JEFATURA
DE GABINETE DE MINISTROS
SECRETARÍA DE INNOVACIÓN, CIENCIA Y
TECNOLOGÍA
Resolución 15/2024
RESOL-2024-15-APN-SICYT#JGM
Ciudad de Buenos Aires, 05/06/2024
VISTO el Expediente N° EX-2024-56764451- -APN-SSTI#JGM, las Leyes de
Ministerios N.° 22.520 (texto ordenado por Decreto N° 438 del 12 de
marzo de 1992) y sus modificatorias, N° 25.326 de Protección de los
Datos Personales y N° 27.078 de Tecnologías de la Información y las
Comunicaciones, el Decreto N° 50 del 20 de diciembre del 2019 y sus
modificatorios, la Decisión Administrativa N° 641 del 25 de junio de
2021, la Disposición N° 1 del 2 de octubre de 2023 de la Oficina
Nacional de Tecnologías de Información, y
CONSIDERANDO:
Que, a través del Decreto N° 50 del 19 de diciembre de 2019 y sus
modificatorios, se aprobó el Organigrama de Aplicación de la
Administración Nacional centralizada hasta nivel de Subsecretaría para
cumplir con las responsabilidades que le son propias, estableciendo,
asimismo, sus objetivos y los ámbitos jurisdiccionales en los que
actuarán los organismos desconcentrados y descentralizados.
Que, mediante el citado decreto, se creó la SECRETARÍA DE INNOVACIÓN,
CIENCIA Y TECNOLOGÍA, la cual tiene entre sus objetivos: “Diseñar,
proponer y coordinar las políticas de innovación administrativa y
tecnológica del Sector Público Nacional en sus distintas áreas y
determinar los lineamientos estratégicos y la propuesta de las normas
reglamentarias en la materia; Intervenir en la definición de
estrategias y estándares sobre tecnologías de la información,
comunicaciones asociadas y otros sistemas electrónicos de tratamiento
de información de la Administración Pública Nacional; Diseñar,
coordinar e implementar la incorporación y mejoramiento de los
procesos, tecnologías, infraestructura informática y sistemas y
tecnologías de gestión del Sector Público Nacional; Entender en la
ciberseguridad y protección de infraestructuras críticas de información
y comunicaciones asociadas del Sector Público Nacional y de los
servicios de información y comunicaciones definidos en el artículo 1°
de la Ley N° 27.078”.
Que, mediante la Decisión Administrativa N° 641 del 25 de junio de
2021, se aprobaron los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA
INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, de
aplicación a las entidades y jurisdicciones del Sector Público Nacional
comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de
Administración Financiera y de los Sistemas de Control del Sector
Público Nacional y sus modificatorias, así como a los proveedores que
contraten con esas entidades y jurisdicciones, encomendando a la ex
SECRETARÍA DE INNOVACIÓN PÚBLICA la revisión y actualización periódica
de los mismos como así también el dictado de las normas complementarias
y aclaratorias de la medida.
Que, al realizar un cotejo con los objetivos asignados a la ex
SECRETARÍA DE INNOVACIÓN PÚBLICA y los que corresponden a la SECRETARÍA
DE INNOVACIÓN, CIENCIA Y TECNOLOGÍA, en cuanto a los términos de la
presente medida, se entiende que esta última es su continuadora.
Que, con el fin de asegurar la confidencialidad, integridad y
disponibilidad resulta necesario avanzar en el proceso de
fortalecimiento de la seguridad de la información que se recibe,
produce y administra en las entidades y jurisdicciones del Sector
Público Nacional comprendidas en el artículo 8° de la Ley N° 24.156 y
sus modificatorias.
Que, en tal sentido, cabe resaltar que la confidencialidad es un
conjunto de reglas que restringe y limita el acceso a la información;
la integridad es la garantía de que la información es confiable y
precisa; y la disponibilidad es una garantía de acceso seguro a la
información por parte de personas autorizadas.
Que, a través de la evaluación de estos tres elementos, es posible
evaluar la política de seguridad de la información de una organización.
Que, con las herramientas digitales, sean estas gratuitas o de pago, no
se puede garantizar que los correos y los datos almacenados sean
completamente seguros, ni tampoco es posible derivar los contenidos
(cuerpo y adjuntos) hacia otra herramienta más avanzada e
independiente, para el análisis y detección de amenazas.
Que, asimismo, la utilización de dichas herramientas puede implicar la
recopilación de información del Estado y de los ciudadanos, lo que
podría vulnerar la privacidad de los datos y exponerlos a riesgos
inherentes, como la interceptación y los ataques cibernéticos.
Que, en tal sentido, la salvaguarda y gestión efectiva de la
información inherente a las redes de cada jurisdicción y entidad del
Sector Público Nacional es una necesidad primordial y urgente, tanto en
el ámbito interno de la organización como en aquel que involucra la
transferencia de datos fuera de sus plataformas, razón que justifica
adoptar una perspectiva sistémica para proteger los activos de
información y minimizar los riesgos de acceso segregando los accesos a
servicios de información, usuarios y sistemas en las redes, de acuerdo
a su criticidad y nivel de riesgo.
Que, en este contexto, y dada la velocidad del avance tecnológico y las
renovadas amenazas que pueden impactar los recursos de información del
Estado, dicha revisión se torna fundamental a los fines de mantener un
nivel adecuado de protección de la información de la Administración
Pública.
Que, en virtud de ello, se dictan los presentes lineamientos, a fin de
ampliar y actualizar la versión de los requisitos mínimos de seguridad
de la información que refleje e incorpore los últimos avances en
materia de ciberseguridad.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA LEGAL
de la SECRETARÍA DE COORDINACIÓN LEGAL Y ADMINISTRATIVA de la JEFATURA
DE GABINETE DE MINISTROS ha tomado la intervención de su competencia.
Que la presente medida se dicta en ejercicio de las atribuciones
conferidas por la Ley de Ministerios N° 22.520 (texto ordenado por
Decreto N° 438 del 12 de marzo de 1992) y sus modificatorias, el
Decreto N° 50 del 19 de diciembre de 2019 y sus modificatorios y la
Decisión Administrativa N° 641 del 25 de junio de 2021.
Por ello,
EL SECRETARIO DE INNOVACIÓN, CIENCIA Y TECNOLOGÍA DE LA JEFATURA DE
GABINETE DE MINISTROS
RESUELVE:
ARTÍCULO 1°.- Apruébanse los “LINEAMIENTOS PARA EL USO DE HERRAMIENTAS
DIGITALES” que como Anexo N° IF-2024-57335981-APN-DNCIB#JGM forma parte
integrante de la presente medida.
ARTÍCULO 2°.- Establécese que los “LINEAMIENTOS PARA EL USO DE
HERRAMIENTAS DIGITALES” aprobadas en la presente medida serán de
aplicación para todas las jurisdicciones y entidades del Sector Público
Nacional comprendidas en el artículo 8° de la Ley N° 24.156 y sus
modificatorias, de conformidad con lo estipulado en la Decisión
Administrativa N° 641 del 25 de junio de 2021.
ARTÍCULO 3°.- Comuníquese, publíquese, dése a la Dirección Nacional del
Registro Oficial y archívese.
Alejandro José Cosentino
NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la
edición web del BORA -www.boletinoficial.gob.ar-
e. 07/06/2024 N° 36051/24 v. 07/06/2024
(Nota
Infoleg:
Los anexos referenciados en la presente norma han sido extraídos de la
edición web de Boletín Oficial)
ANEXO
LINEAMIENTOS PARA EL USO DE
HERRAMIENTAS DIGITALES
1. INTRODUCCIÓN
Los organismos del Sector Público Nacional son algunos de los
principales receptores y productores de información de nuestro país. La
información puede ser hoy en día objeto de una amplia gama de peligros,
amenazas y usos indebidos e ilícitos, debiéndose, por lo tanto,
extremar las medidas tendientes a la preservación de su
confidencialidad, integridad y disponibilidad.
La presente Resolución, tiene por objeto proteger los derechos y
libertades individuales de las personas al tiempo de contribuir a la
efectiva prestación continua e ininterrumpida de los diversos servicios
ofrecidos por las diferentes entidades y jurisdicciones y, al mismo
tiempo, propender a su correcta y mejor gestión interna. En un contexto
de transversalidad, en el uso de las tecnologías para la vida social,
económica, política y cultural de las personas, la seguridad de la
información cumple un rol fundamental.
Consiguientemente, todos los agentes públicos, cualquiera sea el nivel
jerárquico y la modalidad de contratación, tienen la obligación de dar
tratamiento y hacer un uso responsable, seguro y cuidado de los datos
que utilizan en sus labores habituales, adoptando todas las medidas a
su alcance para protegerlos.
Por su parte, los responsables de los activos de la información deben
atender y diligenciar los recursos necesarios para asegurar el
cumplimiento de los objetivos relativos a la ciberseguridad en el
ámbito de su jurisdicción. Los datos gestionados en los organismos
deben ser protegidos tanto dentro como fuera del ámbito institucional,
con independencia del formato y del soporte en el que estén contenidos
y si los mismos están siendo objeto de tratamiento electrónico, se
encuentran almacenados o están siendo transmitidos. Es por ello, que
corresponde a cada organismo determinar sus políticas, normas
específicas, procedimientos y guías que, sobre la base de los
siguientes lineamientos, sean aplicables a los procesos específicos que
desarrollen. Va de suyo, las pautas de tratamiento deben surgir a
partir de un análisis de los riesgos para los procesos que lleven
adelante.
2. PRINCIPIOS
Se entenderán como principio de seguridad de la información, la
preservación de confidencialidad, integridad y disponibilidad de la
información y de los activos de información del Sector Público Nacional
utilizados en su gestión.
3. ALCANCE
Los lineamientos establecidos en el presente Anexo se extienden para
todos los organismos del Sector Público Nacional alcanzados por la
Decisión Administrativa N° 641/2021 y para todos los agentes y
funcionarios que en ellos se desempeñen, quienes, con independencia de
su nivel jerárquico, deberán conocerlas, entenderlas y cumplirlas, en
la medida que les corresponda según su función.
4. LINEAMIENTOS
i. CORREO ELECTRÓNICO, TRABAJO COLABORATIVO EN LÍNEA, MENSAJERÍA
INSTANTÁNEA Y ALMACENAMIENTO.
Se recomienda cursara través de las herramientas propias del Estado y/o
aquellas que hubieran sido contratadas como servicio a terceros de
manera oficial por el área pertinente de cada jurisdicción y
notificadas a todo el personal, toda vez que se involucre información
producida, comunicada, gestionada o almacenada por el Estado:
a. Las comunicaciones a través de
correo electrónico.
b. La creación y/o edición de documentos en forma colaborativa.
c. El intercambio de mensajería instantánea
d. El almacenamiento de datos,
perfiles, configuraciones, archivos que se encuentren adjuntos en los
correos electrónicos, documentos creados colaborativamente y/o
incluidos en servicios de mensajería
ii. CONEXIÓN A RED PARA EQUIPOS INVITADOS.
En los casos en que se requiera conectar equipos personales (notebooks,
tabletas, etc.) en forma directa a la LAN de un edificio público, se
recomienda crear canales seguros tales como VLAN especiales dedicadas a
la conexión de equipos invitados con acceso limitado. En los casos en
los que la infraestructura lo permita, se podrá configurar un portal
cautivo que solicite el registro de los datos personales previo al
acceso a la VLAN de invitados.
iii. CONEXIÓN A RED PARA EQUIPOS AUTORIZADOS
El acceso completo a la VLAN por parte de personal autorizado con
equipo propio, se recomienda concederlo sólo a aquellos equipos que
cumplan con requisitos mínimos de seguridad siendo estos definidos por
cada organismo, considerando la versión vigente de los Estándares
Tecnológicos de la Administración Pública y la DA 641/2021 o
modificatorias y complementarias.
iv. ACCESO REMOTO.
Para el acceso a sistemas internos del organismo en forma remota, se
recomienda implementar una solución VPN (red privada virtual) y la
correspondiente instalación del cliente VPN en el equipo invitado.
v. CONTROL DE USUARIOS Y PRIVILEGIOS.
Las gestiones de altas y bajas de cuentas de usuario y privilegios se
recomienda realizarlas de manera adecuada y oportuna, en coordinación
con todas las áreas involucradas, incluyendo las direcciones de
recursos humanos. Asimismo, se recomienda realizar en todo momento un
seguimiento detallado sobre las cuentas con privilegios especiales, y
revisar periódicamente todos los permisos de acceso a los sistemas y a
la infraestructura de procesamiento. También se recomienda evitar el
uso de cuentas genéricas de usuario tales como “soporte”,
“administrador”, etc. de modo que el responsable de la configuración,
acceso o perfil esté debidamente identificado.