Bs. As., 30/8/99

VISTO la Resolución DE-A Nº 68 de fecha 25 de setiembre de 1995, la Resolución DE-A Nº 625 de fecha 3 de setiembre de 1996 y la Resolución SIGEN Nº 107 de fecha 10 de noviembre de 1998, y

CONSIDERANDO:

Que la primera de las Resoluciones citada en el VISTO designa al responsable de la Administración de la seguridad de acceso a los Sistemas y Aplicaciones de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES).

Que la Resolución DE-A Nº 625/96 establece la necesidad de fijar los principios que aseguren la protección de la información y de los recursos informáticos.

Que los conceptos y alcances vertidos en las Resoluciones citadas en los Considerandos anteriores, necesitan ser reformulados a efectos de darles un mayor alcance y desarrollo.

Que el propósito de redefinir una POLITICA DE SEGURIDAD INFORMATICA radica esencialmente en tutelar los recursos de información de la ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), y de la tecnología utilizada para su procesamiento, contra todo tipo de amenazas internas o externas, dolosas o culposas, teniendo como objetivo asegurar el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información.

Que, ordenado el cumplimiento de los fines enunciados resulta necesario delimitar las tareas y asignar las responsabilidades en el marco de la estructura orgánico - funcional de esta Administración Nacional.

Que con el objeto de establecer las bases normativas internas en materia de seguridad informática resulta necesario crear un COMITE DE SEGURIDAD INFORMATICA.

Que dicho COMITE tendrá por misión coordinar la elaboración de las normas y elevarlas para su aprobación, debiendo a tal fin identificar las necesidades, procedimientos y prácticas de seguridad compatibilizando las mismas con las normas existentes que resultaren de aplicación.

Que la Gerencia de Productos y Servicios deberá administrar de manera centralizada las actualizaciones de normas y procedimientos que se dicten en materia de seguridad informática; debiendo asimismo en su calidad de usuario incorporar en las definiciones de los requerimientos informáticos los controles necesarios y suficientes que garanticen una operatoria con el mínimo de riesgos.

Que la Gerencia de Sistemas y Telecomunicaciones deberá aplicar y verificar el cumplimiento de la POLITICA DE SEGURIDAD INFORMATICA y de todas las normas y procedimientos que de ella deriven, en todas sus gerencias dependientes.

Que la Gerencia de Seguridad Informática dependiente de la Gerencia de Sistemas y Telecomunicaciones deberá asegurar que la utilización de los recursos de la tecnología de información satisfaga los requerimientos de seguridad de acuerdo a la criticidad de la información procesada en ellos, debiendo informar a las gerencias involucradas y al COMITE DE SEGURIDAD INFORMATICA sobre los riesgos a los que estuviera expuesta la información y los recursos de procesamiento. Asimismo, deberá recibir e investigar las denuncias de hechos que puedan afectar los recursos de información de esta Administración Nacional, colaborando con todas las gerencias en la confección y prueba de los planes de continuidad operativa, participando en la elaboración de normas y procedimientos de seguridad, así como en su difusión, notificación y en la concientización de los usuarios.

Que la Gerencia de Sistemas dependiente de la Gerencia de Sistemas y Telecomunicaciones deberá efectuar las tareas de desarrollo y mantenimiento de los sistemas, siguiendo su ciclo de vida y contemplando la inclusión de medidas de seguridad en todas sus fases.

Que la Gerencia de Recursos Humanos deberá notificar a todo el personal que actualmente reviste en ANSES y a aquel que ingresare a esta Administración Nacional de sus obligaciones respecto del cumplimiento de la POLITICA DE SEGURIDAD INFORMATICA.

Que la Gerencia de Control y Prevención del Fraude deberá participar en el análisis de la normativa, incorporando los controles que considere necesarios, realizar investigaciones sobre el incumplimiento de las mismas y toda otra acción orientada a prevenir y detectar irregularidades.

Que la Unidad de Auditoría Interna intervendrá en el COMITE DE SEGURIDAD INFORMATICA a través de la Gerencia de Auditoría de Sistemas, en función de las acciones que le son propias. Asimismo deberá establecer en sus informes de auditoría el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por la POLITICA DE SEGURIDAD INFORMATICA y por las normas y procedimientos que de ella surjan.

Que la presente Resolución se dicta en uso de las facultades conferidas por el artículo 3º del Decreto Nº 2741/91 y el artículo 36 de la Ley Nº 24.241.

Por ello,

EL DIRECTOR EJECUTIVO DE LA ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL

RESUELVE:

ARTICULO 1º — Establécese que el respeto a la letra y espíritu de las normativas internas, prácticas y procedimientos que se aprueben en materia de seguridad informática será norma permanente de la actuación de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), y su cumplimiento responsabilidad primaria de sus mandos medios y superiores, los que garantizarán su aplicación por parte del personal a su cargo.

ARTICULO 2º — La presente POLITICA DE SEGURIDAD INFORMATICA será de aplicación obligatoria para todo el personal de ANSES, cualquiera sea el área a la cual se encuentre afectado y el nivel jerárquico de las tareas que desempeñe, así como para los servicios externos contratados por ANSES.

ARTICULO 3º — Créase en el ámbito de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL con carácter permanente el COMITE DE SEGURIDAD INFORMATICA, el que tendrá por misión coordinar la elaboración de las normas y elevarlas para su aprobación, debiendo a tal fin identificar las necesidades, procedimientos y prácticas de seguridad, compatibilizando las mismas con las normas existentes que resulten de aplicación.

ARTICULO 4º — El COMITE creado en el artículo anterior estará conformado por el Gerente General, el Gerente de Sistemas y Telecomunicaciones, el Gerente de Productos y Servicios, el Gerente de Control y Prevención del Fraude, el Gerente de Seguridad Informática y el Gerente de Auditoría de Sistemas; como así también por los Gerentes de las áreas cuya convocatoria resulte necesaria para el tratamiento y resolución de temas específicos.

ARTICULO 5º — Establécese que el COMITE DE SEGURIDAD INFORMATICA deberá proponer a esta Dirección Ejecutiva las normas que resulten necesarias para su funcionamiento interno, dentro de los TREINTA (30) días corridos, contados a partir de la fecha de la presente.

ARTICULO 6º — El COMITE DE SEGURIDAD INFORMATICA requerirá a las gerencias usuarias la propuesta de clasificación de los recursos informáticos de ANSES según el nivel de protección requerido cualquiera sea el medio en que se encuentren, a efectos de su aprobación, la que deberá ser presentada en un plazo no mayor de NOVENTA (90) días corridos a partir de la fecha de la presente.

ARTICULO 7º — El COMITE DE SEGURIDAD INFORMATICA elevará para su aprobación las medidas de control adecuadas y suficientes sobre todos los recursos que así lo requieran, de acuerdo a su clasificación a fin de asegurar su protección contra accesos o cambios no autorizados, su confidencialidad e integridad de modo que aseguren la privacidad de la información tanto interna como de terceros, es decir de los usuarios y beneficiarios de la Seguridad Social.

ARTICULO 8º — A efectos de generar la propuesta de normas y procedimientos necesarios para la aplicación de esta POLITICA DE SEGURIDAD INFORMATICA, las áreas involucradas en su desarrollo deberán contemplar los siguientes aspectos:

a) Administración de los bienes informáticos: La Gerencia de Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA las normas y procedimientos para mantener una adecuada protección de los bienes informáticos de la organización; entendiéndose por bienes informáticos entre otros, al equipamiento, las licencias de uso de programas, los programas de base, los aplicativos, la documentación de sistemas y los manuales de usuarios.

b) Administración de los recursos humanos: La Gerencia de Recursos Humanos en colaboración con la Gerencia de Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA las normas y procedimientos destinadas a concientizar al personal de ANSES respecto de la POLITICA DE SEGURIDAD INFORMATICA, a establecer un compromiso formal para su cumplimiento y a capacitar a los recursos humanos a fin de hacer posible dicho cumplimiento.

c) Administración de proyectos de desarrollo y mantenimiento de los Sistemas: La Gerencia de Productos y Servicios y la Gerencia de Sistemas y Telecomunicaciones propondrán al COMITE DE SEGURIDAD INFORMATICA las normas y procedimientos sobre la metodología del ciclo de vida de desarrollo de proyectos. Dicha metodología puntualizará la definición de los miembros y responsabilidades de los equipos de proyecto, la separación de funciones, los mecanismos de aprobación de las etapas y las fases del proyecto.

La Gerencia de Productos y Servicios incluirá en todos los requerimientos de desarrollo informático o adquisición, la definición de los grados de confidencialidad a observar en tratamientos y datos a proveer.

La Gerencia de Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos inherentes específicamente al proceso de desarrollo y mantenimiento de los sistemas. Asimismo tendrá participación en todo nuevo emprendimiento o proyecto informático a fin de que pueda aplicar la POLITICA DE SEGURIDAD INFORMATICA.

d) Adquisición de equipamiento y programas de base: La Gerencia de Logística y la Gerencia de Sistemas y Telecomunicaciones propondrán al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para el proceso de adquisición. Las mismas contendrán una definición de los requerimientos conforme a los objetivos de esta Administración Nacional, enfatizando aspectos relativos a segregación de funciones, estudio de factibilidad, selección del proveedor, y seguimiento contractual.

La Gerencia de Logística será responsable de asegurar, en todos los contratos de adquisición de recursos informáticos que se suscriban, la incorporación de cláusulas referidas al estricto cumplimiento, por parte de los proveedores, de la POLITICA DE SEGURIDAD INFORMATICA y de todas las normas y procedimientos que de ella surjan y que sean de aplicación a las tareas específicas de los mismos.

e) Administración de servicios prestados por terceros: La Gerencia de Logística y la Gerencia de Sistemas y Telecomunicaciones propondrán al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para mantener la seguridad de la información de ANSES procesada en instalaciones externas o accedida por terceros y mantener el adecuado seguimiento contractual.

La Gerencia de Logística será responsable de asegurar, en todos los contratos de servicios informáticos ejecutados por terceros que se suscriban, la incorporación de cláusulas referidas al estricto cumplimiento por parte de los proveedores, de la POLITICA DE SEGURIDAD INFORMATICA y de todas las normas y procedimientos que de ella surjan y que sean de aplicación a las tareas específicas de los mismos. Asimismo, deberá incluir en los contratos con terceros, la estipulación que resguarde a ANSES la potestad de practicar auditorías periódicas sobre las actividades de los proveedores.

f) Seguridad física y ambiental: La Gerencia de Sistemas y Telecomunicaciones y la Gerencia de Recursos Humanos y la Gerencia de Seguridad dependiente de la Gerencia de Coordinación Administrativa y Técnica propondrán al COMITE DE SEGURIDAD INFORMATICA las normas y procedimientos para asegurar la información y demás recursos de la tecnología respecto de amenazas, tales como accesos físicos no autorizados, daños o sustracciones, utilización indebida, o cualquier otro riesgo físico o ambiental, dentro o fuera de ANSES. Asimismo, deberán suministrar pautas para definir los mecanismos de uso en comodato, devolución, donación o destrucción de equipamiento obsoleto.

g) Controles de acceso lógico: La Gerencia de Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para controlar el acceso lógico a la información de ANSES teniendo en cuenta una adecuada separación de funciones y el nivel de responsabilidad de quienes accedan.

h) Operaciones y comunicaciones: La Gerencia de Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para asegurar una adecuada y controlada operación de la información procesada, la administración de la biblioteca de resguardo de información, la protección de la información accedida o transmitida por red pública o privada dentro de ANSES y con otros organismos.

i) Plan de Contingencia: La Gerencia de Sistemas y Telecomunicaciones y las Gerencias usuarias propondrán al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para contrarrestar interrupciones de las actividades críticas de ANSES y asegurar su continuidad ante la ocurrencia de un eventual siniestro o desastre.

j) Garantía de Calidad: La Gerencia de Sistemas y Telecomunicaciones y las Gerencias usuarias propondrán al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para efectivizar y garantizar la calidad en el ambiente computadorizado existente en ANSES, cumpliendo con los estándares y normas de aplicación.

k) Cumplimiento de requisitos legales: La Gerencia de Asuntos Jurídicos propondrá al COMITE DE SEGURIDAD INFORMATICA las normas y procedimientos para asegurar el cumplimiento de la normativa vigente que resulte de aplicación en el ámbito informático.

l) Provisión de información y aplicaciones de ANSES a terceros: El COMITE DE SEGURIDAD INFORMATICA definirá las normas y procedimientos a cumplimentar en el suministro de información a terceros y en su acceso al procesamiento de las aplicaciones de ANSES.

ARTICULO 9º — Establécese que una vez aprobadas las propuestas el COMITE DE SEGURIDAD INFORMATICA solicitará a la Gerencia de Productos y Servicios la incorporación al Manual de Procedimientos de las nuevas normas y prácticas de seguridad informática como así también, sus modificaciones.

ARTICULO 10. — Establécese que los usuarios de la información y de los sistemas utilizados para su procesamiento serán responsables de acceder solamente a aquellos datos y recursos para los que cuentan con la autorización respectiva. Asimismo deberán utilizar tales recursos según las funciones que le fueron asignadas y con los fines para los que disponen de autorización, debiendo mantener la confidencialidad y privacidad de la información de ANSES y cumplir los procedimientos y controles implementados para la utilización de los sistemas y demás recursos de la tecnología de la información. Deberán, además, cumplir y hacer cumplir al resto del personal los controles y medidas de seguridad orientadas a la protección física y lógica de los recursos de la ADMINISTRACION NACIONAL DE SEGURIDAD SOCIAL, notificando inmediata y fehacientemente a la Gerencia de Seguridad Informática dependiente de la Gerencia de Sistemas y Telecomunicaciones las violaciones y riesgos que detecten relacionados con la seguridad.

ARTICULO 11. — Establécese que la Unidad citada en el artículo precedente deberá investigar en forma inmediata todas las violaciones en la seguridad de la información o en los sistemas, materializadas o en grado de tentativa, debiendo en forma coetánea dar cuenta a las Gerencias de Asuntos Jurídicos y Control y Prevención del Fraude a fin de garantizar el ejercicio de las acciones que correspondan en materia de denuncias penales o de procedimientos administrativos de aplicación.

ARTICULO 12. — La Unidad de Auditoría Interna, a través de la Gerencia de Auditoría de Sistemas, realizará las acciones que le son propias. Asimismo, deberá establecer en sus informes de auditoría el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas en esta POLITICA DE SEGURIDAD INFORMATICA y por las normas y procedimientos que de ella surjan.

ARTICULO 13. — Establécese a los efectos de implementar la presente POLITICA DE SEGURIDAD INFORMATICA, que las Gerencias nominadas en el artículo 8º de esta Resolución, dispondrán de un plazo de NOVENTA (90) días corridos a partir de la presente para elevar al COMITE DE SEGURIDAD INFORMATICA las propuestas de normas, cumplido lo cual y en el término de CIENTO VEINTE (120) días deberán generar las propuestas de los procedimientos pertinentes.

ARTICULO 14. — Derógase la Resolución DE -A Nº 68 de fecha 25 de setiembre de 1995 y la Resolución DE-A Nº 625 de fecha 3 de setiembre de 1996 por los motivos expuestos en los Considerandos de la presente Resolución.

ARTICULO 15. — Regístrese, comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL, y archívese. — Lic. LEOPOLDO VAN CAUWLAERT, Director Ejecutivo.

e. 7/9 Nº 290.747 v. 7/9/99