Elaboran modelo de política de seguridad de la información para organismos públicos
Se trata de un documento desarrollado para proteger adecuadamente los datos, los recursos y los activos tecnológicos.
La Dirección Nacional de Ciberseguridad elaboró un Modelo Referencial de Política de Seguridad de la Información para los Organismos del Sector Público Nacional.
El documento desarrollado con el fin de proteger adecuadamente los datos, los recursos utilizados en sus tratamientos y los activos tecnológicos públicos, que son esenciales para el desenvolvimiento óptimo de cada entidad estatal.
“La política modelo de seguridad de la información representa un insumo esencial para que los organismos puedan cumplimentar con los estándares mínimos de ciberseguridad que el gobierno nacional pretende establecer para ofrecer servicios de calidad al ciudadano. La ciberseguridad es un proceso, no es una ciencia exacta. Por ese motivo, estamos elevando la vara permanentemente acorde con los tiempos que corren” sostuvo el Director Nacional de Ciberseguridad, Gustavo Sain.
El modelo, publicado a través de la Disposición 1/2022 de la Dirección Nacional de Ciberseguridad, no es vinculante sino que debe ser interpretado como un compendio de buenas prácticas incorporadas a todos los estándares y recomendaciones internacionales en materia de seguridad de la información.
El mismo se enmarca como un complemento de los Requisitos Mínimos de Seguridad de la Información para el Sector Público Nacional, de cumplimiento obligatorio para los organismos y establecidos en la Decisión Administrativa 641/2021 de la Dirección Nacional de Ciberseguridad.
Esa norma tiene como primera directriz que los organismos mencionados deben desarrollar y aprobar una política de seguridad de la información, que sea compatible con sus responsabilidades primarias y sus competencias, y elaborada sobre una evaluación de los riesgos que pudieran afectarlos.
La política citada es considerada central para la protección de los datos y de los recursos utilizados en sus tratamientos. Define la postura de una organización respecto al comportamiento que espera de sus empleados, sus autoridades y los terceros que tomen contacto con esos datos y/o con los recursos para su protección.
Con el fin de coadyuvar a los organismos en el proceso de elaboración de dicha política, la Dirección Nacional de Ciberseguridad elaboró el Modelo de Referencia, que debe ser interpretado como un aporte y una guía para las entidades públicas.
El mismo podrá ser adaptado por cada organismo en función de sus competencias, los riesgos a los que se expone, los recursos disponibles, al marco normativo interno y externo que sea aplicable, y demás características particulares de la entidad, para cumplimentar con el requerimiento de la norma 641.
Tal política modelo establece las directrices y las líneas de actuación en materia de seguridad de la información que indican el modo en que un organismo debe gestionar y proteger los datos a los que da tratamiento, los recursos tecnológicos que utiliza y los servicios que brinda. En ese sentido, en el modelo se indica entre otras pautas que la política de seguridad requerida debe ser:
- Aprobada por las máximas autoridades del organismo o por el funcionario a quien se le ha delegado la función.
- Notificada y difundida a todo el personal y a aquellos terceros involucrados cuando resulte pertinente y en los aspectos que corresponda.
- Cumplida por todos los agentes y funcionarios del organismo.
- Revisada y eventualmente actualizada, con una periodicidad no superior a doce meses.
- Utilizada como base para establecer un conjunto de normas, procedimientos, lineamientos y guías acordes a los procesos que se llevan adelante en el organismo, su plataforma tecnológica y demás recursos de los que disponga.
- Informada a la Dirección Nacional de Ciberseguridad una vez aprobada.
Desde la Dirección Nacional de Ciberseguridad, se espera que con la implementación de esta medida se produzca una adecuada gestión de la seguridad de la información, que permita proteger los recursos y la tecnología utilizada para su procesamiento frente a amenazas internas o externas.