Presidencia de la Nación

AGENCIA DE ACCESO A LA INFORMACION PUBLICA


AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 211/2023

RESOL-2023-211-APN-AAIP

Ciudad de Buenos Aires, 27/10/2023

VISTO el Expediente Nº EX-2023-123052025- -APN-AAIP; la Ley N° 27.275; el Decreto N° 577 del 28 de julio de 2017, modificado por su similar N° 480 del 11 de julio de 2019; las Decisiones Administrativas N° 1865 del 16 de octubre de 2020, N° 641 del 25 de junio de 2021, y N° 1094 del 1° de noviembre de 2022; las Resoluciones de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN N° 829 del 24 de mayo de 2019, y N° 1523 del 12 de septiembre de 2019; la Resolución de la SECRETARIA DE INNOVACIÓN PÚBLICA N° 44 del 1° de septiembre de 2023; y

CONSIDERANDO:

Que, según lo establecido en el artículo 19 de la Ley N° 27.275, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, debe velar por el cumplimiento de los principios y procedimientos establecidos en la citada norma, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326.

Que todas las infraestructuras tecnológicas de información, comunicación y operación del Sector Público se encuentran expuestas a riesgos de disrupción que podrían afectar severamente los servicios que se prestan a la población.

Que por el Decreto N° 577/2017, modificado por su similar N° 480/2019, se creó el COMITÉ DE CIBERSEGURIDAD en la órbita de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, el cual tiene como objetivo la elaboración de la Estrategia Nacional de Ciberseguridad.

Que por la Resolución N° 829/2019 de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN se aprobó la ESTRATEGIA NACIONAL DE CIBERSEGURIDAD; y mediante la Resolución N° 1523/2019 de la exSecretaría antes mencionada se aprobaron las definiciones de Infraestructuras Críticas y de Infraestructuras Críticas de Información, la enumeración de los criterios de identificación y la determinación de los sectores alcanzados.

Que en el Anexo de la Resolución citada el último término en el párrafo anterior se define a las Infraestructuras Críticas como aquellas que resultan indispensables para el adecuado funcionamiento de los servicios esenciales de la sociedad, la salud, la seguridad, la defensa, el bienestar social, la economía y el funcionamiento efectivo del Estado, cuya destrucción o perturbación, total o parcial, los afecte y/o impacte significativamente; y, de modo similar, se define a las Infraestructuras Críticas de Información como aquellas tecnologías de información, operación y comunicación, así como la información asociada, que resultan vitales para el funcionamiento o la seguridad de las Infraestructuras Críticas.

Que mediante la Resolución N° 44/2023 de la SECRETARIA DE INNOVACIÓN PÚBLICA, modificatoria de la Resolución N° 829/2019 de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN, se implementó la Segunda Estrategia Nacional de Seguridad orientada a fijar las previsiones nacionales en materia de protección del ciberespacio, y con la finalidad de brindar un contexto seguro para su aprovechamiento por parte de las personas y organizaciones públicas y privadas, desarrollando, de forma coherente y estructurada, acciones de prevención, detección, respuesta y recuperación frente a las ciberamenazas, junto con el desarrollo de un marco normativo e institucional acorde.

Que a través de la Decisión Administrativa N° 641/2021 se aprobaron los “REQUISITOS MINIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, que como ANEXO I (IF-2021-50348419-APN-SSTIYC#JGM), forman parte integrante de dicha medida y son aplicables a todas las entidades jurisdicciones comprendidas en el inciso a) del art. 8° de la Ley N° 24.156.

Que la mencionada norma establece, entre otras obligaciones, que los organismos alcanzados por su ámbito de aplicación deben desarrollar una Política de Seguridad de la Información compatible con la responsabilidad primaria y las acciones de su competencia, sobre la base de una evaluación de riesgos que pudieran afectarlos; aprobar sus Planes de Seguridad, estableciendo los plazos en que se dará cumplimiento a cada uno de los requisitos mínimos de seguridad de la información (art. 3°); y adoptar las medidas preventivas, de detección y correctivas destinadas a proteger la información que reciban, generen o gestionen, así como sus recursos (art. 6°).

Que, conforme se dispuso mediante la Decisión Administrativa N° 1094/2022, la Dirección de Informática e Innovación tiene como responsabilidad primaria la de asistir a la titular de la Agencia en el análisis, formulación, implementación, actualización y rediseño de los sistemas de información, con miras a los procesos y procedimientos tanto internos como externos, así como en la infraestructura informática, sistemas y otras herramientas que contribuyan al fortalecimiento de las políticas de acceso a la información pública y la protección de los datos personales.

Que, entre otras acciones, la Dirección citada debe asistir a la titular de la AAIP en la definición y aplicación de metodologías y normas relativas a la seguridad y privacidad de la información, de conformidad con la normativa vigente y estándares aplicables en la materia; y supervisar el desarrollo de los sistemas informáticos, establecer sus estándares de control y seguridad, como así también supervisar la aplicación de las normas de integridad y seguridad de datos de la Agencia.

Que con la finalidad de mejorar y simplificar los procedimientos administrativos que se desarrollan en su ámbito funcional, la AAIP se encuentra abocada a la progresiva implementación en sus procesos de trabajo de las Tecnologías de la Información y las Comunicaciones (TIC) y de otras tecnologías emergentes.

Que, teniendo en cuenta lo expuesto, se encomendó a la Dirección de Informática e Innovación proyectar la Política de Seguridad de la Información (PSI) del organismo, con el objetivo de fortalecer la seguridad de la información que recibe, produce y administra, en concordancia con los REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL, establecidos en el Anexo I de la Decisión Administrativa N° 641/2021.

Que dicha política busca proteger los recursos de la información de la AAIP y las herramientas tecnológicas utilizadas para su procesamiento frente a amenazas internas y externas, deliberadas o accidentales; asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información; y afianzar la adecuada implementación de las medidas de seguridad, identificando los recursos disponibles.

Que la PSI debe estar entrelazada con la cultura institucional y, para alcanzar ese objetivo, contará con el compromiso manifiesto de las autoridades de la AAIP.

Que la Unidad de Auditoría Interna y el Servicio Jurídico permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA han tomado las intervenciones de sus respectivas competencias.

Que la presente medida se dicta en cumplimiento de lo establecido por la Decisión Administrativa N° 641/2021.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1°.- Aprobar la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA”, que como Anexo IF-2023-127002770-APN-DIEI#AAIP forma parte integrante de la presente medida.

ARTÍCULO 2°.- Establecer que la Política aprobada por el artículo 1° se aplica en todo el ámbito institucional de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, a sus recursos y a la totalidad de sus procesos, ya sean internos o externos, vinculados a través de contratos o convenios con terceros.

ARTÍCULO 3°.- Delegar en el titular de la Dirección de Informática e Innovación de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la facultad de actualizar la política aprobada por el artículo 1°; dictar las normas aclaratorias y complementarias que resulten necesarias para su adecuada implementación; y aprobar el PLAN DE SEGURIDAD que se elabore de conformidad con lo establecido en el artículo 3° de la Decisión Administrativa N° 641/21.

ARTÍCULO 4°.- Encomendar a la Dirección de Informática e innovación de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la revisión anual de la política aprobada por el artículo 1° de la presente.

ARTÍCULO 5°.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Beatriz de Anchorena

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 31/10/2023 N° 87694/23 v. 31/10/2023

(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)





Aspectos Generales

Necesidad de la Política de Seguridad de la Información

Esta P.S.I. surge de la necesidad de los organismos estatales de poner el foco en la seguridad de su información. En consonancia con esto, la Secretaría de Innovación Pública en el año 2021 promulga la Decisión Administrativa 640/21, que apunta a promover una política pública que enmarque una conducta responsable en materia de seguridad de la información en los organismos estatales, sus agentes y funcionarios. Además, y debido al constante avance de la tecnología, la información puede ser hoy en día objeto de una amplia gama de peligros, amenazas y usos indebidos e ilícitos, por lo que se pretende extremar las medidas tendientes a la preservación de su confidencialidad, integridad y disponibilidad.

Objeto de la Política de Seguridad de la Información

Proteger los recursos de la información de la Agencia de Acceso a la Información Pública (AAIP) y las herramientas tecnológicas utilizadas para su procesamiento, frente a amenazas internas y externas, deliberadas o accidentales.

Asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información.

Afianzar la adecuada implementación de las medidas de seguridad, identificando los recursos disponibles.

Mantener la P.S.I. de la Agencia actualizada, a efectos de asegurar su vigencia y nivel de eficacia.

Alcance de la Política de Seguridad de la Información

Esta P.S.I. se aplica en todo el ámbito institucional, a sus agentes, ya sean internos o externos, vinculados a la Agencia a través de contratos o convenios con terceros, y a la totalidad de los procesos.

Revisión de la política de Seguridad de la Información

Las áreas observadas o que tengan interés legítimo a efectos modificatorios, deberán elevar sus propuestas al Área Responsable por la Seguridad de la Información a fin de coordinar su inclusión, modificación y/o sustitución.

Ante contingencias técnicas operativas y funcionales en los sistemas de información, bastará la ocurrencia de un incidente para que ésta intervenga.

El Área Responsable por la Seguridad de la Información deberá impulsar una revisión de la P.S.I. por lo menos una vez cada 12 (doce) meses, contados a partir de la última publicación o actualización. Dichas actualizaciones serán revisadas por el Comité de Control de Seguridad de la Información y luego de su aprobación, elevadas a la Autoridad Superior. Serán publicados en el sitio de Internet que, a tal fin, establezca la AAIP.

Incumplimiento

Todo incumplimiento de la P.S.I. debe ser informado de forma inmediata al Área Responsable por la Seguridad de la Información para su tratamiento.

Con el dictamen emitido, de corresponder, se adoptarán las medidas legales y/o administrativas necesarias.

Política de Seguridad de la Información

A. Organización

.A.1 Aspectos Generales

La P.S.I será parte de la cultura institucional, por ello es necesario el compromiso manifiesto de la alta dirección de la organización.

a. Objetivo

Definir funciones y asignar responsabilidades de seguridad de la información en todos los niveles de la estructura de la Agencia, a fin de implementar y cumplimentar esta P.S.I.

Definir las responsabilidades en el cumplimiento de la seguridad y la normativa vigente desde la perspectiva de la confidencialidad, la integridad y la disponibilidad de la información, a los fines de proteger adecuadamente los datos, sistemas y recursos de información frente amenazas internas y externas.

Definir las funciones y responsabilidades de un Comité de Control de Seguridad de la Información (C.C.S.I) en el marco de la Agencia.

b. Alcance

Todo el personal de la Agencia, cualquiera sea su situación de revista, así como el personal externo que efectúe tareas y/o brinde servicios al Organismo, se encuentra alcanzado por esta política.

Las instrucciones, normas y procedimientos de Seguridad de la Información deben basarse en los principios desarrollados en el presente documento.

.A.2 Comité de Control de Seguridad de la Información

La creación de un Comité de Control de Seguridad de la Información (C.C.S.I) en el marco de la Agencia tiene como objetivo general el de ser un cuerpo plural y representativo de las distintas áreas del Organismo que pueda controlar, revisar, difundir y promover cambios relativos a la seguridad de la información.

a. Objetivos

• Proporcionar lineamientos para la creación de un Comité de Control de Seguridad de la Información en el ámbito de la Agencia y sus responsabilidades.

b. Definición de Funciones y Asignación de Responsabilidades

• Analizar las actualizaciones a la P.S.I propuestas por el Responsable de la Seguridad de la Información y previa conformidad, elevarlas para la aprobación de la Autoridad Superior de la Agencia.

• Tomar conocimiento y supervisar la investigación y monitoreo de aquellos incidentes relevantes relativos a la seguridad.

• Promover la difusión y concientización de la seguridad de la información dentro de la Agencia y promover la cooperación entre sus miembros en toda implementación referida a la temática.

• Tomar conocimiento y supervisar el proceso de administración de la continuidad de la operatoria de los sistemas de tratamiento de la información de la Agencia frente a interrupciones imprevistas.

.A.3 Organización Interna

a. Objetivos

• Gestionar la P.S.I. en el ámbito estructural de la Agencia.

• Proporcionar a la Agencia el marco de gestión para el tratamiento de la seguridad de la información, en conformidad con los requerimientos y normativas vinculadas a la P.S.I.

• Asegurar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información de la Agencia.

b. Definición de Funciones y Asignación de Responsabilidades

Intervienen en la Gestión de la Seguridad de la Información de la Agencia:







c. Compromiso de Confidencialidad

Se definirán, implementarán y revisarán regularmente compromisos de confidencialidad o de no divulgación a los fines de proteger la información, debiendo cumplir con toda normativa que alcance a la Agencia en materia de confidencialidad de la información. Dichos compromisos deberán ser implementados con:

a. Personal de la Agencia.

b. Organismos externos que accedan o hagan uso de los datos de la Agencia.

c. Personal contratado, proveedores, etc.

d. Accesos de Terceras Partes a la Información

Toda la información deberá protegerse contra acceso de terceros no autorizados.

El acceso de terceras partes a la información de la AAIP debe ser expresamente autorizado por los o las Propietarios/as de la Información. Adicionalmente, de acuerdo a la clasificación de la información a compartir, se requerirá un acuerdo de confidencialidad y no divulgación de la información deberá ser suscrito entre éstas y la AAIP.

Cualquier pérdida o acceso no autorizado o sospechoso a la información sensible deberá informarse en modo fehaciente inmediatamente al Propietario/a de la Información haciendo extensiva dicha comunicación (de corresponder) a su línea jerárquica.

Los pedidos de cuestionarios, informes financieros, documentos de la política interna, procedimientos, exámenes y entrevistas con el personal están cubiertos por esta política

.A.4 Grupos o Personas Externas

a. Objetivo

Resguardar la seguridad de la información y los medios de procesamiento de información de la Agencia que son ingresados, procesados, comunicados, o manejados por grupos externos.

b. Aspectos Generales

En todos los contratos o acuerdos cuyo objeto sea la prestación de servicios a título personal bajo cualquier modalidad jurídica que deban desarrollarse dentro de la Agencia, se establecerán los controles, requerimientos de seguridad y compromisos de confidencialidad aplicables al caso, restringiendo al mínimo necesario, los permisos a otorgar.

En ningún caso se otorgará acceso a terceros a la información, a las instalaciones de procesamiento u otras áreas de servicios críticos, hasta tanto se hayan implementado los controles apropiados y se haya firmado un contrato o acuerdo que defina las condiciones para la conexión o el acceso.

c. Contratos o Acuerdos con Terceras Partes

Debe tenerse en cuenta que ciertas actividades de la Agencia pueden requerir que terceros accedan a información interna, o bien puede ser necesaria la tercerización de ciertas funciones relacionadas con el procesamiento de la información. Por este motivo, es necesario que se establezcan cláusulas en los contratos, convenios, acuerdos o demás instrumentos para establecer y/o mantener dicha relación, que garanticen que los terceros vinculados con acceso a la información, recursos y/o administración y control de los sistemas, conozcan y acepten la PSI, así como cláusulas aplicables frente a su eventual incumplimiento.

Por su parte, se deberán incluir cláusulas y/o se solicitará la suscripción obligatoria de convenios de confidencialidad en los contratos, convenios, acuerdos o demás instrumentos para establecer relaciones con terceros.

En ningún caso se otorgará acceso a terceros a la información, a las instalaciones de procesamiento u otras áreas de servicios críticos, hasta tanto se hayan efectuado los controles apropiados, los cuales definan, asimismo, las condiciones para la conexión o el acceso, y se hayan suscripto los respectivos convenios respecto a la confidencialidad de la información.

d. Copias No Autorizadas de la Información

Usuarios y usuarias deberán, previamente a copiar información, tener la autorización debida en base a los lineamientos establecidos por los Propietarios de la Información.

La realización de copias de backups se permite solo cuándo ésta responda a normas, procedimientos de seguridad y resguardo de información, y sólo será realizada por personal autorizado del Área Responsable por la Seguridad Informática.

e. Recepción y Envío de Información

Toda transmisión de información debe utilizar los procedimientos que garanticen el no repudio cuando haya que resolver disputas sobre la ocurrencia o no de un envío de información.

f. Divulgación de las Medidas de Seguridad de la Información

La información con respecto a las medidas de seguridad de los sistemas y las redes es confidencial y no se debe divulgar a usuarios no autorizados.

.B.Clasificación de Activos

La Agencia debe tener conocimiento preciso sobre los activos de la información como parte importante de la administración de riesgos.

Se entiende por Activo de Información a todo aquel elemento que contiene o trata información relevante para la Agencia, o que su pérdida o degradación pudieran afectar de algún modo a la continuidad de los servicios ofrecidos.

Los siguientes ítems son activos de información de la Agencia:

• Recursos de Información: bases de datos y archivos de datos, documentación de sistema, manuales de usuarios, material de capacitación, procedimientos operativos o de soporte, planes de continuidad y contingencia, información archivada en soporte digital.

• Recursos Software: software de aplicaciones, sistemas operativos, herramientas de desarrollo y publicación de contenidos, utilitarios.

• Activos físicos: equipamiento informático, equipamiento de comunicaciones, medios magnéticos y de almacenamientos fijos y portátiles y otros equipos técnicos.

• Instalaciones físicas: edificios, ubicaciones físicas, tendido eléctrico, red de agua y gas, controles de acceso físico, usinas o generadores eléctricos, aires acondicionados, mobiliarios en general.

• Servicios: servicios informáticos, servicios de comunicaciones (Convencionales (VHF), troncalizados, telecomunicaciones, satelitales), Servicios Web (intranet e Internet), servicios generales como ser: calefacción, iluminación, energía, aire acondicionado, etc.

• Activos intangibles: reputación y la imagen de la Agencia, direcciones de correo electrónico, direcciones IP y nombres de dominio.

Toda la información administrada por la Agencia, y sus medios de procesamiento, son de su propiedad.

a. Objetivo

Alcanzar y mantener una protección adecuada para los activos de información de la Agencia.

Establecer los lineamientos para clasificar la información, según su relación con los criterios de confidencialidad, integridad, disponibilidad y criticidad.

Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación. Dichos niveles deben contemplar el alcance y las excepciones de la ley de la ley 27275 de Acceso a la Información Pública.

b. Alcance

Aplica a todos los activos de información de la Agencia.

c. Responsabilidad

Los y las Responsables de Áreas Sustantivas y Operativas serán Propietarios/as de la Información relacionada con las funciones inherentes a su cargo y de los medios necesarios para el procesamiento de la misma.

Los y las Propietarios/as de Información son encargados/as de clasificar la información de acuerdo a su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificación efectuada, de definir las funciones que deben tener permisos de acceso a los archivos y son los responsables de mantener los controles adecuados.

El término Propietario/a identifica a la persona que será responsable de controlar la producción, desarrollo, mantenimiento, uso, aplicación y protección de la información, sin implicar la posesión efectiva de derechos de propiedad.

El Área Responsable por la Seguridad de la Información establecerá los lineamientos para la utilización de los recursos de la tecnología de información contemplando en los requerimientos de seguridad establecidos según la criticidad de la información que procesan.

.B.1 Responsabilidad Sobre los Activos de Información

a. Objetivo

Todos los Activos de Información deben ser inventariados y contar con un(a) Responsable.

b. Inventario de Activos de Información

Se identificarán los activos asociados a cada sistema de información, sus respectivos propietarios y su ubicación, para luego elaborar un inventario con dicha información.

Toda modificación a la información registrada en el inventario debe ser registrada.

c. Inventario de Hardware y Software

Para tener un control y registros de equipos informáticos con su información de configuraciones de Hardware y Software, se utilizarán herramientas informáticas de identificación y control de los mismos.

El Área Responsable de Infraestructura Informática deberá controlar las configuraciones iniciales de los equipos, así como los productos de software instalados en los mismos.

Todo cambio o alteración a estas configuraciones deberá ser informado inmediatamente al Área Responsable de Infraestructura Informática, a fin de poder tomar acción correctiva y evitar penalidades por uso de software ilegítimo.

d. Propiedad de los Activos de Información

Cada Responsable de Área, como Propietario/a de Activos de Información, deberá cumplir las funciones de:

• Clasificar los activos de la información.

• Documentar y mantener actualizada la clasificación efectuada.

• Definir los permisos de acceso a sus activos.

• Informar sobre cualquier cambio que afecte el inventario de activos.

• Velar por la implementación y el mantenimiento de los controles adecuados de seguridad requeridos en los activos.

El Área Responsable por la Seguridad Informática verificará los mecanismos de acceso a la información, garantizando que los niveles de clasificación sean estrictamente observados.

e. Uso Aceptable de los Activos de Información

El Área Responsable de Seguridad de la Información establecerá y verificará reglas para el uso aceptable de los activos de la información, específicamente para los activos asociados con las instalaciones de procesamiento de la misma, según corresponda.

Todo el personal de la Agencia, así como los terceros autorizados a utilizar los Activos de Información de la misma, deberán seguir dichas reglas, incluyendo:

• Correo electrónico,

• Sistemas de gestión,

• Estaciones de trabajo,

• Dispositivos móviles,

• Herramientas y equipamiento de publicación de contenidos, etc.

Se consideran usuarios y usuarias de la red de datos a toda persona que tenga acceso autorizado a los distintos sistemas de información. Los usuarios y usuarias de la red de datos utilizarán la infraestructura de la red sólo para el intercambio de información cuyo contenido sea necesario para el desempeño de sus funciones.

El acceso a la red de comunicaciones interna de la Agencia será restringido al personal que brinda funciones en la misma. Toda excepción a esta regla deberá ser solicitada formalmente por un/a funcionario/a con rango no inferior a Director/a y gestionada por las Áreas Responsables por la Gestión de Accesos.

La utilización de los diferentes sistemas de información y elementos informáticos es de uso exclusivo para asuntos de servicio. El uso aceptado no se considera un derecho del usuario/a y se encuentra sujeto al estricto control permanente de la Autoridad a cargo del área donde el usuario/a desempeñe sus funciones.

El uso aceptado puede ser controlado, revocado o limitado en cualquier momento por razón de la función, por cuestiones operativas y/o de seguridad de la red ya sea por la autoridad de aplicación y/o por los y las funcionarios/as responsables.

No se considera uso aceptable aquel que demande un gasto adicional para la Agencia, excepto el que derive del uso normal de los recursos informáticos.

.B.2 Clasificación de la Información

a. Objetivo

Asegurar que la información reciba un nivel de protección apropiado.

Establecer una metodología de clasificación de activos de la información en función de cada una de las siguientes características de la seguridad: confidencialidad, integridad, criticidad y disponibilidad.

Al momento de establecer los criterios de clasificación se deberá tener en cuenta la Ley 27.275 de Acceso a la Información Pública y sus excepciones, como también la legislación asociada a la protección de Datos Personales, mencionadas en el apartado J.

b. Directrices de Clasificación

Para clasificar un activo de información, se utilizarán los criterios definidos en los siguientes niveles:

i. Confidencialidad

Nivel 0 'Información No Clasificada': Se aplica a toda información cuyo impacto en la Agencia es de severidad nula. Es información que puede ser conocida y utilizada sin autorización por el personal de la Agencia o terceros.

Nivel 1 'Uso Interno': Se aplica a toda la información que requiera ser considerada de uso interno para la adecuada y normal gestión y/o elaboración de los procesos y sistemas de información de producción, cuyo impacto en la Agencia es de severidad baja. Su divulgación o uso no autorizado podría ocasionar daños leves a la Agencia o a terceros.

Nivel 2 'Confidencial': Se aplica a toda información que deba ser resguardada para que no tome dominio público, accedida sólo por un grupo de usuarios/as autorizados/as y cuyo impacto en la Agencia es de severidad media o alta. Por ejemplo: información de los sistemas, correos electrónicos, información proveniente de otros organismos de gobierno con clasificación equivalente, etc. Si un activo de información no ha podido ser clasificado, hasta tanto ocurra su clasificación, deberá ser considerado como si fuese de clasificación confidencial. Su divulgación o uso no autorizado podría ocasionar un daño significativo a la Agencia o a terceros.

Nivel 3 'Confidencial Restringido': Se aplica a toda información estratégica y que sea extremadamente sensible para la Agencia. Su divulgación o uso no autorizados podría ocasionar graves pérdidas materiales o grave perjuicio de imagen.

ii. Integridad

Nivel 0: Información cuya modificación no autorizada puede repararse fácilmente o no afecta la operatoria de la Agencia. No Clasificado.

Nivel 1: Información cuya modificación no autorizada puede repararse, aunque podría ocasionar daño leve para la Agencia.

Nivel 2: Información cuya modificación no autorizada es de difícil reparación y podría ocasionar daños significativos para la Agencia

Nivel 3: Información cuya modificación no autorizada no podría repararse, ocasionando daños graves para la Agencia.

iii. Disponibilidad

Nivel 0: Información cuya inaccesibilidad no afecta la operatoria de la Agencia. No Clasificado.

Nivel 1: Información cuya inaccesibilidad permanente durante una semana podría ocasionar daños significativos para la Agencia.

Nivel 2: Información cuya inaccesibilidad permanente durante un día podría ocasionar daños significativos para la Agencia.

Nivel 3: Información cuya inaccesibilidad permanente durante una hora podría ocasionar daños significativos para la Agencia.

iv. Criticidad

CRITICIDAD BAJA: ninguno de los valores asignados supera el nivel 1.

CRITICIDAD MEDIA: alguno de los valores asignados es 2.

CRITICIDAD ALTA: alguno de los valores asignados es 3.

Sólo el o la Propietario/a de la información puede asignar o cambiar su nivel de clasificación, cumpliendo con los siguientes requisitos previos:

• Asignarle una fecha de efectividad y/o caducidad del nivel de clasificación.

• Comunicárselo al depositario/a del recurso.

• Realizar los cambios necesarios para que los usuarios y usuarias conozcan la nueva clasificación.

Luego de clasificar la información, el o la Propietario/a identificará los recursos asociados (sistemas, equipamiento, servicios, etc.) y definirá los perfiles funcionales que deben tener acceso a la misma.

En adelante se mencionará como 'información clasificada' (o 'datos clasificados') a aquella que se encuadre en los niveles 1, 2 o 3 de Confidencialidad.

v. Etiquetado y Manipulación de la Información

El Área Responsable de Seguridad de la Información definirá los lineamientos para el manejo de información de acuerdo al esquema de clasificación definido. Los mismos contemplarán los recursos de información tanto en formatos físicos como electrónicos e incorporarán las siguientes actividades de procesamiento de la información:

• Copia.

• Manipulación de datos por medio de aplicaciones y/o sistemas informáticos.

• Manipulación y almacenamiento de datos.

• Manipulación y almacenamiento de datos en dispositivos móviles.

• Almacenamiento para resguardo o recupero.

• Transmisión por correo, correo electrónico;

• Transmisión oral (telefonía fija y móvil, correo de voz, contestadores automáticos, etc.).

• Transmisión a través de mecanismos de intercambio de archivos (FTP, almacenamiento masivo remoto, etc.) publicación masiva o restringida en algún medio gráfico, Internet o Intranet.

Los niveles de clasificación deben contemplar procedimientos de manejo seguros, incluyendo las actividades de procesamiento, almacenaje, transmisión, de clasificación y destrucción.

.C.Segiindad de los Recursos Humanos

.C.1 Aspectos Generales

La información sólo tiene sentido cuando es utilizada por las personas y son éstas quienes, en último término, deben gestionar adecuadamente este importante recurso. Por lo tanto, no se puede proteger adecuadamente la información sin una correcta gestión del personal, teniendo en cuenta aspectos como: la selección de nuevos ingresantes, su formación, la implementación de las normativas internas o la gestión del personal que se desvincula de la Agencia.

a. Objetivo

Contribuir a mitigar riesgos provocados por:

• errores humanos,

• comisión de ilícitos,

• uso inadecuado de instalaciones y recursos,

• manejo no autorizado de la información.

Comunicar las responsabilidades en materia de seguridad de la información, relacionadas con:

• Verificar su cumplimiento durante el desempeño del personal en actividad.

• La etapa de desvinculación de personal.

b. Alcance

Aplica a todo el personal la Agencia que se encuentre en actividad hasta su desvinculación definitiva.

c. Responsabilidades

El Área Responsable de Recursos Humanos informará a los y las ingresantes acerca de sus obligaciones respecto del cumplimiento de la P.S.I.; gestionará los convenios de confidencialidad que correspondan; y coordinará las tareas de capacitación de usuarios y usuarias, junto al Área Responsable por la Seguridad de la Información.

.C.2 Acciones Previas al Ingreso

a. Objetivo

Asegurar que los y las postulantes entiendan sus futuras responsabilidades y sean idóneos/as para las funciones que desarrollen.

Dar a conocer las responsabilidades en materia de seguridad de la información, mediante una descripción adecuada del trabajo, en los términos y condiciones del puesto a cubrir.

b. Términos y condiciones

Como parte de sus términos y condiciones iniciales para el servicio, el personal, cualquiera sea su labor en la Agencia, deberá firmar un compromiso de confidencialidad que incluya los términos y responsabilidades relacionadas con la gestión de la información, tanto de la Agencia como de terceros entregada a esta.

Una copia firmada del compromiso de confidencialidad será resguardada en el legajo del personal en forma segura.

Mediante el compromiso de confidencialidad la persona declarará conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad de la persona.

Los términos y las condiciones del servicio establecerán la responsabilidad del personal en materia de seguridad de la información.

Si las condiciones particulares y/o especiales del servicio lo ameritan se podrá establecer que estas responsabilidades puedan extenderse más allá de los límites que fija la normativa vigente. Los términos y condiciones deberán contemplar derechos y obligaciones del personal relativos a las leyes de Propiedad Intelectual y/o la legislación de protección de datos personales, incluyéndose información acerca de los alcances de la Ley N° 26.388 de delitos informáticos.

.C.3 Durante el Desempeño de las Actividades

a. Responsabilidad de la Dirección

Los y las Responsables de cada Área, como responsables del uso de los sistemas de información, deberán verificar que todo el personal a su cargo y toda persona que realice tareas en el área de su incumbencia cumpla en forma estricta todas y cada una de las disposiciones establecidas en la presente política.

Deben tener conocimiento adecuado de sus funciones y responsabilidades de seguridad de la información antes de que se le otorgue el acceso a información sensible o a los sistemas de información.

Deben cumplir con las P.S.I. de la Agencia y concientizar al área sobre la importancia de dicho cumplimiento.

b. Formación y Capacitación en Materia de Seguridad de la Información

Todo el personal de la Agencia y, cuando sea pertinente, los y las usuarios/as externos/as que desempeñen funciones en el organismo, deberán recibir una adecuada capacitación y actualización periódica y permanente en materia de las políticas, normas y procedimientos de seguridad de la información (se recomienda al menos a personal jerárquico), incluyendo los requerimientos de confidencialidad de la información, seguridad y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y el uso correcto de los recursos en general, como por ejemplo su estación de trabajo.

El Área Responsable por la Seguridad de la Información arbitrará los medios técnicos necesarios para comunicar a todo el personal, eventuales modificaciones o novedades en materia de seguridad que deban ser tratadas con un orden preferencial.

El Área Responsable por la Seguridad de la Información en conjunto con el Área de Recursos Humanos, coordinarán la formulación de contenidos y las acciones para los planes de concientización y/o capacitación en materia de seguridad de información.

c. Desempeño de las Actividades

El Área Responsable por la Seguridad Informática realizará el monitoreo e inspección de los sistemas de información, así como las áreas de trabajo, en cualquier momento con el objeto de garantizar la seguridad de las operaciones y de la información.

Estas inspecciones, cuando sean integrales, pueden llevarse a cabo con o sin el consentimiento del personal involucrado, de acuerdo a procedimientos objetivos, debidamente justificados, documentados y autorizados fehacientemente por las autoridades competentes.

La información que podrá inspeccionarse puede incluir registros (logs) de actividades, discos rígidos, e-mails, documentos impresos, escritorios y áreas de archivo.

.C.4 Cese del Servicio o Cambio de Puesto de Trabajo

a. Responsabilidad de la Dirección

En el caso en que se deba desafectar a personal de la Agencia, el o la director/a o coordinador/a del área correspondiente podrá solicitar al responsable de Infraestructura Informática el resguardo de los datos contenidos en los activos de información que hubieran sido asignados al desafectado.

Una vez generado el respaldo, el mismo quedará en poder y guarda del o de la solicitante.

El Área Responsable de Infraestructura Informática deberá garantizar la correcta eliminación de toda información existente en un equipo informático antes de su reasignación.

b. Responsabilidad del Cese o Cambio

Las responsabilidades para realizar la desvinculación o cambio de puesto deben estar claramente definidas y asignadas, incluyendo requerimientos de seguridad y responsabilidades legales a posteriori y, cuando sea apropiado, las responsabilidades contenidas dentro de cualquier acuerdo de confidencialidad, y los términos y condiciones de empleo con continuidad por un período definido de tiempo luego de la finalización del trabajo del personal, contratista o usuario de tercera parte.

c. Devolución de Activos

Todo el personal que se encuentre en actividad y aquellos que la Agencia determine, contratistas o usuarios de terceras partes debe devolver todos los activos al organismo en su poder (software, documentos, equipamiento, dispositivos de computación móviles, tarjetas de ingreso, etc.) antes de la finalización fehaciente del vínculo laboral existente con la Agencia, efectuándose los registros formales que correspondan.

Toda información de relevancia para las operaciones actuales, conocido por quienes se hallan en situación de desvinculación, deberá documentarse y transferirse a la Agencia.

d. Retiro de permisos de acceso a los sistemas

Se revisarán los permisos de acceso de un usuario a los activos asociados con los sistemas y servicios de información tras la desvinculación o el cese temporal de sus funciones dentro de la Agencia.

Cada cambio en un puesto de trabajo implicará remover todos los permisos que no fueran aprobados para el nuevo usuario, comprendiendo esto accesos lógicos y físicos, llaves, instalaciones de procesamiento de la información y suscripciones.

En los casos donde el personal que se está desvinculando tenga conocimiento de contraseñas para cuentas que permanecen activas, éstas deberán ser modificadas tras la finalización o cambio de puesto de trabajo.

El Área Responsable de Seguridad de la Información podrá solicitar la reducción o eliminación de los permisos de acceso a los activos de la información, de forma previa a que el usuario quede cesante o cambie su destino, dependiendo de factores de riesgo.

.D.Seguridad Física y Ambiental

.D.1 Aspectos Generales

La Seguridad Física brinda un marco de referencia para el control de acceso físico a las áreas donde se custodia o almacena información sensible, así como aquellas áreas donde se encuentren los equipos de cómputo críticos y demás infraestructura de soporte a los sistemas de información, en tanto que la Seguridad Ambiental remite a los controles ambientales que evitan o disminuyen los riesgos de pérdidas de información o interrupción de las actividades por problemas del medio ambiente.

Para ello se tendrán en cuenta los siguientes criterios:

• Perímetro de protección física de accesos: permite establecer los controles de acceso físico a instalaciones de procesamiento de información, con el fin de proteger la información crítica y sensible de accesos no autorizados.

• Protección ambiental: permite garantizar el correcto funcionamiento de los equipos de procesamiento y minimizar las interrupciones de servicio.

• Transporte, protección, documentación y mantenimiento de equipamiento.

a. Objetivo

Preservar la seguridad de la información mediante las siguientes acciones:

• Prevenir e impedir accesos no autorizados, daños e interferencia a las instalaciones e información que pertenece a la Agencia.

• Proteger los equipos de procesamiento de información crítica, ubicándolo en áreas seguras con medidas de seguridad y controles de acceso apropiados.

• Identificar y controlar los factores de seguridad ambiental que podrían perjudicar el normal funcionamiento de los equipos de procesamiento de la información de la Agencia.

• Implementar medidas para proteger la información que maneja el personal en los registros, en el marco normal de sus labores habituales.

b. Alcance

Se aplica a todos los activos físicos relativos a los sistemas de información.

c. Responsabilidades

El Área Responsable de Sistemas de Información deberá priorizar las siguientes medidas de seguridad:

• Seguridad física y ambiental para el resguardo de los activos de información críticos, en función a un análisis de riesgo.

• El control de la implementación de los mecanismos de seguridad.

• Verificación del cumplimiento de las disposiciones sobre seguridad física y ambiental indicadas en la presente Política.

Las medidas de seguridad física, incluirán los procedimientos documentados con sus respectivos instructivos sobre:

• Control de Acceso del Personal

• Control de Acceso de Proveedores y Contratistas

• Control de Acceso de Bienes, Materiales e Insumos

• Gestión de Documentación enviada a Terceros

• Política de Identificación del Personal y Visitas

• Política de Protección del Personal de Vigilancia

• Política de Gestión de Seguridad Física

• Política de Gestión de Seguridad Ambiental

El Área Responsable de Seguridad de la Información controlará su implementación, y el mantenimiento del equipamiento informático de acuerdo a las indicaciones de proveedores tanto dentro como fuera de las instalaciones de la Agencia.

El Área Responsable de Infraestructura Informática, definirá los criterios para el control del acceso físico del personal a las áreas restringidas bajo su responsabilidad.

Todo el personal de la Agencia será responsable del cumplimiento de la política de pantallas y escritorios limpios, para la protección de la información relativa al trabajo diario en las oficinas.

.D.2 Areas Seguras

a. Objetivo

El centro de procesamiento de información debe:

• Ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con las barreras de seguridad y controles de entrada apropiados.

• Estar físicamente protegidos de accesos físicos no autorizados, daños e interferencia con la información.

b. Perímetro de Seguridad Física

Se deberán definir y establecer perímetros de seguridad para proteger las áreas que contienen los activos de información. Asimismo, deberán establecerse medidas de seguridad adicionales en aquellos recintos donde se encuentren las instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información.

El emplazamiento y la fortaleza de cada barrera deberán ser definidos de acuerdo al análisis de riesgos efectuado oportunamente.

Se emitirán lineamientos respecto de los controles y requerimientos necesarios en cuanto a la seguridad física de esta Agencia y sus instalaciones de procesamiento de información, teniendo en cuenta los siguientes aspectos:

• Definir claramente perímetros de seguridad

• Ubicar las instalaciones de procesamiento de información dentro del perímetro de un área segura

• Definir las barreras físicas necesarias para asegurar el perímetro de seguridad que

• corresponda a dicha área

• Verificar la existencia de un área de recepción atendida por personal. Si esto no fuera posible se debe implementar medios alternativos de control de acceso físico al área o edificio que serán establecidos oportunamente

• Definir y controlar áreas de recepción y distribución de equipamiento e insumos

• Identificar claramente todas las puertas de emergencia de un perímetro de seguridad

c. Controles Físicos de Entrada

Las áreas seguras se deben resguardar mediante el empleo de controles de acceso físico, a fin de permitir que sea solo para el personal autorizado. Estos controles deben reunir las siguientes características:

• Controlar y limitar el acceso a las instalaciones de procesamiento de información clasificada como crítica exclusivamente a las personas autorizadas. Idealmente se deben utilizar controles de autenticación para autorizar y validar todos los accesos.

• Supervisar o inspeccionar a los visitantes a las áreas seguras y registrar la fecha y horario de su ingreso y egreso

• Permitir el acceso mediando propósitos específicos y autorizados previamente.

d. Protección Contra Amenazas Externas y de Origen Ambiental

Se deben considerar los siguientes lineamientos para evitar el daño por fuego, inundación, terremoto, explosión, convulsión social y otras formas de desastres naturales o causados por la acción humana:

• Los materiales peligrosos o combustibles se deben almacenar a una distancia segura del Centro de Procesamiento de Datos

• El equipo de reemplazo y los medios de respaldo se deben ubicar a una distancia segura para evitar que un desastre afecte el Centro de Procesamiento de Datos

• Se debe proporcionar equipo contra incendios ubicado adecuadamente.

.D.3 Seguridad de los Equipos Informáticos

a. Objetivo

Evitar pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de laAAIP.

Proteger el equipo de amenazas físicas y ambientales.

b. Emplazamiento y Protección de Equipos Informáticos y sus instalaciones

El equipamiento será ubicado y protegido de tal manera que se reduzcan los riesgos ocasionados por amenazas y peligros ambientales, y las oportunidades de acceso no autorizado, teniendo en cuenta los criterios de áreas seguras mencionados anteriormente en este mismo apartado.

c. Mantenimiento de los Equipos

El Área Responsable de Infraestructura Informática deberá velar por el mantenimiento del equipamiento necesario y las instalaciones de procesamiento de medios de lectura y/o procesamiento de información para reforzar su disponibilidad e integridad. Para ello se debe considerar:

a. Someter el equipamiento/instalaciones a tareas de mantenimiento preventivo, de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor o fabricante del equipamiento.

b. Mantener un listado actualizado del equipamiento/instalaciones con el detalle de la frecuencia en que se realizará el mantenimiento preventivo.

c. Establecer que sólo el personal especializado autorizado puede brindar mantenimiento y llevar a cabo reparaciones en el equipamiento.

d. Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo y correctivo realizado.

e. Eliminar la información confidencial que contenga cualquier equipamiento que sea necesario retirar, realizándose previamente las respectivas copias de resguardo.

d. Seguridad del Equipamiento Informático Fuera de las Instalaciones

La utilización de equipamiento destinado al procesamiento de información por fuera del ámbito de las instalaciones de la Agencia deberá realizarse únicamente con autorización del Área Responsable Patrimonial y el Área Responsable de Seguridad de la Información. En el caso de que en el mismo se almacene información clasificada, éste deberá ser notificado fehacientemente.

La seguridad provista debe ser equivalente a la suministrada dentro del ámbito de la Agencia para un propósito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma.

Se respetarán permanentemente las instrucciones del fabricante respecto del cuidado del equipamiento.

e. Reutilización o Retiro Seguro de Equipos

Los medios de almacenamiento conteniendo material sensible, por ejemplo, discos rígidos no removibles, serán físicamente destruidos o sobrescritos en forma segura en lugar de utilizar las funciones de borrado estándar, según corresponda.

Los dispositivos que contengan información confidencial deben requerir una evaluación de riesgo para determinar si los ítems debieran ser físicamente destruidos en lugar de enviarlos a reparar, sobrescribir o descartar.

f. Retiro de Materiales Propiedad de la Agencia

El equipamiento, la información y el software no deben retirarse de la Agencia sin autorización formal. Periódicamente, se deberá llevar a cabo comprobaciones puntuales para detectar el retiro no autorizado de activos de la Agencia.

g. Política de Escritorios y Pantallas Limpias

Se adopta una política de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles, y una política de pantallas limpias en las instalaciones de procesamiento de información, a fin de reducir los riesgos de acceso no autorizado, pérdida y daño de la información, tanto durante el horario normal de trabajo como fuera del mismo, estableciendo los siguientes lineamientos:

a. Almacenar bajo llave los documentos en papel y los medios informáticos que contengan información clasificada, en gabinetes y/u otro tipo de mobiliario seguro cuando no están siendo utilizados, especialmente fuera del horario de trabajo.

b. Guardar bajo llave la información sensible o crítica de la Agencia (preferentemente en una caja fuerte o gabinete a prueba de incendios) cuando no está en uso, especialmente cuando no hay personal en la oficina.

c. Proteger las computadoras personales y otras terminales mediante cerraduras de seguridad, contraseñas u otros controles cuando no están en uso (como por ejemplo la utilización de protectores de pantalla con contraseña).

d. De necesitar imprimir información sensible se debe retirar inmediatamente del medio de impresión una vez impresa dicha información.

.E.Gestión de Accesos

.E.1 Aspectos Generales

El Área Responsable de Seguridad de la Información implementará los procedimientos formales para controlar la asignación de permisos de acceso a los sistemas, bases de datos y servicios de información. Dichos procedimientos deberán estar documentados y comunicados a las áreas usuarias y debidamente controlados en cuanto a su cumplimiento.

a. Objetivo

Impedir el acceso a todo aquel personal que no se encuentre debidamente autorizado para utilizar los sistemas, bases de datos y servicios de información.

b. Alcance

Las disposiciones establecidas en este documento se aplican a todas las formas de acceso que hayan sido autorizadas al personal para utilizar los sistemas, bases de datos y servicios de información de la Agencia.

Idéntico temperamento se adopta para el personal técnico que define, instala, administra y mantiene permisos de accesos, haciendo extensivo este concepto de conexiones de red, y a todos aquellos que administran la seguridad.

c. Responsabilidades

El Área Responsable de la Seguridad de la Información será responsable de:

• Definir normas y procedimientos para circunscribir la operatoria para

a. Gestión de accesos de todos los sistemas, bases de datos y servicios de Informática.

b. Monitoreo del uso de las instalaciones de procesamiento de la información.

c. Uso de computación móvil.

d. Conexiones remotas y reporte de incidentes relacionados.

e. Respuesta a la activación de alarmas silenciosas.

f. Revisión de registro de actividad / logs.

g. Ajustes de relojes de acuerdo a un estándar preestablecido.

• Definir pautas de utilización de Internet para todos los usuarios y usuarias.

• Verificar periódicamente el cumplimiento de los procedimientos de revisión de registros de auditoría.

• Participar en la definición de normas y procedimientos de seguridad a implementar en el ambiente informático (ej.: sistemas operativos, servicios de red, etc.) y validarlos periódicamente.

• Controlar periódicamente la asignación de privilegios a usuarios y usuarias.

• Verificar el cumplimiento de las pautas establecidas, relacionadas con control de accesos, registración de usuarios y usuarias, administración de privilegios, administración de contraseñas, utilización de servicios de red, autenticación de usuarios y usuarias, y nodos, uso controlado de utilitarios del sistema, alarmas silenciosas, desconexión de terminales por tiempo muerto, limitación del horario de conexión, registro de eventos, protección de puertos (físicos y lógicos), subdivisión de redes, control de conexiones a la red, control de ruteo de red, etc.

• Efectuar un control de los registros de auditoría generados por los sistemas operativos y de comunicaciones.

• Instruir a los usuarios y usuarias sobre el uso apropiado de contraseñas y de equipos de trabajo.

El Área Responsable de la Seguridad Informática deberá:

• Definir el esquema de red que permita una adecuada subdivisión e implementar los mecanismos tecnológicos para el control de acceso a las redes en función de las necesidades operativas de cada usuario o usuaria.

• Implementar la configuración que debe efectuarse para cada servicio de red, de manera de garantizar la seguridad en su operatoria.

• Implementar los métodos de autenticación y control de acceso definidos en los sistemas, bases de datos y servicios.

• Implementar el control de puertos, de conexión a la red y de ruteo de red.

• Implementar el registro de eventos o actividades (logs) de usuarios y usuarias de acuerdo a lo definido por los y las Propietarios/as de la Información, así como la depuración de los mismos.

• Implementar los controles para los eventos y actividades correspondientes a sistemas operativos y otras plataformas de procesamiento.

Los y las Propietarios/as de la Información estarán encargados de:

• Evaluar los riesgos a los cuales se expone la información para coordinar la definición, en conjunto con las Áreas Responsables de la Seguridad, los controles y mecanismos de autenticación a implementar.

• Definir las reglas de acceso para los sistemas e información bajo su custodia. En ausencia de una regla de acceso definida, todo acceso deberá ser autorizado por el/la propietario/a de la información.

• Llevar a cabo un proceso formal y periódico de revisión de los permisos de acceso a los sistemas de información,

• Definir los eventos y la actividad de los usuarios y usuarias a ser registrados en los sistemas de procesamiento de su incumbencia y la periodicidad de revisión de los mismos, así como los criterios para la guarda y depuración de los mismos, en concordancia con las normas vigentes y las capacidades tecnológicas disponibles.

Los y las Directores/as de cada Área, o Coordinadores/as dependientes directamente del/la Titular de la Agencia, serán los responsables de:

• Solicitar formalmente los accesos a los servicios y recursos de red e Internet, de los usuarios y usuarias a su cargo, verificando que el nivel de acceso otorgado es adecuado para el propósito de la función del usuario.

.E.2 Administración de Accesos

a. Objetivo

Implementar procedimientos formales para controlar la asignación de permisos de acceso a los sistemas, bases de datos y servicios de información, con el objetivo de impedir el acceso no autorizado a la información.

Definir procedimientos que abarquen todas las etapas en el ciclo de vida del acceso del usuario, desde el registro inicial de usuarios nuevos hasta la baja final de los usuarios que ya no requieren acceso a los sistemas y servicios de información.

b. Política de Control de Accesos

Todos los activos de información de la Agencia deben ser protegidos mediante controles de acceso, contemplando los siguientes aspectos:

a. Identificar los sistemas y aplicaciones de la Agencia que permiten el acceso a información clasificada.

b. Establecer criterios coherentes entre esta Política de Control de Acceso y Política de Clasificación y de información de los diferentes sistemas y redes.

c. Identificar la legislación aplicable y las obligaciones contractuales con respecto a la protección del acceso a datos y servicios.

d. Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de trabajo.

e. Administrar los permisos de acceso en un ambiente distribuido y de red, que reconozca todos los tipos de conexiones y dispositivos disponibles.

f. Velar por el cumplimiento del principio de mínimos privilegios; todo usuario/a deberá tener los mínimos accesos necesarios para realizar sus funciones asignadas, con la mayor granularidad posible de acuerdo a las capacidades disponibles y sin obstaculizar el funcionamiento operativo de la Agencia.

c. Registro y Gestión de Usuarios y Usuarias

El Área Responsable de Seguridad de la Información definirá los procedimientos que considere necesarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de información multiusuario/a.

Dichos procedimientos que deberán comprender:

a. Utilizar identificadores de usuario/a únicos, de manera que se pueda identificar a los usuarios y usuarias por sus acciones, evitando la existencia de múltiples perfiles de acceso para una misma persona. El uso de identificadores grupales se debe evitar salvo imposibilidad técnica, la cual deberá quedar debidamente justificada, documentada y registrada.

b. Verificar que el usuario/a tiene autorización del/la Propietario/a de la Información para el uso del sistema, base de datos o servicio de información.

c. Requerir, siempre que corresponda, que los usuarios y usuarias firmen el convenio de confidencialidad previsto en la presente P.S.I., señalando que comprenden y aceptan las condiciones para el acceso.

d. Garantizar que los y las proveedores/as de servicios no otorguen acceso hasta que se hayan completado los procedimientos de autorización.

e. Mantener un registro formal e histórico de todas las personas registradas para utilizar cada servicio.

f. Cancelar inmediatamente los permisos de acceso de los usuarios y usuarias que cambiaron sus tareas, o de aquellos/as a los que se les revocó la autorización, se desvincularon de la Agencia o sufrieron la pérdida/robo de sus credenciales de acceso.

g. Efectuar revisiones periódicas con el objeto de cancelar identificadores y cuentas de usuario redundantes, así como inhabilitar o eliminar cuentas inactivas por un determinado tiempo.

h. En el caso de existir excepciones, deben ser debidamente justificadas, documentadas y aprobadas.

i. Impedir la reutilización de cuentas e identificadores de usuario/a.

d. Definición de Reglas de Acceso

Los y las Propietarios/as de la Información serán los encargados/as de definir las reglas de acceso a la información y sistemas y/o módulos bajo su custodia, solicitando su implementación al Área Responsable de la Seguridad Informática.

Las reglas de acceso deberán especificar:

a. Los permisos de acceso que un usuario/a debe tener en función de su rol y área en la que se desempeña.

b. Para los derechos no incluidos en el inciso anterior, el mecanismo de solicitud, autorización y registro de la asignación de dichos derechos.

e. Gestión de Permisos de Acceso

El Área Responsable de Seguridad de Informática será la responsable de Gestión de Permisos de Acceso, por sí misma o a través de la implementación sistemas informáticos que permitan la automatización de ese proceso. En todos los casos se deberán tener en cuenta los siguientes criterios:

a. Identificar los tipos de acceso asociados a cada sistema de información.

b. Asignar permisos de acceso a los usuarios y usuarias sobre la base de necesidad de uso, en función del requerimiento mínimo para el rol funcional, con la mayor granularidad posible, considerando factibilidad técnica y razonabilidad de los costos operativos, en equilibrio con la criticidad del acceso a otorgar.

c. Mantener un registro de todos los permisos de acceso otorgados, incluyendo el proceso de asignación y/o autorización del derecho.

d. Evitar el otorgamiento de permisos de acceso hasta que no se hayan completado los supuestos para su otorgamiento y removerlos a la mayor brevedad posible en los casos que dichos supuestos perdieran validez.

e. Establecer un período de vigencia para el mantenimiento de los permisos de acceso en los casos que (a) se requieran por un período predefinido de tiempo o (b) por su criticidad se defina necesaria su renovación periódica.

f. Promover el desarrollo y uso de automatización e integración de sistemas que permitan evitar necesidad de otorgar elevados permisos de acceso a usuarios y usuarias.

f. Gestión de Contraseñas de Usuario/a

La Gestión de Contraseñas de Usuario/a deberá considerar los siguientes criterios:

a. Requerir que los usuarios y usuarias participen de actividades de capacitación y concientización, comprometiéndose a mantener sus contraseñas personales en secreto y las contraseñas de los grupos de trabajo exclusivamente entre los miembros del grupo.

b. Generar contraseñas provisorias seguras siempre que un usuario/a deba ingresar por primera vez o en casos de olvido de contraseña, asegurando que las mismas sean modificadas durante el primer ingreso.

c. Proveer mecanismos seguros para la entrega de contraseñas.

d. Almacenar las contraseñas sólo en sistemas informáticos protegidos y de forma segura.

e. Incorporar otras tecnologías de autenticación y autorización de usuarios adicionales, cuando la evaluación de riesgos lo determine conveniente.

f. Establecer configuraciones de seguridad en los sistemas que permitan:

• definir criterios mínimos de seguridad para las contraseñas, tales como longitud mínima o la presencia de diferentes tipos de caracteres.

• suspender o bloquear usuarios ante indicadores de ataques a la contraseña, tales como la repetición de intentos de ingreso con una contraseña incorrecta.

• establecer criterios de duración máxima de las contraseñas acordes a la criticidad de cada sistema.

g. Revisión de Permisos de Acceso

A fin de mantener un control eficaz del acceso a los datos y servicios de información, los y las Propietarios/as de la Información deberán, periódicamente, revalidar los permisos de acceso de los usuarios de la información bajo su custodia.

.E.3 Responsabilidades de los Usuarios y Usuarias

a. Objetivo

Disponer los mecanismos para evitar los accesos de usuarios y usuarias no autorizados/as, minimizando los riesgos de robo, adulteración y/o destrucción de información, así como evitar poner en peligro los medios de procesamiento de la información.

Dar a conocer a los usuarios y usuarias sus responsabilidades para mantener controles de acceso efectivos, particularmente con relación al uso de claves secretas y la seguridad del equipo del usuario.

Implementar una política de escritorio y pantalla limpios para reducir el riesgo de acceso no autorizado o daño a los papeles y medios de procesamiento de la información.

b. Política de Uso de Contraseñas

Los usuarios deberán seguir buenas prácticas de seguridad en la selección y uso de contraseñas, reconociendo que constituyen un medio autenticación de su identidad y consecuentemente un medio para establecer permisos de acceso a las instalaciones o servicios de procesamiento de información.

Para ello, deben cumplir las siguientes directivas:

a. Mantener las contraseñas en secreto, evitando su almacenamiento por cualquier mecanismo no autorizado explícitamente por el Área Responsable de Seguridad Informática.

b. Informar cualquier indicio de compromiso de la contraseña (pérdida, robo o cualquier indicio de ausencia de confidencialidad) al Área Responsable de Seguridad de la

Información, para que ésta pueda analizar la situación y ejecutar las acciones que correspondieren, incluyendo el blanqueo de la contraseña comprometida.

c. Seleccionar contraseñas seguras, siguiendo las premisas definidas por el Área responsable de Seguridad de la Información.

d. Cambiar las contraseñas cada vez que el sistema se lo solicite y evitar reutilizar o reciclar viejas contraseñas, según se defina.

e. Cambiar las contraseñas provisorias en el primer inicio de sesión.

f. Evitar la reutilización de contraseñas entre los sistemas del Organismo que permitan el acceso a información clasificada y otros servicios externos al mismo o que no cumplan los mismos niveles de protección de contraseñas definidos en la presente.

c. Equipos Desatendidos en Áreas de Usuarios/as

Los equipos instalados en áreas de usuarios y usuarias, tales como los equipos de computación personal, deberán contar con una protección específica contra accesos no autorizados cuando se encuentran desatendidos por el usuario/a (por ejemplo cuando un usuario/a deja su puesto laboral y se dirige a otro puesto a trabajar con un compañero/a dejando su equipamiento informático desatendido).

El Área Responsable de Seguridad de la Información coordinará las tareas de concientización a todos los usuarios/as y contratistas acerca de los requerimientos y procedimientos de seguridad para la protección de equipos desatendidos, así como de sus funciones en relación a la implementación de dicha protección.

Los usuarios cumplirán con las siguientes pautas:

a. Concluir las sesiones activas al finalizar las tareas, a menos que puedan protegerse mediante un mecanismo de bloqueo adecuado; por ejemplo, un protector de pantalla protegido por contraseña.

b. Proteger las PC o terminales contra usos no autorizados mediante un bloqueo de seguridad o control equivalente; por ejemplo, contraseña de acceso cuando no se utilizan.

.E.4 Control de Acceso a la Red

a. Objetivo

Evitar el acceso no autorizado a los servicios de la red. Controlar el acceso a los servicios de redes internas y externas, evitando comprometer su seguridad.

Asegurar que el acceso de los usuarios y usuarias a las redes y servicios no comprometa la seguridad de los servicios de la red controlando:

a. Que existan las interfaces apropiadas entre la red de la Agencia, las redes de otras organizaciones y redes públicas.

b. Que se apliquen los mecanismos de autenticación apropiados para los usuarios y usuarias, así como los equipos que se conecten a la red de la Agencia.

b. Política de Utilización de los Servicios de Red

El Área Responsable de la Seguridad Informática tendrá a cargo la administración de accesos a los servicios y recursos de red, segmentando el acceso de acuerdo a la criticidad de la información y los sistemas, así como a las posibilidades técnicas y operativas.

c. Acceso a Internet

El Área Responsable de la Seguridad de la Información definirá pautas de utilización de Internet para todos los usuarios y usuarias.

El Área Responsable de la Seguridad Informática, evaluará la conveniencia de recolectar y mantener un registro de los accesos de los usuarios a internet, con el objeto de realizar revisiones de los accesos efectuados o analizar casos particulares. Dicho control deberá ser comunicado adecuadamente a los usuarios y usuarias.

Asimismo, tendrá la potestad de implementar controles técnicos que considere necesarios para restringir el acceso a sitios considerados peligrosos.

d. Redes Compartidas y Conexión con Otras Redes

En las redes compartidas, por fuera de los límites de la Agencia, el Área Responsable de la Seguridad Informática implementará los controles necesarios para:

a. Proteger la información en tránsito de la Agencia de accesos no autorizados.

b. Establecer un mecanismo de autorización, registro y control para toda conexión entre las redes de la Agencia y redes de terceros.

c. Asegurar las fronteras de las redes de la Agencia, impidiendo el acceso de terceros no autorizados a entornos y sistemas de la Agencia.

d. Velar por la aplicación del principio de mínimos privilegios al autorizar la interconexión de terceros a las redes del organismo.

e. Seguridad de los Servicios de Red

El Área Responsable por la Seguridad Informática será responsable de implementar las medidas necesarias para proteger los servicios de red de la Agencia, tanto públicos como privados, teniendo en cuenta las siguientes directivas:

a. Controlar el acceso lógico a los servicios, tanto a su uso como a su administración.

b. Configurar cada servicio de manera segura, evitando las vulnerabilidades que pudieran presentar.

c. Instalar periódicamente las actualizaciones de seguridad.

d. Remover los servicios que caigan en desuso temporaria o permanentemente.

.E.5 Control y Monitoreo de Acceso a las Aplicaciones

a. Objetivo

Evitar el acceso no autorizado a la información mantenida en las aplicaciones.

Utilizar medios de seguridad para restringir el acceso a y dentro de los sistemas de aplicación.

Asegurar que se registren y se evalúen todos los eventos significativos para la seguridad de accesos.

Verificar la existencia de herramientas para monitorear el uso de las instalaciones de procesamiento de la información.

b. Accesos Lógicos a las Aplicaciones y Sistemas

El acceso lógico al software de aplicación y la información estará limitado a los usuarios autorizados. Los sistemas de aplicación deberán controlar el acceso del usuario a la información y las funciones del sistema de aplicación, impidiendo accesos no autorizados.

c. Registro de Eventos

Los registros de auditoría deberán:

a. Incluir la identificación del usuario y del equipo desde el que se realiza la operación.

b. Incluir información temporal del evento, incluyendo inicio y finalización cuando fuera aplicable.

c. Registrar los intentos exitosos y fallidos de acceso a los sistemas, datos y otros recursos informáticos, donde fuera aplicable.

d. Almacenarse en un equipo diferente al que los genere, siempre que fuera posible.

El registro, almacenamiento y tiempo de guarda de los eventos deberá ser definido teniendo en cuenta la criticidad de los eventos recolectados y su potencial utilidad posterior en caso de necesidad, así como las capacidades tecnológicas disponibles.

d. Informe de Eventos de Seguridad

El Área responsable de Seguridad de la Información implementará un procedimiento para informar eventos significativos para la Seguridad de la Información, incluyendo incidentes de seguridad y ataques dirigidos contra los sistemas de la Agencia.

Asimismo, los y las Propietarios/as de la Información podrán solicitar la revisión de los registros de auditoría, en caso de contar con indicios de vulneraciones a la seguridad. Ante tal evento, se debe respetar la separación de responsabilidades entre quienes realizan la revisión y aquellos cuyas actividades están siendo monitoreadas.

Las herramientas de registro deben contar con los controles de acceso necesarios, a fin de garantizar la detección de las siguientes situaciones:

a. La desactivación de la herramienta de registro.

b. La alteración o supresión de archivos de registro.

c. La saturación de un medio de soporte de archivos de registro.

d. La falla en los registros de los eventos.

.E.6 Dispositivos Móviles y Conexiones Remotas

a. Objetivo

Asegurar la seguridad de la información cuando se utilizan dispositivos móviles o en situación de conexiones remotas con activos de procesamiento de información pertenecientes a la Agencia.

b. Utilización de Dispositivos Móviles

En el caso de utilizar dispositivos informáticos móviles se debe tener especial cuidado en garantizar que no se comprometa la información ni la infraestructura de la Agencia.

Las presentes disposiciones son aplicables para todo dispositivo con capacidad para el procesamiento y/o almacenamiento de información clasificada de la Agencia, incluyendo: notebooks, tabletas, teléfonos celulares, discos extraíbles, tarjetas de memoria, pendrives, entre otros.

El Área Responsable de la Seguridad de la Información definirá las políticas necesarias para minimizar los riesgos de seguridad de la información derivados del uso de dichos dispositivos, contemplando los siguientes aspectos:

a. La protección física necesaria.

b. El acceso seguro a los dispositivos.

c. La utilización segura de los dispositivos en lugares públicos.

d. El acceso a los sistemas de información y servicios de la Agencia a través de dichos dispositivos.

e. Las técnicas criptográficas a utilizar para la transmisión de información sensible.

f. Los mecanismos de resguardo de la información contenida en los dispositivos.

g. La protección contra software malicioso.

h. Acciones a tomar frente a frente a pérdida, robo o hurto.

i. Reporte de incidentes y mitigación de riesgos.

Asimismo, se desarrollarán normas, procedimientos, así como acciones de capacitación y concientización sobre los cuidados especiales a observar ante la posesión de dispositivos móviles.

c. Conexión Remota

De ser necesario el desarrollo de tareas de manera remota desde un lugar externo a la Agencia, el Área Responsable por la Seguridad de la Información establecerá normas y procedimientos para esta conexión remota que consideren los siguientes aspectos:

a. Identificar los recursos informáticos que pueden ser accedidos desde una locación remota.

b. Garantizar la seguridad en las comunicaciones entre el equipo remoto y los recursos informáticos de la Agencia.

c. Evitar la instalación/desinstalación de software no autorizado sobre el equipamiento utilizado.

d. Restringir el almacenamiento de información sensible en el equipo remoto desde el cual se accede a la red de la Agencia y los sistemas internos.

e. Asegurar el reintegro del equipamiento en las mismas condiciones en que fue entregado, en el caso en que cese la necesidad de desarrollar tareas de forma remota.

.F.Gestión de Incidentes de Seguridad

.F.1 Aspectos Generales

Se define como Incidente de Seguridad a aquellos eventos adversos en un entorno informático que pueden comprometer la confidencialidad, integridad y/o disponibilidad de la información. Un incidente puede afectar a activos físicos (ej.: impresoras, servidores de archivos), lógicos (ej.: bases de datos) y servicios (ej.: correo electrónico, página web).

Una adecuada gestión de los Incidentes de Seguridad requiere de herramientas y procedimientos para la detección, tratamiento y comunicación de los incidentes; control de daños; gestión de la contingencia; recuperación de los activos afectados; restablecimiento de la operatoria normal; y gestión de los aprendizajes para la prevención de amenazas futuras.

a. Objetivo

Asegurar que los eventos de seguridad de la información y las debilidades asociados a los sistemas de información sean comunicados de forma tal que se apliquen las acciones correctivas en el tiempo oportuno.

b. Alcance

Se aplica a todo incidente que pueda afectar la seguridad de la información de la Agencia

c. Responsabilidades

El Área Responsable por la Seguridad de la Información será responsable del seguimiento, documentación y análisis de los incidentes de seguridad reportados, así como su comunicación a los y las Propietarios/as de la información y, en el caso de ser un incidente de relevancia, al Comité de Control de Seguridad de la Información y a la máxima autoridad.

El Comité de Control de Seguridad de la Información será responsable de promover y revisar modificaciones para la mejora continua de esta gestión de incidentes

El Área Responsable Legal asesorará en cuestiones legales para el tratamiento de incidentes de seguridad que requieran de su intervención.

Todo aquel o aquella que utilice activos de información de la Agencia, será responsable de reportar debilidades e incidentes de seguridad que oportunamente detecte.

.F.2 Informe de los Eventos y Vulnerabilidades de Seguridad

a. Objetivo

Asegurar que los eventos y debilidades de la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita una acción correctiva oportuna.

b. Reporte de las Debilidades de Seguridad

Los usuarios y usuarias de servicios de información, al momento de tomar conocimiento, directo o indirecto, acerca de una debilidad de seguridad, son responsables de registrar y comunicar formalmente las mismas e informar al Área Responsable de la Seguridad de la Información.

Se prohíbe expresamente a los usuarios y usuarias la realización de pruebas para detectar y/o utilizar una supuesta debilidad o falla de seguridad.

c. Comunicación de Anomalías del Software

Los y las usuarios/as de servicios de información que detecten anomalías en el comportamiento de los servicios que utilizan deberán:

• Registrar los síntomas del problema y los mensajes que aparecen en pantalla.

• Ponerse en contacto inmediatamente con el Área Responsable por la Infraestructura Informática.

Se prohíbe a usuarios y usuarias quitar o modificar el software que presuntamente presente una anomalía, a menos que estén autorizados formalmente para hacerlo. La recuperación será realizada por personal habilitado.

.F.3 Gestión de los Incidentes y Mejoras de Seguridad

a. Objetivo

Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información.

Establecer las responsabilidades y procedimientos para manejar de manera efectiva los eventos y debilidades en la seguridad de la información una vez que han sido reportados.

Aplicar un proceso de mejora continua para la respuesta, monitoreo, evaluación y gestión general de los incidentes en la seguridad de la información.

b. Responsabilidades y Procedimientos

El Área Responsable de Seguridad de la Información definirá los criterios y coordinará las actividades necesarias para la Gestión de Incidentes de Seguridad, de acuerdo a las siguientes premisas:

a. Considerar todos los tipos probables de incidentes relativos a seguridad, incluyendo, como mínimo:

• Fallas operativas.

• Código malicioso.

• Intrusiones.

• Fraude informático.

• Error humano.

b. Comunicar formalmente los incidentes a través de canales apropiados tan pronto como sea posible.

c. Definir planes de contingencia para los servicios informáticos, diseñados para recuperar sistemas y servicios tan pronto como sea posible, considerando:

• Definición de las primeras medidas a implementar.

• Análisis e identificación de la causa del incidente.

• Planificación e implementación de soluciones para evitar la repetición del mismo, si fuera necesario.

• Comunicación formal con las personas afectadas o involucradas con la recuperación del incidente.

• Notificación de la acción a la autoridad y/u organismos pertinentes.

d. Registrar pistas de auditoría y evidencia similar para:

• Análisis de problemas internos.

• Uso como evidencia en relación con una probable violación contractual o infracción normativa, o en marco de un proceso judicial, siempre que sea viable (Ver Cumplimiento de Requisitos Legales).

• Compensaciones por parte de los proveedores de software y de servicios.

e. Implementar controles detallados y formalizados de las acciones de recuperación respecto de las violaciones de la seguridad y de corrección de fallas del sistema, garantizando:

• Acceso a los sistemas y datos existentes sólo al personal claramente identificado y autorizado.

• Documentación en forma detallada de todas las acciones de emergencia emprendidas.

• Constatación de la integridad de los controles y sistemas de la Agencia en un plazo mínimo.

c. Aprendizaje a Partir de los Incidentes de Seguridad

El Área Responsable de Seguridad de la Información deberá coordinar las actividades que permitan documentar, cuantificar y monitorear los tipos y volúmenes de los incidentes y anomalías.

Esta información se utilizará para identificar aquellos que sean recurrentes o de alto impacto, así como a efectos de establecer la necesidad de mejorar o agregar controles para limitar la frecuencia y daño de casos futuros.

Cambios relevantes en la gestión de incidentes deben ser comunicados al C.C.S.I y revisados por dicho Comité.

.G. Adquisición, Desarrollo y Mantenimiento de Sistemas

.G.1 Aspectos Generales

a. Objetivo

Establecer la inclusión de controles de seguridad en la adquisición, implementación y desarrollo de los sistemas de información.

Definir lineamientos de seguridad a aplicar durante el ciclo de vida de los sistemas de información y en la infraestructura de base en la cual se apoyan.

b. Alcance

Esta política se aplica a los sistemas de información, ya sean desarrollados internamente o por parte de terceros, y a la totalidad de los procesos relacionados con el procesamiento de datos en el ámbito del Organismo.

c. Responsabilidades

El Área Responsable por el Desarrollo de Software deberá:

a. Definir los procedimientos para permitir la trazabilidad entre los requerimientos y pedidos de cambio a los sistemas de información y el software productivo, a través de los procesos de definición, construcción, prueba, despliegue de software.

b. Incorporar, durante los procesos de desarrollo y mantenimiento de software, los requerimientos de seguridad establecidos.

El Área Responsable de Seguridad Informática debe:

a. Definir los lineamientos de seguridad que se aplicarán durante el ciclo de vida de los sistemas de información y en la infraestructura de base en la cual se apoyan.

b. Establecer los lineamientos de seguridad para la adquisición y/o implementación de sistemas de información.

.G.2 Requerimientos de Seguridad de los Sistemas

a. Objetivos

Garantizar la seguridad de los sistemas de información.

Identificar los requerimientos de seguridad de forma previa del desarrollo y/o implementación de los sistemas de información.

b. Análisis y Especificación de los Requerimientos de Seguridad

Las áreas requirentes de sistemas de información deberán dar intervención al Área Responsable de Seguridad de la Información, en todo proyecto de desarrollo, adquisición o implementación de sistemas de información en el ámbito del Organismo, desde el inicio del proyecto y a lo largo de todo su ciclo de vida.

El Área responsable de la Seguridad de la Información deberá evaluar los requerimientos de seguridad y los controles requeridos, teniendo en cuenta que éstos deben ser proporcionales en costo y esfuerzo al valor del bien que se quiere proteger y al daño potencial que pudiera ocasionar a las actividades realizadas.

.G.3 Seguridad en los Sistemas de Aplicación

a. Objetivos

Establecer controles y registros de auditoría, verificando:

a. La validación de datos de entrada.

b. El procesamiento interno.

c. La autenticación de mensajes (interfaces entre sistemas).

d. La validación de datos de salida.

b. Validación de Datos de Entrada

El Área Responsable de Desarrollo de Software definirá controles que aseguren la validez de los datos ingresados, considerando formatos, secuencias, rangos de valores posibles, conjuntos de valores determinados, formatos de archivos recibidos, entre otros, con el objetivo de evitar la posibilidad de ataques por estos medios, ajustándose a los estándares de la materia.

c. Controles de Procesamiento Interno

El Área Responsable de Seguridad de la Información definirá las validaciones a implementar a fin de minimizar los riesgos de pérdida de información por fallas de procesamiento y/o errores. Se establecerán controles y verificaciones para prevenir la ejecución de programas fuera de secuencia o cuando falle el procesamiento previo y se deberá alertar ante potenciales anomalías de forma temprana.

d. Autenticación de Mensajes

Cuando una aplicación envíe mensajes que contengan información clasificada, se implementarán los controles criptográficos determinados en el punto 'Controles Criptográficos'.

e. Validación de Datos de Salida

El Área Responsable de Seguridad de la Información definirá los controles a realizar para validar la corrección y completitud de las salidas de datos desde las aplicaciones.

.G.4 Controles Criptográficos

a. Objetivo

Establecer lineamientos para la utilización de técnicas criptográficas para la protección de la confidencialidad e integridad de la información.

b. Política de Utilización de Técnicas Criptográficas

El Área Responsable de Seguridad de la Información determinará los lineamientos para la utilización de controles criptográficos, incluyendo:

a. Situaciones que requieren la utilización de técnicas criptográficos, de acuerdo a las evaluaciones de riesgo, tales como:

1. Cifrado de información en reposo o en tránsito, incluyendo las claves de acceso a sistemas, datos y servicios.

2. Firma Digital.

3. Técnicas de No repudio.

b. Mecanismos para la administración de claves; recuperación de información cifrada en caso de pérdida, compromiso o daño de las claves; y reemplazo de las claves de cifrado.

c. Algoritmos y longitudes de clave aplicables en cada caso.

c. Firma Digital

Las firmas y certificados digitales se rigen por la legislación nacional vigente (Ley de Firma Digital N° 25.506), que determina las condiciones bajo las cuales una firma digital es legalmente válida.

Por ello se deberá respetar y aplicar los recaudos establecidos por la normativa citada para proteger la confidencialidad de las claves privadas. Asimismo, es importante proteger la integridad de la clave pública mediante el uso de un certificado de clave pública. Dichas claves deben ser resguardadas bajo el control exclusivo de su titular.

Por último, se deberán elaborar los procedimientos correspondientes para la adquisición de la firma digital para el personal de la Agencia que así lo requiera en función de sus tareas.

.G.5 Seguridad de los Archivos del Sistema

a. Objetivo

Garantizar que las actividades de soporte a los sistemas se lleven a cabo de manera segura, controlando el acceso a los archivos en los ambientes productivos.

b. Software Operativo

Para minimizar el riesgo de alteración de los sistemas se debe realizar los siguientes controles durante la implementación del software en producción:

a. Evitar la presencia de archivos y programas innecesarios en el ambiente productivo.

b. Llevar un registro de auditoría de las actualizaciones realizadas.

c. Retener las versiones previas del sistema, como medida de contingencia.

d. Implementar mecanismos que registren las autorizaciones y pruebas realizadas de forma previa a la implementación en el ambiente productivo.

e. Establecer mecanismos para restringir y monitorear las modificaciones a configuraciones y código fuente por parte de los implementadores de sistemas.

c. Protección de los Datos de Prueba del Sistema

Los datos del ambiente operativo deberán ser resguardados, restringiendo su uso para las pruebas de los sistemas.

Cuando se utilicen datos productivos para las pruebas, en función de la criticidad de los mismos, se deberán evaluar las siguientes medidas:

a. Despersonalizar el conjunto de datos, siempre que resulte operativamente viable.

b. Solicitar autorización formal al Propietario de la Información para realizar una copia de la base operativa como base de prueba, llevando registro de tal autorización.

c. Establecer procedimientos de control de acceso similares a los del ambiente productivo.

d. Eliminar inmediatamente, una vez completadas las pruebas, la información operativa utilizada.

d. Acceso a Datos Operativos

El acceso, modificación, actualización o eliminación de los datos operativos deberá realizarse a través de los sistemas que procesan dichos datos y de acuerdo al esquema de control de accesos implementado en los mismos.

En los casos en los que no fuera posible la aplicación de la precedente política, deberán contemplar las siguientes premisas:

a. Generar una solicitud formal que deberá quedar registrada.

b. Contar con la aprobación de quien sea Propietario/a de la Información

c. Registrar todas las actividades realizadas.

.G.6 Seguridad de los Procesos de Desarrollo y Soporte

a. Objetivo

Controlar los entornos y el soporte dados a los procesos.

b. Procedimiento de Control de Cambios

El Área Responsable de la Infraestructura Informática implementará controles estrictos

durante la implementación de cambios, imponiendo el cumplimiento de procedimientos

formales que garantizarán que se cumplan los procedimientos de seguridad y control.

El procedimiento deberá incluir las siguientes consideraciones:

a. Verificar que los cambios cuenten con las aprobaciones correspondientes, incluyendo la del Propietario/a de la Información cuando se trate de sistemas de procesamiento de la misma.

b. Verificar que se respeten los términos y condiciones que surjan de las licencias de uso de los productos de terceros.

c. Planificar el cambio, minimizando la continuidad de las actividades, e informar a las áreas que pudieran ver afectada su normal operatoria.

d. Velar por la seguridad de la información a lo largo de todo el proceso: antes, durante y una vez culminada la aplicación de los cambios.

e. Establecer los mecanismos de prueba adecuados para minimizar la aparición de errores en el ambiente productivo.

f. Implementar automatizaciones en los mecanismos de traspaso de los ambientes de prueba a los ambientes productivos, siempre que sea posible.

g. Mantener un registro de las versiones implementadas en el ambiente productivo, así como toda otra información necesaria para su reconstrucción y/o para el diagnóstico en caso de errores.

c. Cambios al SofWvare de Base

Toda vez que sea necesario realizar un cambio en el Sistema Operativo u otro software de base, los sistemas deben ser revisados para asegurar que no se produzca un impacto en su funcionamiento o seguridad.

El Área responsable de la Infraestructura Informática deberá coordinar las actividades necesarias para garantizar que los cambios no tengan impacto en la operatoria, informando o solicitando intervención de las áreas involucradas, según corresponda.

d. Cambio de Paquetes de Software de Terceros

Cuando se modifiquen paquetes de software suministrados por terceros, el Área responsable por la Infraestructura Informática deberá:

a. Analizar los términos y condiciones de la licencia para determinar si las modificaciones se encuentran autorizadas.

b. Determinar la conveniencia de que la modificación sea efectuada por personal de la Agencia, por el proveedor o por un tercero.

c. Establecer mecanismos de contingencia para retrotraer los cambios en caso de errores.

e. Canales Ocultos y Código Malicioso

Un canal oculto puede exponer información utilizando algunos medios indirectos y desconocidos. El código malicioso está diseñado para afectar a un sistema en forma no autorizada.

Todo producto software utilizado en la Agencia deberá ser evaluado y autorizado por el Área Responsable por la Seguridad Informática, que deberá:

a. Evaluar la procedencia de los productos.

b. Examinar los códigos fuentes (cuando sea posible) antes de utilizar los programas.

c. Controlar el acceso y las modificaciones al código instalado.

d. Implementar herramientas para la protección contra la infección del software con código malicioso.

f. Desarrollo Externo de Software

Para el caso que se considere la tercerización del desarrollo de software, las Áreas responsables del Desarrollo de Software, Infraestructura Informática y Seguridad Informática, establecerán:

a. Acuerdos de licencias, propiedad de código y derechos conferidos (Ver Derechos de Propiedad Intelectual).

b. Requerimientos contractuales con respecto a la calidad y seguridad del código y la existencia de garantías.

c. Procedimientos de certificación de la calidad y precisión del trabajo llevado a cabo por el proveedor que incluyan auditorías, revisión de código para detectar código malicioso, verificación del cumplimiento de los requerimientos de seguridad del software establecidos, etc.

d. Verificación del cumplimiento de las condiciones de seguridad.

.G.7 Gestión de Vulnerabilidades Técnicas

a. Objetivo

Definir criterios para obtener y administrar información sobre la presencia de vulnerabilidades de seguridad en los productos de software utilizados en la Agencia, con el objetivo de organizar las acciones necesarias para minimizar los riesgos asociados a dichas vulnerabilidades.

b. Vulnerabilidades Técnicas

El proceso de gestión de las vulnerabilidades técnicas debe comprender:

a. Mantenimiento de un inventario de software instalado;

b. Identificación y priorización de vulnerabilidades técnicas potenciales;

c. Definición de prioridades para la atención de necesidades relacionadas con actualizaciones de seguridad;

d. Identificación de los riesgos asociados y las acciones a llevar a cabo ante vulnerabilidades identificadas;

e. Planificación del tratamiento de vulnerabilidades, mediante la instalación de parches o controles alternativos, considerando aspectos como la criticidad de la vulnerabilidad, la criticidad de la información que podría verse afectada y los riesgos asociados a los diferentes cursos de acción disponibles.

f. Generación y mantenimiento de un registro de auditoría para todos los procedimientos emprendidos;

g. Seguimiento y evaluación regular del proceso de gestión de las vulnerabilidades técnicas para garantizar su efectividad y eficiencia.

.H.Gestión de las Operaciones

.H.1 Aspectos Generales

La Gestión de Comunicaciones y Operaciones es un conjunto de acciones y procedimientos que aseguran la operación correcta y fiable de los recursos de comunicación y tratamiento de información evitando pérdidas o modificaciones en la misma.

a. Objetivo

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de información y comunicaciones. Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.

b. Alcance

Se aplica a todas las áreas o instalaciones de procesamiento y transmisión de información de la Agencia.

c. Responsabilidades

El Área Responsable de Seguridad de la Información deberá

a. Definir y documentar una norma clara con respecto al uso del correo electrónico.

b. Controlar los mecanismos de distribución y difusión de información dentro de la Agencia.

c. Verificar el cumplimiento de las normas, procedimientos y controles de seguridad establecidos.

d. Definir procedimientos para el manejo de incidentes de seguridad y para la administración de los medios de almacenamiento.

e. Verificar que los y las responsables por el desarrollo e implementación de sistemas informáticos efectúen todos los procedimientos definidos para comunicar las fallas en el procesamiento de la información o los sistemas de comunicaciones, coordinando la ejecución de las medidas correctivas que se consideren oportunas.

f. Definir y ejecutar procedimientos para la administración de medios informáticos de almacenamiento y para la eliminación segura de los mismos.

g. Participar en el tratamiento de los incidentes de seguridad, de acuerdo a los procedimientos establecidos.

h. Asistir a los y las propietarios/as de la Información en la determinación de los requerimientos para resguardar la información por la cual son responsables.

El Area Responsable de Seguridad Informática deberá definir y documentar los controles para la detección y prevención del acceso no autorizado y la protección contra el software malicioso para garantizar la seguridad de los datos y servicios conectados en las redes que posee la Agencia.

Las áreas responsables por el desarrollo, adquisición y administración de sistemas informáticos deberán establecer criterios de aprobación para nuevos sistemas de información, actualizaciones y nuevas versiones, contemplando la realización de las pruebas necesarias antes de su aprobación definitiva. Verificar que dichos procedimientos de aprobación de software incluyan aspectos de seguridad para todas las aplicaciones.

El Área Responsable de Infraestructura Informática deberá:

a. Evaluar el posible impacto operativo de los cambios previstos a sistemas y equipamiento y verificar su correcta implementación, asignando responsabilidades.

b. Administrar los medios técnicos necesarios para permitir la segregación de los ambientes de procesamiento.

c. Monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas de capacidad, a fin de evitar potenciales amenazas a la seguridad del sistema o a los servicios del usuario.

.H.2 Procedimientos y Responsabilidades Operativas

a. Objetivo

Establecer las responsabilidades y procedimientos para la gestión y operación de todos los medios de procesamiento de la información.

b. Documentación de los Procedimientos Operativos

Los procedimientos para la operación de los sistemas informáticos serán documentados y

actualizados por el Área Responsable de Infraestructura Informática.

Se deberá contar con:

a. Procedimientos para el procesamiento y manejo de la información.

b. Documentación de restricciones en el uso de utilitarios del sistema.

c. Personas de soporte a contactar en caso de dificultades operativas o técnicas imprevistas.

d. Procedimientos de reinicio y recuperación en caso de producirse fallas en el sistema.

c. Separación entre Instalaciones de Desarrollo e Instalaciones Operativas

Los ambientes de desarrollo, prueba y operaciones, siempre que sea posible, deberán estar separados, y se deberán definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado productivo.

Para ello, el Área Responsable de Infraestructura Informática, deberá:

a. Ejecutar el software de desarrollo y de producción, en diferentes ambientes de operaciones.

b. Separar las actividades de desarrollo y prueba, en entornos diferentes.

c. Utilizar perfiles de acceso diferenciados por ambiente y prohibir a los usuarios compartir contraseñas en estos sistemas. Las interfaces de los sistemas identificarán claramente a qué instancia se está realizando la conexión.

d. Definir propietarios de la información para cada uno de los ambientes de procesamiento existente.

.H.3 Planificación y Aprobación de Sistemas

a. Objetivo

Planificar la disponibilidad de la capacidad y los recursos adecuados para entregar el desempeño del sistema requerido.

Proyectar los requerimientos de la capacidad futura para reducir el riesgo de sobrecarga en el sistema.

Establecer, documentar y probar los requerimientos operacionales de los sistemas nuevos antes de su aceptación y uso.

b. Planificación de la Capacidad

El Área Responsable de la Infraestructura Informática, deberá monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas. El objetivo de este monitoreo es garantizar el procesamiento y almacenamiento adecuado.

Para ello, los y las propietarios/as de la Información deberán informar con la debida antelación los nuevos requerimientos de los sistemas, de acuerdo a la planificación que el Área defina, teniendo en cuenta las tendencias actuales y proyectadas en el procesamiento de la información de la Agencia para el período estipulado de vida útil de cada componente.

c. Aprobación del Sistema

El Área Responsable de Infraestructura Informática establecerá criterios de aprobación para la implementación de los nuevos sistemas de información, haciendo extensivo este concepto a las actualizaciones o nuevas versiones. Para ello se deberá realizar pruebas o test necesarios que harán viables o no su aprobación definitiva, para lo cual se considerarán los siguientes criterios:

a. Verificar el impacto en el desempeño y los requerimientos de capacidad de las computadoras.

b. Garantizar la recuperación ante errores.

c. Preparar y poner a prueba los procedimientos operativos de rutina según normas definidas.

d. Garantizar la implementación de un conjunto adecuado de controles de seguridad.

e. Establecer procedimientos que garanticen la continuidad de las actividades de la Agencia.

f. Asegurar que la instalación del nuevo sistema no afectará negativamente los sistemas existentes, especialmente en los períodos pico de procesamiento.

g. Analizar el efecto que tiene el nuevo sistema en la seguridad global de la Agencia.

h. Capacitar al personal que utilizará la aplicación y/o nuevo sistema.

.H.4 Protección Contra Código Malicioso

a. Objetivo

Proteger la integridad del software y la integración contra la introducción de códigos maliciosos.

Dar a conocer los peligros del código malicioso, tales como virus, troyanos, bombas lógicas, etc.

b. Código Malicioso

El Área Responsable de Seguridad de la Información implementará procedimientos de concientización para el personal en materia de seguridad, controles de acceso al sistema y administración de cambios.

Asimismo, deberá impartir los instructivos para que el personal idóneo de las áreas usuarias de TI implemente todos y cada uno de los controles sobre detección y prevención de software malicioso.

Se establecerán mediante instructivos formales que contemplen las siguientes acciones:

a. Prohibir la instalación y uso de software no autorizado por la Agencia.

b. Evitar los riesgos relacionados con la obtención de archivos y software desde o a través de redes externas, o por cualquier otro medio (ej.: dispositivos portátiles), señalando las medidas de protección a tomar.

c. Instalar y actualizar periódicamente software de detección y reparación de virus, examinado computadoras y medios informáticos, como medida precautoria y rutinaria.

d. Mantener los sistemas al día con las últimas actualizaciones de seguridad disponibles, de acuerdo a la planificación que se defina en conjunto con las áreas responsables de Sistemas e Infraestructura informática respectivamente.

e. Revisar periódicamente el contenido de software y datos de los equipos de procesamiento que sustentan procesos críticos de la Agencia, investigando formalmente la presencia de archivos no aprobados o modificaciones no autorizadas. En especial, realizar revisión y análisis de logs.

f. Verificar, antes de su uso, la presencia de virus en archivos de medios electrónicos de origen incierto, o en archivos recibidos a través de redes no confiables.

g. Verificar toda la información relativa a software malicioso.

h. Establecer una adecuada protección en la conexión mediante dispositivos móviles y fijar permisos de acceso.

.H.5 Copias de Respaldo

a. Objetivo

Mantener la integridad y disponibilidad de la información y de los medios de procesamiento de información.

Establecer los procedimientos de rutina para implementar la política de respaldo acordada y la estrategia para tomar copias de respaldo de los datos y practicar su restauración oportuna.

b. Resguardo de la Información

El Área Responsable de Seguridad Informática determinará los requerimientos para resguardar cada porción de información en función de la clasificación realizada por los y las propietarios/as de la información, definiendo y documentando un esquema de resguardo adecuado a dicha clasificación.

Asimismo, el Área Responsable de la Seguridad de la Información fiscalizará la realización de dichas copias, así como la prueba periódica de su restauración e integridad.

Para la definición de procedimientos de resguardo de la información, se considerarán los siguientes lineamientos:

a. Definir un esquema de rótulo de las copias de resguardo que permita contar con toda la información necesaria para identificar cada una de ellas y administrarlas debidamente.

b. Establecer un esquema de remplazo de los medios de almacenamiento de las copias de resguardo una vez concluida la posibilidad de ser reutilizados de acuerdo a lo indicado por el proveedor, asegurando la destrucción de los medios desechados

c. Almacenar en una ubicación remota copias recientes de información de resguardo junto con registros exactos y completos de las mismas, y los procedimientos documentados de restauración, a una distancia suficiente para evitar daños provenientes de un desastre en el sitio principal.

d. Retener al menos tres generaciones o ciclos de información de resguardo para la información y el software esenciales para la Agencia

e. Asignar a la información de resguardo un nivel de protección física y ambiental según las normas aplicadas en el sitio principal.

f. Probar periódicamente los medios de resguardo.

g. Probar periódicamente los procedimientos de restauración, garantizando su eficacia y cumplimiento dentro del tiempo asignado a la recuperación, según lo indicado en los procedimientos operativos.

c. Registro de Actividades del Personal Operativo

El Área Responsable de la Infraestructura Informática deberá asegurar el registro de las actividades realizadas en los sistemas, incluyendo cuando corresponda lo siguiente:

a. Tiempos de inicio y cierre del sistema.

b. Errores del sistema y medidas correctivas tomadas.

c. Intentos de acceso a sistemas, recursos o información crítica o acciones restringidas.

d. Ejecución de operaciones críticas.

e. Cambios a información crítica.

.H.6 Gestión de las Redes Informáticas

a. Objetivo

Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.

Brindar una gestión y administración segura de las redes de datos que posee la Agencia.

Establecer controles adicionales para proteger la información confidencial cuando se utilice la red pública.

b. Redes

El Área Responsable de la Seguridad Informática definirá controles para garantizar la seguridad de los datos y los servicios conectados a la red de la Agencia contra el acceso no autorizado, considerando la ejecución de las siguientes acciones:

a. Establecer los procedimientos para la administración del equipamiento remoto, incluyendo los equipos en las áreas usuarias.

b. Establecer controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados. Implementar controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas.

c. Supervisar para asegurar que los controles se aplican uniformemente en toda la infraestructura de procesamiento de información.

.H.7 Administración y Seguridad de los Medios de Almacenamiento

a. Objetivo

Establecer los procedimientos de operación apropiados para proteger los documentos, medios de cómputo (por ejemplo, cintas y discos), entrada/salida de datos (input/output) y documentación del sistema de una divulgación no autorizada, modificación, eliminación y destrucción.

b. Procedimientos para el Manejo de la Información

El Área Responsable de la Seguridad de la Información definirá procedimientos para la manipulación y almacenamiento de la información de acuerdo a la clasificación establecida.

Dichos procedimientos deberán contemplar la protección de: documentos, sistemas informáticos, redes, computación móvil, comunicaciones móviles, correo, correo de voz, comunicaciones de voz en general, multimedia, servicios e instalaciones postales y cualquier otro ítem potencialmente sensible.

Los procedimientos contemplarán las siguientes acciones, de acuerdo a la criticidad de la información y a la utilización de cada tipo de dispositivo:

a. Restringir el acceso sólo al personal debidamente autorizado.

b. Mantener un registro formal de los receptores autorizados de datos.

c. Garantizar que los datos de entrada son completos, que el procesamiento se lleva a cabo correctamente y que se validan las salidas.

d. Proteger los datos en espera ('colas') y memorias temporales (ej.: caché).

e. Conservar los medios de almacenamiento en un ambiente que concuerde con las especificaciones de los fabricantes o proveedores.

f. Eliminación segura del medio de información en el caso que sea necesario. La evaluación del mecanismo de eliminación debe contemplar el tipo de dispositivo y la criticidad de la información contenida.

.H.8 Seguridad del Correo Electrónico

a. Objetivo

Garantizar la seguridad de los servicios de correo electrónico y su uso seguro.

b. Riesgos de Seguridad

El Área Responsable de Seguridad Informática implementarán los controles para reducir los posibles riesgos de incidentes de seguridad en los servicios enunciados:

a. La vulnerabilidad de los mensajes al acceso o modificación no autorizada o a la denegación de servicio.

b. La posible intercepción y el consecuente acceso a los mensajes en los medios de transferencia que intervienen en la distribución de los mismos.

c. Las posibles vulnerabilidades a errores; por ejemplo, consignación incorrecta de la dirección o dirección errónea, y la confiabilidad y disponibilidad general del servicio.

d. La posible recepción de código malicioso en un mensaje de correo que afecte la seguridad de la terminal receptora o de la red a la que se encuentra conectada.

e. El impacto de un cambio en el medio de comunicación en los procesos de la Agencia

f. Las consideraciones legales, como la necesidad potencial de contar con prueba de origen, envío, entregay aceptación.

g. Las implicancias de la publicación externa de información sensible o confidencial, accesibles al público.

h. El acceso remoto a las cuentas de correo electrónico.

i. El uso inadecuado por parte del personal.

c. Política de Correo Electrónico

El Área Responsable de Seguridad de la Información deberá definir y documentar las normas y procedimientos con relación al correo institucional, que deberá contemplar los siguientes aspectos:

a. Protección contra ataques al correo electrónico, tales como virus, intercepción de mensajes, etc.

b. Protección de archivos adjuntos de correo electrónico.

c. Uso de técnicas criptográficas para proteger la confidencialidad e integridad de los mensajes electrónicos (Ver Controles Criptográficos).

d. Retención de mensajes que pudieran ser necesarios en caso de litigio.

e. Controles adicionales para examinar mensajes electrónicos que no pueden ser autenticados.

f. Aspectos operativos para garantizar el correcto funcionamiento del servicio (ej.: tamaño máximo de información transmitida y recibida, cantidad de destinatarios, tamaño máximo del buzón del usuario, etc.).

g. Definición de los alcances del uso del correo electrónico por parte del personal de la Agencia

h. Alcance de la potestad de la AAIP para auditar los mensajes recibidos o emitidos por los servidores de la AAIP.

Asimismo, deberá informar claramente al personal de la Agencia:

a. cuál es el uso que espera que haga del correo electrónico otorgado; y

b. bajo qué condiciones los mensajes pueden ser objeto de control y monitoreo.

.H.9 Sistemas de Acceso Público

Para la protección de la integridad de la información publicada electrónicamente, se tomarán recaudos a fin de prevenir la modificación no autorizada que podría dañar la reputación de quien emite la publicación.

Es posible que la información de un sistema de acceso público, por ejemplo, la información en un servidor Web accesible por Internet, deba cumplir con ciertas normas en la cual tiene lugar la transacción electrónica.

Se implementará un proceso de autorización formal antes de que la información se publique, estableciéndose en todos los casos los responsables de dicha aprobación.

Todos los sistemas de acceso público deben prever que:

a. La información se obtenga, procese y proporcione de acuerdo a la normativa vigente, en especial la Ley de Protección de Datos Personales.

b. La información que se ingresa al sistema de publicación, o aquella que procesa el mismo, sea procesada en forma completa, exacta y oportuna.

c. La información sensible o confidencial sea protegida durante el proceso de recolección y su almacenamiento.

d. El acceso al sistema de publicación no permita el acceso accidental a las redes a las cuales se conecta el mismo.

e. El o la responsable de la publicación de información en sistemas de acceso masivo sea claramente identificado.

f. La información se publique teniendo en cuenta las normas establecidas al respecto.

.H.10Seguimiento y Control

a. Objetivo

Detectar las actividades de procesamiento de información no autorizadas.

b. Registro de Auditoría

Todo sistema deberá producir y mantener registros de auditoría en los cuales se registren las actividades, excepciones, y eventos de seguridad de la información de los usuarios de la aplicación, por un período acordado para permitir la detección e investigación de incidentes.

El Área Responsable de Seguridad de la Información deberá evaluar y priorizar, de acuerdo a las posibilidades técnicas, la registración de la siguiente información:

a. identificación de los usuarios de la aplicación;

b. fechas, tiempos y detalles de los eventos principales, por ejemplo, inicio y cierre de sesión;

c. identidad del equipo o la ubicación;

d. registros de intentos de acceso al sistema exitosos y fallidos;

e. registros de intentos de acceso a los datos u otro recurso, exitosos y rechazados;

f. cambios a la configuración del sistema;

g. uso de privilegios;

h. uso de utilitarios y aplicaciones de sistemas;

i. archivos accedidos y el tipo de acceso;

j. direcciones de redes y protocolos;

k. alarmas que son ejecutadas por el sistema de control de accesos;

l. activación y desactivación de los sistemas de protección, tales como sistemas antivirus y sistemas de detección de intrusos.

c. Protección de los Registros

El Área Responsable de la Seguridad Informática implementará controles para la protección de los registros de auditoría contra cambios no autorizados y problemas operacionales, incluyendo:

a. Alteraciones de los tipos de mensajes que son grabados;

b. Edición o eliminación de archivos de registro;

c. Exceso de la capacidad de almacenamiento de los archivos de registro, resultando en la falla para registrar los eventos o sobrescribiendo eventos registrados en el pasado.

d. Registro de Actividad de Administrador y Operador

El Área Responsable de la Seguridad de la Información revisará periódicamente el registro de las actividades de los administradores y operadores de sistema incluyendo:

a. Cuenta de administración u operación involucrada;

b. Momento en el cual ocurre un evento (éxito o falla);

c. Información acerca del evento (por ejemplo, los archivos manipulados) o las fallas (por ejemplo, los errores ocurridos y las acciones correctivas tomadas);

d. Procesos involucrados.

e. Sincronización de Relojes

A fin de garantizar la exactitud de los registros de auditoría, al menos los equipos que realicen estos registros, deben tener una correcta configuración de sus relojes.

Para ello, se dispondrá de un procedimiento de ajuste de relojes, el cual indicará también la verificación de los relojes contra una fuente externa del dato y la modalidad de corrección ante cualquier variación significativa

.I. Continuidad de los Servicios Informáticos

.I.1 Aspectos generales

La Gestión de la Continuidad de los Servicios Informáticos se ocupa de impedir la interrupción de los servicios TI y proteger sus procesos críticos frente a desastres o grandes fallas de los sistemas de información, combinando estrategias proactivas, que buscan impedir o minimizar las consecuencias de una grave interrupción del servicio, y reactivas, cuyo propósito es reanudar el servicio tan pronto como sea posible.

La Continuidad de los Servicios Informáticos incluye tanto los mecanismos tecnológicos automáticos que posibilitan que un sistema sea resiliente de forma autónoma a fallos de alguno de sus componentes, como las acciones humanas necesarias toda vez que los mecanismos automáticos no fueran suficientes.

La Política de Continuidad debe preferir los mecanismos automáticos frente a los manuales, siempre que sea posible. Ello así por su mayor velocidad de reacción, que posibilita minimizar o incluso evitar las interrupciones del servicio, pérdida o corrupción de la información, entre otras; menor posibilidad de error humano ante situaciones críticas; y mayor posibilidad de verificación.

a. Objetivos

• Minimizar los efectos de las posibles interrupciones de las actividades normales de los servicios de TI.

• Proteger los sistemas de información que sustentan los procesos críticos de la Agencia mediante una combinación de controles preventivos y acciones de recuperación.

• Analizar las consecuencias de una interrupción del servicio y tomar las medidas correspondientes para la prevención de hechos similares en el futuro.

• Maximizar la efectividad de las operaciones de contingencia, considerando las siguientes etapas:

o Notificación/Activación: Consistente en la detección del daño y la determinación de las acciones subsiguientes.

o Reanudación: Consistente en la restauración temporal de las operaciones y recuperación del daño producido al sistema original.

o Recuperación: Consistente en la restauración de las capacidades de proceso del sistema a las condiciones de operación normales.

• Asegurar la coordinación con el personal de la Agencia y los contactos externos que participarán en las estrategias de planificación de contingencias. Asignar funciones para cada actividad definida.

b. Alcance

Se aplica a todos los procesos y datos de la Agencia considerados como críticos (Ver

clasificación de la información).

c. Responsabilidades

El Área Responsable por la Seguridad de la Información coordinará la definición de los

mecanismos de contingencia, cumpliendo las siguientes funciones:

• Identificar las amenazas que puedan ocasionar interrupciones de los procesos y/o las actividades de la Agencia.

• Coordinar la evaluación de los riesgos en conjunto a los y las Propietarios/as de la Información para determinar el impacto de dichas interrupciones.

• Coordinar la identificación de los controles preventivos, en conjunto con todas las áreas con competencia en la materia.

• Mantener informado de los sucesos relevantes al C.C.S.I y de las acciones tomadas por el área para el aseguramiento de la continuidad del servicio y/o actividades de la Agencia.

.I.2 Gestión de Continuidad de los Servicios Informáticos

a. Objetivo

Contraatacar las interrupciones a las actividades y proteger los procesos críticos de los efectos de fallas importantes o desastres en los sistemas de información, y asegurar su reanudación oportuna.

b. Responsabilidades

El Área Responsable por la Seguridad de la Información tendrá a cargo la coordinación las actividades relativas a la continuidad de la operatoria de los sistemas de tratamiento de información de la Agencia, lo cual incluye las siguientes funciones:

a. Coordinar, en conjunto a los y las Propietarios/as de la Información, la identificación de los procesos críticos de la Agencia, su priorización, y los Activos de Información asociados.

b. Identificar las amenazas que puedan ocasionar interrupciones en los procesos de las actividades, tales como: fallas en el equipamiento, comisión de ilícitos, interrupción del suministro de energía eléctrica, inundación e incendio, desastres naturales, destrucción edilicia, atentados, etc.

c. Proponer una definición de criticidad y prioridades de recuperación, en relación al impacto asociado a la interrupción de cada servicio de información, que permita guiar la planificación de actividades de contingencia, incluyendo la asignación de recursos adecuados en cada caso.

d. Coordinar la definición, en conjunto con todas las áreas con competencia en la materia y de forma consecuente con los objetivos y prioridades acordados, así como de los recursos disponibles, los que asignados de acuerdo a la criticidad de cada servicio:

• las medidas destinadas a maximizar la Continuidad de los Servicios Informáticos.

• los mecanismos para la gestión de la contingencia y/o recuperación ante una interrupción de los servicios informáticos.

• pruebas periódicas de los mecanismos de contingencia y recuperación.

c. Implementación

La gestión de la continuidad de las actividades incluye las siguientes actividades:

a. Analizar los posibles escenarios de contingencia y definir mecanismos técnicos y acciones humanas para la prevención y corrección de dichos escenarios.

b. Identificar y asignar todas las funciones y tareas en caso de emergencia para permitir la recuperación y restablecimiento en el menor plazo posible. Se debe dedicar especial atención a la evaluación de las dependencias de actividades externas y a los contratos vigentes.

c. Instruir al personal involucrado en los procedimientos de reanudación y recuperación en los siguientes temas:

• Objetivo del plan.

• Mecanismos de coordinación y comunicación entre equipos (personal involucrado).

• Procedimientos de divulgación.

• Requisitos de la seguridad.

• Responsabilidades individuales.

d. Planificar la prueba de los planes, guardando evidencia formal de las pruebas y sus resultados.

La definición de los mecanismos y actividades requeridos debe concentrarse en los objetivos de las actividades de la Agencia; por ejemplo, restablecimiento de los servicios a los usuarios en un plazo aceptable. Deben considerarse los servicios y recursos que permitirán que esto ocurra, incluyendo: dotación de personal, recursos que no procesan información, así como acuerdos para reanudación de emergencia en sitios alternativos de procesamiento de la información.

.J. Cumplimiento Normativo

.J.1 Aspectos Generales

Asegurar el cumplimiento de las disposiciones normativas y legales que regulan el acceso, la disponibilidad y la protección de la información almacenada y procesada en el ámbito de cada sector de la Agencia.

a. Objetivo

Establecer la obligatoriedad en el cumplimiento de la normativa aplicable en la materia.

Asegurar que los sistemas de información y las plataformas tecnológicas cumplan efectivamente con las políticas, normas y procedimientos de seguridad.

Revisar periódicamente las políticas de seguridad de la información a efectos de garantizar la adecuada aplicación en lo referido a la protección de sus datos y recursos.

Optimizar la eficacia del proceso de auditoría de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

Asegurar la existencia de controles que protejan los sistemas en producción y las herramientas de auditoría en el transcurso de las auditorías de sistemas.

Determinar los plazos para la guarda de información y la recolección de evidencia.

Determinar los mecanismos de adecuación ante los cambios normativos, teniendo en cuenta las limitaciones de recursos disponibles, y garantizando la continuidad operativa de la Agencia.

b. Alcance

Se aplica a todo usuario de sistemas de información, a los sistemas de información, normas, procedimientos, documentación y plataformas técnicas, y a las auditorías efectuadas sobre los mismos.

c. Responsabilidades

El Área Responsable de la Seguridad de la Información tendrá las siguientes responsabilidades:

• Realizar revisiones periódicas de todas las áreas a efectos de asegurar el cumplimiento de la política, normas y procedimientos de seguridad.

• Verificar periódicamente que los sistemas de información cumplan la política, normas y procedimientos de seguridad establecidos.

• Garantizar la seguridad y el control de las herramientas utilizadas para las revisiones de auditoría.

• Definir y documentar claramente todos los requisitos normativos y contractuales pertinentes a sus sistemas de información.

• Redactar un compromiso de confidencialidad a ser firmado por todos los usuarios del mismo.

.J.2 Cumplimiento de Requisitos Legales

a. Objetivo

Evitar la violación de las normas aplicables y de todo requerimiento relacionado con la seguridad, el uso y la gestión de los recursos y sistemas de información.

El diseño, operación, uso y gestión de los sistemas de información pueden estar sujetos a requerimientos de seguridad normativos y contractuales.

b. Identificación de la Legislación Aplicable

Los y las Propietarios/as de los Sistemas de Información, con asistencia del Área Responsable Legal de la Agencia, deberán identificar los requisitos normativos y contractuales en materia de Seguridad de la Información pertinentes para cada Sistema de Información de su propiedad.

El Área Responsable de la Seguridad Informática, en conjunto con las áreas responsables por la implementación de los sistemas, definirán los controles específicos y responsabilidades para cumplir con dichos requisitos.

c. Derechos de Propiedad Intelectual

Los y las Propietarios/as de los Sistemas de Información, con asistencia del Área Responsable Legal de la Agencia, deberán asegurar que las definiciones de los sistemas cumplan con la normativa vigente en relación a las siguientes normas:

• Ley de Propiedad Intelectual N° 11.723.

• Ley de Marcas N° 22.362.

• Ley de Patentes de Invención y Modelos de Utilidad N° 24.481.

Los y las usuarios/as de información únicamente podrán utilizar material autorizado por los y las Propietarios/as de la Información.

d. Derechos de Propiedad Intelectual del Software

Todas las Áreas involucradas en las definiciones técnicas y soporte de los Sistemas de Información, con la asistencia del Área Legal, deberán analizar los términos y condiciones de las licencias de los productos de software a utilizar en los sistemas de información con el objetivo de garantizar el cumplimiento de los términos y condiciones en cada caso. Adicionalmente las Áreas Responsables por el Soporte e Infraestructura Tecnológica, deberán:

• Mantener un adecuado registro de los activos de propiedad intelectual bajo su administración.

• Conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc.

• Implementar controles para evitar el exceso del número máximo permitido de usuarios.

• Instalar únicamente productos con licencia y software autorizado.

• Cumplir con los términos y condiciones establecidos para obtener software e información en redes públicas.

e. Protección de Datos, Privacidad de la Información Personal y Acceso a la Información Pública

Todo el personal debe conocer las restricciones al tratamiento de los datos y de la información respecto de la cual tengan conocimiento con motivo del ejercicio de sus funciones.

Sólo se divulgará, procesará y/o comunicará aquella información que esté autorizada previamente por el o la propietario/a de la información según corresponda.

Por otra parte, y según lo establecido en el punto 'Términos y Condiciones de la relación laboral', el Área Responsable por la Seguridad Informática se reserva el derecho de efectuar control y monitoreo sobre las actividades ejercidas en su ámbito, preservando el derecho a la privacidad del personal, según corresponda.

En particular, para el tratamiento de la privacidad de los datos y la posibilidad de acceso a esa información por su carácter de pública, se deben tener presentes las siguientes normas:

Protección de Datos Personales. Ley N° 25.326: Establece responsabilidades para aquellas personas que recopilan, procesan y divulgan información personal, y define criterios para procesar datos personales y/o cederlos a terceros.

Protección de Datos Personales. Resolución AAIP N° 47/2018: Establece nuevas medidas de seguridad recomendadas para la administración, planificación, control y mejora continua de la seguridad de la información, respecto al tratamiento de los datos personales.

Acceso a la Información Pública. Ley N° 27.275: Establece y da un marco normativo acerca de la publicidad de la información en poder del Estado y establece que esta información debe ser accesible por todas las personas, aunque también establece un conjunto de excepciones a este acceso.

Confidencialidad. Ley N° 24.766: Impide la divulgación a terceros, o su utilización sin previo consentimiento y de manera contraria a los usos comerciales honestos, de información secreta y con valor comercial que haya sido objeto de medidas razonables para mantenerla secreta.

Delitos Informáticos. Ley N° 26.388: Modifica el Código Penal, incorporando diversos delitos informáticos, tales como violación de correo electrónico, acceso ilegítimo a sistemas informáticos, daño informático, interrupción de comunicaciones, distribución de virus y pornografía infantil.

Código Penal: Sanciona a aquel que abriere o accediere indebidamente a una comunicación electrónica o indebidamente la suprimiere o desviare (Art. 153), al que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido (Art.153 bis), al que hallándose en posesión de una correspondencia, una comunicación electrónica, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, no destinados a la publicidad, los hiciere publicar indebidamente, si el hecho causare o pudiere causar perjuicios a terceros (Art. 155), al que teniendo noticias de un secreto cuya divulgación pueda causar daño, lo revelare sin justa causa (Art. 156), al funcionario público que revelare hechos, actuaciones o documentos que por la ley deben quedar secretos (Art. 157), al que a sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales, ilegítimamente proporcionare o revelare a otro información registrada en un archivo o en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de la ley e ilegítimamente insertare o hiciere insertar datos en un archivo de datos personales (Art. 157 bis), al que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos (Art. 183), al que revelare secretos políticos o militares concernientes a la seguridad, a los medios de defensa o a las relaciones exteriores de la Nación, o al que por imprudencia o negligencia diere a conocer los secretos mencionados anteriormente, de los que se hallare en posesión en virtud de su empleo u oficio (Art. 222 y 223).

f. Prevención del Uso Inadecuado de los Recursos de Procesamiento

Los recursos de procesamiento de información de la Agencia se suministran con un propósito determinado. Toda utilización de estos recursos con propósitos no autorizados o ajenos al destino por el cual fueron provistos debe ser considerada como uso indebido.

El alcance preciso del uso adecuado se definirá según lo indicado en el punto 'Términos y Condiciones de la relación laboral' y 'Uso aceptable de los activos de información'.

.J.3 Revisiones de la PSI y Compatibilidad Técnica

a. Objetivo

Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional.

Establecer criterios para la gestión de la seguridad de los sistemas de información en su etapa productiva y hasta el final de su ciclo de vida.

b. Cumplimiento de la Política de Seguridad

El Área Responsable por la Seguridad de la Información velará por la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos, dentro de su ámbito de responsabilidad.

Para ello establecerá los controles que estime convenientes incluyendo tanto mecanismos automáticos como acciones manuales, de acuerdo a la criticidad de cada sistema y los recursos disponibles.

Entre las áreas a revisar se incluyen las siguientes:

a. Sistemas de información

b. Proveedores de sistemas

c. Propietarios de información

d. Usuarios

e. Servicios TIC

Los y las Propietarios/as de la información brindarán apoyo a la revisión periódica del cumplimiento de la política, normas, procedimientos y otros requisitos de seguridad aplicables.

c. Verificación de la Compatibilidad Técnica

El Área Responsable por la Seguridad de la Información determinará las medidas y controles necesarios para que los sistemas de información cumplan con la política, normas y procedimientos de seguridad a lo largo de todo su ciclo de vida, incluyendo la revisión de

los sistemas en producción, a fin de garantizar que los controles de hardware y software hayan sido correctamente implementados.

.J.4 Consideraciones de Auditorías de Sistemas

a. Objetivo

Maximizar la efectividad del proceso de auditoría de sistemas de información y minimizar las interferencias que pueda sufrir.

Verificar durante las auditorías de los sistemas de información la existencia de los controles para salvaguardar los sistemas operacionales y herramientas de auditoría.

b. Aspectos Generales

Con relación a las auditorías, serán de aplicación las Normas de Control Interno para Tecnologías de Información, aprobadas por la resolución SIGEN N° 87/2022 (ex Resolución 48/05), como así todo Instructivo de Trabajo que SIGEN habilite.

c. Controles de Auditoría de Sistemas

Para las actividades de auditoría que involucren verificaciones de los sistemas en producción se seguirán los lineamientos establecidos en la resolución SIGEN N° 87/2022.

Se tomarán recaudos en la planificación de los requerimientos y tareas y se acordará con las áreas involucradas a efectos de minimizar el riesgo de interrupciones en las operaciones, contemplando los criterios subsiguientes:

a. Acordar con el área que corresponda los requerimientos de auditoría.

b. Controlar el alcance de las verificaciones. Esta función será realizada por la Unidad de Auditoría Interna.

c. Limitar las verificaciones a un acceso de sólo lectura del software y datos de producción. Caso contrario, se tomarán los resguardos necesarios a efectos de aislar y contrarrestar los efectos de las modificaciones realizadas una vez finalizada la auditoría. Por ejemplo:

i. Eliminar archivos transitorios.

ii. Eliminar entidades ficticias y datos incorporados en archivos maestros.

iii. Revertir transacciones.

iv. Revocar privilegios otorgados

d. Identificar claramente los recursos de TI para llevar a cabo las verificaciones, los cuales serán puestos a disposición de los auditores. A tal efecto, la Unidad de Auditoría Interna o, en su defecto, quien sea propuesto, completará el siguiente formulario, el cual debe ser puesto en conocimiento de las áreas involucradas:

i. Recursos de TI a utilizar en la Verificación

ii. Sistemas de información

iii. Base de datos

iv. Hardware

v. Software de Auditoría

vi. Medios Magnéticos

vii. Personal de Auditoría

viii. Interlocutores de las Áreas de Informática

ix. Interlocutores de las Áreas Usuarias

x. Conexiones a Red

e. Identificar y acordar los requerimientos de procesamiento especial o adicional.

f. Monitorear y registrar todos los accesos, a fin de generar una pista de referencia. Los datos a resguardar deben incluir como mínimo:

i. Fecha y hora

ii. Puesto de trabajo

iii. Usuario

iv. Tipo de acceso.

v. Identificación de los datos accedidos

vi. Estado previo y posterior

vii. Programa y/o función utilizada

g. Documentar todos los procedimientos de auditoría, requerimientos y responsabilidades.

.J.5 Plan de Adecuación

a. Objetivo

Establecer los criterios mínimos para la definición de planes de adecuación para la implementación de la P.S.I, así como cualquier otro cambio normativo que pudiera afectar a la Seguridad de la Información de la Agencia.

Garantizar la planificación adecuada de los recursos necesarios para la ejecución de las tareas de adecuación.

b. Responsabilidades

El Área Responsable por la Seguridad de la Información coordinará la definición del Plan de Adecuación de la Agencia.

Todas las Áreas con responsabilidades definidas por esta P.S.I deberán comprometer las acciones necesarias para el cumplimiento normativo, de acuerdo a un cronograma conjunto acorde a los recursos disponibles y a la priorización en etapas que defina el Área Responsable por la Seguridad Informática.

c. Ámbito de Aplicación

Esta Cláusula será aplicable ante un cambio normativo que impacte sobre los Activos de Información preexistentes a la norma.

Todo Activo de Información generado con posterioridad a la entrada en vigencia de la norma deberá dar cumplimiento a la misma o gestionarse por vía de Excepción.

d. Definición del Plan de Adecuación

Previo a todo cambio normativo que impacte en la Seguridad de la Información de la Agencia, se deberán definir las acciones necesarias para adecuar el funcionamiento de la Agencia a la nueva normativa, incluyendo:

• Definición de Procesos y Procedimientos complementarios.

• Actualización y/o corrección de los Sistemas de Información.

• Actualización y/o corrección de la infraestructura informática, comunicaciones, redes de datos, etc.

• Adquisición de los bienes y servicios necesarios para el cumplimiento normativo.

• Revisión retroactiva de actuaciones previas que requieran una adecuación a la nueva normativa, tales como contratos, autorizaciones, asignación de privilegios, etc.

Los cronogramas correspondientes a los Planes de Adecuación deberán ser acordados entre el Área Responsable por la Seguridad de la Información y las Áreas intervinientes en cada caso, siguiendo las prioridades definidas por el Área Responsable por la Seguridad de la Información.

e. Asignación de Recursos

Todas las áreas intervinientes deberán planificar la asignación de los recursos necesarios para la ejecución de los Planes de Adecuación acordados.

f. Desvíos

Cualquier desvío en la implementación de los Planes de Adecuación deberá ser informado formalmente al Área Responsable por la Seguridad de la Información.

.J.6 Política de Gestión de Excepciones

a. Objetivo

Identificar las acciones necesarias para registrar, evaluar y aprobar o rechazar las excepciones al cumplimiento de la P.S.I.

Documentar los requerimientos, sistemas, configuraciones o procedimientos imposibilitados de cumplir, de forma temporal o permanente, con el Marco Normativo de Seguridad de la Información.

Proveer un proceso que contemple el análisis y seguimiento de los planes de mitigación, acompañando las mejoras requeridas para el cumplimiento de la normativa de Seguridad de la Información.

b. Consideraciones Generales

Las políticas y estándares de Seguridad de la Información establecidos en la Agencia son la base fundamental para la protección de los Activos de Información.

Cualquier imposibilidad en el cumplimiento de la presente P.S.I. se deberá tramitar mediante el Procedimiento de Gestión de Excepciones.

Todas las Excepciones a la Política de Seguridad de la Información deberán ser formalmente documentadas, registradas y revisadas.

c. Alcance

Todo incumplimiento al Marco Normativo de Seguridad de la Información y a los lineamientos que deban aplicarse a infraestructura tecnológica, sistemas y/o procedimientos, cuando dichos lineamientos no puedan ser respetados por imposibilidad técnica o la falta de disponibilidad temporal de recursos y la suspensión de los sistemas o actividades en cuestión pudiera afectar operativamente al cumplimiento de las responsabilidades, compromisos y obligaciones de la Agencia o alguna de sus áreas.

d. Responsabilidades

El o la responsable del área interesada deberá elevar el Pedido de Excepción al Área Responsable por la Seguridad de la Información, indicando las razones funcionales y operativas que motivan la solicitud y justifican la Excepción.

Todas las Áreas involucradas deberán:

a. Informar las limitaciones técnicas, procedimentales y de recursos que impiden el cumplimiento normativo.

b. Informar las acciones correctivas a implementar, a saber: Plan de Normalización y/o Mitigación, según corresponda.

El Área Responsable por la Seguridad de la Información deberá:

a. Mantener un registro de las excepciones vigentes y sus correspondientes acciones correctivas definidas y la aceptación de los riesgos residuales.

b. Velar por la existencia de acciones correctivas adecuadas a cada excepción solicitada, que permitan mitigar los riesgos involucrados en cada caso.

c. Informar, de corresponder, los riesgos residuales al área requirente, en función de las acciones correctivas definidas, para su toma de conocimiento.

Anexo I: Glosario

Activo (de Información): activo se define de acuerdo a la norma ISO 2700 como '...cualquier cosa que tenga valor para la Organización (ISO/IEC 13335-1:2004)”. Partiendo de este concepto, existen activos intangibles y tangibles, como por ejemplo Bases de Datos y Sistemas de Información, archivos de documentación publicados en los sitios web, información de los sistemas de gestión de los usuarios, correo institucional, informes impresos, etc.

Amenaza: cualquier evento o circunstancia que pueda poner en riesgo la seguridad de la información, como malware, ataques cibernéticos, desastres naturales, etc.

Autenticación: el proceso de verificar la identidad de un usuario o entidad para asegurarse de que tengan acceso autorizado a un sistema o recurso.

Cifrado: el proceso de transformar datos en un formato ilegible (cifrado) para proteger su confidencialidad y que solo pueden ser descifrados por usuarios autorizados que poseen la clave de cifrado adecuada.

Código malicioso: un programa malicioso (del inglés malware), también conocido como programa maligno, programa malintencionado o código maligno, es cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada (al contrario que el «software defectuoso») y sin el conocimiento del usuario (al contrario que el 'software' potencialmente no deseado.

Confidencialidad: uno de los tres pilares de la seguridad de la información, se refiere a la protección de datos e información sensible para evitar su divulgación a personas no autorizadas. Garantiza que solo las personas o entidades autorizadas puedan acceder a la información confidencial.

Criptografía: la criptografía es el desarrollo de un conjunto de técnicas de cifrado que permiten alterar y modificar mensajes o archivos con el objetivo de que no puedan ser leídos por todos aquellos usuarios que no estén autorizados a hacerlo. Hoy en día, en pleno auge de las comunicaciones digitales, funciona como la base para cualquier proceso de seguridad informática.

Disponibilidad: se refiere a la capacidad de garantizar que los sistemas, datos e información crítica estén disponibles y accesibles cuando se necesiten. Esto implica prevenir interrupciones no planificadas, como fallas técnicas o ataques cibernéticos, que podrían afectar la disponibilidad de los recursos.

Incidente de Seguridad: un evento inesperado que compromete, puede o pudo comprometer la seguridad de la información, como una violación de datos o un ataque cibernético.

Integridad: se relaciona con la garantía de que los datos o la información no han sido alterados de manera no autorizada o indebida durante su almacenamiento, procesamiento o transmisión. La integridad asegura que la información sea precisa y fiable.

Log: en informática, se usa el término registro, log o historial de log para referirse a la grabación secuencial en un archivo o en una base de datos de todos los acontecimientos (eventos o acciones) que afectan a un proceso particular (aplicación, actividad de una red informática, etc.). De esta forma constituye una evidencia del comportamiento del sistema.

No Repudio: un principio de seguridad que asegura que una entidad no puede negar la validez de una acción previamente realizada, como la firma de un documento electrónico. Esto garantiza que las partes involucradas no puedan negar su participación en una transacción.

Propietarios de la Información: en líneas generales es una parte designada de la entidad, un funcionario, o grupo de trabajo que tiene la responsabilidad de garantizar que la información y los activos asociados con los servicios de procesamiento de información se clasifiquen adecuadamente, y de definir y revisar periódicamente las restricciones y clasificaciones del acceso, teniendo en cuenta las políticas aplicables sobre el control del acceso

Seguridad de la Información: un conjunto de prácticas, políticas y procedimientos diseñados para proteger la confidencialidad, integridad y disponibilidad de la información crítica de una organización. El objetivo es garantizar que los datos estén protegidos contra amenazas y riesgos, como acceso no autorizado, alteración o destrucción.

Vulnerabilidad: una debilidad o fallo en un sistema, proceso o control de seguridad que podría ser explotado por amenazas o atacantes para comprometer la seguridad de la información.

IF-2023-127002770-APN-DIEI#AAIP

Scroll hacia arriba