Bs. As., 30/8/99

VISTO la Resolución DE-A Nº 68 de fecha 25 de setiembre de 1995, la Resolución DE-A Nº 625 de fecha 3 de setiembre de 1996 y la Resolución SIGEN Nº 107 de fecha 10 de noviembre de 1998, y

CONSIDERANDO:

Que la primera de las Resoluciones citada en el VISTO designa al responsable de la Administración de la seguridad de acceso a los Sistemas y Aplicaciones de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES).

Que la Resolución DE-A Nº 625/96 establece la necesidad de fijar los principios que aseguren la protección de la información y de los recursos informáticos.

Que los conceptos y alcances vertidos en las Resoluciones citadas en los Considerandos anteriores, necesitan ser reformulados a efectos de darles un mayor alcance y desarrollo.

Que el propósito de redefinir una POLITICA DE SEGURIDAD INFORMATICA radica esencialmente en tutelar los recursos de información de la ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), y de la tecnología utilizada para su procesamiento, contra todo tipo de amenazas internas o externas, dolosas o culposas, teniendo como objetivo asegurar el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información.

Que, ordenado el cumplimiento de los fines enunciados resulta necesario delimitar las tareas y asignar las responsabilidades en el marco de la estructura orgánico - funcional de esta Administración Nacional.

Que con el objeto de establecer las bases normativas internas en materia de seguridad informática resulta necesario crear un COMITE DE SEGURIDAD INFORMATICA.

Que dicho COMITE tendrá por misión coordinar la elaboración de las normas y elevarlas para su aprobación, debiendo a tal fin identificar las necesidades, procedimientos y prácticas de seguridad compatibilizando las mismas con las normas existentes que resultaren de aplicación.

Que la Dirección General de Productos y Servicios deberá administrar de manera centralizada las actualizaciones de normas y procedimientos que se dicten en materia de seguridad informática; debiendo asimismo en su calidad de usuario incorporar en las definiciones de los requerimientos informáticos los controles necesarios y suficientes que garanticen una operatoria con el mínimo de riesgos.

Que la Dirección General de Sistemas y Telecomunicaciones deberá aplicar y verificar el cumplimiento de la POLITICA DE SEGURIDAD INFORMATICA y de todas las normas y procedimientos que de ella deriven, en todas sus Direcciones Generales dependientes.

Que la Dirección General de Seguridad Informática dependiente de la Dirección General de Sistemas y Telecomunicaciones deberá asegurar que la utilización de los recursos de la tecnología de información satisfaga los requerimientos de seguridad de acuerdo a la criticidad de la información procesada en ellos, debiendo informar a las Direcciones Generales involucradas y al COMITE DE SEGURIDAD INFORMATICA sobre los riesgos a los que estuviera expuesta la información y los recursos de procesamiento. Asimismo, deberá recibir e investigar las denuncias de hechos que puedan afectar los recursos de información de esta Administración Nacional, colaborando con todas las Direcciones Generales en la confección y prueba de los planes de continuidad operativa, participando en la elaboración de normas y procedimientos de seguridad, así como en su difusión, notificación y en la concientización de los usuarios.

Que la Dirección General de Sistemas dependiente de la Dirección General de Sistemas y Telecomunicaciones deberá efectuar las tareas de desarrollo y mantenimiento de los sistemas, siguiendo su ciclo de vida y contemplando la inclusión de medidas de seguridad en todas sus fases.

Que la Dirección General de Recursos Humanos deberá notificar a todo el personal que actualmente reviste en ANSES y a aquel que ingresare a esta Administración Nacional de sus obligaciones respecto del cumplimiento de la POLITICA DE SEGURIDAD INFORMATICA.

Que la Dirección General de Control y Prevención del Fraude deberá participar en el análisis de la normativa, incorporando los controles que considere necesarios, realizar investigaciones sobre el incumplimiento de las mismas y toda otra acción orientada a prevenir y detectar irregularidades.

Que la Unidad de Auditoría Interna intervendrá en el COMITE DE SEGURIDAD INFORMATICA a través de la Dirección General de Auditoría de Sistemas, en función de las acciones que le son propias. Asimismo deberá establecer en sus informes de auditoría el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por la POLITICA DE SEGURIDAD INFORMATICA y por las normas y procedimientos que de ella surjan.

Que la presente Resolución se dicta en uso de las facultades conferidas por el artículo 3º del Decreto Nº 2741/91 y el artículo 36 de la Ley Nº 24.241.

Por ello,

EL DIRECTOR EJECUTIVO DE LA ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL

RESUELVE:

ARTICULO 1º — Establécese que el respeto a la letra y espíritu de las normativas internas, prácticas y procedimientos que se aprueben en materia de seguridad informática será norma permanente de la actuación de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), y su cumplimiento responsabilidad primaria de sus mandos medios y superiores, los que garantizarán su aplicación por parte del personal a su cargo.

ARTICULO 2º — La presente POLITICA DE SEGURIDAD INFORMATICA será de aplicación obligatoria para todo el personal de ANSES, cualquiera sea el área a la cual se encuentre afectado y el nivel jerárquico de las tareas que desempeñe, así como para los servicios externos contratados por ANSES.

ARTICULO 3º — Créase en el ámbito de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL con carácter permanente el COMITE DE SEGURIDAD INFORMATICA, que tendrá por misión:

1. Revisar y proponer a la máxima autoridad del organismo para su aprobación, la Política y las responsabilidades generales en materia de seguridad de la información.

2. Monitorear cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes.

3. Tomar conocimiento y supervisar la investigación y el monitoreo de los incidentes relativos a la seguridad.

4. Aprobar las principales iniciativas para incrementar la seguridad de la información.

5. Acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información.

6. Garantizar que la seguridad sea parte del proceso de planificación de la información.

7. Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.

8. Promover la difusión y apoyo, a la seguridad de la información dentro del Organismo.

9. Coordinar el proceso de administración de la continuidad de la operatoria de los sistemas de tratamiento de información del Organismo frente a interrupciones imprevistas.

(Artículo sustituido por art. 1º de la Resolución Nº 318/2010 de la Administración Nacional de la Seguridad Social B.O. 30/04/2010)

ARTICULO 4º — El COMITE creado en el artículo anterior estará conformado por el Subdirector Ejecutivo de Administración, el Director General de Informática e Innovación Tecnológica, el Director General de Diseño de Normas y Procesos, el Director General de Control Prestacional, el Director General de Seguridad Informática y el Director General de Auditoría de Sistemas; como así también por los Directores Generales de las áreas cuya convocatoria resulte necesaria para el tratamiento y resolución de temas específicos.

(Artículo sustituido por art. 2º de la Resolución Nº 318/2010 de la Administración Nacional de la Seguridad Social B.O. 30/04/2010)

(Nota Infoleg: por art. 1° de la Resolución N° 191/2019 de la Administración Nacional de la Seguridad Social B.O. 1/8/2019 se incorpora al COMITÉ DE SEGURIDAD INFORMÁTICA a la DIRECCIÓN DE ANÁLISIS E INTELIGENCIA DE DATOS, en los términos del artículo 2° de la Resolución D.E.-N N° 318/10.)

ARTICULO 5º — Establécese que el COMITE DE SEGURIDAD INFORMATICA deberá proponer a esta Dirección Ejecutiva las normas que resulten necesarias para su funcionamiento interno, dentro de los TREINTA (30) días hábiles, contados a partir de la fecha de la presente. (Expresión "corridos" sustituida por expresión "hábiles" por art. 2º de la Resolución Nº 405/1999 de la Administración Nacional de la Seguridad Social B.O. 02/11/1999)

ARTICULO 6º — El COMITE DE SEGURIDAD INFORMATICA requerirá a las Direcciones Generales usuarias la propuesta de clasificación de los recursos informáticos de ANSES según el nivel de protección requerido cualquiera sea el medio en que se encuentren, a efectos de su aprobación, la que deberá ser presentada en un plazo no mayor de NOVENTA (90) días hábiles a partir de la fecha de la presente. (Expresión "corridos" sustituida por expresión "hábiles" por art. 2º de la Resolución Nº 405/1999 de la Administración Nacional de la Seguridad Social B.O. 02/11/1999)

ARTICULO 7º — El COMITE DE SEGURIDAD INFORMATICA elevará para su aprobación las medidas de control adecuadas y suficientes sobre todos los recursos que así lo requieran, de acuerdo a su clasificación a fin de asegurar su protección contra accesos o cambios no autorizados, su confidencialidad e integridad de modo que aseguren la privacidad de la información tanto interna como de terceros, es decir de los usuarios y beneficiarios de la Seguridad Social.

ARTICULO 8º — A efectos de generar la propuesta de normas y procedimientos necesarios para la aplicación de esta POLITICA DE SEGURIDAD INFORMATICA, las áreas involucradas en su desarrollo deberán contemplar los siguientes aspectos:

a) Administración de los bienes informáticos: La Dirección General de Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA las normas y procedimientos para mantener una adecuada protección de los bienes informáticos de la organización; entendiéndose por bienes informáticos entre otros, al equipamiento, las licencias de uso de programas, los programas de base, los aplicativos, la documentación de sistemas y los manuales de usuarios.

b) Administración de los recursos humanos: La Dirección General de Recursos Humanos en colaboración con la Dirección General de Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA las normas y procedimientos destinadas a concientizar al personal de ANSES respecto de la POLITICA DE SEGURIDAD INFORMATICA, a establecer un compromiso formal para su cumplimiento y a capacitar a los recursos humanos a fin de hacer posible dicho cumplimiento.

c) Administración de proyectos de desarrollo y mantenimiento de los Sistemas: La Dirección General de Productos y Servicios y la Dirección General de Sistemas y Telecomunicaciones propondrán al COMITE DE SEGURIDAD INFORMATICA las normas y procedimientos sobre la metodología del ciclo de vida de desarrollo de proyectos. Dicha metodología puntualizará la definición de los miembros y responsabilidades de los equipos de proyecto, la separación de funciones, los mecanismos de aprobación de las etapas y las fases del proyecto.

La Dirección General de Productos y Servicios incluirá en todos los requerimientos de desarrollo informático o adquisición, la definición de los grados de confidencialidad a observar en tratamientos y datos a proveer.

La Dirección General de Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos inherentes específicamente al proceso de desarrollo y mantenimiento de los sistemas. Asimismo tendrá participación en todo nuevo emprendimiento o proyecto informático a fin de que pueda aplicar la POLITICA DE SEGURIDAD INFORMATICA.

d) Adquisición de equipamiento y programas de base: La Dirección General de Logística y la Dirección General de Sistemas y Telecomunicaciones propondrán al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para el proceso de adquisición. Las mismas contendrán una definición de los requerimientos conforme a los objetivos de esta Administración Nacional, enfatizando aspectos relativos a segregación de funciones, estudio de factibilidad, selección del proveedor, y seguimiento contractual.

La Dirección General de Logística será responsable de asegurar, en todos los contratos de adquisición de recursos informáticos que se suscriban, la incorporación de cláusulas referidas al estricto cumplimiento, por parte de los proveedores, de la POLITICA DE SEGURIDAD INFORMATICA y de todas las normas y procedimientos que de ella surjan y que sean de aplicación a las tareas específicas de los mismos.

e) Administración de servicios prestados por terceros: La Dirección General de Logística y la Dirección General de Sistemas y Telecomunicaciones propondrán al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para mantener la seguridad de la información de ANSES procesada en instalaciones externas o accedida por terceros y mantener el adecuado seguimiento contractual.

La Dirección General de Logística será responsable de asegurar, en todos los contratos de servicios informáticos ejecutados por terceros que se suscriban, la incorporación de cláusulas referidas al estricto cumplimiento por parte de los proveedores, de la POLITICA DE SEGURIDAD INFORMATICA y de todas las normas y procedimientos que de ella surjan y que sean de aplicación a las tareas específicas de los mismos. Asimismo, deberá incluir en los contratos con terceros, la estipulación que resguarde a ANSES la potestad de practicar auditorías periódicas sobre las actividades de los proveedores.

f) Seguridad física y ambiental: La Dirección General de Sistemas y Telecomunicaciones y la Dirección General de Recursos Humanos y la Dirección General de Seguridad dependiente de la Dirección General de Coordinación Administrativa y Técnica propondrán al COMITE DE SEGURIDAD INFORMATICA las normas y procedimientos para asegurar la información y demás recursos de la tecnología respecto de amenazas, tales como accesos físicos no autorizados, daños o sustracciones, utilización indebida, o cualquier otro riesgo físico o ambiental, dentro o fuera de ANSES. Asimismo, deberán suministrar pautas para definir los mecanismos de uso en comodato, devolución, donación o destrucción de equipamiento obsoleto.

g) Controles de acceso lógico: La Dirección General de Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para controlar el acceso lógico a la información de ANSES teniendo en cuenta una adecuada separación de funciones y el nivel de responsabilidad de quienes accedan.

h) Operaciones y comunicaciones: La Dirección General de Sistemas y Telecomunicaciones propondrá al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para asegurar una adecuada y controlada operación de la información procesada, la administración de la biblioteca de resguardo de información, la protección de la información accedida o transmitida por red pública o privada dentro de ANSES y con otros organismos.

i) Plan de Contingencia: La Dirección General de Sistemas y Telecomunicaciones y las Direcciones Generales usuarias propondrán al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para contrarrestar interrupciones de las actividades críticas de ANSES y asegurar su continuidad ante la ocurrencia de un eventual siniestro o desastre.

j) Garantía de Calidad: La Dirección General de Sistemas y Telecomunicaciones y las Direcciones Generales usuarias propondrán al COMITE DE SEGURIDAD INFORMATICA normas y procedimientos para efectivizar y garantizar la calidad en el ambiente computadorizado existente en ANSES, cumpliendo con los estándares y normas de aplicación.

k) Cumplimiento de requisitos legales: La Dirección General de Asuntos Jurídicos propondrá al COMITE DE SEGURIDAD INFORMATICA las normas y procedimientos para asegurar el cumplimiento de la normativa vigente que resulte de aplicación en el ámbito informático.

l) Provisión de información y aplicaciones de ANSES a terceros: El COMITE DE SEGURIDAD INFORMATICA definirá las normas y procedimientos a cumplimentar en el suministro de información a terceros y en su acceso al procesamiento de las aplicaciones de ANSES.

ARTICULO 9º — Establécese que una vez aprobadas las propuestas el COMITE DE SEGURIDAD INFORMATICA solicitará a la Dirección General de Productos y Servicios la incorporación al Manual de Procedimientos de las nuevas normas y prácticas de seguridad informática como así también, sus modificaciones.

ARTICULO 10. — Establécese que los usuarios de la información y de los sistemas utilizados para su procesamiento serán responsables de acceder solamente a aquellos datos y recursos para los que cuentan con la autorización respectiva. Asimismo deberán utilizar tales recursos según las funciones que le fueron asignadas y con los fines para los que disponen de autorización, debiendo mantener la confidencialidad y privacidad de la información de ANSES y cumplir los procedimientos y controles implementados para la utilización de los sistemas y demás recursos de la tecnología de la información. Deberán, además, cumplir y hacer cumplir al resto del personal los controles y medidas de seguridad orientadas a la protección física y lógica de los recursos de la ADMINISTRACION NACIONAL DE SEGURIDAD SOCIAL, notificando inmediata y fehacientemente a la Dirección General de Seguridad Informática dependiente de la Dirección General de Sistemas y Telecomunicaciones las violaciones y riesgos que detecten relacionados con la seguridad.

ARTICULO 11. — Establécese que la Unidad citada en el artículo precedente deberá investigar en forma inmediata todas las violaciones en la seguridad de la información o en los sistemas, materializadas o en grado de tentativa, debiendo en forma coetánea dar cuenta a las Direcciones Generales de Asuntos Jurídicos y Control y Prevención del Fraude a fin de garantizar el ejercicio de las acciones que correspondan en materia de denuncias penales o de procedimientos administrativos de aplicación.

ARTICULO 12. — La Unidad de Auditoría Interna, a través de la Dirección General de Auditoría de Sistemas, realizará las acciones que le son propias. Asimismo, deberá establecer en sus informes de auditoría el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas en esta POLITICA DE SEGURIDAD INFORMATICA y por las normas y procedimientos que de ella surjan.

ARTICULO 13. — Establécese a los efectos de implementar la presente POLITICA DE SEGURIDAD INFORMATICA, que las Direcciones Generales nominadas en el artículo 8º de esta Resolución, dispondrán de un plazo de NOVENTA (90) días hábiles a partir de la presente para elevar al COMITE DE SEGURIDAD INFORMATICA las propuestas de normas, cumplido lo cual y en el término de CIENTO VEINTE (120) días deberán generar las propuestas de los procedimientos pertinentes. (Expresión "corridos" sustituida por expresión "hábiles" por art. 2º de la Resolución Nº 405/1999 de la Administración Nacional de la Seguridad Social B.O. 02/11/1999)

ARTICULO 14. — Derógase la Resolución DE -A Nº 68 de fecha 25 de setiembre de 1995 y la Resolución DE-A Nº 625 de fecha 3 de setiembre de 1996 por los motivos expuestos en los Considerandos de la presente Resolución.

ARTICULO 15. — Regístrese, comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL, y archívese. — Lic. LEOPOLDO VAN CAUWLAERT, Director Ejecutivo.

e. 7/9 Nº 290.747 v. 7/9/99

(Denominaciones de los puestos de conducción superior mencionadas en la presente Resolución sustituidas por art. 3° de la Resolución N° 191/2019 de la Administración Nacional de la Seguridad Social B.O. 1/8/2019, de la siguiente manera: