Ministerio del Interior y Transporte
SEGURIDAD DE LA INFORMACION
Resolución 104/2012
Créase el Comité de Seguridad de la Información del Ministerio del Interior y Transporte. Apruébase la “Política de Seguridad de la Información”. Desígnase Coordinador.
Bs. As., 30/7/2012
VISTO el Expediente Nº S02:0012182/2010 del Registro del MINISTERIO DEL INTERIOR Y TRANSPORTE, la Decisión Administrativa 669 de fecha 20 de diciembre de 2004, la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS DE LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 6 de 10 de agosto de 2005, y
CONSIDERANDO:
Que el artículo 1º de la Decisión Administrativa Nº 669/2004 establece que los organismos del Sector Público Nacional comprendidos en los incisos a) y c) del artículo 8º de la Ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional Nº 24.156 y sus modificaciones, deberán dictar, o bien adecuar sus políticas de seguridad de la información.
Que la Decisión Administrativa mencionada en el considerando precedente, prevé la conformación de un Comité de Seguridad de la Información, determinando las funciones que el mismo deberá ejecutar.
Que la Disposición Nº 6 de fecha 3 de agosto de 2005 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION organismo dependiente de la ex SUBSECRETARIA DE GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, aprueba la “Política de Seguridad de la Información Modelo”.
Que a los fines de optimizar las herramientas de protección de los activos y recursos de información de este Ministerio, la tecnología utilizada para su procesamiento, y dar acabado cumplimiento con la norma referida ut supra, deviene necesario dictar una política de seguridad de la información conteste con la Política de Seguridad de la Información Modelo.
Que conforme la Decisión Administrativa Nº 669/04 el MINISTERIO DEL INTERIOR Y TRANSPORTE deberá conformar un Comité de Seguridad de la Información integrado por representantes de las Direcciones Nacionales o Generales o equivalentes del organismo.
Que el Comité de Seguridad de la Información citado en el considerando precedente, será coordinado por el SUBESECRETARIO DE COORDINACION DEL MINISTERIO DEL INTERIOR Y TRANSPORTE.
Que la asignación de funciones relativas a la seguridad informática y la integración del Comité de Seguridad de la Información, respectivamente, no deberá implicar erogaciones presupuestarias adicionales.
Que la Dirección General de Asuntos Jurídicos del MINISTERIO DEL INTERIOR Y TRANSPORTE ha tomado intervención.
Que la presente medida se dicta en uso de las atribuciones conferidas por la Ley de Ministerios (t.o. Decreto Nº 438/92), las modificaciones introducidas por la Ley Nº 26.338 y los Arts. 1 y 2 de la Decisión Administrativa 669/2004.
Por ello,
EL MINISTRO DEL INTERIOR Y TRANSPORTE
RESUELVE:
Artículo 1º — Créase el Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE, quedando conformada a partir del dictado de la presente por representantes de la Dirección General del Servicio Administrativo Financiero, la Dirección General de Recursos Humanos, la Dirección General de Asuntos Jurídicos y la Dirección General de Gestión Informática del organismo.
Art. 2º — Apruébase la “POLITICA DE SEGURIDAD DE LA INFORMACION del MINISTERIO DEL INTERIOR Y TRANSPORTE”, que como Anexo I integra la presente medida.
Art. 3º — Desígnase Coordinador del Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE al SUBSECRETARIO DE COORDINACION DEL MINISTERIO DEL INTERIOR Y TRANSPORTE.
Art. 4º — Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese. — Aníbal F. Randazzo.
POLITICA DE SEGURIDAD DE LA INFORMACION
MINISTERIO DEL INTERIOR Y TRANSPORTE
INDICE
1. INTRODUCCION
1.1. Objetivos de la Política de Seguridad de la Información
2. DEFINICIONES
2.1. Seguridad de la Información
2.2. Información
2.3. Dato
2.4. Clasificación de la Información
2.4.1. Datos Sensibles
2.4.2. Datos Críticos
2.5. Sistema de Información
2.6. Tecnología de la Información
2.7. Recursos Informáticos
2.8. Recursos Informáticos Personales
2.9. Evaluación de Riesgos
2.10. Administración de Riesgos
2.11. Incidente de Seguridad
2.12. Usuario
3. AMBITO DE APLICACION
3.1. Alcance de la Política de Seguridad del MIyT
3.2. Ambito Funcional
3.3. Ambito Personal
4. ORGANIZACION DE LA SEGURIDAD
4.1. Comité de Seguridad de la Información
4.2. Responsables Primarios de la Información
4.3. Coordinación del Comité de Seguridad de la Información
4.3.1. Organización de la Seguridad
4.3.2. Organigrama DGGI
4.3.3. Segregación de Funciones DGGI
4.3.4. Glosario de Funciones
4.4. Designación del Responsable de Area de Sistemas Informáticos
4.5. Designación del Responsable de Area de Tecnología y Seguridad
4.6. Responsable del Area de Recursos Humanos
4.7. Responsable del Area de Capacitación
4.8. Responsable del Area de Seguridad Física
4.9. Responsable de la Unidad de Auditoría Interna
4.10. Asignación de Funciones y Responsabilidades de los Responsables
4.10.1. Responsabilidades del Coordinador del Comité de Seguridad de la Información
4.10.2. Responsabilidades del Comité de Seguridad de la Información
4.10.3. Responsabilidades de Responsables Primarios de Información
4.10.4. Responsabilidades del Area de Sistemas Informáticos
4.10.5. Responsabilidades del Area de Tecnología y Seguridad
4.10.6. Responsabilidades del Area de Backup
4.11. Separación de Funciones
4.11.1. Separación entre Instalaciones de Desarrollo, Prueba y Producción
4.11.2. Esquema teórico de segregación de los entornos de Prueba, Producción y Desarrollo
4.11.2.1. Ambiente de Desarrollo
4.11.2.2. Ambiente de Pruebas
4.11.2.3. Ambiente de Producción
5. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O USUARIOS
5.1. Carácter de usuario
5.2. Confidencialidad
5.3. Identificación y Claves de Acceso
5.4. Utilización de Equipos Informáticos
5.5. Utilización de Internet y Correo Electrónico
5.6. Utilización de Programas, Software y Aplicaciones Informáticas
5.7. Política de Escritorios y Pantallas Limpias
5.8. Incidencias
6. SEGURIDAD DEL PERSONAL Y/O USUARIOS
6.1. Objetivo
6.2. Alcance
6.3. Responsabilidades
6.4. Administradores de Identificación y Acceso
6.4.1. Carácter de Administrador
6.4.2. Notificación de Responsabilidad y Buen Uso de los Recursos de Información de Administradores
6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información de Usuarios
6.5. Capacitación del Usuario
6.5.1. Objetivo
6.5.2. Formación y Capacitación en Seguridad de la Información
7. GESTION DE INCIDENCIAS
7.1. Objetivo
7.2. Comunicación de incidentes relativos a la seguridad
7.3. Registro de Incidencias
7.4. Procedimiento de gestión de incidencias
7.5. Comunicación de vulnerabilidades de seguridad
7.6. Comunicación de Anomalías del Software
7.7. Aprendiendo de los incidentes
7.8. Sanciones
8. CLASIFICACION DE ACTIVOS
8.1. Objetivo
8.2. Alcance
8.3. Responsabilidades
8.4. Inventario de activos
8.5. Clasificación de la información
8.5.1. Confidencialidad
8.5.2. Integridad
8.5.3. Disponibilidad
8.5.4. Criticidad de la Información
8.5. Rotulado de la Información
9. SEGURIDAD FISICA Y AMBIENTAL
9.1. Objetivos
9.2. Alcance
9.3. Areas Seguras y de Acceso Restringido
9.3.1. Perímetro de seguridad física
9.3.2. Areas Restringidas
9.3.3. Controles de acceso físico
9.4. Seguridad del equipamiento informático
9.4.1. Objetivo
9.4.2. Ubicación y protección del equipamiento
9.4.3. Suministro de energía
9.4.4. Seguridad del cableado
9.4.5. Mantenimiento de equipos
9.4.6. Seguridad del equipamiento fuera del ámbito de la organización
9.4.7. Baja segura o reutilización de equipamiento
9.4.8. Retiro de Activos del MINISTERIO DEL INTERIOR Y TRANSPORTE
9.4.9. Seguridad de los medios de tránsito
10. GESTION DE COMUNICACIONES Y OPERACIONES
10.1. Objetivo
10.2. Responsabilidades
10.3. Procedimientos Operativos de Documentación
10.4. Gestión de procesamiento externo
10.5. Planificación y Aprobación de sistemas
10.5.1. Objetivo
10.5.2. Planificación de la capacidad
10.5.3. Aprobación del sistema
11. MANTENIMIENTO Y RESGUARDO DE LA INFORMACION
11.1. Objetivo
11.2. Alcance del Resguardo de la Información
11.3. Controles del Resguardo y Recupero de la Información
11.4. Administración y Seguridad de los Medios de Almacenamiento
11.4.1. Objetivo
11.4.2. Administración de medios informáticos removibles
11.4.3. Eliminación de Medios de Información
11.5. Resguardo de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE
11.5.1. Objetivo
11.5.2. Procedimientos de Resguardo y Conservación de Datos
11.6. Intercambio de información y software
11.6.1. Objetivo
11.6.2. Acuerdos de Intercambio de Información y Software
11.6.3. Seguridad de la Interoperabilidad y el Gobierno Electrónico
11.6.4. Sistemas de Acceso Público y semipúblico
11.6.5. Seguridad frente al acceso por parte de terceros
12. CONTROL DE ACCESO LOGICO
12.1. Objetivos
12.2. Responsabilidades
12.3. Política de Control de Accesos
12.4. Reglas de control de accesos
12.5. Administración de Accesos de Usuarios
12.5.1. Objetivo
12.5.2. Registración de Usuarios
12.6. Administración de Privilegios
12.7. Administración de Contraseñas de Usuario
12.8. Uso de Cuentas con perfil de Administrador
12.9. Uso de contraseñas
12.10. Control de acceso a la red
12.10.1. Objetivo
12.10.2. Política de utilización de los servicios de red
12.10.3. Camino Forzado
12.10.4. Autenticación de Nodos
12.10.5. Protección de los puertos de diagnóstico remoto
12.10.6. Computación Móvil y Trabajo remoto
12.10.7. Subdivisión de Redes
12.10.8. Control de Ruteo de Red
12.10.9. Seguridad de los Servicios de Red
12.11. Control de acceso al sistema operativo
12.11.1. Objetivo
12.11.2. Identificación de Puestos de Trabajo y Servidores
12.11.3. Procedimientos de Conexión
12.11.4. Identificación y autenticación de los usuarios
12.11.5. Uso de Utilitarios de Sistemas Operativos
12.11.6. Desconexión por Tiempo Muerto en Puestos de Trabajo
12.11.7. Limitación del Horario de Conexión
12.12. Control de Acceso a las Aplicaciones
12.12.1. Objetivo
12.12.2. Restricción del Acceso a la Información
12.12.3. Aislamiento de Sistemas
12.13. Monitoreo del Acceso y Uso de los Sistemas
12.13.1. Objetivo
12.13.2. Monitoreo del Uso de los Sistemas
13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
13.1. Objetivo
13.2. Alcance
13.3. Responsabilidades
13.4. Requerimientos de controles de seguridad
13.5. Seguridad en los sistemas de Aplicación
13.5.1. Validación de datos de entrada
13.5.2. Controles de procesamiento interno
13.5.3. Autenticación de mensajes
13.5.4. Validación de datos de salida
13.6. Seguridad en el Ambiente de Producción
13.6.1. Objetivo
13.6.2. Control del software de producción
13.6.3. Protección de los datos de prueba del sistema
13.6.4. Control de acceso a las bibliotecas de programa fuente
13.7. Seguridad en los Entornos Desarrollo Prueba y Producción
13.7.1. Objetivo
13.7.2. Procedimientos de control de cambios
13.7.3. Revisión técnica de cambios en los sistemas operativos
13.7.4. Restricción de cambios en los paquetes de software
13.7.5. Desarrollo externo de software
13.8. Controles Criptográficos
13.8.1. Objetivo
13.8.2. Tipos de técnicas criptográficas
13.8.3. Política de utilización de controles criptográficos
13.8.4. Criptografía
13.8.5. Firma Digital
14. PLAN DE CONTINGENCIA
14.1. Objetivos
14.2. Alcance
14.3. Responsabilidades
14.4. Administración de la Continuidad de Actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE
14.5. Continuidad de Actividades y Análisis de Impacto
14.6. Implementación de Planes de Continuidad
14.7. Marco para los Planes de Continuidad
14.8. Ensayo, Mantenimiento y Revisión de los Planes de Continuidad
15. GARANTIA DE CUMPLIMIENTO
15.1. Objetivos
15.2. Alcance
15.3. Responsabilidad
15.4. Cumplimiento de requisitos legales
15.4.1. Objetivo
15.4.2. Identificación de la Legislación Aplicable
15.4.3. Derecho de propiedad intelectual
15.4.4. Derecho de Propiedad Intelectual del Software
15.4.5. Protección de Datos del Organismo
15.4.6. Protección de Datos y Privacidad de datos de carácter personal
15.4.7. Regulación de controles para el Uso de Criptografía y Firma Digital
15.4.8. Revisiones de la Política de Seguridad
15.5. Consideraciones de Auditoría de Sistemas
15.6. Sanciones Previstas por Incumplimiento
ANEXO I - Compromiso de Confidencialidad, Gestión de Bases de Datos y Tratamiento de Sistemas Informáticos.
1. INTRODUCCION
1.1. Objetivos de la Política de Seguridad de la Información
El presente documento, Política de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE (en adelante La Política) tiene por objeto proteger los sistemas de información del MINISTERIO DEL INTERIOR Y TRANSPORTE (en adelante MIyT), sus bases de datos, la información allí alojada y la tecnología utilizada para su procesamiento.
La seguridad de la información requiere la implementación de un complejo conjunto de controles, que abarque políticas, prácticas, procedimientos, estructuras organizacionales y funciones de software, entre otros, de modo que los medios técnicos queden respaldados dentro de una gestión planificada en materia de seguridad, que atienda a las vulnerabilidades y fallas internas como asimismo a las posibles amenazas externas, sean deliberadas o accidentales, tales como intrusiones, ataques físicos y lógicos e incidencias.
La Política recoge las medidas de seguridad establecidas con el fin de asegurar la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de los sistemas de información y de los datos, cuando sean tratados por agentes, funcionarios, trabajadores en el ejercicio de sus funciones, y aquellos prestadores de servicios y/o reparticiones públicas que el MIyT requiera para acometer sus objetivos.
Para la determinación las citadas medidas de seguridad, han sido tenidas en cuenta las pautas fijadas en los Decretos Nº 103 del 25 de enero de 2001, Nº 378 de 27 del abril de 2005, Nº 258 de 24 de junio de 2003, Nº 512 del 7 de mayo de 2009, la Ley Nº 25.326 de Protección de Datos Personales y su decreto reglamentario Nº 1558/2001, la Ley Nº 11.723 de Propiedad Intelectual, la Ley Nº 25.188 de Etica en el ejercicio de la Función Pública, la Ley 25.164 de Regulación del Empleo Público Nacional, el Convenio Colectivo de Trabajo General, la norma ISO 17.799, el Manual Cobit 4.1, la Decisión Administrativa Nº 669/2004 y la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS DE LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 6 de 10 de agosto de 2005.
2. DEFINICIONES
A los efectos de este documento se aplican las siguientes definiciones:
2.1. Seguridad de la Información
La seguridad de la información se entiende como la preservación de las siguientes características:
• Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
• Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
• Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
• Autenticidad: busca asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.
• Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior.
• Protección a la duplicación: consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario.
• No repudio: consiste en implementar mecanismos que evite que una entidad niegue haber enviado información efectivamente emitida.
• Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeto el MIyT.
• Confiabilidad de la Información: la información generada será adecuada para sustentar tomas de decisiones y la implementación de funciones y objetivos organizacionales.
• Privilegio: Para los sistemas multiusuario o de red, indica una característica o servicio que permite a un usuario pasar por alto determinados controles de seguridad de los sistemas y recursos de información.
2.2. Información
Es todo conocimiento que puede representarse y transmitirse en formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, medios audiovisuales, telefonía u otros.
Se considera que la información es el activo más importante de toda organización.
2.3. Dato
Unidad de la información.
2.4. Clasificación de la Información
2.4.1. Datos Sensibles
Datos sensibles personales: refieren a origen racial o étnico, ideología, creencias religiosas o filosóficas, afiliación sindical, salud o vida sexual, y se les aplican normas más estrictas para su tratamiento.
Datos sensibles organizacionales: refieren a temas propios de una organización, cuya difusión pública aumentaría el riesgo de amenazas a la información.
2.4.2. Datos Críticos
Información cuya indisponibilidad puede afectar el normal funcionamiento de una organización.
2.5. Sistema de Información
Conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.
2.6. Tecnología de la Información
Hardware y software operados por el MIyT o por un tercero que procese información en su nombre, para llevar a cabo una función propia del Organismo.
Comprende la tecnología que permite generar información basada en procesos computacionales, de telecomunicaciones, de impresión en papel por algún medio específico o cualquier otro tipo.
2.7. Recursos Informáticos
Para cumplimentar los objetivos impuestos, el MIyT pone a disposición de los usuarios una serie de recursos informáticos de su propiedad.
Son recursos informáticos todos aquellos componentes de hardware, software y tecnología relacionadas, cuyo objetivo es el de generar, archivar, procesar o transmitir información. Ejemplos:
Archivos en una red de datos, impresoras, acceso a Internet, aplicativos, bases de datos, computadoras, servidores de red, servidores de impresión, etc.
Cuando varios miembros de un área de la organización necesitan hacer trabajos en común, los administradores implementan accesos compartidos en servidores de red, para las personas indicadas.
De esa manera, la información estará disponible a través de la red de datos de la Organización. Típicamente, se comparten archivos, impresoras, accesos a bases de datos, accesos a Internet o Intranet, accesos a datos a través de aplicativos, etc.
2.8. Recursos Informáticos Personales
Se trata de elementos informáticos, de propiedad de los usuarios, que se hallan a disposición del MIyT. Se trata de computadoras personales, computadoras portátiles, impresoras, hardware especial, dispositivos móviles, software y/o aplicaciones, dispositivos de almacenamiento, etc. La utilización indebida de estos recursos en el ámbito de la Organización puede poner en riesgo a la información.
2.9. Evaluación de Riesgos
Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad que ocurran y su potencial impacto en la operatoria del Organismo.
2.10. Administración de Riesgos
Es el proceso de identificación, control, minimización o eliminación de los riesgos de seguridad que afectan a la información, dentro de un costo aceptable. Este proceso es cíclico y debe llevarse a cabo en forma periódica.
2.11. Incidente de Seguridad
Se denomina incidente de seguridad a todo evento que pueda comprometer a la seguridad de los datos, afectando la confidencialidad, la integridad, la disponibilidad, la legalidad y la confiabilidad de la información.
2.12. Usuario
Se denomina usuario a una persona física u Organismo, que utiliza los recursos informáticos que el MIyT pone a su disposición. Un usuario que requiera el acceso a un recurso informático deberá poseer una cuenta que los acredite frente al mismo, llamada cuenta de acceso. Los usuarios de la información y de los sistemas informáticos del MIyT pueden ser:
• personal jerárquico perteneciente al MIyT,
• agentes del MIyT, bajo sus diversas formas de contratación,
• personal que guarde alguna relación con el MIyT,
• terceras partes, no pertenecientes al Organismo, y que acceden a datos o sistemas del MIyT,
• organismos que acceden a datos o sistemas del MIyT, en virtud de acuerdos o contratos.
3. AMBITO DE APLICACION
3.1. Alcance de la Política de Seguridad del MINISTERIO DEL INTERIOR Y TRANSPORTE
La presente Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente tecnológico del MINISTERIO DEL INTERIOR Y TRANSPORTE.
La Política de Seguridad de la Información debe ser conocida y cumplida por todo el personal del MINISTERIO DEL INTERIOR Y TRANSPORTE, sean funcionarios políticos o técnicos, y dentro de cualquier nivel jerárquico o situación vinculante. A tal fin, debe ser comunicada a todos los usuarios del MIyT, de manera pertinente, accesible y comprensible.
La presente Política también alcanza a todos aquellas personas físicas o jurídicas que, aún sin pertenecer al MINISTERIO DEL INTERIOR Y TRANSPORTE, hacen uso, en calidad de usuario, de los sistemas informáticos y/o de la información disponible.
A fin de asegurar la implementación de las medidas de seguridad comprendidas en esta Política, el MINISTERIO DEL INTERIOR Y TRANSPORTE identificará los recursos necesarios e indicará formalmente las partidas presupuestarias correspondientes. Lo expresado anteriormente no implicará necesariamente la asignación de partidas presupuestarias adicionales.
Por medio de la presente, se establece formalmente un ámbito de gestión, el Comité de Seguridad de la Información, para efectuar tareas tales como la aprobación de la Política, coordinar su implementación, asignar funciones y responsabilidades, administrar la seguridad de la información dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE y garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del Organismo.
3.2. Ambito Funcional
La Política alcanza a todo el ámbito del MINISTERIO DEL INTERIOR Y TRANSPORTE, a sus recursos y a la totalidad de los procesos (sean manuales o digitales), y es de aplicación única y exclusiva al MINISTERIO DEL INTERIOR Y TRANSPORTE, a los organismos que de él dependen, a las oficinas que el organismo posee en territorio o jurisdicción argentina y a aquellas reparticiones públicas o agentes en quienes el MIyT delegue la realización de cualquier función dentro del marco de sus competencias específicas y delegadas, en todo lo inherente al gobierno político interno, a la seguridad interior y al ejercicio pleno de los principios y garantías constitucionales, asegurando y preservando el régimen republicano, representativo y federal.
El MINISTERIO DEL INTERIOR Y TRANSPORTE ostenta la condición de último responsable de los sistemas de información y bases de datos que gestionen todos los organismos, direcciones nacionales y reparticiones públicas que operan bajo su mandato, como así también es titular de los sistemas y bases de datos propias y exclusivas para el ejercicio de funciones centralizadas.
Sin perjuicio de ello, cada Dirección Nacional confeccionará e implementará su propia Política de Seguridad Informática, la que no podrá ser contraria a las directrices establecidas en la presente Política.
3.2. Ambito Personal
Se encuentran obligadas al cumplimiento de las prescripciones legales aquí establecidas, las siguientes:
• Quienes presten servicios para el MINISTERIO DEL INTERIOR Y TRANSPORTE, ya sea de forma directa o indirecta, y se trate de persona física o jurídica, pública o privada, u organismo; cualquiera que sea la naturaleza de la relación jurídica que le una con la misma.
• Toda entidad o persona física o jurídica, pública o privada que, por la labor que desempeñe, tenga o pueda tener acceso directo y/o remoto a las instalaciones o departamentos donde están ubicados los sistemas de información a través de los cuales se tratan datos de carácter personal del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• Toda la planta de personal del organismo, tanto se trate de funcionarios políticos como técnicos, y sea cual fuere su nivel jerárquico y su situación de revista.
El MINISTERIO DEL INTERIOR Y TRANSPORTE se hace responsable de la labor de formar e informar a quienes, por su condición de usuarios, se encuentren bajo el ámbito de aplicación del presente.
Asimismo, el Coordinador del Comité de Seguridad de la Información, el Responsable de Seguridad Informática, los Responsables de Area, los Administradores y Usuarios, serán instruidos para cumplir con las funciones que les sean encomendadas en este documento e informados de las responsabilidades que su cargo les atribuye.
4. ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION
4.1. Comité de Seguridad de la Información
Se crea el Comité de Seguridad de la Información, dentro del ámbito del MINISTERIO DEL INTERIOR Y TRANSPORTE, siendo sus funciones las estipuladas en la Decisión Administrativa de Jefatura de Gabinete Nº 669/04-Art 4.
El Comité de Seguridad de la Información, es un cuerpo integrado por representantes de todas las áreas sustantivas del MINISTERIO DEL INTERIOR Y TRANSPORTE, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad.
El Comité de Seguridad de la Información revisará la presente Política cada 9 (nueve) meses, a efectos de mantenerla actualizada, asegurar su vigencia y nivel de eficacia.
El Comité de Seguridad de la Información del Organismo:
• propone a la máxima autoridad del MINISTERIO DEL INTERIOR Y TRANSPORTE la Política de Seguridad de la Información y las funciones generales en materia de seguridad de la información,
• monitorea cambios significativos en los riesgos y amenazas que afectan a los recursos de información frente a la Política de Seguridad de la Información,
• supervisa la investigación y monitoreo de incidentes relativos a la seguridad,
• aprueba las iniciativas que incrementen la seguridad de la información, de acuerdo con las competencias y responsabilidades asignadas a cada área,
• acuerda y aprueba metodologías y procesos específicos relativos a la seguridad de la información,
• garantiza que la seguridad sea parte de un proceso de planificación de la información,
• evalúa y coordina la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios,
• promueve la difusión y apoyo a la seguridad de la información dentro del Organismo frente a interrupciones imprevistas.
Se prevé incorporar dentro del Comité de la Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE, a Directores Nacionales o Generales, Secretarios, Subsecretarios, Directores o equivalentes, responsables de Unidades Organizativas de otras áreas del MINISTERIO DEL INTERIOR Y TRANSPORTE y de sus Direcciones Nacionales, o quienes ellos designen.
4.2. Responsables Primarios de la Información
• Autoridad Máxima: Aprueba esta Política, así como sus modificaciones,
• Secretarios, Subsecretarios, Directores Nacionales o Generales, Directores o equivalentes, responsables de Unidades Organizativas, tanto se trate de autoridades políticas o personal técnico y sea cual fuere su nivel jerárquico: Son responsables de la implementación y del cumplimiento de la Política de Seguridad de la Información dentro de sus áreas de responsabilidad.
Son responsables de:
• clasificar la información según un nivel de sensibilidad y criticidad,
• documentar y mantener actualizada la clasificación indicada en el punto anterior,
• definir los usuarios que tendrán permisos de acceso a la información, de acuerdo con sus funciones y competencia.
Se determina que, cada Secretario, Subsecretario, Director Nacionales o General, responsables de Unidades Organizativas o equivalentes, con uso y manejo de la información pertinente a su área, serán los responsables primarios de la información allí alojada. El responsable primario puede delegar la administración de sus funciones a personal idóneo a su cargo, conservando la responsabilidad del cumplimiento de las mismas.
La delegación de la administración por parte de los responsables primarios será documentada y proporcionada al Responsable de Seguridad de Tecnología y Seguridad, mediante un listado formal de Delegación de Autorizaciones que se confeccionara y obrará como Anexo Reglamentario del presente.
4.3. Coordinación del Comité de Seguridad de la Información
En virtud de la DA 669/04-Art 3ro, se asignan las funciones relativas a la coordinación del Comité de Seguridad al Sr. Director General de la Dirección General de Tecnología del MINISTERIO DEL INTERIOR Y TRANSPORTE (DGGI), en adelante el Coordinador del Comité de Seguridad de la Información, quien impulsará la implementación y cumplimiento de la presente Política.
4.3.1. Organización de la Seguridad
De acuerdo con lo ordenado mediante el Decreto 258/2003, la Decisión Administrativa Nº 18/2002 y Nº 669/2004, los Decretos 378/05 y 512/09 y la Disposición 6/2005 de la Oficina Nacional de Tecnologías de Información (ONTI) dependiente la Subsecretaría de Gestión Pública de la Jefatura de Ministros, y el CobiT 4.1; el MINISTERIO DEL INTERIOR Y TRANSPORTE, a efectos de adecuar su organización funcional conforme a la normativa imperante en materia de seguridad de la información y documentar la segregación de funciones e incompatibilidades dentro de la arquitectura organizacional de su competencia, organiza el mapa de funciones y responsabilidades en materia de seguridad de la información.
4.3.2. Organigrama - DGGI
El organigrama de la DGGI brinda un esquema de control de gobierno de las tecnologías de la información (TI) formalmente aprobado, consistente con las mejores prácticas y estándares de TI aceptados para la administración pública nacional e independiente de tecnologías específicas, situado dentro del contexto de las metas definidas en su gestión por el Ministro del Interior y Transporte, respetando el esquema de asignación de funciones aprobado por Decreto 258/2003 y mediante la Decisión Administrativa Nº 18/2002.
Mediante el uso de las tecnologías, la DGGI optimiza sus potencialidades en los proyectos desarrollados por el organismo, como así también en la estructura ministerial, logrando que toda la estrategia TI se oriente hacia los objetivos, metas y misión del organismo, siendo uno de los principales esfuerzos de la DGGI que las estructuras organizacionales migren hacia un modelo que facilite la implementación de estrategias y metas, se minimicen riesgos complejos como la seguridad de redes y la privacidad; y se haga posible, entre otros aspectos, medir el desempeño de los recursos de TI, los procesos de TI implementados en los últimos dos años y el avance en la concientización dentro del personal de las políticas de seguridad de la información.
El gobierno de la seguridad de la información y TI incumbe a una variedad de partícipes (tanto internos, representados en la DGGI, como asimismo ajenos al MINISTERIO DEL INTERIOR Y TRANSPORTE pero que prestan servicios para él) que atienden a necesidades especificas, distinguiéndose entre quienes ejecutan la toma de decisiones en cuanto a las inversiones en TI más convenientes; quienes deciden sobre los requerimientos técnicos de la tecnología que se utiliza; los usuarios de la misma; quienes participan interna y externamente dando apoyo profesional, administrando la organización y procesos de TI; desarrollando TI u operando servicios; quienes asumen responsabilidades de control/riesgo; quienes realizan funciones de cumplimiento y reaseguro.
4.3.3. DGGI - MIyT Segregación de Funciones
El organigrama de la DGGI se define en función a las distintas tareas que ejecuta cada una de las áreas bajo su dependencia, prestando especial atención a las incompatibilidades existentes entre las funciones de un sector específico, con respecto a las actividades desempeñadas por otros. Para el supuesto que, debido a la estructura de recursos humanos que componen la DGGI, no pueda segregarse alguna de las funciones antes citadas, y se acumulen en un agente varias actividades, se compensará mediante la implementación de controles por oposición de intereses. El resguardo documental de las medidas adoptadas a tales efectos, se conservarán por un plazo no inferior a dos (2) años para su posterior revisión por la Unidad de Auditoría Interna del MINISTERIO DEL INTERIOR Y TRANSPORTE.
El mapa de segregación de funciones e incompatibilidades, siguiendo el organigrama Ministerial, se divide en tres áreas a efectos de la organización de gobierno de TI, a saber: Comité Directivo; Area de Sistemas y Area de Tecnología y Seguridad, que queda representado con la división de colores en el organigrama.
En el cuadro, donde se indica la intersección de dos funciones mediante la sigla “NO”, se refiere a que la DGGI deberá tomar medidas en la segregación de tareas, a efectos de evitar su concentración. Cuando la intersección de dos funciones se referencia con la sigla “X”, implica que preferentemente estas tareas no deberían recaer en un mismo sector, y en el caso que las mismas estuviesen concentradas, deberán evidenciarse claras medidas de control compensatorio.
4.3.4. Glosario de Funciones
• PROGRAMACION: diseño y desarrollo de aplicaciones de software.
• CONTROL DE CALIDAD: prueba y homologación de software para la puesta en producción.
• ADMINISTRADOR DE BACKUP Y OTROS: custodia, guarda y mantenimiento de datos y software almacenados en distintos medios y soportes.
• ADMINISTRADOR DE BASES DE DATOS: define y da mantenimiento a la estructura de los datos de las aplicaciones que utilizan los software.
• ADMINISTRADOR DE REDES: administra y controla la red local.
• ADMINISTRADOR DE TELECOMUNICACIONES: administra y controla la red WAN.
• ADMINISTRADOR DE SISTEMAS OPERATIVOS: mantenimiento y puesta en producción de software de sistemas aplicativos.
• MESA DE AYUDA / SOPORTE: respuesta y asesoramiento a usuarios.
• USUARIO: quien usa los sistemas aplicativos.
• ADMINISTRADOR DE PERFILES: quien define la relación entre los perfiles de usuarios conforme las funciones que estos pueden realizar.
• ARQUITECTO DE POLITICAS Y PERFILES DE ACCESO: diseño de normas internas en seguridad de la información, perfiles de usuario y perfiles de acceso a la información.
• MONITOREO DE SEGURIDAD DE LA INFORMACION: seguimiento del cumplimiento de normas y del tratamiento de los activos.
4.4. Designación del Responsable del Area de Sistemas Informáticos
Las funciones relativas a la Seguridad Informática de los sistemas informáticos del MIyT se encuentran a cargo del Director de Sistemas de la DGGI - MIyT.
4.5. Designación del Responsable del Area de Tecnología y Seguridad
Las funciones relativas a seguridad informática de las tecnologías relativas al MIyT se encuentran a cargo del Director de Tecnología y Seguridad de la DGGI - MIyT.
4.6. Responsable del Area de Recursos Humanos
Cumple la función de:
• notificar a todo el personal las obligaciones respecto del cumplimiento de la Política de Seguridad de la Información, y de todas las normas, procedimientos y prácticas que de ella surjan,
• comunicar la presente Política a todo el personal, así como de los cambios que en ella se produzcan,
• implementar la suscripción a los compromisos de confidencialidad y notificaciones de responsabilidad que se dicten, para el tratamiento de la información.
4.7. Responsable del Area de Capacitación
Cumple la función de:
• generar y coordinar tareas de capacitación continua en materia de seguridad;
• asistir al personal del MINISTERIO DEL INTERIOR Y TRANSPORTE en materia de seguridad de la información.
4.8. Responsable del Area de Seguridad Física
Cumple la función de:
• cubrir los requerimientos ambientales que permitan que los recursos informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE funcionen en forma segura. Esta tarea deberá ser ejecutada en conjunto con el Responsable de Sistemas y Seguridad Informática,
• definir e implementar tareas de mantenimiento de edificios, oficinas y todas las instalaciones donde estén ubicados los equipos de procesamiento de la información, y donde se almacene o archive información, sea ésta en formato papel u otros. En la definición de las tareas participarán el Responsable de Sistemas y Seguridad Informática, y los Responsables de la Información,
• atender las tareas relativas a la seguridad y controles de acceso físico al ámbito del MINISTERIO DEL INTERIOR Y TRANSPORTE.
4.9. Responsable de Unidad de Auditoría Interna
Las funciones relativas a la auditoría en materia de seguridad informática relativas al MINISTERIO DEL INTERIOR Y TRANSPORTE se desarrollan mediante la Unidad de Auditoría Interna del MIyT. La Unidad de Auditoría Interna podrá realizar revisiones independientes sobre la vigencia y el cumplimiento de la presente Política.
4.10. Asignación de Funciones y Responsabilidades de los Responsables
4.10.1. Responsabilidades del Coordinador del Comité de Seguridad de la Información
El Coordinador del Comité de Seguridad de la Información tendrá a su cargo:
• impulsar la implementación de la presente Política.
• convocar a las asambleas ordinarias y extraordinarias que se celebren con motivo de la implementación de la presente Política y sus procedimientos, incidencias y optimizaciones, las que se celebrarán con una periodicidad mínima mensual.
• monitoreo de seguridad de la información, mediante el seguimiento del cumplimiento de normas y del tratamiento de los activos.
4.10.2. Responsabilidades del Comité de Seguridad de la Información
El Comité de Seguridad de la Información tendrá a su cargo:
• gestionar la aprobación de la presente Política, ante la máxima autoridad del organismo,
• efectuar periódicas revisiones de la presente Política y gestionar la aprobación de las modificaciones que se efectúen,
• seguimiento de las actividades relativas a la seguridad de la información, dentro de cada área: análisis de riesgos, monitoreo de incidentes, supervisión de la investigación, implementación de controles, administración de la continuidad, etc.,
• impulsar procesos de concientización de los usuarios del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• proponer la asignación de funciones,
4.10.3. Responsabilidades de los Responsables Primarios de Información
Los Responsables Primarios de Información tendrán a su cargo:
• Proceso de Autorización de Acceso a Recursos Informáticos.
El acceso a los recursos informáticos, nuevos o existentes, será autorizado por los responsables de las Unidades Organizativas involucradas, considerando su propósito y uso, en conjunto con el Responsable de Seguridad y Tecnología. Con ello, se garantiza el cumplimiento de las Políticas y requerimientos de seguridad pertinentes. Debe garantizarse una adecuada compatibilidad entre todos los componentes informáticos del Organismo (hardware, software, aplicativos, dispositivos de comunicaciones, dispositivos de almacenamiento, etc.).
• Utilización de Recursos Informáticos Personales.
Dado que recursos personales de los usuarios pueden representar una amenaza para la información del MINISTERIO DEL INTERIOR Y TRANSPORTE, su utilización deberá ser autorizada por el Responsable Primario del sector correspondiente, y evaluada en cada caso por el Responsable de Seguridad y Tecnología. Se aprobará el uso de un recurso personal en el caso que éste no aporte riesgos a la información del Organismo.
4.10.4. Responsabilidades del Area de Sistemas Informáticos
El Responsable del Area de Sistemas Informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE, tiene a su cargo las siguientes funciones:
• cubrir los requerimientos de seguridad de la información establecidos para la operación, administración y comunicación de las bases de datos, de los sistemas y los recursos de tecnología del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• verificar la aplicación de las medidas de seguridad necesarias para la proteger la información del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• controlar las tareas de desarrollo y mantenimiento, siguiendo una metodología apropiada para el ciclo de vida de los sistemas, contemplando la inclusión de medidas de seguridad en los sistemas en todas las fases,
• atender las tareas relativas a la seguridad de los sistemas de información del MINISTERIO DEL INTERIOR Y TRANSPORTE, entre otras, que en la fase de pruebas de los sistemas de información, éstas no se efectúen con datos personales reales.
• supervisar todos los aspectos inherentes a su área de competencia tratados en la presente Política.
• diseño, desarrollo, mantenimiento y puesta en producción de sistemas aplicativos de software.
• prueba y homologación de software para la puesta en producción.
• define y da mantenimiento a la estructura de los datos de las aplicaciones que utilizan las distintas aplicaciones de software.
Para llevar correctamente la multiplicidad de actuaciones encomendadas, el Responsable de Area de Sistemas Informáticos podrá delegar en quien/es considere, la ejecución de parte o de la totalidad de cualquiera de las tareas a su cargo, debiendo constar el alcance de su autorización y quienes resulten autorizados en La Política, mediante la constancia formal asentada en un Listado de Delegación de Autorizaciones que obrará como Anexo Reglamentario de la Presente.
Además, el Responsable de Sistemas registrará las actividades realizadas en los aplicativos en Producción. Se incluirán los siguientes controles, según corresponda:
• tiempo de uso de los sistemas,
• errores en los sistemas y medidas correctivas tomadas,
• intentos de acceso a sistemas, recursos e información crítica o confidencial,
• tipos de archivos almacenados en los servidores,
• ejecución de operaciones críticas,
• control de cambios a información crítica.
La Unidad de Auditoría Interna contrastará los registros de actividades del personal y de los procedimientos del ambiente de Producción.
Dentro de la órbita de funciones asignadas, el Responsable de Sistemas o quien él designe, comunicará a quien corresponda sobre la aparición de fallas, así como las medidas correctivas a adoptar. Las fallas de los sistemas informáticos reportadas por los usuarios se registrarán en un sistema de gestión de incidentes.
Asimismo, el Responsable de Sistemas debe implementar controles para garantizar la seguridad de los datos y la protección contra el acceso no autorizado a los servicios conectados. Se debe considerar lo siguiente.
• las funciones de operación, soporte y administración de las redes y servidores estarán separadas de las correspondientes a operaciones y soporte de los puestos de trabajo.
• procedimientos y responsabilidades para la administración del acceso remoto a las redes del MINISTERIO DEL INTERIOR Y TRANSPORTE, así como el acceso remoto a puestos de trabajo dentro de las mencionadas redes,
• controles especiales para proteger datos y sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE que circulan o se conectan hacia redes ajenas,
• actividades de supervisión tanto para optimizar los servicios de redes como para garantizar que los controles se aplican uniformemente en toda la infraestructura de procesamiento de datos.
Dentro del ambiente de Producción, los cambios a la programación deberán tener un registro de auditoría que contenga toda la información relevante. Debe procurarse que los procedimientos de control de cambios sobre las operaciones y aplicaciones se hallen integrados. Se considerarán los siguientes ítems:
• identificación y registro de cambios significativos,
• evaluación del posible impacto de dichos cambios,
• procedimiento de aprobación formal de los cambios propuestos,
• comunicación de detalles de cambios a los Responsables Primarios de las áreas afectadas,
• planificación del proceso de cambio,
• testeo de los cambios en un ambiente de prueba,
• proceso de implementación en el ambiente de Producción,
• determinación de responsabilidades por la cancelación de cambios y los procesos de recuperación.
4.10.5. Responsabilidades del Area de Tecnología y Seguridad
El Responsable del Area de Tecnología y Seguridad del MINISTERIO DEL INTERIOR Y TRANSPORTE, tiene a su cargo las siguientes funciones:
• incluir en los contratos con los distintos proveedores de servicios y tecnología, o de bienes y servicios que afecten directa o indirectamente a los activos de información la obligatoriedad del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas relacionadas.
• definir, coordinar y supervisar los procesos de Autorización de Acceso a Recursos Informáticos, gestión de perfiles de acceso a aplicaciones y sistemas informáticos e Utilización de Recursos Informáticos Personales —ver punto 4.10.3.—.
• asistir en la toma de decisiones que involucren a la seguridad, pudiendo recurrirse al asesoramiento de terceros.
• constituirse en enlace entre el MINISTERIO DEL INTERIOR Y TRANSPORTE y otros organismos a efectos de intercambiar experiencias y obtener asesoramiento para el mejorar prácticas y controles de seguridad, (Ar-CERT, Dirección Nacional de Protección de Datos Personales, etc.).
• analizar los perfiles de acceso y riesgos de accesos internos y de terceras partes a la información del Organismo para optimizar procesos.
• administrar y controlar las redes locales y WAN.
• coordinar la mesa de ayuda/soporte que da respuesta y asesoramiento a usuarios.
• definir normas internas y procedimientos en seguridad de la información.
• coordinar los sistemas de gestión de calidad de los servicios prestados por el MINISTERIO DEL INTERIOR Y TRANSPORTE mediante aplicaciones de software.
• velar por el cumplimiento de la Política de contraseñas vigente, en cuanto al mantenimiento de la confidencialidad de las mismas, y su modificación periódica.
• velar por la aplicación de medidas de control del acceso físico a los locales donde se encuentren ubicados los sistemas de información.
4.10.6. Responsabilidades del Administrador de Backup
El Responsable de las copias de resguardo y backup del MINISTERIO DEL INTERIOR Y TRANSPORTE, tiene a su cargo las siguientes funciones:
• ejecución de los procedimientos de realización de copias de respaldo y recuperación de datos, en cumplimiento de la periodicidad establecida para ello.
• llevanza de un Registro de entrada y salida de soportes informáticos, y la aplicación de un Sistema que permita identificar, inventariar y almacenar en lugar seguro los soportes informáticos que contienen datos de carácter personal. Asimismo, deberá comprobar que se imposibilita la recuperación indebida de la información almacenada en soportes informáticos que vayan a salir fuera de los locales en que se encuentre ubicado el fichero.
• Corroboración de la aplicación referido a las medidas de seguridad indicadas en La Política cuando un soporte vaya a ser desechado o reutilizado.
4.11. Separación de funciones
Una concentración de tareas puede aumentar el riesgo de modificaciones no autorizadas, o mal uso de la información y los servicios, debido a la concentración de tareas. Por ello, se debe implementar una separación de funciones, tareas y áreas de responsabilidad.
En caso que sea difícil tal separación, se tendrán en cuenta controles, como el monitoreo de actividades, pistas de auditoría y la supervisión, por parte de los Responsables. En este caso, el Responsable Primario que corresponda enviará una justificación formal al Comité de Seguridad, el que decidirá las acciones a tomar.
Se implementarán controles tales como:
• monitoreo de actividades.
• registros de auditoría y control periódico de los mismos.
• supervisión por parte de la Unidad de Auditoría Interna. Esta actividad será independiente al área que genera las actividades auditadas.
4.11.1. Separación entre Instalaciones de Desarrollo, Prueba y Producción
Se debe definir correctamente la identificación de roles y actividades involucradas en los ambientes de Desarrollo, Prueba y Producción pues la ausencia de segregación entre las mismas puede ocasionar problemas en el ambiente de Producción, como la modificación no deseada de archivos, sistemas o datos. Atento ello, debe verificarse un nivel de separación adecuado entre los ambientes y funciones de Producción, Prueba y Desarrollo, a fin de prevenir problemas operativos (ver cuadro de compatibilidades y segregación de funciones Punto 4.3.4.).
Según el entorno, debe atenderse, entre otras, a las siguientes vulnerabilidades:
• En entorno de Prueba, una instalación identificada y estable permite llevar a cabo pruebas significativas, impidiendo accesos inadecuados por parte del personal de Desarrollo.
• En ambiente de Producción, una alteración no autorizada de datos posibilitaría la generación de fraude. La introducción de líneas de código no autorizado o probado facilitaría el funcionamiento de programas maliciosos, causando serios problemas operativos y amenazas a la confidencialidad de la información, además de consecuencias sociales y legales.
• Para reducir el riesgo de cambios accidentales o accesos no autorizados, deben definirse las reglas para la transferencia de software desde el ambiente de Desarrollo al de Pruebas, y posteriormente del ambiente de Pruebas al de Producción.
A fin de efectuar una correcta separación de las actividades desarrolladas en cada entorno, se estima conveniente establecer lo siguiente:
• los ambientes de Desarrollo, Prueba y Producción estarán separados de forma física, y el software de cada ambiente se ejecutará en diferentes procesadores, dominios y/o directorios, y las actividades de cada ambiente deben estar claramente establecidas. Si no es posible una segregación física de ambientes, se implementarán controles para la separación lógica de funciones en cada uno de los ambientes.
• los sistemas en Producción no deben acceder a compiladores, editores u otros utilitarios de Desarrollo, a menos que se lo requiera para su funcionamiento.
• los sistemas de Prueba y Producción tendrán distintos esquemas de autenticación y perfiles de usuario.
• un usuario que deba acceder tanto a los ambientes de Prueba y Producción, lo hará con cuentas de usuario distintas.
• cada uno de los ambientes de procesamiento debe tener un Responsable Primario de la información.
• el personal de desarrollo no podrá tener acceso a los ambientes de Prueba o de Producción. De requerirse tal contingencia, el Responsable de Sistemas establecerá un procedimiento para la autorización, documentación y registro de dichos accesos.
• Toda aplicación generada en el sector de Desarrollo, o adquirida a un proveedor, es migrada en algún momento a un ambiente de Producción, para su acceso por parte de los usuarios. Los controles de esta transferencia deben ser rigurosos, para asegurar que no se instalen programas fraudulentos y se causen serios problemas operativos.
• Es conveniente implementar un aplicativo que administre versiones y transfiera programas entre los ambientes, contando con un registro de control.
4.11.2. Esquema teórico de segregación de los entornos de Prueba, Producción y Desarrollo
En el presente acápite se presenta un modelo compuesto por tres ambientes. Este esquema se flexibilizará para adaptarlo a las características, equipos y capacidades instaladas en el MINISTERIO DEL INTERIOR Y TRANSPORTE.
4.11.2.1. Ambiente de Desarrollo
En este ambiente se desarrollan los programas fuentes y se almacena la información relacionada con el análisis y diseño de los sistemas.
El desarrollador tiene total dominio sobre el ambiente. Un sistema registra el control de versiones. Se designa a un Administrador de programas fuentes, quien gestionará el versionado de los aplicativos en Desarrollo.
El desarrollador realiza las pruebas con los datos existentes en las bases de Desarrollo.
Cuando el desarrollador considera que el programa está terminado, se implementa el pase al ambiente de Pruebas. En tal operación se debe incluir toda la documentación necesaria (requerimientos de instalación, librerías, estructura de carpetas y permisos, diccionario de la base de datos, scripts, etc.).
4.11.2.2. Ambiente de Pruebas
En este ambiente se testean los programas fuente desarrollados, en condiciones que simulan un ambiente de Producción. Por ende, el ambiente de Pruebas tendrá las mismas características que el de Producción (sistema operativo, software de base, etc.).
El implementador de este ambiente, o testeador, recibe el programa y la documentación enviada por el desarrollador. Se efectúa una prueba general con un lote de datos establecido a tal efecto —valores extremos, datos de la base de pruebas, etc.—. La actividad será efectuada, de ser posible, junto al usuario final.
Los desarrolladores, o los proveedores de los aplicativos, no deben acceder a datos de Producción utilizados para testing en el ambiente de Prueba, salvo casos de excepción debidamente justificados.
Se aprueba el sistema en el ambiente de Pruebas cuando:
• no se detectan errores de ejecución,
• no se afecta el funcionamiento ni la performance del sistema operativo y demás componentes del ambiente,
• los resultados de las rutinas de seguridad son se corresponden con las especificaciones,
• se considera que la documentación presentada es completa.
En caso de aprobación, se remite el programa fuente al sector de Producción, por medio de un sistema de control de versionado. Asimismo, se entrega toda la documentación necesaria (características de instalación, librerías, estructura de carpetas y permisos, diccionario de la base de datos, scripts, etc.).
En caso de desaprobación, se devuelve el programa al desarrollador, junto con un detalle de las observaciones.
4.11.2.3. Ambiente de Producción
En este ambiente se ejecutan los procesos y datos productivos. Las implementaciones serán realizadas por un administrador de ambientes, o implementador.
Los programas fuente aprobados se almacenan en un repositorio de fuentes de producción, mediante un sistema de control de versiones. El control de versiones indicará los datos del programador, fecha, hora y tamaño de los programas fuente, objeto, librerías, modelo de datos de las bases, parámetros, etc.
El implementador instala el sistema tomándolo desde el ambiente de Pruebas, asegurando una correspondencia unívoca entre ambientes. Los procedimientos de instalación alcanzarán, además, a todos los elementos que formen parte del sistema.
Toda modificación al software de base (Sistema Operativo, motores de bases de datos, productos middleware, etc.) debe seguir pasos idénticos.
Ni personal de Desarrollo, ni el proveedor de los aplicativos deben tener acceso al ambiente de Producción, salvo casos de excepción debidamente justificados.
El Responsable Primario de la Información debe autorizar todos los accesos a Producción.
El Responsable de Sistemas y Seguridad Informática implementará los accesos autorizados. Asimismo, efectuará monitoreo de los trabajos realizados, elevando informes al Responsable Primario y al Comité de Seguridad, cuando corresponda.
5. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O USUARIOS
5.1. Carácter de usuario
Se considera usuario, al sujeto autorizado para acceder a los sistemas informáticos y/o a quien se le ha asignado una cuenta de correo electrónico y/o al autorizado a acceder a bases de datos, sistemas, aplicaciones o cualquier recurso informático de titularidad del MINISTERIO DEL INTERIOR Y TRANSPORTE, como así también a quienes accedan a datos contenidos en soporte manual o no automatizados.
Quien mantenga una relación de carácter laboral bajo cualquier modalidad de contratación con el MINISTERIO DEL INTERIOR Y TRANSPORTE y tenga autorizado el acceso a las bases de datos o los sistemas informáticos, Internet o Intranet y, en general, a cualquier dato alojado en cualquier tipo de soporte, quedará sujeto al control de su actividad por los Responsables de Seguridad Informática designados por el MINISTERIO DEL INTERIOR Y TRANSPORTE y obligado a cumplir las medidas de seguridad aquí descritas.
El MINISTERIO DEL INTERIOR Y TRANSPORTE arbitrará los medios necesarios para garantizar el efectivo conocimiento por los usuarios sobre los derechos y obligaciones que le asisten, y se compromete a informarles sobre cualquier cambio que se haga al mismo en el futuro, cuya aplicación no será retroactiva.
Asimismo, cada usuario firmará un Anexo a su Contrato de Trabajo, por el cual se compromete a guardar el secreto y la confidencialidad de los datos de carácter personal que trata con motivo de sus funciones y a cumplir con lo dispuesto en La Política en materia de seguridad informática. Un ejemplar del COMPROMISO DE CONFIDENCIALIDAD, POLITICA DE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS obrará como Anexo Reglamentario de la Presente.
5.2. Confidencialidad de la información
Mientras dure la relación laboral o de prestación de servicios (cualquiera sea la situación de revista), así como una vez se haya extinguido la misma, los usuarios tienen expresamente prohibido comunicar procedimientos, información alojada en las bases de datos, trabajos encomendados por su empleador incluidos en las bases de datos y, en general, divulgar cualquier dato que hayan conocido por razón de su trabajo en el MINISTERIO DEL INTERIOR Y TRANSPORTE.
Todos los documentos, independientemente del soporte en el que se encuentren, relacionados con las actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE, son propiedad del mismo; estando obligado todo trabajador o autorizado a tratar los datos, a devolverlos cuando así le sea solicitado por el MINISTERIO DEL INTERIOR Y TRANSPORTE o con motivo de la extinción del vínculo laboral.
Todo usuario autorizado al acceso o tratamiento de datos de carácter personal de titularidad del MINISTERIO DEL INTERIOR Y TRANSPORTE, queda obligado legalmente al secreto profesional respecto de los mismos como así también de los procesos a los que estos datos son sometidos, conservados y tratados, incluso una vez extinguida la relación laboral o de colaboración que le une con el MINISTERIO DEL INTERIOR Y TRANSPORTE.
Lo expuesto anteriormente supone que queda absolutamente prohibido:
• La utilización, divulgación o cesión de los datos de los ciudadanos para finalidades diferentes o que excedan de la órbita de las funciones laborales del usuario.
• Revelar, permitir o facilitar el acceso a la información contenida en las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE (automatizadas y en papel), por ningún tipo de medio (telefónico, escrito, telemático, etc.) a terceras personas ajenas a la misma sin autorización del titular de dichos datos, así como a otros trabajadores del órgano que, por sus funciones, no tengan autorizado el acceso a los mismos.
• Recopilar información acerca de personas físicas y jurídicas que formen parte de las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• La anotación por parte de los empleados de observaciones o comentarios acerca de personas en documentos del MINISTERIO DEL INTERIOR Y TRANSPORTE sean oficiales o no, con excepción de cuando así se lo exija al personal o se desprenda de la naturaleza de la función que ocupa.
• Manipular o modificar los datos y/o el soporte que los contienen (papel o automatizado) de un modo no previsto conforme al buen saber y entender del trabajador y a lo que se infiere como consecuencia de las actividades que le son propias.
En caso de plantearse dudas sobre los permisos de acceso a los datos, debe consultarse al Administrador y/o Supervisor.
5.3. Identificación y Claves de Acceso
Las contraseñas personales constituyen uno de los componentes básicos de la seguridad. Al darse de alta un usuario en el sistema operativo, el Administrador le asignará de forma individualizada, un identificador de usuario y una contraseña, conforme a su perfil de usuario.
Los números de identificación y las claves de acceso serán estrictamente confidenciales y personales, y cada identificación debe pertenecer a un solo usuario.
El usuario debe cambiar la contraseña proporcionada en el primer acceso al sistema, por una clave de su exclusivo conocimiento. La contraseña deberá constar de no menos de 8 (ocho) caracteres, ser alfanumérica y contener al menos un número y/o símbolo dentro de sus caracteres. Asimismo, se recomienda cambiar la contraseña cada lapso no superior a 3 (tres) meses, por una distinta de la anterior.
Debido que las contraseñas tienen carácter personal e intransferible, queda absolutamente prohibido comunicar a persona distinta del propio interesado, el identificador de usuario y la contraseña.
Si el usuario desea guardar su clave, deberá hacerlo de forma que el archivo sea accesible sólo por él, guardado de forma ininteligible y en un archivo protegido mediante contraseña. Asimismo, si se tiene conocimiento que otra persona conoce su clave y/o contraseña, deberá cambiarla inmediatamente y ponerlo en conocimiento del Administrador, quien lo registrará como incidencia. En caso de incumplimiento de esta estas obligaciones, el usuario será el único responsable de los actos realizados por la persona que utilice de forma no autorizada su identificador.
Lo expuesto anteriormente supone que está totalmente prohibido:
• Intentar descifrar las claves, sistemas o algoritmos de cifrados usando métodos de des encriptación u otros.
• Intentar utilizar el sistema para acceder a áreas que el usuario tenga restringidas de los sistemas informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• Intentar acceder sin la debida autorización, a otras cuentas o a sistemas de equipos o redes conectadas a Internet, a través del uso no lícito de la contraseña (o cualquier otro medio).
• El acceso o entrada en los sistemas informáticos utilizando la identificación de usuario y contraseña de otro usuario.
5.4. Utilización de equipos informáticos
El MINISTERIO DEL INTERIOR Y TRANSPORTE, es propietario u ostenta los derechos de uso de todos los medios e instrumentos informáticos y de comunicación que pone a disposición de sus empleados exclusivamente para el desarrollo de su actividad laboral.
Dichos medios deberán utilizarse con el cuidado o atención necesarios para evitar su destrucción, pérdida o deterioro prematuro. No se puede modificar ninguna parte de los mismos a iniciativa del usuario, sin contar con la autorización expresa del supervisor.
El usuario que tenga a su disposición equipos informáticos portátiles debe extremar la precaución cuando haga uso de los mismos o los transporte fuera de las instalaciones del MINISTERIO DEL INTERIOR Y TRANSPORTE, y debe darse aviso inmediatamente en caso de sustracción, perdida u otro imponderable.
El MINISTERIO DEL INTERIOR Y TRANSPORTE pone a disposición de los trabajadores los medios informáticos y técnicos adecuados para la realización de sus funciones sólo mientras dure la relación laboral y con fines estrictamente profesionales. En el momento de la finalización de la relación laboral, se denegará el acceso a los equipos informáticos y consiguientemente a los archivos incluidos en los mismos. En el supuesto de que el ex usuario tenga en su poder determinados medios informáticos propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE (PC portátil, CD’s, DVD’s, USB´s, disco duro externo, etc.), tendrá que devolverlos en el momento de la finalización de su relación laboral.
5.5. Utilización de internet y correo electrónico
El criterio a seguir por los usuarios es que la navegación en Internet obedezca a fines profesionales, con el propósito de obtener el mejor aprovechamiento posible de los recursos informáticos.
Sin embargo, de acuerdo con la necesidad de conciliación de la vida personal y profesional, se autoriza la navegación por Internet para aquellos deberes personales que coinciden con el tiempo de trabajo, resulten realmente necesarias o se utilice como descanso del trabajador dentro de la jornada laboral, siempre que dicha utilización sea razonable y reducida al tiempo mínimo indispensable.
En vista de lo anterior, y con el fin de no ocupar innecesariamente o colapsar las conexiones, quedan expresamente prohibidas las descargas de películas, clips, vídeos, música, imágenes, fotografías, software, etc., en especial aquellos archivos que puedan infringir la propiedad intelectual y derechos de autor de terceros.
El Responsable de Seguridad Informática podrá bloquear el acceso a aquéllos sitios web que no considere acordes con el perfil del organismo. Sin perjuicio de ello, queda terminantemente prohibido el acceso a aquellas direcciones de Internet cuyas páginas tengan contenidos pornográfico, sexual, pedófilo, racista, y en general, el que pueda resultar ofensivo o atentatorio contra la dignidad humana.
La tecnología de acceso a Internet instalada permite disponer de un registro detallado de los sitios web visitados por cada usuario, del número de accesos efectuados al día, de la fecha y hora en que se efectuó la conexión y del tiempo dedicado en cada conexión. Tal información se almacena en los servidores del MINISTERIO DEL INTERIOR Y TRANSPORTE. A estos efectos se informa a los trabajadores que las bases de datos que se generen con la información de sus respectivos accesos a Internet podrán ser utilizadas por el empleador como prueba a los efectos de proceder a sanciones o despidos disciplinarios por incumplimiento de la presente política o disminución de la dedicación y rendimiento del trabajador.
El correo electrónico o e-mail es también un instrumento de trabajo propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE y como tal, su utilización debe estar relacionada con los cometidos laborales encomendados, sin que pueda utilizarse de forma habitual o abusiva como instrumento para el intercambio de información cuyo contenido sea ajeno a las funciones propias del agente.
Las comunicaciones realizadas a través de cuentas oficiales de correo electrónico o e-mail no pueden considerarse privadas y no son apropiadas para remitir información personal y/o confidencial. No se puede garantizar totalmente la seguridad de la comunicación y consiguientemente, no debe haber ninguna expectativa de privacidad o secreto en las comunicaciones enviadas por cuentas de correo electrónico creadas por el MINISTERIO DEL INTERIOR Y TRANSPORTE y otros órganos de gobierno para el ejercicio de funciones públicas. En todo caso, cualquier comunicación no profesional que pueda haberse recibido o emitido deberá ser eliminada de las bandejas de elementos enviados/recibidos al finalizar la jornada laboral. No es objetivo de esta cláusula impedir la flexibilidad en el uso del correo electrónico sino evitar los abusos que pudieran cometerse en la utilización del mismo.
En el momento de la extinción de la relación laboral, cualquier acceso a la bandeja de correo electrónico quedará interrumpido. En su caso, el usuario podrá eliminar mensajes privados e innecesarios para el organismo. Sin embargo los mensajes relacionados con la actividad profesional deberán ser mantenidos y guardados en el sistema. Antes de comenzar tal proceso de eliminación de mensajes, debe ponerse en comunicación con la Dirección General de Gestión Informática del MINISTERIO DEL INTERIOR Y TRANSPORTE (DGGI), para que esta supervise y organizase el proceso.
5.6. Utilización de programas, software y aplicaciones informáticas
Cada usuario tiene acceso a los recursos que necesita en función de su perfil de trabajo.
Los archivos y sistemas informáticos utilizados para realizar su trabajo son de propiedad estatal. Queda prohibida cualquier utilización, copia o reproducción de los mismos para fines no profesionales, salvo autorización expresa del Responsable de Area de Sistemas Informáticos, el Responsable de Tecnología y Seguridad o el Coordinador del Comité de Seguridad.
El usuario será el único responsable, tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE como respecto a terceros, en caso de violación de tales reglas de conducta.
A fin de no vulnerar los derechos de propiedad intelectual de terceros se prohíbe expresamente la utilización de programas para los cuales la administración pública no haya obtenido una licencia previa.
Debe advertirse que la utilización de programas informáticos sin la debida autorización (pirateo informático) puede ser constitutiva de delito, y el usuario puede incurrir asimismo en responsabilidades de distinto orden.
La utilización de archivos o programas de procedencia externa, puede entrañar graves riesgos para la seguridad del conjunto de los sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE, por lo que deberá evitarse la apertura de cualquier archivo de procedencia desconocida, la utilización de software no autorizado, la descarga de archivos de procedencia dudosa desde internet, la conexión a la red de MINISTERIO DEL INTERIOR Y TRANSPORTE de equipos no autorizados y revisados por la DGGI.
Finalizado el vínculo laboral, el trabajador deberá dejar intactos todos los archivos, entregables, informes y documentos que hayan tenido un fin profesional o productivo.
Cuando se estime necesario para la protección del patrimonio estatal y del de los demás empleados, para el de los derechos ajenos, o por motivos relacionados con el funcionamiento del MINISTERIO DEL INTERIOR Y TRANSPORTE, éste se reserva la facultad de revisar periódicamente, a través de los servicios técnicos de la misma, el contenido de los discos duros de los ordenadores utilizados por los empleados en el desempeño de sus funciones, procediendo a la eliminación de todos aquellos programas y archivos que por parte de los servicios técnicos de la empresa se consideren ajenos a los fines profesionales en atención a los cuales dichos ordenadores son puestos a disposición de los empleados.
Las mencionadas revisiones se efectuarán siempre por parte de los servicios técnicos del MINISTERIO DEL INTERIOR Y TRANSPORTE o quien éste designe, en el centro de trabajo y dentro del horario laboral, respetándose al máximo las garantías legales.
5.7. Política de escritorios y pantallas limpias
Se adopta una política de escritorios, mesas o espacios de trabajo limpios, para proteger los documentos en papel; y un criterio de pantallas limpias, que minimice el riesgo de accesos no autorizados y pérdidas de información, tanto durante el horario de trabajo como fuera del mismo.
Será obligatorio:
• Almacenar bajo llave, gabinetes o mobiliario seguro, los archivos en papel mientras se encuentran en dominio de un trabajador y/o funcionario, cuando no estén siendo utilizados, especialmente fuera del horario de trabajo.
• Guardar en lugar seguro copias de las llaves de ingreso al ámbito de trabajo. Las llaves se encontrarán protegidas en sobre cerrado y en una caja de seguridad, debiendo dejarse constancia y los motivos de todo acceso a las mismas.
• Los medios de almacenamiento que contengan información sensible y/o crítica deben resguardarse, preferentemente, en cajas fuertes o gabinetes a prueba de incendio.
• Proteger con cerraduras de seguridad, contraseñas u otros controles a las computadoras personales, terminales e impresoras asignadas a funciones críticas cuando no están en uso (ej. protectores de pantalla con contraseña).
• Computadoras e impresoras de conexión local permanecerán apagadas cuando no se las use.
• Proteger los puntos de recepción y envío de correo postal y las máquinas de fax.
• Bloquear las fotocopiadoras fuera del horario normal de trabajo.
• Retirar inmediatamente la información sensible una vez impresa.
• Los usuarios deben finalizar o bloquear la sesión de red, antes de retirarse de su lugar trabajo. Si un agente debe abandonar su puesto de trabajo momentáneamente, activará protectores de pantalla con contraseña, a los efectos de evitar que terceros puedan ver el trabajo o continuar con la sesión del usuario habilitada.
El trabajador y/o usuario y/o funcionario será el único responsable, tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE como respecto a terceros, en caso de violación de tales reglas de conducta.
5.8. Incidencias
Se entiende por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad e integridad de los datos de carácter personal, sistemas, soportes informáticos y archivos (estén automatizados o no).
Es obligación comunicar al Supervisor o Administrador cualquier incidencia que se produzca en relación con su cuenta de usuario. Dicha comunicación deberá realizarse a la mayor brevedad posible, desde el momento en el que se produce la incidencia o se tenga certeza de que pudiera producirse o se tiene conocimiento de la misma, vía telefónica al interno 6000 (seis mil).
6. SEGURIDAD DEL PERSONAL
6.1. Objetivo
Reducir los riesgos de error humano, robo, fraude, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la información.
Dar a conocer a los usuarios y/o funcionarios y/o personal las responsabilidades que les caben en materia de seguridad, a través de su notificación y posterior verificación sobre su cumplimiento.
Capacitar a los usuarios, para que estén al corriente de los riesgos y amenazas a la información del MINISTERIO DEL INTERIOR Y TRANSPORTE y respalden a la Política de Seguridad de la Información.
Establecer compromisos en cuanto a la responsabilidad y el buen uso de los recursos del MINISTERIO DEL INTERIOR Y TRANSPORTE, por parte del personal y usuarios externos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
Comunicar las debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.
6.2. Alcance
Esta Política se aplica a todos los usuarios de los servicios informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE, y a terceras partes, que hagan uso, administren y/o controlen sistemas de información, según lo indicado el Punto 3 del presente.
Las responsabilidades emergentes del uso adecuado de los recursos informáticos deberán comunicarse a todos los usuarios del MINISTERIO DEL INTERIOR Y TRANSPORTE, cualquiera sea su modalidad de revista, como así también a todos aquellos terceros que tengan vinculación alguna con el Organismo. El personal que desempeñe funciones críticas dentro del Ministerio deberá estar notificado de aquellas responsabilidades especiales que emerjan de su labor.
La notificación de las responsabilidades mencionadas estará a cargo del Area de Recursos Humanos.
6.3. Responsabilidades
El Responsable del Area de Recursos Humanos deberá:
• incluir las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados.
• gestionar las notificaciones del uso responsable de los recursos de información del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• implementar los mecanismos necesarios para la toma de conocimiento por parte de los usuarios, del uso responsable de los recursos informáticos.
• El Responsable del Area de Capacitación deberá coordinar las tareas de capacitación de usuarios respecto de la presente Política de Seguridad.
El Responsable de Sistemas y Seguridad Informática deberá:
• realizar un seguimiento, documentar y analizar todos los incidentes de seguridad reportados
• participar en la confección de los acuerdos o contratos con terceros, en lo referente a la seguridad de la información propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• comunicar todo incidente de seguridad al Comité de Seguridad de la Información, y a los Responsables Primarios de la información.
El Comité de Seguridad de la Información deberá:
• verificar la existencia de medios y canales necesarios para que los Responsables de Sistemas y Seguridad Informática manejen los reportes de incidentes y anomalías de los sistemas.
• tomar conocimiento de todo incidente relativo a la seguridad de la información, efectuar el seguimiento de investigaciones, controlar la evolución e impulsar la resolución de los mismos.
Es responsabilidad de todo el personal del MINISTERIO DEL INTERIOR Y TRANSPORTE el informar vulnerabilidades e incidentes de seguridad que oportunamente se detecten.
6.4. Administradores de Identificación y Acceso
6.4.1 Carácter de Administrador
Se considera administrador, al sujeto autorizado para gestionar los derechos, permisos y restricciones de acceso a los sistemas y bases de datos de los usuarios de los sistemas informáticos y aplicaciones del MINISTERIO DEL INTERIOR Y TRANSPORTE. Los Responsables de Tecnología y Seguridad y de Area Informática, conjuntamente, han delegado en los Administradores de Sistemas, BBDD y Perfiles, las siguientes funciones y directivas:
• Llevar a cabo el Procedimiento de asignación, identificación y autenticación de usuarios, creando usuarios conforme a los perfiles previamente definidos por el Responsable de Tecnología y Seguridad o el Responsable del Area Informática; en conjunción con los Responsables Primarios de la Información.
• Conceder, alterar o anular el acceso autorizado a los datos y recursos y realizar cualquier otra gestión relativa a las cuentas de usuario, tales como bloqueo, desbloqueo, suspensión o cancelación de la misma, etc. A tal fin, se define que los identificadores de usuario serán únicos, de modo de identificar a cada usuario por sus acciones. Los ID tendrán una extensión de 8 caracteres y se recomienda no utilizar términos que denoten el perfil que ha sido asignado. Excepcionalmente, podrá asignarse a la misma persona física distintos perfiles de usuario, siempre que éste mantenga un correcto orden y separación de funciones entre ambos perfiles, y acceda al sistema con dos nombres de usuario y dos contraseñas distintas.
• Verificar que el nivel de acceso otorgado es adecuado para la función que lleva a cabo el usuario.
• Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas, se les haya revocado la autorización o se desvinculasen del organismo.
• Elaborar y mantener actualizada una relación de usuarios con acceso autorizado a las aplicaciones y sistemas informáticos del MINISTERIO DE INTERIOR Y TRANSPORTE, con especificación del nivel de acceso, perfil asignado, nombre de usuario, D.N.I., nombre y apellido de la persona física con la que se corresponde el usuario.
• Informar a los usuarios sobre las dudas que puedan tener en relación con el Documento “COMPROMISO DE CONFIDENCIALIDAD, POLITICA DE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS”.
• Dar curso a las incidencias relativas a la gestión de usuarios; en su caso, comunicar al Responsable de Area Informática y/o Responsable Primario de Información que corresponda, respecto de las infracciones cometidas por los usuarios, para que se adopten las medidas correctoras específicas o punitivas que procedan.
• Velar por el cumplimiento de la Política de contraseñas vigente, en cuanto al mantenimiento de la confidencialidad de las mismas, y su modificación periódica.
• Limitar el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
• Limitar el tiempo de acceso de los usuarios en relación con su jornada de trabajo y finalizar la conexión si este es excedido.
• Permitir que los usuarios elijan sus contraseñas y recomendar que las cambien con una periodicidad trimestral.
• Arbitrar mecanismos que eviten mostrar las contraseñas en pantalla, cuando son ingresadas.
Los Administradores tienen expresamente prohibido:
• Intentar aumentar el nivel de privilegios de un usuario en el sistema, cuando ello no sea conteste con las funciones propias del usuario.
• Intentar descifrar las claves, sistemas o algoritmos de cifrados de otras reparticiones usando métodos de des encriptación u otros.
• Intentar acceder sin la debida autorización, a otras cuentas o a sistemas de equipos o redes conectadas a Internet, a través del uso no lícito de la contraseña (o cualquier otro medio).
6.4.2. Notificación de Responsabilidad y Buen Uso de los Recursos de Información por Administradores
Con el objetivo de proteger los recursos de información del MINISTERIO DEL INTERIOR Y TRANSPORTE se informará y notificará por intermedio del Documento “COMPROMISO DE CONFIDENCIALIDAD, GESTION DE LAS BASES DE DATOS Y TRATAMIENTO DE SISTEMAS INFORMATICOS POR LOS ADMINISTRADORES.-”, parte integrante del presente como Anexo Reglamentario, respecto de las medidas de seguridad de cumplimento obligatorio para todos los agentes a los que se les asigne el perfil de Administrador de los sistemas y recursos informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
Como parte de los términos y condiciones de empleo, quienes revistan el carácter de Administrador, deben notificarse de las responsabilidades y el buen uso de los recursos, así como del mantenimiento de la privacidad y divulgación adecuada de la información del Organismo, y cada Administrador declarará conocer y aceptar el detalle de actividades de su competencia que, asimismo, pueden ser objeto de control y monitoreo. El área de Recursos Humanos conservará una copia firmada de dicha notificación.
6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información por Usuarios
Con el objetivo de proteger los recursos de información del MINISTERIO DEL INTERIOR Y TRANSPORTE se informará y notificará a todos los usuarios por intermedio del Documento “COMPROMISO DE CONFIDENCIALIDAD, POLITICA DE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS”, conforme lo dispuesto en el Punto 5.1. de La Política, respecto de las medidas de seguridad de cumplimento obligatorio y responsabilidades emergentes del uso inadecuado de los recursos informáticos.
El área de Recursos Humanos conservará una copia firmada de dicha notificación.
Los siguientes constituyen ejemplos del buen uso de los recursos informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE:
• Utilización de recursos en servidores para el almacenamiento de archivos (documentos, planillas de cálculo, etc.) vinculados con las funciones y tareas cotidianas.
• Utilización de los servidores para el procesamiento de datos, a través de aplicaciones autorizadas.
• Mantener la privacidad adecuada de los datos relacionados con la gestión cotidiana, otorgando acceso o divulgando información expresamente autorizada.
• Empleo de los accesos a Internet/Intranet cuando éstos se relacionen con la actividad que cada empleado ejerce en el organismo.
• Uso del correo electrónico corporativo con fines relacionados con las funciones o tareas desempeñadas en la organización.
• Cerrar la sesión de red abierta, al retirarse del puesto de trabajo.
El uso inadecuado de los recursos informáticos se ejemplifica en lo siguiente:
• Uso de los sistemas y recursos con fines personales, reenvío de cadenas de mensajes o cualquier otro que no esté relacionado con las actividades del MIyT.
• Almacenamiento de información personal en servidores (ej: fotos, archivos de música, etc.).
• Compartir o revelar contraseñas de acceso, compartir el uso de firmas digitales personales.
• Modificaciones no autorizadas sobre los datos.
• Eliminación no autorizada de datos.
• Transmisión fraudulenta o no autorizada de datos.
• Instalación y uso no autorizado de programas.
• Instalación o reubicación no autorizada de computadoras.
• La comunicación, almacenamiento o generación de información ofensiva; incluidos virus, gusanos, software malicioso, programas o información de carácter obsceno, pornográfico o ilegal.
• Almacenar información organizacional en lugares no protegidos (por ejemplo, utilizar puestos de trabajo en lugar de recursos en los servidores de red).
6.5. Capacitación del Usuario
6.5.1. Objetivo
Garantizar que los usuarios están al corriente de las amenazas para la información, y que están en condiciones de respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.
Los usuarios deben conocer los procedimientos de seguridad y el correcto uso de los sistemas y servicios informáticos, a fin de minimizar eventuales riesgos de seguridad.
6.5.2. Formación y Capacitación en Seguridad de la Información
Los empleados y personal jerárquico del MINISTERIO DEL INTERIOR Y TRANSPORTE deberán recibir una capacitación sobre los aspectos de seguridad de la información del Organismo.
Los contratos y/o acuerdos con terceras partes u organismos que hacen uso de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE deberán contemplar los aspectos de políticas de seguridad relacionados. En tal sentido, se contemplará una capacitación, cuando corresponda.
Se considerarán los requerimientos de seguridad, responsabilidades legales, y el uso correcto de los recursos de información, por ejemplo las estaciones de trabajo, acceso a servicios, etc.
El Responsable del Area de Capacitación coordinará las acciones al respecto que surjan de la presente Política.
A tales fines, se implementará un plan de capacitación, con una revisión cada doce (12) meses, realizando las actualizaciones que correspondan respecto de la tecnología o servicios informáticos vigentes o de implementación futura.
7. GESTION DE INCIDENCIAS
7.1. Objetivo
Se entiende por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad de los sistemas informáticos y/o de los datos alojados en ellos (su confidencialidad, integridad o disponibilidad).
La gestión de incidencias tiene por objeto minimizar el daño producido por incidentes de seguridad de la información, además de monitorear y generar una base de conocimiento que permita optimizar los procesos, eliminar vulnerabilidades y amenazas.
Se deben establecer procedimientos y responsabilidades en el manejo de incidentes relativos a la seguridad de la información, para garantizar una respuesta rápida, eficaz y sistemática.
A modo ejemplificativo y meramente enunciativo, se señalan distintos tipos de eventos que puedan dar lugar a incidencias tales como: fallas en los sistemas de información y pérdida del servicio; corte de suministro o negación de servicio; errores ocasionados por datos incompletos o inexactos; violaciones de la confidencialidad; código malicioso e intrusiones; fraude informático; error humano; catástrofes naturales.
El Organismo establecerá medidas disciplinarias a adoptar con empleados que perpetren intencionadamente violaciones de la seguridad. Los contratos y acuerdos con terceras partes deberán contemplar las sanciones que sufrirán quienes violen la seguridad de la información.
7.2. Comunicación de incidentes relativos a la seguridad
Los incidentes relativos a la seguridad serán comunicados a través de canales apropiados, tan pronto como sea posible.
Los incidentes que afectan la seguridad, advertidos o supuestos, deben comunicarse indistintamente, a los Responsables de Sistemas y Seguridad Informática, al Comité de Seguridad y a los Responsables de la Información, tan pronto como sea posible.
Se establecerá un procedimiento formal de comunicación y respuesta, en el que se indicará la acción a emprender cuando se reciba un informe de incidentes.
En dicho procedimiento, el Responsable de Sistemas y Seguridad Informática debe contemplar:
• informar cuanto antes sobre la detección de un incidente o violación de seguridad, supuestos o no, al Responsable de la Información,
• indicar los pasos a seguir para la investigación, monitoreo y resolución del incidente,
• mantener al Comité de Seguridad y al Responsable Primario sobre las alternativas de resolución del incidente de seguridad.
7.3. Registro de incidencias
El MINISTERIO DEL INTERIOR Y TRANSPORTE cuenta con un Registro Virtual de Incidencias, implementado dentro de la INTRANET del MINISTERIO DEL INTERIOR Y TRANSPORTE, mediante la aplicación MESA DE ATENCION DE USUARIOS.
Las incidencias se clasifican en tres (3) grados de prioridad, a saber:
• Normal: atenderla cuando se esté libre.
• Alta: atenderla cuando se termine la tarea actual.
• Urgente: atenderla inmediatamente de recibida.
Cada incidencia tiene una ficha de seguimiento que incluye:
• ID: el sistema le asigna un número de identificación único a cada incidencia.
• Estado: a cada incidencia puede asignársele uno de los siguientes valores de estado: en proceso de ejecución, terminada y postergada.
• Fecha de ingreso: detallando día, mes, año y hora de entrada al sistema.
• Prioridad: normal, alta o urgente.
• Emitida por: persona que realiza la petición de ayuda y/o soporte o notificación de incidencia.
• Solicitante: usuario con privilegio de coordinador que gestiona la incidencia.
• Area: organismo, dirección nacional, repartición u oficina dependiente del MINISTERIO DEL INTERIOR Y TRANSPORTE que efectúa el reclamo.
• Oficina: ubicación geográfica del emisor del mensaje, especificando dirección postal, oficina y nombre de la misma.
• Interno: teléfono u interno de la dependencia.
• Detalle: breve descripción del problema.
• Ver: opción de visualización de una ficha completa del listado “Mis Solicitudes” y/o “Solicitud de Asistencia”. Asimismo, también puede consultarse el “Historial” que permite acceder al seguimiento y movimientos de una incidencia, si fue derivada, en su caso a quién y qué fecha y con qué resultado.
• Atender: el sistema permite indicar mediante los valores de En Proceso, Postergada y Terminada, el estado de resolución de la incidencia.
• Derivar: el sistema permite comunicar a otros operadores el conflicto a fin de dar con su solución, mediante el uso de la opción “Derivar A”.
A tal fin, existen siete usuarios a los que se les ha asignado el perfil de COORDINADOR, que pueden derivar una consulta a los técnicos operativos de cada sector para su resolución, como asimismo, emitir las observaciones y comentarios que estimen pertinentes, los que quedan asentados en el campo “Observaciones” de la aplicación. Al presente, se encuentran autorizados con el perfil de COORDINADOR, los tres coordinadores del Area Soporte del MINISTERIO DEL INTERIOR Y TRANSPORTE, el Director de Sistemas de la DGGI-MIyT, el Director de Tecnología y Seguridad de la DGGI-MIyT, y el Subdirector General de la DGGI del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• Editar: el sistema permite a aquellos usuarios con privilegios de COORDINADOR, modificar la información que consta en alguna de las fichas.
7.4. Procedimiento de gestión de incidencias
Se instaura por medio de la presente un procedimiento de actuación ante las incidencias dividido en tres fases: notificación, gestión y registro; que será conocido por todos los usuarios de los sistemas y bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• 1ª Fase: Notificación
Todo usuario que detecte alguna anomalía en los sistemas informáticos, soportes o equipos informáticos, ficheros, archivos y/o en los datos contenidos en los mismos, de titularidad del MINISTERIO DEL INTERIOR Y TRANSPORTE, deberá ponerlo en conocimiento inmediato al Area de Soporte Técnico de este Ministerio, mediante el uso de la aplicación de software MESA DE ATENCION A USUARIOS de la Intranet del MINISTERIO DEL INTERIOR Y TRANSPORTE, al que accederá utilizando su login de usuario. De esta forma tratará de evitarse que la incidencia repercuta negativamente en la seguridad con la que son tratados y mantenidos los sistemas informáticos, bases de datos y activos.
Si la comunicación vía Intranet no fuese posible, debe acudirse a la vía telefónica como medio de notificación supletoria, comunicándose al INTERNO 6000 (seis mil). De resultar imposible aquello, debe realizarse a través del medio más rápido y fiable disponible a fin de mantener la seguridad, confidencialidad y normalidad dentro del ámbito organizativo y técnico de la dependencia en la que se haya producido la incidencia.
• 2ª Fase: Gestión
Identificada el tipo de incidencia, y conforme a la prioridad asignada, entra en la fase “En Proceso”, donde el área de Soporte del MINISTERIO DEL INTERIOR Y TRANSPORTE atenderá la misma, con los resultados posibles siguientes “Postergada”, “Derivada” o “Terminada”.
Las incidencias “Derivadas” se redirigen para su resolución a personal del Area de Soporte y/o de Redes y Comunicaciones distinto del que atendió la misma en primer instancia, como asimismo a los técnicos internos o externos que realizan las funciones de gestión de la seguridad y realizar las labores de mantenimiento de los sistemas, equipos y ficheros.
Existen siete usuarios a los que se les ha asignado el perfil de COORDINADOR, que pueden derivar una consulta a los técnicos operativos de cada sector u externos para su resolución, como asimismo, emitir las observaciones y comentarios que estimen pertinentes, los que quedan asentados en el campos “Observaciones” de la aplicación. Al presente, se encuentran autorizados con el perfil de COORDINADOR, los tres coordinadores del Area Soporte del MINISTERIO DEL INTERIOR Y TRANSPORTE, el Director de Sistemas de la DGGI-MIyT, el Director de Tecnología y Seguridad de la DGGI-MIyT, y el Subdirector General de la DGGI del MINISTERIO DEL INTERIOR Y TRANSPORTE.
Finalizada la incidencia, se adoptarán las medidas necesarias para que no vuelva a producirse una situación similar en la que pueda peligrar la integridad de los sistemas, ficheros y datos.
• 3ª Fase: Registro
En el Registro Virtual de Incidencias constarán todos los datos relativos a las incidencias ocurridas durante el año en curso; la llevanza del mismo es una competencia exclusiva del Responsable de Tecnología y Seguridad de la DGGI-MIyT.
Los campos que se reflejan en el Registro, mediante la pestaña “Solicitud de Asistencia”, que cargan los usuarios al iniciar un procedimiento de gestión de incidencias, son los siguientes: fecha de solicitud/notificación; persona que emite la solicitud; prioridad; persona que solicita la asistencia/incidencia; área del Ministerio al que pertenece; Oficina (nombre, Nº y ubicación geográfica); teléfono o interno; e-mail; sector que debe ocuparse de la incidencia; estado.
7.5. Comunicación de Vulnerabilidades de Seguridad
Por intermedio de la presente se establece que el Responsable de Tecnología y Seguridad de la DGGI-MIyT dispone que los usuarios de los servicios informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE deben informar mediante la herramienta puesta a tal efecto en la Intranet, la MESA DE ATENCION DE USUARIOS, sobre vulnerabilidades de seguridad o incidencias cualquier naturaleza que éstos hayan detectado.
Asimismo, se reitera que los usuarios no podrán, por sí mismos, reparar vulnerabilidades ni efectuar pruebas de detección.
7.6. Comunicación de Anomalías del Software
La MESA DE ATENCION DE USUARIOS, servirá a su vez, para la comunicación de anomalías de software, debiéndose:
• registrar los síntomas del problema y los mensajes que aparecen en pantalla.
• aislar al puesto de trabajo de la conexión de red. No se deben transferir datos otro puesto de trabajo, por ningún medio (USB, CD, red, etc.).
• alertar sobre la información afectada.
Los usuarios no están autorizados a desinstalar ni eliminar el software con supuestas anomalías, siendo ésta una responsabilidad del Responsable de Sistemas y del Responsable de Tecnología y Seguridad Informática.
7.7 Aprendiendo de los incidentes
La aplicación MESA DE ATENCION A USUARIOS cuenta con mecanismos y procedimientos para cuantificar y monitorear tipo, volumen y costo de los incidentes de seguridad, como así también, establecer ranking de usuarios con más solicitudes “Terminadas” por sector; cantidad de solicitudes atendidas por operador; cantidad de solicitudes de determinado usuario; promedio de duración de una solicitud; promedio de solicitudes recibidas diarias y promedio histórico.
Esta información permite identificar vulnerabilidades y amenazas recurrentes o de alto impacto. De la misma se obtiene además, la necesidad de modificar o agregar controles para limitar frecuencia, daño y costo de casos futuros, y las posibilidades de revisión a la política de seguridad.
7.8. Sanciones
Los usuarios que incurran en violación de las políticas y procedimientos de seguridad de la organización, serán pasibles de las sanciones establecidas conforme normativa vigente y aplicable a la planta permanente, planta transitoria y/o a la modalidad contractual por la cual se encuentren vinculados al Organismo.
Los acuerdos y/o contratos y/o convenios con terceras partes deberán prever sanciones para los supuestos de violación a las Políticas de Seguridad de la Información, aprobadas por el MINISTERIO DEL INTERIOR Y TRANSPORTE.
8. CLASIFICACION DE ACTIVOS
Los activos de información se clasificarán de acuerdo con la sensibilidad y criticidad de los datos que contienen, o bien de acuerdo con la funcionalidad que cumplen, con el objeto de determinar su tratamiento y protección.
Ejemplos de activos:
• Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, información archivada, etc.
• Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc.
• Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, impresoras, módems, puestos de trabajo (computadoras), servidores, dispositivos de comunicaciones (routers, switches, PABXs, máquinas de fax, contestadores automáticos), medios magnéticos (cintas, discos),
• Instalaciones de suministro eléctrico, unidades de aire acondicionado, mobiliario, lugares de emplazamiento, etc.
Se tendrá en cuenta que la criticidad y la sensibilidad de determinada información puede variar con el tiempo, para evitar que una clasificación por exceso se traduzca en gastos adicionales, innecesarios para el Organismo.
La clasificación de un ítem de información determinado no es invariable por siempre, ésta puede cambiar según una Política predeterminada. Hay que definir una cantidad de categorías suficiente, pero no compleja, a fin de evitar esquemas engorrosos, antieconómicos o poco prácticos.
La información puede convertirse en obsoleta y, por lo tanto, es pasible de ser eliminada. En un proceso de destrucción de información debe mantenerse la confidencialidad hasta último momento.
8.1. Objetivo
Identificar los activos de información del MINISTERIO DEL INTERIOR Y TRANSPORTE, y asignar un Responsable Primario para cada uno de ellos.
Clasificar la información, señalando su sensibilidad y criticidad.
Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.
8.2. Alcance
Esta Política se aplica a todos los recursos del MINISTERIO DEL INTERIOR Y TRANSPORTE, y a terceras partes que accedan y/o administren y/o controlen datos, recursos y sistemas de información.
8.3. Responsabilidades
Se debe designar un Responsable Primario para cada recurso de información.
Los Responsables Primarios deben:
• clasificar la información a su cargo, según un grado de sensibilidad y criticidad;
• documentar y mantener actualizada la clasificación efectuada;
• definir permisos de acceso a la información de acuerdo con las funciones de los integrantes de su área.
Los Responsables Primarios deberán mantener los controles apropiados sobre la información. La responsabilidad por la implementación de los controles será delegada sobre el Responsable de Sistemas y Seguridad Informática.
El Responsable de Seguridad Informática debe asegurar que los lineamientos para la utilización de los recursos se contemplen los requerimientos de criticidad de la información.
8.4. Inventario de activos
Se identificarán los activos importantes asociados a cada sistema de información, su ubicación y sus Responsables Primarios.
El Responsable Primario deberá elaborar un inventario de la información a su cargo, y mantenerlo actualizado ante cualquier modificación.
8.5. Clasificación de la información
La información se clasificará según las características básicas de confidencialidad, integridad y disponibilidad. Se establecerán niveles según lo siguiente:
8.5.1. Confidencialidad
• Nivel 0 - Público. Información que puede ser conocida y utilizada sin autorización por cualquier persona. Los permisos de acceso son:
Todos los usuarios, internos o externos al MINISTERIO DEL INTERIOR Y TRANSPORTE, pueden consultar la información.
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
• Nivel 1 - Reservada - Uso Interno. Información que puede ser conocida y utilizada por los usuarios del MINISTERIO DEL INTERIOR Y TRANSPORTE, contando con la debida autorización. Su divulgación o uso no autorizados podrían ocasionar riesgos leves para el Organismo. Los permisos de acceso son:
Usuarios autorizados, internos al MI, pueden consultar la información.
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
• Nivel 2 - Reservada-Confidencial. Información que sólo puede ser conocida y utilizada por un grupo restringido de usuarios del MINISTERIO DEL INTERIOR Y TRANSPORTE, contando con la debida autorización. Su divulgación o uso no autorizados podría ocasionar riesgos significativos al Organismo. Los permisos de acceso son:
Un grupo restringido de usuarios autorizados, internos al MI, pueden consultar la información.
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
Los Responsables, los usuarios y los Administradores deberán firmar un Compromiso de Confidencialidad de la Información.
8.5.2. Integridad
• Nivel 0 - No Clasificado. La información sufre modificaciones, y los datos originales pueden recuperarse fácilmente. Este proceso no afecta la operatoria del MI. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos
• Nivel 1 - Bajo. La información sufre modificaciones no autorizadas, pero los datos originales pueden recuperarse. Este proceso ocasiona daños leves para el MINISTERIO DEL INTERIOR Y TRANSPORTE. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
• Nivel 2 - Medio. La información sufre modificaciones no autorizadas, y es difícil recuperar los datos originales. Este proceso ocasiona daños significativos para el MINISTERIO DEL INTERIOR Y TRANSPORTE. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
• Nivel 3 - Alto. La información sufre modificaciones no autorizadas, y no es posible recuperar los datos originales. El proceso ocasiona daños graves para el MINISTERIO DEL INTERIOR Y TRANSPORTE. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
8.5.3. Disponibilidad
• Nivel 0 - No Clasificado. Información cuya inaccesibilidad no afecta la operatoria del MINISTERIO DEL INTERIOR Y TRANSPORTE. No requiere resguardo de la información.
• Nivel 1 - Bajo. Información cuya inaccesibilidad durante 15 días o más podría ocasionar daños no significativos para el MI. Requiere un resguardo por única vez, preferiblemente sobre medios ópticos.
• Nivel 2 - Medio. Información cuya inaccesibilidad durante 7 días o más podría ocasionar daños significativos para el MI. Requiere un resguardo con frecuencia mensual, preferentemente sobre medios magnéticos.
• Nivel 3 - Alto. Información cuya inaccesibilidad durante 24 horas o más podría ocasionar daños muy significativos para el MI. Requiere frecuencia de resguardo Diario, Semanal y Mensual, sobre medios magnéticos. El medio de resguardo Mensual se almacenará bajo un tiempo de retención establecido por cada Responsable (por ejemplo: cinco años, diez años, etc.).
• Nivel 4 - Muy Alto. Información cuya inaccesibilidad durante 4 horas o más podría detener la operatoria normal del MI. Requiere frecuencia de resguardo Diario, Semanal y Mensual, y Mensual-Copia, sobre medios magnéticos. El resguardo Mensual-Copia se almacenará off-site. La frecuencia de resguardo puede modificarse según el requerimiento de criticidad del sistema (por ejemplo, efectuar resguardos adicionales cada quince días, y almacenarlos off-site). Los daños probables pueden ser mensurables (materiales) y no mensurables (imagen, valor estratégico de la información, obligaciones contractuales o públicas, disposiciones legales, etc.).
8.5.4. Criticidad de la información
La información recibirá un valor de nivel, dentro de las características mencionadas en los Puntos 8.5.1 a 8.5.3, lo cual permitirá establecer un valor de criticidad.
De acuerdo con los niveles de confidencialidad, integridad y disponibilidad, la información será tanto más crítica según la siguiente clasificación:
• Criticidad Baja: niveles asignados son 0 ó 1.
• Criticidad Media: nivel asignado es 2.
• Criticidad Alta niveles asignados son 3 ó 4.
El nivel de clasificación de la información sólo puede ser cambiado por el Responsable Primario o por el Responsable de Tecnología y Seguridad.
El nivel de clasificación se modificará cumpliendo con los siguientes requisitos previos:
• Luego de clasificada la información, el Responsable Primario identificará los recursos asociados (sistemas, equipamiento, servicios, etc.) y los perfiles funcionales que deberán tener acceso a la misma.
• El cambio de clasificación debe hacerse efectivo a partir de una fecha determinada por el Responsable Primario o el Responsable de Tecnología y Seguridad, con autorización del primero.
• El cambio de clasificación debe ser comunicado efectivamente a los usuarios de la información.
8.5. Rotulado de la Información
Se definirán procedimientos para el rotulado y manejo de información, de acuerdo con el esquema de clasificación definido ut supra. Los procedimientos contemplarán los recursos de información tanto en formatos físicos como electrónicos e incorporarán las siguientes actividades de procesamiento de la información: copia; almacenamiento; transmisión por correo, fax, correo electrónico; transmisión oral (telefonía fija y móvil, correo de voz, contestadores automáticos, etc.).
9. SEGURIDAD FISICA Y AMBIENTAL
9.1. Objetivos
La seguridad física brinda el marco para minimizar riesgos de daño o interferencia a la información y a las operaciones desarrolladas dentro de las dependencias del MINISTERIO DEL INTERIOR Y TRANSPORTE como consecuencia de factores ambientales; evitar al máximo el riesgo de accesos físicos no autorizados; y minimizar las interrupciones en la prestación de servicios.
Estas previsiones deben abarcar la protección física de accesos, la protección ambiental, el transporte, y la protección de activos; e implementar medidas para proteger la información manejada por el personal en el ámbito físico de sus labores habituales. Por último, un alto volumen de información se almacena en formato papel, resultando necesario establecer pautas de seguridad para su conservación.
9.2. Alcance
Esta Política se aplica a todos los recursos físicos relativos a los sistemas de información del MINISTERIO DEL INTERIOR Y TRANSPORTE, edificios, instalaciones, equipos y medios de almacenamiento informáticos, cableado, documentación en papel, dispositivos de comunicación de datos, etc.
9.3. Areas Seguras y de acceso restringido
9.3.1. Perímetro de Seguridad Física
Un perímetro de seguridad es una delimitación de acceso, por ej. puerta de acceso controlado por tarjeta, escritorio u oficina de recepción atendidos por personas, etc. El emplazamiento y la fortaleza de cada barrera dependerán de los resultados de una evaluación de riesgos.
Se deben considerar e implementar los siguientes lineamientos y controles, según corresponda:
• el perímetro de seguridad estará claramente definido,
• el perímetro de un edificio o área de procesamiento de información será físicamente sólido. No deben existir aberturas o áreas donde se produzca una irrupción. Las paredes externas del área serán de construcción sólida. Las puertas comunicantes con el exterior gozarán de una protección adecuada contra accesos no autorizados, por ej., mediante mecanismos de control, vallas, alarmas, cerraduras, etc.,
• existirá un área de recepción, atendida por personal u otros medios de control de acceso físico al área o edificio. El ingreso a las distintas áreas y edificios se limitará exclusivamente al personal autorizado,
• las barreras físicas se extenderán, si es necesario, desde el piso (real) hasta el techo (real), a fin de impedir ingresos no autorizados, contaminación ambiental, incendio o inundación,
• las puertas contra incendio de un perímetro de seguridad tendrán alarma y se cerrarán automáticamente.
• se mantendrá un registro de los sitios protegidos, indicando: identificación del edificio y área, principales elementos a proteger y medidas de protección física.
9.3.2. Areas Restringidas
Se considera zona de acceso restringido o área protegida a aquellas instalaciones de procesamiento de información ubicadas en áreas resguardadas por un perímetro de seguridad, con controles de acceso apropiados y medidas de protección física contra accesos no autorizados, daños e intrusiones.
Para la selección y el diseño de un área protegida deben evaluarse los riesgos de incendio, inundación, explosión, y otras formas de desastres naturales o provocados por el hombre. También deben observarse las disposiciones y normas en materia de sanidad y seguridad, las amenazas a la seguridad que representan los edificios y zonas aledañas, por ej. por filtración de agua, interferencias, acumulación de residuos, entornos agresivos, etc.
El Responsable de Tecnología y Seguridad definirá que zonas serán consideradas como áreas protegidas o de acceso restringido y mantendrá un listado actualizado, de todas ellas.
Para definir las zonas protegidas, se atenderá a las siguientes recomendaciones:
• ubicar a las instalaciones en lugares inaccesibles para el público.
• la señalización e indicaciones de las áreas serán mínimos, sin signos obvios que identifiquen la actividad de procesamiento de información. Pueden requerirse barreras y perímetros adicionales para controlar el acceso físico entre áreas con diferentes requerimientos de seguridad, y que estén ubicadas dentro del mismo perímetro.
• establecer que puertas y ventanas estén bloqueadas cuando no haya vigilancia. Considerar la posibilidad de agregar protección externa a las ventanas, en particular las que se encuentran al nivel del suelo.
• implementar sistemas de detección de intrusos (cámaras, detectores de proximidad, sistemas de vigilancia, etc) ubicados en:
• puertas exteriores y ventanas accesibles,
• áreas vacías, que deben tener alarmas activadas en todo momento,
• sala de servidores,
• áreas que se definan como protegidas,
• recintos con dispositivos de comunicaciones.
• los teléfonos internos de los recintos de procesamiento de información sensible y/o crítica no deben publicarse en guías telefónicas.
• materiales peligrosos o combustibles deben almacenarse a una distancia prudencial del área protegida.
• la existencia de áreas protegidas, o de las actividades que allí se llevan a cabo será conocida solamente por el personal cuyas funciones estén relacionadas con dichos ámbitos,
• evitar que terceras partes ejecuten trabajos en áreas protegidas sin supervisión alguna,
• prohibición de comer, beber y fumar dentro de las instalaciones de procesamiento de la información,
• restringir el ingreso de equipos de computación móvil, fotográficos, de vídeo, audio o cualquier otro tipo de equipamiento que registre información, a menos que hayan sido formalmente autorizadas por los Responsables Primario, de Sistemas y de Tecnología y Seguridad.
9.3.3. Controles de acceso físico
Las áreas protegidas serán limitadas mediante adecuados controles de acceso, y solo ingresará a ellas el personal autorizado.
Entre las medidas de control de acceso físico a adoptarse, deben contemplarse las siguientes:
• supervisión de ingreso de terceras partes y personal de servicio a las áreas protegidas. Fecha y hora de ingreso y egreso deben ser registrados. El acceso se otorgará cuando existan propósitos específicos y autorizados, y los permisos serán acotados en el tiempo conforme a los fines para los que se haya habilitado el permiso de acceso.
• definir las áreas donde se opera con información sensible y/o crítica, a fin de establecer controles de acceso lógico en las instalaciones de procesamiento de información.
• validar accesos por medio de controles de autenticación, (ej. tarjeta y número de identificación personal (PIN), huella biométrica, etc.).
• registración de paquetes, envoltorios, cajas cerradas, etc., que entran o salen de los edificios,
• se recomienda que el personal informe sobre la presencia de desconocidos no escoltados o de cualquier persona que no exhiba una identificación visible,
• revisar y actualizar cada seis (6) meses los derechos de acceso a las áreas protegidas. Los mismos serán documentados y firmados por el Responsable Primario, en el área protegida de su dependencia.
• se controlará que las áreas de Recepción y Distribución de distintos elementos (equipamiento no crítico, repuestos, insumos, etc.) estén aisladas de las instalaciones de procesamiento de información sensible y crítica, a fin de impedir ingreso de ajenos.
• limitar el ingreso a las áreas de depósito al personal previamente identificado y autorizado.
• diseñar el área de depósito de manera tal que los suministros se descarguen, evitando que quienes realizan la entrega accedan a otros sectores del edificio.
• proteger las puertas exteriores del depósito cuando se abre la puerta interna.
• inspeccionar y registrar el material entrante antes de ser trasladado al depósito.
• inspeccionar periódicamente áreas protegidas desocupadas, manteniendo bloqueado su acceso físico.
Los controles de acceso físico serán determinados por el Responsable de Tecnología y Seguridad de la DGGI en conjunto con los Responsables Primarios. El Comité de Seguridad verificará la implementación de dichos controles.
9.4. Seguridad del equipamiento informático
9.4.1. Objetivo
Impedir pérdidas, daños u accesos no autorizados a los activos y/o datos del MINISTERIO DEL INTERIOR Y TRANSPORTE como así también, reducir los riesgos en la interrupción de los servicios prestados por el Organismo a los ciudadanos.
9.4.2. Ubicación y protección del equipamiento
El equipamiento se ubicará de modo de reducir riesgos ambientales, y oportunidades de acceso no autorizado. Se considerarán los siguientes controles:
• minimizar el acceso innecesario a sitios con equipamiento informático instalado,
• ubicar el ámbito de proceso y almacenamiento de información en sitios donde exista una adecuada supervisión de acceso físico,
• adoptar controles a fin de minimizar riesgos por las siguientes posibles amenazas: manifestaciones y/o protestas callejeras, robo, incendio, explosivos, humo, agua (o falta de suministro), polvo, vibraciones, efectos químicos, interferencia o interrupción en el suministro de energía eléctrica, radiación electromagnética.
• no comer, beber ni fumar cerca de las instalaciones de procesamiento de información crítica,
• monitorear las condiciones ambientales para verificar que no se comprometa el procesamiento de la información,
• empleo de métodos de protección especial para equipos situados en ambientes expuestos a amenazas ambientales,
• efectuar análisis de impacto de un eventual desastre en edificios próximos al Organismo, por ej. incendio, filtración de agua, una explosión en la calle, corte de energía generalizado, etc.
9.4.3. Suministro de energía
Las instalaciones de proceso de información crítica se protegerán de fallas en el suministro de energía u otras anomalías eléctricas.
Se debe contar con un adecuado suministro de energía, de acuerdo con las especificaciones del fabricante o proveedor de los equipos informáticos.
Se enumeran las siguientes alternativas para asegurar la continuidad del suministro de energía:
• bocas de suministro múltiple, para evitar un único punto de falla,
• fuente de energía ininterrumpida (UPS),
• generadores de respaldo.
Las UPS son recomendables para asegurar el apagado regulado y sistemático y la ejecución continua del equipamiento que procesa información critica.
Se implementarán planes de contingencia que contemplen acciones a emprender ante una falla de la UPS. Los mismos deben someterse a una inspección periódica, de acuerdo con las recomendaciones del fabricante o proveedor, a fin de mantener la capacidad requerida.
Un generador de respaldo se tendrá en cuenta cuando el procesamiento debe continuar aún en presencia de fallas de suministro prolongadas.
Los generadores se probarán periódicamente, según instrucciones del fabricante o proveedor.
Asimismo, se dispondrá de un adecuado suministro de combustible, a fin de garantizar una provisión de energía eléctrica por un período prolongado.
Se dispondrá, además, de:
• interruptores de emergencia, a fin de lograr un corte de energía rápido, en situaciones de criticidad extrema,
• sistemas de iluminación de emergencia, para el caso de cortes en el suministro principal de energía,
• protección contra rayos en todos los edificios,
• filtros de protección contra rayos en las líneas de comunicaciones externas.
9.4.4. Seguridad del cableado
Tanto el cableado de energía eléctrica como el de comunicaciones de datos deben protegerse contra todo tipo de intercepción o daño. Deben considerarse los siguientes controles:
• siempre que sea posible, las líneas de energía eléctrica y de comunicaciones deben ser subterráneas. En su defecto, se sujetarán a una adecuada protección alternativa,
• el cableado de red se protegerá contra intercepciones o daños, por ejemplo mediante el uso de conductos, o evitando trayectos de afluencia de público,
• para evitar interferencias, los cables de energía estarán separados de los de comunicaciones,
• controles adicionales a considerar para los sistemas sensibles o críticos: instalación de conductos blindados, instalación de recintos o cajas con cerradura en los puntos terminales y de inspección, uso de rutas o medios de transmisión alternativos, uso de cableado de fibra óptica, inspecciones periódicas para detectar dispositivos no autorizados conectados a los cables.
9.4.5. Mantenimiento de equipos
El equipamiento informático se mantendrá en forma adecuada para asegurar que su disponibilidad e integridad sean permanentes. Las actividades de mantenimiento en todas sus formas (preventivo, correctivo, etc.) dependerán del Responsable de Sistemas y Seguridad.
Se deben considerar los siguientes lineamientos:
• implementar el mantenimiento de equipos según los intervalos de servicio y especificaciones recomendados por el proveedor,
• personal autorizado por el Responsable de Sistemas tiene responsabilidad exclusiva por el mantenimiento y las reparaciones sobre el equipamiento,
• registro de todas las fallas y labores de mantenimiento preventivo,
• controles para el retiro de equipos fuera de la sede del MINISTERIO DEL INTERIOR Y TRANSPORTE. Se enumeran algunos de ellos: verificación del estado general del equipo antes de ser retirado; resguardo o eliminación de información —si se trata de datos sensibles—, antes de retirar el equipo; verificación y cumplimiento de condiciones establecidas en contratos de mantenimiento, garantías y/o pólizas de seguro, para la reparación y traslados de los equipos; cumplir con el procedimiento indicado para la salida y entra de soportes, para la verificación de salida o entrada de equipos. Esta notificación debe hacerse con anticipación, y debe indicar, como mínimo: proveedor, ubicación física original del equipo, datos de identificación (marca, modelo, Nro. de serie, Nro. de inventario).
9.4.6. Seguridad del equipamiento fuera del ámbito de la organización
El uso de equipamiento informático fuera del ámbito del MINISTERIO DEL INTERIOR será requerido por el Responsable Primario, y autorizado por el Responsable de Sistemas o el Responsable de Tecnología y Seguridad, según corresponda.
La seguridad provista debe ser equivalente a la suministrada dentro Organismo, para un propósito similar, teniéndose en cuenta los riesgos de trabajar fuera del mismo. No se considera ámbito externo a las Delegaciones u otros edificios donde funciona el MINISTERIO DEL INTERIOR Y TRANSPORTE.
El equipamiento incluye: computadoras personales y portátiles, teléfonos móviles, impresoras, insumos, dispositivos de comunicaciones, cableado, papel, formularios, y cualquier otro equipo u insumo que se utilice como herramienta de trabajo, sea propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE o de un tercero.
Se deben tener en cuenta los siguientes lineamientos:
• no dejar los equipos en forma desatendida, sobre todo en lugares públicos. En un viaje, las computadoras personales se transportarán como equipaje de mano, en forma discreta, de ser posible.
• respetar las instrucciones del fabricante.
• disponer de una adecuada póliza de seguro
9.4.7. Baja segura o reutilización de equipamiento.
Todo equipamiento puede desafectarse o reutilizarse. Para eliminar la información que se halla en los medios de almacenamiento, deben utilizar métodos seguros, en vez de utilizar funciones de borrado estándar (ejemplo: formateo de bajo nivel en un disco, en lugar de borrado de archivos). Para el caso de datos en papel, se recomienda el uso de máquinas destructoras.
Antes de dar de baja un dispositivo de almacenamiento —por ej. discos rígidos no removibles—, debe asegurarse la eliminación segura de datos sensibles y/o software bajo licencia. Se recomienda realizar análisis de riesgo, para determinar si medios de almacenamiento dañados que contienen datos sensibles, deben ser destruidos, reparados o desechados.
9.4.8. Retiro de Activos del MINISTERIO DEL INTERIOR Y TRANSPORTE
Queda prohibido retirar equipamiento, información y software del MINISTERIO DEL INTERIOR Y TRANSPORTE sin la correspondiente autorización formal.
Asimismo, el equipamiento informático situado afuera del MINISTERIO DEL INTERIOR Y TRANSPORTE deberá permanecer bajo estrictas normas de seguridad tendientes a la preservación de la información almacenada. Deberán aplicarse estrictas normas de seguridad a todos los recursos situados físicamente fuera del Organismo (“housing”), así como al equipamiento ajeno que procese información al Organismo (“hosting”).
9.4.9. Seguridad de los Medios en Tránsito
A fin de salvaguardar los medios informáticos en tránsito, deben aplicarse los siguientes controles:
• utilizar medios de transporte o servicios de mensajería confiables. Los Responsables Primarios deben contar con una lista de servicios de mensajería, con idoneidad y experiencia comprobable. El Comité de Seguridad podrá implementar un procedimiento para requerir y verificar los datos consignados,
• verificación del embalaje, para proteger al contenido contra eventuales daños físicos durante el transporte, según especificaciones de los fabricantes o proveedores de los medios,
• adopción de controles especiales, cuando resulte necesario, con el fin de proteger la información sensible contra divulgación o modificación no autorizadas.
10. GESTION DE COMUNICACIONES Y OPERACIONES
10.1. Objetivo
Garantizar la confidencialidad, integridad y disponibilidad en la interconexión e interoperabilidad de las comunicaciones que se establezcan en relación con el procesamiento y transmisión de información del MINISTERIO DEL INTERIOR Y TRANSPORTE, tanto dentro de la órbita del Organismo como en relación con terceros.
10.2. Responsabilidades
El Responsable de Tecnología y Seguridad Informática tendrá a su cargo:
• definir e implementar procedimientos para el control de cambios a los procesos operativos y los sistemas informáticos, de manera de no afectar la seguridad de la información,
• establecer criterios de aprobación para las actualizaciones, nuevas versiones, o nuevos sistemas informáticos, contemplando realizar las pruebas necesarias antes de su aprobación definitiva,
• verificar que los procedimientos de aprobación de software incluyan aspectos de seguridad para las aplicaciones de Gobierno Electrónico,
• definir procedimientos para el manejo de incidentes de seguridad y la administración de los medios de almacenamiento,
• definir y documentar normas claras con respecto al uso del correo electrónico,
• definir y administrar los mecanismos de distribución y difusión de información dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• definir y administrar controles para prevenir accesos no autorizados y software malicioso,
• definir y administrar controles para garantizar la seguridad de los datos, los servicios y los equipos conectados a la red del Organismo,
• concientizar a los usuarios en materia de seguridad sobre controles de acceso, operación y administración de los sistemas y cambios,
• implementar los cambios adecuados a los sistemas y equipamiento, asignando responsabilidades, y evaluando el posible impacto operativo,
• controlar la realización de copias de resguardo de información, así como la prueba periódica de su restauración,
• registrar las actividades realizadas por el personal operativo, para su posterior revisión,
• implementar procedimientos que permitan tomar medidas correctivas en el momento de fallas en los procesos de la información o los sistemas de comunicaciones,
• definir e implementar procedimientos para administrar medios de almacenamiento, tales como cintas, discos, medios ópticos, informes impresos, dispositivos móviles, disquetes, etc. La administración contemplará los casos de resguardo, restauración y/o eliminación de la información almacenada,
• colaborar en el tratamiento de incidentes de seguridad de la información, de acuerdo con procedimientos verificados por el Comité de Seguridad,
• evaluar contratos y acuerdos con terceros para incorporar servicios relacionados con el soporte y la seguridad de la información.
Cada Responsable Primario, y el Responsable de Sistemas, determinarán los requerimientos de proceso, comunicación y/o transporte de la información de su competencia, de acuerdo los niveles de sensibilidad, disponibilidad y/o criticidad que se requieran.
10.3. Procedimientos Operativos de Documentación
Se deben documentar y mantener los procedimientos en el ambiente de Producción, identificados por su política de seguridad.
Los procedimientos del ambiente de Producción estarán plasmados en documentos formales. Los cambios deberán ser autorizados por los niveles de responsabilidad que correspondan (Responsable de Sistemas, Responsables Primarios, Unidad de Auditoría Interna, Comité de Seguridad de la Información, etc.).
Los procedimientos especificarán detalladamente cada tarea, considerando:
• procesamiento y manejo de la información,
• requerimientos de programación de procesos, interconexión con otros sistemas, así como tiempos de inicio y finalización de las tareas,
• manejo de errores u otras condiciones excepcionales que surjan durante la ejecución de tareas,
• restricciones en el uso de utilitarios de sistema operativo,
• administración de comunicaciones, así como de ambientes operativos y de desarrollo de sistemas,
• soporte en caso de dificultades imprevistas, operativas o técnicas,
• manejo de salida de información, (por ejemplo: uso de papelería especial, listados de información confidencial, almacenamiento móvil, publicaciones en Intranet e Internet),
• eliminación segura de tareas con salida de información fallida,
• reinicio y recuperación de los sistemas, en caso de fallas, reinstalaciones o actualizaciones,
• instalación y mantenimiento del equipamiento de proceso de la información y de comunicaciones,
• instalación y mantenimiento de las plataformas de procesamiento de sistemas,
• programación y ejecución de las tareas en los ambientes de operaciones,
• monitoreo de los procesos y las comunicaciones,
• inicio y finalización de la ejecución de los sistemas,
• gestión de servicios,
• resguardo y restauración de la información,
• gestión de incidentes informáticos y de comunicaciones, considerando el posible impacto a la seguridad de los datos.
10.4. Gestión de Procesamiento Externo
En caso de tercerizar el procesamiento, se acordarán controles con el proveedor del servicio, los que se incluirán en el contrato vinculante.
Se contemplarán las siguientes cuestiones específicas:
• tercerizar aquellos trabajos relacionados con el ambiente de Desarrollo, según las evaluaciones que efectúe el Responsable de Sistemas y Seguridad (disponibilidad de personal, equipamiento para desarrollo de sistemas, nivel de sensibilidad de la información, etc.),
• obtener la aprobación de los Responsables Primarios de las aplicaciones específicas.
• identificar las implicancias para la continuidad de las actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• especificar las normas de seguridad y la verificación del cumplimiento.
• asignar funciones específicas y procedimientos para monitorear las actividades de seguridad.
• definir funciones, procedimientos de comunicación y manejo de incidentes de seguridad.
10. 5. Planificación y aprobación de Sistemas
10.5.1. Objetivo
Minimizar el riesgo de fallas en los sistemas.
Garantizar la disponibilidad de capacidad y recursos adecuados, para lo cual se requiere una planificación y una preparación anticipada. Para ello, se efectuarán proyecciones para futuros requerimientos de capacidad, a fin de reducir el riesgo de sobrecarga de los sistemas.
Todo nuevo requerimiento para el ambiente de Producción deberá establecerse, documentarse y probarse antes que el nuevo sistema se haya aprobado en el ambiente de Desarrollo.
10.5.2. Planificación de la capacidad
El Responsable de Sistemas determinará las necesidades de capacidad de los sistemas productivos, además de proyectar las futuras demandas, para garantizar un procesamiento adecuado.
Se tomarán en cuenta:
• nuevos requerimientos informáticos,
• tendencias actuales y proyectadas en el procesamiento de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE, para el período de vida útil de cada componente.
• utilización de los recursos clave del sistema (procesadores, almacenamiento principal, almacenamiento de archivos, impresoras, sistemas de comunicaciones etc.).
Las necesidades deberán ser informadas al Comité de Seguridad y a los responsables primarios, con el fin de identificar y evitar potenciales cuellos de botella que se traduzcan en amenazas a la seguridad o a la continuidad de los procesos.
10.5.3 Aprobación del sistema
El Responsable de Sistemas definirá los criterios de aprobación para los sistemas informáticos, sus actualizaciones y nuevas versiones.
Se deben considerar los siguientes puntos:
• impacto en el desempeño y requerimientos de capacidad de las computadoras,
• posibilidad de recuperación ante errores,
• planes de contingencia, y continuidad operativa del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• realización de las pruebas necesarias antes de la aprobación definitiva de los sistemas
• impacto de nuevas instalaciones sobre los sistemas existentes y la seguridad global del Organismo,
• definición de tareas y funciones para los administradores y usuarios,
• capacitación sobre administración, operación y/o uso de nuevos sistemas, antes de pasarlos al ambiente de Pruebas,
• documentación completa.
11. MANTENIMIENTO Y RESGUARDO DE LA INFORMACION
11.1. Objetivo
Definir un procedimiento de carácter confidencial, de realización de copias de respaldo y recuperación de archivos a fin de garantizar la integridad y disponibilidad de los servicios informáticos y datos con que opera el MINISTERIO DEL INTERIOR Y TRANSPORTE.
11.2. Alcance del Resguardo de la Información
Los Responsables de Sistemas y de Tecnología y Seguridad Informática, junto con los Responsables Primarios, determinarán y documentarán los requerimientos de resguardo del software y los datos de cada sector, en función de su criticidad.
El Responsable de Sistemas dispondrá y controlará la realización de dichas copias, así como las pruebas de restauración. Para ello contará con instalaciones de resguardo que garanticen disponibilidad de la información y el software critico del Organismo.
Recae en el Responsable de Sistemas, además, la obligación de informar al personal autorizado sobre la periodicidad con que deben hacerse las copias de seguridad obligatoriamente y respecto de la confidencialidad en el modo o sistema de realización de las mismas.
11.3. Controles del Resguardo y Recupero de la Información
Se definirán procedimientos para el resguardo de la información, que serán documentados e integrarán como Anexo de la presente Política, considerando los siguientes aspectos:
• esquema de rotulado de las copias de resguardo, a fin de contar con toda la información necesaria para la identificación y la administración del medio de almacenamiento utilizado,
• tipo y frecuencia de resguardo de información, por ejemplo: resguardo completo o parcial, frecuencia diaria-semanal-mensual, incremental, etc.,
• medios de almacenamiento utilizados para las copias de resguardo,
• destrucción segura de medios dados de baja,
• guarda de copias de los medios de resguardo dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE. Para ello, se tendrá en cuenta los niveles de clasificación de la información, en términos de disponibilidad y criticidad, a fin de definir la información a ser almacenada en sitio externo,
• almacenamiento externo de copias de todo el software y datos esenciales para la operación del Organismo, así como los procedimientos documentados de restauración,
• niveles de protección física y controles iguales o mayores que los aplicados al sitio principal, para la información guardada en un sitio externo,
• prueba periódica de los procedimientos de restauración, verificando eficacia y cumplimiento dentro del tiempo asignado para recuperación de datos en los procedimientos operativos.
Se efectuará un monitoreo de los sistemas de resguardo, de modo que cumplan con los requerimientos de los planes de continuidad de actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE.
11.4. Administración y Seguridad de los Medios de Almacenamiento
11.4.1. Objetivo
Los medios de almacenamiento y soporte de información deben protegerse físicamente.
Se deben establecer procedimientos operativos apropiados para controlar y proteger documentos, medios de almacenamiento (cintas, CD’s, DVD’s, disquetes, dispositivos de almacenamiento, etc.) listados impresos, etc., contra daño, robo y acceso no autorizado.
11.4.2. Administración de medios informáticos removibles
El Responsable de Tecnología y Seguridad implementará procedimientos para la administración de medios de soporte y almacenamiento informático, tales como cintas, CD’s, DVD’s, disquetes, informes impresos y dispositivos móviles (pen-drives, cámaras fotográficas digitales, etc.).
11.4.3. Eliminación de Medios de Información
El Responsable de Tecnología y Seguridad definirá procedimientos para la eliminación segura de datos en los medios de información respetando la normativa vigente. Cuando ya no son requeridos, los datos almacenados en medios informáticos deben eliminarse de manera diligente, para evitar que información sensible sea divulgada a usuarios ajenos al MINISTERIO DEL INTERIOR Y TRANSPORTE.
Para los procedimientos de almacenamiento y eliminación segura deberán considerarse los siguientes elementos:
• documentos en papel,
• grabaciones de voz o sonido,
• papel carbónico,
• informes de entrada/salida de personal,
• cintas de impresora de un solo uso,
• cintas magnéticas de cualquier tipo,
• discos removibles y/o diskettes,
• medios de almacenamiento óptico en todos los formatos (Ejemplos, CD-ROM, CD’s regrabables, DVD-ROM, DVD’s regrabables). Se incluyen los medios de distribución de software del fabricante o proveedor,
• listados de programas, soportados en cualquier medio (papel, magnético, óptico, etc.),
• datos de prueba, soportados en cualquier medio (papel, magnético. óptico, etc.),
• documentación de sistema, soportada en cualquier medio (papel, magnético, óptico, etc.),
• dispositivos de almacenamiento con memoria flash o similar (pen-drives, reproductores, cámaras fotográficas digitales, etc.).
Cuando un soporte que ha contenido o contiene datos de carácter personal sea desechado, previamente debe ser borrada toda la información que contiene mediante un sistema que no permita ni su aprovechamiento posterior ni la recuperación de los datos que contenía.
Se puede actuar bajo cualquiera de las dos opciones:
• Borrado lógico de la información de los soportes, de tal forma que no se permita el recuperado de la información.
• Destrucción completa del soporte.
Cuando un soporte que ha contenido o contiene datos de carácter personal sea reutilizado, previamente debe ser borrada toda la información mediante un sistema que no permita ni su aprovechamiento posterior ni la recuperación de los datos que contenía.
El Responsable de Tecnología y Seguridad establecerá un procedimiento de revisión de soportes, indicando la periodicidad (no inferior a seis meses) con la que se examinarán las bases de datos, y aquellos archivos que sean antiguos o no hayan sido modificados en ese plazo y no revistan utilidad, se quitarán de la red, y quedarán guardados sólo en las copias de seguridad.
11.5. Resguardo de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE
11.5.1. Objetivo
Los datos del MINITERIO DEL INTERIOR se protegerán contra pérdida, destrucción y/o falsificación.
Sin perjuicio de la clasificación de la información conforme a lo dispuesto en el apartado 8 de la presente Política, se tipificará la información según su uso, por ej., registros contables, base de datos, registros de auditoría y procedimientos operativos, etc. En cada uno de ellos se indicará el medio de almacenamiento, (papel, microfichas, medios ópticos, cintas magnéticas, etc.) y el período de conservación.
En el caso de claves criptográficas asociadas a archivos cifrados, éstas se mantendrán en forma segura, estando disponibles para su uso por parte de usuarios autorizados, cuando se requiera.
11.5.2. Procedimientos de Resguardo y Conservación de Datos
El Responsable de Tecnología y Seguridad definirá los medios de resguardo, el período en que la información permanecerá almacenada (período de conservación), y la frecuencia de resguardo. La definición de los resguardos deberá tener en cuenta la clasificación de datos que hayan efectuado los Responsables Primarios.
El Responsable de Tecnología y Seguridad definirá procedimientos de resguardo de la información, teniendo en cuenta la clasificación y tipo de datos, los sistemas, y los medios de almacenamiento a utilizar que haya definido previamente. Deberá indicarse, asimismo, una frecuencia para pruebas de restauración, a fin de garantizar la integridad de la información resguardada.
Se tomarán las siguientes medidas:
• lineamientos para resguardo, almacenamiento, período de conservación de los datos del MINISTERIO DEL INTERIOR Y TRANSPORTE, que quedará documentado e integrará la presente Política en forma de Anexo,
• preparar un cronograma de retención identificando los tipos esenciales de registros y el período durante el cual conservarse,
• Mantener un inventario de programas fuentes de información clave,
• implementar controles para proteger la información y los registros esenciales contra pérdida, destrucción y falsificación.
Para realizar estos procedimientos, podrá tomarse como base la siguiente tabla:
Los procedimientos de almacenamiento y manipulación de medios se implementarán de acuerdo con las recomendaciones del fabricante. Se deberá garantizar la capacidad de acceso a los datos (tanto legibilidad de formato como de medios) durante todo el período de conservación de los datos. Se tendrá en cuenta, además, una protección contra pérdidas ocasionadas por futuros cambios tecnológicos.
Los sistemas de almacenamiento garantizarán que los datos puedan recuperarse en tiempo y forma aceptables para los quienes lo requieran.
11.6. Intercambio de información y software
11.6.1. Objetivo
Impedir la pérdida, modificación o uso inadecuado de la información que se procesa entre Organismos.
El intercambio de información y software entre Organismos debe ser controlado, consecuente con la legislación aplicable, y bajo acuerdos existentes.
Se establecerán normas y procedimientos para proteger la información y los medios en tránsito, que serán formalizados entre el MINISTERIO DEL INTERIOR Y TRANSPORTE y quienes corresponda, mediante acuerdos de interconexión y acceso a datos por cuenta de terceros y acuerdos de intercambio de información y software, acuerdos de outosourcing, entre otros. Se deben considerar implicancias de seguridad y controles relacionados con el intercambio de datos, el correo electrónico, y sistemas de acceso vía redes (Internet, Intranet o similares).
11.6.2. Acuerdos de Intercambio de Información y Software
Deberá especificarse el grado de sensibilidad de la información objeto de tratamiento. Se tendrán en cuenta los siguientes aspectos:
• responsabilidades en el control y la notificación de transmisiones, envío y recepción,
• normas y procedimientos para notificar emisión, envío y recepción,
• especificaciones técnicas para la estructura de transmisión.
• pautas para la identificación del prestador del servicio de transmisión de datos,
• responsabilidades y obligaciones en caso de pérdida de información,
• determinación del rotulado de información clasificada, garantizando la inmediata comprensión de los rótulos, y la protección adecuada de los datos,
• términos y condiciones de la licencia bajo la cual se suministra el software de transmisión de datos,
• propiedad de la información suministrada y condiciones de uso,
• si se requiere, normativa técnica para grabar y/o leer la información y el software,
• controles especiales para proteger ítems sensibles (claves criptográficas, firma digital, etc.).
11.6.3. Seguridad de la interoperabilidad y el Gobierno Electrónico
Todas las medidas vinculadas al Plan de Gobierno Electrónico del MINISTERIO DEL INTERIOR Y TRANSPORTE se dictarán conforme a lo dispuesto en los Decretos Nº 103 del 25 de enero de 2001, Nº 378 de 27 del abril de 2005, Nº 628 del 13 de junio de 2005, Nº 512 del 7 de mayo de 2009, la Decisión Administrativa 669/2004, la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS DE LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 06 de 10 de agosto de 2005, La Ley 25.506 de Firma Digital y el Decreto Reglamentario 2628/2002; Ley 26.343 de Protección de los Datos Personales y su Decreto Reglamentario 1558/2001.
El Responsable de Tecnología y Seguridad Informática verificará que las aplicaciones de interoperabilidad y Gobierno Electrónico incluyan los siguientes aspectos:
• Autenticación: nivel de confianza recíproca suficiente sobre la identidad del usuario y el MINISTERIO DEL INTERIOR Y TRANSPORTE.
• Autorización: niveles adecuados para establecer disposiciones, emitir o firmar documentos clave, etc. Deberá establecerse la forma de comunicarlo a la otra parte de la transacción electrónica.
• Procesos de oferta y contratación pública: requerimientos de confidencialidad, integridad, prueba de envío y recepción de documentos clave y no repudio de contratos.
• Trámites en línea: confidencialidad, integridad, confirmación de recepción y no repudio de los datos suministrados con respecto a trámites y presentaciones ante el Estado.
• Verificación: nivel apropiado de constatación de los datos suministrados por los usuarios.
• Cierre de la transacción: establecer la forma más adecuada de finalizar el intercambio, para evitar fraudes.
• Protección a la duplicación: asegurar que una transacción sólo se realice una vez, a menos que se especifique lo contrario.
• No repudio: establecer la manera de evitar que una entidad que haya enviado o recibido información alegue que no la envió o recibió.
• Responsabilidad: asignación de responsabilidades ante el riesgo de presentaciones, tramitaciones o transacciones fraudulentas.
11.6.4. Sistemas de Acceso Público y Semipúblico
Se tomarán recaudos para proteger la integridad de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE ubicada en accesos públicos o semipúblicos, de manera de prevenir modificaciones no autorizadas o intrusiones.
Un sistema de acceso público o semipúblico es aquel que procesa o difunde datos accesibles desde Internet, Intranet u otras redes conectadas a los sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE.
Como requisito previo a la publicación de información en dominio público o semipúblico, deben verificarse las autorizaciones formales que correspondan. Los responsables de dichas autorizaciones estarán claramente definidos.
Los sistemas de acceso público o semipúblico deberán tener en cuenta lo siguiente:
• la información obtenida y/o publicada debe ajustarse a las leyes y normativas vigentes, en especial la Ley de Protección de Datos Personales,
• la información y/o sistemas a publicarse deben haber seguido las etapas de desarrollo, prueba y producción,
• se protegerá adecuadamente la información sensible que se publique en los ambientes de Internet o Intranet, tanto durante los procesos de ingreso de datos como en el posterior almacenamiento.
• el sistema de publicación debe inhibir accesos no autorizados a las redes internas u otras a las cuales éste se conecte,
• el Responsable Primario de los sistemas de publicación designará formalmente al responsable de la publicación de información en Internet o Intranet,
• se garantizará la validez y vigencia de la información publicada,
• se instalarán sistemas de filtrado de acceso a Internet por parte de empleados y personal jerárquico del MINISTERIO DEL INTERIOR Y TRANSPORTE.
11.6.5. Seguridad Frente al Acceso por Parte de Terceros
Cuando exista un requerimiento de acceso a la información del Organismo por parte de terceros, o bien éstos presten al MINISTERIO DEL INTERIOR Y TRANSPORTE un servicio determinado que requiera acceder a los sistemas de información o a las instalaciones donde se encuentran los recursos, se deberá efectuar una evaluación de riesgos y una identificación de requerimientos de control específicos. Se tendrán en cuenta los tipos de acceso (físico o lógico) implicados, el valor de la información, los controles empleados por la tercera parte y la incidencia de este acceso en la seguridad de la información del Ministerio.
En caso que las terceras partes accedan a determinada información del MINISTERIO DEL INTERIOR Y TRANSPORTE, deberá celebrarse un acuerdo de tratamiento de datos de carácter personal alojados en bases públicas. El convenio a suscribir deberá prever la transferencia de información; interconsulta y la eventual cesión de datos de carácter personal alojados en las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE. Deberá acordarse el tipo de acceso a datos por cuenta de terceros y de cesión de datos, que dé cumplimiento a los principios de tratamiento del dato y obligaciones del responsable del tratamiento, en particular lo previsto en los artículos 4, 9, 10, 11, 14, 15 y 16 de la Ley 25.326; atendiendo especialmente a establecer taxativamente las finalidades de la cesión, se cumplan las medidas de seguridad exigidas en relación con la calidad de los datos comprometidos; se pacte expresamente el destino que se les dará a los datos, registros y log que puedan originarse con motivo del tratamiento durante la vigencia del acuerdo y una vez finalizado éste.
Asimismo, deberán establecerse contractualmente el alcance de responsabilidades y sus límites, en relación con el vínculo de cesionario/cedente y encargado de tratamiento/responsable de la base de datos, respectivamente.
Sin perjuicio de los requerimientos exigidos anteriormente, en el contrato principal o en anexos complementarios, debe acordarse:
• sujeción y compliance con la Política de Seguridad del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• controles para garantizar la recuperación o destrucción de la información y los activos al finalizar el contrato, o en un momento convenido durante la vigencia del mismo,
• niveles de servicio esperados y aceptables,
• autorización de transferencias de personal, cuando correspondan,
• derechos de propiedad intelectual y protección de trabajos realizados en colaboración,
• elaboración y presentación de informes de notificación e investigación de incidentes y violaciones a la seguridad; deberá establecerse el formato de presentación de dichos informes, y del receptor de los mismos por parte del MINISTERIO DEL INTERIOR Y TRANSPORTE;
• derecho del MINISTERIO DEL INTERIOR Y TRANSPORTE a monitorear, auditar, y revocar o impedir la actividad de los terceros;
• la relación entre proveedores del MINISTERIO DEL INTERIOR Y TRANSPORTE y subcontratistas de aquéllos.
12. CONTROL DE ACCESO LOGICO
12.1. Objetivos
Deben implementarse procedimientos formales que controlen la asignación de derechos de acceso lógico a los sistemas de información y bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE. Dichos procedimientos estarán claramente documentados y notificados.
Los procedimientos abarcarán todas las etapas del ciclo de vida de los accesos de los usuarios de todos los niveles, incluyendo:
• etapa inicial, otorgamiento de derechos de acceso a nuevos usuarios,
• etapa intermedia, cambio de derechos de acceso por nuevos requerimientos de trabajo, desplazamiento a otras áreas del MINISTERIO DEL INTERIOR Y TRANSPORTE, o porque ya no se requieren.
• eliminación de los derechos por baja de los usuarios.
Los principales objetivos perseguidos con el control de acceso lógico a los sistemas informáticos, aplicaciones y bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE son los siguientes:
• Implementar seguridad en los accesos por medio de técnicas de identificación, autenticación y autorización.
• Controlar la seguridad en la interoperabilidad entre la red del Organismo y otras redes públicas o privadas.
• Registrar y revisar eventos y/o actividades críticas llevadas a cabo por los usuarios en los sistemas.
• Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. Para ello se deben tener en cuenta las políticas de difusión y autorización de la información:
• Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.
12.2. Responsabilidades
El Responsable de Tecnología y Seguridad Informática tendrá a su cargo:
• definir normas, procedimientos y configuraciones para la gestión de accesos a todos los sistemas, bases de datos y servicios de información del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• definir las tecnologías de identificación y autenticación de usuarios adecuadas para la Organización (Ej.: biometría, verificación de firmas, autenticadores de hardware, etc.),
• definir pautas de utilización de Internet e Intranet, estableciendo procedimientos formales para la solicitud y aprobación de accesos.
• implementar los accesos remotos a la red del MINISTERIO DEL INTERIOR Y TRANSPORTE, adoptando todas las medidas de seguridad de la información que correspondan, y cumpliendo con las normas vigentes.
• monitoreo del uso del equipamiento e instalaciones informáticas, el uso de computación móvil, y el acceso remoto.
• implementación de subdivisiones de la red (por ejemplo, mediante Redes LAN Virtuales), por medio de routers y/o gateways, recomendando los esquemas más seguros, eficientes y apropiados para la red del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• definición de normas y procedimientos de seguridad, así como su implementación en los sistemas operativos, servicios de red, y sistemas de comunicación (switches, routers, gateways, etc.). Los procedimientos deberán revisarse y validarse periódicamente.
El Responsable de Sistemas tendrá a su cargo:
• implementar los métodos de autenticación y control de acceso definidos para los sistemas, bases de datos y servicios.
• implementar pautas para los controles de acceso, a saber:
- identificación, autenticación de usuarios y administración de contraseñas,
- administración de permisos
- utilización de servicios de red
- identificación y autenticación de nodos
- uso controlado y restringido de utilitarios del sistema operativo,
- desconexión de terminales por tiempo muerto de uso,
- limitación del horario de conexión a la red,
- registro de eventos,
- protección de las redes, mediante implementación de subredes, limitación de puertos de acceso, control de conexiones, control de ruteo de red, etc.,
• controlar la asignación de permisos a usuarios. Se deberán implementar procedimientos formales para otorgar o bloquear los derechos de acceso a la red de acuerdo con la correspondiente autorización del Responsable Primario,
• definir e implementar un proceso formal y periódico de revisión de los permisos de acceso a la información. Esta tarea se efectuará juntamente con los Responsables Primarios de la Información,
• definir e implementar registros de auditoría de eventos de los sistemas operativos, los procesos y las comunicaciones,
• implementar el registro de eventos o actividades de usuarios de acuerdo con lo definido por los propietarios de la información, así como la depuración de los mismos,
• concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de trabajo y asistirlos en los análisis de riesgo a los que se expone tanto a la información como a los dispositivos informáticos de soporte,
Los Responsables Primarios de la Información estarán encargados de:
• evaluar los riesgos a los que se expone la información, con el objeto de determinar los controles de accesos, autenticación y permisos de uso a implementarse en cada caso,
• autorizar y solicitar la asignación de los permisos de acceso a los usuarios de su área,
• autorizar y justificar las solicitudes de acceso a trabajo remoto por parte del personal a su cargo.
12.3. Política de Control de Accesos
Las reglas y derechos de accesos de los usuarios deben ser claramente establecidas. Asimismo, los proveedores de servicios deberán indicar, en forma precisa, los requerimientos técnico-comerciales que satisfacen a los controles de acceso aquí establecidos.
Para ello, de forma previa a la definición de las reglas de control de acceso, será menester identificar los requerimientos de seguridad de la información relacionada con cada una de las aplicaciones, de la legislación aplicable y/o las obligaciones contractuales que emanen de la protección del acceso a datos y servicios.
12.4. Reglas de control de accesos
Al especificar las reglas de control de acceso, se debe considerar lo siguiente:
• diferenciar entre reglas obligatorias, optativas o condicionales,
• establecer reglas sobre la base del mínimo privilegio requerido para trabajar sobre los sistemas, bases de datos o servicios,
• establecer reglas sobre la base de la premisa “Todo está generalmente prohibido a menos que se permita expresamente”, por encima de la regla “Todo está permitido a menos que se prohíba expresamente”,
• establecer lineamientos en los cambios automáticos de los rótulos de información, por medio de aplicativos o sistemas, versus aquellos el usuario inicia según su criterio,
• controlar cambios en los permisos de usuario, efectuados automáticamente por el sistema operativo de red, y/o aquellos que efectúa el administrador;
• definir las reglas que requieren autorización del Responsable Primario, antes de entrar en vigencia, y aquellas que no la requieren.
• definir los perfiles de acceso de usuarios comunes a cada categoría de puestos de trabajo,
• establecer los tipos de conexiones de red disponibles, administrando los derechos de acceso que correspondan a ambientes distribuidos.
12.5. Administración de Accesos de Usuarios
12.5.1. Objetivo
Controlar la asignación de permisos, el registro inicial de nuevos usuarios, la modificación por requerimientos de trabajo o desplazamiento de área, la revocación de permisos, eliminación de acceso y controlar los accesos no autorizados.
12.5.2. Registración de Usuarios
El Responsable de Tecnología y Seguridad Informática definirá un procedimiento formal de registro de usuarios, a fin de que el Responsable de Sistemas otorgue y/o revoque el acceso a todos los sistemas, bases de datos y servicios de información del MINISTERIO DEL INTERIOR Y TRANSPORTE.
Dicho procedimiento debe estipular:
• uso de cuentas de usuario único, de manera detectar a cada persona por sus acciones. Se evitará, en la medida de lo posible, la existencia de múltiples perfiles de acceso para un mismo empleado. Asimismo, deberá verificarse, periódicamente, la existencia de cuentas redundantes, a fin de bloquearlas y/o eliminarlas,
• excepcionalmente, permitir el empleo de cuentas grupales y/o genéricas para el uso conveniente del correo electrónico u aplicaciones. El Responsable Primario definirá aquellos usuarios de su área que harán uso de estas cuentas u aplicativos, indicando los permisos que correspondan,
• establecer cuentas genéricas o grupales diferentes para cada uno de los ambientes —desarrollo, prueba y producción—, donde se encuentre instalado la aplicación.
• implementar los permisos de acceso sólo si se verifica que el usuario tiene autorización formal del Responsable Primario de la Información;
• verificar que los permisos de acceso a otorgar sean adecuados para el propósito y función del usuario, en total coherencia con las presentes Políticas de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE. El Responsable Primario deberá asesorarse sobre los riesgos a la seguridad que impliquen otorgar accesos indebidos, o pertenecientes a áreas que no son de su incumbencia.
• entregar a los Responsables Primarios un detalle escrito de los derechos de acceso y recursos disponibles para los usuarios que accedan a sistemas y/o datos de su área,
• mantener un registro formal de todas las personas autorizadas para utilizar los servicios. El Responsable de Sistemas brindará una copia periódica de dicho registro a los Responsables Primarios, a la Unidad de Auditoría Interna y al Comité de Seguridad,
• requerir que los usuarios notifiquen que conocen y aceptan los derechos y responsabilidades emanadas de los permisos de acceso a la información,
• establecer los mecanismos formales de comunicación sobre los usuarios que cambian sus tareas, se desvinculan del MINISTERIO DEL INTERIOR Y TRANSPORTE, o sufrieron pérdida/robo de credenciales de acceso. Esta es una tarea conjunta entre los Responsables Primarios, el Responsable de Seguridad y el Responsable de Recursos Humanos, quien deberá informar de inmediato al Responsable de Sistemas, para modificar, eliminar o bloquear los permisos de acceso según el caso,
• inhabilitar cuentas inactivas por más de 180 días. Se informará al Responsable Primario, quien autorizará a la habilitación de la cuenta o su baja definitiva,
• eliminar cuentas inactivas por más de 300 días,
• garantizar que cada cuenta de usuario sea utilizada exclusivamente por el titular de la misma.
• Los contratos de personal, terceros y/o de servicios deberán contener cláusulas que especifiquen sanciones ante la violación de los controles de acceso autorizados.
12.6. Administración de Privilegios
El uso inadecuado de privilegios que permitan a un usuario pasar por alto los controles de seguridad informático es una causa frecuente de fallas en los sistemas informáticos. Por tanto, se deberá ejercer un estricto control en la asignación y uso de privilegios, mediante procedimientos formales de autorización.
Se deben tener en cuenta los siguientes aspectos:
• identificación de los privilegios asociados a cada producto: sistema operativo, base de datos y/o aplicativo. Deberán definirse las categorías de personal a las cuales se asignarán los privilegios,
• asignar privilegios sobre la base del mínimo permiso necesario y la necesidad de uso de acuerdo con el rol funcional del usuario,
• implementar procedimientos de autorización y registro de todos los privilegios asignados,
• no otorgar privilegios sin haber completado el proceso formal de autorización,
• establecer períodos de vigencia los privilegios brindados, en base a la utilización que se le dará a los mismos.
• Revocar los permisos al finalizar su uso o los motivos que le dieron causa,
• desarrollar rutinas del sistema operativo para evitar la necesidad de otorgar privilegios a los usuarios,
Los Responsables Primarios de la Información serán los encargados de autorizar y requerir la asignación de privilegios a los usuarios. El Responsable de Sistemas ejecutará la solicitud y el Responsable de Tecnología y Seguridad supervisará los pedidos.
12.7. Administración de Contraseñas de Usuario
Las contraseñas constituyen un medio común de validación de la identidad de un usuario para acceder a un sistema o servicio informático. La asignación de contraseñas debe controlarse a través de un proceso de administración formal, mediante el cual debe llevarse a cabo lo siguiente:
• los usuarios firmarán una declaración de compromiso de mantener en secreto las contraseñas de sus cuentas (red, correo, aplicativos, etc.), que formará parte del compromiso de confidencialidad anexo al contrato de trabajo. Una cláusula de igual tener será incluida en los acuerdos o contratos firmados con terceras partes u Organismos ajenos al MINISTERIO DEL INTERIOR Y TRANSPORTE.
• se implementará el uso de contraseñas provisorias, que se asignarán a usuarios temporales o cuando un usuario haya olvidado su contraseña. El titular de la cuenta deberá cambiar dicha contraseña la primera vez que ingrese a los sistemas.
• las contraseñas provisorias se suministrarán una vez que el Responsable Primario haya autorizado formalmente su asignación,
• se recomienda generar contraseñas provisorias seguras. Debe evitarse la participación de terceros, tanto en la generación como en la entrega de la misma. Si se emplea correo electrónico, se recomienda entregar la contraseña por medio de mensajes cifrados, con acuse de recibo por parte del usuario,
• en caso que ser necesario, utilizar tecnologías de autenticación y autorización de usuarios, como ser verificación de firma digital, uso de autenticadores de hardware (p. ej.: tarjetas de circuito integrado), biometría (p. ej.: verificación de huellas dactilares), etc. El Responsable de Tecnología y Seguridad evaluará y propondrá el empleo de estas herramientas al Comité de Seguridad,
• configurar los sistemas de tal manera que las contraseñas tengan una longitud mínima de 8 caracteres,
• bloquear la cuenta cuando el usuario haya efectuado 5 intentos de ingresar con una contraseña incorrecta. El usuario podrá solicitar una rehabilitación manual de la cuenta, para lo cual deberá solicitarse un requerimiento formal, autorizado por el Responsable Primario de la Información.
• requerir cambios contraseña trimestrales, impidiendo que las últimas 3 sean reutilizadas,
• imponer el uso de cuentas personales individuales, a fin de efectuar un para determinar responsabilidades,
• permitir que los usuarios seleccionen y cambien sus propias contraseñas, en los casos de ingreso inicial o modificación autorizada,
• mantener un registro (por ejemplo: a través del Sistema Operativo) de las últimas contraseñas utilizadas por el usuario, para evitar la reutilización de las mismas,
• mantener ocultas las contraseñas, cuando se ingresan por pantalla,
• los archivos de contraseñas de acceso a las aplicaciones deben almacenarse en forma separada a los archivos de contraseñas de bases de datos,
• se recomienda almacenar las contraseñas en forma cifrada, utilizando un algoritmo de cifrado unidireccional, hash u otro,
• modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.). De ser posible, debe cambiarse el nombre del usuario administrador inicial (p. ej.: admin, root, administrador, etc.),
12.8. Uso de Cuentas con Perfil de Administrador
Existen cuentas de usuario con las cuales es posible efectuar actividades críticas, como ser instalación y administración de plataformas, habilitación de servicios, actualización de software, configuración de componentes informáticos, etc.
Dichas cuentas tienen el nivel superior de privilegios. No deben ser de uso habitual, y sólo serán utilizadas ante una necesidad crítica o una tarea que lo requiera. Las mismas se encontrarán protegidas por contraseñas más robustas que el procedimiento habitual.
El Responsable de Tecnología y Seguridad definirá procedimientos para la administración de dichas cuentas. Deberá contemplarse lo siguiente:
• definir formalmente las causas que justifiquen el uso de cuentas de administrador, así como los niveles de autorización requeridos,
• definición de contraseñas seguras.
• de ser posible, renombrar las cuentas administrativas embebidas en los sistemas operativos,
• los nombres y las contraseñas de las cuentas críticas se resguardarán con un alto nivel de seguridad (p. ej.: en archivos encriptados),
• registrar y revisar todas las actividades que se efectúen con las cuentas críticas, renovándose las correspondientes contraseñas, de ser posible, una vez que sean usadas,
12.9. Uso de Contraseñas
Los usuarios deberán observar prácticas confiables en la selección y uso de contraseñas, teniendo en cuenta que éstas constituyen el medio de validación de derechos de acceso a los recursos informáticos, siendo de cumplimiento obligatorio:
• mantener las contraseñas en secreto,
• pedir un cambio de la contraseña siempre que exista un posible indicio de violación de las contraseñas o los sistemas.
• seleccionar contraseñas seguras, que tengan en cuenta las siguientes recomendaciones: que sean fáciles de recordar por el titular de la cuenta; que no estén basadas en algún dato que otra persona pueda adivinar u obtener fácilmente; y que no tengan caracteres idénticos consecutivos o grupos totalmente numéricos o totalmente alfabéticos.
• cambiar las contraseñas cada vez que el sistema se lo solicite.
• evitar reutilizar contraseñas viejas.
• cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”). El sistema operativo podrá obligar al usuario a este cambio.
• notificar cualquier incidente relacionado con la pérdida, robo de las contraseñas.
• en el caso de múltiples servicios o plataformas, se recomienda el empleo de un sistema de integración de identidades, con acceso por cuenta única.
12.10. Control de acceso a la red
12.10.1. Objetivo
Es necesario controlar el acceso a las redes del MINISTERIO DEL INTERIOR Y TRANSPORTE, a fin que los usuarios puedan hacer uso de los servicios, tanto internos como externos, sin comprometer la seguridad. Atento ello, se sugiere implementar:
• interfaces adecuadas entre la red del MINISTERIO DEL INTERIOR Y TRANSPORTE, sus Direcciones Nacionales, y las redes públicas o redes con las que se interconecte de terceros Organismos;
• mecanismos de autenticación apropiados para usuarios y equipamiento;
• controles de acceso a los servicios.
12.10.2. Política de utilización de los servicios de red
El Responsable de Sistemas otorgará el acceso a los servicios y recursos de red, siempre y cuando se efectúe el requerimiento formal por parte del Responsable Primario, para el personal de su incumbencia.
Se dará especial importancia a aquellas aplicaciones que procesen información crítica, y a usuarios ubicados en sitios de alto riesgo (por ejemplo: áreas de afluencia de público, oficinas externas al ámbito de control de seguridad del Organismo, etc.).
Para ello, se implementarán procedimientos para activar y desactivar conexiones a las redes. Se considerará:
• identificar los servicios de red y las conexiones para a los cuales se brinda el acceso,
• implementar normas y procedimientos de autorización, a fin de determinar las personas que harán uso de los servicios de red,
• establecer controles y procedimientos de gestión para proteger las conexiones y los servicios.
12.10.3. Camino Forzado
Previendo las posibles vulnerabilidades que pueden sucederse a consecuencia del diseño de las redes de comunicaciones, deben limitarse las opciones de elección de la ruta entre la terminal de usuario y los servicios de red autorizados, siendo recomendable:
• asignar números telefónicos o líneas, en forma dedicada,
• establecer que todas las conexiones autorizadas pasen a través de dispositivos de seguridad específicos (por ejemplo: conexiones forzadas a firewalls, routers, etc.).
• limitar las opciones de menú y submenú en los aplicativos, para los usuarios no administrativos,
• en los puestos de trabajo, limitar los aplicativos y opciones instalados en el escritorio a los relacionados con las tareas específicas de cada usuario,
• evitar la navegación ilimitada por la red por medio de dominios lógicos separados (por ejemplo, redes privadas virtuales para grupos de usuarios dentro o fuera del MINISTERIO DEL INTERIOR Y TRANSPORTE),
• imponer el uso de aplicativos y/o gateways de seguridad específicos para usuarios externos de la red,
12.10.4. Autenticación de Nodos
Los usuarios remotos deben cumplir con procedimientos de autenticación, para disminuir el riesgo de accesos no autorizados mediante conexiones externas a la red de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE. A tal fin, los Responsables Primarios y de Sistemas realizarán una evaluación de riesgos a fin de determinar el mecanismo de autenticación adecuado para cada caso.
Las conexiones de sistemas remotos deben autenticarse, particularmente si las mismas provienen de redes externas al control de la gestión de seguridad del Organismo.
La autenticación de nodos es un medio alternativo de establecer la identidad de usuarios remotos, cuando éstos desean acceder a una red segura. La autenticación de usuarios remotos puede llevarse a cabo utilizando:
• herramientas físicas de autenticación (por ejemplo llaves de hardware). Para ello, debe implementarse un procedimiento que incluya una asignación formal de la llave de autenticación a quien lo requiera, un registro de los poseedores de las herramientas que se actualice periódicamente, un proceso de recuperación/devolución de la herramienta al momento de la desvinculación del personal poseedor de la misma y un método de revocación de acceso, en caso de un compromiso a la seguridad.
• protocolos de autenticación (por ejemplo desafío/respuesta). En este caso, debe implementarse un procedimiento que incluya el establecimiento de las reglas de autenticación con el usuario, el establecimiento de un ciclo de vida de las reglas, en miras a su renovación.
• líneas dedicadas privadas con controles de rellamada. En este caso es importante que el proceso produzca una desconexión real del lado del Organismo, al finalizar la llamada.
• redes privadas virtuales.
12.10.5. Protección de los puertos de diagnóstico remoto
Muchas computadoras y sistemas de comunicación poseen una herramienta de diagnóstico remoto, para uso del soporte técnico. Los puertos de diagnóstico son un potencial medio de acceso no autorizado, por lo que deben protegerse, ejerciendo un control seguro sobre los mismos. Algunos mecanismos de seguridad apropiados pueden ser:
• llaves de seguridad,
• procedimientos de acceso, establecidos mediante un acuerdo entre el Responsable de Sistemas y el proveedor del soporte técnico de los recursos informáticos,
12.10.6. Computación Móvil y Trabajo Remoto
Al emplear equipos informáticos móviles, se debe tener especial cuidado de no comprometer la información del Organismo. En esta categoría se incluyen a modo enunciativo y ejemplificativo no taxativo, todos los dispositivos móviles y/o removibles, a saber:
• notebooks, laptops o PDA (Asistente Personal Digital),
• teléfonos celulares, blackberry y sus tarjetas de memoria,
• dispositivos de almacenamiento removibles, tales como CD’s, DVD’s, diskettes, cintas, discos, etc.,
• dispositivos de almacenamiento de conexión de Bus Serie Universal —USB—, tales como: tarjetas de identificación personal (control de acceso), dispositivos criptográficos, cámaras digitales, reproductores de archivos mp3, etc.
• otros dispositivos removibles o portátiles que puedan contener información confidencial, sensible y/o crítica del Organismo.
Se implementarán procedimientos y medidas de seguridad adecuadas para el uso de estos dispositivos, abarcando los siguientes conceptos:
• acceso a los sistemas de información y servicios del Organismo a través de dichos dispositivos.
• técnicas criptográficas a utilizar para la transmisión de información con alto nivel de clasificación.
• mecanismos de resguardo de la información contenida en los dispositivos.
• protección contra software malicioso.
• procedimientos sobre los cuidados especiales a observar, contemplando las siguientes recomendaciones: permanecer siempre cerca del dispositivo, no dejar equipos desatendidos, tratándose de equipos valiosos, no llamar la atención, abstenerse de poner identificaciones del Organismo en el dispositivo, salvo lo estrictamente necesario, no poner datos de contacto técnico en el dispositivo y mantener la información clasificada de forma cifrada.
• procedimientos para que el portador de los dispositivos reporte rápidamente cualquier incidente sufrido, de manera de mitigar los riesgos de exposición de los sistemas de información del Organismo.
El trabajo remoto permite que el personal trabaje desde un lugar externo al Organismo, mediante una tecnología de comunicaciones; y será autorizado por el Responsable Primario del área a la cual pertenezca el usuario solicitante, y el Responsable de Sistemas.
Las normas y procedimientos establecidos para el trabajo remoto, deben tener en cuenta los siguientes aspectos:
• la seguridad física existente en el edificio y el ambiente del sitio de trabajo remoto.
• los requerimientos de seguridad de comunicaciones, atendiendo a la sensibilidad de la información a la que se accederá y la sensibilidad y/o criticidad del sistema al que se accede, conforme el perfil de acceso que tenga el usuario.
• las amenazas de acceso no autorizado a información o recursos por parte de otras personas que utilizan el lugar, por ejemplo, familia y amigos.
• cuando corresponda, bloquear las autorizaciones, y derechos de acceso al finalizar las actividades de trabajo remoto.
• cuando corresponda, establecer procedimientos para la devolución de equipamiento, propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE, que haya sido utilizado en las actividades remotas, cuando éstas hayan finalizado. Se deberá asegurar que dicho equipamiento sea reintegrado en las mismas condiciones en que fue entregado.
• evitar la instalación/desinstalación de software no autorizado por el Organismo, desde lugares remotos.
12.10.7. Subdivisión de Redes
La interconexión de las oficinas centrales del MINISTERIO DEL INTERIOR Y TRANSPORTE, sus Direcciones Nacionales, y Delegaciones del Interior del país configura una red de área extensa (WAN). Esta configuración debe protegerse, para evitar el riesgo de accesos no autorizados.
Para ello, se definirán los perímetros de seguridad que sean convenientes. Los mismos se implementarán mediante la instalación de firewalls o por redes privadas virtuales, para filtrar el tráfico. Asimismo, puede implementarse una subdivisión en dominios lógicos de red, que tome en cuenta criterios como:
• requerimientos de seguridad comunes de grupos usuarios
• mayor o menor exposición de un grupo a peligros externos, separación física, u otros criterios de aglutinamiento o separación preexistentes.
El Responsable de Tecnología y Seguridad determinará el esquema más apropiado, evaluando el costo y el impacto de performance que ocasione la instalación de routers o gateways adecuados para subdividir la red.
12.10.8. Control de Ruteo de Red
En las redes, especialmente aquellas que se extienden fuera de los límites del Organismo, se incorporarán controles de ruteo, para asegurar que las conexiones informáticas no violen las políticas de Control de Accesos. Estos controles deben contemplar, como mínimo, la verificación positiva de direcciones de origen y destino. Otros métodos pueden ser: autenticación de protocolos de ruteo, ruteo estático, traducción de direcciones y listas de control de acceso.
12.10.9. Seguridad de los Servicios de Red
El Responsable de Tecnología y Seguridad definirá los lineamientos para garantizar la seguridad de los servicios de red del MINISTERIO DEL INTERIOR Y TRANSPORTE, tanto públicos como privados. Para ello se tendrán en cuenta las siguientes pautas:
• instalar y habilitar sólo aquellos servicios que sean efectivamente utilizados,
• controlar el acceso a los servicios, tanto en el uso como en la administración,
• verificar las vulnerabilidades que pueda presentar cada servicio, para configurarlo de manera segura,
• implementar procedimientos para instalar actualizaciones y parches de seguridad que publiquen los fabricantes o proveedores de los sistemas en forma periódica.
Las configuraciones de los servicios deberán documentarse, y revisarse periódicamente.
12.11. Control de acceso al sistema operativo
12.11.1. Objetivo
Impedir el acceso no autorizado a servidores y puestos de trabajo. A tal fin, se utilizarán mecanismos de seguridad a nivel de sistema operativo, a fin de restringir el acceso a los recursos de los servidores y puestos de trabajo. Dentro del catalogo de medidas disponibles, se estima oportuno configurar el sistema operativo de modo que sea posible:
• identificar y verificar la identidad, además de la terminal o ubicación de cada usuario autorizado,
• registrar accesos exitosos y fallidos al sistema,
• suministrar medios de autenticación apropiados. Si se emplean sistemas de administración de contraseñas, debe asegurarse la calidad de las mismas (conforme Punto 11),
• restringir los tiempos de duración de sesiones de red, según corresponda.
12.11.2. Identificación de Puestos de Trabajo y Servidores
El Responsable de Tecnología y Seguridad efectuará una evaluación de riesgos para determinar un método de identificación adecuado. De dicha evaluación, se redactará un procedimiento que indique:
• el método de identificación utilizado,
• la forma de describir cada equipo en el detalle global de la red.
12.11.3. Procedimientos de Conexión
El acceso a los servicios de información sólo será posible a través de un proceso de inicio de sesión seguro, que permita minimizar la oportunidad de accesos no autorizados. Debe divulgarse la mínima información posible acerca de los sistemas, a fin de no proveer asistencia innecesaria a un usuario no autorizado.
En el proceso de conexión a la red o aplicativos, se deberá implementar lo siguiente:
• mantener en secreto las claves de acceso,
• desplegar un aviso general advirtiendo que sólo usuarios autorizados pueden acceder al puesto de trabajo o un servidor,
• no presentar mensajes de ayuda,
• validar la información de la conexión sólo al completarse el inicio de sesión,
• si surge una condición de error, el sistema no debe indicar qué parte de los datos es correcta o incorrecta.
• limitar el número de reintentos de conexión, a un límite máximo de cinco (5),
• registrar los intentos de acceso no exitosos,
• una vez superado el límite permitido para reintentos de acceso, el equipo debe bloquear temporalmente la conexión a la red.
12.11.4. Identificación y autenticación de los usuarios
Los usuarios de los servicios de red del MINISTERIO DEL INTERIOR Y TRANSPORTE deben tener una única cuenta de acceso al sistema operativo, cualquiera sea su jerarquía, función o tarea. La misma debe ser de uso exclusivo por su titular, no debiendo ser transferida bajo circunstancia alguna. En caso de existir un compromiso de seguridad, las actividades de la cuenta podrán rastrearse, hasta llegar al individuo responsable.
Las cuentas personales no deben dar ningún inicio del nivel de privilegio del usuario. Se recomienda que las mismas se denominen indicando la primera letra del nombre y el apellido, con un máximo de doce (12) caracteres.
Para el caso del sistema de correo, se podrán emplear cuentas genéricas, a compartir con un grupo de usuarios, a fin de cumplir una tarea específica. Para ello, se requerirá la definición de un responsable de cuenta, designado por el Responsable Primario de la Información, así como una justificación para la creación y uso de la misma.
12.11.5. Uso de Utilitarios de Sistemas Operativos
La mayoría de los sistemas operativos de las instalaciones informáticas tienen uno o más programas utilitarios pre-instalados. Estos utilitarios tienen capacidad de pasar por alto controles de sistemas y aplicaciones. Por ello, se impone que su uso sea limitado. Se deben considerar los siguientes controles:
• los utilitarios del sistema deben ser sólo accesibles a los administradores de los sistemas operativos instalados en los equipos.
• en los puestos de trabajo, los usuarios autorizados sólo deben acceder a software de aplicaciones.
• definir y documentar los niveles de autorización para utilitarios de sistemas.
• de ser posible, eliminar o inhabilitar los utilitarios y software de sistema innecesarios.
12.11.6. Desconexión por Tiempo Muerto en Puestos de Trabajo
Los Responsables Primarios, en conjunto con el Responsable de Tecnología y Seguridad, definirán qué puestos de trabajo serán considerados de alto riesgo (por ejemplo: aquellos con sistemas críticos instalados, y ubicados en zonas de acceso al público).
Se considerará el apagado de los puestos de trabajo, luego período definido de inactividad —tiempo muerto—, a fin de evitar el acceso de personas no autorizadas. La herramienta de desconexión por tiempo muerto limpiará la pantalla de la terminal y habilitará un protector de pantalla protegido con contraseña. El lapso por tiempo muerto responderá a los riesgos de seguridad del área y de la información que se maneje en el puesto de trabajo.
12.10.7. Limitación del Horario de Conexión
Las restricciones al horario de conexión suministrarán seguridad adicional a las aplicaciones, reduciendo las oportunidades para el acceso indebido a los sistemas. Se recomienda implementar un control de esta índole, especialmente para aquellos puestos instalados en ubicaciones de alto riesgo (por ejemplo áreas de acceso al público, o donde se estén procesando datos sensibles o críticos). Entre los controles a aplicar, se distinguen:
• limitar los tiempos de conexión al horario normal de oficina, teniendo en cuenta que no existan requerimientos operativos de horas extras o extensión horaria.
• documentar debidamente a los usuarios que tienen restricciones horarias, así como los motivos de autorización.
El Responsable Primario deberá autorizar las solicitudes de fijación de horario de conexión. El Responsable de Sistemas implementará las herramientas necesarias para establecer los límites horarios de conexión.
12.12. Control de Acceso a las Aplicaciones
12.12.1. Objetivo
Impedir el acceso no autorizado a la información contenida en los sistemas de información. Las herramientas de seguridad deben ser utilizadas para brindar el acceso a los usuarios autorizados. Los sistemas de aplicación deben:
• controlar el acceso de usuarios a la información y a las funciones de los sistemas de aplicación, de acuerdo con la política de control de accesos definida;
• brindar protección contra el acceso no autorizado, principalmente de utilitarios y software del sistema operativo que tengan capacidad de pasar por alto los controles de seguridad;
• funcionar sin la seguridad de otros sistemas con los que se comparten recursos de información;
• brindar acceso a la información únicamente al responsable Primario, y a quienes éste autorice, mediante designación formal. También ingresará a los sistemas el personal de soporte que esté debidamente notificado.
12.12.2. Restricción del Acceso a la Información
Los usuarios de sistemas de aplicación, con inclusión del personal de soporte, tendrán acceso a la información y a las funciones de los sistemas de aplicación de conformidad con la política de Control de Accesos definida (Ver Punto 11). Para poder administrar adecuadamente los requerimientos de limitación de acceso, se aplicarán los siguientes controles:
• proveer interfaces de control de accesos a las funciones de los aplicativos,
• el Responsable de Sistemas implementará, configurará y administrará las interfaces de control de accesos. Además, deberá establecerse un procedimiento para delegar la administración en los Responsables Primarios que hagan uso de una aplicación en particular,
• el Responsable Primario autorizará los requerimientos formales de acceso a las funciones de cada aplicativo. En caso que el mismo posea la administración del aplicativo, el Responsable de Sistemas deberá recibir la documentación formal de los tipos de accesos habilitados,
• el usuario sólo podrá acceder a aquellas funciones operativas necesarias para su desempeño cotidiano (principios de menor privilegio y de necesidad de saber),
• el usuario deberá poseer la documentación necesaria para poder efectuar las operaciones las que está autorizado,
• deberán controlarse los derechos de acceso de los usuarios, (por ejemplo, lectura, escritura, borrado y ejecución),
• las salidas de datos de los sistemas de aplicación (listados, informes, etc.) sólo contendrán la información específica requerida por la entrada. Las mismas sólo se enviarán a los puestos y/ impresoras autorizados.
• las salidas de datos deberán revisarse periódicamente, a fin de detectar y remover información redundante.
• deberá evitarse la posibilidad de modificación directa de datos almacenados, es decir, por fuera de las interfaces de acceso. Esta opción tendrá un justificativo en caso de sistemas en ambientes de desarrollo. De presentarse excepciones, el Responsable de Sistemas informará al Responsable Primario y a la Unidad de Auditoría Interna, estableciéndose un procedimiento adecuado.
12.12.3. Aislamiento de Sistemas
Se recomienda proteger a aquellos sistemas que se hallen expuestos al riesgo de pérdida de datos. Para ello, será necesario disponer de entornos dedicados o aislados, de manera que sólo se compartan recursos con sistemas de aplicación confiables. Se estima conveniente aplicar las siguientes consideraciones:
• definir claramente la clasificación de un sistema de aplicación. Esta tarea será llevada a cabo por los Responsable Primario y de Sistemas.
• definir la manera en que se compartirán los recursos de los sistemas.
• el Responsable de Sistemas implementará la configuración de los entornos dedicados, de manera que respondan a los requerimientos de clasificación definidos para los sistemas allí instalados,
• el Responsable de Sistemas deberá considerar una administración segura de las copias de respaldo de información procesada en los entornos dedicados.
• el Responsable de Sistemas deberá considerar los aspectos de criticidad y confidencialidad, en la elaboración de planes de continuidad y/o contingencia de las aplicaciones. Por ejemplo: disponer de equipamiento o instalaciones alternativas donde restablecer los sistemas, en caso de emergencias, en las mismas condiciones que las del sitio principal.
12.13. Monitoreo del Acceso y Uso de los Sistemas
12.13.1. Objetivo
Monitoreo de los sistemas para comprobar la eficacia de los controles adoptados, recolectar evidencia relativa a incidencias de seguridad y verificar la conformidad con el modelo de política de accesos.
Deben contarse con controles de acceso necesarios, a fin de evitar:
• desactivación de la herramienta de registro.
• alteración de mensajes registrados.
• edición o supresión de archivos de registro.
• saturación del almacenamiento de archivos de registro.
• falla en los registros de los eventos.
• sobre-escritura de los registros.
La Unidad de Auditoría Interna podrá acceder a los registros de eventos, a fin de colaborar en el control y efectuar recomendaciones sobre modificaciones a los aspectos de seguridad. También podrán evaluar las herramientas de registro, pero no tendrán libre acceso a ellas.
12.13.2. Monitoreo del Uso de los Sistemas
Se desarrollarán procedimientos para monitorear el uso de los recursos informáticos, a fin de garantizar que los usuarios desempeñen actividades autorizadas.
Todos los usuarios de la red del MINISTERIO DEL INTERIOR Y TRANSPORTE deben conocer el alcance del uso adecuado de los recursos. Atento ello, serán advertidos respecto de determinadas actividades que puedan ser objeto de control y monitoreo.
A título meramente enunciativo, se estima oportuno incluir dentro del monitoreo de red y sistemas, los siguientes:
• accesos, incluyendo: identificación del usuario; fecha y hora de eventos clave; tipos de eventos; archivos a los que se accede; utilitarios y programas utilizados.
• operaciones privilegiadas, tales como: utilización de cuentas administrativas; inicio y cierre del sistema; conexión y desconexión de dispositivos de entrada y salida de información; cambio de fecha/hora; cambios en la configuración de la seguridad; alta de servicios.
• intentos de acceso no autorizado, tales como: intentos fallidos de violación a las políticas de accesos; notificaciones en gateways y firewalls; alertas de sistemas de detección de intrusiones.
• alertas o fallas de sistema, tales como: alertas o mensajes de consola; excepciones de los sistemas de registro; alarmas de administración de redes y accesos remotos a los sistemas.
13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
13.1. Objetivo
Definir las normas y procedimientos que se aplicarán durante el ciclo de vida de producción de los aplicativos, y sobre la infraestructura de base en la cual se apoyan.
Implementar controles para evitar riesgos de maniobras dolosas sobre los sistemas, bases de datos y plataformas de software de base (por ejemplo, operadores que puedan manipular los datos, atacantes que puedan comprometer la integridad de los datos, etc.).
13.2. Alcance
Esta Política se aplica a:
• todos los sistemas informáticos, sean propietarios o adquiridos a terceras partes.
• Sistemas Operativos y/o Software de Base y/o utilitarios que integren los ambientes administrados donde residan los desarrollos mencionados.
13.3. Responsabilidades
El Responsable de Sistemas, junto con cada Responsable Primario definirán los controles a ser implementados en los sistemas desarrollados internamente o por terceras partes, en función de una evaluación previa de riesgos.
Se incorporarán, de ser necesario, métodos criptográficos, en función de la criticidad o la confidencialidad requeridas para la información. En dicho caso, el Responsable de Sistemas definirá los métodos de encriptación a ser utilizados.
A tales efectos, el Responsable de Sistemas deberá considerar:
• definir los controles y las medidas de seguridad a ser incorporadas a los sistemas.
• garantizar el cumplimiento de los requerimientos de seguridad para el software,
• verificar la seguridad de las plataformas y bases de datos,
• definir y verificar el cumplimiento de controles para el desarrollo y mantenimiento de sistemas,
• definir procedimientos para el control de cambios a los sistemas
• controlar la introducción de código maliciosos,
• participar en la definición de las funciones del personal involucrado en el procesamiento de datos (entradas, salidas, etc.), junto con los Responsables Primarios de los sistemas que correspondan,
• definir procedimientos de administración de claves criptográficas,
• asignar funciones para un Implementador y un Administrador de programas, dentro del área a su cargo,
• incorporar aspectos relacionados con el licenciamiento, la calidad del software y la seguridad de la información en los contratos con terceros por el desarrollo de software.
13.4. Requerimientos de controles de seguridad
Los controles de seguridad estarán especificados en los requerimientos de nuevos sistemas y en las mejoras a los existentes. Las especificaciones tendrán en cuenta controles automáticos o manuales de apoyo que se deban incorporar al sistema.
Se considerará lo siguiente:
• un procedimiento para incorporar controles de seguridad durante las etapas de análisis y diseño del sistema. Dicho procedimiento incluirá una etapa de evaluación de riesgos previa al diseño, para definir especificar y aprobar los requerimientos de seguridad y controles apropiados, sean éstos manuales o automáticos. En esta tarea participarán las áreas usuarias, Desarrollo de Sistemas y Seguridad Informática. Las áreas involucradas podrán solicitar certificaciones y evaluaciones independientes para los sistemas a poner en Producción.
• evaluación de costo y esfuerzo en los controles requeridos, debiendo éstos ser proporcionales al valor del bien que se quiere proteger y a los riesgos sobre las actividades planificadas, entendiendo que todo control es mucho menos costoso de implementar y mantener si se lo introduce en la etapa de desarrollo de un sistema.
13.5. Seguridad en los Sistemas de Aplicación
Para evitar la pérdida, modificación o uso inadecuado de datos pertenecientes a los sistemas de información, se establecerán controles y registros, verificando:
• validación de datos de entrada,
• procesamiento interno,
• autenticación de mensajes y comunicación entre sistemas,
• validación de datos de salida.
13.5.1. Validación de Datos de Entrada
Se especificarán controles que aseguren la validación de los datos ingresados. Dichos controles se ubicarán tan cerca del punto de origen como sea posible, e incluirán datos permanentes y tablas de parámetros. Los controles se implantarán en la etapa de desarrollo.
Se considerarán los siguientes controles:
• secuencia,
• monto límite por operación y tipo de usuario,
• rango y validez de valores posibles, de acuerdo con criterios predeterminados,
• paridad,
• comparaciones contra valores cargados en las tablas de datos,
• controles por oposición, de forma tal que quien ingrese un dato no pueda autorizarlo y viceversa,
• entrada dual u otros para detectar los siguientes errores: valores fuera de rango; caracteres inválidos en campos de datos; datos faltantes o incompletos; volúmenes de datos que exceden los límites inferior y superior; controles de datos no autorizados o inconsistentes.
Se especificarán las siguientes acciones a llevar a cabo:
• revisiones periódicas de contenidos de campos claves o archivos de datos, indicando quién lo realizará, en qué forma, con qué método, a quiénes se informa el resultado, etc.,
• alternativas a seguir frente a errores de validación en un aplicativo,
• definición de responsabilidades del personal involucrado en los procesos de entrada de datos.
13.5.2. Controles de Procesamiento Interno
Se incorporarán controles de validación que permitan minimizar o eliminar riesgos por fallas de procesamiento o en la detección de errores. Los controles se implantarán en la etapa de desarrollo.
Se considerarán los siguientes controles:
• las funciones de agregado y eliminación que realizan cambios en los datos deberán estar identificadas, dentro de los aplicativos,
• verificar la ejecución de los aplicativos en el momento adecuado,
• verificar que los aplicativos se ejecuten en el orden correcto, previniendo la falta de secuencia o fallas de procesamiento previo,
• verificar la finalización programada en caso de falla, o la detención del proceso hasta que el problema sea resuelto.
• revisión periódica de los registros de auditoría, para detectar anomalías en la ejecución de transacciones,
• validación de datos generados por el sistema,
• verificación de integridad de datos y del software,
• control de integridad de registros y archivos,
13.5.3. Autenticación de Mensajes
Cuando una aplicación envíe mensajes con información clasificada, se deberán implementar controles criptográficos.
10.5.4. Validación de Datos de Salida
Se establecerán procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:
• probar si los datos de salida son admisibles,
• conciliación de cuentas para asegurar el procesamiento de todos los datos,
• proveer información suficiente, para que el usuario o el sistema de procesamiento subsiguiente pueda determinar la exactitud, totalidad, precisión y clasificación de la información,
• indicaciones de las pruebas de validación de salidas,
• definición de responsabilidades del personal afectado al proceso de salida de datos.
13.6. Seguridad en el Ambiente de Producción
13.6.1. Objetivo
Garantizar que las actividades de soporte de tecnología de la información se lleven a cabo de manera segura.
13.6.2. Control del software de Producción
La implementación de software en los sistemas en el ambiente de operaciones será controlada, a fin de minimizar el riesgo de alteración de datos o sistemas en dicho ambiente. Se tendrá en cuenta lo siguiente:
• la actualización de bibliotecas de sistemas en Producción sólo será realizada por el implementador designado, una vez establecidas las aprobaciones correspondientes,
• de ser posible, los aplicativos en Producción sólo contendrán código ejecutable,
• se implementará código ejecutable en Producción sólo después que se haya aprobado en el entorno de Pruebas. Esto incluye la aceptación del usuario, y la actualización de las correspondientes bibliotecas de programas fuente,
• se mantendrá un registro de auditoría de las actualizaciones a las bibliotecas de programas en el entorno operativo,
• se mantendrá una copia de resguardo de las versiones previas de software, como medida de contingencia.
Cuando se trate de software suministrado por terceras partes, se deberá contar con un contrato de soporte del mismo. El acceso al entorno de ambiente de Producción por terceras partes sólo se otorgará con fines de soporte, y con previa aprobación del Responsables Primario y de Sistemas. Las actividades de los proveedores serán sometidas a monitoreo.
Toda decisión referida a actualizaciones de software debe tomar en cuenta la seguridad, como nuevas funcionalidades puedan afectar a la protección de los datos, o qué vulnerabilidades se presentan frente a los cambios.
Los parches de software deben aplicarse en Producción cuando contribuyan a mitigar o eliminar debilidades en materia de seguridad, luego de haber sido verificados y aprobados en el entorno de Pruebas.
13.6.3. Protección de los datos de prueba del sistema
Los datos del entorno de Pruebas deben ser protegidos y controlados. Las pruebas de aceptación del sistema normalmente requieren volúmenes considerables de datos, que serán tan similares a los datos de Producción como sea posible.
Se debe evitar el uso de bases de datos operativas, o que contengan información personal. La información de prueba debe ser despersonalizada, aplicándose los siguientes controles sobre la misma:
• los procedimientos de control de accesos serán los mismos para los entornos de Prueba y de Producción.
• tanto el Responsable Primario como el Responsable de Sistemas deberán autorizar las copias de datos desde el ambiente de Producción al de Pruebas.
• la información de Producción que se utiliza en el entorno de Pruebas se eliminará de este último ambiente, una vez concluidos todas las verificaciones.
13.6.4. Control de acceso a las bibliotecas de programa fuente
Se mantendrá un control estricto del acceso a las bibliotecas de programas fuente, de modo de evitar alteraciones indebidas sobre los aplicativos. Al respecto se efectúan las siguientes consideraciones:
• en de lo posible, las bibliotecas de programas fuente no deben almacenarse en el ambiente de Producción.
• el responsable de Sistemas designará un implementador que administre el almacenamiento de las bibliotecas de programas, para cada aplicación.
• la documentación de los aplicativos se almacenará en un entorno seguro.
• los aplicativos en desarrollo, mantenimiento o pruebas deben almacenarse en entornos diferentes al de Producción.
• sólo el implementador podrá llevar a cabo la actualización y/o distribución de bibliotecas de programas fuente, con la autorización del responsable del soporte de cada aplicación.
• se mantendrán registros de auditoría de los accesos a las bibliotecas de programas fuente.
• se dispondrá de copias de resguardo de versiones anteriores de los programas fuente, con una clara indicación de las fechas y horas precisas en las cuales estaban en operaciones.
• tanto el mantenimiento como las copias de bibliotecas de programas fuente deben sujetarse a procedimientos estrictos de control de cambios.
13.7. Seguridad en los Entornos - Desarrollo Prueba y Producción
13.7.1. Objetivo
Mantener y controlar la seguridad del software y la información del sistema de aplicación, en los entornos de Desarrollo y Prueba.
13.7.2. Procedimientos de control de cambios
A fin de minimizar riesgos por alteraciones no previstas en los sistemas informáticos, debe existir un control estricto de la implementación de cambios.
Debe disponerse de procedimientos para el control de cambios, de manera de garantizar que no se comprometa la seguridad, que los programadores de soporte sólo accedan a áreas del sistema que competan a las tareas de actualización, y que existan aprobaciones formales para cualquier cambio.
A este respecto, se estima conveniente que los procedimientos de control de cambios incluyan:
• un registro de los niveles de autorización formales acordados. Toda autorización debe emitirse antes de implementar los cambios,
• revisar que los cambios no comprometan controles ni procedimientos de integridad,
• identificar todo el software, la información, las bases de datos y el hardware que requieran correcciones;
• garantizar que la implementación se lleve a cabo sin afectar continuidad de las actividades del MI;
• garantizar que todo cambio incluya la actualización de la documentación pertinente,
• mantener un control de versiones para todas las actualizaciones de software;
• mantener un registro de auditoría de todos los requerimientos de cambio.
13.7.3. Revisión técnica de cambios en los sistemas operativos
Periódicamente es necesario cambiar el sistema operativo de los servidores por ej. instalar una versión nueva o parches. En estos casos, deben revisarse los aplicativos instalados, para garantizar que no se produzca un impacto adverso en las operaciones o la seguridad.
Debe contemplarse:
• revisión de procedimientos de integridad y control de aplicaciones, para garantizar que éstos no resulten comprometidos por los cambios del sistema operativo.
• garantizar que los presupuestos de soporte contemplen las revisiones y pruebas de aplicativos que deban realizarse, como consecuencia de cambios en el sistema operativo.
• asegurar una comunicación oportuna de cambios sobre el sistema operativo, antes de la implementación.
• garantizar que se realicen las actualizaciones adecuadas en los planes de continuidad del MINISTERIO DEL INTERIOR Y TRANSPORTE.
13.7.4. Restricción de cambios en los paquetes de software
En la medida de lo posible, los paquetes de software suministrados por proveedores serán utilizados sin modificación. Cuando se considere esencial modificar un paquete de software, se deben tener en cuenta los siguientes puntos:
• riesgos de compromiso sobre la integridad de los procesos existentes.
• obtención de consentimiento del proveedor, cuando corresponda.
• que el proveedor suministre los cambios requeridos, como actualizaciones estándar de programas.
• impacto que se produciría si el Ministerio asume el mantenimiento futuro del software, como resultado de los cambios.
Todos los cambios deben probarse y documentarse, en un ambiente de Pruebas, para luego trasladarlo al entorno productivo.
13.7.5. Desarrollo externo de software
Cuando en el desarrollo de software participan terceras partes, se debe considerar lo siguiente:
• acuerdos de licencias, propiedad de códigos y derechos de propiedad intelectual.
• certificación de la calidad y precisión del trabajo llevado a cabo y acuerdos de niveles de calidad aceptados (SLA - Service Legal Agreement).
• acuerdos de custodia en caso de quiebra comercial de la tercera parte.
• derechos de acceso a auditorias de calidad y precisión del trabajo realizado.
• requerimientos contractuales con respecto a la calidad del código.
• realización de pruebas, previas a la instalación, para detectar códigos troyanos o canales ocultos.
13.8. Controles Criptográficos
13.8.1. Objetivo
Proteger la confidencialidad, autenticidad o integridad de la información, para sistemas que se consideran críticos.
Las técnicas criptográficas o de cifrado, se emplearán en base a un análisis de riesgo efectuado con anterioridad, con el fin de asegurar confidencialidad e integridad en los sistemas que las requieran.
13.8.2. Tipos de técnicas criptográficas
Las técnicas criptográficas, o cifrado, son de dos tipos:
• técnicas de clave secreta (cifrado simétrico), cuando dos o más actores comparten la misma clave, que se utiliza para cifrar y descifrar información transferida entre ellos.
• técnicas de clave pública (cifrado asimétrico), cuando cada usuario tiene un par de claves: una clave pública (que puede ser revelada a cualquier persona) y una clave privada (que se mantiene en secreto). Existe una correspondencia biunívoca entre ambas claves. La clave privada se emplea para el cifrado de la información, que sólo puede descifrarse con la clave pública correspondiente. Las técnicas de clave pública pueden utilizarse tanto para cifrado como para generar firmas digitales.
Todas las claves deben protegerse contra modificación, destrucción, y divulgación no autorizada.
10.8.3. Política de Utilización de Controles Criptográficos
Los controles criptográficos se emplearán en los siguientes casos:
• para protección de claves de acceso a sistemas, datos y servicios.
• para uso de firmas digitales.
• para transmisión de información clasificada, fuera del ámbito del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• para resguardo de información, de acuerdo con la evaluación de riesgos que realicen por el Responsable de Tecnología y Seguridad y cada Responsable Primario.
Asimismo, se desarrollarán procedimientos de administración de claves, a fin de recuperar la información cifrada en caso de pérdidas, compromiso, daño o reemplazo de las claves.
A fin de realizar una correcta separación de funciones y compatibilidades, el Responsable de Tecnología y Seguridad propondrá la siguiente asignación de funciones:
Dentro del marco de la presente Política, se estiman de utilización segura, los siguientes algoritmos de cifrado y tamaños clave:
• cifrado simétrico
• cifrado asimétrico
Los algoritmos y longitudes de clave mencionados son los que a la fecha se consideran seguros. Se recomienda verificar esta condición periódicamente con el objeto de efectuar las actualizaciones correspondientes.
13.8.4. Criptografía
Los Responsables de Sistemas y de Tecnología y Seguridad llevarán una evaluación de riesgos para identificar el nivel requerido de protección de los datos. De acuerdo con ello se considerarán el tipo de algoritmo de cifrado y la longitud de las claves criptográficas a utilizar.
13.8.5. Firma Digital
Para el empleo de firmas y certificados digitales debe considerarse la legislación vigente, Ley Nº 25.506, el Decreto Nº 2628/02 y normas complementarias.
Asimismo, cuando sea necesario resolver disputas acerca de la ocurrencia de un evento u acción relativa a evitar que aquel que haya originado una transacción electrónica niegue haberla efectuado, se utilizarán servicios de no repudio.
Además de la administración segura de las claves secretas y privadas, también debe tenerse en cuenta la protección de claves públicas, mediante la generación de certificados, recurriendo para ello a una Autoridad Certificante que ofrezca el nivel de confiabilidad requerido. A tal fin, el MINISTERIO DEL INTERIOR Y TRANSPORTE se ha constituido como Autoridad de Registro de la Autoridad Certificante ONTI, permitiendo la tramitación de certificados digitales para funcionarios dentro de la órbita competencial del Ministerio, con el objetivo de agilizar el proceso de emisión y renovación de certificados.
14. PLAN DE CONTINGENCIA
14.1. Objetivos
Minimizar los efectos de interrupciones en las actividades normales del MINISTERIO DEL INTERIOR Y TRANSPORTE, sea por resultado de desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u otros hechos. Asimismo, se busca que los procesos críticos estén protegidos, combinando controles preventivos y acciones de recuperación.
Analizar las consecuencias de interrupciones en el servicio, tomando medidas para la prevención de hechos similares en el futuro.
Maximizar la efectividad de las operaciones de contingencia del Organismo, estableciendo planes que incluyan al menos las siguientes etapas:
• notificación/activación: consistente en la detección y determinación del daño y la activación del plan de contingencia.
• reanudación: consistente en la restauración temporal de los procesos y recuperación de los sistemas originales.
• recuperación: consistente en la restauración de las capacidades normales de proceso de los sistemas.
• coordinación con personal del Organismo y/o terceras partes que participen en las estrategias de planificación de contingencias.
14.2. Alcance
Esta Política se aplica a todos los procesos identificados como críticos, dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE. La continuidad de las actividades es un proceso crítico que debe involucrar a todos los niveles del Organismo.
14.3. Responsabilidades
Los Responsables de Tecnología y Seguridad, de Sistemas y Primarios, participarán activamente en la definición, documentación, prueba y actualización de los planes de contingencia, identificando las amenazas que puedan ocasionar interrupciones de los procesos y/o las actividades del Organismo y evaluando riesgos para determinar el impacto de las interrupciones.
Asimismo, el Comité de la Seguridad de la Información desarrollará un plan estratégico para determinar el enfoque global con el que se abordará la continuidad de las actividades del Organismo como así también elaborará los planes de contingencia necesarios para garantizar la continuidad de las actividades del Ministerio.
14.4. Administración de la Continuidad de Actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE
El Comité de Seguridad de la Información coordinará los procesos de administración de continuidad de las actividades del Organismo frente a interrupciones imprevistas.
Se incluyen las siguientes funciones:
• identificar y priorizar los procesos críticos de las actividades del Organismo.
• asegurar que todos los usuarios comprendan los riesgos que el MINISTERIO DEL INTERIOR Y TRANSPORTE enfrenta, en términos de probabilidad de ocurrencia e impacto de posibles amenazas.
• evaluar los efectos que una interrupción puede tener en la actividad del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• elaborar y documentar estrategias de continuidad de las actividades del Organismo, consecuentes con los objetivos y prioridades acordados.
• establecer un cronograma de pruebas periódicas de los planes de contingencia, proponiendo una asignación de funciones para su cumplimiento.
• coordinar actualizaciones periódicas y modificaciones de los planes y procesos implementados.
• considerar la contratación de seguros que intervengan en el proceso de continuidad de las actividades del Ministerio.
14.5. Continuidad de Actividades y Análisis de Impacto
El Plan de Continuidad de las Actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE debe contemplar los siguientes puntos:
• identificar las amenazas que puedan interrumpir las actividades, por ejemplo, fallas en el equipamiento, comisión de ilícitos, corte en el suministro de energía eléctrica, inundación e incendio, desastres naturales, destrucción edilicia, atentados, etc.
• evaluar los riesgos, y determinar el impacto de las interrupciones, tanto en magnitud de daño como en el período de recuperación. La evaluación debe identificar los recursos críticos, el impacto por cortes de servicio, períodos de caída aceptables o permitidos. Se deben especificar las prioridades de recuperación,
• identificar los controles preventivos, por ejemplo: sistemas de supresión de fuego, detectores de humo, contenedores resistentes al calor y al agua para los medios de backup, registros no electrónicos vitales, etc.
Esta actividad será llevada a cabo con la activa participación de los Responsables Primarios, el Responsable de Sistemas y el Responsable de Tecnología y Seguridad considerando todos los procesos y actividades del Organismo, sean informáticos o no.
A partir de lo anterior, se presentará una propuesta de continuidad de actividades al Coordinador del Comité de Seguridad, quien la elevará a la Autoridad Máxima del MINISTERIO DEL INTERIOR Y TRANSPORTE, para su aprobación.
14.6. Implementación de Planes de Continuidad
La propuesta de continuidad de actividades que se eleve al Coordinador del Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE considerará los siguientes puntos:
• análisis de escenarios de contingencia, definiendo las acciones correctivas a implementar en cada caso.
• procedimientos de emergencia para el restablecimiento de servicios en los plazos requeridos. Se debe dedicar especial atención a los procesos efectuados por terceras partes, y los contratos vigentes.
• documentación de metodología y procedimientos acordados.
• designación de un administrador de cada plan de contingencia, por área del Organismo.
• instruir al personal involucrado, sobre los siguientes temas: objetivo del plan, coordinación y comunicación entre los grupos involucrados en las tareas de emergencia, procedimientos de divulgación, requisitos de seguridad, responsabilidades individuales.
• establecer ensayos y actualización de los planes.
Asimismo, deben plantearse los recursos que permitan el restablecimiento de los servicios en plazos aceptables o planificados. Se incluyen: dotación de personal, sitios alternativos de procesamiento de la información, equipamiento contacto con fuerzas de seguridad, etc.
14.7. Marco para los Planes de Continuidad
Los planes de continuidad de las actividades del Organismo se establecerán dentro de un marco único, a fin de identificar prioridades de prueba y mantenimiento.
Los procedimientos de emergencia establecidos se modificarán cuando se identifiquen nuevos requerimientos. Toda modificación será analizada en el Comité de Seguridad de la Información, para su aprobación.
El marco para planificar la continuidad tendrá en cuenta los siguientes puntos:
• evaluar los procesos a seguir antes de ponerlos en marcha. Por ejemplo, qué eventos determinan si una situación es de contingencia o no, qué personas estarán involucradas, etc.
• los casos donde exista una amenaza al personal y/o las funciones del MINISTERIO DEL INTERIOR Y TRANSPORTE tendrán una preeminencia sobre el resto. Para ello, deberán disponerse gestiones con autoridades públicas pertinentes, por ejemplo, policía y bomberos.
• definir las acciones a emprender para el traslado de actividades críticas a ubicaciones transitorias alternativas, para restablecer servicios en los plazos requeridos.
• redactar procedimientos de recuperación para restablecer las operaciones normales del Organismo.
• efectuar actividades de concientización e instrucción al personal.
• documentar funciones de los involucrados en la ejecución de los componentes del plan. Se indicarán las vías de contacto posibles y alternativas, cuando corresponda.
• definir a un responsable de declarar el estado de contingencia, y así dar inicio al plan.
14.8. Ensayo, Mantenimiento y Revisión de los Planes de Continuidad
El Comité de Seguridad de la Información diseñará un cronograma de pruebas periódicas para cada plan de contingencia, indicando a los responsables de llevarlas a cabo.
Se deberá garantizar que los planes de contingencia funcionen ante un hecho real. Las técnicas de testeo incluirán, por lo menos:
• discusión de diversos escenarios y medidas para la recuperación las actividades, utilización de ejemplos de interrupciones, etc.
• simulaciones, especialmente para entrenar al personal en el desempeño de sus roles.
• pruebas de eficacia de recuperación de los sistemas informáticos.
• ensayos completos para medir el grado de eficiencia con que el Organismo, su personal, el equipamiento, las instalaciones y los procesos pueden afrontar interrupciones.
Para las operaciones críticas del Organismo se tomarán en cuenta, además, los siguientes mecanismos:
• de ser posible, realizar ensayos de recuperación en un sitio alternativo, ejecutando actividades en paralelo,
• efectuar pruebas de instalaciones y servicios de proveedores, asegurando que los mismos cumplan con los compromisos contraídos.
Los resultados de las pruebas serán elevados al Comité de Seguridad de la Información.
Los Responsables de Revisión verificarán en forma periódica los planes de continuidad de su incumbencia. Se sugiere armar un cuadro de revisión de planes de contingencia tal como el siguiente:
Se tendrán en cuenta cambios de:
• personal.
• direcciones o números telefónicos.
• estrategia del Organismo.
• ubicación, instalaciones y recursos.
• legislación.
• contratistas, proveedores y clientes críticos.
• procesos, nuevos y/o eliminados.
• tecnologías.
• requisitos de operacionales y de seguridad.
• hardware, software y otros equipos (tipos, especificaciones, y cantidad).
• requerimientos de los sitios alternativos.
Todas las modificaciones efectuadas serán propuestas por el Comité de Seguridad de la Información, para su aprobación por el superior jerárquico que corresponda.
15. GARANTIA DE CUMPLIMIENTO
15.1. Objetivos
El diseño, operación, uso y administración de los sistemas de información están regulados por disposiciones legales y contractuales. A tal fin, los requisitos normativos y contractuales pertinentes a cada sistema de información deben estar definidos y documentados.
Revisar la seguridad de la información, en forma periódica, a efectos de garantizar la adecuada aplicación de políticas, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas informáticos.
15.2. Alcance
Esta Política se aplica a los sistemas de información, normas, procedimientos, documentación, plataformas técnicas del MINISTERIO DEL INTERIOR Y TRANSPORTE y las auditorías efectuadas sobre los mismos.
15.3. Responsabilidad
El Responsable de Tecnología y Seguridad Informática cumplirá las siguientes funciones:
• definir normas y procedimientos para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual y a la conservación de registros de auditoría.
• verificar periódicamente que los sistemas de información cumplan la política, normas y procedimientos de seguridad establecidos.
• definir y documentar claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información.
• colaborar en la implementación de una notificación de buen uso de los recursos informáticos, incluyendo cláusulas de Confidencialidad sobre la información del MINISTERIO DEL INTERIOR Y TRANSPORTE. Dicha notificación debe ser difundida y claramente comprendida por todos los usuarios del Organismo.
Los Responsables Primarios velarán por la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos en la presente Política, dentro de su área de responsabilidad.
Los usuarios de los sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE conocerán, comprenderán, darán a conocer, cumplirán y harán cumplir la presente Política y la normativa vigente.
15.4. Cumplimiento de requisitos legales
15.4.1. Objetivo
Impedir infracciones y violaciones de las leyes del derecho civil y penal.
Cumplir las obligaciones establecidas por leyes, estatutos, normas, reglamentos, contratos y requisitos de seguridad.
15.4.2. Identificación de la Legislación Aplicable
Se establecerán y documentarán claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información. Del mismo modo se definirán y documentarán los controles específicos, las responsabilidades y las funciones individuales para cumplir con dichos requisitos.
15.4.3. Derecho de propiedad intelectual
Se implementarán procedimientos adecuados para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual.
El Organismo sólo podrá autorizar el uso de material de su propiedad, sea éste producido por el Responsable de Sistemas, o suministrado por un tercero, conforme los términos y condiciones acordadas, y/o lo dispuesto por la normativa vigente.
La infracción a estos derechos podría resultar en acciones legales, y derivar en demandas penales.
Se deberán tener presentes las siguientes normas:
• Ley de Propiedad Intelectual Nº 11.723: Protege los derechos de autor de obras científicas, literarias y artísticas, incluyendo programas de computación fuente y objeto; las compilaciones de datos u otros materiales.
• Ley de Marcas Nº 22.362: Protege la propiedad de una marca y la exclusividad de su uso.
• Ley de Patentes de Invención y Modelos de Utilidad Nº 24.481: Protege el derecho del titular de la patente de invención a impedir que terceros utilicen su producto o procedimiento.
15.4.4. Derecho de Propiedad Intelectual del Software
Los productos de software se suministran normalmente bajo acuerdos de licencia. Estos acuerdos suelen limitar el uso de los productos al equipamiento específico. Asimismo, la copia sólo debe limitarse a la creación de un resguardo.
El Responsable de Sistemas y Seguridad Informática, analizará los términos y condiciones de la licencia. Se implementarán los siguientes controles:
• normas y procedimientos para cumplir con el derecho de propiedad intelectual de software, asegurando el uso legal de los productos de información.
• divulgar las políticas de adquisición de software y las disposiciones de la Ley de Propiedad Intelectual, así como notificar la determinación de tomar acciones disciplinarias contra el personal que las infrinja.
• mantener un adecuado registro de activos.
• conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc.
• implementar controles para evitar que se exceda el número máximo permitido para las licencias de uso y verificar que sólo se instalen productos con licencia y software autorizado.
• elaborar y divulgar un procedimiento relativo a la eliminación y/o transferencia de software a terceros.
• cumplir con los términos y condiciones establecidos para obtener software e información desde redes públicas.
15.4.5. Protección de los Datos del Organismo
Se deberá tener presente la siguiente normativa:
• Etica en el Ejercicio de la Función Pública. Ley Nº 25.188: Establece que las personas que se desempeñen en la función pública deben proteger y conservar la propiedad del Estado, y sólo emplear sus bienes con los fines autorizados.
• Código de Etica de la Función Pública: Dispone que el funcionario público debe proteger y conservar los bienes del Estado. Asimismo se establece que los bienes públicos sólo se utilicen de acuerdo con los fines autorizados y de manera racional, evitando su abuso, derroche o desaprovechamiento.
• Código Penal Artículo 255: Sanciona a quien sustrajere, ocultare, destruyere o inutilizare objetos destinados a servir de prueba ante la autoridad competente. Se consideran, entre otros, a los registros o documentos confiados a la custodia de un funcionario u otra persona, en el interés del servicio público. Si el culpable fuere el mismo depositario, sufrirá además inhabilitación especial por doble tiempo.
• Ley Nº 24.624. Artículo 30: Autoriza el archivo y la conservación, en soporte electrónico u óptico indeleble, de la documentación financiera, personal y de control de la Administración Pública Nacional. Se otorga valor jurídico y probatorio a la documentación existente que se incorpore al Archivo General de la Administración, mediante la utilización de tecnología que garantice estabilidad, perdurabilidad, inmutabilidad e inalterabilidad del soporte de almacenamiento físico.
• Decisión Administrativa Nº 43/96 (B.O. 7-V-1996): Reglamenta el Art. 30 de la Ley 24.624. Determina su ámbito de aplicación, define conceptos y precisa los requisitos de carácter general, relacionados con los documentos en particular y con el soporte a utilizar en la redacción, producción o reproducción de aquéllos.
• Ley de Propiedad Intelectual Nº 11.723: Protege los derechos de autor de las obras científicas, literarias y artísticas, incluyendo compilaciones de datos o de otros materiales.
• Ley Nº 25.506: Establece que la exigencia legal de mantener documentos, registros o datos, también queda satisfecha con la conservación de los correspondientes documentos digitales firmados digitalmente, según los procedimientos que determine la reglamentación, siempre que sean accesibles para su posterior consulta, y permitan determinar fehacientemente el origen, destino, fecha y hora de su generación, envío y/o recepción.
15.4.6. Protección de Datos y Privacidad de datos de carácter personal
Todos los usuarios de información del MINISTERIO DEL INTERIOR Y TRANSPORTE deberán conocer las restricciones al tratamiento de los datos y de la información respecto a la cual tengan conocimiento, con motivo del ejercicio de sus funciones.
El MINISTERIO DEL INTERIOR Y TRANSPORTE implementara un COMPROMISO DE CONFIDENCIALIDAD que será divulgado a todos los usuarios de sistemas de información y bases de datos del Ministerio. Mediante este instrumento, el usuario se comprometerá a utilizar la información solamente para el uso específico al que se ha destinado. También, se obliga a no comunicar, diseminar o hacer pública información a ninguna persona, firma, compañía o tercera persona, salvo autorización previa y escrita del Responsable Primario del activo de que se trate.
Asimismo, se instruirá a los usuarios del buen uso de los recursos informáticos, quedarán advertidos sobre que determinadas actividades pueden ser objeto de control y monitoreo. (Ver Capítulo 5. Funciones y Obligaciones del Personas y/o Usuarios - Ver Capítulo 6, Seguridad del Personal y/o Usuarios).
• Se deberán tener presente las siguientes normas:
• Ley Marco de Regulación de Empleo Público Nacional. Ley Nº 25.164: Establece que los Funcionarios Públicos deben observar el deber de fidelidad que se derive de la índole de las tareas que le fueron asignadas, así como de guardar la discreción correspondiente o la reserva absoluta, en su caso, de todo asunto del servicio que así lo requiera.
• Convenio Colectivo de Trabajo General: Dispone que todos los agentes deben observar el deber de fidelidad que se derive de la índole de las tareas que le fueran asignadas, así como de guardar la discreción correspondiente, con respecto a todos los hechos e informaciones de los cuales tenga conocimiento en el ejercicio o con motivo del ejercicio de sus funciones.
• Etica en el Ejercicio de la Función Pública. Ley Nº 25.188 (ver Punto 12.4.5): Obliga a todas las personas que se desempeñan en la función pública se abstenerse de utilizar información adquirida en el cumplimiento de sus funciones para realizar actividades no relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses privados.
• Código de Etica de la Función Pública (ver Punto 12.4.5): Establece que el funcionario público debe abstenerse de difundir toda información que hubiere sido calificada como reservada o secreta, conforme a las disposiciones vigentes. Tampoco se podrá en beneficio propio, de terceros o para fines ajenos al servicio, información de la que tenga conocimiento con motivo o en ocasión del ejercicio de sus funciones y que no esté destinada al público en general.
• Protección de Datos Personales. Ley Nº 25.326 (ver Punto 12.4.5): Establece responsabilidades para aquellas personas que recopilan, procesan y divulgan información personal y define criterios para procesar datos personales o cederlos a terceros.
• Confidencialidad. Nº Ley 24.766: Impide la divulgación a terceros, o su utilización sin previo consentimiento y de manera contraria a usos comerciales honestos, de información secreta y con valor comercial que haya sido objeto de medidas razonables para mantenerla secreta.
• Código Penal: Sanciona a aquel que, teniendo noticias de un secreto cuya divulgación pueda causar daño, lo revelare sin justa causa (Art. 156), al funcionario público que revelare hechos, actuaciones o documentos que por la ley deben quedar secretaros (Art. 157), al que revelare secretos políticos o militares concernientes a la seguridad, a los medios de defensa o a las relaciones exteriores de la Nación, o al que por imprudencia o negligencia diere a conocer los secretos mencionados anteriormente, de los que se hallare en posesión en virtud de su empleo u oficio (Arts. 222 y 223).
• Asimismo, deberá considerarse lo establecido en el Decreto 1172/03 (B.O. 26-IX-2001), que regula el acceso a la información pública por parte de los ciudadanos.
15.4.7. Regulación de Controles para el Uso de Criptografía y Firma Digital
Al utilizar firmas digitales o electrónicas, se deberá considerar lo dispuesto por la Ley Nº 25.506 y su decreto reglamentario Decreto Nº 2628/02 (B.O. 20-XII-2002), que establecen las condiciones bajo las cuales una firma digital es legalmente válida.
Respecto a la comercialización de controles criptográficos, nuestro país ha suscripto el acuerdo Wassennar, que establece un listado de materiales y tecnologías de doble uso, cuya comercialización puede ser considerada peligrosa.
El Decreto Nº 603/92 (B.O. 23-III-1992) regula el Régimen de Control de las Exportaciones Sensitivas y de Material Bélico, estableciendo un tratamiento especial para la exportación de bienes indicados como material bélico.
En caso de transferencia de información cifrada, o controles criptográficos, a otro país, se requiere obtener asesoramiento previo. Para ello, se puede consultar a la Dirección General de Política, de la Secretaría de Asuntos Militares, Ministerio de Defensa, a fin de saber si el material exportable requiere algún tratamiento especial.
15.5. Revisiones de la Política de Seguridad
Los Responsables Primarios, velarán por la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos, informando al Comité de Seguridad sobre todo incidente o violación.
Los Responsables Seguridad Física, de Tecnología y Seguridad y de Sistemas realizarán revisiones periódicas de todas las áreas del Organismo a efectos de garantizar el cumplimiento de las políticas, normas y procedimientos de seguridad de la información. Se revisarán las siguientes áreas:
• sistemas de información
• proveedores de sistemas
• propietarios de la información
• usuarios.
El Responsable de Sistemas revisará periódicamente que todos los sistemas informáticos, cumplan con las políticas, normas y procedimientos de seguridad. Con ello se garantiza la correcta implementación de los controles de hardware y software.
La verificación del cumplimiento comprenderá pruebas de penetración, teniendo como objetivos la detección de vulnerabilidades y la verificación de la eficacia de los controles de prevención de accesos no autorizados.
Para las pruebas de penetración se tomarán todos los recaudos necesarios a fin de no se comprometer la seguridad de los sistemas en producción.
Las verificaciones de cumplimiento serán realizadas por personal competente, formalmente autorizado y bajo la supervisión de los Responsables Primarios, de Sistemas, y/o de Seguridad Física, según corresponda.
15.6. Consideraciones de Auditoría de Sistemas
Con relación a las auditorías, serán de aplicación las Normas de Control Interno para Tecnologías de Información, aprobadas por la Resolución SIGEN Nº 48/05.
15.7. Sanciones Previstas por Incumplimiento
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de Seguridad conforme a lo dispuesto por las normas estatutarias, escalafonarias y convencionales que rigen al personal de la Administración Pública Nacional. En caso de corresponder, se realizarán las acciones correspondientes ante el o los Organismos pertinentes.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo las formalidades impuestas por los preceptos constitucionales, la Ley de Procedimientos Administrativos y demás normativas específicas aplicables.
Amén de las sanciones disciplinarias o administrativas, el agente que no da debido cumplimiento a sus obligaciones puede incurrir también en:
• responsabilidad civil o patrimonial —cuando ocasiona un daño que debe ser indemnizado— y/o,
• responsabilidad penal —cuando su conducta constituye un comportamiento considerado delito por el Código Penal y leyes especiales.
ANEXO 1 - POLITICA DE SEGURIDAD DEL MINISTERIO DEL INTERIOR Y TRANSPORTE
COMPROMISO DE CONFIDENCIALIDAD, GESTION DE BASES DE DATOS Y TRATAMIENTO DE SISTEMAS INFORMATICOS.-
I. OBJETO.
Con el objetivo de proteger los recursos informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE y la tecnología utilizada para la gestión y el ejercicio de sus funciones, se informa y notifica por intermedio del presente, las medidas de seguridad de cumplimento obligatorio para todos los agentes que intervengan en algún proceso o procedimiento relacionado con la gestión de (incluir actividad principal que desarrollará el agente) para el MINISTERIO DEL INTERIOR Y TRANSPORTE.
El presente clausulado recoge las medidas de seguridad establecidas con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información y de los datos, cuando sean tratados por agentes, funcionarios, y/o trabajadores del MINISTERIO DEL INTERIOR Y TRANSPORTE en el ejercicio de sus funciones; y detalla las obligaciones y responsabilidades que conlleva el cumplimiento del mismo.
Las citadas medidas, también serán de aplicación en la medida que les afecte, a aquellos prestadores de servicios, reparticiones públicas y/o agentes que el MINISTERIO DEL INTERIOR Y TRANSPORTE requiera para acometer sus objetivos.
Para la determinación de las citadas medidas de seguridad, han sido tenidos en cuenta las pautas fijadas en la Ley 25.326 de Protección de Datos Personales, el Decreto 1558/2001, la Decisión Administrativa 669/2004, la Ley 25.188 de Etica en el ejercicio de la Función Pública, la Ley 25.164 de Regulación del Empleo Público Nacional, el Convenio Colectivo de Trabajo General, el Modelo de Política de Seguridad de la Información de la ONTI y el resto de la normativa aplicable vigente.
II. AMBITO DE APLICACION.
Se encuentran obligadas al cumplimiento de las prescripciones legales aquí establecidas, las siguientes personas:
• Quienes presten servicios, ya sea de forma directa o indirecta, para el MINISTERIO DEL INTERIOR Y TRANSPORTE, cualquiera que sea la naturaleza de la relación jurídica que le una con la misma.
• Toda persona que, por la labor que desempeñe, tenga o pueda tener acceso a las instalaciones o departamentos donde están ubicados los sistemas de información a través de los cuales se tratan datos de carácter personal del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• Toda la planta de personal del organismo, tanto se trate de funcionarios políticos como técnicos, y sea cual fuere su nivel jerárquico y su situación de revista.
El MINISTERIO DEL INTERIOR Y TRANSPORTE se hace responsable de la labor de formar e informar a las personas que, por su condición de usuarios, se encuentren bajo el ámbito de aplicación del presente, y se comprometerá a informarles sobre cualquier cambio que se haga al mismo en el futuro, cuya aplicación no será retroactiva.
III. CALIDAD DE USUARIO.
Se considera usuario, al sujeto autorizado para acceder a datos de carácter personal o recursos que contienen datos de carácter personal, tanto a través del sistema informático como aquellos datos contenidos en soporte manual.
Quien mantenga una relación de carácter laboral bajo cualquier modalidad de contratación con MINISTERIO DEL INTERIOR Y TRANSPORTE y tenga autorizado el acceso a las bases de datos, las aplicaciones o los sistemas informáticos, Internet o Intranet y, en general, a cualquier dato de carácter personal facilitado por los ciudadanos en cualquier tipo de soporte, quedará sujeto al control de su actividad por los Responsables de Seguridad Informática designados por el MINISTERIO DEL INTERIOR Y TRANSPORTE y obligado a cumplir las medidas de seguridad descritas en el presente clausulado:
IV. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y USUARIOS
1. CONFIDENCIALIDAD DE LA INFORMACION
Mientras dure la relación laboral o de prestación de servicios (cualquiera sea la situación de revista), así como una vez se haya extinguido la misma, los usuarios tienen expresamente prohibido comunicar procedimientos, información alojada en las bases de datos, trabajos encomendados por su empleador incluidos en las bases de datos y, en general, divulgar cualquier dato que hayan conocido por razón de su trabajo en el MINISTERIO DEL INTERIOR Y TRANSPORTE.
Todos los documentos, independientemente del soporte en el que se encuentren, que contengan datos de carácter personal relacionadas con las actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE, son propiedad del mismo; estando obligado todo trabajador o autorizado a tratar los datos, a devolverlos cuando así le sea solicitado por el MINISTERIO DEL INTERIOR Y TRANSPORTE o con motivo de la extinción del vinculo laboral.
Todo usuario autorizado para llevar a cabo el tratamiento de datos de carácter personal, queda obligado legalmente al secreto profesional respecto de los mismos como así también de los procesos a los que estos datos son sometidos, conservados y tratados, incluso una vez extinguida la relación laboral o de colaboración que le une con el MINISTERIO DEL INTERIOR Y TRANSPORTE.
Lo expuesto anteriormente supone que queda absolutamente prohibido:
• La utilización, divulgación o cesión de los datos de los ciudadanos para finalidades diferentes o que excedan de la órbita de las funciones laborales del usuario.
• Revelar, permitir o facilitar el acceso a la información contenida en las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE (automatizadas y en papel), por ningún tipo de medio (telefónico, escrito, telemático, etc.) a terceras personas ajenas a la misma sin autorización del titular de dichos datos, así como a otros trabajadores del órgano que, por sus funciones, no tengan autorizado el acceso a los mismos.
• Recopilar información acerca de personas que formen parte de las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• La anotación por parte de los empleados de observaciones o comentarios acerca de personas en documentos del MINISTERIO DEL INTERIOR Y TRANSPORTE, sean oficiales o no, con excepción de cuando así se lo exija al personal o se desprenda de la naturaleza de la función que ocupa.
• Manipular o modificar los datos y/o el soporte que los contienen (papel o automatizado) de un modo no previsto conforme al buen saber y entender del trabajador y a lo que se infiere como consecuencia de las actividades que le son propias.
En caso de plantearse dudas sobre los permisos de acceso a los datos, debe consultarse al Administrador y/o Supervisor.
2. IDENTIFICACION Y ACCESO
Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos.
Al darse de alta como usuario en el sistema operativo, el Administrador le asignará de forma individualizada, un identificador de usuario y una contraseña, conforme a su perfil de usuario.
El identificador de usuario y la clave de acceso serán estrictamente confidenciales y personales, y cada identificación debe pertenecer a un solo usuario.
Debe cambiar la contraseña proporcionada por el Administrador en el primer acceso al sistema, por una clave de su exclusivo conocimiento.
La contraseña deberá constar de exactamente 8 (ocho) caracteres y podrá ser alfanumérica.
Las contraseñas caducan, el sistema forzará al usuario a cambiarla cada 30 (treinta) días corridos, por una nueva contraseña distinta a la anterior.
El sistema bloqueará la cuenta del usuario luego de 3 (tres) intentos de acceder a la aplicación con una contraseña o identificación de usuario incorrecta.
Debido que las contraseñas tienen carácter personal e intransferible, queda absolutamente prohibido divulgarla a terceras personas.
Si tiene conocimiento que otra persona conoce su clave y/o contraseña, deberá cambiarla inmediatamente y ponerlo en conocimiento del Administrador, quien lo registrará como incidencia. En caso de incumplimiento de esta estas obligaciones, el usuario será el único responsable de los actos realizados por la persona que utilice su identificador de forma no autorizada.
Lo expuesto anteriormente supone que está totalmente prohibido:
• Intentar descifrar las claves, sistemas o algoritmos de cifrados usando métodos de des encriptación u otros.
• Intentar utilizar el sistema para acceder a áreas que el usuario tenga restringidas de los sistemas informáticos del _________________.
• Intentar acceder sin la debida autorización, a otras cuentas o a sistemas de equipos o redes conectadas a Internet, a través del uso no lícito de la contraseña (o cualquier otro medio).
• El acceso o entrada en los sistemas informáticos utilizando el código de usuario y contraseña de otro usuario.
3. USO DE EQUIPOS INFORMATICOS
El Ministerio del Interior, el MINISTERIO DEL INTERIOR Y TRANSPORTE , o en su caso, la repartición pública que corresponda, es propietario u ostenta los derechos de uso de todos los medios e instrumentos informáticos y de comunicación que pone a disposición de sus empleados exclusivamente para el desarrollo de su actividad laboral.
Dichos medios deberán utilizarse con el cuidado o atención necesarios para evitar su destrucción, pérdida o deterioro prematuro. No se puede modificar ninguna parte de los mismos a iniciativa del usuario, sin contar con la autorización expresa del supervisor.
El trabajador que tenga a su disposición equipos informáticos portátiles debe extremar la precaución cuando haga uso de los mismos o los transporte fuera de las instalaciones del MINISTERIO DEL INTERIOR Y TRANSPORTE, y debe darse aviso inmediatamente en caso de sustracción, perdida u otro imponderable.
El MINISTERIO DEL INTERIOR Y TRANSPORTE pone a disposición de los trabajadores los medios informáticos y técnicos adecuados para la realización de sus funciones sólo mientras dure la relación laboral y con fines estrictamente profesionales. En el momento de la finalización de la relación laboral, se denegará el acceso a los equipos informáticos y consiguientemente a los archivos incluidos en los mismos. En el supuesto de que el ex usuario tenga en su poder determinados medios informáticos propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE (PC portátil, CD’s, DVD’s, USB´s, disco duro externo, certificado digital, tarjeta magnética, etc.), tendrá que devolverlos en el momento de la finalización de su relación laboral.
4. USO DE INTERNET Y CORREO ELECTRONICO
El criterio a seguir por los usuarios es que la navegación en Internet obedezca a fines profesionales, con el propósito de obtener el mejor aprovechamiento posible de los recursos informáticos.
Sin embargo, de acuerdo con la necesidad de conciliación de la vida personal y profesional, se autoriza la navegación por Internet para aquellos deberes personales que coinciden con el tiempo de trabajo, resulten realmente necesarias o se utilice como descanso del trabajador dentro de la jornada laboral, siempre que dicha utilización sea razonable y reducida al tiempo mínimo indispensable.
En vista de lo anterior, y con el fin de no ocupar innecesariamente o colapsar las conexiones, quedan expresamente prohibidos las descargas de películas, clips, videos, música, imágenes, fotografías, software, etc., en especial aquellos archivos que puedan infringir la propiedad intelectual y derechos de autor de terceros.
El Responsable de Seguridad Informática podrá bloquear el acceso a aquéllos sitios web que no considere acordes con el perfil del organismo. Sin perjuicio de ello, queda terminantemente prohibido el acceso a aquellas direcciones de Internet cuyas páginas tengan contenidos pornográfico, sexual, pedófilo, racista, y en general, el que pueda resultar ofensivo o atentatorio contra la dignidad humana.
La tecnología de acceso a Internet instalada permite disponer de un registro detallado de los sitios web visitados por cada usuario, del número de accesos efectuados al día, de la fecha y hora en que se efectuó la conexión y del tiempo dedicado en cada conexión. Tal información se almacena en los servidores del MINISTERIO DEL INTERIOR Y TRANSPORTE. A estos efectos se informa a los trabajadores que las bases de datos que se generen con la información de sus respectivos accesos a Internet podrá ser utilizada por el empleador como prueba a los efectos de proceder a sanciones disciplinarias, instrucción de sumario administrativo y/o causal de despido por incumplimiento de la presente política o disminución de la dedicación y rendimiento del trabajador.
El correo electrónico o e-mail es también un instrumento de trabajo propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE, y dado su carácter institucional, su utilización debe estar relacionada con los cometidos laborales encomendados, sin que pueda utilizarse de forma habitual o abusiva como instrumento para el intercambio de información cuyo contenido sea ajeno a la gestión de D.N.I.
Las comunicaciones realizadas a través de cuentas oficiales de correo electrónico o e-mail no pueden considerarse privadas y no son apropiadas para remitir información personal y/o confidencial. No se puede garantizar totalmente la seguridad de la comunicación y consiguientemente, no debe haber ninguna expectativa de privacidad o secreto en las comunicaciones enviadas por cuentas de correo electrónico institucionales creadas por el MINISTERIO DEL INTERIOR Y TRANSPORTE y otros órganos de gobierno a un determinado usuario, para el ejercicio de funciones públicas. En todo caso, cualquier comunicación no profesional que pueda haberse recibido o emitido es de responsabilidad exclusiva del agente que haya utilizado el correo electrónico en contravención de la presente cláusula y alejándose de las funciones que la MINISTERIO DEL INTERIOR Y TRANSPORTE le ha encomendado y para la cuales ha sido asignada la citada casilla de correo electrónico. No es objetivo de esta cláusula impedir la flexibilidad en el uso del correo electrónico sino evitar los abusos que pudieran cometerse en la utilización del mismo.
En el momento de la extinción de la relación laboral, cualquier acceso a la bandeja de correo electrónico quedará interrumpido. El usuario no podrá eliminar mensajes privados e innecesarios para el organismo. Asimismo, los mensajes relacionados con la actividad profesional deberán ser mantenidos y guardados en el sistema. Su inmediato supervisor se encargará de supervisar las tareas de eliminación de los mensajes innecesarios.
El trabajador será el único responsable, tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE como con respecto a terceros, en caso de violación de tales reglas de conducta.
5. USO DE PROGRAMAS, SOFTWARE Y APLICACIONES INFORMATICAS
Cada usuario tiene acceso a los recursos que necesita en función de su perfil de trabajo.
Los archivos y sistemas informáticos utilizados para la gestión de confección y trámite de D.N.I. son de propiedad estatal. Queda prohibida cualquier utilización, copia o reproducción de los mismos para fines no profesionales, salvo autorización expresa del Responsable de Area Informática, el Responsable de Seguridad o el Coordinador del Comité de Seguridad.
El trabajador será el único responsable, tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE como con respecto a terceros, en caso de violación de tales reglas de conducta.
A fin de no vulnerar los derechos de propiedad intelectual de terceros se prohíbe expresamente la utilización de programas para los cuales la administración pública que se trate, no haya obtenido una licencia previa.
Debe advertirse que la utilización de programas informáticos sin la debida autorización (pirateo informático) puede ser constitutiva de delito, y el trabajador puede incurrir asimismo en responsabilidades de distinto orden.
La utilización de archivos o programas de procedencia externa, puede entrañar graves riesgos para la seguridad del conjunto de los sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE, por lo que deberá evitarse la apertura de cualquier archivo de procedencia desconocida, la utilización de software no autorizado o ajeno a la gestión de confección y trámite de D.N.I., la descarga de archivos de procedencia dudosa desde internet, la conexión a la red del MINISTERIO DEL INTERIOR Y TRANSPORTE de equipos no autorizados y revisados por el Responsable de Area Informática.
Finalizado el vínculo laboral, el trabajador deberá dejar intactos todos los archivos, entregables, informes y documentos que hayan tenido un fin profesional o productivo.
Cuando se estime necesario para la protección del patrimonio estatal y del de los demás empleados, para el de los derechos ajenos, o por motivos relacionados con el funcionamiento del MINISTERIO DEL INTERIOR Y TRANSPORTE, éste se reserva la facultad de revisar periódicamente, a través de los servicios técnicos de la misma, el contenido de los discos duros de los ordenadores utilizados por los empleados en el desempeño de sus funciones, procediendo a la eliminación de todos aquellos programas y archivos que por parte de los servicios técnicos de la empresa se consideren ajenos a los fines profesionales en atención a los cuales dichos ordenadores son puestos a disposición de los empleados.
Las mencionadas revisiones se efectuarán siempre por parte de los servicios técnicos del MINISTERIO DEL INTERIOR Y TRANSPORTE o quien éste designe, en el centro de trabajo y dentro del horario laboral, respetándose al máximo las garantías legales.
6. POLITICA DE ESCRITORIOS Y PANTALLAS LIMPIAS
Por la presente se adopta una política de escritorios, mesas o espacios de trabajo limpios, para proteger los documentos en papel; y un criterio de pantallas limpias, que minimice el riesgo de accesos no autorizados y pérdidas de información, tanto durante el horario de trabajo como fuera del mismo.
Será obligatorio:
• Almacenar bajo llave, gabinetes o mobiliario seguro los archivos en papel mientras se encuentran en dominio de un trabajador, cuando no estén siendo utilizados, especialmente fuera del horario de trabajo.
• Proteger con cerraduras de seguridad, contraseñas u otros controles a las computadoras personales, terminales e impresoras asignadas a funciones críticas cuando no están en uso (ej. Protectores de pantalla con contraseña).
• Proteger los puntos de recepción y envío de correo postal y las máquinas de fax.
• Retirar inmediatamente la información sensible una vez impresa.
Si un agente debe abandonar su puesto de trabajo momentáneamente, cerrará la sesión o activará protectores de pantalla con contraseña, a los efectos de evitar que terceros puedan ver el trabajo o continuar con la sesión del usuario habilitada.
El trabajador será el único responsable, tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE como con respecto a terceros, en caso de violación de tales reglas de conducta.
7. INCIDENCIAS
Se entiende por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad e integridad de los datos de carácter personal, sistemas, soportes informáticos y archivos (estén automatizados o no).
Es obligación comunicar al Supervisor o Administrador cualquier incidencia que se produzca en relación con su cuenta de usuario. Dicha comunicación deberá realizarse a la mayor brevedad posible, desde el momento en el que se produce la incidencia o se tenga certeza de que pudiera producirse o se tiene conocimiento de la misma, vía correo electrónico a MINISTERIO DEL INTERIOR Y TRANSPORTE.
8. INCUMPLIMIENTO DE LAS OBLIGACIONES
El incumplimiento de las obligaciones anteriormente descritas dará lugar a la instrucción de sumario administrativo y/o la imposición de las correspondientes sanciones disciplinarias por parte del MINISTERIO DEL INTERIOR Y TRANSPORTE o aquella repartición donde el trabajador haya cometido la infracción.
Las sanciones serán las previstas, según corresponda, en la Ley 25.188 de Etica en el ejercicio de la Función Pública, la Ley 25.164 de Regulación del Empleo Público Nacional, el Convenio Colectivo de Trabajo General o la normativa laboral que le sea aplicable al afectado conforme a lo dispuesto en el Contrato de Trabajo o su situación de revista.
Aceptando y de conformidad con todo lo expuesto, se firman dos ejemplares del mismo tenor en _____________, a los ___ días del mes de ____________de 201__.
SEGURIDAD DE LA INFORMACION
Resolución 104/2012
Créase el Comité de Seguridad de la Información del Ministerio del Interior y Transporte. Apruébase la “Política de Seguridad de la Información”. Desígnase Coordinador.
Bs. As., 30/7/2012
VISTO el Expediente Nº S02:0012182/2010 del Registro del MINISTERIO DEL INTERIOR Y TRANSPORTE, la Decisión Administrativa 669 de fecha 20 de diciembre de 2004, la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS DE LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 6 de 10 de agosto de 2005, y
CONSIDERANDO:
Que el artículo 1º de la Decisión Administrativa Nº 669/2004 establece que los organismos del Sector Público Nacional comprendidos en los incisos a) y c) del artículo 8º de la Ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional Nº 24.156 y sus modificaciones, deberán dictar, o bien adecuar sus políticas de seguridad de la información.
Que la Decisión Administrativa mencionada en el considerando precedente, prevé la conformación de un Comité de Seguridad de la Información, determinando las funciones que el mismo deberá ejecutar.
Que la Disposición Nº 6 de fecha 3 de agosto de 2005 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION organismo dependiente de la ex SUBSECRETARIA DE GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, aprueba la “Política de Seguridad de la Información Modelo”.
Que a los fines de optimizar las herramientas de protección de los activos y recursos de información de este Ministerio, la tecnología utilizada para su procesamiento, y dar acabado cumplimiento con la norma referida ut supra, deviene necesario dictar una política de seguridad de la información conteste con la Política de Seguridad de la Información Modelo.
Que conforme la Decisión Administrativa Nº 669/04 el MINISTERIO DEL INTERIOR Y TRANSPORTE deberá conformar un Comité de Seguridad de la Información integrado por representantes de las Direcciones Nacionales o Generales o equivalentes del organismo.
Que el Comité de Seguridad de la Información citado en el considerando precedente, será coordinado por el SUBESECRETARIO DE COORDINACION DEL MINISTERIO DEL INTERIOR Y TRANSPORTE.
Que la asignación de funciones relativas a la seguridad informática y la integración del Comité de Seguridad de la Información, respectivamente, no deberá implicar erogaciones presupuestarias adicionales.
Que la Dirección General de Asuntos Jurídicos del MINISTERIO DEL INTERIOR Y TRANSPORTE ha tomado intervención.
Que la presente medida se dicta en uso de las atribuciones conferidas por la Ley de Ministerios (t.o. Decreto Nº 438/92), las modificaciones introducidas por la Ley Nº 26.338 y los Arts. 1 y 2 de la Decisión Administrativa 669/2004.
Por ello,
EL MINISTRO DEL INTERIOR Y TRANSPORTE
RESUELVE:
Artículo 1º — Créase el Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE, quedando conformada a partir del dictado de la presente por representantes de la Dirección General del Servicio Administrativo Financiero, la Dirección General de Recursos Humanos, la Dirección General de Asuntos Jurídicos y la Dirección General de Gestión Informática del organismo.
Art. 2º — Apruébase la “POLITICA DE SEGURIDAD DE LA INFORMACION del MINISTERIO DEL INTERIOR Y TRANSPORTE”, que como Anexo I integra la presente medida.
Art. 3º — Desígnase Coordinador del Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE al SUBSECRETARIO DE COORDINACION DEL MINISTERIO DEL INTERIOR Y TRANSPORTE.
Art. 4º — Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese. — Aníbal F. Randazzo.
ANEXO I
POLITICA DE SEGURIDAD DE LA INFORMACION
MINISTERIO DEL INTERIOR Y TRANSPORTE
INDICE
1. INTRODUCCION
1.1. Objetivos de la Política de Seguridad de la Información
2. DEFINICIONES
2.1. Seguridad de la Información
2.2. Información
2.3. Dato
2.4. Clasificación de la Información
2.4.1. Datos Sensibles
2.4.2. Datos Críticos
2.5. Sistema de Información
2.6. Tecnología de la Información
2.7. Recursos Informáticos
2.8. Recursos Informáticos Personales
2.9. Evaluación de Riesgos
2.10. Administración de Riesgos
2.11. Incidente de Seguridad
2.12. Usuario
3. AMBITO DE APLICACION
3.1. Alcance de la Política de Seguridad del MIyT
3.2. Ambito Funcional
3.3. Ambito Personal
4. ORGANIZACION DE LA SEGURIDAD
4.1. Comité de Seguridad de la Información
4.2. Responsables Primarios de la Información
4.3. Coordinación del Comité de Seguridad de la Información
4.3.1. Organización de la Seguridad
4.3.2. Organigrama DGGI
4.3.3. Segregación de Funciones DGGI
4.3.4. Glosario de Funciones
4.4. Designación del Responsable de Area de Sistemas Informáticos
4.5. Designación del Responsable de Area de Tecnología y Seguridad
4.6. Responsable del Area de Recursos Humanos
4.7. Responsable del Area de Capacitación
4.8. Responsable del Area de Seguridad Física
4.9. Responsable de la Unidad de Auditoría Interna
4.10. Asignación de Funciones y Responsabilidades de los Responsables
4.10.1. Responsabilidades del Coordinador del Comité de Seguridad de la Información
4.10.2. Responsabilidades del Comité de Seguridad de la Información
4.10.3. Responsabilidades de Responsables Primarios de Información
4.10.4. Responsabilidades del Area de Sistemas Informáticos
4.10.5. Responsabilidades del Area de Tecnología y Seguridad
4.10.6. Responsabilidades del Area de Backup
4.11. Separación de Funciones
4.11.1. Separación entre Instalaciones de Desarrollo, Prueba y Producción
4.11.2. Esquema teórico de segregación de los entornos de Prueba, Producción y Desarrollo
4.11.2.1. Ambiente de Desarrollo
4.11.2.2. Ambiente de Pruebas
4.11.2.3. Ambiente de Producción
5. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O USUARIOS
5.1. Carácter de usuario
5.2. Confidencialidad
5.3. Identificación y Claves de Acceso
5.4. Utilización de Equipos Informáticos
5.5. Utilización de Internet y Correo Electrónico
5.6. Utilización de Programas, Software y Aplicaciones Informáticas
5.7. Política de Escritorios y Pantallas Limpias
5.8. Incidencias
6. SEGURIDAD DEL PERSONAL Y/O USUARIOS
6.1. Objetivo
6.2. Alcance
6.3. Responsabilidades
6.4. Administradores de Identificación y Acceso
6.4.1. Carácter de Administrador
6.4.2. Notificación de Responsabilidad y Buen Uso de los Recursos de Información de Administradores
6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información de Usuarios
6.5. Capacitación del Usuario
6.5.1. Objetivo
6.5.2. Formación y Capacitación en Seguridad de la Información
7. GESTION DE INCIDENCIAS
7.1. Objetivo
7.2. Comunicación de incidentes relativos a la seguridad
7.3. Registro de Incidencias
7.4. Procedimiento de gestión de incidencias
7.5. Comunicación de vulnerabilidades de seguridad
7.6. Comunicación de Anomalías del Software
7.7. Aprendiendo de los incidentes
7.8. Sanciones
8. CLASIFICACION DE ACTIVOS
8.1. Objetivo
8.2. Alcance
8.3. Responsabilidades
8.4. Inventario de activos
8.5. Clasificación de la información
8.5.1. Confidencialidad
8.5.2. Integridad
8.5.3. Disponibilidad
8.5.4. Criticidad de la Información
8.5. Rotulado de la Información
9. SEGURIDAD FISICA Y AMBIENTAL
9.1. Objetivos
9.2. Alcance
9.3. Areas Seguras y de Acceso Restringido
9.3.1. Perímetro de seguridad física
9.3.2. Areas Restringidas
9.3.3. Controles de acceso físico
9.4. Seguridad del equipamiento informático
9.4.1. Objetivo
9.4.2. Ubicación y protección del equipamiento
9.4.3. Suministro de energía
9.4.4. Seguridad del cableado
9.4.5. Mantenimiento de equipos
9.4.6. Seguridad del equipamiento fuera del ámbito de la organización
9.4.7. Baja segura o reutilización de equipamiento
9.4.8. Retiro de Activos del MINISTERIO DEL INTERIOR Y TRANSPORTE
9.4.9. Seguridad de los medios de tránsito
10. GESTION DE COMUNICACIONES Y OPERACIONES
10.1. Objetivo
10.2. Responsabilidades
10.3. Procedimientos Operativos de Documentación
10.4. Gestión de procesamiento externo
10.5. Planificación y Aprobación de sistemas
10.5.1. Objetivo
10.5.2. Planificación de la capacidad
10.5.3. Aprobación del sistema
11. MANTENIMIENTO Y RESGUARDO DE LA INFORMACION
11.1. Objetivo
11.2. Alcance del Resguardo de la Información
11.3. Controles del Resguardo y Recupero de la Información
11.4. Administración y Seguridad de los Medios de Almacenamiento
11.4.1. Objetivo
11.4.2. Administración de medios informáticos removibles
11.4.3. Eliminación de Medios de Información
11.5. Resguardo de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE
11.5.1. Objetivo
11.5.2. Procedimientos de Resguardo y Conservación de Datos
11.6. Intercambio de información y software
11.6.1. Objetivo
11.6.2. Acuerdos de Intercambio de Información y Software
11.6.3. Seguridad de la Interoperabilidad y el Gobierno Electrónico
11.6.4. Sistemas de Acceso Público y semipúblico
11.6.5. Seguridad frente al acceso por parte de terceros
12. CONTROL DE ACCESO LOGICO
12.1. Objetivos
12.2. Responsabilidades
12.3. Política de Control de Accesos
12.4. Reglas de control de accesos
12.5. Administración de Accesos de Usuarios
12.5.1. Objetivo
12.5.2. Registración de Usuarios
12.6. Administración de Privilegios
12.7. Administración de Contraseñas de Usuario
12.8. Uso de Cuentas con perfil de Administrador
12.9. Uso de contraseñas
12.10. Control de acceso a la red
12.10.1. Objetivo
12.10.2. Política de utilización de los servicios de red
12.10.3. Camino Forzado
12.10.4. Autenticación de Nodos
12.10.5. Protección de los puertos de diagnóstico remoto
12.10.6. Computación Móvil y Trabajo remoto
12.10.7. Subdivisión de Redes
12.10.8. Control de Ruteo de Red
12.10.9. Seguridad de los Servicios de Red
12.11. Control de acceso al sistema operativo
12.11.1. Objetivo
12.11.2. Identificación de Puestos de Trabajo y Servidores
12.11.3. Procedimientos de Conexión
12.11.4. Identificación y autenticación de los usuarios
12.11.5. Uso de Utilitarios de Sistemas Operativos
12.11.6. Desconexión por Tiempo Muerto en Puestos de Trabajo
12.11.7. Limitación del Horario de Conexión
12.12. Control de Acceso a las Aplicaciones
12.12.1. Objetivo
12.12.2. Restricción del Acceso a la Información
12.12.3. Aislamiento de Sistemas
12.13. Monitoreo del Acceso y Uso de los Sistemas
12.13.1. Objetivo
12.13.2. Monitoreo del Uso de los Sistemas
13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
13.1. Objetivo
13.2. Alcance
13.3. Responsabilidades
13.4. Requerimientos de controles de seguridad
13.5. Seguridad en los sistemas de Aplicación
13.5.1. Validación de datos de entrada
13.5.2. Controles de procesamiento interno
13.5.3. Autenticación de mensajes
13.5.4. Validación de datos de salida
13.6. Seguridad en el Ambiente de Producción
13.6.1. Objetivo
13.6.2. Control del software de producción
13.6.3. Protección de los datos de prueba del sistema
13.6.4. Control de acceso a las bibliotecas de programa fuente
13.7. Seguridad en los Entornos Desarrollo Prueba y Producción
13.7.1. Objetivo
13.7.2. Procedimientos de control de cambios
13.7.3. Revisión técnica de cambios en los sistemas operativos
13.7.4. Restricción de cambios en los paquetes de software
13.7.5. Desarrollo externo de software
13.8. Controles Criptográficos
13.8.1. Objetivo
13.8.2. Tipos de técnicas criptográficas
13.8.3. Política de utilización de controles criptográficos
13.8.4. Criptografía
13.8.5. Firma Digital
14. PLAN DE CONTINGENCIA
14.1. Objetivos
14.2. Alcance
14.3. Responsabilidades
14.4. Administración de la Continuidad de Actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE
14.5. Continuidad de Actividades y Análisis de Impacto
14.6. Implementación de Planes de Continuidad
14.7. Marco para los Planes de Continuidad
14.8. Ensayo, Mantenimiento y Revisión de los Planes de Continuidad
15. GARANTIA DE CUMPLIMIENTO
15.1. Objetivos
15.2. Alcance
15.3. Responsabilidad
15.4. Cumplimiento de requisitos legales
15.4.1. Objetivo
15.4.2. Identificación de la Legislación Aplicable
15.4.3. Derecho de propiedad intelectual
15.4.4. Derecho de Propiedad Intelectual del Software
15.4.5. Protección de Datos del Organismo
15.4.6. Protección de Datos y Privacidad de datos de carácter personal
15.4.7. Regulación de controles para el Uso de Criptografía y Firma Digital
15.4.8. Revisiones de la Política de Seguridad
15.5. Consideraciones de Auditoría de Sistemas
15.6. Sanciones Previstas por Incumplimiento
ANEXO I - Compromiso de Confidencialidad, Gestión de Bases de Datos y Tratamiento de Sistemas Informáticos.
1. INTRODUCCION
1.1. Objetivos de la Política de Seguridad de la Información
El presente documento, Política de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE (en adelante La Política) tiene por objeto proteger los sistemas de información del MINISTERIO DEL INTERIOR Y TRANSPORTE (en adelante MIyT), sus bases de datos, la información allí alojada y la tecnología utilizada para su procesamiento.
La seguridad de la información requiere la implementación de un complejo conjunto de controles, que abarque políticas, prácticas, procedimientos, estructuras organizacionales y funciones de software, entre otros, de modo que los medios técnicos queden respaldados dentro de una gestión planificada en materia de seguridad, que atienda a las vulnerabilidades y fallas internas como asimismo a las posibles amenazas externas, sean deliberadas o accidentales, tales como intrusiones, ataques físicos y lógicos e incidencias.
La Política recoge las medidas de seguridad establecidas con el fin de asegurar la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de los sistemas de información y de los datos, cuando sean tratados por agentes, funcionarios, trabajadores en el ejercicio de sus funciones, y aquellos prestadores de servicios y/o reparticiones públicas que el MIyT requiera para acometer sus objetivos.
Para la determinación las citadas medidas de seguridad, han sido tenidas en cuenta las pautas fijadas en los Decretos Nº 103 del 25 de enero de 2001, Nº 378 de 27 del abril de 2005, Nº 258 de 24 de junio de 2003, Nº 512 del 7 de mayo de 2009, la Ley Nº 25.326 de Protección de Datos Personales y su decreto reglamentario Nº 1558/2001, la Ley Nº 11.723 de Propiedad Intelectual, la Ley Nº 25.188 de Etica en el ejercicio de la Función Pública, la Ley 25.164 de Regulación del Empleo Público Nacional, el Convenio Colectivo de Trabajo General, la norma ISO 17.799, el Manual Cobit 4.1, la Decisión Administrativa Nº 669/2004 y la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS DE LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 6 de 10 de agosto de 2005.
2. DEFINICIONES
A los efectos de este documento se aplican las siguientes definiciones:
2.1. Seguridad de la Información
La seguridad de la información se entiende como la preservación de las siguientes características:
• Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
• Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
• Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
• Autenticidad: busca asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.
• Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior.
• Protección a la duplicación: consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario.
• No repudio: consiste en implementar mecanismos que evite que una entidad niegue haber enviado información efectivamente emitida.
• Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeto el MIyT.
• Confiabilidad de la Información: la información generada será adecuada para sustentar tomas de decisiones y la implementación de funciones y objetivos organizacionales.
• Privilegio: Para los sistemas multiusuario o de red, indica una característica o servicio que permite a un usuario pasar por alto determinados controles de seguridad de los sistemas y recursos de información.
2.2. Información
Es todo conocimiento que puede representarse y transmitirse en formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, medios audiovisuales, telefonía u otros.
Se considera que la información es el activo más importante de toda organización.
2.3. Dato
Unidad de la información.
2.4. Clasificación de la Información
2.4.1. Datos Sensibles
Datos sensibles personales: refieren a origen racial o étnico, ideología, creencias religiosas o filosóficas, afiliación sindical, salud o vida sexual, y se les aplican normas más estrictas para su tratamiento.
Datos sensibles organizacionales: refieren a temas propios de una organización, cuya difusión pública aumentaría el riesgo de amenazas a la información.
2.4.2. Datos Críticos
Información cuya indisponibilidad puede afectar el normal funcionamiento de una organización.
2.5. Sistema de Información
Conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.
2.6. Tecnología de la Información
Hardware y software operados por el MIyT o por un tercero que procese información en su nombre, para llevar a cabo una función propia del Organismo.
Comprende la tecnología que permite generar información basada en procesos computacionales, de telecomunicaciones, de impresión en papel por algún medio específico o cualquier otro tipo.
2.7. Recursos Informáticos
Para cumplimentar los objetivos impuestos, el MIyT pone a disposición de los usuarios una serie de recursos informáticos de su propiedad.
Son recursos informáticos todos aquellos componentes de hardware, software y tecnología relacionadas, cuyo objetivo es el de generar, archivar, procesar o transmitir información. Ejemplos:
Archivos en una red de datos, impresoras, acceso a Internet, aplicativos, bases de datos, computadoras, servidores de red, servidores de impresión, etc.
Cuando varios miembros de un área de la organización necesitan hacer trabajos en común, los administradores implementan accesos compartidos en servidores de red, para las personas indicadas.
De esa manera, la información estará disponible a través de la red de datos de la Organización. Típicamente, se comparten archivos, impresoras, accesos a bases de datos, accesos a Internet o Intranet, accesos a datos a través de aplicativos, etc.
2.8. Recursos Informáticos Personales
Se trata de elementos informáticos, de propiedad de los usuarios, que se hallan a disposición del MIyT. Se trata de computadoras personales, computadoras portátiles, impresoras, hardware especial, dispositivos móviles, software y/o aplicaciones, dispositivos de almacenamiento, etc. La utilización indebida de estos recursos en el ámbito de la Organización puede poner en riesgo a la información.
2.9. Evaluación de Riesgos
Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad que ocurran y su potencial impacto en la operatoria del Organismo.
2.10. Administración de Riesgos
Es el proceso de identificación, control, minimización o eliminación de los riesgos de seguridad que afectan a la información, dentro de un costo aceptable. Este proceso es cíclico y debe llevarse a cabo en forma periódica.
2.11. Incidente de Seguridad
Se denomina incidente de seguridad a todo evento que pueda comprometer a la seguridad de los datos, afectando la confidencialidad, la integridad, la disponibilidad, la legalidad y la confiabilidad de la información.
2.12. Usuario
Se denomina usuario a una persona física u Organismo, que utiliza los recursos informáticos que el MIyT pone a su disposición. Un usuario que requiera el acceso a un recurso informático deberá poseer una cuenta que los acredite frente al mismo, llamada cuenta de acceso. Los usuarios de la información y de los sistemas informáticos del MIyT pueden ser:
• personal jerárquico perteneciente al MIyT,
• agentes del MIyT, bajo sus diversas formas de contratación,
• personal que guarde alguna relación con el MIyT,
• terceras partes, no pertenecientes al Organismo, y que acceden a datos o sistemas del MIyT,
• organismos que acceden a datos o sistemas del MIyT, en virtud de acuerdos o contratos.
3. AMBITO DE APLICACION
3.1. Alcance de la Política de Seguridad del MINISTERIO DEL INTERIOR Y TRANSPORTE
La presente Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente tecnológico del MINISTERIO DEL INTERIOR Y TRANSPORTE.
La Política de Seguridad de la Información debe ser conocida y cumplida por todo el personal del MINISTERIO DEL INTERIOR Y TRANSPORTE, sean funcionarios políticos o técnicos, y dentro de cualquier nivel jerárquico o situación vinculante. A tal fin, debe ser comunicada a todos los usuarios del MIyT, de manera pertinente, accesible y comprensible.
La presente Política también alcanza a todos aquellas personas físicas o jurídicas que, aún sin pertenecer al MINISTERIO DEL INTERIOR Y TRANSPORTE, hacen uso, en calidad de usuario, de los sistemas informáticos y/o de la información disponible.
A fin de asegurar la implementación de las medidas de seguridad comprendidas en esta Política, el MINISTERIO DEL INTERIOR Y TRANSPORTE identificará los recursos necesarios e indicará formalmente las partidas presupuestarias correspondientes. Lo expresado anteriormente no implicará necesariamente la asignación de partidas presupuestarias adicionales.
Por medio de la presente, se establece formalmente un ámbito de gestión, el Comité de Seguridad de la Información, para efectuar tareas tales como la aprobación de la Política, coordinar su implementación, asignar funciones y responsabilidades, administrar la seguridad de la información dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE y garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del Organismo.
3.2. Ambito Funcional
La Política alcanza a todo el ámbito del MINISTERIO DEL INTERIOR Y TRANSPORTE, a sus recursos y a la totalidad de los procesos (sean manuales o digitales), y es de aplicación única y exclusiva al MINISTERIO DEL INTERIOR Y TRANSPORTE, a los organismos que de él dependen, a las oficinas que el organismo posee en territorio o jurisdicción argentina y a aquellas reparticiones públicas o agentes en quienes el MIyT delegue la realización de cualquier función dentro del marco de sus competencias específicas y delegadas, en todo lo inherente al gobierno político interno, a la seguridad interior y al ejercicio pleno de los principios y garantías constitucionales, asegurando y preservando el régimen republicano, representativo y federal.
El MINISTERIO DEL INTERIOR Y TRANSPORTE ostenta la condición de último responsable de los sistemas de información y bases de datos que gestionen todos los organismos, direcciones nacionales y reparticiones públicas que operan bajo su mandato, como así también es titular de los sistemas y bases de datos propias y exclusivas para el ejercicio de funciones centralizadas.
Sin perjuicio de ello, cada Dirección Nacional confeccionará e implementará su propia Política de Seguridad Informática, la que no podrá ser contraria a las directrices establecidas en la presente Política.
3.2. Ambito Personal
Se encuentran obligadas al cumplimiento de las prescripciones legales aquí establecidas, las siguientes:
• Quienes presten servicios para el MINISTERIO DEL INTERIOR Y TRANSPORTE, ya sea de forma directa o indirecta, y se trate de persona física o jurídica, pública o privada, u organismo; cualquiera que sea la naturaleza de la relación jurídica que le una con la misma.
• Toda entidad o persona física o jurídica, pública o privada que, por la labor que desempeñe, tenga o pueda tener acceso directo y/o remoto a las instalaciones o departamentos donde están ubicados los sistemas de información a través de los cuales se tratan datos de carácter personal del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• Toda la planta de personal del organismo, tanto se trate de funcionarios políticos como técnicos, y sea cual fuere su nivel jerárquico y su situación de revista.
El MINISTERIO DEL INTERIOR Y TRANSPORTE se hace responsable de la labor de formar e informar a quienes, por su condición de usuarios, se encuentren bajo el ámbito de aplicación del presente.
Asimismo, el Coordinador del Comité de Seguridad de la Información, el Responsable de Seguridad Informática, los Responsables de Area, los Administradores y Usuarios, serán instruidos para cumplir con las funciones que les sean encomendadas en este documento e informados de las responsabilidades que su cargo les atribuye.
4. ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION
4.1. Comité de Seguridad de la Información
Se crea el Comité de Seguridad de la Información, dentro del ámbito del MINISTERIO DEL INTERIOR Y TRANSPORTE, siendo sus funciones las estipuladas en la Decisión Administrativa de Jefatura de Gabinete Nº 669/04-Art 4.
El Comité de Seguridad de la Información, es un cuerpo integrado por representantes de todas las áreas sustantivas del MINISTERIO DEL INTERIOR Y TRANSPORTE, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad.
El Comité de Seguridad de la Información revisará la presente Política cada 9 (nueve) meses, a efectos de mantenerla actualizada, asegurar su vigencia y nivel de eficacia.
El Comité de Seguridad de la Información del Organismo:
• propone a la máxima autoridad del MINISTERIO DEL INTERIOR Y TRANSPORTE la Política de Seguridad de la Información y las funciones generales en materia de seguridad de la información,
• monitorea cambios significativos en los riesgos y amenazas que afectan a los recursos de información frente a la Política de Seguridad de la Información,
• supervisa la investigación y monitoreo de incidentes relativos a la seguridad,
• aprueba las iniciativas que incrementen la seguridad de la información, de acuerdo con las competencias y responsabilidades asignadas a cada área,
• acuerda y aprueba metodologías y procesos específicos relativos a la seguridad de la información,
• garantiza que la seguridad sea parte de un proceso de planificación de la información,
• evalúa y coordina la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios,
• promueve la difusión y apoyo a la seguridad de la información dentro del Organismo frente a interrupciones imprevistas.
Se prevé incorporar dentro del Comité de la Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE, a Directores Nacionales o Generales, Secretarios, Subsecretarios, Directores o equivalentes, responsables de Unidades Organizativas de otras áreas del MINISTERIO DEL INTERIOR Y TRANSPORTE y de sus Direcciones Nacionales, o quienes ellos designen.
4.2. Responsables Primarios de la Información
• Autoridad Máxima: Aprueba esta Política, así como sus modificaciones,
• Secretarios, Subsecretarios, Directores Nacionales o Generales, Directores o equivalentes, responsables de Unidades Organizativas, tanto se trate de autoridades políticas o personal técnico y sea cual fuere su nivel jerárquico: Son responsables de la implementación y del cumplimiento de la Política de Seguridad de la Información dentro de sus áreas de responsabilidad.
Son responsables de:
• clasificar la información según un nivel de sensibilidad y criticidad,
• documentar y mantener actualizada la clasificación indicada en el punto anterior,
• definir los usuarios que tendrán permisos de acceso a la información, de acuerdo con sus funciones y competencia.
Se determina que, cada Secretario, Subsecretario, Director Nacionales o General, responsables de Unidades Organizativas o equivalentes, con uso y manejo de la información pertinente a su área, serán los responsables primarios de la información allí alojada. El responsable primario puede delegar la administración de sus funciones a personal idóneo a su cargo, conservando la responsabilidad del cumplimiento de las mismas.
La delegación de la administración por parte de los responsables primarios será documentada y proporcionada al Responsable de Seguridad de Tecnología y Seguridad, mediante un listado formal de Delegación de Autorizaciones que se confeccionara y obrará como Anexo Reglamentario del presente.
4.3. Coordinación del Comité de Seguridad de la Información
En virtud de la DA 669/04-Art 3ro, se asignan las funciones relativas a la coordinación del Comité de Seguridad al Sr. Director General de la Dirección General de Tecnología del MINISTERIO DEL INTERIOR Y TRANSPORTE (DGGI), en adelante el Coordinador del Comité de Seguridad de la Información, quien impulsará la implementación y cumplimiento de la presente Política.
4.3.1. Organización de la Seguridad
De acuerdo con lo ordenado mediante el Decreto 258/2003, la Decisión Administrativa Nº 18/2002 y Nº 669/2004, los Decretos 378/05 y 512/09 y la Disposición 6/2005 de la Oficina Nacional de Tecnologías de Información (ONTI) dependiente la Subsecretaría de Gestión Pública de la Jefatura de Ministros, y el CobiT 4.1; el MINISTERIO DEL INTERIOR Y TRANSPORTE, a efectos de adecuar su organización funcional conforme a la normativa imperante en materia de seguridad de la información y documentar la segregación de funciones e incompatibilidades dentro de la arquitectura organizacional de su competencia, organiza el mapa de funciones y responsabilidades en materia de seguridad de la información.
4.3.2. Organigrama - DGGI
El organigrama de la DGGI brinda un esquema de control de gobierno de las tecnologías de la información (TI) formalmente aprobado, consistente con las mejores prácticas y estándares de TI aceptados para la administración pública nacional e independiente de tecnologías específicas, situado dentro del contexto de las metas definidas en su gestión por el Ministro del Interior y Transporte, respetando el esquema de asignación de funciones aprobado por Decreto 258/2003 y mediante la Decisión Administrativa Nº 18/2002.
Mediante el uso de las tecnologías, la DGGI optimiza sus potencialidades en los proyectos desarrollados por el organismo, como así también en la estructura ministerial, logrando que toda la estrategia TI se oriente hacia los objetivos, metas y misión del organismo, siendo uno de los principales esfuerzos de la DGGI que las estructuras organizacionales migren hacia un modelo que facilite la implementación de estrategias y metas, se minimicen riesgos complejos como la seguridad de redes y la privacidad; y se haga posible, entre otros aspectos, medir el desempeño de los recursos de TI, los procesos de TI implementados en los últimos dos años y el avance en la concientización dentro del personal de las políticas de seguridad de la información.
El gobierno de la seguridad de la información y TI incumbe a una variedad de partícipes (tanto internos, representados en la DGGI, como asimismo ajenos al MINISTERIO DEL INTERIOR Y TRANSPORTE pero que prestan servicios para él) que atienden a necesidades especificas, distinguiéndose entre quienes ejecutan la toma de decisiones en cuanto a las inversiones en TI más convenientes; quienes deciden sobre los requerimientos técnicos de la tecnología que se utiliza; los usuarios de la misma; quienes participan interna y externamente dando apoyo profesional, administrando la organización y procesos de TI; desarrollando TI u operando servicios; quienes asumen responsabilidades de control/riesgo; quienes realizan funciones de cumplimiento y reaseguro.
4.3.3. DGGI - MIyT Segregación de Funciones
El organigrama de la DGGI se define en función a las distintas tareas que ejecuta cada una de las áreas bajo su dependencia, prestando especial atención a las incompatibilidades existentes entre las funciones de un sector específico, con respecto a las actividades desempeñadas por otros. Para el supuesto que, debido a la estructura de recursos humanos que componen la DGGI, no pueda segregarse alguna de las funciones antes citadas, y se acumulen en un agente varias actividades, se compensará mediante la implementación de controles por oposición de intereses. El resguardo documental de las medidas adoptadas a tales efectos, se conservarán por un plazo no inferior a dos (2) años para su posterior revisión por la Unidad de Auditoría Interna del MINISTERIO DEL INTERIOR Y TRANSPORTE.
El mapa de segregación de funciones e incompatibilidades, siguiendo el organigrama Ministerial, se divide en tres áreas a efectos de la organización de gobierno de TI, a saber: Comité Directivo; Area de Sistemas y Area de Tecnología y Seguridad, que queda representado con la división de colores en el organigrama.
En el cuadro, donde se indica la intersección de dos funciones mediante la sigla “NO”, se refiere a que la DGGI deberá tomar medidas en la segregación de tareas, a efectos de evitar su concentración. Cuando la intersección de dos funciones se referencia con la sigla “X”, implica que preferentemente estas tareas no deberían recaer en un mismo sector, y en el caso que las mismas estuviesen concentradas, deberán evidenciarse claras medidas de control compensatorio.
4.3.4. Glosario de Funciones
• PROGRAMACION: diseño y desarrollo de aplicaciones de software.
• CONTROL DE CALIDAD: prueba y homologación de software para la puesta en producción.
• ADMINISTRADOR DE BACKUP Y OTROS: custodia, guarda y mantenimiento de datos y software almacenados en distintos medios y soportes.
• ADMINISTRADOR DE BASES DE DATOS: define y da mantenimiento a la estructura de los datos de las aplicaciones que utilizan los software.
• ADMINISTRADOR DE REDES: administra y controla la red local.
• ADMINISTRADOR DE TELECOMUNICACIONES: administra y controla la red WAN.
• ADMINISTRADOR DE SISTEMAS OPERATIVOS: mantenimiento y puesta en producción de software de sistemas aplicativos.
• MESA DE AYUDA / SOPORTE: respuesta y asesoramiento a usuarios.
• USUARIO: quien usa los sistemas aplicativos.
• ADMINISTRADOR DE PERFILES: quien define la relación entre los perfiles de usuarios conforme las funciones que estos pueden realizar.
• ARQUITECTO DE POLITICAS Y PERFILES DE ACCESO: diseño de normas internas en seguridad de la información, perfiles de usuario y perfiles de acceso a la información.
• MONITOREO DE SEGURIDAD DE LA INFORMACION: seguimiento del cumplimiento de normas y del tratamiento de los activos.
4.4. Designación del Responsable del Area de Sistemas Informáticos
Las funciones relativas a la Seguridad Informática de los sistemas informáticos del MIyT se encuentran a cargo del Director de Sistemas de la DGGI - MIyT.
4.5. Designación del Responsable del Area de Tecnología y Seguridad
Las funciones relativas a seguridad informática de las tecnologías relativas al MIyT se encuentran a cargo del Director de Tecnología y Seguridad de la DGGI - MIyT.
4.6. Responsable del Area de Recursos Humanos
Cumple la función de:
• notificar a todo el personal las obligaciones respecto del cumplimiento de la Política de Seguridad de la Información, y de todas las normas, procedimientos y prácticas que de ella surjan,
• comunicar la presente Política a todo el personal, así como de los cambios que en ella se produzcan,
• implementar la suscripción a los compromisos de confidencialidad y notificaciones de responsabilidad que se dicten, para el tratamiento de la información.
4.7. Responsable del Area de Capacitación
Cumple la función de:
• generar y coordinar tareas de capacitación continua en materia de seguridad;
• asistir al personal del MINISTERIO DEL INTERIOR Y TRANSPORTE en materia de seguridad de la información.
4.8. Responsable del Area de Seguridad Física
Cumple la función de:
• cubrir los requerimientos ambientales que permitan que los recursos informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE funcionen en forma segura. Esta tarea deberá ser ejecutada en conjunto con el Responsable de Sistemas y Seguridad Informática,
• definir e implementar tareas de mantenimiento de edificios, oficinas y todas las instalaciones donde estén ubicados los equipos de procesamiento de la información, y donde se almacene o archive información, sea ésta en formato papel u otros. En la definición de las tareas participarán el Responsable de Sistemas y Seguridad Informática, y los Responsables de la Información,
• atender las tareas relativas a la seguridad y controles de acceso físico al ámbito del MINISTERIO DEL INTERIOR Y TRANSPORTE.
4.9. Responsable de Unidad de Auditoría Interna
Las funciones relativas a la auditoría en materia de seguridad informática relativas al MINISTERIO DEL INTERIOR Y TRANSPORTE se desarrollan mediante la Unidad de Auditoría Interna del MIyT. La Unidad de Auditoría Interna podrá realizar revisiones independientes sobre la vigencia y el cumplimiento de la presente Política.
4.10. Asignación de Funciones y Responsabilidades de los Responsables
4.10.1. Responsabilidades del Coordinador del Comité de Seguridad de la Información
El Coordinador del Comité de Seguridad de la Información tendrá a su cargo:
• impulsar la implementación de la presente Política.
• convocar a las asambleas ordinarias y extraordinarias que se celebren con motivo de la implementación de la presente Política y sus procedimientos, incidencias y optimizaciones, las que se celebrarán con una periodicidad mínima mensual.
• monitoreo de seguridad de la información, mediante el seguimiento del cumplimiento de normas y del tratamiento de los activos.
4.10.2. Responsabilidades del Comité de Seguridad de la Información
El Comité de Seguridad de la Información tendrá a su cargo:
• gestionar la aprobación de la presente Política, ante la máxima autoridad del organismo,
• efectuar periódicas revisiones de la presente Política y gestionar la aprobación de las modificaciones que se efectúen,
• seguimiento de las actividades relativas a la seguridad de la información, dentro de cada área: análisis de riesgos, monitoreo de incidentes, supervisión de la investigación, implementación de controles, administración de la continuidad, etc.,
• impulsar procesos de concientización de los usuarios del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• proponer la asignación de funciones,
4.10.3. Responsabilidades de los Responsables Primarios de Información
Los Responsables Primarios de Información tendrán a su cargo:
• Proceso de Autorización de Acceso a Recursos Informáticos.
El acceso a los recursos informáticos, nuevos o existentes, será autorizado por los responsables de las Unidades Organizativas involucradas, considerando su propósito y uso, en conjunto con el Responsable de Seguridad y Tecnología. Con ello, se garantiza el cumplimiento de las Políticas y requerimientos de seguridad pertinentes. Debe garantizarse una adecuada compatibilidad entre todos los componentes informáticos del Organismo (hardware, software, aplicativos, dispositivos de comunicaciones, dispositivos de almacenamiento, etc.).
• Utilización de Recursos Informáticos Personales.
Dado que recursos personales de los usuarios pueden representar una amenaza para la información del MINISTERIO DEL INTERIOR Y TRANSPORTE, su utilización deberá ser autorizada por el Responsable Primario del sector correspondiente, y evaluada en cada caso por el Responsable de Seguridad y Tecnología. Se aprobará el uso de un recurso personal en el caso que éste no aporte riesgos a la información del Organismo.
4.10.4. Responsabilidades del Area de Sistemas Informáticos
El Responsable del Area de Sistemas Informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE, tiene a su cargo las siguientes funciones:
• cubrir los requerimientos de seguridad de la información establecidos para la operación, administración y comunicación de las bases de datos, de los sistemas y los recursos de tecnología del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• verificar la aplicación de las medidas de seguridad necesarias para la proteger la información del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• controlar las tareas de desarrollo y mantenimiento, siguiendo una metodología apropiada para el ciclo de vida de los sistemas, contemplando la inclusión de medidas de seguridad en los sistemas en todas las fases,
• atender las tareas relativas a la seguridad de los sistemas de información del MINISTERIO DEL INTERIOR Y TRANSPORTE, entre otras, que en la fase de pruebas de los sistemas de información, éstas no se efectúen con datos personales reales.
• supervisar todos los aspectos inherentes a su área de competencia tratados en la presente Política.
• diseño, desarrollo, mantenimiento y puesta en producción de sistemas aplicativos de software.
• prueba y homologación de software para la puesta en producción.
• define y da mantenimiento a la estructura de los datos de las aplicaciones que utilizan las distintas aplicaciones de software.
Para llevar correctamente la multiplicidad de actuaciones encomendadas, el Responsable de Area de Sistemas Informáticos podrá delegar en quien/es considere, la ejecución de parte o de la totalidad de cualquiera de las tareas a su cargo, debiendo constar el alcance de su autorización y quienes resulten autorizados en La Política, mediante la constancia formal asentada en un Listado de Delegación de Autorizaciones que obrará como Anexo Reglamentario de la Presente.
Además, el Responsable de Sistemas registrará las actividades realizadas en los aplicativos en Producción. Se incluirán los siguientes controles, según corresponda:
• tiempo de uso de los sistemas,
• errores en los sistemas y medidas correctivas tomadas,
• intentos de acceso a sistemas, recursos e información crítica o confidencial,
• tipos de archivos almacenados en los servidores,
• ejecución de operaciones críticas,
• control de cambios a información crítica.
La Unidad de Auditoría Interna contrastará los registros de actividades del personal y de los procedimientos del ambiente de Producción.
Dentro de la órbita de funciones asignadas, el Responsable de Sistemas o quien él designe, comunicará a quien corresponda sobre la aparición de fallas, así como las medidas correctivas a adoptar. Las fallas de los sistemas informáticos reportadas por los usuarios se registrarán en un sistema de gestión de incidentes.
Asimismo, el Responsable de Sistemas debe implementar controles para garantizar la seguridad de los datos y la protección contra el acceso no autorizado a los servicios conectados. Se debe considerar lo siguiente.
• las funciones de operación, soporte y administración de las redes y servidores estarán separadas de las correspondientes a operaciones y soporte de los puestos de trabajo.
• procedimientos y responsabilidades para la administración del acceso remoto a las redes del MINISTERIO DEL INTERIOR Y TRANSPORTE, así como el acceso remoto a puestos de trabajo dentro de las mencionadas redes,
• controles especiales para proteger datos y sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE que circulan o se conectan hacia redes ajenas,
• actividades de supervisión tanto para optimizar los servicios de redes como para garantizar que los controles se aplican uniformemente en toda la infraestructura de procesamiento de datos.
Dentro del ambiente de Producción, los cambios a la programación deberán tener un registro de auditoría que contenga toda la información relevante. Debe procurarse que los procedimientos de control de cambios sobre las operaciones y aplicaciones se hallen integrados. Se considerarán los siguientes ítems:
• identificación y registro de cambios significativos,
• evaluación del posible impacto de dichos cambios,
• procedimiento de aprobación formal de los cambios propuestos,
• comunicación de detalles de cambios a los Responsables Primarios de las áreas afectadas,
• planificación del proceso de cambio,
• testeo de los cambios en un ambiente de prueba,
• proceso de implementación en el ambiente de Producción,
• determinación de responsabilidades por la cancelación de cambios y los procesos de recuperación.
4.10.5. Responsabilidades del Area de Tecnología y Seguridad
El Responsable del Area de Tecnología y Seguridad del MINISTERIO DEL INTERIOR Y TRANSPORTE, tiene a su cargo las siguientes funciones:
• incluir en los contratos con los distintos proveedores de servicios y tecnología, o de bienes y servicios que afecten directa o indirectamente a los activos de información la obligatoriedad del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas relacionadas.
• definir, coordinar y supervisar los procesos de Autorización de Acceso a Recursos Informáticos, gestión de perfiles de acceso a aplicaciones y sistemas informáticos e Utilización de Recursos Informáticos Personales —ver punto 4.10.3.—.
• asistir en la toma de decisiones que involucren a la seguridad, pudiendo recurrirse al asesoramiento de terceros.
• constituirse en enlace entre el MINISTERIO DEL INTERIOR Y TRANSPORTE y otros organismos a efectos de intercambiar experiencias y obtener asesoramiento para el mejorar prácticas y controles de seguridad, (Ar-CERT, Dirección Nacional de Protección de Datos Personales, etc.).
• analizar los perfiles de acceso y riesgos de accesos internos y de terceras partes a la información del Organismo para optimizar procesos.
• administrar y controlar las redes locales y WAN.
• coordinar la mesa de ayuda/soporte que da respuesta y asesoramiento a usuarios.
• definir normas internas y procedimientos en seguridad de la información.
• coordinar los sistemas de gestión de calidad de los servicios prestados por el MINISTERIO DEL INTERIOR Y TRANSPORTE mediante aplicaciones de software.
• velar por el cumplimiento de la Política de contraseñas vigente, en cuanto al mantenimiento de la confidencialidad de las mismas, y su modificación periódica.
• velar por la aplicación de medidas de control del acceso físico a los locales donde se encuentren ubicados los sistemas de información.
4.10.6. Responsabilidades del Administrador de Backup
El Responsable de las copias de resguardo y backup del MINISTERIO DEL INTERIOR Y TRANSPORTE, tiene a su cargo las siguientes funciones:
• ejecución de los procedimientos de realización de copias de respaldo y recuperación de datos, en cumplimiento de la periodicidad establecida para ello.
• llevanza de un Registro de entrada y salida de soportes informáticos, y la aplicación de un Sistema que permita identificar, inventariar y almacenar en lugar seguro los soportes informáticos que contienen datos de carácter personal. Asimismo, deberá comprobar que se imposibilita la recuperación indebida de la información almacenada en soportes informáticos que vayan a salir fuera de los locales en que se encuentre ubicado el fichero.
• Corroboración de la aplicación referido a las medidas de seguridad indicadas en La Política cuando un soporte vaya a ser desechado o reutilizado.
4.11. Separación de funciones
Una concentración de tareas puede aumentar el riesgo de modificaciones no autorizadas, o mal uso de la información y los servicios, debido a la concentración de tareas. Por ello, se debe implementar una separación de funciones, tareas y áreas de responsabilidad.
En caso que sea difícil tal separación, se tendrán en cuenta controles, como el monitoreo de actividades, pistas de auditoría y la supervisión, por parte de los Responsables. En este caso, el Responsable Primario que corresponda enviará una justificación formal al Comité de Seguridad, el que decidirá las acciones a tomar.
Se implementarán controles tales como:
• monitoreo de actividades.
• registros de auditoría y control periódico de los mismos.
• supervisión por parte de la Unidad de Auditoría Interna. Esta actividad será independiente al área que genera las actividades auditadas.
4.11.1. Separación entre Instalaciones de Desarrollo, Prueba y Producción
Se debe definir correctamente la identificación de roles y actividades involucradas en los ambientes de Desarrollo, Prueba y Producción pues la ausencia de segregación entre las mismas puede ocasionar problemas en el ambiente de Producción, como la modificación no deseada de archivos, sistemas o datos. Atento ello, debe verificarse un nivel de separación adecuado entre los ambientes y funciones de Producción, Prueba y Desarrollo, a fin de prevenir problemas operativos (ver cuadro de compatibilidades y segregación de funciones Punto 4.3.4.).
Según el entorno, debe atenderse, entre otras, a las siguientes vulnerabilidades:
• En entorno de Prueba, una instalación identificada y estable permite llevar a cabo pruebas significativas, impidiendo accesos inadecuados por parte del personal de Desarrollo.
• En ambiente de Producción, una alteración no autorizada de datos posibilitaría la generación de fraude. La introducción de líneas de código no autorizado o probado facilitaría el funcionamiento de programas maliciosos, causando serios problemas operativos y amenazas a la confidencialidad de la información, además de consecuencias sociales y legales.
• Para reducir el riesgo de cambios accidentales o accesos no autorizados, deben definirse las reglas para la transferencia de software desde el ambiente de Desarrollo al de Pruebas, y posteriormente del ambiente de Pruebas al de Producción.
A fin de efectuar una correcta separación de las actividades desarrolladas en cada entorno, se estima conveniente establecer lo siguiente:
• los ambientes de Desarrollo, Prueba y Producción estarán separados de forma física, y el software de cada ambiente se ejecutará en diferentes procesadores, dominios y/o directorios, y las actividades de cada ambiente deben estar claramente establecidas. Si no es posible una segregación física de ambientes, se implementarán controles para la separación lógica de funciones en cada uno de los ambientes.
• los sistemas en Producción no deben acceder a compiladores, editores u otros utilitarios de Desarrollo, a menos que se lo requiera para su funcionamiento.
• los sistemas de Prueba y Producción tendrán distintos esquemas de autenticación y perfiles de usuario.
• un usuario que deba acceder tanto a los ambientes de Prueba y Producción, lo hará con cuentas de usuario distintas.
• cada uno de los ambientes de procesamiento debe tener un Responsable Primario de la información.
• el personal de desarrollo no podrá tener acceso a los ambientes de Prueba o de Producción. De requerirse tal contingencia, el Responsable de Sistemas establecerá un procedimiento para la autorización, documentación y registro de dichos accesos.
• Toda aplicación generada en el sector de Desarrollo, o adquirida a un proveedor, es migrada en algún momento a un ambiente de Producción, para su acceso por parte de los usuarios. Los controles de esta transferencia deben ser rigurosos, para asegurar que no se instalen programas fraudulentos y se causen serios problemas operativos.
• Es conveniente implementar un aplicativo que administre versiones y transfiera programas entre los ambientes, contando con un registro de control.
4.11.2. Esquema teórico de segregación de los entornos de Prueba, Producción y Desarrollo
En el presente acápite se presenta un modelo compuesto por tres ambientes. Este esquema se flexibilizará para adaptarlo a las características, equipos y capacidades instaladas en el MINISTERIO DEL INTERIOR Y TRANSPORTE.
4.11.2.1. Ambiente de Desarrollo
En este ambiente se desarrollan los programas fuentes y se almacena la información relacionada con el análisis y diseño de los sistemas.
El desarrollador tiene total dominio sobre el ambiente. Un sistema registra el control de versiones. Se designa a un Administrador de programas fuentes, quien gestionará el versionado de los aplicativos en Desarrollo.
El desarrollador realiza las pruebas con los datos existentes en las bases de Desarrollo.
Cuando el desarrollador considera que el programa está terminado, se implementa el pase al ambiente de Pruebas. En tal operación se debe incluir toda la documentación necesaria (requerimientos de instalación, librerías, estructura de carpetas y permisos, diccionario de la base de datos, scripts, etc.).
4.11.2.2. Ambiente de Pruebas
En este ambiente se testean los programas fuente desarrollados, en condiciones que simulan un ambiente de Producción. Por ende, el ambiente de Pruebas tendrá las mismas características que el de Producción (sistema operativo, software de base, etc.).
El implementador de este ambiente, o testeador, recibe el programa y la documentación enviada por el desarrollador. Se efectúa una prueba general con un lote de datos establecido a tal efecto —valores extremos, datos de la base de pruebas, etc.—. La actividad será efectuada, de ser posible, junto al usuario final.
Los desarrolladores, o los proveedores de los aplicativos, no deben acceder a datos de Producción utilizados para testing en el ambiente de Prueba, salvo casos de excepción debidamente justificados.
Se aprueba el sistema en el ambiente de Pruebas cuando:
• no se detectan errores de ejecución,
• no se afecta el funcionamiento ni la performance del sistema operativo y demás componentes del ambiente,
• los resultados de las rutinas de seguridad son se corresponden con las especificaciones,
• se considera que la documentación presentada es completa.
En caso de aprobación, se remite el programa fuente al sector de Producción, por medio de un sistema de control de versionado. Asimismo, se entrega toda la documentación necesaria (características de instalación, librerías, estructura de carpetas y permisos, diccionario de la base de datos, scripts, etc.).
En caso de desaprobación, se devuelve el programa al desarrollador, junto con un detalle de las observaciones.
4.11.2.3. Ambiente de Producción
En este ambiente se ejecutan los procesos y datos productivos. Las implementaciones serán realizadas por un administrador de ambientes, o implementador.
Los programas fuente aprobados se almacenan en un repositorio de fuentes de producción, mediante un sistema de control de versiones. El control de versiones indicará los datos del programador, fecha, hora y tamaño de los programas fuente, objeto, librerías, modelo de datos de las bases, parámetros, etc.
El implementador instala el sistema tomándolo desde el ambiente de Pruebas, asegurando una correspondencia unívoca entre ambientes. Los procedimientos de instalación alcanzarán, además, a todos los elementos que formen parte del sistema.
Toda modificación al software de base (Sistema Operativo, motores de bases de datos, productos middleware, etc.) debe seguir pasos idénticos.
Ni personal de Desarrollo, ni el proveedor de los aplicativos deben tener acceso al ambiente de Producción, salvo casos de excepción debidamente justificados.
El Responsable Primario de la Información debe autorizar todos los accesos a Producción.
El Responsable de Sistemas y Seguridad Informática implementará los accesos autorizados. Asimismo, efectuará monitoreo de los trabajos realizados, elevando informes al Responsable Primario y al Comité de Seguridad, cuando corresponda.
5. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O USUARIOS
5.1. Carácter de usuario
Se considera usuario, al sujeto autorizado para acceder a los sistemas informáticos y/o a quien se le ha asignado una cuenta de correo electrónico y/o al autorizado a acceder a bases de datos, sistemas, aplicaciones o cualquier recurso informático de titularidad del MINISTERIO DEL INTERIOR Y TRANSPORTE, como así también a quienes accedan a datos contenidos en soporte manual o no automatizados.
Quien mantenga una relación de carácter laboral bajo cualquier modalidad de contratación con el MINISTERIO DEL INTERIOR Y TRANSPORTE y tenga autorizado el acceso a las bases de datos o los sistemas informáticos, Internet o Intranet y, en general, a cualquier dato alojado en cualquier tipo de soporte, quedará sujeto al control de su actividad por los Responsables de Seguridad Informática designados por el MINISTERIO DEL INTERIOR Y TRANSPORTE y obligado a cumplir las medidas de seguridad aquí descritas.
El MINISTERIO DEL INTERIOR Y TRANSPORTE arbitrará los medios necesarios para garantizar el efectivo conocimiento por los usuarios sobre los derechos y obligaciones que le asisten, y se compromete a informarles sobre cualquier cambio que se haga al mismo en el futuro, cuya aplicación no será retroactiva.
Asimismo, cada usuario firmará un Anexo a su Contrato de Trabajo, por el cual se compromete a guardar el secreto y la confidencialidad de los datos de carácter personal que trata con motivo de sus funciones y a cumplir con lo dispuesto en La Política en materia de seguridad informática. Un ejemplar del COMPROMISO DE CONFIDENCIALIDAD, POLITICA DE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS obrará como Anexo Reglamentario de la Presente.
5.2. Confidencialidad de la información
Mientras dure la relación laboral o de prestación de servicios (cualquiera sea la situación de revista), así como una vez se haya extinguido la misma, los usuarios tienen expresamente prohibido comunicar procedimientos, información alojada en las bases de datos, trabajos encomendados por su empleador incluidos en las bases de datos y, en general, divulgar cualquier dato que hayan conocido por razón de su trabajo en el MINISTERIO DEL INTERIOR Y TRANSPORTE.
Todos los documentos, independientemente del soporte en el que se encuentren, relacionados con las actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE, son propiedad del mismo; estando obligado todo trabajador o autorizado a tratar los datos, a devolverlos cuando así le sea solicitado por el MINISTERIO DEL INTERIOR Y TRANSPORTE o con motivo de la extinción del vínculo laboral.
Todo usuario autorizado al acceso o tratamiento de datos de carácter personal de titularidad del MINISTERIO DEL INTERIOR Y TRANSPORTE, queda obligado legalmente al secreto profesional respecto de los mismos como así también de los procesos a los que estos datos son sometidos, conservados y tratados, incluso una vez extinguida la relación laboral o de colaboración que le une con el MINISTERIO DEL INTERIOR Y TRANSPORTE.
Lo expuesto anteriormente supone que queda absolutamente prohibido:
• La utilización, divulgación o cesión de los datos de los ciudadanos para finalidades diferentes o que excedan de la órbita de las funciones laborales del usuario.
• Revelar, permitir o facilitar el acceso a la información contenida en las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE (automatizadas y en papel), por ningún tipo de medio (telefónico, escrito, telemático, etc.) a terceras personas ajenas a la misma sin autorización del titular de dichos datos, así como a otros trabajadores del órgano que, por sus funciones, no tengan autorizado el acceso a los mismos.
• Recopilar información acerca de personas físicas y jurídicas que formen parte de las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• La anotación por parte de los empleados de observaciones o comentarios acerca de personas en documentos del MINISTERIO DEL INTERIOR Y TRANSPORTE sean oficiales o no, con excepción de cuando así se lo exija al personal o se desprenda de la naturaleza de la función que ocupa.
• Manipular o modificar los datos y/o el soporte que los contienen (papel o automatizado) de un modo no previsto conforme al buen saber y entender del trabajador y a lo que se infiere como consecuencia de las actividades que le son propias.
En caso de plantearse dudas sobre los permisos de acceso a los datos, debe consultarse al Administrador y/o Supervisor.
5.3. Identificación y Claves de Acceso
Las contraseñas personales constituyen uno de los componentes básicos de la seguridad. Al darse de alta un usuario en el sistema operativo, el Administrador le asignará de forma individualizada, un identificador de usuario y una contraseña, conforme a su perfil de usuario.
Los números de identificación y las claves de acceso serán estrictamente confidenciales y personales, y cada identificación debe pertenecer a un solo usuario.
El usuario debe cambiar la contraseña proporcionada en el primer acceso al sistema, por una clave de su exclusivo conocimiento. La contraseña deberá constar de no menos de 8 (ocho) caracteres, ser alfanumérica y contener al menos un número y/o símbolo dentro de sus caracteres. Asimismo, se recomienda cambiar la contraseña cada lapso no superior a 3 (tres) meses, por una distinta de la anterior.
Debido que las contraseñas tienen carácter personal e intransferible, queda absolutamente prohibido comunicar a persona distinta del propio interesado, el identificador de usuario y la contraseña.
Si el usuario desea guardar su clave, deberá hacerlo de forma que el archivo sea accesible sólo por él, guardado de forma ininteligible y en un archivo protegido mediante contraseña. Asimismo, si se tiene conocimiento que otra persona conoce su clave y/o contraseña, deberá cambiarla inmediatamente y ponerlo en conocimiento del Administrador, quien lo registrará como incidencia. En caso de incumplimiento de esta estas obligaciones, el usuario será el único responsable de los actos realizados por la persona que utilice de forma no autorizada su identificador.
Lo expuesto anteriormente supone que está totalmente prohibido:
• Intentar descifrar las claves, sistemas o algoritmos de cifrados usando métodos de des encriptación u otros.
• Intentar utilizar el sistema para acceder a áreas que el usuario tenga restringidas de los sistemas informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• Intentar acceder sin la debida autorización, a otras cuentas o a sistemas de equipos o redes conectadas a Internet, a través del uso no lícito de la contraseña (o cualquier otro medio).
• El acceso o entrada en los sistemas informáticos utilizando la identificación de usuario y contraseña de otro usuario.
5.4. Utilización de equipos informáticos
El MINISTERIO DEL INTERIOR Y TRANSPORTE, es propietario u ostenta los derechos de uso de todos los medios e instrumentos informáticos y de comunicación que pone a disposición de sus empleados exclusivamente para el desarrollo de su actividad laboral.
Dichos medios deberán utilizarse con el cuidado o atención necesarios para evitar su destrucción, pérdida o deterioro prematuro. No se puede modificar ninguna parte de los mismos a iniciativa del usuario, sin contar con la autorización expresa del supervisor.
El usuario que tenga a su disposición equipos informáticos portátiles debe extremar la precaución cuando haga uso de los mismos o los transporte fuera de las instalaciones del MINISTERIO DEL INTERIOR Y TRANSPORTE, y debe darse aviso inmediatamente en caso de sustracción, perdida u otro imponderable.
El MINISTERIO DEL INTERIOR Y TRANSPORTE pone a disposición de los trabajadores los medios informáticos y técnicos adecuados para la realización de sus funciones sólo mientras dure la relación laboral y con fines estrictamente profesionales. En el momento de la finalización de la relación laboral, se denegará el acceso a los equipos informáticos y consiguientemente a los archivos incluidos en los mismos. En el supuesto de que el ex usuario tenga en su poder determinados medios informáticos propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE (PC portátil, CD’s, DVD’s, USB´s, disco duro externo, etc.), tendrá que devolverlos en el momento de la finalización de su relación laboral.
5.5. Utilización de internet y correo electrónico
El criterio a seguir por los usuarios es que la navegación en Internet obedezca a fines profesionales, con el propósito de obtener el mejor aprovechamiento posible de los recursos informáticos.
Sin embargo, de acuerdo con la necesidad de conciliación de la vida personal y profesional, se autoriza la navegación por Internet para aquellos deberes personales que coinciden con el tiempo de trabajo, resulten realmente necesarias o se utilice como descanso del trabajador dentro de la jornada laboral, siempre que dicha utilización sea razonable y reducida al tiempo mínimo indispensable.
En vista de lo anterior, y con el fin de no ocupar innecesariamente o colapsar las conexiones, quedan expresamente prohibidas las descargas de películas, clips, vídeos, música, imágenes, fotografías, software, etc., en especial aquellos archivos que puedan infringir la propiedad intelectual y derechos de autor de terceros.
El Responsable de Seguridad Informática podrá bloquear el acceso a aquéllos sitios web que no considere acordes con el perfil del organismo. Sin perjuicio de ello, queda terminantemente prohibido el acceso a aquellas direcciones de Internet cuyas páginas tengan contenidos pornográfico, sexual, pedófilo, racista, y en general, el que pueda resultar ofensivo o atentatorio contra la dignidad humana.
La tecnología de acceso a Internet instalada permite disponer de un registro detallado de los sitios web visitados por cada usuario, del número de accesos efectuados al día, de la fecha y hora en que se efectuó la conexión y del tiempo dedicado en cada conexión. Tal información se almacena en los servidores del MINISTERIO DEL INTERIOR Y TRANSPORTE. A estos efectos se informa a los trabajadores que las bases de datos que se generen con la información de sus respectivos accesos a Internet podrán ser utilizadas por el empleador como prueba a los efectos de proceder a sanciones o despidos disciplinarios por incumplimiento de la presente política o disminución de la dedicación y rendimiento del trabajador.
El correo electrónico o e-mail es también un instrumento de trabajo propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE y como tal, su utilización debe estar relacionada con los cometidos laborales encomendados, sin que pueda utilizarse de forma habitual o abusiva como instrumento para el intercambio de información cuyo contenido sea ajeno a las funciones propias del agente.
Las comunicaciones realizadas a través de cuentas oficiales de correo electrónico o e-mail no pueden considerarse privadas y no son apropiadas para remitir información personal y/o confidencial. No se puede garantizar totalmente la seguridad de la comunicación y consiguientemente, no debe haber ninguna expectativa de privacidad o secreto en las comunicaciones enviadas por cuentas de correo electrónico creadas por el MINISTERIO DEL INTERIOR Y TRANSPORTE y otros órganos de gobierno para el ejercicio de funciones públicas. En todo caso, cualquier comunicación no profesional que pueda haberse recibido o emitido deberá ser eliminada de las bandejas de elementos enviados/recibidos al finalizar la jornada laboral. No es objetivo de esta cláusula impedir la flexibilidad en el uso del correo electrónico sino evitar los abusos que pudieran cometerse en la utilización del mismo.
En el momento de la extinción de la relación laboral, cualquier acceso a la bandeja de correo electrónico quedará interrumpido. En su caso, el usuario podrá eliminar mensajes privados e innecesarios para el organismo. Sin embargo los mensajes relacionados con la actividad profesional deberán ser mantenidos y guardados en el sistema. Antes de comenzar tal proceso de eliminación de mensajes, debe ponerse en comunicación con la Dirección General de Gestión Informática del MINISTERIO DEL INTERIOR Y TRANSPORTE (DGGI), para que esta supervise y organizase el proceso.
5.6. Utilización de programas, software y aplicaciones informáticas
Cada usuario tiene acceso a los recursos que necesita en función de su perfil de trabajo.
Los archivos y sistemas informáticos utilizados para realizar su trabajo son de propiedad estatal. Queda prohibida cualquier utilización, copia o reproducción de los mismos para fines no profesionales, salvo autorización expresa del Responsable de Area de Sistemas Informáticos, el Responsable de Tecnología y Seguridad o el Coordinador del Comité de Seguridad.
El usuario será el único responsable, tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE como respecto a terceros, en caso de violación de tales reglas de conducta.
A fin de no vulnerar los derechos de propiedad intelectual de terceros se prohíbe expresamente la utilización de programas para los cuales la administración pública no haya obtenido una licencia previa.
Debe advertirse que la utilización de programas informáticos sin la debida autorización (pirateo informático) puede ser constitutiva de delito, y el usuario puede incurrir asimismo en responsabilidades de distinto orden.
La utilización de archivos o programas de procedencia externa, puede entrañar graves riesgos para la seguridad del conjunto de los sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE, por lo que deberá evitarse la apertura de cualquier archivo de procedencia desconocida, la utilización de software no autorizado, la descarga de archivos de procedencia dudosa desde internet, la conexión a la red de MINISTERIO DEL INTERIOR Y TRANSPORTE de equipos no autorizados y revisados por la DGGI.
Finalizado el vínculo laboral, el trabajador deberá dejar intactos todos los archivos, entregables, informes y documentos que hayan tenido un fin profesional o productivo.
Cuando se estime necesario para la protección del patrimonio estatal y del de los demás empleados, para el de los derechos ajenos, o por motivos relacionados con el funcionamiento del MINISTERIO DEL INTERIOR Y TRANSPORTE, éste se reserva la facultad de revisar periódicamente, a través de los servicios técnicos de la misma, el contenido de los discos duros de los ordenadores utilizados por los empleados en el desempeño de sus funciones, procediendo a la eliminación de todos aquellos programas y archivos que por parte de los servicios técnicos de la empresa se consideren ajenos a los fines profesionales en atención a los cuales dichos ordenadores son puestos a disposición de los empleados.
Las mencionadas revisiones se efectuarán siempre por parte de los servicios técnicos del MINISTERIO DEL INTERIOR Y TRANSPORTE o quien éste designe, en el centro de trabajo y dentro del horario laboral, respetándose al máximo las garantías legales.
5.7. Política de escritorios y pantallas limpias
Se adopta una política de escritorios, mesas o espacios de trabajo limpios, para proteger los documentos en papel; y un criterio de pantallas limpias, que minimice el riesgo de accesos no autorizados y pérdidas de información, tanto durante el horario de trabajo como fuera del mismo.
Será obligatorio:
• Almacenar bajo llave, gabinetes o mobiliario seguro, los archivos en papel mientras se encuentran en dominio de un trabajador y/o funcionario, cuando no estén siendo utilizados, especialmente fuera del horario de trabajo.
• Guardar en lugar seguro copias de las llaves de ingreso al ámbito de trabajo. Las llaves se encontrarán protegidas en sobre cerrado y en una caja de seguridad, debiendo dejarse constancia y los motivos de todo acceso a las mismas.
• Los medios de almacenamiento que contengan información sensible y/o crítica deben resguardarse, preferentemente, en cajas fuertes o gabinetes a prueba de incendio.
• Proteger con cerraduras de seguridad, contraseñas u otros controles a las computadoras personales, terminales e impresoras asignadas a funciones críticas cuando no están en uso (ej. protectores de pantalla con contraseña).
• Computadoras e impresoras de conexión local permanecerán apagadas cuando no se las use.
• Proteger los puntos de recepción y envío de correo postal y las máquinas de fax.
• Bloquear las fotocopiadoras fuera del horario normal de trabajo.
• Retirar inmediatamente la información sensible una vez impresa.
• Los usuarios deben finalizar o bloquear la sesión de red, antes de retirarse de su lugar trabajo. Si un agente debe abandonar su puesto de trabajo momentáneamente, activará protectores de pantalla con contraseña, a los efectos de evitar que terceros puedan ver el trabajo o continuar con la sesión del usuario habilitada.
El trabajador y/o usuario y/o funcionario será el único responsable, tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE como respecto a terceros, en caso de violación de tales reglas de conducta.
5.8. Incidencias
Se entiende por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad e integridad de los datos de carácter personal, sistemas, soportes informáticos y archivos (estén automatizados o no).
Es obligación comunicar al Supervisor o Administrador cualquier incidencia que se produzca en relación con su cuenta de usuario. Dicha comunicación deberá realizarse a la mayor brevedad posible, desde el momento en el que se produce la incidencia o se tenga certeza de que pudiera producirse o se tiene conocimiento de la misma, vía telefónica al interno 6000 (seis mil).
6. SEGURIDAD DEL PERSONAL
6.1. Objetivo
Reducir los riesgos de error humano, robo, fraude, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la información.
Dar a conocer a los usuarios y/o funcionarios y/o personal las responsabilidades que les caben en materia de seguridad, a través de su notificación y posterior verificación sobre su cumplimiento.
Capacitar a los usuarios, para que estén al corriente de los riesgos y amenazas a la información del MINISTERIO DEL INTERIOR Y TRANSPORTE y respalden a la Política de Seguridad de la Información.
Establecer compromisos en cuanto a la responsabilidad y el buen uso de los recursos del MINISTERIO DEL INTERIOR Y TRANSPORTE, por parte del personal y usuarios externos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
Comunicar las debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.
6.2. Alcance
Esta Política se aplica a todos los usuarios de los servicios informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE, y a terceras partes, que hagan uso, administren y/o controlen sistemas de información, según lo indicado el Punto 3 del presente.
Las responsabilidades emergentes del uso adecuado de los recursos informáticos deberán comunicarse a todos los usuarios del MINISTERIO DEL INTERIOR Y TRANSPORTE, cualquiera sea su modalidad de revista, como así también a todos aquellos terceros que tengan vinculación alguna con el Organismo. El personal que desempeñe funciones críticas dentro del Ministerio deberá estar notificado de aquellas responsabilidades especiales que emerjan de su labor.
La notificación de las responsabilidades mencionadas estará a cargo del Area de Recursos Humanos.
6.3. Responsabilidades
El Responsable del Area de Recursos Humanos deberá:
• incluir las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados.
• gestionar las notificaciones del uso responsable de los recursos de información del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• implementar los mecanismos necesarios para la toma de conocimiento por parte de los usuarios, del uso responsable de los recursos informáticos.
• El Responsable del Area de Capacitación deberá coordinar las tareas de capacitación de usuarios respecto de la presente Política de Seguridad.
El Responsable de Sistemas y Seguridad Informática deberá:
• realizar un seguimiento, documentar y analizar todos los incidentes de seguridad reportados
• participar en la confección de los acuerdos o contratos con terceros, en lo referente a la seguridad de la información propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• comunicar todo incidente de seguridad al Comité de Seguridad de la Información, y a los Responsables Primarios de la información.
El Comité de Seguridad de la Información deberá:
• verificar la existencia de medios y canales necesarios para que los Responsables de Sistemas y Seguridad Informática manejen los reportes de incidentes y anomalías de los sistemas.
• tomar conocimiento de todo incidente relativo a la seguridad de la información, efectuar el seguimiento de investigaciones, controlar la evolución e impulsar la resolución de los mismos.
Es responsabilidad de todo el personal del MINISTERIO DEL INTERIOR Y TRANSPORTE el informar vulnerabilidades e incidentes de seguridad que oportunamente se detecten.
6.4. Administradores de Identificación y Acceso
6.4.1 Carácter de Administrador
Se considera administrador, al sujeto autorizado para gestionar los derechos, permisos y restricciones de acceso a los sistemas y bases de datos de los usuarios de los sistemas informáticos y aplicaciones del MINISTERIO DEL INTERIOR Y TRANSPORTE. Los Responsables de Tecnología y Seguridad y de Area Informática, conjuntamente, han delegado en los Administradores de Sistemas, BBDD y Perfiles, las siguientes funciones y directivas:
• Llevar a cabo el Procedimiento de asignación, identificación y autenticación de usuarios, creando usuarios conforme a los perfiles previamente definidos por el Responsable de Tecnología y Seguridad o el Responsable del Area Informática; en conjunción con los Responsables Primarios de la Información.
• Conceder, alterar o anular el acceso autorizado a los datos y recursos y realizar cualquier otra gestión relativa a las cuentas de usuario, tales como bloqueo, desbloqueo, suspensión o cancelación de la misma, etc. A tal fin, se define que los identificadores de usuario serán únicos, de modo de identificar a cada usuario por sus acciones. Los ID tendrán una extensión de 8 caracteres y se recomienda no utilizar términos que denoten el perfil que ha sido asignado. Excepcionalmente, podrá asignarse a la misma persona física distintos perfiles de usuario, siempre que éste mantenga un correcto orden y separación de funciones entre ambos perfiles, y acceda al sistema con dos nombres de usuario y dos contraseñas distintas.
• Verificar que el nivel de acceso otorgado es adecuado para la función que lleva a cabo el usuario.
• Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas, se les haya revocado la autorización o se desvinculasen del organismo.
• Elaborar y mantener actualizada una relación de usuarios con acceso autorizado a las aplicaciones y sistemas informáticos del MINISTERIO DE INTERIOR Y TRANSPORTE, con especificación del nivel de acceso, perfil asignado, nombre de usuario, D.N.I., nombre y apellido de la persona física con la que se corresponde el usuario.
• Informar a los usuarios sobre las dudas que puedan tener en relación con el Documento “COMPROMISO DE CONFIDENCIALIDAD, POLITICA DE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS”.
• Dar curso a las incidencias relativas a la gestión de usuarios; en su caso, comunicar al Responsable de Area Informática y/o Responsable Primario de Información que corresponda, respecto de las infracciones cometidas por los usuarios, para que se adopten las medidas correctoras específicas o punitivas que procedan.
• Velar por el cumplimiento de la Política de contraseñas vigente, en cuanto al mantenimiento de la confidencialidad de las mismas, y su modificación periódica.
• Limitar el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
• Limitar el tiempo de acceso de los usuarios en relación con su jornada de trabajo y finalizar la conexión si este es excedido.
• Permitir que los usuarios elijan sus contraseñas y recomendar que las cambien con una periodicidad trimestral.
• Arbitrar mecanismos que eviten mostrar las contraseñas en pantalla, cuando son ingresadas.
Los Administradores tienen expresamente prohibido:
• Intentar aumentar el nivel de privilegios de un usuario en el sistema, cuando ello no sea conteste con las funciones propias del usuario.
• Intentar descifrar las claves, sistemas o algoritmos de cifrados de otras reparticiones usando métodos de des encriptación u otros.
• Intentar acceder sin la debida autorización, a otras cuentas o a sistemas de equipos o redes conectadas a Internet, a través del uso no lícito de la contraseña (o cualquier otro medio).
6.4.2. Notificación de Responsabilidad y Buen Uso de los Recursos de Información por Administradores
Con el objetivo de proteger los recursos de información del MINISTERIO DEL INTERIOR Y TRANSPORTE se informará y notificará por intermedio del Documento “COMPROMISO DE CONFIDENCIALIDAD, GESTION DE LAS BASES DE DATOS Y TRATAMIENTO DE SISTEMAS INFORMATICOS POR LOS ADMINISTRADORES.-”, parte integrante del presente como Anexo Reglamentario, respecto de las medidas de seguridad de cumplimento obligatorio para todos los agentes a los que se les asigne el perfil de Administrador de los sistemas y recursos informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
Como parte de los términos y condiciones de empleo, quienes revistan el carácter de Administrador, deben notificarse de las responsabilidades y el buen uso de los recursos, así como del mantenimiento de la privacidad y divulgación adecuada de la información del Organismo, y cada Administrador declarará conocer y aceptar el detalle de actividades de su competencia que, asimismo, pueden ser objeto de control y monitoreo. El área de Recursos Humanos conservará una copia firmada de dicha notificación.
6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información por Usuarios
Con el objetivo de proteger los recursos de información del MINISTERIO DEL INTERIOR Y TRANSPORTE se informará y notificará a todos los usuarios por intermedio del Documento “COMPROMISO DE CONFIDENCIALIDAD, POLITICA DE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS”, conforme lo dispuesto en el Punto 5.1. de La Política, respecto de las medidas de seguridad de cumplimento obligatorio y responsabilidades emergentes del uso inadecuado de los recursos informáticos.
El área de Recursos Humanos conservará una copia firmada de dicha notificación.
Los siguientes constituyen ejemplos del buen uso de los recursos informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE:
• Utilización de recursos en servidores para el almacenamiento de archivos (documentos, planillas de cálculo, etc.) vinculados con las funciones y tareas cotidianas.
• Utilización de los servidores para el procesamiento de datos, a través de aplicaciones autorizadas.
• Mantener la privacidad adecuada de los datos relacionados con la gestión cotidiana, otorgando acceso o divulgando información expresamente autorizada.
• Empleo de los accesos a Internet/Intranet cuando éstos se relacionen con la actividad que cada empleado ejerce en el organismo.
• Uso del correo electrónico corporativo con fines relacionados con las funciones o tareas desempeñadas en la organización.
• Cerrar la sesión de red abierta, al retirarse del puesto de trabajo.
El uso inadecuado de los recursos informáticos se ejemplifica en lo siguiente:
• Uso de los sistemas y recursos con fines personales, reenvío de cadenas de mensajes o cualquier otro que no esté relacionado con las actividades del MIyT.
• Almacenamiento de información personal en servidores (ej: fotos, archivos de música, etc.).
• Compartir o revelar contraseñas de acceso, compartir el uso de firmas digitales personales.
• Modificaciones no autorizadas sobre los datos.
• Eliminación no autorizada de datos.
• Transmisión fraudulenta o no autorizada de datos.
• Instalación y uso no autorizado de programas.
• Instalación o reubicación no autorizada de computadoras.
• La comunicación, almacenamiento o generación de información ofensiva; incluidos virus, gusanos, software malicioso, programas o información de carácter obsceno, pornográfico o ilegal.
• Almacenar información organizacional en lugares no protegidos (por ejemplo, utilizar puestos de trabajo en lugar de recursos en los servidores de red).
6.5. Capacitación del Usuario
6.5.1. Objetivo
Garantizar que los usuarios están al corriente de las amenazas para la información, y que están en condiciones de respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.
Los usuarios deben conocer los procedimientos de seguridad y el correcto uso de los sistemas y servicios informáticos, a fin de minimizar eventuales riesgos de seguridad.
6.5.2. Formación y Capacitación en Seguridad de la Información
Los empleados y personal jerárquico del MINISTERIO DEL INTERIOR Y TRANSPORTE deberán recibir una capacitación sobre los aspectos de seguridad de la información del Organismo.
Los contratos y/o acuerdos con terceras partes u organismos que hacen uso de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE deberán contemplar los aspectos de políticas de seguridad relacionados. En tal sentido, se contemplará una capacitación, cuando corresponda.
Se considerarán los requerimientos de seguridad, responsabilidades legales, y el uso correcto de los recursos de información, por ejemplo las estaciones de trabajo, acceso a servicios, etc.
El Responsable del Area de Capacitación coordinará las acciones al respecto que surjan de la presente Política.
A tales fines, se implementará un plan de capacitación, con una revisión cada doce (12) meses, realizando las actualizaciones que correspondan respecto de la tecnología o servicios informáticos vigentes o de implementación futura.
7. GESTION DE INCIDENCIAS
7.1. Objetivo
Se entiende por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad de los sistemas informáticos y/o de los datos alojados en ellos (su confidencialidad, integridad o disponibilidad).
La gestión de incidencias tiene por objeto minimizar el daño producido por incidentes de seguridad de la información, además de monitorear y generar una base de conocimiento que permita optimizar los procesos, eliminar vulnerabilidades y amenazas.
Se deben establecer procedimientos y responsabilidades en el manejo de incidentes relativos a la seguridad de la información, para garantizar una respuesta rápida, eficaz y sistemática.
A modo ejemplificativo y meramente enunciativo, se señalan distintos tipos de eventos que puedan dar lugar a incidencias tales como: fallas en los sistemas de información y pérdida del servicio; corte de suministro o negación de servicio; errores ocasionados por datos incompletos o inexactos; violaciones de la confidencialidad; código malicioso e intrusiones; fraude informático; error humano; catástrofes naturales.
El Organismo establecerá medidas disciplinarias a adoptar con empleados que perpetren intencionadamente violaciones de la seguridad. Los contratos y acuerdos con terceras partes deberán contemplar las sanciones que sufrirán quienes violen la seguridad de la información.
7.2. Comunicación de incidentes relativos a la seguridad
Los incidentes relativos a la seguridad serán comunicados a través de canales apropiados, tan pronto como sea posible.
Los incidentes que afectan la seguridad, advertidos o supuestos, deben comunicarse indistintamente, a los Responsables de Sistemas y Seguridad Informática, al Comité de Seguridad y a los Responsables de la Información, tan pronto como sea posible.
Se establecerá un procedimiento formal de comunicación y respuesta, en el que se indicará la acción a emprender cuando se reciba un informe de incidentes.
En dicho procedimiento, el Responsable de Sistemas y Seguridad Informática debe contemplar:
• informar cuanto antes sobre la detección de un incidente o violación de seguridad, supuestos o no, al Responsable de la Información,
• indicar los pasos a seguir para la investigación, monitoreo y resolución del incidente,
• mantener al Comité de Seguridad y al Responsable Primario sobre las alternativas de resolución del incidente de seguridad.
7.3. Registro de incidencias
El MINISTERIO DEL INTERIOR Y TRANSPORTE cuenta con un Registro Virtual de Incidencias, implementado dentro de la INTRANET del MINISTERIO DEL INTERIOR Y TRANSPORTE, mediante la aplicación MESA DE ATENCION DE USUARIOS.
Las incidencias se clasifican en tres (3) grados de prioridad, a saber:
• Normal: atenderla cuando se esté libre.
• Alta: atenderla cuando se termine la tarea actual.
• Urgente: atenderla inmediatamente de recibida.
Cada incidencia tiene una ficha de seguimiento que incluye:
• ID: el sistema le asigna un número de identificación único a cada incidencia.
• Estado: a cada incidencia puede asignársele uno de los siguientes valores de estado: en proceso de ejecución, terminada y postergada.
• Fecha de ingreso: detallando día, mes, año y hora de entrada al sistema.
• Prioridad: normal, alta o urgente.
• Emitida por: persona que realiza la petición de ayuda y/o soporte o notificación de incidencia.
• Solicitante: usuario con privilegio de coordinador que gestiona la incidencia.
• Area: organismo, dirección nacional, repartición u oficina dependiente del MINISTERIO DEL INTERIOR Y TRANSPORTE que efectúa el reclamo.
• Oficina: ubicación geográfica del emisor del mensaje, especificando dirección postal, oficina y nombre de la misma.
• Interno: teléfono u interno de la dependencia.
• Detalle: breve descripción del problema.
• Ver: opción de visualización de una ficha completa del listado “Mis Solicitudes” y/o “Solicitud de Asistencia”. Asimismo, también puede consultarse el “Historial” que permite acceder al seguimiento y movimientos de una incidencia, si fue derivada, en su caso a quién y qué fecha y con qué resultado.
• Atender: el sistema permite indicar mediante los valores de En Proceso, Postergada y Terminada, el estado de resolución de la incidencia.
• Derivar: el sistema permite comunicar a otros operadores el conflicto a fin de dar con su solución, mediante el uso de la opción “Derivar A”.
A tal fin, existen siete usuarios a los que se les ha asignado el perfil de COORDINADOR, que pueden derivar una consulta a los técnicos operativos de cada sector para su resolución, como asimismo, emitir las observaciones y comentarios que estimen pertinentes, los que quedan asentados en el campo “Observaciones” de la aplicación. Al presente, se encuentran autorizados con el perfil de COORDINADOR, los tres coordinadores del Area Soporte del MINISTERIO DEL INTERIOR Y TRANSPORTE, el Director de Sistemas de la DGGI-MIyT, el Director de Tecnología y Seguridad de la DGGI-MIyT, y el Subdirector General de la DGGI del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• Editar: el sistema permite a aquellos usuarios con privilegios de COORDINADOR, modificar la información que consta en alguna de las fichas.
7.4. Procedimiento de gestión de incidencias
Se instaura por medio de la presente un procedimiento de actuación ante las incidencias dividido en tres fases: notificación, gestión y registro; que será conocido por todos los usuarios de los sistemas y bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• 1ª Fase: Notificación
Todo usuario que detecte alguna anomalía en los sistemas informáticos, soportes o equipos informáticos, ficheros, archivos y/o en los datos contenidos en los mismos, de titularidad del MINISTERIO DEL INTERIOR Y TRANSPORTE, deberá ponerlo en conocimiento inmediato al Area de Soporte Técnico de este Ministerio, mediante el uso de la aplicación de software MESA DE ATENCION A USUARIOS de la Intranet del MINISTERIO DEL INTERIOR Y TRANSPORTE, al que accederá utilizando su login de usuario. De esta forma tratará de evitarse que la incidencia repercuta negativamente en la seguridad con la que son tratados y mantenidos los sistemas informáticos, bases de datos y activos.
Si la comunicación vía Intranet no fuese posible, debe acudirse a la vía telefónica como medio de notificación supletoria, comunicándose al INTERNO 6000 (seis mil). De resultar imposible aquello, debe realizarse a través del medio más rápido y fiable disponible a fin de mantener la seguridad, confidencialidad y normalidad dentro del ámbito organizativo y técnico de la dependencia en la que se haya producido la incidencia.
• 2ª Fase: Gestión
Identificada el tipo de incidencia, y conforme a la prioridad asignada, entra en la fase “En Proceso”, donde el área de Soporte del MINISTERIO DEL INTERIOR Y TRANSPORTE atenderá la misma, con los resultados posibles siguientes “Postergada”, “Derivada” o “Terminada”.
Las incidencias “Derivadas” se redirigen para su resolución a personal del Area de Soporte y/o de Redes y Comunicaciones distinto del que atendió la misma en primer instancia, como asimismo a los técnicos internos o externos que realizan las funciones de gestión de la seguridad y realizar las labores de mantenimiento de los sistemas, equipos y ficheros.
Existen siete usuarios a los que se les ha asignado el perfil de COORDINADOR, que pueden derivar una consulta a los técnicos operativos de cada sector u externos para su resolución, como asimismo, emitir las observaciones y comentarios que estimen pertinentes, los que quedan asentados en el campos “Observaciones” de la aplicación. Al presente, se encuentran autorizados con el perfil de COORDINADOR, los tres coordinadores del Area Soporte del MINISTERIO DEL INTERIOR Y TRANSPORTE, el Director de Sistemas de la DGGI-MIyT, el Director de Tecnología y Seguridad de la DGGI-MIyT, y el Subdirector General de la DGGI del MINISTERIO DEL INTERIOR Y TRANSPORTE.
Finalizada la incidencia, se adoptarán las medidas necesarias para que no vuelva a producirse una situación similar en la que pueda peligrar la integridad de los sistemas, ficheros y datos.
• 3ª Fase: Registro
En el Registro Virtual de Incidencias constarán todos los datos relativos a las incidencias ocurridas durante el año en curso; la llevanza del mismo es una competencia exclusiva del Responsable de Tecnología y Seguridad de la DGGI-MIyT.
Los campos que se reflejan en el Registro, mediante la pestaña “Solicitud de Asistencia”, que cargan los usuarios al iniciar un procedimiento de gestión de incidencias, son los siguientes: fecha de solicitud/notificación; persona que emite la solicitud; prioridad; persona que solicita la asistencia/incidencia; área del Ministerio al que pertenece; Oficina (nombre, Nº y ubicación geográfica); teléfono o interno; e-mail; sector que debe ocuparse de la incidencia; estado.
7.5. Comunicación de Vulnerabilidades de Seguridad
Por intermedio de la presente se establece que el Responsable de Tecnología y Seguridad de la DGGI-MIyT dispone que los usuarios de los servicios informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE deben informar mediante la herramienta puesta a tal efecto en la Intranet, la MESA DE ATENCION DE USUARIOS, sobre vulnerabilidades de seguridad o incidencias cualquier naturaleza que éstos hayan detectado.
Asimismo, se reitera que los usuarios no podrán, por sí mismos, reparar vulnerabilidades ni efectuar pruebas de detección.
7.6. Comunicación de Anomalías del Software
La MESA DE ATENCION DE USUARIOS, servirá a su vez, para la comunicación de anomalías de software, debiéndose:
• registrar los síntomas del problema y los mensajes que aparecen en pantalla.
• aislar al puesto de trabajo de la conexión de red. No se deben transferir datos otro puesto de trabajo, por ningún medio (USB, CD, red, etc.).
• alertar sobre la información afectada.
Los usuarios no están autorizados a desinstalar ni eliminar el software con supuestas anomalías, siendo ésta una responsabilidad del Responsable de Sistemas y del Responsable de Tecnología y Seguridad Informática.
7.7 Aprendiendo de los incidentes
La aplicación MESA DE ATENCION A USUARIOS cuenta con mecanismos y procedimientos para cuantificar y monitorear tipo, volumen y costo de los incidentes de seguridad, como así también, establecer ranking de usuarios con más solicitudes “Terminadas” por sector; cantidad de solicitudes atendidas por operador; cantidad de solicitudes de determinado usuario; promedio de duración de una solicitud; promedio de solicitudes recibidas diarias y promedio histórico.
Esta información permite identificar vulnerabilidades y amenazas recurrentes o de alto impacto. De la misma se obtiene además, la necesidad de modificar o agregar controles para limitar frecuencia, daño y costo de casos futuros, y las posibilidades de revisión a la política de seguridad.
7.8. Sanciones
Los usuarios que incurran en violación de las políticas y procedimientos de seguridad de la organización, serán pasibles de las sanciones establecidas conforme normativa vigente y aplicable a la planta permanente, planta transitoria y/o a la modalidad contractual por la cual se encuentren vinculados al Organismo.
Los acuerdos y/o contratos y/o convenios con terceras partes deberán prever sanciones para los supuestos de violación a las Políticas de Seguridad de la Información, aprobadas por el MINISTERIO DEL INTERIOR Y TRANSPORTE.
8. CLASIFICACION DE ACTIVOS
Los activos de información se clasificarán de acuerdo con la sensibilidad y criticidad de los datos que contienen, o bien de acuerdo con la funcionalidad que cumplen, con el objeto de determinar su tratamiento y protección.
Ejemplos de activos:
• Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, información archivada, etc.
• Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc.
• Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, impresoras, módems, puestos de trabajo (computadoras), servidores, dispositivos de comunicaciones (routers, switches, PABXs, máquinas de fax, contestadores automáticos), medios magnéticos (cintas, discos),
• Instalaciones de suministro eléctrico, unidades de aire acondicionado, mobiliario, lugares de emplazamiento, etc.
Se tendrá en cuenta que la criticidad y la sensibilidad de determinada información puede variar con el tiempo, para evitar que una clasificación por exceso se traduzca en gastos adicionales, innecesarios para el Organismo.
La clasificación de un ítem de información determinado no es invariable por siempre, ésta puede cambiar según una Política predeterminada. Hay que definir una cantidad de categorías suficiente, pero no compleja, a fin de evitar esquemas engorrosos, antieconómicos o poco prácticos.
La información puede convertirse en obsoleta y, por lo tanto, es pasible de ser eliminada. En un proceso de destrucción de información debe mantenerse la confidencialidad hasta último momento.
8.1. Objetivo
Identificar los activos de información del MINISTERIO DEL INTERIOR Y TRANSPORTE, y asignar un Responsable Primario para cada uno de ellos.
Clasificar la información, señalando su sensibilidad y criticidad.
Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.
8.2. Alcance
Esta Política se aplica a todos los recursos del MINISTERIO DEL INTERIOR Y TRANSPORTE, y a terceras partes que accedan y/o administren y/o controlen datos, recursos y sistemas de información.
8.3. Responsabilidades
Se debe designar un Responsable Primario para cada recurso de información.
Los Responsables Primarios deben:
• clasificar la información a su cargo, según un grado de sensibilidad y criticidad;
• documentar y mantener actualizada la clasificación efectuada;
• definir permisos de acceso a la información de acuerdo con las funciones de los integrantes de su área.
Los Responsables Primarios deberán mantener los controles apropiados sobre la información. La responsabilidad por la implementación de los controles será delegada sobre el Responsable de Sistemas y Seguridad Informática.
El Responsable de Seguridad Informática debe asegurar que los lineamientos para la utilización de los recursos se contemplen los requerimientos de criticidad de la información.
8.4. Inventario de activos
Se identificarán los activos importantes asociados a cada sistema de información, su ubicación y sus Responsables Primarios.
El Responsable Primario deberá elaborar un inventario de la información a su cargo, y mantenerlo actualizado ante cualquier modificación.
8.5. Clasificación de la información
La información se clasificará según las características básicas de confidencialidad, integridad y disponibilidad. Se establecerán niveles según lo siguiente:
8.5.1. Confidencialidad
• Nivel 0 - Público. Información que puede ser conocida y utilizada sin autorización por cualquier persona. Los permisos de acceso son:
Todos los usuarios, internos o externos al MINISTERIO DEL INTERIOR Y TRANSPORTE, pueden consultar la información.
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
• Nivel 1 - Reservada - Uso Interno. Información que puede ser conocida y utilizada por los usuarios del MINISTERIO DEL INTERIOR Y TRANSPORTE, contando con la debida autorización. Su divulgación o uso no autorizados podrían ocasionar riesgos leves para el Organismo. Los permisos de acceso son:
Usuarios autorizados, internos al MI, pueden consultar la información.
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
• Nivel 2 - Reservada-Confidencial. Información que sólo puede ser conocida y utilizada por un grupo restringido de usuarios del MINISTERIO DEL INTERIOR Y TRANSPORTE, contando con la debida autorización. Su divulgación o uso no autorizados podría ocasionar riesgos significativos al Organismo. Los permisos de acceso son:
Un grupo restringido de usuarios autorizados, internos al MI, pueden consultar la información.
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos.
Los Responsables, los usuarios y los Administradores deberán firmar un Compromiso de Confidencialidad de la Información.
8.5.2. Integridad
• Nivel 0 - No Clasificado. La información sufre modificaciones, y los datos originales pueden recuperarse fácilmente. Este proceso no afecta la operatoria del MI. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
Los Auditores podrán consultar los registros de actividades sobre los recursos
• Nivel 1 - Bajo. La información sufre modificaciones no autorizadas, pero los datos originales pueden recuperarse. Este proceso ocasiona daños leves para el MINISTERIO DEL INTERIOR Y TRANSPORTE. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
• Nivel 2 - Medio. La información sufre modificaciones no autorizadas, y es difícil recuperar los datos originales. Este proceso ocasiona daños significativos para el MINISTERIO DEL INTERIOR Y TRANSPORTE. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
• Nivel 3 - Alto. La información sufre modificaciones no autorizadas, y no es posible recuperar los datos originales. El proceso ocasiona daños graves para el MINISTERIO DEL INTERIOR Y TRANSPORTE. Los permisos de acceso son:
Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.
Los Administradores de servicios tendrán control total sobre los recursos.
8.5.3. Disponibilidad
• Nivel 0 - No Clasificado. Información cuya inaccesibilidad no afecta la operatoria del MINISTERIO DEL INTERIOR Y TRANSPORTE. No requiere resguardo de la información.
• Nivel 1 - Bajo. Información cuya inaccesibilidad durante 15 días o más podría ocasionar daños no significativos para el MI. Requiere un resguardo por única vez, preferiblemente sobre medios ópticos.
• Nivel 2 - Medio. Información cuya inaccesibilidad durante 7 días o más podría ocasionar daños significativos para el MI. Requiere un resguardo con frecuencia mensual, preferentemente sobre medios magnéticos.
• Nivel 3 - Alto. Información cuya inaccesibilidad durante 24 horas o más podría ocasionar daños muy significativos para el MI. Requiere frecuencia de resguardo Diario, Semanal y Mensual, sobre medios magnéticos. El medio de resguardo Mensual se almacenará bajo un tiempo de retención establecido por cada Responsable (por ejemplo: cinco años, diez años, etc.).
• Nivel 4 - Muy Alto. Información cuya inaccesibilidad durante 4 horas o más podría detener la operatoria normal del MI. Requiere frecuencia de resguardo Diario, Semanal y Mensual, y Mensual-Copia, sobre medios magnéticos. El resguardo Mensual-Copia se almacenará off-site. La frecuencia de resguardo puede modificarse según el requerimiento de criticidad del sistema (por ejemplo, efectuar resguardos adicionales cada quince días, y almacenarlos off-site). Los daños probables pueden ser mensurables (materiales) y no mensurables (imagen, valor estratégico de la información, obligaciones contractuales o públicas, disposiciones legales, etc.).
8.5.4. Criticidad de la información
La información recibirá un valor de nivel, dentro de las características mencionadas en los Puntos 8.5.1 a 8.5.3, lo cual permitirá establecer un valor de criticidad.
De acuerdo con los niveles de confidencialidad, integridad y disponibilidad, la información será tanto más crítica según la siguiente clasificación:
• Criticidad Baja: niveles asignados son 0 ó 1.
• Criticidad Media: nivel asignado es 2.
• Criticidad Alta niveles asignados son 3 ó 4.
El nivel de clasificación de la información sólo puede ser cambiado por el Responsable Primario o por el Responsable de Tecnología y Seguridad.
El nivel de clasificación se modificará cumpliendo con los siguientes requisitos previos:
• Luego de clasificada la información, el Responsable Primario identificará los recursos asociados (sistemas, equipamiento, servicios, etc.) y los perfiles funcionales que deberán tener acceso a la misma.
• El cambio de clasificación debe hacerse efectivo a partir de una fecha determinada por el Responsable Primario o el Responsable de Tecnología y Seguridad, con autorización del primero.
• El cambio de clasificación debe ser comunicado efectivamente a los usuarios de la información.
8.5. Rotulado de la Información
Se definirán procedimientos para el rotulado y manejo de información, de acuerdo con el esquema de clasificación definido ut supra. Los procedimientos contemplarán los recursos de información tanto en formatos físicos como electrónicos e incorporarán las siguientes actividades de procesamiento de la información: copia; almacenamiento; transmisión por correo, fax, correo electrónico; transmisión oral (telefonía fija y móvil, correo de voz, contestadores automáticos, etc.).
9. SEGURIDAD FISICA Y AMBIENTAL
9.1. Objetivos
La seguridad física brinda el marco para minimizar riesgos de daño o interferencia a la información y a las operaciones desarrolladas dentro de las dependencias del MINISTERIO DEL INTERIOR Y TRANSPORTE como consecuencia de factores ambientales; evitar al máximo el riesgo de accesos físicos no autorizados; y minimizar las interrupciones en la prestación de servicios.
Estas previsiones deben abarcar la protección física de accesos, la protección ambiental, el transporte, y la protección de activos; e implementar medidas para proteger la información manejada por el personal en el ámbito físico de sus labores habituales. Por último, un alto volumen de información se almacena en formato papel, resultando necesario establecer pautas de seguridad para su conservación.
9.2. Alcance
Esta Política se aplica a todos los recursos físicos relativos a los sistemas de información del MINISTERIO DEL INTERIOR Y TRANSPORTE, edificios, instalaciones, equipos y medios de almacenamiento informáticos, cableado, documentación en papel, dispositivos de comunicación de datos, etc.
9.3. Areas Seguras y de acceso restringido
9.3.1. Perímetro de Seguridad Física
Un perímetro de seguridad es una delimitación de acceso, por ej. puerta de acceso controlado por tarjeta, escritorio u oficina de recepción atendidos por personas, etc. El emplazamiento y la fortaleza de cada barrera dependerán de los resultados de una evaluación de riesgos.
Se deben considerar e implementar los siguientes lineamientos y controles, según corresponda:
• el perímetro de seguridad estará claramente definido,
• el perímetro de un edificio o área de procesamiento de información será físicamente sólido. No deben existir aberturas o áreas donde se produzca una irrupción. Las paredes externas del área serán de construcción sólida. Las puertas comunicantes con el exterior gozarán de una protección adecuada contra accesos no autorizados, por ej., mediante mecanismos de control, vallas, alarmas, cerraduras, etc.,
• existirá un área de recepción, atendida por personal u otros medios de control de acceso físico al área o edificio. El ingreso a las distintas áreas y edificios se limitará exclusivamente al personal autorizado,
• las barreras físicas se extenderán, si es necesario, desde el piso (real) hasta el techo (real), a fin de impedir ingresos no autorizados, contaminación ambiental, incendio o inundación,
• las puertas contra incendio de un perímetro de seguridad tendrán alarma y se cerrarán automáticamente.
• se mantendrá un registro de los sitios protegidos, indicando: identificación del edificio y área, principales elementos a proteger y medidas de protección física.
9.3.2. Areas Restringidas
Se considera zona de acceso restringido o área protegida a aquellas instalaciones de procesamiento de información ubicadas en áreas resguardadas por un perímetro de seguridad, con controles de acceso apropiados y medidas de protección física contra accesos no autorizados, daños e intrusiones.
Para la selección y el diseño de un área protegida deben evaluarse los riesgos de incendio, inundación, explosión, y otras formas de desastres naturales o provocados por el hombre. También deben observarse las disposiciones y normas en materia de sanidad y seguridad, las amenazas a la seguridad que representan los edificios y zonas aledañas, por ej. por filtración de agua, interferencias, acumulación de residuos, entornos agresivos, etc.
El Responsable de Tecnología y Seguridad definirá que zonas serán consideradas como áreas protegidas o de acceso restringido y mantendrá un listado actualizado, de todas ellas.
Para definir las zonas protegidas, se atenderá a las siguientes recomendaciones:
• ubicar a las instalaciones en lugares inaccesibles para el público.
• la señalización e indicaciones de las áreas serán mínimos, sin signos obvios que identifiquen la actividad de procesamiento de información. Pueden requerirse barreras y perímetros adicionales para controlar el acceso físico entre áreas con diferentes requerimientos de seguridad, y que estén ubicadas dentro del mismo perímetro.
• establecer que puertas y ventanas estén bloqueadas cuando no haya vigilancia. Considerar la posibilidad de agregar protección externa a las ventanas, en particular las que se encuentran al nivel del suelo.
• implementar sistemas de detección de intrusos (cámaras, detectores de proximidad, sistemas de vigilancia, etc) ubicados en:
• puertas exteriores y ventanas accesibles,
• áreas vacías, que deben tener alarmas activadas en todo momento,
• sala de servidores,
• áreas que se definan como protegidas,
• recintos con dispositivos de comunicaciones.
• los teléfonos internos de los recintos de procesamiento de información sensible y/o crítica no deben publicarse en guías telefónicas.
• materiales peligrosos o combustibles deben almacenarse a una distancia prudencial del área protegida.
• la existencia de áreas protegidas, o de las actividades que allí se llevan a cabo será conocida solamente por el personal cuyas funciones estén relacionadas con dichos ámbitos,
• evitar que terceras partes ejecuten trabajos en áreas protegidas sin supervisión alguna,
• prohibición de comer, beber y fumar dentro de las instalaciones de procesamiento de la información,
• restringir el ingreso de equipos de computación móvil, fotográficos, de vídeo, audio o cualquier otro tipo de equipamiento que registre información, a menos que hayan sido formalmente autorizadas por los Responsables Primario, de Sistemas y de Tecnología y Seguridad.
9.3.3. Controles de acceso físico
Las áreas protegidas serán limitadas mediante adecuados controles de acceso, y solo ingresará a ellas el personal autorizado.
Entre las medidas de control de acceso físico a adoptarse, deben contemplarse las siguientes:
• supervisión de ingreso de terceras partes y personal de servicio a las áreas protegidas. Fecha y hora de ingreso y egreso deben ser registrados. El acceso se otorgará cuando existan propósitos específicos y autorizados, y los permisos serán acotados en el tiempo conforme a los fines para los que se haya habilitado el permiso de acceso.
• definir las áreas donde se opera con información sensible y/o crítica, a fin de establecer controles de acceso lógico en las instalaciones de procesamiento de información.
• validar accesos por medio de controles de autenticación, (ej. tarjeta y número de identificación personal (PIN), huella biométrica, etc.).
• registración de paquetes, envoltorios, cajas cerradas, etc., que entran o salen de los edificios,
• se recomienda que el personal informe sobre la presencia de desconocidos no escoltados o de cualquier persona que no exhiba una identificación visible,
• revisar y actualizar cada seis (6) meses los derechos de acceso a las áreas protegidas. Los mismos serán documentados y firmados por el Responsable Primario, en el área protegida de su dependencia.
• se controlará que las áreas de Recepción y Distribución de distintos elementos (equipamiento no crítico, repuestos, insumos, etc.) estén aisladas de las instalaciones de procesamiento de información sensible y crítica, a fin de impedir ingreso de ajenos.
• limitar el ingreso a las áreas de depósito al personal previamente identificado y autorizado.
• diseñar el área de depósito de manera tal que los suministros se descarguen, evitando que quienes realizan la entrega accedan a otros sectores del edificio.
• proteger las puertas exteriores del depósito cuando se abre la puerta interna.
• inspeccionar y registrar el material entrante antes de ser trasladado al depósito.
• inspeccionar periódicamente áreas protegidas desocupadas, manteniendo bloqueado su acceso físico.
Los controles de acceso físico serán determinados por el Responsable de Tecnología y Seguridad de la DGGI en conjunto con los Responsables Primarios. El Comité de Seguridad verificará la implementación de dichos controles.
9.4. Seguridad del equipamiento informático
9.4.1. Objetivo
Impedir pérdidas, daños u accesos no autorizados a los activos y/o datos del MINISTERIO DEL INTERIOR Y TRANSPORTE como así también, reducir los riesgos en la interrupción de los servicios prestados por el Organismo a los ciudadanos.
9.4.2. Ubicación y protección del equipamiento
El equipamiento se ubicará de modo de reducir riesgos ambientales, y oportunidades de acceso no autorizado. Se considerarán los siguientes controles:
• minimizar el acceso innecesario a sitios con equipamiento informático instalado,
• ubicar el ámbito de proceso y almacenamiento de información en sitios donde exista una adecuada supervisión de acceso físico,
• adoptar controles a fin de minimizar riesgos por las siguientes posibles amenazas: manifestaciones y/o protestas callejeras, robo, incendio, explosivos, humo, agua (o falta de suministro), polvo, vibraciones, efectos químicos, interferencia o interrupción en el suministro de energía eléctrica, radiación electromagnética.
• no comer, beber ni fumar cerca de las instalaciones de procesamiento de información crítica,
• monitorear las condiciones ambientales para verificar que no se comprometa el procesamiento de la información,
• empleo de métodos de protección especial para equipos situados en ambientes expuestos a amenazas ambientales,
• efectuar análisis de impacto de un eventual desastre en edificios próximos al Organismo, por ej. incendio, filtración de agua, una explosión en la calle, corte de energía generalizado, etc.
9.4.3. Suministro de energía
Las instalaciones de proceso de información crítica se protegerán de fallas en el suministro de energía u otras anomalías eléctricas.
Se debe contar con un adecuado suministro de energía, de acuerdo con las especificaciones del fabricante o proveedor de los equipos informáticos.
Se enumeran las siguientes alternativas para asegurar la continuidad del suministro de energía:
• bocas de suministro múltiple, para evitar un único punto de falla,
• fuente de energía ininterrumpida (UPS),
• generadores de respaldo.
Las UPS son recomendables para asegurar el apagado regulado y sistemático y la ejecución continua del equipamiento que procesa información critica.
Se implementarán planes de contingencia que contemplen acciones a emprender ante una falla de la UPS. Los mismos deben someterse a una inspección periódica, de acuerdo con las recomendaciones del fabricante o proveedor, a fin de mantener la capacidad requerida.
Un generador de respaldo se tendrá en cuenta cuando el procesamiento debe continuar aún en presencia de fallas de suministro prolongadas.
Los generadores se probarán periódicamente, según instrucciones del fabricante o proveedor.
Asimismo, se dispondrá de un adecuado suministro de combustible, a fin de garantizar una provisión de energía eléctrica por un período prolongado.
Se dispondrá, además, de:
• interruptores de emergencia, a fin de lograr un corte de energía rápido, en situaciones de criticidad extrema,
• sistemas de iluminación de emergencia, para el caso de cortes en el suministro principal de energía,
• protección contra rayos en todos los edificios,
• filtros de protección contra rayos en las líneas de comunicaciones externas.
9.4.4. Seguridad del cableado
Tanto el cableado de energía eléctrica como el de comunicaciones de datos deben protegerse contra todo tipo de intercepción o daño. Deben considerarse los siguientes controles:
• siempre que sea posible, las líneas de energía eléctrica y de comunicaciones deben ser subterráneas. En su defecto, se sujetarán a una adecuada protección alternativa,
• el cableado de red se protegerá contra intercepciones o daños, por ejemplo mediante el uso de conductos, o evitando trayectos de afluencia de público,
• para evitar interferencias, los cables de energía estarán separados de los de comunicaciones,
• controles adicionales a considerar para los sistemas sensibles o críticos: instalación de conductos blindados, instalación de recintos o cajas con cerradura en los puntos terminales y de inspección, uso de rutas o medios de transmisión alternativos, uso de cableado de fibra óptica, inspecciones periódicas para detectar dispositivos no autorizados conectados a los cables.
9.4.5. Mantenimiento de equipos
El equipamiento informático se mantendrá en forma adecuada para asegurar que su disponibilidad e integridad sean permanentes. Las actividades de mantenimiento en todas sus formas (preventivo, correctivo, etc.) dependerán del Responsable de Sistemas y Seguridad.
Se deben considerar los siguientes lineamientos:
• implementar el mantenimiento de equipos según los intervalos de servicio y especificaciones recomendados por el proveedor,
• personal autorizado por el Responsable de Sistemas tiene responsabilidad exclusiva por el mantenimiento y las reparaciones sobre el equipamiento,
• registro de todas las fallas y labores de mantenimiento preventivo,
• controles para el retiro de equipos fuera de la sede del MINISTERIO DEL INTERIOR Y TRANSPORTE. Se enumeran algunos de ellos: verificación del estado general del equipo antes de ser retirado; resguardo o eliminación de información —si se trata de datos sensibles—, antes de retirar el equipo; verificación y cumplimiento de condiciones establecidas en contratos de mantenimiento, garantías y/o pólizas de seguro, para la reparación y traslados de los equipos; cumplir con el procedimiento indicado para la salida y entra de soportes, para la verificación de salida o entrada de equipos. Esta notificación debe hacerse con anticipación, y debe indicar, como mínimo: proveedor, ubicación física original del equipo, datos de identificación (marca, modelo, Nro. de serie, Nro. de inventario).
9.4.6. Seguridad del equipamiento fuera del ámbito de la organización
El uso de equipamiento informático fuera del ámbito del MINISTERIO DEL INTERIOR será requerido por el Responsable Primario, y autorizado por el Responsable de Sistemas o el Responsable de Tecnología y Seguridad, según corresponda.
La seguridad provista debe ser equivalente a la suministrada dentro Organismo, para un propósito similar, teniéndose en cuenta los riesgos de trabajar fuera del mismo. No se considera ámbito externo a las Delegaciones u otros edificios donde funciona el MINISTERIO DEL INTERIOR Y TRANSPORTE.
El equipamiento incluye: computadoras personales y portátiles, teléfonos móviles, impresoras, insumos, dispositivos de comunicaciones, cableado, papel, formularios, y cualquier otro equipo u insumo que se utilice como herramienta de trabajo, sea propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE o de un tercero.
Se deben tener en cuenta los siguientes lineamientos:
• no dejar los equipos en forma desatendida, sobre todo en lugares públicos. En un viaje, las computadoras personales se transportarán como equipaje de mano, en forma discreta, de ser posible.
• respetar las instrucciones del fabricante.
• disponer de una adecuada póliza de seguro
9.4.7. Baja segura o reutilización de equipamiento.
Todo equipamiento puede desafectarse o reutilizarse. Para eliminar la información que se halla en los medios de almacenamiento, deben utilizar métodos seguros, en vez de utilizar funciones de borrado estándar (ejemplo: formateo de bajo nivel en un disco, en lugar de borrado de archivos). Para el caso de datos en papel, se recomienda el uso de máquinas destructoras.
Antes de dar de baja un dispositivo de almacenamiento —por ej. discos rígidos no removibles—, debe asegurarse la eliminación segura de datos sensibles y/o software bajo licencia. Se recomienda realizar análisis de riesgo, para determinar si medios de almacenamiento dañados que contienen datos sensibles, deben ser destruidos, reparados o desechados.
9.4.8. Retiro de Activos del MINISTERIO DEL INTERIOR Y TRANSPORTE
Queda prohibido retirar equipamiento, información y software del MINISTERIO DEL INTERIOR Y TRANSPORTE sin la correspondiente autorización formal.
Asimismo, el equipamiento informático situado afuera del MINISTERIO DEL INTERIOR Y TRANSPORTE deberá permanecer bajo estrictas normas de seguridad tendientes a la preservación de la información almacenada. Deberán aplicarse estrictas normas de seguridad a todos los recursos situados físicamente fuera del Organismo (“housing”), así como al equipamiento ajeno que procese información al Organismo (“hosting”).
9.4.9. Seguridad de los Medios en Tránsito
A fin de salvaguardar los medios informáticos en tránsito, deben aplicarse los siguientes controles:
• utilizar medios de transporte o servicios de mensajería confiables. Los Responsables Primarios deben contar con una lista de servicios de mensajería, con idoneidad y experiencia comprobable. El Comité de Seguridad podrá implementar un procedimiento para requerir y verificar los datos consignados,
• verificación del embalaje, para proteger al contenido contra eventuales daños físicos durante el transporte, según especificaciones de los fabricantes o proveedores de los medios,
• adopción de controles especiales, cuando resulte necesario, con el fin de proteger la información sensible contra divulgación o modificación no autorizadas.
10. GESTION DE COMUNICACIONES Y OPERACIONES
10.1. Objetivo
Garantizar la confidencialidad, integridad y disponibilidad en la interconexión e interoperabilidad de las comunicaciones que se establezcan en relación con el procesamiento y transmisión de información del MINISTERIO DEL INTERIOR Y TRANSPORTE, tanto dentro de la órbita del Organismo como en relación con terceros.
10.2. Responsabilidades
El Responsable de Tecnología y Seguridad Informática tendrá a su cargo:
• definir e implementar procedimientos para el control de cambios a los procesos operativos y los sistemas informáticos, de manera de no afectar la seguridad de la información,
• establecer criterios de aprobación para las actualizaciones, nuevas versiones, o nuevos sistemas informáticos, contemplando realizar las pruebas necesarias antes de su aprobación definitiva,
• verificar que los procedimientos de aprobación de software incluyan aspectos de seguridad para las aplicaciones de Gobierno Electrónico,
• definir procedimientos para el manejo de incidentes de seguridad y la administración de los medios de almacenamiento,
• definir y documentar normas claras con respecto al uso del correo electrónico,
• definir y administrar los mecanismos de distribución y difusión de información dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• definir y administrar controles para prevenir accesos no autorizados y software malicioso,
• definir y administrar controles para garantizar la seguridad de los datos, los servicios y los equipos conectados a la red del Organismo,
• concientizar a los usuarios en materia de seguridad sobre controles de acceso, operación y administración de los sistemas y cambios,
• implementar los cambios adecuados a los sistemas y equipamiento, asignando responsabilidades, y evaluando el posible impacto operativo,
• controlar la realización de copias de resguardo de información, así como la prueba periódica de su restauración,
• registrar las actividades realizadas por el personal operativo, para su posterior revisión,
• implementar procedimientos que permitan tomar medidas correctivas en el momento de fallas en los procesos de la información o los sistemas de comunicaciones,
• definir e implementar procedimientos para administrar medios de almacenamiento, tales como cintas, discos, medios ópticos, informes impresos, dispositivos móviles, disquetes, etc. La administración contemplará los casos de resguardo, restauración y/o eliminación de la información almacenada,
• colaborar en el tratamiento de incidentes de seguridad de la información, de acuerdo con procedimientos verificados por el Comité de Seguridad,
• evaluar contratos y acuerdos con terceros para incorporar servicios relacionados con el soporte y la seguridad de la información.
Cada Responsable Primario, y el Responsable de Sistemas, determinarán los requerimientos de proceso, comunicación y/o transporte de la información de su competencia, de acuerdo los niveles de sensibilidad, disponibilidad y/o criticidad que se requieran.
10.3. Procedimientos Operativos de Documentación
Se deben documentar y mantener los procedimientos en el ambiente de Producción, identificados por su política de seguridad.
Los procedimientos del ambiente de Producción estarán plasmados en documentos formales. Los cambios deberán ser autorizados por los niveles de responsabilidad que correspondan (Responsable de Sistemas, Responsables Primarios, Unidad de Auditoría Interna, Comité de Seguridad de la Información, etc.).
Los procedimientos especificarán detalladamente cada tarea, considerando:
• procesamiento y manejo de la información,
• requerimientos de programación de procesos, interconexión con otros sistemas, así como tiempos de inicio y finalización de las tareas,
• manejo de errores u otras condiciones excepcionales que surjan durante la ejecución de tareas,
• restricciones en el uso de utilitarios de sistema operativo,
• administración de comunicaciones, así como de ambientes operativos y de desarrollo de sistemas,
• soporte en caso de dificultades imprevistas, operativas o técnicas,
• manejo de salida de información, (por ejemplo: uso de papelería especial, listados de información confidencial, almacenamiento móvil, publicaciones en Intranet e Internet),
• eliminación segura de tareas con salida de información fallida,
• reinicio y recuperación de los sistemas, en caso de fallas, reinstalaciones o actualizaciones,
• instalación y mantenimiento del equipamiento de proceso de la información y de comunicaciones,
• instalación y mantenimiento de las plataformas de procesamiento de sistemas,
• programación y ejecución de las tareas en los ambientes de operaciones,
• monitoreo de los procesos y las comunicaciones,
• inicio y finalización de la ejecución de los sistemas,
• gestión de servicios,
• resguardo y restauración de la información,
• gestión de incidentes informáticos y de comunicaciones, considerando el posible impacto a la seguridad de los datos.
10.4. Gestión de Procesamiento Externo
En caso de tercerizar el procesamiento, se acordarán controles con el proveedor del servicio, los que se incluirán en el contrato vinculante.
Se contemplarán las siguientes cuestiones específicas:
• tercerizar aquellos trabajos relacionados con el ambiente de Desarrollo, según las evaluaciones que efectúe el Responsable de Sistemas y Seguridad (disponibilidad de personal, equipamiento para desarrollo de sistemas, nivel de sensibilidad de la información, etc.),
• obtener la aprobación de los Responsables Primarios de las aplicaciones específicas.
• identificar las implicancias para la continuidad de las actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• especificar las normas de seguridad y la verificación del cumplimiento.
• asignar funciones específicas y procedimientos para monitorear las actividades de seguridad.
• definir funciones, procedimientos de comunicación y manejo de incidentes de seguridad.
10. 5. Planificación y aprobación de Sistemas
10.5.1. Objetivo
Minimizar el riesgo de fallas en los sistemas.
Garantizar la disponibilidad de capacidad y recursos adecuados, para lo cual se requiere una planificación y una preparación anticipada. Para ello, se efectuarán proyecciones para futuros requerimientos de capacidad, a fin de reducir el riesgo de sobrecarga de los sistemas.
Todo nuevo requerimiento para el ambiente de Producción deberá establecerse, documentarse y probarse antes que el nuevo sistema se haya aprobado en el ambiente de Desarrollo.
10.5.2. Planificación de la capacidad
El Responsable de Sistemas determinará las necesidades de capacidad de los sistemas productivos, además de proyectar las futuras demandas, para garantizar un procesamiento adecuado.
Se tomarán en cuenta:
• nuevos requerimientos informáticos,
• tendencias actuales y proyectadas en el procesamiento de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE, para el período de vida útil de cada componente.
• utilización de los recursos clave del sistema (procesadores, almacenamiento principal, almacenamiento de archivos, impresoras, sistemas de comunicaciones etc.).
Las necesidades deberán ser informadas al Comité de Seguridad y a los responsables primarios, con el fin de identificar y evitar potenciales cuellos de botella que se traduzcan en amenazas a la seguridad o a la continuidad de los procesos.
10.5.3 Aprobación del sistema
El Responsable de Sistemas definirá los criterios de aprobación para los sistemas informáticos, sus actualizaciones y nuevas versiones.
Se deben considerar los siguientes puntos:
• impacto en el desempeño y requerimientos de capacidad de las computadoras,
• posibilidad de recuperación ante errores,
• planes de contingencia, y continuidad operativa del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• realización de las pruebas necesarias antes de la aprobación definitiva de los sistemas
• impacto de nuevas instalaciones sobre los sistemas existentes y la seguridad global del Organismo,
• definición de tareas y funciones para los administradores y usuarios,
• capacitación sobre administración, operación y/o uso de nuevos sistemas, antes de pasarlos al ambiente de Pruebas,
• documentación completa.
11. MANTENIMIENTO Y RESGUARDO DE LA INFORMACION
11.1. Objetivo
Definir un procedimiento de carácter confidencial, de realización de copias de respaldo y recuperación de archivos a fin de garantizar la integridad y disponibilidad de los servicios informáticos y datos con que opera el MINISTERIO DEL INTERIOR Y TRANSPORTE.
11.2. Alcance del Resguardo de la Información
Los Responsables de Sistemas y de Tecnología y Seguridad Informática, junto con los Responsables Primarios, determinarán y documentarán los requerimientos de resguardo del software y los datos de cada sector, en función de su criticidad.
El Responsable de Sistemas dispondrá y controlará la realización de dichas copias, así como las pruebas de restauración. Para ello contará con instalaciones de resguardo que garanticen disponibilidad de la información y el software critico del Organismo.
Recae en el Responsable de Sistemas, además, la obligación de informar al personal autorizado sobre la periodicidad con que deben hacerse las copias de seguridad obligatoriamente y respecto de la confidencialidad en el modo o sistema de realización de las mismas.
11.3. Controles del Resguardo y Recupero de la Información
Se definirán procedimientos para el resguardo de la información, que serán documentados e integrarán como Anexo de la presente Política, considerando los siguientes aspectos:
• esquema de rotulado de las copias de resguardo, a fin de contar con toda la información necesaria para la identificación y la administración del medio de almacenamiento utilizado,
• tipo y frecuencia de resguardo de información, por ejemplo: resguardo completo o parcial, frecuencia diaria-semanal-mensual, incremental, etc.,
• medios de almacenamiento utilizados para las copias de resguardo,
• destrucción segura de medios dados de baja,
• guarda de copias de los medios de resguardo dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE. Para ello, se tendrá en cuenta los niveles de clasificación de la información, en términos de disponibilidad y criticidad, a fin de definir la información a ser almacenada en sitio externo,
• almacenamiento externo de copias de todo el software y datos esenciales para la operación del Organismo, así como los procedimientos documentados de restauración,
• niveles de protección física y controles iguales o mayores que los aplicados al sitio principal, para la información guardada en un sitio externo,
• prueba periódica de los procedimientos de restauración, verificando eficacia y cumplimiento dentro del tiempo asignado para recuperación de datos en los procedimientos operativos.
Se efectuará un monitoreo de los sistemas de resguardo, de modo que cumplan con los requerimientos de los planes de continuidad de actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE.
11.4. Administración y Seguridad de los Medios de Almacenamiento
11.4.1. Objetivo
Los medios de almacenamiento y soporte de información deben protegerse físicamente.
Se deben establecer procedimientos operativos apropiados para controlar y proteger documentos, medios de almacenamiento (cintas, CD’s, DVD’s, disquetes, dispositivos de almacenamiento, etc.) listados impresos, etc., contra daño, robo y acceso no autorizado.
11.4.2. Administración de medios informáticos removibles
El Responsable de Tecnología y Seguridad implementará procedimientos para la administración de medios de soporte y almacenamiento informático, tales como cintas, CD’s, DVD’s, disquetes, informes impresos y dispositivos móviles (pen-drives, cámaras fotográficas digitales, etc.).
11.4.3. Eliminación de Medios de Información
El Responsable de Tecnología y Seguridad definirá procedimientos para la eliminación segura de datos en los medios de información respetando la normativa vigente. Cuando ya no son requeridos, los datos almacenados en medios informáticos deben eliminarse de manera diligente, para evitar que información sensible sea divulgada a usuarios ajenos al MINISTERIO DEL INTERIOR Y TRANSPORTE.
Para los procedimientos de almacenamiento y eliminación segura deberán considerarse los siguientes elementos:
• documentos en papel,
• grabaciones de voz o sonido,
• papel carbónico,
• informes de entrada/salida de personal,
• cintas de impresora de un solo uso,
• cintas magnéticas de cualquier tipo,
• discos removibles y/o diskettes,
• medios de almacenamiento óptico en todos los formatos (Ejemplos, CD-ROM, CD’s regrabables, DVD-ROM, DVD’s regrabables). Se incluyen los medios de distribución de software del fabricante o proveedor,
• listados de programas, soportados en cualquier medio (papel, magnético, óptico, etc.),
• datos de prueba, soportados en cualquier medio (papel, magnético. óptico, etc.),
• documentación de sistema, soportada en cualquier medio (papel, magnético, óptico, etc.),
• dispositivos de almacenamiento con memoria flash o similar (pen-drives, reproductores, cámaras fotográficas digitales, etc.).
Cuando un soporte que ha contenido o contiene datos de carácter personal sea desechado, previamente debe ser borrada toda la información que contiene mediante un sistema que no permita ni su aprovechamiento posterior ni la recuperación de los datos que contenía.
Se puede actuar bajo cualquiera de las dos opciones:
• Borrado lógico de la información de los soportes, de tal forma que no se permita el recuperado de la información.
• Destrucción completa del soporte.
Cuando un soporte que ha contenido o contiene datos de carácter personal sea reutilizado, previamente debe ser borrada toda la información mediante un sistema que no permita ni su aprovechamiento posterior ni la recuperación de los datos que contenía.
El Responsable de Tecnología y Seguridad establecerá un procedimiento de revisión de soportes, indicando la periodicidad (no inferior a seis meses) con la que se examinarán las bases de datos, y aquellos archivos que sean antiguos o no hayan sido modificados en ese plazo y no revistan utilidad, se quitarán de la red, y quedarán guardados sólo en las copias de seguridad.
11.5. Resguardo de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE
11.5.1. Objetivo
Los datos del MINITERIO DEL INTERIOR se protegerán contra pérdida, destrucción y/o falsificación.
Sin perjuicio de la clasificación de la información conforme a lo dispuesto en el apartado 8 de la presente Política, se tipificará la información según su uso, por ej., registros contables, base de datos, registros de auditoría y procedimientos operativos, etc. En cada uno de ellos se indicará el medio de almacenamiento, (papel, microfichas, medios ópticos, cintas magnéticas, etc.) y el período de conservación.
En el caso de claves criptográficas asociadas a archivos cifrados, éstas se mantendrán en forma segura, estando disponibles para su uso por parte de usuarios autorizados, cuando se requiera.
11.5.2. Procedimientos de Resguardo y Conservación de Datos
El Responsable de Tecnología y Seguridad definirá los medios de resguardo, el período en que la información permanecerá almacenada (período de conservación), y la frecuencia de resguardo. La definición de los resguardos deberá tener en cuenta la clasificación de datos que hayan efectuado los Responsables Primarios.
El Responsable de Tecnología y Seguridad definirá procedimientos de resguardo de la información, teniendo en cuenta la clasificación y tipo de datos, los sistemas, y los medios de almacenamiento a utilizar que haya definido previamente. Deberá indicarse, asimismo, una frecuencia para pruebas de restauración, a fin de garantizar la integridad de la información resguardada.
Se tomarán las siguientes medidas:
• lineamientos para resguardo, almacenamiento, período de conservación de los datos del MINISTERIO DEL INTERIOR Y TRANSPORTE, que quedará documentado e integrará la presente Política en forma de Anexo,
• preparar un cronograma de retención identificando los tipos esenciales de registros y el período durante el cual conservarse,
• Mantener un inventario de programas fuentes de información clave,
• implementar controles para proteger la información y los registros esenciales contra pérdida, destrucción y falsificación.
Para realizar estos procedimientos, podrá tomarse como base la siguiente tabla:
Tipo de Dato | Sistema de Información | Período de Conservación | Medio de Almacenamiento | Responsable Resguardo |
Los procedimientos de almacenamiento y manipulación de medios se implementarán de acuerdo con las recomendaciones del fabricante. Se deberá garantizar la capacidad de acceso a los datos (tanto legibilidad de formato como de medios) durante todo el período de conservación de los datos. Se tendrá en cuenta, además, una protección contra pérdidas ocasionadas por futuros cambios tecnológicos.
Los sistemas de almacenamiento garantizarán que los datos puedan recuperarse en tiempo y forma aceptables para los quienes lo requieran.
11.6. Intercambio de información y software
11.6.1. Objetivo
Impedir la pérdida, modificación o uso inadecuado de la información que se procesa entre Organismos.
El intercambio de información y software entre Organismos debe ser controlado, consecuente con la legislación aplicable, y bajo acuerdos existentes.
Se establecerán normas y procedimientos para proteger la información y los medios en tránsito, que serán formalizados entre el MINISTERIO DEL INTERIOR Y TRANSPORTE y quienes corresponda, mediante acuerdos de interconexión y acceso a datos por cuenta de terceros y acuerdos de intercambio de información y software, acuerdos de outosourcing, entre otros. Se deben considerar implicancias de seguridad y controles relacionados con el intercambio de datos, el correo electrónico, y sistemas de acceso vía redes (Internet, Intranet o similares).
11.6.2. Acuerdos de Intercambio de Información y Software
Deberá especificarse el grado de sensibilidad de la información objeto de tratamiento. Se tendrán en cuenta los siguientes aspectos:
• responsabilidades en el control y la notificación de transmisiones, envío y recepción,
• normas y procedimientos para notificar emisión, envío y recepción,
• especificaciones técnicas para la estructura de transmisión.
• pautas para la identificación del prestador del servicio de transmisión de datos,
• responsabilidades y obligaciones en caso de pérdida de información,
• determinación del rotulado de información clasificada, garantizando la inmediata comprensión de los rótulos, y la protección adecuada de los datos,
• términos y condiciones de la licencia bajo la cual se suministra el software de transmisión de datos,
• propiedad de la información suministrada y condiciones de uso,
• si se requiere, normativa técnica para grabar y/o leer la información y el software,
• controles especiales para proteger ítems sensibles (claves criptográficas, firma digital, etc.).
11.6.3. Seguridad de la interoperabilidad y el Gobierno Electrónico
Todas las medidas vinculadas al Plan de Gobierno Electrónico del MINISTERIO DEL INTERIOR Y TRANSPORTE se dictarán conforme a lo dispuesto en los Decretos Nº 103 del 25 de enero de 2001, Nº 378 de 27 del abril de 2005, Nº 628 del 13 de junio de 2005, Nº 512 del 7 de mayo de 2009, la Decisión Administrativa 669/2004, la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS DE LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 06 de 10 de agosto de 2005, La Ley 25.506 de Firma Digital y el Decreto Reglamentario 2628/2002; Ley 26.343 de Protección de los Datos Personales y su Decreto Reglamentario 1558/2001.
El Responsable de Tecnología y Seguridad Informática verificará que las aplicaciones de interoperabilidad y Gobierno Electrónico incluyan los siguientes aspectos:
• Autenticación: nivel de confianza recíproca suficiente sobre la identidad del usuario y el MINISTERIO DEL INTERIOR Y TRANSPORTE.
• Autorización: niveles adecuados para establecer disposiciones, emitir o firmar documentos clave, etc. Deberá establecerse la forma de comunicarlo a la otra parte de la transacción electrónica.
• Procesos de oferta y contratación pública: requerimientos de confidencialidad, integridad, prueba de envío y recepción de documentos clave y no repudio de contratos.
• Trámites en línea: confidencialidad, integridad, confirmación de recepción y no repudio de los datos suministrados con respecto a trámites y presentaciones ante el Estado.
• Verificación: nivel apropiado de constatación de los datos suministrados por los usuarios.
• Cierre de la transacción: establecer la forma más adecuada de finalizar el intercambio, para evitar fraudes.
• Protección a la duplicación: asegurar que una transacción sólo se realice una vez, a menos que se especifique lo contrario.
• No repudio: establecer la manera de evitar que una entidad que haya enviado o recibido información alegue que no la envió o recibió.
• Responsabilidad: asignación de responsabilidades ante el riesgo de presentaciones, tramitaciones o transacciones fraudulentas.
11.6.4. Sistemas de Acceso Público y Semipúblico
Se tomarán recaudos para proteger la integridad de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE ubicada en accesos públicos o semipúblicos, de manera de prevenir modificaciones no autorizadas o intrusiones.
Un sistema de acceso público o semipúblico es aquel que procesa o difunde datos accesibles desde Internet, Intranet u otras redes conectadas a los sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE.
Como requisito previo a la publicación de información en dominio público o semipúblico, deben verificarse las autorizaciones formales que correspondan. Los responsables de dichas autorizaciones estarán claramente definidos.
Los sistemas de acceso público o semipúblico deberán tener en cuenta lo siguiente:
• la información obtenida y/o publicada debe ajustarse a las leyes y normativas vigentes, en especial la Ley de Protección de Datos Personales,
• la información y/o sistemas a publicarse deben haber seguido las etapas de desarrollo, prueba y producción,
• se protegerá adecuadamente la información sensible que se publique en los ambientes de Internet o Intranet, tanto durante los procesos de ingreso de datos como en el posterior almacenamiento.
• el sistema de publicación debe inhibir accesos no autorizados a las redes internas u otras a las cuales éste se conecte,
• el Responsable Primario de los sistemas de publicación designará formalmente al responsable de la publicación de información en Internet o Intranet,
• se garantizará la validez y vigencia de la información publicada,
• se instalarán sistemas de filtrado de acceso a Internet por parte de empleados y personal jerárquico del MINISTERIO DEL INTERIOR Y TRANSPORTE.
11.6.5. Seguridad Frente al Acceso por Parte de Terceros
Cuando exista un requerimiento de acceso a la información del Organismo por parte de terceros, o bien éstos presten al MINISTERIO DEL INTERIOR Y TRANSPORTE un servicio determinado que requiera acceder a los sistemas de información o a las instalaciones donde se encuentran los recursos, se deberá efectuar una evaluación de riesgos y una identificación de requerimientos de control específicos. Se tendrán en cuenta los tipos de acceso (físico o lógico) implicados, el valor de la información, los controles empleados por la tercera parte y la incidencia de este acceso en la seguridad de la información del Ministerio.
En caso que las terceras partes accedan a determinada información del MINISTERIO DEL INTERIOR Y TRANSPORTE, deberá celebrarse un acuerdo de tratamiento de datos de carácter personal alojados en bases públicas. El convenio a suscribir deberá prever la transferencia de información; interconsulta y la eventual cesión de datos de carácter personal alojados en las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE. Deberá acordarse el tipo de acceso a datos por cuenta de terceros y de cesión de datos, que dé cumplimiento a los principios de tratamiento del dato y obligaciones del responsable del tratamiento, en particular lo previsto en los artículos 4, 9, 10, 11, 14, 15 y 16 de la Ley 25.326; atendiendo especialmente a establecer taxativamente las finalidades de la cesión, se cumplan las medidas de seguridad exigidas en relación con la calidad de los datos comprometidos; se pacte expresamente el destino que se les dará a los datos, registros y log que puedan originarse con motivo del tratamiento durante la vigencia del acuerdo y una vez finalizado éste.
Asimismo, deberán establecerse contractualmente el alcance de responsabilidades y sus límites, en relación con el vínculo de cesionario/cedente y encargado de tratamiento/responsable de la base de datos, respectivamente.
Sin perjuicio de los requerimientos exigidos anteriormente, en el contrato principal o en anexos complementarios, debe acordarse:
• sujeción y compliance con la Política de Seguridad del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• controles para garantizar la recuperación o destrucción de la información y los activos al finalizar el contrato, o en un momento convenido durante la vigencia del mismo,
• niveles de servicio esperados y aceptables,
• autorización de transferencias de personal, cuando correspondan,
• derechos de propiedad intelectual y protección de trabajos realizados en colaboración,
• elaboración y presentación de informes de notificación e investigación de incidentes y violaciones a la seguridad; deberá establecerse el formato de presentación de dichos informes, y del receptor de los mismos por parte del MINISTERIO DEL INTERIOR Y TRANSPORTE;
• derecho del MINISTERIO DEL INTERIOR Y TRANSPORTE a monitorear, auditar, y revocar o impedir la actividad de los terceros;
• la relación entre proveedores del MINISTERIO DEL INTERIOR Y TRANSPORTE y subcontratistas de aquéllos.
12. CONTROL DE ACCESO LOGICO
12.1. Objetivos
Deben implementarse procedimientos formales que controlen la asignación de derechos de acceso lógico a los sistemas de información y bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE. Dichos procedimientos estarán claramente documentados y notificados.
Los procedimientos abarcarán todas las etapas del ciclo de vida de los accesos de los usuarios de todos los niveles, incluyendo:
• etapa inicial, otorgamiento de derechos de acceso a nuevos usuarios,
• etapa intermedia, cambio de derechos de acceso por nuevos requerimientos de trabajo, desplazamiento a otras áreas del MINISTERIO DEL INTERIOR Y TRANSPORTE, o porque ya no se requieren.
• eliminación de los derechos por baja de los usuarios.
Los principales objetivos perseguidos con el control de acceso lógico a los sistemas informáticos, aplicaciones y bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE son los siguientes:
• Implementar seguridad en los accesos por medio de técnicas de identificación, autenticación y autorización.
• Controlar la seguridad en la interoperabilidad entre la red del Organismo y otras redes públicas o privadas.
• Registrar y revisar eventos y/o actividades críticas llevadas a cabo por los usuarios en los sistemas.
• Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. Para ello se deben tener en cuenta las políticas de difusión y autorización de la información:
• Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.
12.2. Responsabilidades
El Responsable de Tecnología y Seguridad Informática tendrá a su cargo:
• definir normas, procedimientos y configuraciones para la gestión de accesos a todos los sistemas, bases de datos y servicios de información del MINISTERIO DEL INTERIOR Y TRANSPORTE,
• definir las tecnologías de identificación y autenticación de usuarios adecuadas para la Organización (Ej.: biometría, verificación de firmas, autenticadores de hardware, etc.),
• definir pautas de utilización de Internet e Intranet, estableciendo procedimientos formales para la solicitud y aprobación de accesos.
• implementar los accesos remotos a la red del MINISTERIO DEL INTERIOR Y TRANSPORTE, adoptando todas las medidas de seguridad de la información que correspondan, y cumpliendo con las normas vigentes.
• monitoreo del uso del equipamiento e instalaciones informáticas, el uso de computación móvil, y el acceso remoto.
• implementación de subdivisiones de la red (por ejemplo, mediante Redes LAN Virtuales), por medio de routers y/o gateways, recomendando los esquemas más seguros, eficientes y apropiados para la red del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• definición de normas y procedimientos de seguridad, así como su implementación en los sistemas operativos, servicios de red, y sistemas de comunicación (switches, routers, gateways, etc.). Los procedimientos deberán revisarse y validarse periódicamente.
El Responsable de Sistemas tendrá a su cargo:
• implementar los métodos de autenticación y control de acceso definidos para los sistemas, bases de datos y servicios.
• implementar pautas para los controles de acceso, a saber:
- identificación, autenticación de usuarios y administración de contraseñas,
- administración de permisos
- utilización de servicios de red
- identificación y autenticación de nodos
- uso controlado y restringido de utilitarios del sistema operativo,
- desconexión de terminales por tiempo muerto de uso,
- limitación del horario de conexión a la red,
- registro de eventos,
- protección de las redes, mediante implementación de subredes, limitación de puertos de acceso, control de conexiones, control de ruteo de red, etc.,
• controlar la asignación de permisos a usuarios. Se deberán implementar procedimientos formales para otorgar o bloquear los derechos de acceso a la red de acuerdo con la correspondiente autorización del Responsable Primario,
• definir e implementar un proceso formal y periódico de revisión de los permisos de acceso a la información. Esta tarea se efectuará juntamente con los Responsables Primarios de la Información,
• definir e implementar registros de auditoría de eventos de los sistemas operativos, los procesos y las comunicaciones,
• implementar el registro de eventos o actividades de usuarios de acuerdo con lo definido por los propietarios de la información, así como la depuración de los mismos,
• concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de trabajo y asistirlos en los análisis de riesgo a los que se expone tanto a la información como a los dispositivos informáticos de soporte,
Los Responsables Primarios de la Información estarán encargados de:
• evaluar los riesgos a los que se expone la información, con el objeto de determinar los controles de accesos, autenticación y permisos de uso a implementarse en cada caso,
• autorizar y solicitar la asignación de los permisos de acceso a los usuarios de su área,
• autorizar y justificar las solicitudes de acceso a trabajo remoto por parte del personal a su cargo.
12.3. Política de Control de Accesos
Las reglas y derechos de accesos de los usuarios deben ser claramente establecidas. Asimismo, los proveedores de servicios deberán indicar, en forma precisa, los requerimientos técnico-comerciales que satisfacen a los controles de acceso aquí establecidos.
Para ello, de forma previa a la definición de las reglas de control de acceso, será menester identificar los requerimientos de seguridad de la información relacionada con cada una de las aplicaciones, de la legislación aplicable y/o las obligaciones contractuales que emanen de la protección del acceso a datos y servicios.
12.4. Reglas de control de accesos
Al especificar las reglas de control de acceso, se debe considerar lo siguiente:
• diferenciar entre reglas obligatorias, optativas o condicionales,
• establecer reglas sobre la base del mínimo privilegio requerido para trabajar sobre los sistemas, bases de datos o servicios,
• establecer reglas sobre la base de la premisa “Todo está generalmente prohibido a menos que se permita expresamente”, por encima de la regla “Todo está permitido a menos que se prohíba expresamente”,
• establecer lineamientos en los cambios automáticos de los rótulos de información, por medio de aplicativos o sistemas, versus aquellos el usuario inicia según su criterio,
• controlar cambios en los permisos de usuario, efectuados automáticamente por el sistema operativo de red, y/o aquellos que efectúa el administrador;
• definir las reglas que requieren autorización del Responsable Primario, antes de entrar en vigencia, y aquellas que no la requieren.
• definir los perfiles de acceso de usuarios comunes a cada categoría de puestos de trabajo,
• establecer los tipos de conexiones de red disponibles, administrando los derechos de acceso que correspondan a ambientes distribuidos.
12.5. Administración de Accesos de Usuarios
12.5.1. Objetivo
Controlar la asignación de permisos, el registro inicial de nuevos usuarios, la modificación por requerimientos de trabajo o desplazamiento de área, la revocación de permisos, eliminación de acceso y controlar los accesos no autorizados.
12.5.2. Registración de Usuarios
El Responsable de Tecnología y Seguridad Informática definirá un procedimiento formal de registro de usuarios, a fin de que el Responsable de Sistemas otorgue y/o revoque el acceso a todos los sistemas, bases de datos y servicios de información del MINISTERIO DEL INTERIOR Y TRANSPORTE.
Dicho procedimiento debe estipular:
• uso de cuentas de usuario único, de manera detectar a cada persona por sus acciones. Se evitará, en la medida de lo posible, la existencia de múltiples perfiles de acceso para un mismo empleado. Asimismo, deberá verificarse, periódicamente, la existencia de cuentas redundantes, a fin de bloquearlas y/o eliminarlas,
• excepcionalmente, permitir el empleo de cuentas grupales y/o genéricas para el uso conveniente del correo electrónico u aplicaciones. El Responsable Primario definirá aquellos usuarios de su área que harán uso de estas cuentas u aplicativos, indicando los permisos que correspondan,
• establecer cuentas genéricas o grupales diferentes para cada uno de los ambientes —desarrollo, prueba y producción—, donde se encuentre instalado la aplicación.
• implementar los permisos de acceso sólo si se verifica que el usuario tiene autorización formal del Responsable Primario de la Información;
• verificar que los permisos de acceso a otorgar sean adecuados para el propósito y función del usuario, en total coherencia con las presentes Políticas de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE. El Responsable Primario deberá asesorarse sobre los riesgos a la seguridad que impliquen otorgar accesos indebidos, o pertenecientes a áreas que no son de su incumbencia.
• entregar a los Responsables Primarios un detalle escrito de los derechos de acceso y recursos disponibles para los usuarios que accedan a sistemas y/o datos de su área,
• mantener un registro formal de todas las personas autorizadas para utilizar los servicios. El Responsable de Sistemas brindará una copia periódica de dicho registro a los Responsables Primarios, a la Unidad de Auditoría Interna y al Comité de Seguridad,
• requerir que los usuarios notifiquen que conocen y aceptan los derechos y responsabilidades emanadas de los permisos de acceso a la información,
• establecer los mecanismos formales de comunicación sobre los usuarios que cambian sus tareas, se desvinculan del MINISTERIO DEL INTERIOR Y TRANSPORTE, o sufrieron pérdida/robo de credenciales de acceso. Esta es una tarea conjunta entre los Responsables Primarios, el Responsable de Seguridad y el Responsable de Recursos Humanos, quien deberá informar de inmediato al Responsable de Sistemas, para modificar, eliminar o bloquear los permisos de acceso según el caso,
• inhabilitar cuentas inactivas por más de 180 días. Se informará al Responsable Primario, quien autorizará a la habilitación de la cuenta o su baja definitiva,
• eliminar cuentas inactivas por más de 300 días,
• garantizar que cada cuenta de usuario sea utilizada exclusivamente por el titular de la misma.
• Los contratos de personal, terceros y/o de servicios deberán contener cláusulas que especifiquen sanciones ante la violación de los controles de acceso autorizados.
12.6. Administración de Privilegios
El uso inadecuado de privilegios que permitan a un usuario pasar por alto los controles de seguridad informático es una causa frecuente de fallas en los sistemas informáticos. Por tanto, se deberá ejercer un estricto control en la asignación y uso de privilegios, mediante procedimientos formales de autorización.
Se deben tener en cuenta los siguientes aspectos:
• identificación de los privilegios asociados a cada producto: sistema operativo, base de datos y/o aplicativo. Deberán definirse las categorías de personal a las cuales se asignarán los privilegios,
• asignar privilegios sobre la base del mínimo permiso necesario y la necesidad de uso de acuerdo con el rol funcional del usuario,
• implementar procedimientos de autorización y registro de todos los privilegios asignados,
• no otorgar privilegios sin haber completado el proceso formal de autorización,
• establecer períodos de vigencia los privilegios brindados, en base a la utilización que se le dará a los mismos.
• Revocar los permisos al finalizar su uso o los motivos que le dieron causa,
• desarrollar rutinas del sistema operativo para evitar la necesidad de otorgar privilegios a los usuarios,
Los Responsables Primarios de la Información serán los encargados de autorizar y requerir la asignación de privilegios a los usuarios. El Responsable de Sistemas ejecutará la solicitud y el Responsable de Tecnología y Seguridad supervisará los pedidos.
12.7. Administración de Contraseñas de Usuario
Las contraseñas constituyen un medio común de validación de la identidad de un usuario para acceder a un sistema o servicio informático. La asignación de contraseñas debe controlarse a través de un proceso de administración formal, mediante el cual debe llevarse a cabo lo siguiente:
• los usuarios firmarán una declaración de compromiso de mantener en secreto las contraseñas de sus cuentas (red, correo, aplicativos, etc.), que formará parte del compromiso de confidencialidad anexo al contrato de trabajo. Una cláusula de igual tener será incluida en los acuerdos o contratos firmados con terceras partes u Organismos ajenos al MINISTERIO DEL INTERIOR Y TRANSPORTE.
• se implementará el uso de contraseñas provisorias, que se asignarán a usuarios temporales o cuando un usuario haya olvidado su contraseña. El titular de la cuenta deberá cambiar dicha contraseña la primera vez que ingrese a los sistemas.
• las contraseñas provisorias se suministrarán una vez que el Responsable Primario haya autorizado formalmente su asignación,
• se recomienda generar contraseñas provisorias seguras. Debe evitarse la participación de terceros, tanto en la generación como en la entrega de la misma. Si se emplea correo electrónico, se recomienda entregar la contraseña por medio de mensajes cifrados, con acuse de recibo por parte del usuario,
• en caso que ser necesario, utilizar tecnologías de autenticación y autorización de usuarios, como ser verificación de firma digital, uso de autenticadores de hardware (p. ej.: tarjetas de circuito integrado), biometría (p. ej.: verificación de huellas dactilares), etc. El Responsable de Tecnología y Seguridad evaluará y propondrá el empleo de estas herramientas al Comité de Seguridad,
• configurar los sistemas de tal manera que las contraseñas tengan una longitud mínima de 8 caracteres,
• bloquear la cuenta cuando el usuario haya efectuado 5 intentos de ingresar con una contraseña incorrecta. El usuario podrá solicitar una rehabilitación manual de la cuenta, para lo cual deberá solicitarse un requerimiento formal, autorizado por el Responsable Primario de la Información.
• requerir cambios contraseña trimestrales, impidiendo que las últimas 3 sean reutilizadas,
• imponer el uso de cuentas personales individuales, a fin de efectuar un para determinar responsabilidades,
• permitir que los usuarios seleccionen y cambien sus propias contraseñas, en los casos de ingreso inicial o modificación autorizada,
• mantener un registro (por ejemplo: a través del Sistema Operativo) de las últimas contraseñas utilizadas por el usuario, para evitar la reutilización de las mismas,
• mantener ocultas las contraseñas, cuando se ingresan por pantalla,
• los archivos de contraseñas de acceso a las aplicaciones deben almacenarse en forma separada a los archivos de contraseñas de bases de datos,
• se recomienda almacenar las contraseñas en forma cifrada, utilizando un algoritmo de cifrado unidireccional, hash u otro,
• modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.). De ser posible, debe cambiarse el nombre del usuario administrador inicial (p. ej.: admin, root, administrador, etc.),
12.8. Uso de Cuentas con Perfil de Administrador
Existen cuentas de usuario con las cuales es posible efectuar actividades críticas, como ser instalación y administración de plataformas, habilitación de servicios, actualización de software, configuración de componentes informáticos, etc.
Dichas cuentas tienen el nivel superior de privilegios. No deben ser de uso habitual, y sólo serán utilizadas ante una necesidad crítica o una tarea que lo requiera. Las mismas se encontrarán protegidas por contraseñas más robustas que el procedimiento habitual.
El Responsable de Tecnología y Seguridad definirá procedimientos para la administración de dichas cuentas. Deberá contemplarse lo siguiente:
• definir formalmente las causas que justifiquen el uso de cuentas de administrador, así como los niveles de autorización requeridos,
• definición de contraseñas seguras.
• de ser posible, renombrar las cuentas administrativas embebidas en los sistemas operativos,
• los nombres y las contraseñas de las cuentas críticas se resguardarán con un alto nivel de seguridad (p. ej.: en archivos encriptados),
• registrar y revisar todas las actividades que se efectúen con las cuentas críticas, renovándose las correspondientes contraseñas, de ser posible, una vez que sean usadas,
12.9. Uso de Contraseñas
Los usuarios deberán observar prácticas confiables en la selección y uso de contraseñas, teniendo en cuenta que éstas constituyen el medio de validación de derechos de acceso a los recursos informáticos, siendo de cumplimiento obligatorio:
• mantener las contraseñas en secreto,
• pedir un cambio de la contraseña siempre que exista un posible indicio de violación de las contraseñas o los sistemas.
• seleccionar contraseñas seguras, que tengan en cuenta las siguientes recomendaciones: que sean fáciles de recordar por el titular de la cuenta; que no estén basadas en algún dato que otra persona pueda adivinar u obtener fácilmente; y que no tengan caracteres idénticos consecutivos o grupos totalmente numéricos o totalmente alfabéticos.
• cambiar las contraseñas cada vez que el sistema se lo solicite.
• evitar reutilizar contraseñas viejas.
• cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”). El sistema operativo podrá obligar al usuario a este cambio.
• notificar cualquier incidente relacionado con la pérdida, robo de las contraseñas.
• en el caso de múltiples servicios o plataformas, se recomienda el empleo de un sistema de integración de identidades, con acceso por cuenta única.
12.10. Control de acceso a la red
12.10.1. Objetivo
Es necesario controlar el acceso a las redes del MINISTERIO DEL INTERIOR Y TRANSPORTE, a fin que los usuarios puedan hacer uso de los servicios, tanto internos como externos, sin comprometer la seguridad. Atento ello, se sugiere implementar:
• interfaces adecuadas entre la red del MINISTERIO DEL INTERIOR Y TRANSPORTE, sus Direcciones Nacionales, y las redes públicas o redes con las que se interconecte de terceros Organismos;
• mecanismos de autenticación apropiados para usuarios y equipamiento;
• controles de acceso a los servicios.
12.10.2. Política de utilización de los servicios de red
El Responsable de Sistemas otorgará el acceso a los servicios y recursos de red, siempre y cuando se efectúe el requerimiento formal por parte del Responsable Primario, para el personal de su incumbencia.
Se dará especial importancia a aquellas aplicaciones que procesen información crítica, y a usuarios ubicados en sitios de alto riesgo (por ejemplo: áreas de afluencia de público, oficinas externas al ámbito de control de seguridad del Organismo, etc.).
Para ello, se implementarán procedimientos para activar y desactivar conexiones a las redes. Se considerará:
• identificar los servicios de red y las conexiones para a los cuales se brinda el acceso,
• implementar normas y procedimientos de autorización, a fin de determinar las personas que harán uso de los servicios de red,
• establecer controles y procedimientos de gestión para proteger las conexiones y los servicios.
12.10.3. Camino Forzado
Previendo las posibles vulnerabilidades que pueden sucederse a consecuencia del diseño de las redes de comunicaciones, deben limitarse las opciones de elección de la ruta entre la terminal de usuario y los servicios de red autorizados, siendo recomendable:
• asignar números telefónicos o líneas, en forma dedicada,
• establecer que todas las conexiones autorizadas pasen a través de dispositivos de seguridad específicos (por ejemplo: conexiones forzadas a firewalls, routers, etc.).
• limitar las opciones de menú y submenú en los aplicativos, para los usuarios no administrativos,
• en los puestos de trabajo, limitar los aplicativos y opciones instalados en el escritorio a los relacionados con las tareas específicas de cada usuario,
• evitar la navegación ilimitada por la red por medio de dominios lógicos separados (por ejemplo, redes privadas virtuales para grupos de usuarios dentro o fuera del MINISTERIO DEL INTERIOR Y TRANSPORTE),
• imponer el uso de aplicativos y/o gateways de seguridad específicos para usuarios externos de la red,
12.10.4. Autenticación de Nodos
Los usuarios remotos deben cumplir con procedimientos de autenticación, para disminuir el riesgo de accesos no autorizados mediante conexiones externas a la red de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE. A tal fin, los Responsables Primarios y de Sistemas realizarán una evaluación de riesgos a fin de determinar el mecanismo de autenticación adecuado para cada caso.
Las conexiones de sistemas remotos deben autenticarse, particularmente si las mismas provienen de redes externas al control de la gestión de seguridad del Organismo.
La autenticación de nodos es un medio alternativo de establecer la identidad de usuarios remotos, cuando éstos desean acceder a una red segura. La autenticación de usuarios remotos puede llevarse a cabo utilizando:
• herramientas físicas de autenticación (por ejemplo llaves de hardware). Para ello, debe implementarse un procedimiento que incluya una asignación formal de la llave de autenticación a quien lo requiera, un registro de los poseedores de las herramientas que se actualice periódicamente, un proceso de recuperación/devolución de la herramienta al momento de la desvinculación del personal poseedor de la misma y un método de revocación de acceso, en caso de un compromiso a la seguridad.
• protocolos de autenticación (por ejemplo desafío/respuesta). En este caso, debe implementarse un procedimiento que incluya el establecimiento de las reglas de autenticación con el usuario, el establecimiento de un ciclo de vida de las reglas, en miras a su renovación.
• líneas dedicadas privadas con controles de rellamada. En este caso es importante que el proceso produzca una desconexión real del lado del Organismo, al finalizar la llamada.
• redes privadas virtuales.
12.10.5. Protección de los puertos de diagnóstico remoto
Muchas computadoras y sistemas de comunicación poseen una herramienta de diagnóstico remoto, para uso del soporte técnico. Los puertos de diagnóstico son un potencial medio de acceso no autorizado, por lo que deben protegerse, ejerciendo un control seguro sobre los mismos. Algunos mecanismos de seguridad apropiados pueden ser:
• llaves de seguridad,
• procedimientos de acceso, establecidos mediante un acuerdo entre el Responsable de Sistemas y el proveedor del soporte técnico de los recursos informáticos,
12.10.6. Computación Móvil y Trabajo Remoto
Al emplear equipos informáticos móviles, se debe tener especial cuidado de no comprometer la información del Organismo. En esta categoría se incluyen a modo enunciativo y ejemplificativo no taxativo, todos los dispositivos móviles y/o removibles, a saber:
• notebooks, laptops o PDA (Asistente Personal Digital),
• teléfonos celulares, blackberry y sus tarjetas de memoria,
• dispositivos de almacenamiento removibles, tales como CD’s, DVD’s, diskettes, cintas, discos, etc.,
• dispositivos de almacenamiento de conexión de Bus Serie Universal —USB—, tales como: tarjetas de identificación personal (control de acceso), dispositivos criptográficos, cámaras digitales, reproductores de archivos mp3, etc.
• otros dispositivos removibles o portátiles que puedan contener información confidencial, sensible y/o crítica del Organismo.
Se implementarán procedimientos y medidas de seguridad adecuadas para el uso de estos dispositivos, abarcando los siguientes conceptos:
• acceso a los sistemas de información y servicios del Organismo a través de dichos dispositivos.
• técnicas criptográficas a utilizar para la transmisión de información con alto nivel de clasificación.
• mecanismos de resguardo de la información contenida en los dispositivos.
• protección contra software malicioso.
• procedimientos sobre los cuidados especiales a observar, contemplando las siguientes recomendaciones: permanecer siempre cerca del dispositivo, no dejar equipos desatendidos, tratándose de equipos valiosos, no llamar la atención, abstenerse de poner identificaciones del Organismo en el dispositivo, salvo lo estrictamente necesario, no poner datos de contacto técnico en el dispositivo y mantener la información clasificada de forma cifrada.
• procedimientos para que el portador de los dispositivos reporte rápidamente cualquier incidente sufrido, de manera de mitigar los riesgos de exposición de los sistemas de información del Organismo.
El trabajo remoto permite que el personal trabaje desde un lugar externo al Organismo, mediante una tecnología de comunicaciones; y será autorizado por el Responsable Primario del área a la cual pertenezca el usuario solicitante, y el Responsable de Sistemas.
Las normas y procedimientos establecidos para el trabajo remoto, deben tener en cuenta los siguientes aspectos:
• la seguridad física existente en el edificio y el ambiente del sitio de trabajo remoto.
• los requerimientos de seguridad de comunicaciones, atendiendo a la sensibilidad de la información a la que se accederá y la sensibilidad y/o criticidad del sistema al que se accede, conforme el perfil de acceso que tenga el usuario.
• las amenazas de acceso no autorizado a información o recursos por parte de otras personas que utilizan el lugar, por ejemplo, familia y amigos.
• cuando corresponda, bloquear las autorizaciones, y derechos de acceso al finalizar las actividades de trabajo remoto.
• cuando corresponda, establecer procedimientos para la devolución de equipamiento, propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE, que haya sido utilizado en las actividades remotas, cuando éstas hayan finalizado. Se deberá asegurar que dicho equipamiento sea reintegrado en las mismas condiciones en que fue entregado.
• evitar la instalación/desinstalación de software no autorizado por el Organismo, desde lugares remotos.
12.10.7. Subdivisión de Redes
La interconexión de las oficinas centrales del MINISTERIO DEL INTERIOR Y TRANSPORTE, sus Direcciones Nacionales, y Delegaciones del Interior del país configura una red de área extensa (WAN). Esta configuración debe protegerse, para evitar el riesgo de accesos no autorizados.
Para ello, se definirán los perímetros de seguridad que sean convenientes. Los mismos se implementarán mediante la instalación de firewalls o por redes privadas virtuales, para filtrar el tráfico. Asimismo, puede implementarse una subdivisión en dominios lógicos de red, que tome en cuenta criterios como:
• requerimientos de seguridad comunes de grupos usuarios
• mayor o menor exposición de un grupo a peligros externos, separación física, u otros criterios de aglutinamiento o separación preexistentes.
El Responsable de Tecnología y Seguridad determinará el esquema más apropiado, evaluando el costo y el impacto de performance que ocasione la instalación de routers o gateways adecuados para subdividir la red.
12.10.8. Control de Ruteo de Red
En las redes, especialmente aquellas que se extienden fuera de los límites del Organismo, se incorporarán controles de ruteo, para asegurar que las conexiones informáticas no violen las políticas de Control de Accesos. Estos controles deben contemplar, como mínimo, la verificación positiva de direcciones de origen y destino. Otros métodos pueden ser: autenticación de protocolos de ruteo, ruteo estático, traducción de direcciones y listas de control de acceso.
12.10.9. Seguridad de los Servicios de Red
El Responsable de Tecnología y Seguridad definirá los lineamientos para garantizar la seguridad de los servicios de red del MINISTERIO DEL INTERIOR Y TRANSPORTE, tanto públicos como privados. Para ello se tendrán en cuenta las siguientes pautas:
• instalar y habilitar sólo aquellos servicios que sean efectivamente utilizados,
• controlar el acceso a los servicios, tanto en el uso como en la administración,
• verificar las vulnerabilidades que pueda presentar cada servicio, para configurarlo de manera segura,
• implementar procedimientos para instalar actualizaciones y parches de seguridad que publiquen los fabricantes o proveedores de los sistemas en forma periódica.
Las configuraciones de los servicios deberán documentarse, y revisarse periódicamente.
12.11. Control de acceso al sistema operativo
12.11.1. Objetivo
Impedir el acceso no autorizado a servidores y puestos de trabajo. A tal fin, se utilizarán mecanismos de seguridad a nivel de sistema operativo, a fin de restringir el acceso a los recursos de los servidores y puestos de trabajo. Dentro del catalogo de medidas disponibles, se estima oportuno configurar el sistema operativo de modo que sea posible:
• identificar y verificar la identidad, además de la terminal o ubicación de cada usuario autorizado,
• registrar accesos exitosos y fallidos al sistema,
• suministrar medios de autenticación apropiados. Si se emplean sistemas de administración de contraseñas, debe asegurarse la calidad de las mismas (conforme Punto 11),
• restringir los tiempos de duración de sesiones de red, según corresponda.
12.11.2. Identificación de Puestos de Trabajo y Servidores
El Responsable de Tecnología y Seguridad efectuará una evaluación de riesgos para determinar un método de identificación adecuado. De dicha evaluación, se redactará un procedimiento que indique:
• el método de identificación utilizado,
• la forma de describir cada equipo en el detalle global de la red.
12.11.3. Procedimientos de Conexión
El acceso a los servicios de información sólo será posible a través de un proceso de inicio de sesión seguro, que permita minimizar la oportunidad de accesos no autorizados. Debe divulgarse la mínima información posible acerca de los sistemas, a fin de no proveer asistencia innecesaria a un usuario no autorizado.
En el proceso de conexión a la red o aplicativos, se deberá implementar lo siguiente:
• mantener en secreto las claves de acceso,
• desplegar un aviso general advirtiendo que sólo usuarios autorizados pueden acceder al puesto de trabajo o un servidor,
• no presentar mensajes de ayuda,
• validar la información de la conexión sólo al completarse el inicio de sesión,
• si surge una condición de error, el sistema no debe indicar qué parte de los datos es correcta o incorrecta.
• limitar el número de reintentos de conexión, a un límite máximo de cinco (5),
• registrar los intentos de acceso no exitosos,
• una vez superado el límite permitido para reintentos de acceso, el equipo debe bloquear temporalmente la conexión a la red.
12.11.4. Identificación y autenticación de los usuarios
Los usuarios de los servicios de red del MINISTERIO DEL INTERIOR Y TRANSPORTE deben tener una única cuenta de acceso al sistema operativo, cualquiera sea su jerarquía, función o tarea. La misma debe ser de uso exclusivo por su titular, no debiendo ser transferida bajo circunstancia alguna. En caso de existir un compromiso de seguridad, las actividades de la cuenta podrán rastrearse, hasta llegar al individuo responsable.
Las cuentas personales no deben dar ningún inicio del nivel de privilegio del usuario. Se recomienda que las mismas se denominen indicando la primera letra del nombre y el apellido, con un máximo de doce (12) caracteres.
Para el caso del sistema de correo, se podrán emplear cuentas genéricas, a compartir con un grupo de usuarios, a fin de cumplir una tarea específica. Para ello, se requerirá la definición de un responsable de cuenta, designado por el Responsable Primario de la Información, así como una justificación para la creación y uso de la misma.
12.11.5. Uso de Utilitarios de Sistemas Operativos
La mayoría de los sistemas operativos de las instalaciones informáticas tienen uno o más programas utilitarios pre-instalados. Estos utilitarios tienen capacidad de pasar por alto controles de sistemas y aplicaciones. Por ello, se impone que su uso sea limitado. Se deben considerar los siguientes controles:
• los utilitarios del sistema deben ser sólo accesibles a los administradores de los sistemas operativos instalados en los equipos.
• en los puestos de trabajo, los usuarios autorizados sólo deben acceder a software de aplicaciones.
• definir y documentar los niveles de autorización para utilitarios de sistemas.
• de ser posible, eliminar o inhabilitar los utilitarios y software de sistema innecesarios.
12.11.6. Desconexión por Tiempo Muerto en Puestos de Trabajo
Los Responsables Primarios, en conjunto con el Responsable de Tecnología y Seguridad, definirán qué puestos de trabajo serán considerados de alto riesgo (por ejemplo: aquellos con sistemas críticos instalados, y ubicados en zonas de acceso al público).
Se considerará el apagado de los puestos de trabajo, luego período definido de inactividad —tiempo muerto—, a fin de evitar el acceso de personas no autorizadas. La herramienta de desconexión por tiempo muerto limpiará la pantalla de la terminal y habilitará un protector de pantalla protegido con contraseña. El lapso por tiempo muerto responderá a los riesgos de seguridad del área y de la información que se maneje en el puesto de trabajo.
12.10.7. Limitación del Horario de Conexión
Las restricciones al horario de conexión suministrarán seguridad adicional a las aplicaciones, reduciendo las oportunidades para el acceso indebido a los sistemas. Se recomienda implementar un control de esta índole, especialmente para aquellos puestos instalados en ubicaciones de alto riesgo (por ejemplo áreas de acceso al público, o donde se estén procesando datos sensibles o críticos). Entre los controles a aplicar, se distinguen:
• limitar los tiempos de conexión al horario normal de oficina, teniendo en cuenta que no existan requerimientos operativos de horas extras o extensión horaria.
• documentar debidamente a los usuarios que tienen restricciones horarias, así como los motivos de autorización.
El Responsable Primario deberá autorizar las solicitudes de fijación de horario de conexión. El Responsable de Sistemas implementará las herramientas necesarias para establecer los límites horarios de conexión.
12.12. Control de Acceso a las Aplicaciones
12.12.1. Objetivo
Impedir el acceso no autorizado a la información contenida en los sistemas de información. Las herramientas de seguridad deben ser utilizadas para brindar el acceso a los usuarios autorizados. Los sistemas de aplicación deben:
• controlar el acceso de usuarios a la información y a las funciones de los sistemas de aplicación, de acuerdo con la política de control de accesos definida;
• brindar protección contra el acceso no autorizado, principalmente de utilitarios y software del sistema operativo que tengan capacidad de pasar por alto los controles de seguridad;
• funcionar sin la seguridad de otros sistemas con los que se comparten recursos de información;
• brindar acceso a la información únicamente al responsable Primario, y a quienes éste autorice, mediante designación formal. También ingresará a los sistemas el personal de soporte que esté debidamente notificado.
12.12.2. Restricción del Acceso a la Información
Los usuarios de sistemas de aplicación, con inclusión del personal de soporte, tendrán acceso a la información y a las funciones de los sistemas de aplicación de conformidad con la política de Control de Accesos definida (Ver Punto 11). Para poder administrar adecuadamente los requerimientos de limitación de acceso, se aplicarán los siguientes controles:
• proveer interfaces de control de accesos a las funciones de los aplicativos,
• el Responsable de Sistemas implementará, configurará y administrará las interfaces de control de accesos. Además, deberá establecerse un procedimiento para delegar la administración en los Responsables Primarios que hagan uso de una aplicación en particular,
• el Responsable Primario autorizará los requerimientos formales de acceso a las funciones de cada aplicativo. En caso que el mismo posea la administración del aplicativo, el Responsable de Sistemas deberá recibir la documentación formal de los tipos de accesos habilitados,
• el usuario sólo podrá acceder a aquellas funciones operativas necesarias para su desempeño cotidiano (principios de menor privilegio y de necesidad de saber),
• el usuario deberá poseer la documentación necesaria para poder efectuar las operaciones las que está autorizado,
• deberán controlarse los derechos de acceso de los usuarios, (por ejemplo, lectura, escritura, borrado y ejecución),
• las salidas de datos de los sistemas de aplicación (listados, informes, etc.) sólo contendrán la información específica requerida por la entrada. Las mismas sólo se enviarán a los puestos y/ impresoras autorizados.
• las salidas de datos deberán revisarse periódicamente, a fin de detectar y remover información redundante.
• deberá evitarse la posibilidad de modificación directa de datos almacenados, es decir, por fuera de las interfaces de acceso. Esta opción tendrá un justificativo en caso de sistemas en ambientes de desarrollo. De presentarse excepciones, el Responsable de Sistemas informará al Responsable Primario y a la Unidad de Auditoría Interna, estableciéndose un procedimiento adecuado.
12.12.3. Aislamiento de Sistemas
Se recomienda proteger a aquellos sistemas que se hallen expuestos al riesgo de pérdida de datos. Para ello, será necesario disponer de entornos dedicados o aislados, de manera que sólo se compartan recursos con sistemas de aplicación confiables. Se estima conveniente aplicar las siguientes consideraciones:
• definir claramente la clasificación de un sistema de aplicación. Esta tarea será llevada a cabo por los Responsable Primario y de Sistemas.
• definir la manera en que se compartirán los recursos de los sistemas.
• el Responsable de Sistemas implementará la configuración de los entornos dedicados, de manera que respondan a los requerimientos de clasificación definidos para los sistemas allí instalados,
• el Responsable de Sistemas deberá considerar una administración segura de las copias de respaldo de información procesada en los entornos dedicados.
• el Responsable de Sistemas deberá considerar los aspectos de criticidad y confidencialidad, en la elaboración de planes de continuidad y/o contingencia de las aplicaciones. Por ejemplo: disponer de equipamiento o instalaciones alternativas donde restablecer los sistemas, en caso de emergencias, en las mismas condiciones que las del sitio principal.
12.13. Monitoreo del Acceso y Uso de los Sistemas
12.13.1. Objetivo
Monitoreo de los sistemas para comprobar la eficacia de los controles adoptados, recolectar evidencia relativa a incidencias de seguridad y verificar la conformidad con el modelo de política de accesos.
Deben contarse con controles de acceso necesarios, a fin de evitar:
• desactivación de la herramienta de registro.
• alteración de mensajes registrados.
• edición o supresión de archivos de registro.
• saturación del almacenamiento de archivos de registro.
• falla en los registros de los eventos.
• sobre-escritura de los registros.
La Unidad de Auditoría Interna podrá acceder a los registros de eventos, a fin de colaborar en el control y efectuar recomendaciones sobre modificaciones a los aspectos de seguridad. También podrán evaluar las herramientas de registro, pero no tendrán libre acceso a ellas.
12.13.2. Monitoreo del Uso de los Sistemas
Se desarrollarán procedimientos para monitorear el uso de los recursos informáticos, a fin de garantizar que los usuarios desempeñen actividades autorizadas.
Todos los usuarios de la red del MINISTERIO DEL INTERIOR Y TRANSPORTE deben conocer el alcance del uso adecuado de los recursos. Atento ello, serán advertidos respecto de determinadas actividades que puedan ser objeto de control y monitoreo.
A título meramente enunciativo, se estima oportuno incluir dentro del monitoreo de red y sistemas, los siguientes:
• accesos, incluyendo: identificación del usuario; fecha y hora de eventos clave; tipos de eventos; archivos a los que se accede; utilitarios y programas utilizados.
• operaciones privilegiadas, tales como: utilización de cuentas administrativas; inicio y cierre del sistema; conexión y desconexión de dispositivos de entrada y salida de información; cambio de fecha/hora; cambios en la configuración de la seguridad; alta de servicios.
• intentos de acceso no autorizado, tales como: intentos fallidos de violación a las políticas de accesos; notificaciones en gateways y firewalls; alertas de sistemas de detección de intrusiones.
• alertas o fallas de sistema, tales como: alertas o mensajes de consola; excepciones de los sistemas de registro; alarmas de administración de redes y accesos remotos a los sistemas.
13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
13.1. Objetivo
Definir las normas y procedimientos que se aplicarán durante el ciclo de vida de producción de los aplicativos, y sobre la infraestructura de base en la cual se apoyan.
Implementar controles para evitar riesgos de maniobras dolosas sobre los sistemas, bases de datos y plataformas de software de base (por ejemplo, operadores que puedan manipular los datos, atacantes que puedan comprometer la integridad de los datos, etc.).
13.2. Alcance
Esta Política se aplica a:
• todos los sistemas informáticos, sean propietarios o adquiridos a terceras partes.
• Sistemas Operativos y/o Software de Base y/o utilitarios que integren los ambientes administrados donde residan los desarrollos mencionados.
13.3. Responsabilidades
El Responsable de Sistemas, junto con cada Responsable Primario definirán los controles a ser implementados en los sistemas desarrollados internamente o por terceras partes, en función de una evaluación previa de riesgos.
Se incorporarán, de ser necesario, métodos criptográficos, en función de la criticidad o la confidencialidad requeridas para la información. En dicho caso, el Responsable de Sistemas definirá los métodos de encriptación a ser utilizados.
A tales efectos, el Responsable de Sistemas deberá considerar:
• definir los controles y las medidas de seguridad a ser incorporadas a los sistemas.
• garantizar el cumplimiento de los requerimientos de seguridad para el software,
• verificar la seguridad de las plataformas y bases de datos,
• definir y verificar el cumplimiento de controles para el desarrollo y mantenimiento de sistemas,
• definir procedimientos para el control de cambios a los sistemas
• controlar la introducción de código maliciosos,
• participar en la definición de las funciones del personal involucrado en el procesamiento de datos (entradas, salidas, etc.), junto con los Responsables Primarios de los sistemas que correspondan,
• definir procedimientos de administración de claves criptográficas,
• asignar funciones para un Implementador y un Administrador de programas, dentro del área a su cargo,
• incorporar aspectos relacionados con el licenciamiento, la calidad del software y la seguridad de la información en los contratos con terceros por el desarrollo de software.
13.4. Requerimientos de controles de seguridad
Los controles de seguridad estarán especificados en los requerimientos de nuevos sistemas y en las mejoras a los existentes. Las especificaciones tendrán en cuenta controles automáticos o manuales de apoyo que se deban incorporar al sistema.
Se considerará lo siguiente:
• un procedimiento para incorporar controles de seguridad durante las etapas de análisis y diseño del sistema. Dicho procedimiento incluirá una etapa de evaluación de riesgos previa al diseño, para definir especificar y aprobar los requerimientos de seguridad y controles apropiados, sean éstos manuales o automáticos. En esta tarea participarán las áreas usuarias, Desarrollo de Sistemas y Seguridad Informática. Las áreas involucradas podrán solicitar certificaciones y evaluaciones independientes para los sistemas a poner en Producción.
• evaluación de costo y esfuerzo en los controles requeridos, debiendo éstos ser proporcionales al valor del bien que se quiere proteger y a los riesgos sobre las actividades planificadas, entendiendo que todo control es mucho menos costoso de implementar y mantener si se lo introduce en la etapa de desarrollo de un sistema.
13.5. Seguridad en los Sistemas de Aplicación
Para evitar la pérdida, modificación o uso inadecuado de datos pertenecientes a los sistemas de información, se establecerán controles y registros, verificando:
• validación de datos de entrada,
• procesamiento interno,
• autenticación de mensajes y comunicación entre sistemas,
• validación de datos de salida.
13.5.1. Validación de Datos de Entrada
Se especificarán controles que aseguren la validación de los datos ingresados. Dichos controles se ubicarán tan cerca del punto de origen como sea posible, e incluirán datos permanentes y tablas de parámetros. Los controles se implantarán en la etapa de desarrollo.
Se considerarán los siguientes controles:
• secuencia,
• monto límite por operación y tipo de usuario,
• rango y validez de valores posibles, de acuerdo con criterios predeterminados,
• paridad,
• comparaciones contra valores cargados en las tablas de datos,
• controles por oposición, de forma tal que quien ingrese un dato no pueda autorizarlo y viceversa,
• entrada dual u otros para detectar los siguientes errores: valores fuera de rango; caracteres inválidos en campos de datos; datos faltantes o incompletos; volúmenes de datos que exceden los límites inferior y superior; controles de datos no autorizados o inconsistentes.
Se especificarán las siguientes acciones a llevar a cabo:
• revisiones periódicas de contenidos de campos claves o archivos de datos, indicando quién lo realizará, en qué forma, con qué método, a quiénes se informa el resultado, etc.,
• alternativas a seguir frente a errores de validación en un aplicativo,
• definición de responsabilidades del personal involucrado en los procesos de entrada de datos.
13.5.2. Controles de Procesamiento Interno
Se incorporarán controles de validación que permitan minimizar o eliminar riesgos por fallas de procesamiento o en la detección de errores. Los controles se implantarán en la etapa de desarrollo.
Se considerarán los siguientes controles:
• las funciones de agregado y eliminación que realizan cambios en los datos deberán estar identificadas, dentro de los aplicativos,
• verificar la ejecución de los aplicativos en el momento adecuado,
• verificar que los aplicativos se ejecuten en el orden correcto, previniendo la falta de secuencia o fallas de procesamiento previo,
• verificar la finalización programada en caso de falla, o la detención del proceso hasta que el problema sea resuelto.
• revisión periódica de los registros de auditoría, para detectar anomalías en la ejecución de transacciones,
• validación de datos generados por el sistema,
• verificación de integridad de datos y del software,
• control de integridad de registros y archivos,
13.5.3. Autenticación de Mensajes
Cuando una aplicación envíe mensajes con información clasificada, se deberán implementar controles criptográficos.
10.5.4. Validación de Datos de Salida
Se establecerán procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:
• probar si los datos de salida son admisibles,
• conciliación de cuentas para asegurar el procesamiento de todos los datos,
• proveer información suficiente, para que el usuario o el sistema de procesamiento subsiguiente pueda determinar la exactitud, totalidad, precisión y clasificación de la información,
• indicaciones de las pruebas de validación de salidas,
• definición de responsabilidades del personal afectado al proceso de salida de datos.
13.6. Seguridad en el Ambiente de Producción
13.6.1. Objetivo
Garantizar que las actividades de soporte de tecnología de la información se lleven a cabo de manera segura.
13.6.2. Control del software de Producción
La implementación de software en los sistemas en el ambiente de operaciones será controlada, a fin de minimizar el riesgo de alteración de datos o sistemas en dicho ambiente. Se tendrá en cuenta lo siguiente:
• la actualización de bibliotecas de sistemas en Producción sólo será realizada por el implementador designado, una vez establecidas las aprobaciones correspondientes,
• de ser posible, los aplicativos en Producción sólo contendrán código ejecutable,
• se implementará código ejecutable en Producción sólo después que se haya aprobado en el entorno de Pruebas. Esto incluye la aceptación del usuario, y la actualización de las correspondientes bibliotecas de programas fuente,
• se mantendrá un registro de auditoría de las actualizaciones a las bibliotecas de programas en el entorno operativo,
• se mantendrá una copia de resguardo de las versiones previas de software, como medida de contingencia.
Cuando se trate de software suministrado por terceras partes, se deberá contar con un contrato de soporte del mismo. El acceso al entorno de ambiente de Producción por terceras partes sólo se otorgará con fines de soporte, y con previa aprobación del Responsables Primario y de Sistemas. Las actividades de los proveedores serán sometidas a monitoreo.
Toda decisión referida a actualizaciones de software debe tomar en cuenta la seguridad, como nuevas funcionalidades puedan afectar a la protección de los datos, o qué vulnerabilidades se presentan frente a los cambios.
Los parches de software deben aplicarse en Producción cuando contribuyan a mitigar o eliminar debilidades en materia de seguridad, luego de haber sido verificados y aprobados en el entorno de Pruebas.
13.6.3. Protección de los datos de prueba del sistema
Los datos del entorno de Pruebas deben ser protegidos y controlados. Las pruebas de aceptación del sistema normalmente requieren volúmenes considerables de datos, que serán tan similares a los datos de Producción como sea posible.
Se debe evitar el uso de bases de datos operativas, o que contengan información personal. La información de prueba debe ser despersonalizada, aplicándose los siguientes controles sobre la misma:
• los procedimientos de control de accesos serán los mismos para los entornos de Prueba y de Producción.
• tanto el Responsable Primario como el Responsable de Sistemas deberán autorizar las copias de datos desde el ambiente de Producción al de Pruebas.
• la información de Producción que se utiliza en el entorno de Pruebas se eliminará de este último ambiente, una vez concluidos todas las verificaciones.
13.6.4. Control de acceso a las bibliotecas de programa fuente
Se mantendrá un control estricto del acceso a las bibliotecas de programas fuente, de modo de evitar alteraciones indebidas sobre los aplicativos. Al respecto se efectúan las siguientes consideraciones:
• en de lo posible, las bibliotecas de programas fuente no deben almacenarse en el ambiente de Producción.
• el responsable de Sistemas designará un implementador que administre el almacenamiento de las bibliotecas de programas, para cada aplicación.
• la documentación de los aplicativos se almacenará en un entorno seguro.
• los aplicativos en desarrollo, mantenimiento o pruebas deben almacenarse en entornos diferentes al de Producción.
• sólo el implementador podrá llevar a cabo la actualización y/o distribución de bibliotecas de programas fuente, con la autorización del responsable del soporte de cada aplicación.
• se mantendrán registros de auditoría de los accesos a las bibliotecas de programas fuente.
• se dispondrá de copias de resguardo de versiones anteriores de los programas fuente, con una clara indicación de las fechas y horas precisas en las cuales estaban en operaciones.
• tanto el mantenimiento como las copias de bibliotecas de programas fuente deben sujetarse a procedimientos estrictos de control de cambios.
13.7. Seguridad en los Entornos - Desarrollo Prueba y Producción
13.7.1. Objetivo
Mantener y controlar la seguridad del software y la información del sistema de aplicación, en los entornos de Desarrollo y Prueba.
13.7.2. Procedimientos de control de cambios
A fin de minimizar riesgos por alteraciones no previstas en los sistemas informáticos, debe existir un control estricto de la implementación de cambios.
Debe disponerse de procedimientos para el control de cambios, de manera de garantizar que no se comprometa la seguridad, que los programadores de soporte sólo accedan a áreas del sistema que competan a las tareas de actualización, y que existan aprobaciones formales para cualquier cambio.
A este respecto, se estima conveniente que los procedimientos de control de cambios incluyan:
• un registro de los niveles de autorización formales acordados. Toda autorización debe emitirse antes de implementar los cambios,
• revisar que los cambios no comprometan controles ni procedimientos de integridad,
• identificar todo el software, la información, las bases de datos y el hardware que requieran correcciones;
• garantizar que la implementación se lleve a cabo sin afectar continuidad de las actividades del MI;
• garantizar que todo cambio incluya la actualización de la documentación pertinente,
• mantener un control de versiones para todas las actualizaciones de software;
• mantener un registro de auditoría de todos los requerimientos de cambio.
13.7.3. Revisión técnica de cambios en los sistemas operativos
Periódicamente es necesario cambiar el sistema operativo de los servidores por ej. instalar una versión nueva o parches. En estos casos, deben revisarse los aplicativos instalados, para garantizar que no se produzca un impacto adverso en las operaciones o la seguridad.
Debe contemplarse:
• revisión de procedimientos de integridad y control de aplicaciones, para garantizar que éstos no resulten comprometidos por los cambios del sistema operativo.
• garantizar que los presupuestos de soporte contemplen las revisiones y pruebas de aplicativos que deban realizarse, como consecuencia de cambios en el sistema operativo.
• asegurar una comunicación oportuna de cambios sobre el sistema operativo, antes de la implementación.
• garantizar que se realicen las actualizaciones adecuadas en los planes de continuidad del MINISTERIO DEL INTERIOR Y TRANSPORTE.
13.7.4. Restricción de cambios en los paquetes de software
En la medida de lo posible, los paquetes de software suministrados por proveedores serán utilizados sin modificación. Cuando se considere esencial modificar un paquete de software, se deben tener en cuenta los siguientes puntos:
• riesgos de compromiso sobre la integridad de los procesos existentes.
• obtención de consentimiento del proveedor, cuando corresponda.
• que el proveedor suministre los cambios requeridos, como actualizaciones estándar de programas.
• impacto que se produciría si el Ministerio asume el mantenimiento futuro del software, como resultado de los cambios.
Todos los cambios deben probarse y documentarse, en un ambiente de Pruebas, para luego trasladarlo al entorno productivo.
13.7.5. Desarrollo externo de software
Cuando en el desarrollo de software participan terceras partes, se debe considerar lo siguiente:
• acuerdos de licencias, propiedad de códigos y derechos de propiedad intelectual.
• certificación de la calidad y precisión del trabajo llevado a cabo y acuerdos de niveles de calidad aceptados (SLA - Service Legal Agreement).
• acuerdos de custodia en caso de quiebra comercial de la tercera parte.
• derechos de acceso a auditorias de calidad y precisión del trabajo realizado.
• requerimientos contractuales con respecto a la calidad del código.
• realización de pruebas, previas a la instalación, para detectar códigos troyanos o canales ocultos.
13.8. Controles Criptográficos
13.8.1. Objetivo
Proteger la confidencialidad, autenticidad o integridad de la información, para sistemas que se consideran críticos.
Las técnicas criptográficas o de cifrado, se emplearán en base a un análisis de riesgo efectuado con anterioridad, con el fin de asegurar confidencialidad e integridad en los sistemas que las requieran.
13.8.2. Tipos de técnicas criptográficas
Las técnicas criptográficas, o cifrado, son de dos tipos:
• técnicas de clave secreta (cifrado simétrico), cuando dos o más actores comparten la misma clave, que se utiliza para cifrar y descifrar información transferida entre ellos.
• técnicas de clave pública (cifrado asimétrico), cuando cada usuario tiene un par de claves: una clave pública (que puede ser revelada a cualquier persona) y una clave privada (que se mantiene en secreto). Existe una correspondencia biunívoca entre ambas claves. La clave privada se emplea para el cifrado de la información, que sólo puede descifrarse con la clave pública correspondiente. Las técnicas de clave pública pueden utilizarse tanto para cifrado como para generar firmas digitales.
Todas las claves deben protegerse contra modificación, destrucción, y divulgación no autorizada.
10.8.3. Política de Utilización de Controles Criptográficos
Los controles criptográficos se emplearán en los siguientes casos:
• para protección de claves de acceso a sistemas, datos y servicios.
• para uso de firmas digitales.
• para transmisión de información clasificada, fuera del ámbito del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• para resguardo de información, de acuerdo con la evaluación de riesgos que realicen por el Responsable de Tecnología y Seguridad y cada Responsable Primario.
Asimismo, se desarrollarán procedimientos de administración de claves, a fin de recuperar la información cifrada en caso de pérdidas, compromiso, daño o reemplazo de las claves.
A fin de realizar una correcta separación de funciones y compatibilidades, el Responsable de Tecnología y Seguridad propondrá la siguiente asignación de funciones:
Función | Cargo |
Implementación de la Política de Controles Criptográficos | |
Administración de Claves |
Dentro del marco de la presente Política, se estiman de utilización segura, los siguientes algoritmos de cifrado y tamaños clave:
• cifrado simétrico
Algoritmo | Longitud de Clave |
AES | 128/192/256 bits |
3DES | 168 bits |
IDEA | 128 bits |
RC4 | 128 bits |
RC2 | 128 bits |
• cifrado asimétrico
Casos de Utilización | Algoritmo | Longitud de Clave |
Certificados utilizados en firma digital (sellado de tiempo, almacenamiento, seguro de documentos electrónicos, etc.) | RSA | 2048 bits |
DSA | 2048 bits | |
ECDSA | 210 bits | |
Para certificados de sitio seguro | RSA | 1024 bits |
Para certificados de Certificador o de información de estado de certificados | RSA | 2048 bits |
DSA | 2048 bits | |
ECDSA | 210 bits | |
Para certificados de usuario (personas físicas o jurídicas) | RSA | 1024 bits |
DSA | 1024 bits | |
ECDSA | 160 bits | |
Para digesto seguro y firma digital | SHA-1 | 256 bits |
Los algoritmos y longitudes de clave mencionados son los que a la fecha se consideran seguros. Se recomienda verificar esta condición periódicamente con el objeto de efectuar las actualizaciones correspondientes.
13.8.4. Criptografía
Los Responsables de Sistemas y de Tecnología y Seguridad llevarán una evaluación de riesgos para identificar el nivel requerido de protección de los datos. De acuerdo con ello se considerarán el tipo de algoritmo de cifrado y la longitud de las claves criptográficas a utilizar.
13.8.5. Firma Digital
Para el empleo de firmas y certificados digitales debe considerarse la legislación vigente, Ley Nº 25.506, el Decreto Nº 2628/02 y normas complementarias.
Asimismo, cuando sea necesario resolver disputas acerca de la ocurrencia de un evento u acción relativa a evitar que aquel que haya originado una transacción electrónica niegue haberla efectuado, se utilizarán servicios de no repudio.
Además de la administración segura de las claves secretas y privadas, también debe tenerse en cuenta la protección de claves públicas, mediante la generación de certificados, recurriendo para ello a una Autoridad Certificante que ofrezca el nivel de confiabilidad requerido. A tal fin, el MINISTERIO DEL INTERIOR Y TRANSPORTE se ha constituido como Autoridad de Registro de la Autoridad Certificante ONTI, permitiendo la tramitación de certificados digitales para funcionarios dentro de la órbita competencial del Ministerio, con el objetivo de agilizar el proceso de emisión y renovación de certificados.
14. PLAN DE CONTINGENCIA
14.1. Objetivos
Minimizar los efectos de interrupciones en las actividades normales del MINISTERIO DEL INTERIOR Y TRANSPORTE, sea por resultado de desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u otros hechos. Asimismo, se busca que los procesos críticos estén protegidos, combinando controles preventivos y acciones de recuperación.
Analizar las consecuencias de interrupciones en el servicio, tomando medidas para la prevención de hechos similares en el futuro.
Maximizar la efectividad de las operaciones de contingencia del Organismo, estableciendo planes que incluyan al menos las siguientes etapas:
• notificación/activación: consistente en la detección y determinación del daño y la activación del plan de contingencia.
• reanudación: consistente en la restauración temporal de los procesos y recuperación de los sistemas originales.
• recuperación: consistente en la restauración de las capacidades normales de proceso de los sistemas.
• coordinación con personal del Organismo y/o terceras partes que participen en las estrategias de planificación de contingencias.
14.2. Alcance
Esta Política se aplica a todos los procesos identificados como críticos, dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE. La continuidad de las actividades es un proceso crítico que debe involucrar a todos los niveles del Organismo.
14.3. Responsabilidades
Los Responsables de Tecnología y Seguridad, de Sistemas y Primarios, participarán activamente en la definición, documentación, prueba y actualización de los planes de contingencia, identificando las amenazas que puedan ocasionar interrupciones de los procesos y/o las actividades del Organismo y evaluando riesgos para determinar el impacto de las interrupciones.
Asimismo, el Comité de la Seguridad de la Información desarrollará un plan estratégico para determinar el enfoque global con el que se abordará la continuidad de las actividades del Organismo como así también elaborará los planes de contingencia necesarios para garantizar la continuidad de las actividades del Ministerio.
14.4. Administración de la Continuidad de Actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE
El Comité de Seguridad de la Información coordinará los procesos de administración de continuidad de las actividades del Organismo frente a interrupciones imprevistas.
Se incluyen las siguientes funciones:
• identificar y priorizar los procesos críticos de las actividades del Organismo.
• asegurar que todos los usuarios comprendan los riesgos que el MINISTERIO DEL INTERIOR Y TRANSPORTE enfrenta, en términos de probabilidad de ocurrencia e impacto de posibles amenazas.
• evaluar los efectos que una interrupción puede tener en la actividad del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• elaborar y documentar estrategias de continuidad de las actividades del Organismo, consecuentes con los objetivos y prioridades acordados.
• establecer un cronograma de pruebas periódicas de los planes de contingencia, proponiendo una asignación de funciones para su cumplimiento.
• coordinar actualizaciones periódicas y modificaciones de los planes y procesos implementados.
• considerar la contratación de seguros que intervengan en el proceso de continuidad de las actividades del Ministerio.
14.5. Continuidad de Actividades y Análisis de Impacto
El Plan de Continuidad de las Actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE debe contemplar los siguientes puntos:
• identificar las amenazas que puedan interrumpir las actividades, por ejemplo, fallas en el equipamiento, comisión de ilícitos, corte en el suministro de energía eléctrica, inundación e incendio, desastres naturales, destrucción edilicia, atentados, etc.
• evaluar los riesgos, y determinar el impacto de las interrupciones, tanto en magnitud de daño como en el período de recuperación. La evaluación debe identificar los recursos críticos, el impacto por cortes de servicio, períodos de caída aceptables o permitidos. Se deben especificar las prioridades de recuperación,
• identificar los controles preventivos, por ejemplo: sistemas de supresión de fuego, detectores de humo, contenedores resistentes al calor y al agua para los medios de backup, registros no electrónicos vitales, etc.
Esta actividad será llevada a cabo con la activa participación de los Responsables Primarios, el Responsable de Sistemas y el Responsable de Tecnología y Seguridad considerando todos los procesos y actividades del Organismo, sean informáticos o no.
A partir de lo anterior, se presentará una propuesta de continuidad de actividades al Coordinador del Comité de Seguridad, quien la elevará a la Autoridad Máxima del MINISTERIO DEL INTERIOR Y TRANSPORTE, para su aprobación.
14.6. Implementación de Planes de Continuidad
La propuesta de continuidad de actividades que se eleve al Coordinador del Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE considerará los siguientes puntos:
• análisis de escenarios de contingencia, definiendo las acciones correctivas a implementar en cada caso.
• procedimientos de emergencia para el restablecimiento de servicios en los plazos requeridos. Se debe dedicar especial atención a los procesos efectuados por terceras partes, y los contratos vigentes.
• documentación de metodología y procedimientos acordados.
• designación de un administrador de cada plan de contingencia, por área del Organismo.
• instruir al personal involucrado, sobre los siguientes temas: objetivo del plan, coordinación y comunicación entre los grupos involucrados en las tareas de emergencia, procedimientos de divulgación, requisitos de seguridad, responsabilidades individuales.
• establecer ensayos y actualización de los planes.
Asimismo, deben plantearse los recursos que permitan el restablecimiento de los servicios en plazos aceptables o planificados. Se incluyen: dotación de personal, sitios alternativos de procesamiento de la información, equipamiento contacto con fuerzas de seguridad, etc.
14.7. Marco para los Planes de Continuidad
Los planes de continuidad de las actividades del Organismo se establecerán dentro de un marco único, a fin de identificar prioridades de prueba y mantenimiento.
Los procedimientos de emergencia establecidos se modificarán cuando se identifiquen nuevos requerimientos. Toda modificación será analizada en el Comité de Seguridad de la Información, para su aprobación.
El marco para planificar la continuidad tendrá en cuenta los siguientes puntos:
• evaluar los procesos a seguir antes de ponerlos en marcha. Por ejemplo, qué eventos determinan si una situación es de contingencia o no, qué personas estarán involucradas, etc.
• los casos donde exista una amenaza al personal y/o las funciones del MINISTERIO DEL INTERIOR Y TRANSPORTE tendrán una preeminencia sobre el resto. Para ello, deberán disponerse gestiones con autoridades públicas pertinentes, por ejemplo, policía y bomberos.
• definir las acciones a emprender para el traslado de actividades críticas a ubicaciones transitorias alternativas, para restablecer servicios en los plazos requeridos.
• redactar procedimientos de recuperación para restablecer las operaciones normales del Organismo.
• efectuar actividades de concientización e instrucción al personal.
• documentar funciones de los involucrados en la ejecución de los componentes del plan. Se indicarán las vías de contacto posibles y alternativas, cuando corresponda.
• definir a un responsable de declarar el estado de contingencia, y así dar inicio al plan.
14.8. Ensayo, Mantenimiento y Revisión de los Planes de Continuidad
El Comité de Seguridad de la Información diseñará un cronograma de pruebas periódicas para cada plan de contingencia, indicando a los responsables de llevarlas a cabo.
Se deberá garantizar que los planes de contingencia funcionen ante un hecho real. Las técnicas de testeo incluirán, por lo menos:
• discusión de diversos escenarios y medidas para la recuperación las actividades, utilización de ejemplos de interrupciones, etc.
• simulaciones, especialmente para entrenar al personal en el desempeño de sus roles.
• pruebas de eficacia de recuperación de los sistemas informáticos.
• ensayos completos para medir el grado de eficiencia con que el Organismo, su personal, el equipamiento, las instalaciones y los procesos pueden afrontar interrupciones.
Para las operaciones críticas del Organismo se tomarán en cuenta, además, los siguientes mecanismos:
• de ser posible, realizar ensayos de recuperación en un sitio alternativo, ejecutando actividades en paralelo,
• efectuar pruebas de instalaciones y servicios de proveedores, asegurando que los mismos cumplan con los compromisos contraídos.
Los resultados de las pruebas serán elevados al Comité de Seguridad de la Información.
Los Responsables de Revisión verificarán en forma periódica los planes de continuidad de su incumbencia. Se sugiere armar un cuadro de revisión de planes de contingencia tal como el siguiente:
Plan de Contingencia | Revisar cada | Responsable de Revisión |
Se tendrán en cuenta cambios de:
• personal.
• direcciones o números telefónicos.
• estrategia del Organismo.
• ubicación, instalaciones y recursos.
• legislación.
• contratistas, proveedores y clientes críticos.
• procesos, nuevos y/o eliminados.
• tecnologías.
• requisitos de operacionales y de seguridad.
• hardware, software y otros equipos (tipos, especificaciones, y cantidad).
• requerimientos de los sitios alternativos.
Todas las modificaciones efectuadas serán propuestas por el Comité de Seguridad de la Información, para su aprobación por el superior jerárquico que corresponda.
15. GARANTIA DE CUMPLIMIENTO
15.1. Objetivos
El diseño, operación, uso y administración de los sistemas de información están regulados por disposiciones legales y contractuales. A tal fin, los requisitos normativos y contractuales pertinentes a cada sistema de información deben estar definidos y documentados.
Revisar la seguridad de la información, en forma periódica, a efectos de garantizar la adecuada aplicación de políticas, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas informáticos.
15.2. Alcance
Esta Política se aplica a los sistemas de información, normas, procedimientos, documentación, plataformas técnicas del MINISTERIO DEL INTERIOR Y TRANSPORTE y las auditorías efectuadas sobre los mismos.
15.3. Responsabilidad
El Responsable de Tecnología y Seguridad Informática cumplirá las siguientes funciones:
• definir normas y procedimientos para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual y a la conservación de registros de auditoría.
• verificar periódicamente que los sistemas de información cumplan la política, normas y procedimientos de seguridad establecidos.
• definir y documentar claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información.
• colaborar en la implementación de una notificación de buen uso de los recursos informáticos, incluyendo cláusulas de Confidencialidad sobre la información del MINISTERIO DEL INTERIOR Y TRANSPORTE. Dicha notificación debe ser difundida y claramente comprendida por todos los usuarios del Organismo.
Los Responsables Primarios velarán por la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos en la presente Política, dentro de su área de responsabilidad.
Los usuarios de los sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE conocerán, comprenderán, darán a conocer, cumplirán y harán cumplir la presente Política y la normativa vigente.
15.4. Cumplimiento de requisitos legales
15.4.1. Objetivo
Impedir infracciones y violaciones de las leyes del derecho civil y penal.
Cumplir las obligaciones establecidas por leyes, estatutos, normas, reglamentos, contratos y requisitos de seguridad.
15.4.2. Identificación de la Legislación Aplicable
Se establecerán y documentarán claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información. Del mismo modo se definirán y documentarán los controles específicos, las responsabilidades y las funciones individuales para cumplir con dichos requisitos.
15.4.3. Derecho de propiedad intelectual
Se implementarán procedimientos adecuados para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual.
El Organismo sólo podrá autorizar el uso de material de su propiedad, sea éste producido por el Responsable de Sistemas, o suministrado por un tercero, conforme los términos y condiciones acordadas, y/o lo dispuesto por la normativa vigente.
La infracción a estos derechos podría resultar en acciones legales, y derivar en demandas penales.
Se deberán tener presentes las siguientes normas:
• Ley de Propiedad Intelectual Nº 11.723: Protege los derechos de autor de obras científicas, literarias y artísticas, incluyendo programas de computación fuente y objeto; las compilaciones de datos u otros materiales.
• Ley de Marcas Nº 22.362: Protege la propiedad de una marca y la exclusividad de su uso.
• Ley de Patentes de Invención y Modelos de Utilidad Nº 24.481: Protege el derecho del titular de la patente de invención a impedir que terceros utilicen su producto o procedimiento.
15.4.4. Derecho de Propiedad Intelectual del Software
Los productos de software se suministran normalmente bajo acuerdos de licencia. Estos acuerdos suelen limitar el uso de los productos al equipamiento específico. Asimismo, la copia sólo debe limitarse a la creación de un resguardo.
El Responsable de Sistemas y Seguridad Informática, analizará los términos y condiciones de la licencia. Se implementarán los siguientes controles:
• normas y procedimientos para cumplir con el derecho de propiedad intelectual de software, asegurando el uso legal de los productos de información.
• divulgar las políticas de adquisición de software y las disposiciones de la Ley de Propiedad Intelectual, así como notificar la determinación de tomar acciones disciplinarias contra el personal que las infrinja.
• mantener un adecuado registro de activos.
• conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc.
• implementar controles para evitar que se exceda el número máximo permitido para las licencias de uso y verificar que sólo se instalen productos con licencia y software autorizado.
• elaborar y divulgar un procedimiento relativo a la eliminación y/o transferencia de software a terceros.
• cumplir con los términos y condiciones establecidos para obtener software e información desde redes públicas.
15.4.5. Protección de los Datos del Organismo
Se deberá tener presente la siguiente normativa:
• Etica en el Ejercicio de la Función Pública. Ley Nº 25.188: Establece que las personas que se desempeñen en la función pública deben proteger y conservar la propiedad del Estado, y sólo emplear sus bienes con los fines autorizados.
• Código de Etica de la Función Pública: Dispone que el funcionario público debe proteger y conservar los bienes del Estado. Asimismo se establece que los bienes públicos sólo se utilicen de acuerdo con los fines autorizados y de manera racional, evitando su abuso, derroche o desaprovechamiento.
• Código Penal Artículo 255: Sanciona a quien sustrajere, ocultare, destruyere o inutilizare objetos destinados a servir de prueba ante la autoridad competente. Se consideran, entre otros, a los registros o documentos confiados a la custodia de un funcionario u otra persona, en el interés del servicio público. Si el culpable fuere el mismo depositario, sufrirá además inhabilitación especial por doble tiempo.
• Ley Nº 24.624. Artículo 30: Autoriza el archivo y la conservación, en soporte electrónico u óptico indeleble, de la documentación financiera, personal y de control de la Administración Pública Nacional. Se otorga valor jurídico y probatorio a la documentación existente que se incorpore al Archivo General de la Administración, mediante la utilización de tecnología que garantice estabilidad, perdurabilidad, inmutabilidad e inalterabilidad del soporte de almacenamiento físico.
• Decisión Administrativa Nº 43/96 (B.O. 7-V-1996): Reglamenta el Art. 30 de la Ley 24.624. Determina su ámbito de aplicación, define conceptos y precisa los requisitos de carácter general, relacionados con los documentos en particular y con el soporte a utilizar en la redacción, producción o reproducción de aquéllos.
• Ley de Propiedad Intelectual Nº 11.723: Protege los derechos de autor de las obras científicas, literarias y artísticas, incluyendo compilaciones de datos o de otros materiales.
• Ley Nº 25.506: Establece que la exigencia legal de mantener documentos, registros o datos, también queda satisfecha con la conservación de los correspondientes documentos digitales firmados digitalmente, según los procedimientos que determine la reglamentación, siempre que sean accesibles para su posterior consulta, y permitan determinar fehacientemente el origen, destino, fecha y hora de su generación, envío y/o recepción.
15.4.6. Protección de Datos y Privacidad de datos de carácter personal
Todos los usuarios de información del MINISTERIO DEL INTERIOR Y TRANSPORTE deberán conocer las restricciones al tratamiento de los datos y de la información respecto a la cual tengan conocimiento, con motivo del ejercicio de sus funciones.
El MINISTERIO DEL INTERIOR Y TRANSPORTE implementara un COMPROMISO DE CONFIDENCIALIDAD que será divulgado a todos los usuarios de sistemas de información y bases de datos del Ministerio. Mediante este instrumento, el usuario se comprometerá a utilizar la información solamente para el uso específico al que se ha destinado. También, se obliga a no comunicar, diseminar o hacer pública información a ninguna persona, firma, compañía o tercera persona, salvo autorización previa y escrita del Responsable Primario del activo de que se trate.
Asimismo, se instruirá a los usuarios del buen uso de los recursos informáticos, quedarán advertidos sobre que determinadas actividades pueden ser objeto de control y monitoreo. (Ver Capítulo 5. Funciones y Obligaciones del Personas y/o Usuarios - Ver Capítulo 6, Seguridad del Personal y/o Usuarios).
• Se deberán tener presente las siguientes normas:
• Ley Marco de Regulación de Empleo Público Nacional. Ley Nº 25.164: Establece que los Funcionarios Públicos deben observar el deber de fidelidad que se derive de la índole de las tareas que le fueron asignadas, así como de guardar la discreción correspondiente o la reserva absoluta, en su caso, de todo asunto del servicio que así lo requiera.
• Convenio Colectivo de Trabajo General: Dispone que todos los agentes deben observar el deber de fidelidad que se derive de la índole de las tareas que le fueran asignadas, así como de guardar la discreción correspondiente, con respecto a todos los hechos e informaciones de los cuales tenga conocimiento en el ejercicio o con motivo del ejercicio de sus funciones.
• Etica en el Ejercicio de la Función Pública. Ley Nº 25.188 (ver Punto 12.4.5): Obliga a todas las personas que se desempeñan en la función pública se abstenerse de utilizar información adquirida en el cumplimiento de sus funciones para realizar actividades no relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses privados.
• Código de Etica de la Función Pública (ver Punto 12.4.5): Establece que el funcionario público debe abstenerse de difundir toda información que hubiere sido calificada como reservada o secreta, conforme a las disposiciones vigentes. Tampoco se podrá en beneficio propio, de terceros o para fines ajenos al servicio, información de la que tenga conocimiento con motivo o en ocasión del ejercicio de sus funciones y que no esté destinada al público en general.
• Protección de Datos Personales. Ley Nº 25.326 (ver Punto 12.4.5): Establece responsabilidades para aquellas personas que recopilan, procesan y divulgan información personal y define criterios para procesar datos personales o cederlos a terceros.
• Confidencialidad. Nº Ley 24.766: Impide la divulgación a terceros, o su utilización sin previo consentimiento y de manera contraria a usos comerciales honestos, de información secreta y con valor comercial que haya sido objeto de medidas razonables para mantenerla secreta.
• Código Penal: Sanciona a aquel que, teniendo noticias de un secreto cuya divulgación pueda causar daño, lo revelare sin justa causa (Art. 156), al funcionario público que revelare hechos, actuaciones o documentos que por la ley deben quedar secretaros (Art. 157), al que revelare secretos políticos o militares concernientes a la seguridad, a los medios de defensa o a las relaciones exteriores de la Nación, o al que por imprudencia o negligencia diere a conocer los secretos mencionados anteriormente, de los que se hallare en posesión en virtud de su empleo u oficio (Arts. 222 y 223).
• Asimismo, deberá considerarse lo establecido en el Decreto 1172/03 (B.O. 26-IX-2001), que regula el acceso a la información pública por parte de los ciudadanos.
15.4.7. Regulación de Controles para el Uso de Criptografía y Firma Digital
Al utilizar firmas digitales o electrónicas, se deberá considerar lo dispuesto por la Ley Nº 25.506 y su decreto reglamentario Decreto Nº 2628/02 (B.O. 20-XII-2002), que establecen las condiciones bajo las cuales una firma digital es legalmente válida.
Respecto a la comercialización de controles criptográficos, nuestro país ha suscripto el acuerdo Wassennar, que establece un listado de materiales y tecnologías de doble uso, cuya comercialización puede ser considerada peligrosa.
El Decreto Nº 603/92 (B.O. 23-III-1992) regula el Régimen de Control de las Exportaciones Sensitivas y de Material Bélico, estableciendo un tratamiento especial para la exportación de bienes indicados como material bélico.
En caso de transferencia de información cifrada, o controles criptográficos, a otro país, se requiere obtener asesoramiento previo. Para ello, se puede consultar a la Dirección General de Política, de la Secretaría de Asuntos Militares, Ministerio de Defensa, a fin de saber si el material exportable requiere algún tratamiento especial.
15.5. Revisiones de la Política de Seguridad
Los Responsables Primarios, velarán por la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos, informando al Comité de Seguridad sobre todo incidente o violación.
Los Responsables Seguridad Física, de Tecnología y Seguridad y de Sistemas realizarán revisiones periódicas de todas las áreas del Organismo a efectos de garantizar el cumplimiento de las políticas, normas y procedimientos de seguridad de la información. Se revisarán las siguientes áreas:
• sistemas de información
• proveedores de sistemas
• propietarios de la información
• usuarios.
El Responsable de Sistemas revisará periódicamente que todos los sistemas informáticos, cumplan con las políticas, normas y procedimientos de seguridad. Con ello se garantiza la correcta implementación de los controles de hardware y software.
La verificación del cumplimiento comprenderá pruebas de penetración, teniendo como objetivos la detección de vulnerabilidades y la verificación de la eficacia de los controles de prevención de accesos no autorizados.
Para las pruebas de penetración se tomarán todos los recaudos necesarios a fin de no se comprometer la seguridad de los sistemas en producción.
Las verificaciones de cumplimiento serán realizadas por personal competente, formalmente autorizado y bajo la supervisión de los Responsables Primarios, de Sistemas, y/o de Seguridad Física, según corresponda.
15.6. Consideraciones de Auditoría de Sistemas
Con relación a las auditorías, serán de aplicación las Normas de Control Interno para Tecnologías de Información, aprobadas por la Resolución SIGEN Nº 48/05.
15.7. Sanciones Previstas por Incumplimiento
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de Seguridad conforme a lo dispuesto por las normas estatutarias, escalafonarias y convencionales que rigen al personal de la Administración Pública Nacional. En caso de corresponder, se realizarán las acciones correspondientes ante el o los Organismos pertinentes.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo las formalidades impuestas por los preceptos constitucionales, la Ley de Procedimientos Administrativos y demás normativas específicas aplicables.
Amén de las sanciones disciplinarias o administrativas, el agente que no da debido cumplimiento a sus obligaciones puede incurrir también en:
• responsabilidad civil o patrimonial —cuando ocasiona un daño que debe ser indemnizado— y/o,
• responsabilidad penal —cuando su conducta constituye un comportamiento considerado delito por el Código Penal y leyes especiales.
ANEXO 1 - POLITICA DE SEGURIDAD DEL MINISTERIO DEL INTERIOR Y TRANSPORTE
COMPROMISO DE CONFIDENCIALIDAD, GESTION DE BASES DE DATOS Y TRATAMIENTO DE SISTEMAS INFORMATICOS.-
I. OBJETO.
Con el objetivo de proteger los recursos informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE y la tecnología utilizada para la gestión y el ejercicio de sus funciones, se informa y notifica por intermedio del presente, las medidas de seguridad de cumplimento obligatorio para todos los agentes que intervengan en algún proceso o procedimiento relacionado con la gestión de (incluir actividad principal que desarrollará el agente) para el MINISTERIO DEL INTERIOR Y TRANSPORTE.
El presente clausulado recoge las medidas de seguridad establecidas con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información y de los datos, cuando sean tratados por agentes, funcionarios, y/o trabajadores del MINISTERIO DEL INTERIOR Y TRANSPORTE en el ejercicio de sus funciones; y detalla las obligaciones y responsabilidades que conlleva el cumplimiento del mismo.
Las citadas medidas, también serán de aplicación en la medida que les afecte, a aquellos prestadores de servicios, reparticiones públicas y/o agentes que el MINISTERIO DEL INTERIOR Y TRANSPORTE requiera para acometer sus objetivos.
Para la determinación de las citadas medidas de seguridad, han sido tenidos en cuenta las pautas fijadas en la Ley 25.326 de Protección de Datos Personales, el Decreto 1558/2001, la Decisión Administrativa 669/2004, la Ley 25.188 de Etica en el ejercicio de la Función Pública, la Ley 25.164 de Regulación del Empleo Público Nacional, el Convenio Colectivo de Trabajo General, el Modelo de Política de Seguridad de la Información de la ONTI y el resto de la normativa aplicable vigente.
II. AMBITO DE APLICACION.
Se encuentran obligadas al cumplimiento de las prescripciones legales aquí establecidas, las siguientes personas:
• Quienes presten servicios, ya sea de forma directa o indirecta, para el MINISTERIO DEL INTERIOR Y TRANSPORTE, cualquiera que sea la naturaleza de la relación jurídica que le una con la misma.
• Toda persona que, por la labor que desempeñe, tenga o pueda tener acceso a las instalaciones o departamentos donde están ubicados los sistemas de información a través de los cuales se tratan datos de carácter personal del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• Toda la planta de personal del organismo, tanto se trate de funcionarios políticos como técnicos, y sea cual fuere su nivel jerárquico y su situación de revista.
El MINISTERIO DEL INTERIOR Y TRANSPORTE se hace responsable de la labor de formar e informar a las personas que, por su condición de usuarios, se encuentren bajo el ámbito de aplicación del presente, y se comprometerá a informarles sobre cualquier cambio que se haga al mismo en el futuro, cuya aplicación no será retroactiva.
III. CALIDAD DE USUARIO.
Se considera usuario, al sujeto autorizado para acceder a datos de carácter personal o recursos que contienen datos de carácter personal, tanto a través del sistema informático como aquellos datos contenidos en soporte manual.
Quien mantenga una relación de carácter laboral bajo cualquier modalidad de contratación con MINISTERIO DEL INTERIOR Y TRANSPORTE y tenga autorizado el acceso a las bases de datos, las aplicaciones o los sistemas informáticos, Internet o Intranet y, en general, a cualquier dato de carácter personal facilitado por los ciudadanos en cualquier tipo de soporte, quedará sujeto al control de su actividad por los Responsables de Seguridad Informática designados por el MINISTERIO DEL INTERIOR Y TRANSPORTE y obligado a cumplir las medidas de seguridad descritas en el presente clausulado:
IV. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y USUARIOS
1. CONFIDENCIALIDAD DE LA INFORMACION
Mientras dure la relación laboral o de prestación de servicios (cualquiera sea la situación de revista), así como una vez se haya extinguido la misma, los usuarios tienen expresamente prohibido comunicar procedimientos, información alojada en las bases de datos, trabajos encomendados por su empleador incluidos en las bases de datos y, en general, divulgar cualquier dato que hayan conocido por razón de su trabajo en el MINISTERIO DEL INTERIOR Y TRANSPORTE.
Todos los documentos, independientemente del soporte en el que se encuentren, que contengan datos de carácter personal relacionadas con las actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE, son propiedad del mismo; estando obligado todo trabajador o autorizado a tratar los datos, a devolverlos cuando así le sea solicitado por el MINISTERIO DEL INTERIOR Y TRANSPORTE o con motivo de la extinción del vinculo laboral.
Todo usuario autorizado para llevar a cabo el tratamiento de datos de carácter personal, queda obligado legalmente al secreto profesional respecto de los mismos como así también de los procesos a los que estos datos son sometidos, conservados y tratados, incluso una vez extinguida la relación laboral o de colaboración que le une con el MINISTERIO DEL INTERIOR Y TRANSPORTE.
Lo expuesto anteriormente supone que queda absolutamente prohibido:
• La utilización, divulgación o cesión de los datos de los ciudadanos para finalidades diferentes o que excedan de la órbita de las funciones laborales del usuario.
• Revelar, permitir o facilitar el acceso a la información contenida en las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE (automatizadas y en papel), por ningún tipo de medio (telefónico, escrito, telemático, etc.) a terceras personas ajenas a la misma sin autorización del titular de dichos datos, así como a otros trabajadores del órgano que, por sus funciones, no tengan autorizado el acceso a los mismos.
• Recopilar información acerca de personas que formen parte de las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE.
• La anotación por parte de los empleados de observaciones o comentarios acerca de personas en documentos del MINISTERIO DEL INTERIOR Y TRANSPORTE, sean oficiales o no, con excepción de cuando así se lo exija al personal o se desprenda de la naturaleza de la función que ocupa.
• Manipular o modificar los datos y/o el soporte que los contienen (papel o automatizado) de un modo no previsto conforme al buen saber y entender del trabajador y a lo que se infiere como consecuencia de las actividades que le son propias.
En caso de plantearse dudas sobre los permisos de acceso a los datos, debe consultarse al Administrador y/o Supervisor.
2. IDENTIFICACION Y ACCESO
Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos.
Al darse de alta como usuario en el sistema operativo, el Administrador le asignará de forma individualizada, un identificador de usuario y una contraseña, conforme a su perfil de usuario.
El identificador de usuario y la clave de acceso serán estrictamente confidenciales y personales, y cada identificación debe pertenecer a un solo usuario.
Debe cambiar la contraseña proporcionada por el Administrador en el primer acceso al sistema, por una clave de su exclusivo conocimiento.
La contraseña deberá constar de exactamente 8 (ocho) caracteres y podrá ser alfanumérica.
Las contraseñas caducan, el sistema forzará al usuario a cambiarla cada 30 (treinta) días corridos, por una nueva contraseña distinta a la anterior.
El sistema bloqueará la cuenta del usuario luego de 3 (tres) intentos de acceder a la aplicación con una contraseña o identificación de usuario incorrecta.
Debido que las contraseñas tienen carácter personal e intransferible, queda absolutamente prohibido divulgarla a terceras personas.
Si tiene conocimiento que otra persona conoce su clave y/o contraseña, deberá cambiarla inmediatamente y ponerlo en conocimiento del Administrador, quien lo registrará como incidencia. En caso de incumplimiento de esta estas obligaciones, el usuario será el único responsable de los actos realizados por la persona que utilice su identificador de forma no autorizada.
Lo expuesto anteriormente supone que está totalmente prohibido:
• Intentar descifrar las claves, sistemas o algoritmos de cifrados usando métodos de des encriptación u otros.
• Intentar utilizar el sistema para acceder a áreas que el usuario tenga restringidas de los sistemas informáticos del _________________.
• Intentar acceder sin la debida autorización, a otras cuentas o a sistemas de equipos o redes conectadas a Internet, a través del uso no lícito de la contraseña (o cualquier otro medio).
• El acceso o entrada en los sistemas informáticos utilizando el código de usuario y contraseña de otro usuario.
3. USO DE EQUIPOS INFORMATICOS
El Ministerio del Interior, el MINISTERIO DEL INTERIOR Y TRANSPORTE , o en su caso, la repartición pública que corresponda, es propietario u ostenta los derechos de uso de todos los medios e instrumentos informáticos y de comunicación que pone a disposición de sus empleados exclusivamente para el desarrollo de su actividad laboral.
Dichos medios deberán utilizarse con el cuidado o atención necesarios para evitar su destrucción, pérdida o deterioro prematuro. No se puede modificar ninguna parte de los mismos a iniciativa del usuario, sin contar con la autorización expresa del supervisor.
El trabajador que tenga a su disposición equipos informáticos portátiles debe extremar la precaución cuando haga uso de los mismos o los transporte fuera de las instalaciones del MINISTERIO DEL INTERIOR Y TRANSPORTE, y debe darse aviso inmediatamente en caso de sustracción, perdida u otro imponderable.
El MINISTERIO DEL INTERIOR Y TRANSPORTE pone a disposición de los trabajadores los medios informáticos y técnicos adecuados para la realización de sus funciones sólo mientras dure la relación laboral y con fines estrictamente profesionales. En el momento de la finalización de la relación laboral, se denegará el acceso a los equipos informáticos y consiguientemente a los archivos incluidos en los mismos. En el supuesto de que el ex usuario tenga en su poder determinados medios informáticos propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE (PC portátil, CD’s, DVD’s, USB´s, disco duro externo, certificado digital, tarjeta magnética, etc.), tendrá que devolverlos en el momento de la finalización de su relación laboral.
4. USO DE INTERNET Y CORREO ELECTRONICO
El criterio a seguir por los usuarios es que la navegación en Internet obedezca a fines profesionales, con el propósito de obtener el mejor aprovechamiento posible de los recursos informáticos.
Sin embargo, de acuerdo con la necesidad de conciliación de la vida personal y profesional, se autoriza la navegación por Internet para aquellos deberes personales que coinciden con el tiempo de trabajo, resulten realmente necesarias o se utilice como descanso del trabajador dentro de la jornada laboral, siempre que dicha utilización sea razonable y reducida al tiempo mínimo indispensable.
En vista de lo anterior, y con el fin de no ocupar innecesariamente o colapsar las conexiones, quedan expresamente prohibidos las descargas de películas, clips, videos, música, imágenes, fotografías, software, etc., en especial aquellos archivos que puedan infringir la propiedad intelectual y derechos de autor de terceros.
El Responsable de Seguridad Informática podrá bloquear el acceso a aquéllos sitios web que no considere acordes con el perfil del organismo. Sin perjuicio de ello, queda terminantemente prohibido el acceso a aquellas direcciones de Internet cuyas páginas tengan contenidos pornográfico, sexual, pedófilo, racista, y en general, el que pueda resultar ofensivo o atentatorio contra la dignidad humana.
La tecnología de acceso a Internet instalada permite disponer de un registro detallado de los sitios web visitados por cada usuario, del número de accesos efectuados al día, de la fecha y hora en que se efectuó la conexión y del tiempo dedicado en cada conexión. Tal información se almacena en los servidores del MINISTERIO DEL INTERIOR Y TRANSPORTE. A estos efectos se informa a los trabajadores que las bases de datos que se generen con la información de sus respectivos accesos a Internet podrá ser utilizada por el empleador como prueba a los efectos de proceder a sanciones disciplinarias, instrucción de sumario administrativo y/o causal de despido por incumplimiento de la presente política o disminución de la dedicación y rendimiento del trabajador.
El correo electrónico o e-mail es también un instrumento de trabajo propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE, y dado su carácter institucional, su utilización debe estar relacionada con los cometidos laborales encomendados, sin que pueda utilizarse de forma habitual o abusiva como instrumento para el intercambio de información cuyo contenido sea ajeno a la gestión de D.N.I.
Las comunicaciones realizadas a través de cuentas oficiales de correo electrónico o e-mail no pueden considerarse privadas y no son apropiadas para remitir información personal y/o confidencial. No se puede garantizar totalmente la seguridad de la comunicación y consiguientemente, no debe haber ninguna expectativa de privacidad o secreto en las comunicaciones enviadas por cuentas de correo electrónico institucionales creadas por el MINISTERIO DEL INTERIOR Y TRANSPORTE y otros órganos de gobierno a un determinado usuario, para el ejercicio de funciones públicas. En todo caso, cualquier comunicación no profesional que pueda haberse recibido o emitido es de responsabilidad exclusiva del agente que haya utilizado el correo electrónico en contravención de la presente cláusula y alejándose de las funciones que la MINISTERIO DEL INTERIOR Y TRANSPORTE le ha encomendado y para la cuales ha sido asignada la citada casilla de correo electrónico. No es objetivo de esta cláusula impedir la flexibilidad en el uso del correo electrónico sino evitar los abusos que pudieran cometerse en la utilización del mismo.
En el momento de la extinción de la relación laboral, cualquier acceso a la bandeja de correo electrónico quedará interrumpido. El usuario no podrá eliminar mensajes privados e innecesarios para el organismo. Asimismo, los mensajes relacionados con la actividad profesional deberán ser mantenidos y guardados en el sistema. Su inmediato supervisor se encargará de supervisar las tareas de eliminación de los mensajes innecesarios.
El trabajador será el único responsable, tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE como con respecto a terceros, en caso de violación de tales reglas de conducta.
5. USO DE PROGRAMAS, SOFTWARE Y APLICACIONES INFORMATICAS
Cada usuario tiene acceso a los recursos que necesita en función de su perfil de trabajo.
Los archivos y sistemas informáticos utilizados para la gestión de confección y trámite de D.N.I. son de propiedad estatal. Queda prohibida cualquier utilización, copia o reproducción de los mismos para fines no profesionales, salvo autorización expresa del Responsable de Area Informática, el Responsable de Seguridad o el Coordinador del Comité de Seguridad.
El trabajador será el único responsable, tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE como con respecto a terceros, en caso de violación de tales reglas de conducta.
A fin de no vulnerar los derechos de propiedad intelectual de terceros se prohíbe expresamente la utilización de programas para los cuales la administración pública que se trate, no haya obtenido una licencia previa.
Debe advertirse que la utilización de programas informáticos sin la debida autorización (pirateo informático) puede ser constitutiva de delito, y el trabajador puede incurrir asimismo en responsabilidades de distinto orden.
La utilización de archivos o programas de procedencia externa, puede entrañar graves riesgos para la seguridad del conjunto de los sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE, por lo que deberá evitarse la apertura de cualquier archivo de procedencia desconocida, la utilización de software no autorizado o ajeno a la gestión de confección y trámite de D.N.I., la descarga de archivos de procedencia dudosa desde internet, la conexión a la red del MINISTERIO DEL INTERIOR Y TRANSPORTE de equipos no autorizados y revisados por el Responsable de Area Informática.
Finalizado el vínculo laboral, el trabajador deberá dejar intactos todos los archivos, entregables, informes y documentos que hayan tenido un fin profesional o productivo.
Cuando se estime necesario para la protección del patrimonio estatal y del de los demás empleados, para el de los derechos ajenos, o por motivos relacionados con el funcionamiento del MINISTERIO DEL INTERIOR Y TRANSPORTE, éste se reserva la facultad de revisar periódicamente, a través de los servicios técnicos de la misma, el contenido de los discos duros de los ordenadores utilizados por los empleados en el desempeño de sus funciones, procediendo a la eliminación de todos aquellos programas y archivos que por parte de los servicios técnicos de la empresa se consideren ajenos a los fines profesionales en atención a los cuales dichos ordenadores son puestos a disposición de los empleados.
Las mencionadas revisiones se efectuarán siempre por parte de los servicios técnicos del MINISTERIO DEL INTERIOR Y TRANSPORTE o quien éste designe, en el centro de trabajo y dentro del horario laboral, respetándose al máximo las garantías legales.
6. POLITICA DE ESCRITORIOS Y PANTALLAS LIMPIAS
Por la presente se adopta una política de escritorios, mesas o espacios de trabajo limpios, para proteger los documentos en papel; y un criterio de pantallas limpias, que minimice el riesgo de accesos no autorizados y pérdidas de información, tanto durante el horario de trabajo como fuera del mismo.
Será obligatorio:
• Almacenar bajo llave, gabinetes o mobiliario seguro los archivos en papel mientras se encuentran en dominio de un trabajador, cuando no estén siendo utilizados, especialmente fuera del horario de trabajo.
• Proteger con cerraduras de seguridad, contraseñas u otros controles a las computadoras personales, terminales e impresoras asignadas a funciones críticas cuando no están en uso (ej. Protectores de pantalla con contraseña).
• Proteger los puntos de recepción y envío de correo postal y las máquinas de fax.
• Retirar inmediatamente la información sensible una vez impresa.
Si un agente debe abandonar su puesto de trabajo momentáneamente, cerrará la sesión o activará protectores de pantalla con contraseña, a los efectos de evitar que terceros puedan ver el trabajo o continuar con la sesión del usuario habilitada.
El trabajador será el único responsable, tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE como con respecto a terceros, en caso de violación de tales reglas de conducta.
7. INCIDENCIAS
Se entiende por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad e integridad de los datos de carácter personal, sistemas, soportes informáticos y archivos (estén automatizados o no).
Es obligación comunicar al Supervisor o Administrador cualquier incidencia que se produzca en relación con su cuenta de usuario. Dicha comunicación deberá realizarse a la mayor brevedad posible, desde el momento en el que se produce la incidencia o se tenga certeza de que pudiera producirse o se tiene conocimiento de la misma, vía correo electrónico a MINISTERIO DEL INTERIOR Y TRANSPORTE.
8. INCUMPLIMIENTO DE LAS OBLIGACIONES
El incumplimiento de las obligaciones anteriormente descritas dará lugar a la instrucción de sumario administrativo y/o la imposición de las correspondientes sanciones disciplinarias por parte del MINISTERIO DEL INTERIOR Y TRANSPORTE o aquella repartición donde el trabajador haya cometido la infracción.
Las sanciones serán las previstas, según corresponda, en la Ley 25.188 de Etica en el ejercicio de la Función Pública, la Ley 25.164 de Regulación del Empleo Público Nacional, el Convenio Colectivo de Trabajo General o la normativa laboral que le sea aplicable al afectado conforme a lo dispuesto en el Contrato de Trabajo o su situación de revista.
Aceptando y de conformidad con todo lo expuesto, se firman dos ejemplares del mismo tenor en _____________, a los ___ días del mes de ____________de 201__.