información o interrupción de las actividades por problemas del medio ambiente.

Para ello se tendrán en cuenta los siguientes criterios:


a. Objetivo

Preservar la seguridad de la información mediante las siguientes acciones:


b. Alcance

Se aplica a todos los activos físicos relativos a los sistemas de información.

c. Responsabilidades

El Área Responsable de Sistemas de Información deberá priorizar las siguientes medidas de seguridad:

Las medidas de seguridad física, incluirán los procedimientos documentados con sus respectivos instructivos sobre:

El Área Responsable de Seguridad de la Información controlará su implementación, y el mantenimiento del equipamiento informático de acuerdo a las indicaciones de proveedores tanto dentro como fuera de las instalaciones de la Agencia.

El Área Responsable de Infraestructura Informática, definirá los criterios para el control del acceso físico del personal a las áreas restringidas bajo su responsabilidad.

Todo el personal de la Agencia será responsable del cumplimiento de la política de pantallas y escritorios limpios, para la protección de la información relativa al trabajo diario en las oficinas.

.D.2 Areas Seguras

a. Objetivo

El centro de procesamiento de información debe:


b. Perímetro de Seguridad Física

Se deberán definir y establecer perímetros de seguridad para proteger las áreas que contienen los activos de información. Asimismo, deberán establecerse medidas de seguridad adicionales en aquellos recintos donde se encuentren las instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información.

El emplazamiento y la fortaleza de cada barrera deberán ser definidos de acuerdo al análisis de riesgos efectuado oportunamente.

Se emitirán lineamientos respecto de los controles y requerimientos necesarios en cuanto a la seguridad física de esta Agencia y sus instalaciones de procesamiento de información, teniendo en cuenta los siguientes aspectos:


c. Controles Físicos de Entrada

Las áreas seguras se deben resguardar mediante el empleo de controles de acceso físico, a fin de permitir que sea solo para el personal autorizado. Estos controles deben reunir las siguientes características:


d. Protección Contra Amenazas Externas y de Origen Ambiental

Se deben considerar los siguientes lineamientos para evitar el daño por fuego, inundación, terremoto, explosión, convulsión social y otras formas de desastres naturales o causados por la acción humana:


.D.3 Seguridad de los Equipos Informáticos

a. Objetivo

Evitar pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de laAAIP.

Proteger el equipo de amenazas físicas y ambientales.

b. Emplazamiento y Protección de Equipos Informáticos y sus instalaciones

El equipamiento será ubicado y protegido de tal manera que se reduzcan los riesgos ocasionados por amenazas y peligros ambientales, y las oportunidades de acceso no autorizado, teniendo en cuenta los criterios de áreas seguras mencionados anteriormente en este mismo apartado.

c. Mantenimiento de los Equipos

El Área Responsable de Infraestructura Informática deberá velar por el mantenimiento del equipamiento necesario y las instalaciones de procesamiento de medios de lectura y/o procesamiento de información para reforzar su disponibilidad e integridad. Para ello se debe considerar:

d. Seguridad del Equipamiento Informático Fuera de las Instalaciones

La utilización de equipamiento destinado al procesamiento de información por fuera del ámbito de las instalaciones de la Agencia deberá realizarse únicamente con autorización del Área Responsable Patrimonial y el Área Responsable de Seguridad de la Información. En el caso de que en el mismo se almacene información clasificada, éste deberá ser notificado fehacientemente.

La seguridad provista debe ser equivalente a la suministrada dentro del ámbito de la Agencia para un propósito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma.

Se respetarán permanentemente las instrucciones del fabricante respecto del cuidado del equipamiento.

e. Reutilización o Retiro Seguro de Equipos

Los medios de almacenamiento conteniendo material sensible, por ejemplo, discos rígidos no removibles, serán físicamente destruidos o sobrescritos en forma segura en lugar de utilizar las funciones de borrado estándar, según corresponda.

Los dispositivos que contengan información confidencial deben requerir una evaluación de riesgo para determinar si los ítems debieran ser físicamente destruidos en lugar de enviarlos a reparar, sobrescribir o descartar.

f. Retiro de Materiales Propiedad de la Agencia

El equipamiento, la información y el software no deben retirarse de la Agencia sin autorización formal. Periódicamente, se deberá llevar a cabo comprobaciones puntuales para detectar el retiro no autorizado de activos de la Agencia.

g. Política de Escritorios y Pantallas Limpias

Se adopta una política de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles, y una política de pantallas limpias en las instalaciones de procesamiento de información, a fin de reducir los riesgos de acceso no autorizado, pérdida y daño de la información, tanto durante el horario normal de trabajo como fuera del mismo, estableciendo los siguientes lineamientos:

a. Almacenar bajo llave los documentos en papel y los medios informáticos que contengan información clasificada, en gabinetes y/u otro tipo de mobiliario seguro cuando no están siendo utilizados, especialmente fuera del horario de trabajo.


.E.Gestión de Accesos

.E.1 Aspectos Generales

El Área Responsable de Seguridad de la Información implementará los procedimientos formales para controlar la asignación de permisos de acceso a los sistemas, bases de datos y servicios de información. Dichos procedimientos deberán estar documentados y comunicados a las áreas usuarias y debidamente controlados en cuanto a su cumplimiento.

a. Objetivo

Impedir el acceso a todo aquel personal que no se encuentre debidamente autorizado para utilizar los sistemas, bases de datos y servicios de información.

b. Alcance

Las disposiciones establecidas en este documento se aplican a todas las formas de acceso que hayan sido autorizadas al personal para utilizar los sistemas, bases de datos y servicios de información de la Agencia.

Idéntico temperamento se adopta para el personal técnico que define, instala, administra y mantiene permisos de accesos, haciendo extensivo este concepto de conexiones de red, y a todos aquellos que administran la seguridad.

c. Responsabilidades

El Área Responsable de la Seguridad de la Información será responsable de:


El Área Responsable de la Seguridad Informática deberá:


Los y las Propietarios/as de la Información estarán encargados de:


Los y las Directores/as de cada Área, o Coordinadores/as dependientes directamente del/la Titular de la Agencia, serán los responsables de:


.E.2 Administración de Accesos

a. Objetivo

Implementar procedimientos formales para controlar la asignación de permisos de acceso a los sistemas, bases de datos y servicios de información, con el objetivo de impedir el acceso no autorizado a la información.

Definir procedimientos que abarquen todas las etapas en el ciclo de vida del acceso del usuario, desde el registro inicial de usuarios nuevos hasta la baja final de los usuarios que ya no requieren acceso a los sistemas y servicios de información.

b. Política de Control de Accesos

Todos los activos de información de la Agencia deben ser protegidos mediante controles de acceso, contemplando los siguientes aspectos:


c. Registro y Gestión de Usuarios y Usuarias

El Área Responsable de Seguridad de la Información definirá los procedimientos que considere necesarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de información multiusuario/a.

Dichos procedimientos que deberán comprender:

d. Definición de Reglas de Acceso

Los y las Propietarios/as de la Información serán los encargados/as de definir las reglas de acceso a la información y sistemas y/o módulos bajo su custodia, solicitando su implementación al Área Responsable de la Seguridad Informática.

Las reglas de acceso deberán especificar:

e. Gestión de Permisos de Acceso

El Área Responsable de Seguridad de Informática será la responsable de Gestión de Permisos de Acceso, por sí misma o a través de la implementación sistemas informáticos que permitan la automatización de ese proceso. En todos los casos se deberán tener en cuenta los siguientes criterios:

f. Gestión de Contraseñas de Usuario/a

La Gestión de Contraseñas de Usuario/a deberá considerar los siguientes criterios:


g. Revisión de Permisos de Acceso

A fin de mantener un control eficaz del acceso a los datos y servicios de información, los y las Propietarios/as de la Información deberán, periódicamente, revalidar los permisos de acceso de los usuarios de la información bajo su custodia.

.E.3 Responsabilidades de los Usuarios y Usuarias

a. Objetivo

Disponer los mecanismos para evitar los accesos de usuarios y usuarias no autorizados/as, minimizando los riesgos de robo, adulteración y/o destrucción de información, así como evitar poner en peligro los medios de procesamiento de la información.

Dar a conocer a los usuarios y usuarias sus responsabilidades para mantener controles de acceso efectivos, particularmente con relación al uso de claves secretas y la seguridad del equipo del usuario.

Implementar una política de escritorio y pantalla limpios para reducir el riesgo de acceso no autorizado o daño a los papeles y medios de procesamiento de la información.

b. Política de Uso de Contraseñas

Los usuarios deberán seguir buenas prácticas de seguridad en la selección y uso de contraseñas, reconociendo que constituyen un medio autenticación de su identidad y consecuentemente un medio para establecer permisos de acceso a las instalaciones o servicios de procesamiento de información.

Para ello, deben cumplir las siguientes directivas:


Información, para que ésta pueda analizar la situación y ejecutar las acciones que correspondieren, incluyendo el blanqueo de la contraseña comprometida.


c. Equipos Desatendidos en Áreas de Usuarios/as

Los equipos instalados en áreas de usuarios y usuarias, tales como los equipos de computación personal, deberán contar con una protección específica contra accesos no autorizados cuando se encuentran desatendidos por el usuario/a (por ejemplo cuando un usuario/a deja su puesto laboral y se dirige a otro puesto a trabajar con un compañero/a dejando su equipamiento informático desatendido).

El Área Responsable de Seguridad de la Información coordinará las tareas de concientización a todos los usuarios/as y contratistas acerca de los requerimientos y procedimientos de seguridad para la protección de equipos desatendidos, así como de sus funciones en relación a la implementación de dicha protección.

Los usuarios cumplirán con las siguientes pautas:


.E.4 Control de Acceso a la Red

a. Objetivo

Evitar el acceso no autorizado a los servicios de la red. Controlar el acceso a los servicios de redes internas y externas, evitando comprometer su seguridad.

Asegurar que el acceso de los usuarios y usuarias a las redes y servicios no comprometa la seguridad de los servicios de la red controlando:


b. Política de Utilización de los Servicios de Red

El Área Responsable de la Seguridad Informática tendrá a cargo la administración de accesos a los servicios y recursos de red, segmentando el acceso de acuerdo a la criticidad de la información y los sistemas, así como a las posibilidades técnicas y operativas.

c. Acceso a Internet

El Área Responsable de la Seguridad de la Información definirá pautas de utilización de Internet para todos los usuarios y usuarias.

El Área Responsable de la Seguridad Informática, evaluará la conveniencia de recolectar y mantener un registro de los accesos de los usuarios a internet, con el objeto de realizar revisiones de los accesos efectuados o analizar casos particulares. Dicho control deberá ser comunicado adecuadamente a los usuarios y usuarias.

Asimismo, tendrá la potestad de implementar controles técnicos que considere necesarios para restringir el acceso a sitios considerados peligrosos.

d. Redes Compartidas y Conexión con Otras Redes

En las redes compartidas, por fuera de los límites de la Agencia, el Área Responsable de la Seguridad Informática implementará los controles necesarios para:


e. Seguridad de los Servicios de Red

El Área Responsable por la Seguridad Informática será responsable de implementar las medidas necesarias para proteger los servicios de red de la Agencia, tanto públicos como privados, teniendo en cuenta las siguientes directivas:


.E.5 Control y Monitoreo de Acceso a las Aplicaciones

a. Objetivo

Evitar el acceso no autorizado a la información mantenida en las aplicaciones.

Utilizar medios de seguridad para restringir el acceso a y dentro de los sistemas de aplicación.

Asegurar que se registren y se evalúen todos los eventos significativos para la seguridad de accesos.

Verificar la existencia de herramientas para monitorear el uso de las instalaciones de procesamiento de la información.

b. Accesos Lógicos a las Aplicaciones y Sistemas

El acceso lógico al software de aplicación y la información estará limitado a los usuarios autorizados. Los sistemas de aplicación deberán controlar el acceso del usuario a la información y las funciones del sistema de aplicación, impidiendo accesos no autorizados.

c. Registro de Eventos

Los registros de auditoría deberán:


El registro, almacenamiento y tiempo de guarda de los eventos deberá ser definido teniendo en cuenta la criticidad de los eventos recolectados y su potencial utilidad posterior en caso de necesidad, así como las capacidades tecnológicas disponibles.

d. Informe de Eventos de Seguridad

El Área responsable de Seguridad de la Información implementará un procedimiento para informar eventos significativos para la Seguridad de la Información, incluyendo incidentes de seguridad y ataques dirigidos contra los sistemas de la Agencia.

Asimismo, los y las Propietarios/as de la Información podrán solicitar la revisión de los registros de auditoría, en caso de contar con indicios de vulneraciones a la seguridad. Ante tal evento, se debe respetar la separación de responsabilidades entre quienes realizan la revisión y aquellos cuyas actividades están siendo monitoreadas.

Las herramientas de registro deben contar con los controles de acceso necesarios, a fin de garantizar la detección de las siguientes situaciones:



.E.6 Dispositivos Móviles y Conexiones Remotas

a. Objetivo

Asegurar la seguridad de la información cuando se utilizan dispositivos móviles o en situación de conexiones remotas con activos de procesamiento de información pertenecientes a la Agencia.

b. Utilización de Dispositivos Móviles

En el caso de utilizar dispositivos informáticos móviles se debe tener especial cuidado en garantizar que no se comprometa la información ni la infraestructura de la Agencia.

Las presentes disposiciones son aplicables para todo dispositivo con capacidad para el procesamiento y/o almacenamiento de información clasificada de la Agencia, incluyendo: notebooks, tabletas, teléfonos celulares, discos extraíbles, tarjetas de memoria, pendrives, entre otros.

El Área Responsable de la Seguridad de la Información definirá las políticas necesarias para minimizar los riesgos de seguridad de la información derivados del uso de dichos dispositivos, contemplando los siguientes aspectos:


Asimismo, se desarrollarán normas, procedimientos, así como acciones de capacitación y concientización sobre los cuidados especiales a observar ante la posesión de dispositivos móviles.

c. Conexión Remota

De ser necesario el desarrollo de tareas de manera remota desde un lugar externo a la Agencia, el Área Responsable por la Seguridad de la Información establecerá normas y procedimientos para esta conexión remota que consideren los siguientes aspectos:


.F.Gestión de Incidentes de Seguridad

.F.1 Aspectos Generales

Se define como Incidente de Seguridad a aquellos eventos adversos en un entorno informático que pueden comprometer la confidencialidad, integridad y/o disponibilidad de la información. Un incidente puede afectar a activos físicos (ej.: impresoras, servidores de archivos), lógicos (ej.: bases de datos) y servicios (ej.: correo electrónico, página web).

Una adecuada gestión de los Incidentes de Seguridad requiere de herramientas y procedimientos para la detección, tratamiento y comunicación de los incidentes; control de daños; gestión de la contingencia; recuperación de los activos afectados; restablecimiento de la operatoria normal; y gestión de los aprendizajes para la prevención de amenazas futuras.

a. Objetivo

Asegurar que los eventos de seguridad de la información y las debilidades asociados a los sistemas de información sean comunicados de forma tal que se apliquen las acciones correctivas en el tiempo oportuno.

b. Alcance

Se aplica a todo incidente que pueda afectar la seguridad de la información de la Agencia

c. Responsabilidades

El Área Responsable por la Seguridad de la Información será responsable del seguimiento, documentación y análisis de los incidentes de seguridad reportados, así como su comunicación a los y las Propietarios/as de la información y, en el caso de ser un incidente de relevancia, al Comité de Control de Seguridad de la Información y a la máxima autoridad.

El Comité de Control de Seguridad de la Información será responsable de promover y revisar modificaciones para la mejora continua de esta gestión de incidentes

El Área Responsable Legal asesorará en cuestiones legales para el tratamiento de incidentes de seguridad que requieran de su intervención.

Todo aquel o aquella que utilice activos de información de la Agencia, será responsable de reportar debilidades e incidentes de seguridad que oportunamente detecte.

.F.2 Informe de los Eventos y Vulnerabilidades de Seguridad

a. Objetivo

Asegurar que los eventos y debilidades de la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita una acción correctiva oportuna.

b. Reporte de las Debilidades de Seguridad

Los usuarios y usuarias de servicios de información, al momento de tomar conocimiento, directo o indirecto, acerca de una debilidad de seguridad, son responsables de registrar y comunicar formalmente las mismas e informar al Área Responsable de la Seguridad de la Información.

Se prohíbe expresamente a los usuarios y usuarias la realización de pruebas para detectar y/o utilizar una supuesta debilidad o falla de seguridad.

c. Comunicación de Anomalías del Software

Los y las usuarios/as de servicios de información que detecten anomalías en el comportamiento de los servicios que utilizan deberán:


Se prohíbe a usuarios y usuarias quitar o modificar el software que presuntamente presente una anomalía, a menos que estén autorizados formalmente para hacerlo. La recuperación será realizada por personal habilitado.

.F.3 Gestión de los Incidentes y Mejoras de Seguridad

a. Objetivo

Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información.

Establecer las responsabilidades y procedimientos para manejar de manera efectiva los eventos y debilidades en la seguridad de la información una vez que han sido reportados.

Aplicar un proceso de mejora continua para la respuesta, monitoreo, evaluación y gestión general de los incidentes en la seguridad de la información.

b. Responsabilidades y Procedimientos

El Área Responsable de Seguridad de la Información definirá los criterios y coordinará las actividades necesarias para la Gestión de Incidentes de Seguridad, de acuerdo a las siguientes premisas:


c. Aprendizaje a Partir de los Incidentes de Seguridad

El Área Responsable de Seguridad de la Información deberá coordinar las actividades que permitan documentar, cuantificar y monitorear los tipos y volúmenes de los incidentes y anomalías.

Esta información se utilizará para identificar aquellos que sean recurrentes o de alto impacto, así como a efectos de establecer la necesidad de mejorar o agregar controles para limitar la frecuencia y daño de casos futuros.

Cambios relevantes en la gestión de incidentes deben ser comunicados al C.C.S.I y revisados por dicho Comité.

.G. Adquisición, Desarrollo y Mantenimiento de Sistemas

.G.1 Aspectos Generales

a. Objetivo

Establecer la inclusión de controles de seguridad en la adquisición, implementación y desarrollo de los sistemas de información.

Definir lineamientos de seguridad a aplicar durante el ciclo de vida de los sistemas de información y en la infraestructura de base en la cual se apoyan.

b. Alcance

Esta política se aplica a los sistemas de información, ya sean desarrollados internamente o por parte de terceros, y a la totalidad de los procesos relacionados con el procesamiento de datos en el ámbito del Organismo.

c. Responsabilidades

El Área Responsable por el Desarrollo de Software deberá:


El Área Responsable de Seguridad Informática debe:


.G.2 Requerimientos de Seguridad de los Sistemas

a. Objetivos

Garantizar la seguridad de los sistemas de información.

Identificar los requerimientos de seguridad de forma previa del desarrollo y/o implementación de los sistemas de información.

b. Análisis y Especificación de los Requerimientos de Seguridad

Las áreas requirentes de sistemas de información deberán dar intervención al Área Responsable de Seguridad de la Información, en todo proyecto de desarrollo, adquisición o implementación de sistemas de información en el ámbito del Organismo, desde el inicio del proyecto y a lo largo de todo su ciclo de vida.

El Área responsable de la Seguridad de la Información deberá evaluar los requerimientos de seguridad y los controles requeridos, teniendo en cuenta que éstos deben ser proporcionales en costo y esfuerzo al valor del bien que se quiere proteger y al daño potencial que pudiera ocasionar a las actividades realizadas.

.G.3 Seguridad en los Sistemas de Aplicación

a. Objetivos

Establecer controles y registros de auditoría, verificando:


b. Validación de Datos de Entrada

El Área Responsable de Desarrollo de Software definirá controles que aseguren la validez de los datos ingresados, considerando formatos, secuencias, rangos de valores posibles, conjuntos de valores determinados, formatos de archivos recibidos, entre otros, con el objetivo de evitar la posibilidad de ataques por estos medios, ajustándose a los estándares de la materia.

c. Controles de Procesamiento Interno

El Área Responsable de Seguridad de la Información definirá las validaciones a implementar a fin de minimizar los riesgos de pérdida de información por fallas de procesamiento y/o errores. Se establecerán controles y verificaciones para prevenir la ejecución de programas fuera de secuencia o cuando falle el procesamiento previo y se deberá alertar ante potenciales anomalías de forma temprana.

d. Autenticación de Mensajes

Cuando una aplicación envíe mensajes que contengan información clasificada, se implementarán los controles criptográficos determinados en el punto "Controles Criptográficos".

e. Validación de Datos de Salida

El Área Responsable de Seguridad de la Información definirá los controles a realizar para validar la corrección y completitud de las salidas de datos desde las aplicaciones.

.G.4 Controles Criptográficos

a. Objetivo

Establecer lineamientos para la utilización de técnicas criptográficas para la protección de la confidencialidad e integridad de la información.

b. Política de Utilización de Técnicas Criptográficas

El Área Responsable de Seguridad de la Información determinará los lineamientos para la utilización de controles criptográficos, incluyendo:


c. Firma Digital

Las firmas y certificados digitales se rigen por la legislación nacional vigente (Ley de Firma Digital N° 25.506), que determina las condiciones bajo las cuales una firma digital es legalmente válida.

Por ello se deberá respetar y aplicar los recaudos establecidos por la normativa citada para proteger la confidencialidad de las claves privadas. Asimismo, es importante proteger la integridad de la clave pública mediante el uso de un certificado de clave pública. Dichas claves deben ser resguardadas bajo el control exclusivo de su titular.

Por último, se deberán elaborar los procedimientos correspondientes para la adquisición de la firma digital para el personal de la Agencia que así lo requiera en función de sus tareas.

.G.5 Seguridad de los Archivos del Sistema

a. Objetivo

Garantizar que las actividades de soporte a los sistemas se lleven a cabo de manera segura, controlando el acceso a los archivos en los ambientes productivos.

b. Software Operativo

Para minimizar el riesgo de alteración de los sistemas se debe realizar los siguientes controles durante la implementación del software en producción:


c. Protección de los Datos de Prueba del Sistema

Los datos del ambiente operativo deberán ser resguardados, restringiendo su uso para las pruebas de los sistemas.

Cuando se utilicen datos productivos para las pruebas, en función de la criticidad de los mismos, se deberán evaluar las siguientes medidas:


d. Acceso a Datos Operativos

El acceso, modificación, actualización o eliminación de los datos operativos deberá realizarse a través de los sistemas que procesan dichos datos y de acuerdo al esquema de control de accesos implementado en los mismos.

En los casos en los que no fuera posible la aplicación de la precedente política, deberán contemplar las siguientes premisas:


.G.6 Seguridad de los Procesos de Desarrollo y Soporte

a. Objetivo

Controlar los entornos y el soporte dados a los procesos.

b. Procedimiento de Control de Cambios

El Área Responsable de la Infraestructura Informática implementará controles estrictos

durante la implementación de cambios, imponiendo el cumplimiento de procedimientos

formales que garantizarán que se cumplan los procedimientos de seguridad y control.

El procedimiento deberá incluir las siguientes consideraciones:


c. Cambios al SofWvare de Base

Toda vez que sea necesario realizar un cambio en el Sistema Operativo u otro software de base, los sistemas deben ser revisados para asegurar que no se produzca un impacto en su funcionamiento o seguridad.

El Área responsable de la Infraestructura Informática deberá coordinar las actividades necesarias para garantizar que los cambios no tengan impacto en la operatoria, informando o solicitando intervención de las áreas involucradas, según corresponda.

d. Cambio de Paquetes de Software de Terceros

Cuando se modifiquen paquetes de software suministrados por terceros, el Área responsable por la Infraestructura Informática deberá:


e. Canales Ocultos y Código Malicioso

Un canal oculto puede exponer información utilizando algunos medios indirectos y desconocidos. El código malicioso está diseñado para afectar a un sistema en forma no autorizada.

Todo producto software utilizado en la Agencia deberá ser evaluado y autorizado por el Área Responsable por la Seguridad Informática, que deberá:

f. Desarrollo Externo de Software

Para el caso que se considere la tercerización del desarrollo de software, las Áreas responsables del Desarrollo de Software, Infraestructura Informática y Seguridad Informática, establecerán:

a. Acuerdos de licencias, propiedad de código y derechos conferidos (Ver Derechos de Propiedad Intelectual).

b. Requerimientos contractuales con respecto a la calidad y seguridad del código y la existencia de garantías.

c. Procedimientos de certificación de la calidad y precisión del trabajo llevado a cabo por el proveedor que incluyan auditorías, revisión de código para detectar código malicioso, verificación del cumplimiento de los requerimientos de seguridad del software establecidos, etc.

d. Verificación del cumplimiento de las condiciones de seguridad.

.G.7 Gestión de Vulnerabilidades Técnicas

a. Objetivo

Definir criterios para obtener y administrar información sobre la presencia de vulnerabilidades de seguridad en los productos de software utilizados en la Agencia, con el objetivo de organizar las acciones necesarias para minimizar los riesgos asociados a dichas vulnerabilidades.

b. Vulnerabilidades Técnicas

El proceso de gestión de las vulnerabilidades técnicas debe comprender:


.H.Gestión de las Operaciones

.H.1 Aspectos Generales

La Gestión de Comunicaciones y Operaciones es un conjunto de acciones y procedimientos que aseguran la operación correcta y fiable de los recursos de comunicación y tratamiento de información evitando pérdidas o modificaciones en la misma.

a. Objetivo

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de información y comunicaciones. Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.

b. Alcance

Se aplica a todas las áreas o instalaciones de procesamiento y transmisión de información de la Agencia.

c. Responsabilidades

El Área Responsable de Seguridad de la Información deberá


El Area Responsable de Seguridad Informática deberá definir y documentar los controles para la detección y prevención del acceso no autorizado y la protección contra el software malicioso para garantizar la seguridad de los datos y servicios conectados en las redes que posee la Agencia.

Las áreas responsables por el desarrollo, adquisición y administración de sistemas informáticos deberán establecer criterios de aprobación para nuevos sistemas de información, actualizaciones y nuevas versiones, contemplando la realización de las pruebas necesarias antes de su aprobación definitiva. Verificar que dichos procedimientos de aprobación de software incluyan aspectos de seguridad para todas las aplicaciones.

El Área Responsable de Infraestructura Informática deberá:


.H.2 Procedimientos y Responsabilidades Operativas

a. Objetivo

Establecer las responsabilidades y procedimientos para la gestión y operación de todos los medios de procesamiento de la información.

b. Documentación de los Procedimientos Operativos

Los procedimientos para la operación de los sistemas informáticos serán documentados y

actualizados por el Área Responsable de Infraestructura Informática.

Se deberá contar con:


c. Separación entre Instalaciones de Desarrollo e Instalaciones Operativas

Los ambientes de desarrollo, prueba y operaciones, siempre que sea posible, deberán estar separados, y se deberán definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado productivo.

Para ello, el Área Responsable de Infraestructura Informática, deberá:


.H.3 Planificación y Aprobación de Sistemas

a. Objetivo

Planificar la disponibilidad de la capacidad y los recursos adecuados para entregar el desempeño del sistema requerido.

Proyectar los requerimientos de la capacidad futura para reducir el riesgo de sobrecarga en el sistema.

Establecer, documentar y probar los requerimientos operacionales de los sistemas nuevos antes de su aceptación y uso.

b. Planificación de la Capacidad

El Área Responsable de la Infraestructura Informática, deberá monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas. El objetivo de este monitoreo es garantizar el procesamiento y almacenamiento adecuado.

Para ello, los y las propietarios/as de la Información deberán informar con la debida antelación los nuevos requerimientos de los sistemas, de acuerdo a la planificación que el Área defina, teniendo en cuenta las tendencias actuales y proyectadas en el procesamiento de la información de la Agencia para el período estipulado de vida útil de cada componente.

c. Aprobación del Sistema

El Área Responsable de Infraestructura Informática establecerá criterios de aprobación para la implementación de los nuevos sistemas de información, haciendo extensivo este concepto a las actualizaciones o nuevas versiones. Para ello se deberá realizar pruebas o test necesarios que harán viables o no su aprobación definitiva, para lo cual se considerarán los siguientes criterios:


.H.4 Protección Contra Código Malicioso

a. Objetivo

Proteger la integridad del software y la integración contra la introducción de códigos maliciosos.

Dar a conocer los peligros del código malicioso, tales como virus, troyanos, bombas lógicas, etc.

b. Código Malicioso

El Área Responsable de Seguridad de la Información implementará procedimientos de concientización para el personal en materia de seguridad, controles de acceso al sistema y administración de cambios.

Asimismo, deberá impartir los instructivos para que el personal idóneo de las áreas usuarias de TI implemente todos y cada uno de los controles sobre detección y prevención de software malicioso.

Se establecerán mediante instructivos formales que contemplen las siguientes acciones:


.H.5 Copias de Respaldo

a. Objetivo

Mantener la integridad y disponibilidad de la información y de los medios de procesamiento de información.

Establecer los procedimientos de rutina para implementar la política de respaldo acordada y la estrategia para tomar copias de respaldo de los datos y practicar su restauración oportuna.

b. Resguardo de la Información

El Área Responsable de Seguridad Informática determinará los requerimientos para resguardar cada porción de información en función de la clasificación realizada por los y las propietarios/as de la información, definiendo y documentando un esquema de resguardo adecuado a dicha clasificación.

Asimismo, el Área Responsable de la Seguridad de la Información fiscalizará la realización de dichas copias, así como la prueba periódica de su restauración e integridad.

Para la definición de procedimientos de resguardo de la información, se considerarán los siguientes lineamientos:


c. Registro de Actividades del Personal Operativo

El Área Responsable de la Infraestructura Informática deberá asegurar el registro de las actividades realizadas en los sistemas, incluyendo cuando corresponda lo siguiente:


.H.6 Gestión de las Redes Informáticas

a. Objetivo

Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.

Brindar una gestión y administración segura de las redes de datos que posee la Agencia.

Establecer controles adicionales para proteger la información confidencial cuando se utilice la red pública.

b. Redes

El Área Responsable de la Seguridad Informática definirá controles para garantizar la seguridad de los datos y los servicios conectados a la red de la Agencia contra el acceso no autorizado, considerando la ejecución de las siguientes acciones:

a. Establecer los procedimientos para la administración del equipamiento remoto, incluyendo los equipos en las áreas usuarias.

b. Establecer controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados. Implementar controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas.

c. Supervisar para asegurar que los controles se aplican uniformemente en toda la infraestructura de procesamiento de información.

.H.7 Administración y Seguridad de los Medios de Almacenamiento

a. Objetivo

Establecer los procedimientos de operación apropiados para proteger los documentos, medios de cómputo (por ejemplo, cintas y discos), entrada/salida de datos (input/output) y documentación del sistema de una divulgación no autorizada, modificación, eliminación y destrucción.

b. Procedimientos para el Manejo de la Información

El Área Responsable de la Seguridad de la Información definirá procedimientos para la manipulación y almacenamiento de la información de acuerdo a la clasificación establecida.

Dichos procedimientos deberán contemplar la protección de: documentos, sistemas informáticos, redes, computación móvil, comunicaciones móviles, correo, correo de voz, comunicaciones de voz en general, multimedia, servicios e instalaciones postales y cualquier otro ítem potencialmente sensible.

Los procedimientos contemplarán las siguientes acciones, de acuerdo a la criticidad de la información y a la utilización de cada tipo de dispositivo:


.H.8 Seguridad del Correo Electrónico

a. Objetivo

Garantizar la seguridad de los servicios de correo electrónico y su uso seguro.

b. Riesgos de Seguridad

El Área Responsable de Seguridad Informática implementarán los controles para reducir los posibles riesgos de incidentes de seguridad en los servicios enunciados:


c. Política de Correo Electrónico

El Área Responsable de Seguridad de la Información deberá definir y documentar las normas y procedimientos con relación al correo institucional, que deberá contemplar los siguientes aspectos:


Asimismo, deberá informar claramente al personal de la Agencia:


.H.9 Sistemas de Acceso Público

Para la protección de la integridad de la información publicada electrónicamente, se tomarán recaudos a fin de prevenir la modificación no autorizada que podría dañar la reputación de quien emite la publicación.

Es posible que la información de un sistema de acceso público, por ejemplo, la información en un servidor Web accesible por Internet, deba cumplir con ciertas normas en la cual tiene lugar la transacción electrónica.

Se implementará un proceso de autorización formal antes de que la información se publique, estableciéndose en todos los casos los responsables de dicha aprobación.

Todos los sistemas de acceso público deben prever que:


.H.10Seguimiento y Control

a. Objetivo

Detectar las actividades de procesamiento de información no autorizadas.

b. Registro de Auditoría

Todo sistema deberá producir y mantener registros de auditoría en los cuales se registren las actividades, excepciones, y eventos de seguridad de la información de los usuarios de la aplicación, por un período acordado para permitir la detección e investigación de incidentes.

El Área Responsable de Seguridad de la Información deberá evaluar y priorizar, de acuerdo a las posibilidades técnicas, la registración de la siguiente información:


c. Protección de los Registros

El Área Responsable de la Seguridad Informática implementará controles para la protección de los registros de auditoría contra cambios no autorizados y problemas operacionales, incluyendo:


El Área Responsable de la Seguridad de la Información revisará periódicamente el registro de las actividades de los administradores y operadores de sistema incluyendo:


A fin de garantizar la exactitud de los registros de auditoría, al menos los equipos que realicen estos registros, deben tener una correcta configuración de sus relojes.

Para ello, se dispondrá de un procedimiento de ajuste de relojes, el cual indicará también la verificación de los relojes contra una fuente externa del dato y la modalidad de corrección ante cualquier variación significativa

.I. Continuidad de los Servicios Informáticos

.I.1 Aspectos generales

La Gestión de la Continuidad de los Servicios Informáticos se ocupa de impedir la interrupción de los servicios TI y proteger sus procesos críticos frente a desastres o grandes fallas de los sistemas de información, combinando estrategias proactivas, que buscan impedir o minimizar las consecuencias de una grave interrupción del servicio, y reactivas, cuyo propósito es reanudar el servicio tan pronto como sea posible.

La Continuidad de los Servicios Informáticos incluye tanto los mecanismos tecnológicos automáticos que posibilitan que un sistema sea resiliente de forma autónoma a fallos de alguno de sus componentes, como las acciones humanas necesarias toda vez que los mecanismos automáticos no fueran suficientes.

La Política de Continuidad debe preferir los mecanismos automáticos frente a los manuales, siempre que sea posible. Ello así por su mayor velocidad de reacción, que posibilita minimizar o incluso evitar las interrupciones del servicio, pérdida o corrupción de la información, entre otras; menor posibilidad de error humano ante situaciones críticas; y mayor posibilidad de verificación.

a. Objetivos


b. Alcance

Se aplica a todos los procesos y datos de la Agencia considerados como críticos (Ver

clasificación de la información).

c. Responsabilidades

El Área Responsable por la Seguridad de la Información coordinará la definición de los

mecanismos de contingencia, cumpliendo las siguientes funciones:


.I.2 Gestión de Continuidad de los Servicios Informáticos

a. Objetivo

Contraatacar las interrupciones a las actividades y proteger los procesos críticos de los efectos de fallas importantes o desastres en los sistemas de información, y asegurar su reanudación oportuna.

b. Responsabilidades

El Área Responsable por la Seguridad de la Información tendrá a cargo la coordinación las actividades relativas a la continuidad de la operatoria de los sistemas de tratamiento de información de la Agencia, lo cual incluye las siguientes funciones:


c. Implementación

La gestión de la continuidad de las actividades incluye las siguientes actividades:


La definición de los mecanismos y actividades requeridos debe concentrarse en los objetivos de las actividades de la Agencia; por ejemplo, restablecimiento de los servicios a los usuarios en un plazo aceptable. Deben considerarse los servicios y recursos que permitirán que esto ocurra, incluyendo: dotación de personal, recursos que no procesan información, así como acuerdos para reanudación de emergencia en sitios alternativos de procesamiento de la información.

.J. Cumplimiento Normativo

.J.1 Aspectos Generales

Asegurar el cumplimiento de las disposiciones normativas y legales que regulan el acceso, la disponibilidad y la protección de la información almacenada y procesada en el ámbito de cada sector de la Agencia.

a. Objetivo

Establecer la obligatoriedad en el cumplimiento de la normativa aplicable en la materia.

Asegurar que los sistemas de información y las plataformas tecnológicas cumplan efectivamente con las políticas, normas y procedimientos de seguridad.

Revisar periódicamente las políticas de seguridad de la información a efectos de garantizar la adecuada aplicación en lo referido a la protección de sus datos y recursos.

Optimizar la eficacia del proceso de auditoría de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

Asegurar la existencia de controles que protejan los sistemas en producción y las herramientas de auditoría en el transcurso de las auditorías de sistemas.

Determinar los plazos para la guarda de información y la recolección de evidencia.

Determinar los mecanismos de adecuación ante los cambios normativos, teniendo en cuenta las limitaciones de recursos disponibles, y garantizando la continuidad operativa de la Agencia.

b. Alcance

Se aplica a todo usuario de sistemas de información, a los sistemas de información, normas, procedimientos, documentación y plataformas técnicas, y a las auditorías efectuadas sobre los mismos.

c. Responsabilidades

El Área Responsable de la Seguridad de la Información tendrá las siguientes responsabilidades:


.J.2 Cumplimiento de Requisitos Legales

a. Objetivo

Evitar la violación de las normas aplicables y de todo requerimiento relacionado con la seguridad, el uso y la gestión de los recursos y sistemas de información.

El diseño, operación, uso y gestión de los sistemas de información pueden estar sujetos a requerimientos de seguridad normativos y contractuales.

b. Identificación de la Legislación Aplicable

Los y las Propietarios/as de los Sistemas de Información, con asistencia del Área Responsable Legal de la Agencia, deberán identificar los requisitos normativos y contractuales en materia de Seguridad de la Información pertinentes para cada Sistema de Información de su propiedad.

El Área Responsable de la Seguridad Informática, en conjunto con las áreas responsables por la implementación de los sistemas, definirán los controles específicos y responsabilidades para cumplir con dichos requisitos.

c. Derechos de Propiedad Intelectual

Los y las Propietarios/as de los Sistemas de Información, con asistencia del Área Responsable Legal de la Agencia, deberán asegurar que las definiciones de los sistemas cumplan con la normativa vigente en relación a las siguientes normas:


Los y las usuarios/as de información únicamente podrán utilizar material autorizado por los y las Propietarios/as de la Información.

d. Derechos de Propiedad Intelectual del Software

Todas las Áreas involucradas en las definiciones técnicas y soporte de los Sistemas de Información, con la asistencia del Área Legal, deberán analizar los términos y condiciones de las licencias de los productos de software a utilizar en los sistemas de información con el objetivo de garantizar el cumplimiento de los términos y condiciones en cada caso. Adicionalmente las Áreas Responsables por el Soporte e Infraestructura Tecnológica, deberán:


e. Protección de Datos, Privacidad de la Información Personal y Acceso a la Información Pública

Todo el personal debe conocer las restricciones al tratamiento de los datos y de la información respecto de la cual tengan conocimiento con motivo del ejercicio de sus funciones.

Sólo se divulgará, procesará y/o comunicará aquella información que esté autorizada previamente por el o la propietario/a de la información según corresponda.

Por otra parte, y según lo establecido en el punto "Términos y Condiciones de la relación laboral", el Área Responsable por la Seguridad Informática se reserva el derecho de efectuar control y monitoreo sobre las actividades ejercidas en su ámbito, preservando el derecho a la privacidad del personal, según corresponda.

En particular, para el tratamiento de la privacidad de los datos y la posibilidad de acceso a esa información por su carácter de pública, se deben tener presentes las siguientes normas:

Protección de Datos Personales. Ley N° 25.326: Establece responsabilidades para aquellas personas que recopilan, procesan y divulgan información personal, y define criterios para procesar datos personales y/o cederlos a terceros.

Protección de Datos Personales. Resolución AAIP N° 47/2018: Establece nuevas medidas de seguridad recomendadas para la administración, planificación, control y mejora continua de la seguridad de la información, respecto al tratamiento de los datos personales.

Acceso a la Información Pública. Ley N° 27.275: Establece y da un marco normativo acerca de la publicidad de la información en poder del Estado y establece que esta información debe ser accesible por todas las personas, aunque también establece un conjunto de excepciones a este acceso.

Confidencialidad. Ley N° 24.766: Impide la divulgación a terceros, o su utilización sin previo consentimiento y de manera contraria a los usos comerciales honestos, de información secreta y con valor comercial que haya sido objeto de medidas razonables para mantenerla secreta.

Delitos Informáticos. Ley N° 26.388: Modifica el Código Penal, incorporando diversos delitos informáticos, tales como violación de correo electrónico, acceso ilegítimo a sistemas informáticos, daño informático, interrupción de comunicaciones, distribución de virus y pornografía infantil.

Código Penal: Sanciona a aquel que abriere o accediere indebidamente a una comunicación electrónica o indebidamente la suprimiere o desviare (Art. 153), al que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido (Art.153 bis), al que hallándose en posesión de una correspondencia, una comunicación electrónica, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, no destinados a la publicidad, los hiciere publicar indebidamente, si el hecho causare o pudiere causar perjuicios a terceros (Art. 155), al que teniendo noticias de un secreto cuya divulgación pueda causar daño, lo revelare sin justa causa (Art. 156), al funcionario público que revelare hechos, actuaciones o documentos que por la ley deben quedar secretos (Art. 157), al que a sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales, ilegítimamente proporcionare o revelare a otro información registrada en un archivo o en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de la ley e ilegítimamente insertare o hiciere insertar datos en un archivo de datos personales (Art. 157 bis), al que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos (Art. 183), al que revelare secretos políticos o militares concernientes a la seguridad, a los medios de defensa o a las relaciones exteriores de la Nación, o al que por imprudencia o negligencia diere a conocer los secretos mencionados anteriormente, de los que se hallare en posesión en virtud de su empleo u oficio (Art. 222 y 223).

f. Prevención del Uso Inadecuado de los Recursos de Procesamiento

Los recursos de procesamiento de información de la Agencia se suministran con un propósito determinado. Toda utilización de estos recursos con propósitos no autorizados o ajenos al destino por el cual fueron provistos debe ser considerada como uso indebido.

El alcance preciso del uso adecuado se definirá según lo indicado en el punto "Términos y Condiciones de la relación laboral" y "Uso aceptable de los activos de información".

.J.3 Revisiones de la PSI y Compatibilidad Técnica

a. Objetivo

Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional.

Establecer criterios para la gestión de la seguridad de los sistemas de información en su etapa productiva y hasta el final de su ciclo de vida.

b. Cumplimiento de la Política de Seguridad

El Área Responsable por la Seguridad de la Información velará por la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos, dentro de su ámbito de responsabilidad.

Para ello establecerá los controles que estime convenientes incluyendo tanto mecanismos automáticos como acciones manuales, de acuerdo a la criticidad de cada sistema y los recursos disponibles.

Entre las áreas a revisar se incluyen las siguientes:


Los y las Propietarios/as de la información brindarán apoyo a la revisión periódica del cumplimiento de la política, normas, procedimientos y otros requisitos de seguridad aplicables.

c. Verificación de la Compatibilidad Técnica

El Área Responsable por la Seguridad de la Información determinará las medidas y controles necesarios para que los sistemas de información cumplan con la política, normas y procedimientos de seguridad a lo largo de todo su ciclo de vida, incluyendo la revisión de

los sistemas en producción, a fin de garantizar que los controles de hardware y software hayan sido correctamente implementados.

.J.4 Consideraciones de Auditorías de Sistemas

a. Objetivo

Maximizar la efectividad del proceso de auditoría de sistemas de información y minimizar las interferencias que pueda sufrir.

Verificar durante las auditorías de los sistemas de información la existencia de los controles para salvaguardar los sistemas operacionales y herramientas de auditoría.

b. Aspectos Generales

Con relación a las auditorías, serán de aplicación las Normas de Control Interno para Tecnologías de Información, aprobadas por la resolución SIGEN N° 87/2022 (ex Resolución 48/05), como así todo Instructivo de Trabajo que SIGEN habilite.

c. Controles de Auditoría de Sistemas

Para las actividades de auditoría que involucren verificaciones de los sistemas en producción se seguirán los lineamientos establecidos en la resolución SIGEN N° 87/2022.

Se tomarán recaudos en la planificación de los requerimientos y tareas y se acordará con las áreas involucradas a efectos de minimizar el riesgo de interrupciones en las operaciones, contemplando los criterios subsiguientes:


.J.5 Plan de Adecuación

a. Objetivo

Establecer los criterios mínimos para la definición de planes de adecuación para la implementación de la P.S.I, así como cualquier otro cambio normativo que pudiera afectar a la Seguridad de la Información de la Agencia.

Garantizar la planificación adecuada de los recursos necesarios para la ejecución de las tareas de adecuación.

b. Responsabilidades

El Área Responsable por la Seguridad de la Información coordinará la definición del Plan de Adecuación de la Agencia.

Todas las Áreas con responsabilidades definidas por esta P.S.I deberán comprometer las acciones necesarias para el cumplimiento normativo, de acuerdo a un cronograma conjunto acorde a los recursos disponibles y a la priorización en etapas que defina el Área Responsable por la Seguridad Informática.

c. Ámbito de Aplicación

Esta Cláusula será aplicable ante un cambio normativo que impacte sobre los Activos de Información preexistentes a la norma.

Todo Activo de Información generado con posterioridad a la entrada en vigencia de la norma deberá dar cumplimiento a la misma o gestionarse por vía de Excepción.

d. Definición del Plan de Adecuación

Previo a todo cambio normativo que impacte en la Seguridad de la Información de la Agencia, se deberán definir las acciones necesarias para adecuar el funcionamiento de la Agencia a la nueva normativa, incluyendo:


Los cronogramas correspondientes a los Planes de Adecuación deberán ser acordados entre el Área Responsable por la Seguridad de la Información y las Áreas intervinientes en cada caso, siguiendo las prioridades definidas por el Área Responsable por la Seguridad de la Información.

e. Asignación de Recursos

Todas las áreas intervinientes deberán planificar la asignación de los recursos necesarios para la ejecución de los Planes de Adecuación acordados.

f. Desvíos

Cualquier desvío en la implementación de los Planes de Adecuación deberá ser informado formalmente al Área Responsable por la Seguridad de la Información.

.J.6 Política de Gestión de Excepciones

a. Objetivo

Identificar las acciones necesarias para registrar, evaluar y aprobar o rechazar las excepciones al cumplimiento de la P.S.I.

Documentar los requerimientos, sistemas, configuraciones o procedimientos imposibilitados de cumplir, de forma temporal o permanente, con el Marco Normativo de Seguridad de la Información.

Proveer un proceso que contemple el análisis y seguimiento de los planes de mitigación, acompañando las mejoras requeridas para el cumplimiento de la normativa de Seguridad de la Información.

b. Consideraciones Generales

Las políticas y estándares de Seguridad de la Información establecidos en la Agencia son la base fundamental para la protección de los Activos de Información.

Cualquier imposibilidad en el cumplimiento de la presente P.S.I. se deberá tramitar mediante el Procedimiento de Gestión de Excepciones.

Todas las Excepciones a la Política de Seguridad de la Información deberán ser formalmente documentadas, registradas y revisadas.

c. Alcance

Todo incumplimiento al Marco Normativo de Seguridad de la Información y a los lineamientos que deban aplicarse a infraestructura tecnológica, sistemas y/o procedimientos, cuando dichos lineamientos no puedan ser respetados por imposibilidad técnica o la falta de disponibilidad temporal de recursos y la suspensión de los sistemas o actividades en cuestión pudiera afectar operativamente al cumplimiento de las responsabilidades, compromisos y obligaciones de la Agencia o alguna de sus áreas.

d. Responsabilidades

El o la responsable del área interesada deberá elevar el Pedido de Excepción al Área Responsable por la Seguridad de la Información, indicando las razones funcionales y operativas que motivan la solicitud y justifican la Excepción.

Todas las Áreas involucradas deberán:


El Área Responsable por la Seguridad de la Información deberá:


Anexo I: Glosario

Activo (de Información): activo se define de acuerdo a la norma ISO 2700 como '...cualquier cosa que tenga valor para la Organización (ISO/IEC 13335-1:2004)”. Partiendo de este concepto, existen activos intangibles y tangibles, como por ejemplo Bases de Datos y Sistemas de Información, archivos de documentación publicados en los sitios web, información de los sistemas de gestión de los usuarios, correo institucional, informes impresos, etc.

Amenaza: cualquier evento o circunstancia que pueda poner en riesgo la seguridad de la información, como malware, ataques cibernéticos, desastres naturales, etc.

Autenticación: el proceso de verificar la identidad de un usuario o entidad para asegurarse de que tengan acceso autorizado a un sistema o recurso.

Cifrado: el proceso de transformar datos en un formato ilegible (cifrado) para proteger su confidencialidad y que solo pueden ser descifrados por usuarios autorizados que poseen la clave de cifrado adecuada.

Código malicioso: un programa malicioso (del inglés malware), también conocido como programa maligno, programa malintencionado o código maligno, es cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada (al contrario que el «software defectuoso») y sin el conocimiento del usuario (al contrario que el "software" potencialmente no deseado.

Confidencialidad: uno de los tres pilares de la seguridad de la información, se refiere a la protección de datos e información sensible para evitar su divulgación a personas no autorizadas. Garantiza que solo las personas o entidades autorizadas puedan acceder a la información confidencial.

Criptografía: la criptografía es el desarrollo de un conjunto de técnicas de cifrado que permiten alterar y modificar mensajes o archivos con el objetivo de que no puedan ser leídos por todos aquellos usuarios que no estén autorizados a hacerlo. Hoy en día, en pleno auge de las comunicaciones digitales, funciona como la base para cualquier proceso de seguridad informática.

Disponibilidad: se refiere a la capacidad de garantizar que los sistemas, datos e información crítica estén disponibles y accesibles cuando se necesiten. Esto implica prevenir interrupciones no planificadas, como fallas técnicas o ataques cibernéticos, que podrían afectar la disponibilidad de los recursos.

Incidente de Seguridad: un evento inesperado que compromete, puede o pudo comprometer la seguridad de la información, como una violación de datos o un ataque cibernético.

Integridad: se relaciona con la garantía de que los datos o la información no han sido alterados de manera no autorizada o indebida durante su almacenamiento, procesamiento o transmisión. La integridad asegura que la información sea precisa y fiable.

Log: en informática, se usa el término registro, log o historial de log para referirse a la grabación secuencial en un archivo o en una base de datos de todos los acontecimientos (eventos o acciones) que afectan a un proceso particular (aplicación, actividad de una red informática, etc.). De esta forma constituye una evidencia del comportamiento del sistema.

No Repudio: un principio de seguridad que asegura que una entidad no puede negar la validez de una acción previamente realizada, como la firma de un documento electrónico. Esto garantiza que las partes involucradas no puedan negar su participación en una transacción.

Propietarios de la Información: en líneas generales es una parte designada de la entidad, un funcionario, o grupo de trabajo que tiene la responsabilidad de garantizar que la información y los activos asociados con los servicios de procesamiento de información se clasifiquen adecuadamente, y de definir y revisar periódicamente las restricciones y clasificaciones del acceso, teniendo en cuenta las políticas aplicables sobre el control del acceso

Seguridad de la Información: un conjunto de prácticas, políticas y procedimientos diseñados para proteger la confidencialidad, integridad y disponibilidad de la información crítica de una organización. El objetivo es garantizar que los datos estén protegidos contra amenazas y riesgos, como acceso no autorizado, alteración o destrucción.

Vulnerabilidad: una debilidad o fallo en un sistema, proceso o control de seguridad que podría ser explotado por amenazas o atacantes para comprometer la seguridad de la información.