INSTITUTO NACIONAL CENTRAL ÚNICO COORDINADOR DE ABLACIÓN E IMPLANTE
Resolución 203/2022
RESFC-2022-203-APN-D#INCUCAI
Ciudad de Buenos Aires, 30/06/2022
VISTO el EX-2021-87179656-APN-DA#INCUCAI del registro del INSTITUTO
NACIONAL CENTRAL ÚNICO COORDINADOR DE ABLACIÓN E IMPLANTE (INCUCAI), la
Ley Nº 24.156, el Decreto Reglamentario N° 1344/2007; y
CONSIDERANDO:
Que la Ley Nº 24.156 establece y regula la Administración Financiera y
los Sistemas de Control del Sector Público Nacional; aprobando el
Decreto Nº 1344/2007 el Reglamento para llevar adelante la aplicación
de norma.
Que la DIRECCIÓN DE TECNOLOGÍAS Y SISTEMAS DE INFORMACIÓN ha presentado
una propuesta de políticas de seguridad informática para aplicar en
este Organismo Nacional, a fin de llevar adelante correctamente la
actividad regulada en la citada normativa.
Que la UNIDAD DE AUDITORÍA INTERNA del INCUCAI ha tomado la
intervención prevista en el artículo 101 del Anexo al Decreto N°
1344/2007.
Que el Área de Calidad de este Organismo Nacional, en el ámbito de sus
incumbencias, ha evaluado y validado los procedimientos propuestos por
la citada Dirección.
Que la DIRECCIÓN DE TECNOLOGÍAS Y SISTEMAS DE INFORMACIÓN y la
DIRECCIÓN DE ASUNTOS JURÍDICOS, han tomado la intervención de su
competencia.
Que la presente medida se dicta en uso de las facultades conferidas por el artículo 57 de la Ley N° 27.447.
Que la presente medida se trató en reunión de Directorio del día 30 de junio de 2022, Acta Nº 25.
Por ello
EL INSTITUTO NACIONAL CENTRAL ÚNICO COORDINADOR DE ABLACIÓN E IMPLANTE
RESUELVE:
ARTÍCULO 1°.- Apruébense los procedimientos para la implementación de
las políticas de seguridad informática del INSTITUTO NACIONAL CENTRAL
ÚNICO COORDINADOR DE ABLACIÓN E IMPLANTE (INCUCAI), que como ANEXO
ÚNICO (IF-2022-63726256-APN-DTYSI#INCUCAI) forma parte integrante de la
presente, por los motivos expuestos en los considerandos.
ARTÍCULO 2°.- Regístrese, comuníquese. Dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL para su publicación y archívese.
Jose Luis Bustos - Carlos Soratti
NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-
e. 04/07/2022 N° 49106/22 v. 04/07/2022
(Nota
Infoleg:
Los anexos referenciados en la presente norma han sido extraídos de la
edición web de Boletín Oficial)
MARCO NORMATIVO DE TI
POLÍTICA EXTERNA REGULADORA
1. INTRODUCCIÓN
Los criterios de elaboración de los documentos que conforman el Marco
Normativo de TI se basan en el establecimiento de unas reglas claras
considerando su tipología y el ciclo de vida de dichos documentos.
1.1. OBJETIVO
La presente política tiene por objeto establecer la codificación y los
criterios que se utilizarán para elaborar las Políticas, Procesos,
Procedimientos y Estándares que conforman el Marco Normativo de TI
vigente en el INCUCAI.
1.2. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
2. CONTENIDO
A continuación, se resumen los criterios a adoptar para la redacción de
los documentos que conformarán el Marco Normativo de TI vigente en el
INCUCAI:
2.1. TIPOLOGÍA DE LOS DOCUMENTOS
2.1.1.POLÍTICA GENERAL
Documento de máxima relevancia que define las competencias y
actuaciones, cumpliendo una función coordinadora, orientadora y
reguladora. Por su carácter estratégico y como medio para proteger la
información, posee un interés prioritario y el máximo apoyo por parte
de la INCUCAI, estableciendo los controles necesarios a fin de
garantizar la seguridad de la información que genera, procesa y
almacena el INCUCAI.
La Política General define una serie de interrogantes, que necesariamente deben estar incluidos en su enunciado:
• Qué es lo que se pretende proteger (objetivo).
• Alcance e impacto (a quiénes aplica).
• Sobre quiénes recae su ejecución (responsabilidades).
2.1.2.POLÍTICA
Disposiciones que soportan los objetivos recogidos en la Política
General y concretan las orientaciones, competencias y regulaciones
específicas indicadas en la misma. Las Políticas abarcan la definición
de los roles y responsabilidades de actuación en la gestión de TI y
seguridad de la información, tanto para el personal interno como
externo al INCUCAI.
2.1.3.PROCESO
Conjunto estructurado de actividades diseñado para la consecución de un
objetivo determinado. Los Procesos requieren de una o más entradas y
producen una serie de salidas, ambas previamente definidas. Un Proceso
suele incorporar la definición de los roles que intervienen, las
responsabilidades, herramientas, regulaciones y controles de gestión
necesarios para obtener las salidas de forma eficaz. El Proceso podrá
definir las Políticas, Procedimientos, Estándares, así como las
actividades y las instrucciones de trabajo que fueran necesarias.
2.1.4.PROCEDIMIENTOS
Los procedimientos establecen en detalle, los pasos necesarios a seguir
a efectos de realizar una determinada tarea y así cumplir con uno o
varios objetivos de control.
Dichos procedimientos:
• Deben referenciar a una política.
• Deben ser auditables, es decir, deben dejar evidencias de cumplimiento.
• Deben ser ejecutados por personas, identificando responsables.
• Pueden referenciar a otros procedimientos (procedimientos anidados).
• Pueden referenciar a un estándar.
2.1.5.ESTÁNDARES
Los estándares definen un conjunto de criterios y/o especificaciones
orientadas a cumplimentar los objetivos de control del marco normativo
en un ámbito de aplicación concreto.
Los estándares:
• Constituyen un marco de referencia dentro del ámbito de aplicación.
• Son de obligado cumplimiento.
• Si son tecnológicos no deben corresponderse con un fabricante específico.
2.2. CICLO DE VIDA DE LA DOCUMENTACIÓN
Las responsabilidades que a continuación se describen se refieren
específicamente al ciclo de vida de toda la documentación que formará
parte del Marco Normativo de TI del INCUCAI.
2.2.1.ELABORACIÓN
Corresponde a la Dirección de Tecnologías y Sistemas de Información
dependientes del INCUCAI, velar por la seguridad de la información,
proponiendo, elaborando, revisando y manteniendo de forma estricta el
Marco Normativo de TI, con el objeto de garantizar el cumplimiento de
dicha premisa en el ámbito del INCUCAI.
2.2.2.PUBLICACIÓN, DISTRIBUCIÓN Y CUSTODIA
El INCUCAI será el encargado de promover la publicación y distribución
del Marco Normativo de TI aprobado, cuyas referencias se fundamentan en
la Decisión Administrativa 641/2021 “Requisitos mínimos de Seguridad de
la Información para Organismos”, a todo el personal afectado. Una vez
publicado y distribuido cada documento, quedará bajo la custodia de las
Direcciones Generales.
2.2.3.CONTROL DEL CUMPLIMIENTO
Cada dependencia será responsable de controlar el cumplimiento del Marco Normativo de TI dentro de su ámbito.
Corresponde a la Dirección de Tecnologías y Sistemas de Información
monitorear el cumplimiento del Marco Normativo de TI, de acuerdo con
sus objetivos de control en materia de seguridad de la información.
Corresponde al área encargada de la auditoría verificar el cumplimiento
de la Normativa vigente, detectando, reportando y proponiendo mejoras
en su contenido, fruto de las auditorías realizadas.
2.2.4.ACTUALIZACIÓN
Toda la documentación podrá revisarse y actualizarse cuando se
considere necesario. Dicha revisión se planificará en función de su
antigüedad, grado de obsolescencia, acciones correctivas en curso y
observaciones recibidas. Se evitará mantener en vigor documentos no
revisados de más de 1 año de antigüedad. El deber de dicha
actualización recaerá en la DTySI.
Será responsabilidad de cada dependencia, mantener actualizados en todo
momento aquellos Procedimientos y Estándares alineados con el Marco
Normativo de TI de la INCUCAI.
3. Generalidades
Cualquier violación a la presente política puede derivar en la
restricción inmediata del acceso a la información digital sin perjuicio
de otras acciones que se puedan emprender en el ámbito administrativo,
civil o penal.
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por la INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
4. CONTROL DE CAMBIOS
Índice
MARCO NORMATIVO DE TI
POLÍTICA GENERAL DE SEGURIDAD INFORMÁTICA
1. INTRODUCCIÓN
La información hoy en día es un bien valioso que brinda grandes
beneficios en términos de intereses políticos, objetivos de gestión y
ayuda en la toma de decisiones.
La información digital puede presentarse de diversas formas y en
diferentes contextos como es la información almacenada en soportes
electrónicos, transmitida por correo o publicada en redes sociales,
representada en imágenes, o expuesta en una conversación telefónica. En
este sentido, cualquiera sea el modo en el que se manifieste, almacene
o comunique, debe ser debidamente protegida, dado que representa un
patrimonio para el Instituto Nacional Central Único Coordinador de
Ablación e Implante.
La seguridad protege a la información de una amplia variedad de
amenazas, con el objeto de asegurar la continuidad de las actividades,
minimizar los riesgos y maximizar la calidad en la entrega de los
servicios de tecnología informática.
Esto se logra implementando un conjunto adecuado de controles, que
incluye: políticas, procesos, procedimientos, estructuras
organizacionales y funciones de software y hardware; los cuales se
deben establecer, implementar, supervisar, revisar y mejorar, cuando
sea necesario, a fin de garantizar que se alcancen los objetivos de la
Dirección de Tecnologías y Sistemas de Información.
Es importante que los principios de la Política General de Seguridad
Informática formen parte de la cultura organizacional, a fin de
facilitar su efectivo cumplimiento.
1.1. OBJETIVO
La presente Política General de Seguridad Informática tiene por
objetivo constituir un marco general para establecer y mantener las
políticas, procesos, procedimientos y estándares que definen las
medidas de seguridad informática a aplicar en el INCUCAI, de acuerdo
con la normativa vigente.
1.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
1.3. ÁMBITO DE APLICACIÓN
La política general de seguridad informática, así como el resto de las
políticas enmarcadas dentrode la normativa vigente, se aplica con
carácter obligatorio a todo al ámbito de la Dirección de Tecnologías y
Sistemas de Información, a sus recursos y a la totalidad de los
procesos, ya sean internos o externos vinculados a la organización a
través de contratos o acuerdos con terceros. Abarca toda la información
digital utilizada por el INCUCAI para el desarrollo de sus actividades
y los sistemas de información que la soportan.
1.4. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
2. CONTENIDO
2.1. PRINCIPIOS FUNDAMENTALES
La Política General de Seguridad Informática vela por la seguridad de
todos sus procesos, siendo esta de aplicación en todas las fases de su
ciclo de vida: generación, distribución, almacenamiento, procesamiento,
transporte, consulta y destrucción, así como de los sistemas que los
soportan: análisis, diseño, desarrollo, pruebas, homologación,
producción; operación y mantenimiento.
La Dirección de Tecnologías y Sistemas de Información adoptará acciones
tendientes a preservar en cada momento los tres componentes básicos de
la seguridad de la información:
•
CONFIDENCIALIDAD: Garantizar que a la información y a los sistemas de información solo accedan personas debidamente autorizadas.
•
INTEGRIDAD: Garantizar la
exactitud de la información y de los sistemas de información contra
alteración, pérdida o destrucción, ya sea de forma accidental o
fraudulenta.
•
DISPONIBILIDAD: Garantizar que la información y los sistemas de información pueden ser utilizados en la forma y tiempo requeridos.
Sobre estos tres pilares, la Dirección de Tecnologías y Sistemas de
Información cimienta su política general en materia de seguridad
informática, dado que son vitales para la gestión de gobierno, la
imagen social y la calidad en la atención de los ciudadanos.
Adicionalmente, se adoptarán conductas destinadas a garantizar el cumplimiento de los principios que se detallan a continuación:
•
AUTENTICACIÓN: Establecer la identidad del usuario y asegurar que este sea quién dice ser.
•
TRAZABILIDAD: Asegurar que
cualquier acción o transacción pueda ser relacionada unívocamente
asegurando el cumplimiento de controles claves establecidos en las
correspondientes políticas, así como el almacenamiento en un histórico
para posibles inspecciones legales.
•
LEGALIDAD: Garantía de que la información organizacional cumple con las leyes, reglamentaciones y disposiciones vigentes.
2.2. IMPLEMENTACIÓN DEL MARCO NORMATIVO DE TI
El conjunto de documentos incluidos en el marco normativo de TI se
define e implementan en base a diferentes dominios de seguridad, sobre
los cuales también se funda la presente Política General de Seguridad
Informática:
1.1.1. ORGANIZACIÓN DE LA SEGURIDAD
Administrar la seguridad de la información dentro de la organización,
estableciendo una estrategia y un marco gerencial para controlar su
implementación.
1.1.2. SEGURIDAD DE LOS RECURSOS HUMANOS
Hay que asegurar que el personal de planta, personal con contrato en
cualquiera de sus modalidades y proveedores entiendan sus
responsabilidades, sean adecuados a sus roles asignados y estén
preparados para respaldar la política general de seguridad informática.
1.1.3. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES
Garantizar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de la información, implementando y manteniendo un nivel
de seguridad adecuado en la provisión de servicios y detectando las
actividades de procesamiento de información no autorizadas.
Corresponden a este dominio los siguientes documentos:
• Política de copias de resguardo y recuperación.
• Política de seguridad en redes.
• Política de prevención de software malicioso.
• Política de instalación de estaciones de trabajo.
• Política de uso de correo electrónico
• Política de uso de internet.
1.1.4. CONTROL DE ACCESOS
Controlar los accesos a la información sobre la base de los
requerimientos de seguridad y de los objetivos definidos por la
Dirección de Tecnologías y Sistemas de Información. Los accesos serán
otorgados sobre los principios de “mínimo privilegio” y “necesidad de
conocer”, aplicables a cada usuario.
Corresponden a este dominio los siguientes documentos:
• Política de administración de portátiles.
• Política de registro de eventos de ti.
• Política de control de eventos de ti.
• Política de administración de contraseñas.
• Política de administración de accesos a software de aplicación.
• Política de accesos remotos.
1.1.5. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
Garantizar que la seguridad sea una parte integral del ciclo de vida de
los sistemas de información, previniendo errores, pérdidas,
modificaciones no autorizadas o mal uso de la información en las
aplicaciones.
1.1.6. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Asegurar que se aplique un proceso de mejora continua para la gestión
de los incidentes de seguridad de la información, garantizando que los
eventos sean registrados y comunicados de forma correcta y oportuna.
Corresponden a este dominio los siguientes documentos:
• Política de respuesta ante incidentes de TI.
1.1.7. GESTIÓN DE LA CONTINUIDAD DE LAS ACTIVIDADES
Desarrollar e implementar planes de continuidad que aseguren la
reanudación oportuna de las operaciones esenciales. Contrarrestar las
interrupciones de las operaciones y proteger los procesos críticos del
INCUCAI.
3. GENERALIDADES
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
4. CONTROL DE CAMBIOS
Contenido
INDICE
MARCO NORMATIVO DE TI
POLÍTICA NOMENCLADORA
1. INTRODUCCIÓN
Al momento de elaborar documentos, tener en cuenta los aspectos básicos
de las normas ortográficas y gramaticales posibilita una comunicación
escrita con sentido y una transmisión clara del mensaje al lector.
Cuando se emplea el lenguaje escrito, no hay modo de escapar a ciertas exigencias que no tiene el lenguaje oral.
Los criterios de elaboración de los documentos que conforman el Marco
Normativo de TI se basan en el establecimiento de unas reglas claras de
codificación y recomendaciones generales de redacción.
Asimismo, se define la tipología y el ciclo de vida de dichos documentos.
2. OBJETIVO
La presente política tiene por objeto establecer la codificación y los
criterios que se utilizarán para elaborar las Políticas, Procesos,
Procedimientos, Estándares, Guías y Modelos que conforman el Marco
Normativo de TI vigente en el INCUCAI.
3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
4. CONTENIDO
A continuación, se resumen los criterios a adoptar para la redacción de
los documentos que conformarán el Marco Normativo de TI vigente en el
INCUCAI.
Éstos se encuentran alcanzados por el procedimiento INCU-CyEP-PO-0501
“Gestión de Documentos” aprobado por RESFC-2021-150-APN-D#INCUCAI o los
que en un futuro modifiquen dicha resolución.
A. CRITERIOS DE REDACCIÓN
Los criterios que se deben seguir en la redacción de los documentos del marco normativo son los siguientes:
Tiempos verbales
Dentro de lo posible se deberá utilizar el mismo tiempo verbal para todo el documento.
Se recomienda utilizar el infinitivo o el futuro en tercera persona.
Es importante que el sujeto de la acción esté siempre claramente
identificado: "abrir el archivo, registrar la incidencia, rellenar los
datos del apartado 1,...", "el operador abrirá el archivo, registrará
la incidencia y la comunicará a su responsable".
Las instrucciones y controles deben redactarse en imperativo, ya que la
voz pasiva puede resultar ambigua "...la tiene que activar el lector”.
Estructura del documento
En los procedimientos, se recomienda estructurar los mismos, en una
secuencia cronológica de pasos, en el orden en que se deben de suceder.
Verbo 'deber'
No abusar del verbo 'deber': "se configurará la política de contraseñas" por "se deberá configurar la política de contraseñas".
Uso de 'deber' y 'deber de': 'deber' implica obligación y 'deber de'
significa probabilidad: "el sistema debe cumplir", "el sistema debe de
estar en mal funcionamiento".
Evitar la perífrasis
Usar siempre el menor número de palabras y expresar una sola idea:
"Tomar en consideración" por "Considerar"
"Resultado final" por "Resultado"
"Todos y cada uno" por "Todos"
Eliminar completamente" por "eliminar"
Botón de color rojo" por "Botón rojo
Ser concreto
Evitar la ambigüedad seleccionando palabras precisas y los detalles
necesarios: "Configurar el certificado" por "Abrir el archivo cert.cer
y guardar el contenido del certificado".
Claridad
El sentido debe resultar unívoco y fácilmente comprensible para el lector.
Brevedad
Cuanto más largo es un documento más difícil es de leer y utilizar. El
documento debe ser lo suficientemente largo como para resultar claro.
Deben eliminarse las frases innecesarias, las redundancias,
repeticiones y los principios de frase que no aporten nada.
Sencillez
Las frases deben ser breves (25 palabras como máximo). Transformar las frases largas en listas o en otras más breves.
Deben dividirse los párrafos largos en otros más breves.
Las palabras deben ser sencillas, precisas y descriptivas, en lugar de retóricas y complicadas.
También la estructura de las frases debe ser sencilla.
Debe eliminarse la terminología técnica innecesaria.
Corrección formal
El lector se forma su primera impresión del documento a partir de sus
aspectos formales. Si encuentra indicios de descuido, dudará de la
calidad de la información.
Deben respetarse las reglas gramaticales (acentuación, puntuación, etc.).
Deben respetarse otras convenciones tales como: unidades físicas de medida, abreviaturas, acrónimos, etc.
5. GENERALIDADES
Cualquier violación a la presente política puede derivar en la
restricción inmediata del acceso a la información digital sin perjuicio
de otras acciones que se puedan emprender en el ámbito administrativo,
civil o penal.
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
6. CONTROL DE CAMBIOS
Contenido
MARCO NORMATIVO DE TI
POLÍTICA DE ANÁLISIS DE RIESGOS TECNOLÓGICOS
2. INTRODUCCIÓN
La información es un recurso de vital importancia para el
funcionamiento del Instituto Nacional Central Único Coordinador de
Ablación e Implante (en adelante INCUCAI) y, por consiguiente, debe ser
debidamente protegida a través de mecanismos de seguridad lógica y
física. Dichos mecanismos se establecen adecuadamente a partir de un
análisis de riesgos.
2.1. OBJETIVO
Definir y establecer los requisitos para la realización de evaluaciones
de riesgos tecnológicos y la administración de los mismos dentro del
ámbito del INCUCAI.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de la
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
El INCUCAI tiene como objetivo organizar y coordinar la infraestructura
tecnológica y los sistemas de información que se utilizan en el
INCUCAI. Para cumplir con esta premisa, podrá realizar evaluaciones de
riesgos cuando lo considere necesario, estableciendo las siguientes
pautas:
3.1. ROLES Y RESPONSABILIDADES
El INCUCAI podrá solicitar revisiones periódicas de los riesgos de seguridad y de las salvaguardas implementadas a fin de:
a. Reflejar los cambios en los requerimientos y prioridades del INCUCAI;
b. Considerar nuevas amenazas y vulnerabilidades;
c. Corroborar que las salvaguardas siguen siendo eficaces y apropiadas.
Las revisiones podrán llevarse a cabo con diferentes niveles de
profundidad según los resultados de evaluaciones anteriores y los
niveles variables de riesgo que el INCUCAI está dispuesta a aceptar.
El Área de Seguridad Informática será el responsable de establecer los
controles o mecanismos de salvaguarda, de acuerdo al grado de
exposición a potenciales riesgos de los procesos, activos de
información, aplicaciones, software de base, equipamiento, redes de
comunicaciones e instalaciones dentro del ámbito del INCUCAI.
Asimismo, el Área de Seguridad Informática será el responsable de
realizar la ejecución de dichos análisis de riesgos y reportar los
resultados a la Dirección Ejecutiva del INCUCAI.
3.2. METODOLOGÍA
La metodología de evaluación de riesgos adoptada por el INCUCAI es una consideración sistemática de los siguientes puntos:
a. Establecimiento de un inventario o árbol de activos tecnológicos. El
que será actualizado ante cualquier modificación de la información
registrada.
b. Valoración cualitativa de los activos de dicho inventario tecnológico.
c. Impacto potencial de una falla de seguridad en la administración de
los recursos del INCUCAI, teniendo en cuenta las potenciales
consecuencias por una pérdida de la confidencialidad, integridad o
disponibilidad de la información.
d. Probabilidad de ocurrencia de dicha falla tomando en cuenta las
amenazas y vulnerabilidades predominantes, la posibilidad de
propagación de esas amenazas sobre los recursos del INCUCAI y los
controles actualmente implementados.
Los resultados de esta evaluación ayudarán a orientar y a determinar
las prioridades y acciones de gestión adecuadas para la administración
de los riesgos concernientes a seguridad informática, y para la
implementación de los controles o salvaguardas seleccionadas a fin de
brindar protección contra dichos riesgos.
Los controles o salvaguardas se seleccionarán teniendo en cuenta el
costo de implementación en relación a los riesgos que debe reducir y a
las pérdidas que podrían producirse de tener lugar una violación de la
seguridad. Asimismo, el INCUCAI podrá considerar otros factores no
monetarios como el daño en la reputación o en la imagen del INCUCAI.
4. GENERALIDADES
Cualquier violación a la presente política puede derivar en la
restricción inmediata del acceso a la información digital sin perjuicio
de otras acciones que se puedan emprender en el ámbito administrativo,
civil o penal.
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo a los principios generales del derecho.
5. CONTROL DE CAMBIOS
1. ÍNDICE
MARCO NORMATIVO DE TI
POLÍTICA DE SEGURIDAD EN LAS REDES
2. INTRODUCCIÓN
La presente política establece los criterios de seguridad necesarios
para la gestión de redes que garanticen la confidencialidad, integridad
y disponibilidad de la información en los usos requeridos por los
agentes del INCUCAI.
2.1. OBJETIVO
Asegurar una adecuada protección de la información procesada en la red de datos del INCUCAI.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
3.1. SEGURIDAD EN REDES
Todos los accesos a la red del INCUCAI, tanto físicos como lógicos son
autorizados, administrados y monitoreados por el área Atención a
Usuarios y Soporte Técnico, quien tiene competencia exclusiva de
aplicar las políticas de seguridad correspondientes.
3.2. CONTROLES DE RED
Se requiere un conjunto de controles para lograr y mantener la
seguridad de las redes de datos. Se deben implementar controles para
garantizar la seguridad de los datos y la protección de los servicios
conectados contra el acceso no autorizado, en particular, el área de
Atención a Usuarios y Soporte Técnico observará lo siguiente:
■ Se deben establecer controles de tráfico en la administración del
equipamiento perteneciente a los dominios Internet, DMZ e intranet, así
como los accesos remotos, accesos externos (confiables y no confiables).
■ Deben establecerse controles especiales para salvaguardar la
confidencialidad e integridad del procesamiento de los datos que pasan
a través de redes públicas, y en especial para proteger las conexiones
de los usuarios que realizan teletrabajo con información sensible.
También pueden requerirse controles especiales para mantener la
disponibilidad de los servicios de red y equipos conectados.
■ Las actividades gerenciales deben estar estrechamente coordinadas,
tanto para optimizar el negocio, como para garantizar que los controles
se apliquen uniformemente en toda la infraestructura de procesamiento
de información.
3.3. SEGMENTACIÓN DE LA RED CORPORATIVA
Se debe diseñar una adecuada estructura de red implementando dominios
lógicos separados, protegidos por un perímetro acotado de seguridad. Se
definirán y crearán distintos dominios lógicos, realizando divisiones
por servicios o grupos.
■ Cada red protegida deberá tener su perímetro de seguridad, y los
distintos dominios se conectarán por medio de enlaces seguros entre dos
redes distintas que filtren el tráfico entre los dominios.
■ La segmentación se realizará dividiendo la red en dominios de seguridad lógicos con la finalidad de:
a. Proteger el acceso a la información y a los sistemas en función de su criticidad.
b. Limitar el acceso de usuarios exclusivamente a los servicios que necesite para llevar a cabo sus funciones.
c. Aislar los problemas en la red ante la presencia de software malicioso, errores, averías, intrusiones, etc.
d. Facilitar la localización, gestión y administración de los activos conectados a la red.
■ Todos los dominios deben estar identificados y separados física o
lógicamente. Dentro de los propios dominios pueden existir componentes
que no deban estar en el mismo segmento de red debido al compromiso de
seguridad que supondría la conectividad plena entre ambos. Se
establecerán entonces subdominios en base a criterios de segmentación
concretos.
■ La interconexión entre dominios se deberá realizar a través de
dispositivos que permitan la segregación de tráfico permitido y no
permitido y que mantengan un registro de las conexiones que se realizan.
■ En los casos en que un mismo equipo pertenezca a varios dominios a la
vez, se debe utilizar una interfaz para cada dominio, bien sea lógico o
físico, y se debe deshabilitar el enrutado para que los servidores no
actúen como "puente” entre dominios.
■ Deberán establecerse medidas que aseguren la disponibilidad de los
segmentos de red, por lo que se estudiará la capacidad de tráfico
soportada por los diferentes componentes de la red teniendo en cuenta
el tráfico previsto en función de los usuarios que acceden y las
operaciones que realicen. Dentro de las consideraciones técnicas que
fija el área de Atención a Usuarios y Soporte Técnico para implementar
la segmentación de red, se pueden destacar:
a. Implementar un segmento dedicado a los servidores con funciones de
autenticación como son los de repositorio de usuarios, servidor de
dominio, etc. que se ubicarán en el dominio de servidores.
b. Comprobar que, en el dominio de servidores, todas las bases de datos
ubicadas en el mismo segmento contienen datos con el mismo nivel de
criticidad y/o características de seguridad comunes para el negocio. En
el caso contrario se recomienda crear otro segmento en el mismo
dominio, separando los servidores críticos de los otros.
c. Mejorar la seguridad elevando el número de segmentos de red. Un
mayor número redunda en una mayor seguridad, ya que la posibilidad de
extensión de un ataque queda reducida a las máquinas directamente
adyacentes a la atacada, a su vez que permite habilitar reglas de
tráfico más sencillas y flexibles dando lugar a un acceso más selectivo
a determinados servicios, considerando esta una ventaja estratégica
fundamental.
d Las áreas involucradas comprendan la importancia de tener un esquema
de front-end y back-end que a su vez se divida en Producción y
Desarrollo, prohibiendo que las áreas de desarrollo tengan acceso a las
zonas productivas.
3.4. POLÍTICA GENERAL DE FLUJO DE TRÁFICO
Las políticas generales de flujos de tráfico pretenden dar las pautas
de dirección de los flujos de datos entre dominios. Los controles
generales de dirección de flujos de datos que fija la Subdirección
General de Sistemas son los que se exponen a continuación:
■ El dominio de redes públicas solo podrá realizar peticiones a equipos
que se encuentren en el domino de extranet. En ningún caso se deben
realizar conexiones a equipos que se encuentren en dominios confiables
distintos de la extranet.
■ Los servidores del dominio de DMZ podrán realizar peticiones
exclusivamente hacia los servidores del dominio de servidores que
tengan sus bases de datos.
■ Los servidores de pasarela (Gateway) de la DMZ tendrán privilegios
especiales de acceso, pudiendo acceder a Internet (proxy de salida) y a
la Intranet (dispositivos de VPN).
■ El dominio de Intranet no podrá realizar conexiones hacia los
dominios públicos. Para poder acceder a ellos deberán hacerlo a través
de las pasarelas de acceso a Internet (proxy de salida).
■ Los servidores del dominio en ningún caso podrán realizar conexiones
salientes hacia otros dominios. Podrán recibir conexiones del resto de
dominios a través de la interfaz que corresponda.
3.5. ADMINISTRACIÓN DE LA SEGMENTACIÓN
La administración de los segmentos de la Red Corporativa deberá
realizarse de acuerdo a los controles que a continuación dispone el
área de Comunicaciones:
■ Se establecerán reglas genéricas de acceso para favorecer en la
medida de lo posible la administración de los dispositivos de seguridad.
Se incluirán tiempos de vigencia en las reglas temporales de acceso
■ Se definirán y documentarán los procesos de revisión de registros y
las acciones a tomar en caso de detección de una incidencia.
■ Se establecerán fechas periódicas de auditoría.
■ Se centralizará la administración de las pasarelas (Gateway),
implementando las políticas de tráfico en la red corporativa, a fin de
establecer un único punto de gestión, reduciendo el riesgo que puede
provocar una inadecuada gestión de dichos dispositivos.
■ Se deberán documentar y mantener procedimientos operativos que
registren los servicios, las características del tráfico y la política
de comunicaciones.
■ Se definirán e implantarán herramientas que ayuden a establecer el
flujo de autorización de las peticiones de modificación en la
configuración de los dispositivos de seguridad.
Se mantendrán diagramas de red actualizados que permitirán identificar
los protocolos utilizados, servicios existentes, direccionamiento
utilizado, estrategias de enrutado, hardware y software, etc.
3.6. ADMINISTRACIÓN DEL TRÁFICO DE RED
Las conexiones de la red de datos se gestionan a nivel corporativo.
Debido a que el INCUCAI posee edificios localizados en diferentes áreas
geográficas, el soporte de la red metropolitana (WAN) será un
requerimiento básico, siendo necesaria una adecuada gestión de las
rutas de tráfico. Cuando se compara el ancho de banda de la LAN con una
WAN, se puede apreciar que es un recurso escaso y que debe ser
cuidadosamente manejado. A partir de esta premisa, el área de Atención
a Usuarios y Soporte Técnico dispone las siguientes medidas que se
deberán aplicar a los dispositivos enrutadores:
■ Filtrado de paquetes de red que brinde garantías de seguridad y
control de los accesos en toda la Organización. Los accesos no
autorizados pueden provocar pérdidas de negocio, fuga de datos
sensibles, datos corruptos, además de reducir potenciales
responsabilidades legales de los usuarios.
■ Conexión de todas las oficinas ubicadas en las diferentes áreas
geográficas, tomando en cuenta la tecnología existente en el mercado y
los costos de uso, a fin de que el organismo pueda seleccionar la mejor
opción desde el punto de vista económico y tecnológico.
■ Propiedades de reconocimiento de cada protocolo, permitiendo
priorizar tráfico y soporte para protocolos sensibles a retardos de la
WAN.
■ Gestión de ancho de banda. Siempre que sea posible, se deberá
gestionar el ancho de banda máximo que se utilice, sin importar quién
es el usuario que desea hacer uso del recurso.
Para facilitar la gestión y administración de la red perimetral, el
área de Atención a Usuarios y Soporte Técnico establece los controles
que a continuación se detallan:
■ Incluir tiempos de vigencia de las reglas de acceso y revocar
automáticamente aquellas que sobrepasen el tiempo para el que fueron
definidas.
■ Definir y documentar los procesos de administración y establecer
herramientas que ayuden a establecer el flujo de las peticiones de
modificación en los privilegios de acceso.
■ Definir y documentar procesos de revisión de logs y las acciones a tomar en caso de detección de un incidente.
■ Establecer fechas periódicas de auditoría.
■ Se deberá centralizar la administración de los firewalls,
implementando las políticas de tráfico en la red corporativa, a fin de
establecer un único punto de gestión (con diferentes privilegios de
administración), reduciendo el riesgo que puede provocar una inadecuada
gestión de dichos dispositivos.
Asimismo, es necesario evitar el acceso a Internet de forma directa, de
los usuarios de la red interna y de las diferentes ubicaciones
edilicias que pertenecen al INCUCAI. Esto debe realizarse a través de
unos medios que garanticen el acceso únicamente a los protocolos HTTP o
HTTPS y FTP o SSH, a través de algún tipo de Proxy HTTP / FTP (ya sea
software instalado sobre un servidor de propósito general o sobre una
plataforma dedicada). el área de Atención a Usuarios y Soporte Técnico
dispone de las siguientes medidas que deberán implementarse para
garantizar el acceso de los usuarios a Internet de forma segura:
■ Gestión de contenidos. Filtrar los contenidos no autorizados (sexo,
violencia, juego, sitios inseguros, etc.) evitando el acceso desde las
terminales de los usuarios.
■ Caché de contenidos. Deberán implantarse dispositivos con capacidad
para cachear en disco local, páginas frecuentemente accedidas, a fin de
reducir el ancho de banda utilizado y mejorar los tiempos de respuesta
a los usuarios de red.
■ Autenticación de usuarios. Deberá habilitarse la autenticación de los
usuarios ante el Proxy de salida, de manera que los accesos pueden ser
registrados y auditados en caso de incidente o de manera sistemática.
Es posible, integrar esta autenticación con el servidor de dominio, de
manera que sea totalmente transparente para el usuario, evitando el uso
de identificadores genéricos o compartidos.
■ Homogenizar siempre que sea posible, la plataforma navegadora del usuario.
■ Registro de actividad. Se deberán mantener logs de todos los accesos
realizados, con el propósito de reconstruir incidentes o para su
auditoria sistemática. Esto tendrá relación directa con la política de
trazabilidad de las aplicaciones, en función de los niveles de
clasificación de información definidos.
■ Restricción de comunicaciones. Deberán implantarse dispositivos que
permitan de manera sencilla, efectiva y segura, administrar qué
protocolos se permiten para los usuarios.
■ Integración de un sistema de control de software malicioso. Se deberá
integrar en el Proxy un sistema de control de software malicioso que
filtre los contenidos descargados en busca de malware o código
malicioso, en el software recibido.
Finalmente, existirán ciertas consideraciones que deberán tenerse en
cuenta con el fin de detectar de forma preventiva eventos que supongan
una amenaza para los sistemas de información. Los sistemas de detección
de intrusión (IDS) están formados por un conjunto de sondas de red que
analizan el tráfico que fluye por la misma con el fin de detectar los
eventos que están sucediendo en los segmentos más sensibles de la red o
en los sistemas más críticos que puedan suponer una amenaza para los
sistemas de información. El INCUCAI dispone de las siguientes medidas a
tener en cuenta al momento de implantar un IDS:
■ Se deberá procesar previamente la información obtenida de las alarmas
de eventos recibidos. Es necesario discriminar los eventos en función
de vulnerabilidades conocidas de los servidores (obtenidas de bases de
datos), estableciendo un workflow de alertas a los administradores,
para acometer acciones según sea el caso.
■ Las diferentes sondas de red deberán ser utilizadas para monitorear
a. Los accesos a los servicios publicados en Internet y los accesos a los servidores VPN.
Las mismas deberán ubicarse en el segmento externo (detrás de los firewalls).
b. El tráfico interno, gestiones realizadas por los usuarios y administradores en sus labores diarias.
3.7. DOCUMENTACIÓN
El área de Atención a Usuarios y Soporte Técnico establece la necesidad
de documentar y mantener procedimientos operativos que registren los
servicios, las características del tráfico y la política de
comunicaciones implementada en la red corporativa.
Los procedimientos deberán ser tratados como documentos formales y los
cambios deberán ser autorizados por el áreao de Atención a Usuarios y
Soporte Técnico, en todos los casos:
■ Se deberá documentar toda la información referente a las comunicaciones del entorno, obteniendo el siguiente detalle:
a. Mapas de red
b. Topología de la red
c. Inventario de redes
d. Inventario de dispositivos de comunicaciones
e. Inventario de dispositivos de seguridad
■ Asimismo, deberá documentarse toda la información referente a la
política de comunicaciones implantada en la red corporativa. Esta
política posibilita identificar los flujos de tráfico permitidos y los
no permitidos de la red, así como los caminos utilizados para acceder
de un entorno a otro. Se deberán identificar los protocolos de
enrutamiento configurados en la red, el plan de direccionamiento
implementado en el entorno de red especificado por el área de Atención
a Usuarios y Soporte Técnico y demás puntos que se consideren de
utilidad para su registro y posterior análisis.
■ Se deberán documentar las características del tráfico actual de la
red, a fin de que sirvan de punto de comparación en futuras elecciones
de soluciones tecnológicas. Se procederá a documentar:
a. Identificación de puntos críticos
b. Escuchas (sniffers) con fines estadísticos sobre los puntos críticos.
c. Carga actual de los dispositivos de comunicaciones: firewalls,
switches, routers, bridges y ocupación de las líneas de comunicaciones.
4. GENERALIDADES
Queda prohibido el uso de dispositivos o herramientas que permitan
realizar "escuchas", alterar los datos, descifrarlos, desviarlos, entre
otras acciones, sobre los equipos o líneas de comunicaciones, salvo
autorización expresa del INCUCAI para permitir diagnosticar o resolver
algún inconveniente o mal funcionamiento puntual.
La detección de cualquier irregularidad en el tráfico de red es motivo
suficiente para que el INCUCAI proceda a la desconexión sin previo
aviso.
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por la Dirección de Tecnologías y Sistemas de Información. En
caso de conflicto de interpretación se resolverá de buena fe, de
conformidad a los fines perseguidos y de acuerdo con los principios
generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
5. HISTORIAL DE CAMBIOS
1. índice
2. INTRODUCCIÓN
El software malicioso es código desarrollado que se instala de forma no
autorizada e interfiere con el normal funcionamiento de los equipos de
procesamiento, almacenamiento o incluso la red de comunicaciones. Ante
la amenaza continua de la existencia de código malicioso y su nivel de
sofisticación para expandirse, es necesario establecer una serie de
medidas que velen por la seguridad, disponibilidad e integridad de la
información de los usuarios y sistemas del INCUCAI.
La forma más común en que se transmite el código malicioso es por
transferencia de archivos, descarga o ejecución de archivos adjuntos de
correos, visitando páginas web o leyendo un correo electrónico.
Por ello, se deben tomar las medidas necesarias a fin de poder detectar
y eliminar el software malicioso de los equipos de procesamiento
centralizado y las estaciones de trabajo conectadas a la red de
comunicaciones del INCUCAI mediante la utilización de una herramienta
antivirus.
2.1. OBJETIVO
Establecer los requerimientos que deben cumplir todos los equipos de
procesamiento centralizado y estaciones de trabajo conectados a la red
de comunicaciones del INCUCAI, de forma de garantizar la detección y
eliminación de software malicioso (virus informáticos, troyanos,
gusanos, malware en general; incluyendo código móvil), minimizando el
riesgo de infección y su propagación e impedir los accesos no
autorizados, robo o destrucción de información del INCUCAI.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
3.1. IMPLEMENTACIÓN DEL ANTIVIRUS CORPORATIVO
Todos los equipos de procesamiento centralizado y estaciones de trabajo
conectados a la red de comunicaciones del INCUCAI deberán tener
instalado el antivirus corporativo determinado por la Dirección de
Tecnologías y Sistemas de Información, a fin de prevenir y eliminar
cualquier tipo de infección, propagación y/o ejecución de software
malicioso. Este producto será puesto a disposición a través de los
medios que la Dirección de Tecnologías y Sistemas de Información
determine.
La implementación del antivirus corporativo se realizará teniendo en cuenta lo siguiente:
a. Debe ser instalado por los agentes de soporte técnico.
b. Debe ser configurado para actualizar su base de firmas en forma
periódica, con el objetivo de contar con las últimas versiones
publicadas por el proveedor.
c. Debe ser configurado en todos los equipos para una protección en tiempo real.
La solución del antivirus corporativo se encuentra configurada para
limpiar, eliminar o poner en cuarentena los archivos detectados con
infección.
3.2. RESTRICCIONES Y CONSIDERACIONES
Los agentes de soporte técnico y los usuarios deberán tener en cuenta
las siguientes consideraciones sobre las estaciones de trabajo y
equipos de procesamiento centralizado:
a. Todos los equipos de procesamiento centralizado y estaciones de
trabajo conectados a la red del INCUCAI deberán tener instalado el
antivirus corporativo. Si por cualquier razón no fuera posible la
instalación de este producto en algún equipo, el mismo no debería estar
conectado a la red.
b. No se permite instalar una solución distinta al antivirus
corporativo determinado por la Dirección de Tecnologías y Sistemas de
Información.
c. No se permite desinstalar o detener la ejecución del antivirus
corporativo, salvo expresa autorización de la Dirección de Tecnologías
y Sistemas de Información, o en casos en que los agentes de soporte se
encuentren realizando tareas de soporte, habilitando a tal fin una
ventana de tiempo determinada para la ejecución de las tareas.
e. La Dirección de Tecnologías y Sistemas de Información podrá realizar
controles periódicos y programados en forma automática para verificar y
garantizar la instalación del antivirus corporativo en todos los
equipos de procesamiento centralizado y estaciones de trabajo
conectados a la red de comunicaciones del INCUCAI. Si como resultado de
estos controles se identificaran equipos que no cumplan con la
instalación del antivirus corporativo, la DTySI emitirá un informe
dando cuenta de lo sucedido. Este informe será comunicado a la máxima
autoridad del organismo o área donde se haya producido la falta, quien
tomará las medidas que considere necesarias en relación con lo sucedido.
f. La Dirección de Tecnologías y Sistemas de Información se reserva el
derecho a desactivar el acceso a la red del equipo de procesamiento
centralizado o estación de trabajo que no disponga del antivirus
corporativo debidamente instalado y actualizado, con el fin de proteger
a los demás usuarios y equipos de la red.
g. Todas aquellas ejecuciones que se realicen a través de medios de
almacenamiento personales, haciendo uso de discos, pendrives, u otros
medios removibles, serán analizados por el antivirus corporativo no
permitiendo la ejecución de los archivos o elementos que se encuentren
infectados o que presenten algún tipo de riesgo para la red de
comunicaciones del INCUCAI.
3.3. CONTROLES CONTRA CÓDIGO MÓVIL
El código móvil es aquel que sin instalarse en el equipo se ejecuta de
manera automática, realizando una función específica con poca o ninguna
interacción de los usuarios.
En su gran mayoría dicho código proviene del navegador y se ejecuta
dentro de él, pero puede afectar también al correo electrónico y a
otras aplicaciones. La incorporación de código malicioso aprovechando
alguna vulnerabilidad técnica sobre la aplicación que se esté
utilizando, puede tener diversos motivos como robar sesiones, instalar
spyware, entre otros.
En este sentido, el empleo de código móvil deberá ser autorizado
expresamente por la Dirección de Tecnologías y Sistemas de Información;
probando su ejecución en un ambiente seguro y controlado con el fin de
garantizar que el mismo no contenga código malicioso.
4. GENERALIDADES
En caso de constatarse un incumplimiento al presente documento,
implicará la restricción inmediata del acceso a la información digital
y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI
para que evalúe, de corresponder, las acciones a seguir en el ámbito
administrativo, civil o penal.
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N°90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
5. HISTORIAL DE CAMBIOS
contenido
MARCO NORMATIVO DE TI
GUÍA PARA LA PREVENCIÓN DE SOFTWARE MALICIOSO
1. INTRODUCCIÓN
La utilización de las tecnologías informáticas en las comunicaciones
realizadas por los organismos públicos que conforman la APN, además de
haberse instalado en la cultura laboral de los mismos, también es
promovida por el Decreto 378/2005.
El software malicioso es código desarrollado que se instala de forma no
autorizada e interfiere con el normal funcionamiento de los equipos de
procesamiento, almacenamiento o incluso la red de comunicaciones.
La forma más común en que se transmite el código malicioso es por
transferencia de archivos, descarga o ejecución de archivos adjuntos de
correos, visitando páginas web o leyendo un correo electrónico.
Como usuarios debemos tomar las medidas necesarias a fin de mantener
libre de software malicioso los equipos de procesamiento centralizado y
las estaciones de trabajo conectadas a la red de comunicaciones del
INCUCAI.
2.1. OBJETIVO
Que el usuario conozca y observe los requerimientos que deben cumplir
todos los equipos de procesamiento centralizado y estaciones de trabajo
conectados a la red de comunicaciones del INCUCAI, mediante el uso de
las buenas prácticas, minimizando el riesgo de infección y su
propagación e impedir los accesos no autorizados, robo o destrucción de
información del INCUCAI.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias,dando
cumplimento a las mismas.
2.3. ALCANCE
Esta guía, al igual que la política de la que deriva,
INCU-DSyTI-PS-0704, alcanza todas las actividades relacionadas directa
o indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
Asimismo, la elaboración de este documento se encuentra alcanzada por
el procedimiento INCU-CyEP-PO-0501 “Gestión de Documentos” aprobado por
RESFC-2021-150-APN-D#INCUCAI o los que en un futuro modifiquen dicha
resolución.
2. CONTENIDO
3.1. USO DEL SERVICIO
Es importante recordar que es
responsabilidad del usuario adoptar las precauciones apropiadas para
prevenir la distribución de estos y otros tipos de virus.
3.2. MALWARE Y CÓDIGO MALICIOSO
A los efectos de promover las buenas prácticas a continuación se
consigan información de utilidad y consejos útiles para el buen uso de
la Tecnología disponible en el Organismo:
✓
¿Qué es el malware?
Es un tipo de software que tiene como objetivo infiltrarse o dañar una
computadora o sistema de información sin el consentimiento de su
propietario.
Existen distintos tipos de malware o código dañino de acuerdo a cómo actúan.
Los virus informáticos son un tipo de malware que afecta principalmente a archivos ejecutables.
✓
¿Qué es un antivirus o antimalware?
Es un programa informático específicamente diseñado para detectar la presencia de virus o código dañino y eliminarlo.
✓
¿Cómo me puedo infectar?
La infección por virus se produce por la ejecución de un programa
contaminado, por ejemplo, si se ejecuta un programa o se abre un
archivo infectado independientemente de dónde esté (disco rígido,
pendrive, correo electrónico, etc.), o si se navega por páginas de
Internet que tienen código dañino.
✓
¿Qué debo vigilar para no infectarme?
Es conveniente verificar periódicamente que el software de protección
esté activo, y que el mismo sea el ofrecido y adquirido por el INCUCAI.
Se debe evitar el uso de productos sin licencia o adquiridos de fuentes sin garantía.
No abrir o ejecutar archivos o programas de origen desconocido o sospechoso.
Resumiendo: todos los
archivos descargados de Internet o recibidos por otros medios
(pendrives, correo electrónico, etc.) deben ser convenientemente
revisados en busca de presencia de virus o malware.
✓
¿Qué hago si detecto un comportamiento inusual?
Si tenés sospechas fundamentadas sobre la existencia de código
malicioso/virus en tu estación de trabajo, debés comunicarte con
Soporte Técnico de la DSyTI, para el aislamiento de los sistemas
afectados y la eliminación del virus.
3. GENERALIDADES
En caso de constatarse un incumplimiento al presente documento,
implicará la restricción inmediata del acceso a la información digital
y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI
para que evalúe, de corresponder, las acciones a seguir en el ámbito
administrativo, civil o penal.
El presente documento debe ser interpretado armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
4. HISTORIAL DE CAMBIOS
1. ÍNDICE
2. INTRODUCCIÓN
La estación de trabajo del usuario es un recurso clave en la
infraestructura de tecnología informática del INCUCAI. Constituye el
nexo entre el usuario y la información digital de la Institución.
El mal uso de la estación de trabajo o la instalación no autorizada de
software o hardware, además de poder constituir violaciones a los
derechos de propiedad intelectual, puede ocasionar el mal
funcionamiento de esta.
Por tal motivo, se deben tomar los recaudos necesarios para minimizar
el riesgo de pérdida de información, las vulnerabilidades de seguridad
o los plagios.
2.1. OBJETIVO
Establecer los lineamientos necesarios para regular la instalación de
software y hardware de las estaciones de trabajo del INCUCAI y las
responsabilidades de los agentes, cualquiera sea su función asignada.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza a todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
El Departamento Atención a Usuarios y Soporte Técnico tomará las
medidas necesarias para regular y estandarizar la instalación de
software en estaciones de trabajo, estableciendo las siguientes pautas:
3.1. SOFTWARE CORPORATIVO
La Dirección de Tecnologías y Sistemas de Información establecerá el
software autorizado que podrá ser utilizado en las estaciones de
trabajo. Dicho software será denominado corporativo y estará a
disposición de los usuarios a través de los medios que se determine. Si
el software requerido no estuviese disponible dentro de los
autorizados, deberá solicitarse la aprobación del mismo.
La Dirección de Tecnologías y Sistemas de Información pondrá a
disposición, en caso de que el software lo permita, las actualizaciones
en línea de manera automática, cuando el usuario se conecte a la red de
comunicaciones.
3.2. INSTALACIÓN DE SOFTWARE Y HARDWARE
Si un Agente requiere para el desempeño de sus funciones, la
instalación de un software de aplicación no disponible en su estación
de trabajo deberá generar el requerimiento, por medio de los circuitos
formales establecidos.
Los requerimientos deberán ser aprobados por el Propietario de la
Información en casos de software de aplicación, o por la Dirección de
Tecnologías y Sistemas de Información cuando se trate de un software
utilitario.
Las instalaciones serán realizadas por los Agentes de la Dirección de
Tecnologías y Sistemas de Información o por personal autorizado para
tal fin, quienes son los encargados de instrumentar los medios para
aplicar los requerimientos fijados por la Dirección de Tecnologías y
Sistemas de Información en materia de seguridad.
La instalación de cualquier hardware será realizada por los Agentes de
la Dirección de Tecnologías y Sistemas de Información o personal esta
autorice para tal fin.
No se permite a los usuarios instalar o desinstalar hardware en sus estaciones de trabajo.
En el caso de gestiones que impliquen reasignaciones, transferencias o
cambios de destino de las estaciones de trabajo, los datos contenidos
en la misma deberán ser eliminados de forma segura antes de ejecutarse
la gestión.
4. REQUISITOS DE SEGURIDAD LÓGICA
Al momento de encender la estación de trabajo, la misma deberá contar
con una contraseña o credencial válida de arranque como mecanismo de
seguridad por defecto.
No se permite el arranque del sistema operativo desde cualquier medio de almacenamiento que no sea el disco interno.
En períodos de inactividad de la estación de trabajo, se deberá
implementar el bloqueo automático, mediante contraseña o credencial
válida.
La Dirección de Tecnologías y Sistemas de Información evaluará la
necesidad de establecer medidas de autenticación adicionales en
aquellos servicios que crea conveniente.
5. RESTRICCIONES
Debido al riesgo que implica comprometer los mecanismos de seguridad
existentes en recursos informáticos, ningún agente del INCUCAI puede
instalar:
a. Copias ilegales de cualquier software.
b. Software descargado de internet.
c. Software adquirido para uso personal del usuario.
d. Software de entretenimiento.
e. Cualquier otro software que no corresponda al autorizado como Software Corporativo por el INCUCAI.
Los Agentes no deberán participar en la copia, distribución,
transmisión o cualquier otra práctica no autorizada en las licencias de
uso de software.
6. RESPONSABILIDADES
Una estación de trabajo podrá ser asignada a más de un agente, sin
embargo, el período de uso será exclusivo y cada uno será el
responsable de los datos que se manipulen en ella y para todos los
efectos de su uso durante ese período.
Los agentes no podrán retirar o trasladar la estación de trabajo fuera
de las instalaciones del INCUCAI o de la dependencia a la cual fue
asignada sin la previa autorización del Referente de la Información y
del área administrativa correspondiente.
Los Agentes de la Dirección de Tecnologías y Sistemas de Información
serán los responsables de mantener el inventario de los equipos
conectados a la red que administran, juntamente con sus
configuraciones, pertenencia, software instalado, ubicación y modelo.
Dicho inventario debe estar disponible de acceso para la Dirección de
Tecnologías y Sistemas de Información en todo momento.
Si se detecta o evidencia que la estación de trabajo fue vulnerada, se
deberá notificar de manera inmediata a el INCUCAI, y a la Mesa de Ayuda
a efectos de tomar las medidas tecnológicas necesarias.
Los Agentes de la Dirección de Tecnologías y Sistemas de Información
definirán la disponibilidad en las estaciones de trabajo de la
incorporación, la deshabilitación o la modificación de los componentes
de hardware o elementos tecnológicos requeridos para la implementación
de medios de almacenamiento removible.
7. CONSIDERACIONES
Los Agentes de la Dirección de Tecnologías y Sistemas de Información
asignados y el personal autorizado por el Propietario de la Información
son los únicos autorizados para la administración de su estación de
trabajo.
La Dirección de Tecnologías y Sistemas de Información podrá realizar
controles periódicos del software instalado en las estaciones de
trabajo conectadas a su red de comunicaciones. Si como consecuencia de
estos controles se detectara el incumplimiento a la presente política,
la Dirección de Tecnologías y Sistemas de Información podrá emitir un
reporte dando cuenta de lo sucedido y comunicarlo a la máxima autoridad
de la dependencia donde se haya producido la falta, quien tomará las
medidas que considere necesarias.
8. GENERALIDADES
Todo usuario está obligado a conocer el alcance de uso de cada una de
las licencias de software disponible a su disposición, siendo el
responsable ante el INCUCAI y ante terceros del uso que haga de él.
El INCUCAI se reserva el derecho de solicitar la devolución temporal de
la estación de trabajo para desinstalar los programas de software que
no cumplan con lo establecido en la presente política, sin perjuicio de
otras acciones que se puedan emprender en el ámbito administrativo,
civil o penal.
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N°90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
9. HISTORIAL DE CAMBIOS
1. ÍNDICE
MARCO NORMATIVO DE TI
POLÍTICA DE USO DE CORREO ELECTRÓNICO
2. INTRODUCCIÓN
La utilización de las tecnologías informáticas en las comunicaciones
realizadas por los organismos públicos que conforman la APN, además de
haberse instalado en la cultura laboral de los mismos, también es
promovida por el Decreto 378/2005.
Las normas vigentes en la APN prohíben a los empleados a hacer uso
indebido o con fines particulares del patrimonio estatal e imponen la
obligación de usar los bienes y recursos del estado con los fines
autorizados y de manera racional, evitando su abuso, derroche o
desaprovechamiento.
El correo electrónico es una herramienta más de trabajo provista al
empleado a fin de ser utilizada conforme el uso al cual está destinada,
y faculta al Organismo a implementar sistemas de controles destinados a
velar por la protección y el buen uso de sus recursos. Esta facultad,
sin embargo, se ejercerá salvaguardando el derecho a la privacidad de
los empleados.
En este sentido, el uso del correo electrónico institucional
@incucai.gov.ar debe ser empleado de manera racional y responsable,
exclusivamente para fines institucionales y no personales, y cada
usuario es responsable del uso que haga de su cuenta de correo, siendo
objeto de auditoría cuando su práctica comprometa la seguridad del
sistema y la red, teniendo el Organismo la potestad para auditar los
mensajes recibidos o emitidos por los servidores de correo, dentro de
las normas vigentes y preservando el “Compromiso de Confidencialidad”.
Los mensajes salientes serán firmados acorde al modelo de firma
aprobado por la Presidencia del INCUCAI, siendo su uso de carácter
obligatorio y no pudiendo ser modificada sin previa autorización.
La utilización del correo electrónico como medio de transmisión de
información del INCUCAI es recomendada frente a otros medios
tradicionales en función de sus notorias ventajas: economía, rapidez,
eficiencia y confiabilidad. Sin embargo, sus características exigen un
comportamiento responsable por parte de los usuarios, con el fin de
convertirlo en un sistema ágil y seguro.
Al utilizar una cuenta de correo electrónico del INCUCAI, los usuarios
deben tomar en consideración que están actuando en representación de la
organización.
3. OBJETIVO
Establecer las pautas de comportamiento referidas a la utilización del
servicio de cuenta de correo electrónico del INCUCAI por parte de los
usuarios, de forma de garantizar una adecuada protección de la
información y los recursos informáticos y prevenir el tráfico de spam
en la red de comunicaciones del Organismo.
2.1 REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
4. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
5. CONTENIDO
a. SOLICITUD DE SERVICIO
Las solicitudes de altas, bajas y modificaciones de las cuentas de
correo electrónico del Organismo se realizarán conjuntamente a la de
usuarios de dominio incucai.gov.ar.
b. CUENTA DE CORREO ELECTRÓNICO DEL INCUCAI
Toda cuenta de correo electrónico cuyo dominio sea "@incucai.gov.ar” es propiedad del INCUCAI.
Todas las cuentas de correo electrónico INCUCAI deben corresponder a
una persona física en particular. La misma debe tener como dominio la
identificación del usuario, con su nombre y apellido o similar (ej.:
pgomez@incucai.gov.ar).
La creación de cuentas genéricas de correo electrónico será gestionada
solo en aquellos casos en que fuera estrictamente necesario, ya que
deben asignarse a un usuario del INCUCAI y requieren mantenimiento
constante. La necesidad deberá encontrarse justificada en la solicitud,
la que deberá ser emitida por un funcionario con rango no inferior a
Director, equivalente, superior jerárquico o en su defecto al
funcionario a su cargo que éstos designen.
c. USO DEL SERVICIO
Al utilizar el correo electrónico del INCUCAI el usuario acepta los siguientes términos y condiciones de uso:
A. Los usuarios son los únicos responsables del contenido y del uso de sus cuentas de acceso y buzón provistos por el INCUCAI.
B. El uso del mail es personal y sus claves son confidenciales e intransferibles.
C. No está permitido el uso del correo electrónico con fines privados, ya que es una herramienta de trabajo.
D. Las comunicaciones privadas deben realizarse a través de los buzones
ofrecidos por cualquier proveedor de internet, y solo de manera
excepcional desde los sistemas provistos por el INCUCAI. En el caso en
que se realicen por este último medio, quedarán sujetas a los términos
y condiciones de esta normativa.
E. Está prohibida la participación de los usuarios en la propagación de
cartas encadenadas y la distribución de mensajes en forma masiva, ya
sea a cuentas de correo INCUCAI o a cuentas externas. La distribución
de mensajes masivos solo puede realizarse a través de cuentas definidas
para tal fin.
F. La redacción de las comunicaciones debe ser breve, estilo
telegráfico, para evitar el congestionamiento de la red. Si es
imprescindible enviar un alto volumen de información deberá insertarse
como documento adjunto.
G. La información que se recibe de manera personal y confidencial por correo electrónico no puede
reenviarse a otra persona, sin autorización del remitente.
H. Todos los mensajes deben enviarse correctamente identificados con el
nombre, función y dependencia al que pertenece el remitente.
I. Los usuarios deben evitar transmitir o almacenar información
considerada confidencial. Se recomienda utilizar un medio de
encriptación seguro en caso de enviar un mensaje de este tipo.
La Dirección de Tecnologías y Sistemas de Información se reserva el
derecho de administrar o limitar el tráfico de archivos adjuntos u otro
tipo de información anexa al servicio de correo electrónico, por
motivos de seguridad o por rendimiento de la red.
d. CONTROL DE SPAM
Se denomina spam al uso del correo electrónico para enviar mensajes no
solicitados o no deseados, habitualmente de tipo publicitario y
enviados de forma masiva.
La Dirección de Tecnologías y Sistemas de Información establece las
medidas necesarias para el control de este tipo de mensajes a fin de
minimizar los riesgos de seguridad y maximizar el rendimiento de su red
de comunicaciones.
e. LISTAS DE DISTRIBUCIÓN
Los mails masivos de información general del INCUCAI institucionales,
tales como newsletters o comunicaciones internas, solo podrán ser
enviados desde cuentas que se destinen para tal fin, denominadas
“listas de distribución”, (ej. Compras@incucai.gov.ar) o que son
creadas para ciertos fines (ej. Boletín@incucai.gov.ar).
La creación de listas de distribución deberá ser solicitada solo en
aquellos casos en que fuera estrictamente necesario, debiendo ser
requeridas por un funcionario con rango no inferior a Director,
equivalente, superior o en su defecto al funcionario a su cargo que
éstos designen, a través de una nota.
Para solicitar la creación de una lista de distribución, se deberán suministrar los siguientes datos:
A. Nombre de la lista de distribución.
B. Lista de usuarios miembros.
C. Motivo de la solicitud.
D. Sector y usuarios autorizados para su utilización.
f. PAUTAS PARA EL BUEN USO DEL CORREO INSTITUCIONAL
A los efectos de promover el buen uso de ésta herramienta se les
recomendará a los usuarios la puesta en práctica de pautas disponibles
en la Guía INCU-DTySI-GU-0701.
6. GENERALIDADES
En caso de constatarse un incumplimiento al presente documento,
implicará la restricción inmediata del acceso a la información digital
y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI
para que evalúe, de corresponder, las acciones a seguir en el ámbito
administrativo, civil o penal.
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
7. HISTORIAL DE CAMBIOS
CONTENIDO
MARCO NORMATIVO DE TI
GUÍA PARA EL BUEN USO DEL CORREO ELECTRÓNICO INSTITUCIONAL
2. INTRODUCCIÓN
La utilización de las tecnologías informáticas en las comunicaciones
realizadas por los organismos públicos que conforman la APN, además de
haberse instalado en la cultura laboral de los mismos, también es
promovida por el Decreto 378/2005.
Las normas vigentes en la APN prohíben a los empleados a hacer uso
indebido o con fines particulares del patrimonio estatal e imponen la
obligación de usar los bienes y recursos del estado con los fines
autorizados y de manera racional, evitando su abuso, derroche o
desaprovechamiento.
El correo electrónico es una herramienta más de trabajo provista al
empleado a fin de ser utilizada conforme el uso al cual está destinada,
y faculta al Organismo a implementar sistemas de controles destinados a
velar por la protección y el buen uso de sus recursos. Esta facultad,
sin embargo, se ejercerá salvaguardando el derecho a la privacidad de
los empleados.
En este sentido, el uso del correo electrónico institucional
@incucai.gov.ar debe ser empleado de manera racional y responsable,
exclusivamente para fines institucionales y no personales, y cada
usuario es responsable del uso que haga de su cuenta de correo, siendo
objeto de auditoría cuando su práctica comprometa la seguridad del
sistema y la red, teniendo el Organismo la potestad para auditar los
mensajes recibidos o emitidos por los servidores de correo, dentro de
las normas vigentes y preservando el “Compromiso de Confidencialidad”.
La utilización del correo electrónico como medio de transmisión de
información del INCUCAI es recomendada frente a otros medios
tradicionales en función de sus notorias ventajas: economía, rapidez,
eficiencia y confiabilidad. Sin embargo, sus características exigen un
comportamiento responsable por parte de los usuarios, con el fin de
convertirlo en un sistema ágil y seguro.
Al utilizar una cuenta de correo electrónico del INCUCAI, los usuarios
deben tomar en consideración que están actuando en representación de la
organización.
2.1. OBJETIVO
Establecer las pautas de comportamiento referidas a la utilización del
servicio de cuenta de correo electrónico del INCUCAI por parte de los
usuarios, de forma de garantizar una adecuada protección de la
información y los recursos informáticos y prevenir el tráfico de spam
en la red de comunicaciones del Organismo.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta guía, al igual que la política de la que deriva,
INCU-DSyTI-PS-0706, alcanza todas las actividades relacionadas directa
o indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
Asimismo, la elaboración de este documento se encuentra alcanzado por
el procedimiento INCU-CyEP-PO-0501 “Gestión de Documentos” aprobado por
RESFC-2021-150-APN-D#INCUCAI o los que en un futuro modifiquen dicha
resolución.
3. CONTENIDO
3.1. USO DEL SERVICIO
Es importante resaltar que al utilizar el correo electrónico del
INCUCAI el usuario acepta los términos y condiciones de uso que se
indican en la política INCU-DSyTI-PS-0706.
3.2. PAUTAS PARA EL BUEN USO DEL CORREO INSTITUCIONAL
A los efectos de promover el buen uso de ésta herramienta se recomienda
a los usuarios la puesta en práctica de las siguientes pautas:
✓
No responder al correo no solicitado.
Responder al correo no solicitado (spam) aumenta la cantidad de correo
basura en nuestro buzón ya que indica al remitente que la cuenta es
leída. Los mensajes no deseados (incluidos los que contiene o contenían
virus) deben borrarse sin más. Si los mismos solicitan confirmación de
lectura, seleccionar la opción “NO”.
✓
No abrir archivos que no esperamos.
Aunque procedan aparentemente de personas conocidas no se deben abrir
mensajes no esperados que contengan adjuntos, ya que puede tratarse de
virus, aunque el servicio antivirus del correo los haya limpiado es
bueno tener esta costumbre.
✓
No difundir correo no solicitado.
Reenviar correo no solicitado (cadenas de mensajes, publicidad, etc),
solo contribuye a aumentar este tipo de correo entre los destinatarios.
En consecuencia, el servidor de correo del Organismo puede ser incluido
en las listas negras, causando que otros servidores de Correo rechacen
mensajes que procedan o hayan pasado por éste.
Incluso si no tienen carácter publicitario, los envíos masivos y no
solicitados de convocatorias, noticias, etc, también se consideran spam
(correo basura).
✓
No enviar mensajes a muchas personas en el campo "Para".
Si se envía un correo a una larga lista de personas en el campo "Para"
está contribuyendo a que estas personas reciban más correo no
solicitado. Además puede que algunos de ellos no deseen que su
dirección sea conocida por terceros. Utilice para ello el campo CCO
(copia oculta).
✓
Dar nuestra dirección con moderación.
No proporcionar su dirección de correo en páginas web de procedencia
dudosa o que puedan enviarle publicidad no deseada. Estar atentos al
completar formularios para no indicar, sin saberlo, que queremos
recibir publicidad. Para registrarse en este tipo de sitios, disponer
de un cuenta gratuita.
✓
Diferenciar entre correo profesional y personal.
Obtenga una cuenta de correo electrónico para asuntos personales. De
esta forma podrá reducir el volumen de correo de su buzón
institucional, manteniendo ésta para fines adecuados.
✓
Limitar el tamaño de los mensajes y el uso de adjuntos.
El correo electrónico no es el mecanismo adecuado para transferir
archivos. Tenga en cuenta que el destinatario puede tener problemas
para leerlos, bien por su excesivo tamaño o porque el tipo de archivo
(.exe, .vbs, ...) puede estar prohibido en el sistema receptor. Cuando
enviemos un adjunto indicar en el texto del mensaje cuál es su
contenido y su propósito para evitar que el destinatario sospeche de
que se trata de un virus.
✓
No enviar archivos adjuntos mayores a 25 mb.
El servidor de correo limita el tamaño de los mails a esta capacidad.
✓
Incluir un "Asunto" del mensaje.
Indicar en el campo "Asunto" una frase descriptiva del mensaje. Esto
facilita la clasificación, recuperación y lectura al destinatario y
constituye una norma de cortesía.
✓
Respetar la privacidad de los mensajes y el destinatario.
No reenviar mensajes destinados a usted sin el permiso del remitente,
sobre todo aquellos con contenido conflictivo o confidencial. No
divulgar la dirección de una persona a terceros, sin su permiso. No
publicar direcciones de correo en una web sin permiso del titular.
4. GENERALIDADES
En caso de constatarse un incumplimiento al presente documento,
implicará la restricción inmediata del acceso a la información digital
y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI
para que evalúe, de corresponder, las acciones a seguir en el ámbito
administrativo, civil o penal.
El presente documento debe ser interpretado armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
5. HISTORIAL DE CAMBIOS
1. índice
MARCO NORMATIVO DE TI
POLÍTICA DE USO DE INTERNET
2. INTRODUCCIÓN
Internet constituye la herramienta más efectiva para el acceso y la
transmisión de información. Es el medio de mayor alcance que puede
utilizar cualquier organismo, tanto público como privado, para difundir
información acerca de sus actividades.
Por otra parte, mientras que Internet es una red en general abierta a
todos, una Intranet es una red interna, propia de una organización, que
utiliza protocolos de Internet para compartir información y parte de
sus sistemas informáticos que facilita la publicación de información
interna.
La dirección de tecnologías y sistemas de información promueve el uso
tanto de Internet como de Intranet para que los agentes realicen
trabajos específicos a su función.
2.1. OBJETIVO
Establecer las pautas de comportamiento referidas a la utilización de
Internet para un uso debido por parte de los usuarios conectados a la
red de comunicaciones del INCUCAI, de forma de garantizar una adecuada
protección de la información.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
El servicio de acceso a Internet deberá ser utilizado únicamente con fines laborales.
Todos los accesos desde Internet a recursos informáticos de la red de
comunicaciones del INCUCAI deben utilizar protocolos de comunicación
que garanticen un adecuado nivel de integridad y confidencialidad de
los datos transmitidos.
3.1. SOLICITUD DE SERVICIO
Todo personal que no sea agente del INCUCAI que se encuentre prestando
un servicio y requiera acceso a Internet podrá hacerlo y estará sujeto
a las reglas de filtrado de contenido que el INCUCAI tiene para las
comunicaciones.
3.2. CONTENIDO FILTRADO EN LA NAVEGACIÓN
Los usuarios tendrán prohibido el acceso a todo contenido considerado
inapropiado para el ámbito laboral. En la medida en que los sistemas lo
posibiliten, la dirección de tecnologías y sistemas de información se
reserva el derecho de limitar a los usuarios el acceso a los sitios que
pudieran perjudicar los intereses y la reputación del INCUCAI o pongan
en riesgo su red de comunicaciones.
3.3. PROHIBICIONES
Las restricciones y prohibiciones definidas a continuación deben ser
respetadas por todos los usuarios que utilicen cualquiera de los
recursos de la red de comunicaciones del INCUCAI para el acceso a
Internet, ya sea porque utiliza una estación de trabajo o porque
utiliza alguno de los recursos de comunicaciones para conectarse.
Quedan prohibidos los siguientes usos de Internet, utilizando recursos informáticos del INCUCAI en cualquier horario:
a. Intentar obtener acceso no autorizado o comprometer el desempeño o la privacidad de cualquier sistema de computación.
b. Descargar archivos de video o de voz, salvo que los mismos sean para
fines laborales. Esta limitación se debe al considerable espacio de
almacenamiento que ocupan dichos archivos y a la tasa de transferencia
que requiere.
c. Realizar cualquier actividad ilegal o contraria a los intereses del
INCUCAI, tales como publicar información reservada, acceder sin
autorización a recursos o archivos o impedir el acceso a otros usuarios
mediante el mal uso deliberado de recursos comunes.
d. Efectuar cualquier actividad comercial en Internet, excepto que lo
haga en representación del INCUCAI mediando autorización expresa.
e. Iniciar cualquier actividad que pueda comprometer la seguridad de los servidores del INCUCAI.
f. Dar a conocer sus contraseñas de acceso o compartirlas con otros
usuarios. La contraseña es personal y confidencial. Si llegara a
detectarse esta situación el usuario quedará automáticamente
inhabilitado.
g. Realizar cualquier actividad de recreación personal o de promoción
de intereses personales (tales como creencias religiosas, hobbies,
etc.).
h. Iniciar sesiones de Internet desde ubicaciones remotas, usando
recursos de información del INCUCAI, excepto aquellos casos que estén
debidamente autorizados.
i. Utilizar Internet para violar derechos de propiedad intelectual.
j. Aceptar descargas de software propuestas por páginas web durante su navegación.
k. Establecer una página como predeterminada diferente a la Intranet del INCUCAI.
l. Intentar eludir o eludir los mecanismos de control y filtrado.
m. Utilizar lenguaje inapropiado.
n. Realizar cualquier actividad que atente contra la moral y las buenas costumbres.
o. Llevar a cabo cualquier práctica que pueda considerarse discriminatoria.
3.4. RESPONSABILIDADES DE LOS USUARIOS
Los usuarios tendrán las siguientes responsabilidades:
a. Aplicar lo establecido en la presente política.
b. Respetar la presente política para el uso de los servicios de
Internet y evitar toda práctica que pueda dañar los recursos
informáticos y la información del INCUCAI.
c. Tomar en consideración todo requerimiento especial para proteger y
acceder a información según lo establecido por el INCUCAI, incluyendo
material protegido por las leyes de propiedad intelectual (ley Nacional
N° 25.326, o aquella que en su futuro la reemplace), o en lo que hace a
la privacidad de sus propios datos.
d. Utilizar Internet en forma apropiada incluyendo los procedimientos e
indicaciones a seguir cuando se usen servicios de computadoras remotas
y cuando se transfieran archivos a otras computadoras.
e. El INCUCAI se reserva el derecho de monitorear las actividades que
realicen los usuarios en Internet. El simple uso de los servicios de
Internet implica el consentimiento a este monitoreo de seguridad,
quedando a criterio de cada usuario evaluar su nivel de exposición, de
acuerdo con el establecimiento de sesiones que en su mayoría no son
privadas.
f. Cada persona es responsable tanto de los sitios como de la
información a la que accede con su cuenta de usuario, así como también
de toda información que se copia para su conservación en los equipos
del INCUCAI.
3.5. MONITOREO
Todos los accesos pueden ser sujetos a monitoreo y conservación
permanente por parte de la dirección de tecnologías y sistemas de
información.
Los usuarios no deben desactivar ninguno de los mecanismos de control
definidos por la dirección de tecnologías y sistemas de información,
tales como programas de filtrado de sitios y contenidos o de monitoreo
de accesos.
4. GENERALIDADES
Cualquier violación a la presente política puede derivar en la
cancelación del acceso a la red de comunicaciones del INCUCAI, sin
perjuicio de otras acciones que pudieran corresponder en el ámbito
administrativo, civil o penal.
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo a los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
5. HISTORIAL DE CAMBIOS
1. índice
MARCO NORMATIVO DE TI
POLÍTICA DE USO DE EQUIPOS PORTÁTILES
2. INTRODUCCIÓN
Los equipos portátiles son utilizados como herramientas de trabajo
profesional, se conectan a la red de comunicaciones del INCUCAI, en
ellos se procesa y se almacena gran cantidad de información, en muchos
de los casos de tipo confidencial. Es por esto que se deben aplicar
medidas de seguridad adecuadas que permitan garantizar la protección de
la información procesada en dichos equipos.
2.1. OBJETIVO
Establecer los lineamientos de seguridad a implementar para el
tratamiento de los equipos portátiles que procesan, almacenan
información del INCUCAI o requieran conexión a su red de comunicaciones.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
3.1. EQUIPOS PORTÁTILES PROPIEDAD DEL INCUCAI
Los equipos portátiles pertenecientes al INCUCAI deben cumplir con las
medidas de seguridad definidas para su tratamiento y protección.
3.1.1. ASIGNACIÓN Y ADMINISTRACIÓN
Con el fin de que la Dirección de Tecnologías y Sistemas de Información
cuente con información de la asignación de los equipos portátiles, el
área de Patrimonio deberá mantener un registro de los equipos
suministrados a los agentes del INCUCAI, en el cual se detallen los
datos correspondientes del dispositivo (marca, modelo y número de
serie) y del agente del INCUCAI a quien le ha sido otorgado. Dicho
registro se deberá encontrar disponible para su control.
Para la asignación de un equipo portátil a un agente será condición
necesaria que cuente con un ID de Usuario INCUCAI a través del cual
será identificado.
Seguridad Informática deberá proceder a la baja de los accesos y
recursos que el usuario tiene asignado cuando deje de prestar servicios
en el INCUCAI.
Por reasignación o baja de equipos, los directores informarán la Dirección de Tecnologías y Sistemas de Información.
La Dirección de Tecnologías y Sistemas de Información capacitará al
personal cuando opere el equipamiento fuera de las instalaciones del
INCUCAI, con el objeto de cumplir con las pautas de control de acceso y
seguridad física requeridas.
3.1.2. SOFTWARE
La Dirección de Tecnologías y Sistemas de Información establecerá el
software autorizado que podrá ser utilizado en los equipos portátiles.
Si el software requerido no estuviese disponible dentro de los
autorizados, deberá solicitarse a esta dirección para su aprobación.
La Dirección de Tecnologías y Sistemas de Información pondrá a
disposición, en caso que el software lo permita, las actualizaciones en
línea de manera automática, cuando el usuario se conecte a su red de
comunicaciones.
La instalación de cualquier software en el equipo portátil será
realizada por la Dirección de Tecnologías y Sistemas de Información o a
quienes esta designe para tal fin, quienes son los encargados de
instrumentar los medios para aplicar los requerimientos fijados por la
Dirección de Tecnologías y Sistemas de Información en materia de
seguridad.
Si un agente requiere la instalación de un software de aplicación no
disponible en su equipo portátil para el desempeño de sus funciones
deberá generar el requerimiento por medio de los circuitos formales
establecidos por la Dirección de Tecnologías y Sistemas de Información.
Los equipos portátiles pertenecientes a el INCUCAI no podrán sufrir
modificaciones, ni ser remplazadas sus configuraciones de seguridad.
En el caso de gestiones que impliquen reasignaciones, transferencias o
cambio de titularidad del equipo portátil, los datos contenidos en el
mismo deberán ser eliminados de forma segura antes de ejecutarse la
gestión.
Debido al riesgo que implica comprometer los mecanismos de seguridad
existentes en recursos informáticos, ningún agente podrá descargar o
instalar en el equipo portátil software que no corresponda con el
Software Corporativo autorizado por la Dirección de Tecnologías y
Sistemas de Información.
3.1.3. HARDWARE
La instalación de cualquier hardware será realizada por la Dirección de
Tecnologías y Sistemas de Información o a quienes esta designe para tal
fin.
No se permite a los usuarios instalar o desinstalar hardware en los equipos portátiles.
3.2. REQUERIMIENTOS DE SEGURIDAD Y USO
Todos los equipos portátiles que se conecten a la red de comunicaciones
del INCUCAI o bien que almacenen o procesen información perteneciente a
este, deben cumplir con las medidas de seguridad definidas para su
tratamiento y protección:
3.2.1. REQUISITOS DE SEGURIDAD LÓGICA
La información del INCUCAI almacenada o procesada en los equipos
portátiles debe ser protegida de manera de imposibilitar los accesos no
autorizados. El mecanismo utilizado para la protección deberá ser
aprobado por la Dirección de Tecnologías y Sistemas de Información.
Al momento de encender el equipo, este deberá contar con una contraseña
o credencial válida de arranque como mecanismo de seguridad por defecto.
No se permite el arranque del sistema operativo desde cualquier medio de almacenamiento que no sea el disco interno.
En períodos de inactividad, se deberá implementar el bloqueo automático
del equipo portátil, mediante contraseña o credencial válida.
3.2.2. CONEXIONES A LA RED
No se permite la conexión de los equipos portátiles a la red de
comunicaciones del INCUCAI simultáneamente con otros entornos como son
las redes públicas, Internet, vía dispositivos de acceso móvil o redes
inalámbricas no controladas.
Los equipos portátiles podrán contar con mecanismos de control de
conexiones establecidos por el área de Comunicaciones, a fin de
prevenir y controlar las conexiones no autorizadas, cuando se encuentre
conectado a la red de comunicaciones del INCUCAI.
El registro de eventos de acceso se mantendrá habilitado para que
Seguridad Informática pueda detectar, en caso de necesidad, cualquier
incidente de seguridad o intentos de accesos no autorizados.
3.2.3. SEGURIDAD FÍSICA
Los equipos no deberán encontrarse desatendidos, cuando se trabaje en
oficinas o sean llevados a salas de reuniones, aunque sea por un corto
período.
El equipo portátil en caso de ser propiedad del INCUCAI, debe ser
transportado, por el agente del INCUCAI, en el bolso que se le ha
asignado, a fin de reducir accidentes de transporte.
El equipo portátil no deberá dejarse en compartimientos o ubicaciones
externas a las instalaciones del INCUCAI, ni tampoco estar desatendidos
en áreas de paso sin vigilancia o de acceso público. El agente deberá
evaluar el riesgo de uso del equipo fuera de las instalaciones y actuar
en consecuencia a fin de minimizar el impacto.
Si el equipo portátil del INCUCAI o el equipo del tercero fuese
sustraído o extraviado durante el transcurso de la prestación del
servicio se deberá realizar la correspondiente denuncia policial y
notificar de manera inmediata al área de Atención a Usuarios y Soporte
Técnico, a efectos de tomar las medidas tecnológicas necesarias.
3.2.4. SOFTWARE MALICIOSO
Los equipos portátiles pertenecientes al INCUCAI, deberán tener
instalada, actualizada y habilitada la solución corporativa de
prevención de software malicioso definida por el área de Atención a
Usuarios y Soporte Técnico.
Los equipos portátiles de terceros o propiedad de agentes del INCUCAI
tendrán que contar con una solución de prevención de software malicioso
con soporte vigente y lista de definiciones actualizada.
3.3. INGRESO Y EGRESO DE EQUIPOS PORTÁTILES
Todos los ingresos y egresos de equipos portátiles que no sean
propiedad del INCUCAI, serán registrados dejando constancia los
siguientes datos:
■ Marca
■ Número de serie
■ Persona responsable de la misma (Nombre y apellido, DNI)
■ Repartición / Empresa a la cual pertenece
■ Fecha y hora
Dichos requisitos serán solicitados por el personal de seguridad
edilicia, responsable de comprobar la veracidad de los datos y su
posterior asiento.
4. GENERALIDADES
En caso de constatarse un incumplimiento al presente documento,
implicará la restricción inmediata del acceso a la información digital
y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI
para que evalúe, de corresponder, las acciones a seguir en el ámbito
administrativo, civil o penal.
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
5. HISTORIAL DE CAMBIOS
1. índice
MARCO NORMATIVO DE TI
POLÍTICA DE REGISTRO DE EVENTOS EN SERVICIOS DE TI
2. INTRODUCCIÓN
Para garantizar un adecuado esquema de seguridad frente a los accesos a
los recursos de infraestructura de TI y el software del INCUCAI, es
indispensable contar con mecanismos de registro de eventos, que
garanticen la trazabilidad y faciliten el posterior monitoreo de los
accesos y actividades realizadas sobre dichos recursos.
2.1. OBJETIVO
Definir las pautas generales para asegurar una adecuada registración de
eventos relacionados con los servicios de TI del INCUCAI, maximizando
la trazabilidad de los mismos.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
A fin de efectuar un adecuado registro de los eventos relacionados con
la seguridad de la información, se deben tener en cuenta las siguientes
consideraciones en la registración de eventos. Se producirán y
mantendrán registros de auditoría en los cuales se registren las
actividades, excepciones, y eventos de seguridad de la información, a
fin de permitir la detección e investigación de incidentes, violación o
infracción normativa en el acceso o uso de los recursos de
infraestructura de TI, software de base y software de aplicación del
INCUCAI.
3.1. REGISTRO DE LOS EVENTOS DE AUDITORÍA
Todo el hardware y software empleado debe permitir la registración
automática y explotación de la información considerada como evento de
auditoría.
Todo software de base y de aplicación implementado en INCUCAI debe
brindar facilidades de registro automático de eventos, pudiendo
utilizarse software complementario en aquellos casos en los que el
software de base o la aplicación no posean dicha funcionalidad.
Los registros se llevarán y mantendrán de forma cronológica de acuerdo
con las operaciones efectuadas por el sistema u aplicación.
Los registros contendrán información que permita identificar al
usuario, el evento o acción realizada, los recursos involucrados y el
registro cronológico, como mínimo. Adicionalmente, deberán contar con
controles de seguridad apropiados a fin de evitar su alteración.
Todos los registros serán tratados como información de criticidad alta
de acuerdo con lo establecido por el INCUCAI y en función del nivel de
clasificación asignado.
Los usuarios no poseerán permisos de modificación sobre los archivos de
configuración, ni tampoco podrán acceder a funcionalidades que permitan
deshabilitar la grabación de registros de eventos. Se deben tomar las
medidas de seguridad necesarias para garantizar su protección frente a
intentos de eliminación u modificación no autorizados.
Los registros de eventos estarán previstos para generar trazas que
permitan detectar, diagnosticar, auditar y analizar, tanto problemas de
seguridad, como aspectos relacionados con el tratamiento de la
información, y la detección de errores accidentales.
3.2. GESTIÓN DEL REGISTRO DE EVENTOS
De ser posible técnicamente, el INCUCAI consolidará automáticamente
todos los eventos de forma centralizada considerando como elementos
clave la automatización (configuración inicial y revisión posterior si
fuese necesario), el tipo de almacenamiento y la compresión.
De acuerdo a las directrices establecidas por el INCUCAI, los
resguardos de registros de eventos deberán realizarse de forma
independiente a los resguardos de la información en producción.
El Propietario de la Información cuyos eventos sean registrados, podrá
acceder al archivo de resguardo de registros de eventos, solo con
permisos de lectura. Asimismo, con la debida autorización podrá acceder
el personal de Sindicatura General y el personal de Unidad de Auditoría
Interna (UAI).
3.3. REGISTRO DE EVENTOS PARA SOFTWARE DE APLICACIÓN
El registro de este tipo de eventos poseerá en su alcance la
registración de todos aquellos cambios o acciones críticas que se
realicen dentro de las bases de datos o repositorios con los cuales
opere la aplicación; estos cambios se ejecutan a través de
transacciones, las cuales deben quedar registradas.
Para que un registro de eventos transaccionales cumpla con la finalidad
requerida, deberá realizarse un análisis y estudio previo de la
información que procesa cada aplicación y cuáles son las necesidades de
trazabilidad de la misma; en concordancia con los criterios de
clasificación de la información establecidos por el INCUCAI.
Partiendo de la base de que cada acción / transacción que procesa el
software de aplicación va a generar un nuevo evento, todas las
acciones, cualesquiera sean, van a compartir un set de datos
informativos básicos y obligatorios, que se registrarán siempre. De
esta manera, se obtiene la trazabilidad y la referencia del cambio de
la información, se recogen las modificaciones de datos y se detalla
cual fue la actividad general del software de aplicación.
Existe, para estos casos, información general como identificación de
usuario que realiza la acción, fecha hora, identificación del equipo,
ubicación, transacción ejecutada, información de la acción, entre
otras, que deberá registrarse de forma obligatoria y será aplicable al
software en ambientes de producción dentro del ámbito del INCUCAI.
Asimismo, existe información particular de resguardo. La información
particular y de gestión de gobierno, que impactará en los registros de
auditoría de cada software de aplicación deberá ser evaluada al momento
de realizar el análisis de la misma, teniendo en cuenta y definiendo lo
que se quiere controlar, el tráfico de información de mayor riesgo y la
sensibilidad que posee la ejecución de validaciones, cambios o
consultas específicas. El Propietario de la Información, tendrá sus
registros de eventos alineados con sus misiones y funciones, los cuales
deberán ser validados con la Unidad de Auditoría Interna que le
corresponde.
Para todo el software de aplicación que se opere dentro del ámbito del
INCUCAI, el Organismo adquiriente o desarrollador del software deberá
incorporar como mínimo, en los registros de eventos las acciones o
actividades realizadas con:
• Información reservada, de acuerdo con lo definido por el INCUCAI.
• Todo dato que pueda en su contexto, modificar valores monetarios.
• Modificaciones a datos presupuestarios, catastrales o impositivos.
• Modificaciones en el modelo de autorización del software de aplicación.
Para la implementación de un nuevo software, la configuración y el
contenido de los registros de eventos deberán ser aprobados por el
INCUCAI, quienes aprobarán u observarán los correspondientes registros,
antes de ser incorporados en el ambiente productivo del INCUCAI.
Los cambios posteriores a las aplicaciones productivas deberán cumplir
idénticos requerimientos y serán evaluados previamente a su
implementación por el INCUCAI, quienes darán intervención a la UAI del
Organismo, en caso de ser necesario para su aprobación.
3.4. AUDITORIA DE BASE DE DATOS POR FUERA DE UNA APLICACIÓN
Toda modificación de los datos operativos del ambiente de producción
por fuera del software de aplicación y que se realice por excepción
justificada y aprobada, deberá reflejar el cambio en los registros de
eventos correspondientes, como requisito obligatorio para la ejecución
de dicha modificación.
En el caso en que el recurso tecnológico lo permita, se deberá activar
la automatización de registración de actividades, a fin de evidenciar
cualquier tipo de instrucción ejecutada sobre los repositorios de datos.
4. GENERALIDADES
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo a los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
5. HISTORIAL DE CAMBIOS
1. índice
MARCO NORMATIVO DE TI
POLÍTICA DE CONTROL DE EVENTOS EN SERVICIOS DE TI
2. INTRODUCCIÓN
A fin de monitorizar todos los sucesos importantes que se producen en
los sistemas informáticos del INCUCAI y poder anticiparse a los
problemas, resolverlos y prevenirlos, se debe realizar un control sobre
los eventos capturados en los registros.
A efectos de la operación del servicio, se denomina evento a todo
suceso detectable que tiene importancia para la estructura de TI, para
la prestación de un servicio o para la evaluación del mismo, como, por
ejemplo, las notificaciones creadas por los servicios, los elementos de
configuración o las herramientas de monitoreo y control.
2.1. OBJETIVO
Definir las pautas generales para asegurar una adecuada identificación
y seguimiento de los eventos en los servicios de TI registrados en los
sistemas del INCUCAI.
Asegurar que se registren y se evalúen todos los eventos significativos para la seguridad de accesos.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
El Centro de Operaciones de Seguridad o SOC (por sus siglas en inglés),
realizará un control sobre todas las actividades registradas en los
recursos informáticos y recursos de infraestructura. Para el caso del
software de aplicación, el Centro de Operaciones de Seguridad o SOC
realiza el registro de los eventos y su guarda, recayendo el control de
esos eventos en el Propietario de la Información, quien son los
responsables de indicar la necesidad de registrar aquellos eventos que
consideren críticos para la operatoria que se encuentra bajo su
responsabilidad.
A fin de efectuar un adecuado control de los eventos relacionados con
la seguridad de la información, se deben tener en cuenta las siguientes
consideraciones:
3.1. CLASIFICACIÓN DE EVENTOS
La Dirección de Tecnologías y Sistemas de Información reconoce la siguiente tipología de eventos a aplicar:
3.1.1.Eventos Informativos
Se utiliza la ocurrencia de estos eventos con el fin de reunir
información sobre el hardware, el software, los problemas del sistema.
Son sucesos cuya ocurrencia no implica una amenaza potencial para la
gestión de los servicios de TI, sino que tan solo son reportados como
medida preventiva y con la finalidad de lograr el control interno y el
monitoreo del correcto funcionamiento de los servicios.
3.1.2.Eventos De Advertencia
Eventos que no son necesariamente significativos, pero podrían indicar
un posible problema futuro para el mantenimiento de la gestión de los
servicios de TI.
3.1.3.Eventos De Alerta
Asimismo, existen eventos que por sí mismos pueden caer dentro de una
de las categorías, pero, en conjunto con otros eventos, pueden
configurar una situación de mayor nivel de riesgo.
3.2. ACCESO A LA INFORMACIÓN DE LOS REGISTROS
Los registros de eventos serán accedidos por personal autorizado del
Centro de Operaciones de Seguridad o SOC, pudiendo disponer de la
utilización de herramientas o software apropiados para llevar a cabo el
control de los mismos.
Los Órganos de Control u otros Organismos que requieran acceso a la
información deberán contar con la correspondiente notificación del
Propietario de la Información indicando el alcance y la justificación
de la solicitud. La información a acceder será brindada por el Centro
de Operaciones de Seguridad o SOC en la medida que los sistemas lo
permitan. La recuperación de la información será realizada por personal
experimentado y adecuadamente habilitado por el Centro de Operaciones
de Seguridad o SOC .
El usuario autorizado para llevar a cabo los procesos de generación de
copias de resguardo de los registros de eventos solo deberá tener los
accesos que su función requiere, es decir, no contando con acceso al
contenido de los mismos. Los agentes que realizan las funciones de
revisión y aquellos cuyas actividades están siendo monitoreadas,
deberán encontrarse obligatoriamente separadas.
No está permitida la eliminación de los registros de eventos, a menos
que se trate de una depuración programada y realizada por personal
autorizado por el Centro de Operaciones de Seguridad o SOC.
No está permitida la desactivación de la herramienta de registro, la
alteración de eventos registrados o la sobrescritura de los mismos. El
Centro de Operaciones de Seguridad o SOC, ejecutará los controles de
acceso necesarios a fin de garantizar que no ocurran dichas situaciones.
El Centro de Operaciones de Seguridad o SOC realizará revisiones
periódicas de los registros de eventos obtenidos, con el fin de
analizar las actividades definidas para tal fin y generará un registro
de dichas revisiones.
3.3. RESPUESTA A EVENTOS
Ante situaciones de anormalidad, el Centro de Operaciones de Seguridad
o SOC evaluará la necesidad de notificación al Propietario de la
Información cuyas actividades están siendo monitoreadas, acerca de las
anomalías detectadas determinando de manera conjunta la severidad del
hallazgo y las acciones a tomar que sean necesarias, en caso de
corresponder.
4. GENERALIDADES
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo a los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
5. HISTORIAL DE CAMBIOS
1. índice
MARCO NORMATIVO DE TI
POLÍTICA DE ADMINISTRACIÓN DE CONTRASEÑAS
2. INTRODUCCIÓN
A los efectos de proteger tanto la información digital como los
recursos informáticos del INCUCAI se deben tomar las medidas de
seguridad necesarias y aplicar controles de acceso. La efectividad de
estos controles, en su gran mayoría, depende de la manera en que se
apliquen.
La autenticación permite verificar la identidad del usuario que
requiere conectarse a un recurso informático y el control de acceso
permite asegurar que el sistema o recurso informático es utilizado
solamente por aquellos usuarios autorizados. La autenticación del
usuario a partir de contraseñas forma parte de estos controles, con lo
cual una correcta administración de las claves resulta indispensable
para lograr la protección deseada.
2.1. OBJETIVO
Asegurar una adecuada administración de las contraseñas de usuarios a
los recursos informáticos del INCUCAI durante su generación,
modificación, utilización y almacenamiento.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
Todo usuario que acceda a cualquier recurso informático del INCUCAI
debe tener asociado obligatoriamente un id y una clave de acceso o
contraseña, la cual es personal, confidencial, intransferible y de
exclusiva responsabilidad del usuario.
Se deberán contemplar los siguientes requisitos para una adecuada
administración de las contraseñas de usuarios; siempre que sea
técnicamente posible:
3.1. REQUISITOS GENERALES DE SEGURIDAD DE LAS CONTRASEÑAS
A. Deben permanecer cifradas utilizando un algoritmo unidireccional y residir en archivos ocultos y protegidos.
B. No deben ser visibles por pantalla al momento de ser ingresadas.
C. No podrán estar en blanco (nulas).
D. No debe contener información personal o de fácil identificación del
usuario (por ejemplo, D.N.I., domicilio, teléfono, fecha de nacimiento
y fecha de ingreso).
E. No debe ser impresa en listados del sistema, ni escrita en lugar visible a otras personas.
3.2. CARACTERÍSTICAS DE LAS CONTRASEÑAS
Las características de las contraseñas pueden variar para la
autenticación de los usuarios de dominio, usuarios en custodia y
usuarios administradores de equipos de seguridad y comunicaciones. A
continuación, se describen las características de las contraseñas que
el INCUCAI establece para cada caso:
3.2.1.Contraseñas para usuarios de dominio, servicios y software de aplicación.
• Establecer una longitud mínima de diez (10) caracteres.
• No permitir identificadores de usuario (nombre, apellidos o id).
• Obligar la utilización de contraseñas compuestas por la combinación
de caracteres especiales (~! @#$%A&*_-+='|\ O
{}[]:;"'<>,.?/), números y letras mayúsculas y minúsculas.
• Bloquear el usuario frente a repetidos intentos de acceso.
• Obligar su cambio cuando el usuario ingrese por primera vez al sistema o servicio.
• Solicitar el cambio obligatorio de la contraseña cada 180 días.
• Conservar un histórico de los sucesivos cambios a fin de evitar su reutilización de forma controlada.
3.2.2. Contraseñas para utilizar con los usuarios en custodia.
• Para los usuarios en custodia se aplicarán los mismos criterios que
para los usuarios de dominio, servicios y software de aplicación. Para
estos usuarios se establecerá una longitud mínima de quince (15)
caracteres.
3.2.3. Contraseñas a utilizar en la administración de equipos de
seguridad o de comunicaciones, por ejemplo, routers, proxy, firewall,
Ids, otros.
• Todos los equipos de seguridad y comunicaciones utilizarán usuarios
nominales (usuarios INCUCAI), por tal, las características de las
contraseñas se alinearán con las utilizadas en los accesos a servicios
y software de aplicación.
• Las contraseñas predeterminadas por hardware o software (superusuario
/ root) deberán ser ensobradas y guardadas siguiendo los lineamientos
establecidos para usuarios en custodia y se adecuarán los accesos para
ingresar a través de usuarios Incucai.
• De ser necesario podrán existir equipos de seguridad o comunicaciones
que cuenten con dos (2) factores de autenticación, que incluya como
primer factor la utilización de clave de acceso y como segundo factor
una medida seguridad superior (filtros, certificados u otros).
3.3. BLOQUEO Y DESCONEXIÓN DE USUARIOS
• Cuando el usuario se haya bloqueado o sea necesario restablecer su
clave, solo el administrador de accesos correspondiente podrá
desbloquearlo.
• Todo usuario que no haya accedido al sistema por (60) días corridos
será bloqueado. El administrador de accesos correspondiente iniciará
los procesos de autorización necesarios para darlo de baja
definitivamente en caso de corresponder. Ante situaciones de carácter
excepcional y previa autorización formal por parte del director,
equivalente o superior jerárquico a cargo de la repartición de
pertenencia del usuario, se mantendrá activo.
• Se desconectará toda sesión activa cuando la estación de trabajo no verifique uso.
3.4. RESPONSABILIDAD DE LOS USUARIOS
Todos aquellos usuarios de los servicios, software y recursos
informáticos del INCUCAI que tienen asignada una cuenta o cualquier
otro tipo de acceso en los sistemas de la Institución, son responsables
de cumplir con las siguientes pautas de seguridad:
A. Deberán cambiar periódicamente sus contraseñas y, en caso de
sospechar que alguna de ellas es conocida por otros usuarios, cambiarla
inmediatamente.
B. No podrán compartir su identificador de usuario y clave con otras personas.
C. No deberán revelar su contraseña a nadie, ni siquiera a aquellos que hablen en nombre del INCUCAI
o de un superior de la Institución.
D. No deberán revelar la contraseña en mensajes de correo electrónico
ni a través de cualquier otro medio de comunicación electrónica.
E. No deberán escribir la contraseña en papel. Tampoco almacenar las
contraseñas en archivos en su estación de trabajo sin proveerlo de
algún mecanismo de seguridad.
F. No deberán revelar su contraseña en ningún cuestionario o
formulario, independientemente de la confianza que le inspire el mismo.
G. No deberán utilizar la característica de “recordar contraseña”, en ninguna aplicación o servicio que posea esta opción.
H. Cuando, por razones de ausencias prolongadas, deba reemplazarse la
tarea de un usuario, no está permitido la utilización de su cuenta de
identificador y clave de acceso por otra persona. En estos casos, el
sector del cual el usuario se ausente y desempeña sus funciones, debe
designar su reemplazante y solicitar los accesos correspondientes para
este, quien debe siempre acceder identificándose con su propio
identificador y clave de acceso.
3.5. ADMINISTRACIÓN DE LAS CONTRASEÑAS
La administración y entrega de las contraseñas de usuarios del INCUCAI
será realizada por la Dirección de Tecnologías y Sistemas de
Información, quienes tendrán en cuenta los siguientes puntos:
A. La Dirección de Tecnologías y Sistemas de Información será la única
con capacidad entregar, blanquear y restablecer las contraseñas de
usuarios INCUCAI siguiendo los procedimientos normados.
B. La contraseña otorgada por las áreas mencionadas será generada
mediante un algoritmo, brindando una clave de acceso aleatoria inicial
para cada usuario.
C. La entrega de la contraseña inicial se realizará a través de un
medio seguro que garantice que la misma puede ser recibida solo por el
usuario al cual se le generó la clave.
D. En la entrega de la primera clave o ante un blanqueo de contraseña,
el usuario deberá proceder al cambio de esta en el próximo inicio de
sesión, cualquiera sea el recurso informático para acceder.
E. La Dirección de Tecnologías y Sistemas de Información podrá revocar
las contraseñas de los usuarios INCUCAI, cuando las mismas se
encuentren comprometidas o cuando el usuario se desvincule del
organismo.
4. GENERALIDADES
Se considera falta grave que el usuario que revele a otra persona su
propia clave de acceso o solicite la revelación de una clave de acceso
que no le corresponda.
En caso de constatarse un incumplimiento al presente documento,
implicará la restricción inmediata del acceso a la información digital
y se dará intervención a la Dirección de Asuntos Jurídicos del INCUCAI
para que evalúe, de corresponder, las acciones a seguir en el ámbito
administrativo, civil o penal.
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
5. HISTORIAL DE CAMBIOS
1. índice
MARCO NORMATIVO DE TI
POLÍTICA DE ACCESO REMOTO
2. INTRODUCCIÓN
El servicio de acceso remoto permite a los usuarios conectarse a la red de comunicaciones del INCUCAI desde un sitio externo.
Existen usuarios que se conectan a través de este servicio con la
finalidad de tener acceso a la información y software de aplicación que
se encuentra disponible en la red de comunicaciones del INCUCAI. Estos
accesos se realizan a través de una red privada virtual (VPN),
empleando redes de dominio público para conectar la estación de trabajo
con la red de comunicaciones del INCUCAI. El riesgo que implica el
empleo de redes públicas hace necesario establecer medidas de seguridad
que garanticen la protección de la información transmitida por este
medio.
2.1. OBJETIVO
Establecer los criterios y controles de seguridad que deberán cumplirse
al conectar usuarios remotos a la red de comunicaciones del INCUCAI, a
fin de garantizar una adecuada protección de la información y los
recursos informáticos de la misma.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de la
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
El acceso remoto de usuarios a la red de comunicaciones del INCUCAI se
lleva a cabo utilizando un método de autenticación físico (dispositivo
de autenticación por hardware). El INCUCAI establece los siguientes
lineamientos para la prestación de este servicio:
3.1. SOLICITUD DEL SERVICIO
El acceso remoto deberá ser solicitado únicamente en situaciones que
justifiquen la imposibilidad de otra forma de acceso, tales como
trabajo fuera de horario laboral o en ubicaciones fuera de los
Organismos, entre otros.
La Dirección de Tecnologías y Sistemas de Información, como órgano
rector de tecnología y comunicación, es la única dirección con la
capacidad de otorgar accesos remotos a la red de comunicaciones del
INCUCAI.
La solicitud de acceso debe ser enviada por correo electrónico al Área
de Atención a Usuarios y Soporte Técnico siguiendo los lineamientos de
las políticas de Seguridad Informática, por medio de una nota suscripta
por el/la Superior Jerárquico del sector a la que pertenece el usuario,
indicando los recursos informáticos a los que se requiere acceder, los
datos del usuario, la justificación o motivo del requerimiento y el
período de tiempo que el usuario requerirá del acceso.
El acceso remoto a los recursos informáticos deberá estar autorizado por el Propietario correspondiente a dichos recursos.
El usuario para el cual se requiere el acceso debe tener un ID de
Usuario INCUCAI, el cual es reconocido como usuario válido para acceder
a los recursos informáticos.
El funcionario solicitante debe pertenecer a la línea de dependencia
(árbol jerárquico) del usuario que requiere el acceso. La DTySI
controlará la relación de dependencia existente entre el usuario y el
funcionario solicitante y rechazará todas las solicitudes que no
cumplan con esta condición, observando la misma.
Una vez cumplida la condición anterior, el DTySI verificará si el
recurso informático a acceder se encuentra bajo el ámbito de
responsabilidad del funcionario solicitante, caso contrario la
solicitud deberá contar con la autorización del Propietario
correspondiente al recurso. De no ser así, el DTySI tendrá la facultad
de rechazar la solicitud.
La Dirección de Tecnologías y Sistemas de Información hará entrega
presencial del dispositivo de hardware al usuario final, en
correspondencia con los accesos que hayan sido solicitados.
3.2. CARACTERÍSTICAS DE LOS ACCESOS REMOTOS
Las medidas de seguridad implementadas por La Dirección de Tecnologías
y Sistemas de Información para los accesos remotos a la red de
comunicaciones del INCUCAI son las siguientes:
a. Las conexiones externas solo podrán acceder a los servicios, sistemas y/o aplicaciones a los que estén autorizados.
b. El servicio de acceso remoto solo podrá ser utilizado para conexiones entrantes.
c. Los usuarios que utilicen el servicio de acceso remoto, deberán
autenticarse mediante la utilización del ID de Usuario INCUCAI y su
correspondiente contraseña.
d. La Dirección de Tecnologías y Sistemas de Información podrá
monitorear los eventos relacionados con: cambios de derechos de acceso
remoto, accesos exitosos y fallidos, la identificación del usuario
responsable, la fecha y hora de inicio de conexión, tiempo de conexión,
las líneas y protocolos empleados.
e. La Dirección de Tecnologías y Sistemas de Información realizará la
gestión y administración de los accesos y dispositivos de autenticación
llevando un registro de la asignación de los mismos.
f. La Dirección de Tecnologías y Sistemas de Información verificará que
las conexiones establecidas correspondan con los accesos otorgados.
La detección de cualquier irregularidad en los accesos remotos será
motivo suficiente para que el INCUCAI tome las medidas correspondientes
al caso.
3.3. BAJA DEL SERVICIO
El funcionario solicitante deberá informar a La Dirección de
Tecnologías y Sistemas de Información cualquier situación que amerite
la baja o modificación de los accesos remotos.
En el caso de que la baja de accesos requiera la devolución del
dispositivo de autenticación, el funcionario solicitante será el
responsable de operar los mecanismos de recupero del dispositivo, el
cual debe ser devuelto a La Dirección de Tecnologías y Sistemas de
Información en iguales condiciones físicas a las que fueron entregadas.
Será responsabilidad del usuario la protección y custodia del
dispositivo de autenticación. El usuario deberá informar al INCUCAI de
forma inmediata, cualquier sospecha de compromiso de las claves del
dispositivo.
4. GENERALIDADES
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo con los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
5. HISTORIAL DE CAMBIOS
1. Índice
MARCO NORMATIVO DE TI
POLÍTICA DE RESPUESTA ANTE INCIDENTES
2. INTRODUCCIÓN
Se define incidente a cualquier evento que desvíe la operación normal
de un servicio y cause una interrupción o reducción de su calidad. La
gestión de incidentes es un proceso continuo utilizado para administrar
y minimizar el impacto de los eventos que comprometan la
confidencialidad, integridad, disponibilidad de los servicios de
Tecnología Informática del INCUCAI.
2.1. OBJETIVO
Establecer lineamientos que permitan corregir con la máxima celeridad
posible, las consecuencias y efectos negativos de los incidentes de los
servicios de TI, a fin de minimizar su impacto.
2.2. REFERENCIA NORMATIVA
Las normativas de referencia de la presente política se encuentran
comprendidas en el marco de la Decisión Administrativa 641/2021,
“Requisitos mínimos de Seguridad de la Información para Organismos”,
observando además lo establecido en la Ley 25.326 de Protección de los
Datos Personales, sus normas reglamentarias y complementarias, dando
cumplimento a las mismas.
2.3. ALCANCE
Esta política alcanza todas las actividades relacionadas directa o
indirectamente con la utilización de los recursos de tecnología de
información y de las comunicaciones del INCUCAI.
3. CONTENIDO
El objetivo de la gestión de incidentes es recuperar la operación de
los servicios estándar tan rápido como sea posible. La Dirección de
Tecnologías y Sistemas de Información requiere que todos los servicios
de Tecnología Informática (TI) cuenten con un soporte ante incidencias,
y que se establezcan medidas y mecanismos que permitan prevenir y
detectar a tiempo, la posibilidad de ocurrencia de todos los incidentes
que sea posible prever. Algunos de ellos pueden ser: alertas o eventos
que afecten a la infraestructura de TI y operaciones de los sistemas
informáticos del INCUCAI; anomalías o eventos que afecten la
confidencialidad, integridad o disponibilidad de la información del
INCUCAI; fallas o errores en las aplicaciones del INCUCAI que afecten
su normal funcionamiento.
El responsable de cada servicio de TI disponible en el INCUCAI deberá
asegurar un soporte para los incidentes que puedan ocurrir y garantizar
su resolución en tiempo y forma, aún ante la necesidad de escalamiento
en niveles de soporte, ya sea en el INCUCAI o por un tercero. Todos los
incidentes se clasificarán de acuerdo a su prioridad y complejidad de
resolución.
3.1. REQUERIMIENTOS DEL SOPORTE ANTE INCIDENTES
Para cada servicio de TI, el SOC requiere que los usuarios cuenten con
un único punto de contacto disponible para notificar los posibles
incidentes. Asimismo, el responsable de cada servicio de TI deberá
establecer un procedimiento formal de comunicación, junto con un
procedimiento de respuesta que determine la acción a emprender al
recibir un informe sobre un incidente y, luego de su tratamiento,
verifique la efectiva resolución de la misma.
Todos los usuarios deberán notificar los posibles incidentes y no
intentarán, bajo ninguna circunstancia, explotar, probar un posible
punto débil o vulnerabilidad en el esquema de seguridad establecido
para los sistemas y componentes de la red de comunicaciones de la
Dirección de Tecnologías y Sistemas de Información o alguno de los
servicios de TI brindados.
El soporte ante incidentes generalmente se divide en niveles para
atender de una forma más eficaz y eficiente a los usuarios. El número
de niveles en los que se organiza el soporte depende de las necesidades
de cada servicio.
3.2. ACUERDO DE NIVEL DE SERVICIO
Toda contratación de servicio TI deberá contener en los Pliegos de
Bases, Condiciones Particulares y Especificaciones Técnicas, un soporte
ante incidencias (acuerdo de nivel de servicio) que garantice la
resolución de los incidentes en tiempo y forma. El acuerdo de nivel de
servicio tiene como objeto de fijar el nivel acordado para la calidad
de dicho servicio, en aspectos tales como su definición, medición del
rendimiento, gestión de los problemas, tiempo de respuesta,
disponibilidad horaria, documentación disponible, personal asignado al
servicio, deberes del cliente o usuario, garantías, finalización del
acuerdo, entre otros.
3.3. REQUERIMIENTOS DE LA GESTIÓN DE LOS INCIDENTES
Todos los incidentes que afecten a la integridad, confidencialidad y la
disponibilidad de los servicios deberán registrarse de manera
independiente, excepto aquellos casos en que se presenten incidencias
masivas en un servicio. En cada caso registrado se deberán detallar las
actividades realizadas durante la investigación antes de cerrar el caso.
Se recomienda que el sector que brinde el soporte a un servicio
determinado mantenga una base de conocimientos que documente todos los
análisis realizados sobre los incidentes ocurridos y su manera de
resolución. Esto puede contribuir a mitigar las debilidades que lo
causaron y a utilizar resoluciones pasadas para resolver incidentes
actuales y futuros. Se deberá considerar el resguardo de la evidencia
original, sin procesar, que se hubiera reunido durante la investigación
y respuesta de un incidente.
La Dirección de Tecnologías y Sistemas de Información requiere que se
implementen mecanismos que permitan cuantificar y monitorear los tipos,
volúmenes y costos de los incidentes. Esta información se utiliza para
identificar incidentes recurrentes o de alto impacto, lo cual indicará
la necesidad de mejorar o agregar controles para limitar la frecuencia,
daño y costo de casos futuros.
4. GENERALIDADES
La presente política debe ser interpretada armónicamente con el plexo
normativo vigente a nivel local y con las demás políticas y reglamentos
dictados por el INCUCAI. En caso de conflicto de interpretación se
resolverá de buena fe, de conformidad a los fines perseguidos y de
acuerdo a los principios generales del derecho.
El Comité de Seguridad de la Información del Instituto, creado por
Resolución INCUCAI N° 90/2010, podrá requerir en cualquier momento, la
readecuación del presente documento.
5. HISTORIAL DE CAMBIOS
IF-2022-63726256-APN-DTYSI#INCUCAI