Resolución 104/2012

Texto Original

Ministerio del Interior y Transporte

SEGURIDAD DE LA INFORMACION

Resolución 104/2012

Créase el Comité de Seguridad de laInformación del Ministerio del Interior y Transporte. Apruébase la“Política de Seguridad de la Información”. Desígnase Coordinador.

Bs. As., 30/7/2012

VISTO el Expediente Nº S02:0012182/2010 del Registro del MINISTERIO DELINTERIOR Y TRANSPORTE, la Decisión Administrativa 669 de fecha 20 dediciembre de 2004, la Disposición de la OFICINA NACIONAL DE TECNOLOGIASDE LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de laJEFATURA DE GABINETE DE MINISTROS Nº 6 de 10 de agosto de 2005, y

CONSIDERANDO:

Que el artículo 1º de la Decisión Administrativa Nº 669/2004 estableceque los organismos del Sector Público Nacional comprendidos en losincisos a) y c) del artículo 8º de la Ley de Administración Financieray de los Sistemas de Control del Sector Público Nacional Nº 24.156 ysus modificaciones, deberán dictar, o bien adecuar sus políticas deseguridad de la información.

Que la Decisión Administrativa mencionada en el considerandoprecedente, prevé la conformación de un Comité de Seguridad de laInformación, determinando las funciones que el mismo deberá ejecutar.

Que la Disposición Nº 6 de fecha 3 de agosto de 2005 de la OFICINANACIONAL DE TECNOLOGIAS DE INFORMACION organismo dependiente de la exSUBSECRETARIA DE GESTION PUBLICA de la JEFATURA DE GABINETE DEMINISTROS, aprueba la “Política de Seguridad de la Información Modelo”.

Que a los fines de optimizar las herramientas de protección de losactivos y recursos de información de este Ministerio, la tecnologíautilizada para su procesamiento, y dar acabado cumplimiento con lanorma referida ut supra, deviene necesario dictar una política deseguridad de la información conteste con la Política de Seguridad de laInformación Modelo.

Que conforme la Decisión Administrativa Nº 669/04 el MINISTERIO DELINTERIOR Y TRANSPORTE deberá conformar un Comité de Seguridad de laInformación integrado por representantes de las Direcciones Nacionaleso Generales o equivalentes del organismo.

Que el Comité de Seguridad de la Información citado en el considerandoprecedente, será coordinado por el SUBESECRETARIO DE COORDINACION DELMINISTERIO DEL INTERIOR Y TRANSPORTE.

Que la asignación de funciones relativas a la seguridad informática yla integración del Comité de Seguridad de la Información,respectivamente, no deberá implicar erogaciones presupuestariasadicionales.

Que la Dirección General de Asuntos Jurídicos del MINISTERIO DEL INTERIOR Y TRANSPORTE ha tomado intervención.

Que la presente medida se dicta en uso de las atribuciones conferidaspor la Ley de Ministerios (t.o. Decreto Nº 438/92), las modificacionesintroducidas por la Ley Nº 26.338 y los Arts. 1 y 2 de la DecisiónAdministrativa 669/2004.

Por ello,

EL MINISTRO DEL INTERIOR Y TRANSPORTERESUELVE:

Artículo 1º — Créase el Comitéde Seguridad de la Información del MINISTERIO DEL INTERIOR YTRANSPORTE, quedando conformada a partir del dictado de la presente porrepresentantes de la Dirección General del Servicio AdministrativoFinanciero, la Dirección General de Recursos Humanos, la DirecciónGeneral de Asuntos Jurídicos y la Dirección General de GestiónInformática del organismo.

Art. 2º — Apruébase la“POLITICA DE SEGURIDAD DE LA INFORMACION del MINISTERIO DEL INTERIOR YTRANSPORTE”, que como Anexo I integra la presente medida.

Art. 3º — Desígnase Coordinadordel Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR YTRANSPORTE al SUBSECRETARIO DE COORDINACION DEL MINISTERIO DEL INTERIORY TRANSPORTE.

Art. 4º — Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese. — Aníbal F. Randazzo.

ANEXO I

POLITICA DE SEGURIDAD DE LA INFORMACION

MINISTERIO DEL INTERIOR Y TRANSPORTE

INDICE

1. INTRODUCCION

1.1. Objetivos de la Política de Seguridad de la Información

2. DEFINICIONES

2.1. Seguridad de la Información2.2. Información2.3. Dato2.4. Clasificación de la Información2.4.1. Datos Sensibles2.4.2. Datos Críticos2.5. Sistema de Información2.6. Tecnología de la Información2.7. Recursos Informáticos2.8. Recursos Informáticos Personales2.9. Evaluación de Riesgos2.10. Administración de Riesgos2.11. Incidente de Seguridad2.12. Usuario

3. AMBITO DE APLICACION

3.1. Alcance de la Política de Seguridad del MIyT3.2. Ambito Funcional3.3. Ambito Personal

4. ORGANIZACION DE LA SEGURIDAD

4.1. Comité de Seguridad de la Información4.2. Responsables Primarios de la Información4.3. Coordinación del Comité de Seguridad de la Información4.3.1. Organización de la Seguridad4.3.2. Organigrama DGGI4.3.3. Segregación de Funciones DGGI4.3.4. Glosario de Funciones4.4. Designación del Responsable de Area de Sistemas Informáticos4.5. Designación del Responsable de Area de Tecnología y Seguridad4.6. Responsable del Area de Recursos Humanos4.7. Responsable del Area de Capacitación4.8. Responsable del Area de Seguridad Física4.9. Responsable de la Unidad de Auditoría Interna4.10. Asignación de Funciones y Responsabilidades de los Responsables4.10.1. Responsabilidades del Coordinador del Comité de Seguridad de la Información4.10.2. Responsabilidades del Comité de Seguridad de la Información4.10.3. Responsabilidades de Responsables Primarios de Información4.10.4. Responsabilidades del Area de Sistemas Informáticos4.10.5. Responsabilidades del Area de Tecnología y Seguridad4.10.6. Responsabilidades del Area de Backup4.11. Separación de Funciones4.11.1. Separación entre Instalaciones de Desarrollo, Prueba y Producción4.11.2. Esquema teórico de segregación de los entornos de Prueba, Producción y Desarrollo4.11.2.1. Ambiente de Desarrollo4.11.2.2. Ambiente de Pruebas4.11.2.3. Ambiente de Producción

5. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O USUARIOS

5.1. Carácter de usuario5.2. Confidencialidad5.3. Identificación y Claves de Acceso5.4. Utilización de Equipos Informáticos5.5. Utilización de Internet y Correo Electrónico5.6. Utilización de Programas, Software y Aplicaciones Informáticas5.7. Política de Escritorios y Pantallas Limpias5.8. Incidencias

6. SEGURIDAD DEL PERSONAL Y/O USUARIOS

6.1. Objetivo6.2. Alcance6.3. Responsabilidades6.4. Administradores de Identificación y Acceso6.4.1. Carácter de Administrador6.4.2. Notificación de Responsabilidad y Buen Uso de los Recursos de Información de Administradores6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información de Usuarios6.5. Capacitación del Usuario6.5.1. Objetivo6.5.2. Formación y Capacitación en Seguridad de la Información

7. GESTION DE INCIDENCIAS

7.1. Objetivo7.2. Comunicación de incidentes relativos a la seguridad7.3. Registro de Incidencias7.4. Procedimiento de gestión de incidencias7.5. Comunicación de vulnerabilidades de seguridad7.6. Comunicación de Anomalías del Software7.7. Aprendiendo de los incidentes7.8. Sanciones

8. CLASIFICACION DE ACTIVOS

8.1. Objetivo8.2. Alcance8.3. Responsabilidades8.4. Inventario de activos8.5. Clasificación de la información8.5.1. Confidencialidad8.5.2. Integridad8.5.3. Disponibilidad8.5.4. Criticidad de la Información8.5. Rotulado de la Información

9. SEGURIDAD FISICA Y AMBIENTAL

9.1. Objetivos9.2. Alcance9.3. Areas Seguras y de Acceso Restringido9.3.1. Perímetro de seguridad física9.3.2. Areas Restringidas9.3.3. Controles de acceso físico9.4. Seguridad del equipamiento informático9.4.1. Objetivo9.4.2. Ubicación y protección del equipamiento9.4.3. Suministro de energía9.4.4. Seguridad del cableado9.4.5. Mantenimiento de equipos9.4.6. Seguridad del equipamiento fuera del ámbito de la organización9.4.7. Baja segura o reutilización de equipamiento9.4.8. Retiro de Activos del MINISTERIO DEL INTERIOR Y TRANSPORTE9.4.9. Seguridad de los medios de tránsito

10. GESTION DE COMUNICACIONES Y OPERACIONES

10.1. Objetivo10.2. Responsabilidades10.3. Procedimientos Operativos de Documentación10.4. Gestión de procesamiento externo10.5. Planificación y Aprobación de sistemas10.5.1. Objetivo10.5.2. Planificación de la capacidad10.5.3. Aprobación del sistema

11. MANTENIMIENTO Y RESGUARDO DE LA INFORMACION

11.1. Objetivo11.2. Alcance del Resguardo de la Información11.3. Controles del Resguardo y Recupero de la Información11.4. Administración y Seguridad de los Medios de Almacenamiento11.4.1. Objetivo11.4.2. Administración de medios informáticos removibles11.4.3. Eliminación de Medios de Información11.5. Resguardo de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE11.5.1. Objetivo11.5.2. Procedimientos de Resguardo y Conservación de Datos11.6. Intercambio de información y software11.6.1. Objetivo11.6.2. Acuerdos de Intercambio de Información y Software11.6.3. Seguridad de la Interoperabilidad y el Gobierno Electrónico11.6.4. Sistemas de Acceso Público y semipúblico11.6.5. Seguridad frente al acceso por parte de terceros

12. CONTROL DE ACCESO LOGICO

12.1. Objetivos12.2. Responsabilidades12.3. Política de Control de Accesos12.4. Reglas de control de accesos12.5. Administración de Accesos de Usuarios12.5.1. Objetivo12.5.2. Registración de Usuarios12.6. Administración de Privilegios12.7. Administración de Contraseñas de Usuario12.8. Uso de Cuentas con perfil de Administrador12.9. Uso de contraseñas12.10. Control de acceso a la red12.10.1. Objetivo12.10.2. Política de utilización de los servicios de red12.10.3. Camino Forzado12.10.4. Autenticación de Nodos12.10.5. Protección de los puertos de diagnóstico remoto12.10.6. Computación Móvil y Trabajo remoto12.10.7. Subdivisión de Redes12.10.8. Control de Ruteo de Red12.10.9. Seguridad de los Servicios de Red12.11. Control de acceso al sistema operativo12.11.1. Objetivo12.11.2. Identificación de Puestos de Trabajo y Servidores12.11.3. Procedimientos de Conexión12.11.4. Identificación y autenticación de los usuarios12.11.5. Uso de Utilitarios de Sistemas Operativos12.11.6. Desconexión por Tiempo Muerto en Puestos de Trabajo12.11.7. Limitación del Horario de Conexión12.12. Control de Acceso a las Aplicaciones12.12.1. Objetivo12.12.2. Restricción del Acceso a la Información12.12.3. Aislamiento de Sistemas12.13. Monitoreo del Acceso y Uso de los Sistemas12.13.1. Objetivo12.13.2. Monitoreo del Uso de los Sistemas

13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS

13.1. Objetivo13.2. Alcance13.3. Responsabilidades13.4. Requerimientos de controles de seguridad13.5. Seguridad en los sistemas de Aplicación13.5.1. Validación de datos de entrada13.5.2. Controles de procesamiento interno13.5.3. Autenticación de mensajes13.5.4. Validación de datos de salida13.6. Seguridad en el Ambiente de Producción13.6.1. Objetivo13.6.2. Control del software de producción13.6.3. Protección de los datos de prueba del sistema13.6.4. Control de acceso a las bibliotecas de programa fuente13.7. Seguridad en los Entornos Desarrollo Prueba y Producción13.7.1. Objetivo13.7.2. Procedimientos de control de cambios13.7.3. Revisión técnica de cambios en los sistemas operativos13.7.4. Restricción de cambios en los paquetes de software13.7.5. Desarrollo externo de software13.8. Controles Criptográficos13.8.1. Objetivo13.8.2. Tipos de técnicas criptográficas13.8.3. Política de utilización de controles criptográficos13.8.4. Criptografía13.8.5. Firma Digital

14. PLAN DE CONTINGENCIA

14.1. Objetivos14.2. Alcance14.3. Responsabilidades14.4. Administración de la Continuidad de Actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE14.5. Continuidad de Actividades y Análisis de Impacto14.6. Implementación de Planes de Continuidad14.7. Marco para los Planes de Continuidad14.8. Ensayo, Mantenimiento y Revisión de los Planes de Continuidad

15. GARANTIA DE CUMPLIMIENTO

15.1. Objetivos15.2. Alcance15.3. Responsabilidad15.4. Cumplimiento de requisitos legales15.4.1. Objetivo15.4.2. Identificación de la Legislación Aplicable15.4.3. Derecho de propiedad intelectual15.4.4. Derecho de Propiedad Intelectual del Software15.4.5. Protección de Datos del Organismo15.4.6. Protección de Datos y Privacidad de datos de carácter personal15.4.7. Regulación de controles para el Uso de Criptografía y Firma Digital15.4.8. Revisiones de la Política de Seguridad15.5. Consideraciones de Auditoría de Sistemas15.6. Sanciones Previstas por Incumplimiento

ANEXO I - Compromiso de Confidencialidad, Gestión de Bases de Datos y Tratamiento de Sistemas Informáticos.

1. INTRODUCCION

1.1. Objetivos de la Política de Seguridad de la Información

El presente documento, Política de Seguridad de la Información delMINISTERIO DEL INTERIOR Y TRANSPORTE (en adelante La Política) tienepor objeto proteger los sistemas de información del MINISTERIO DELINTERIOR Y TRANSPORTE (en adelante MIyT), sus bases de datos, lainformación allí alojada y la tecnología utilizada para suprocesamiento.

La seguridad de la información requiere la implementación de uncomplejo conjunto de controles, que abarque políticas, prácticas,procedimientos, estructuras organizacionales y funciones de software,entre otros, de modo que los medios técnicos queden respaldados dentrode una gestión planificada en materia de seguridad, que atienda a lasvulnerabilidades y fallas internas como asimismo a las posiblesamenazas externas, sean deliberadas o accidentales, tales comointrusiones, ataques físicos y lógicos e incidencias.

La Política recoge las medidas de seguridad establecidas con el fin deasegurar la confidencialidad, integridad, disponibilidad, legalidad yconfiabilidad de los sistemas de información y de los datos, cuandosean tratados por agentes, funcionarios, trabajadores en el ejerciciode sus funciones, y aquellos prestadores de servicios y/o reparticionespúblicas que el MIyT requiera para acometer sus objetivos.

Para la determinación las citadas medidas de seguridad, han sidotenidas en cuenta las pautas fijadas en los Decretos Nº 103 del 25 deenero de 2001, Nº 378 de 27 del abril de 2005, Nº 258 de 24 de junio de2003, Nº 512 del 7 de mayo de 2009, la Ley Nº 25.326 de Protección deDatos Personales y su decreto reglamentario Nº 1558/2001, la Ley Nº11.723 de Propiedad Intelectual, la Ley Nº 25.188 de Etica en elejercicio de la Función Pública, la Ley 25.164 de Regulación del EmpleoPúblico Nacional, el Convenio Colectivo de Trabajo General, la normaISO 17.799, el Manual Cobit 4.1, la Decisión Administrativa Nº 669/2004y la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS DE LAINFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DEGABINETE DE MINISTROS Nº 6 de 10 de agosto de 2005.

2. DEFINICIONES

A los efectos de este documento se aplican las siguientes definiciones:

2.1. Seguridad de la Información

La seguridad de la información se entiende como la preservación de las siguientes características:

• Confidencialidad: se garantiza que la información sea accesible sóloa aquellas personas autorizadas a tener acceso a la misma.

• Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

• Disponibilidad: se garantiza que los usuarios autorizados tenganacceso a la información y a los recursos relacionados con la misma,toda vez que lo requieran.

• Autenticidad: busca asegurar la validez de la información en tiempo,forma y distribución. Asimismo, se garantiza el origen de lainformación, validando el emisor para evitar suplantación deidentidades.

• Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior.

• Protección a la duplicación: consiste en asegurar que una transacciónsólo se realiza una vez, a menos que se especifique lo contrario.

• No repudio: consiste en implementar mecanismos que evite que unaentidad niegue haber enviado información efectivamente emitida.

• Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeto el MIyT.

• Confiabilidad de la Información: la información generada seráadecuada para sustentar tomas de decisiones y la implementación defunciones y objetivos organizacionales.

• Privilegio: Para los sistemas multiusuario o de red, indica unacaracterística o servicio que permite a un usuario pasar por altodeterminados controles de seguridad de los sistemas y recursos deinformación.

2.2. Información

Es todo conocimiento que puede representarse y transmitirse en formastextuales, numéricas, gráficas, cartográficas, narrativas oaudiovisuales, y en cualquier medio, ya sea magnético, en papel, enpantallas de computadoras, medios audiovisuales, telefonía u otros.

Se considera que la información es el activo más importante de toda organización.

2.3. Dato

Unidad de la información.

2.4. Clasificación de la Información

2.4.1. Datos Sensibles

Datos sensibles personales: refieren a origen racial o étnico,ideología, creencias religiosas o filosóficas, afiliación sindical,salud o vida sexual, y se les aplican normas más estrictas para sutratamiento.

Datos sensibles organizacionales: refieren a temas propios de unaorganización, cuya difusión pública aumentaría el riesgo de amenazas ala información.

2.4.2. Datos Críticos

Información cuya indisponibilidad puede afectar el normal funcionamiento de una organización.

2.5. Sistema de Información

Conjunto independiente de recursos de información organizados para larecopilación, procesamiento, mantenimiento, transmisión y difusión deinformación según determinados procedimientos, tanto automatizados comomanuales.

2.6. Tecnología de la Información

Hardware y software operados por el MIyT o por un tercero que proceseinformación en su nombre, para llevar a cabo una función propia delOrganismo.

Comprende la tecnología que permite generar información basada enprocesos computacionales, de telecomunicaciones, de impresión en papelpor algún medio específico o cualquier otro tipo.

2.7. Recursos Informáticos

Para cumplimentar los objetivos impuestos, el MIyT pone a disposiciónde los usuarios una serie de recursos informáticos de su propiedad.

Son recursos informáticos todos aquellos componentes de hardware,software y tecnología relacionadas, cuyo objetivo es el de generar,archivar, procesar o transmitir información. Ejemplos:

Archivos en una red de datos, impresoras, acceso a Internet,aplicativos, bases de datos, computadoras, servidores de red,servidores de impresión, etc.

Cuando varios miembros de un área de la organización necesitan hacertrabajos en común, los administradores implementan accesos compartidosen servidores de red, para las personas indicadas.

De esa manera, la información estará disponible a través de la red dedatos de la Organización. Típicamente, se comparten archivos,impresoras, accesos a bases de datos, accesos a Internet o Intranet,accesos a datos a través de aplicativos, etc.

2.8. Recursos Informáticos Personales

Se trata de elementos informáticos, de propiedad de los usuarios, quese hallan a disposición del MIyT. Se trata de computadoras personales,computadoras portátiles, impresoras, hardware especial, dispositivosmóviles, software y/o aplicaciones, dispositivos de almacenamiento,etc. La utilización indebida de estos recursos en el ámbito de laOrganización puede poner en riesgo a la información.

2.9. Evaluación de Riesgos

Se entiende por evaluación de riesgos a la evaluación de las amenazas yvulnerabilidades relativas a la información y a las instalaciones deprocesamiento de la misma, la probabilidad que ocurran y su potencialimpacto en la operatoria del Organismo.

2.10. Administración de Riesgos

Es el proceso de identificación, control, minimización o eliminación delos riesgos de seguridad que afectan a la información, dentro de uncosto aceptable. Este proceso es cíclico y debe llevarse a cabo enforma periódica.

2.11. Incidente de Seguridad

Se denomina incidente de seguridad a todo evento que pueda comprometera la seguridad de los datos, afectando la confidencialidad, laintegridad, la disponibilidad, la legalidad y la confiabilidad de lainformación.

2.12. Usuario

Se denomina usuario a una persona física u Organismo, que utiliza losrecursos informáticos que el MIyT pone a su disposición. Un usuario querequiera el acceso a un recurso informático deberá poseer una cuentaque los acredite frente al mismo, llamada cuenta de acceso. Losusuarios de la información y de los sistemas informáticos del MIyTpueden ser:

• personal jerárquico perteneciente al MIyT,

• agentes del MIyT, bajo sus diversas formas de contratación,

• personal que guarde alguna relación con el MIyT,

• terceras partes, no pertenecientes al Organismo, y que acceden a datos o sistemas del MIyT,

• organismos que acceden a datos o sistemas del MIyT, en virtud de acuerdos o contratos.

3. AMBITO DE APLICACION

3.1. Alcance de la Política de Seguridad del MINISTERIO DEL INTERIOR Y TRANSPORTE

La presente Política de Seguridad de la Información se dicta encumplimiento de las disposiciones legales vigentes, con el objeto degestionar adecuadamente la seguridad de la información, los sistemasinformáticos y el ambiente tecnológico del MINISTERIO DEL INTERIOR YTRANSPORTE.

La Política de Seguridad de la Información debe ser conocida y cumplidapor todo el personal del MINISTERIO DEL INTERIOR Y TRANSPORTE, seanfuncionarios políticos o técnicos, y dentro de cualquier niveljerárquico o situación vinculante. A tal fin, debe ser comunicada atodos los usuarios del MIyT, de manera pertinente, accesible ycomprensible.

La presente Política también alcanza a todos aquellas personas físicaso jurídicas que, aún sin pertenecer al MINISTERIO DEL INTERIOR YTRANSPORTE, hacen uso, en calidad de usuario, de los sistemasinformáticos y/o de la información disponible.

A fin de asegurar la implementación de las medidas de seguridadcomprendidas en esta Política, el MINISTERIO DEL INTERIOR Y TRANSPORTEidentificará los recursos necesarios e indicará formalmente laspartidas presupuestarias correspondientes. Lo expresado anteriormenteno implicará necesariamente la asignación de partidas presupuestariasadicionales.

Por medio de la presente, se establece formalmente un ámbito degestión, el Comité de Seguridad de la Información, para efectuar tareastales como la aprobación de la Política, coordinar su implementación,asignar funciones y responsabilidades, administrar la seguridad de lainformación dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE ygarantizar la aplicación de medidas de seguridad adecuadas en losaccesos de terceros a la información del Organismo.

3.2. Ambito Funcional

La Política alcanza a todo el ámbito del MINISTERIO DEL INTERIOR YTRANSPORTE, a sus recursos y a la totalidad de los procesos (seanmanuales o digitales), y es de aplicación única y exclusiva alMINISTERIO DEL INTERIOR Y TRANSPORTE, a los organismos que de éldependen, a las oficinas que el organismo posee en territorio ojurisdicción argentina y a aquellas reparticiones públicas o agentes enquienes el MIyT delegue la realización de cualquier función dentro delmarco de sus competencias específicas y delegadas, en todo lo inherenteal gobierno político interno, a la seguridad interior y al ejerciciopleno de los principios y garantías constitucionales, asegurando ypreservando el régimen republicano, representativo y federal.

El MINISTERIO DEL INTERIOR Y TRANSPORTE ostenta la condición de últimoresponsable de los sistemas de información y bases de datos quegestionen todos los organismos, direcciones nacionales y reparticionespúblicas que operan bajo su mandato, como así también es titular de lossistemas y bases de datos propias y exclusivas para el ejercicio defunciones centralizadas.

Sin perjuicio de ello, cada Dirección Nacional confeccionará eimplementará su propia Política de Seguridad Informática, la que nopodrá ser contraria a las directrices establecidas en la presentePolítica.

3.2. Ambito Personal

Se encuentran obligadas al cumplimiento de las prescripciones legales aquí establecidas, las siguientes:

• Quienes presten servicios para el MINISTERIO DEL INTERIOR YTRANSPORTE, ya sea de forma directa o indirecta, y se trate de personafísica o jurídica, pública o privada, u organismo; cualquiera que seala naturaleza de la relación jurídica que le una con la misma.

• Toda entidad o persona física o jurídica, pública o privada que, porla labor que desempeñe, tenga o pueda tener acceso directo y/o remoto alas instalaciones o departamentos donde están ubicados los sistemas deinformación a través de los cuales se tratan datos de carácter personaldel MINISTERIO DEL INTERIOR Y TRANSPORTE.

• Toda la planta de personal del organismo, tanto se trate defuncionarios políticos como técnicos, y sea cual fuere su niveljerárquico y su situación de revista.

El MINISTERIO DEL INTERIOR Y TRANSPORTE se hace responsable de la laborde formar e informar a quienes, por su condición de usuarios, seencuentren bajo el ámbito de aplicación del presente.

Asimismo, el Coordinador del Comité de Seguridad de la Información, elResponsable de Seguridad Informática, los Responsables de Area, losAdministradores y Usuarios, serán instruidos para cumplir con lasfunciones que les sean encomendadas en este documento e informados delas responsabilidades que su cargo les atribuye.

4. ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION

4.1. Comité de Seguridad de la Información

Se crea el Comité de Seguridad de la Información, dentro del ámbito delMINISTERIO DEL INTERIOR Y TRANSPORTE, siendo sus funciones lasestipuladas en la Decisión Administrativa de Jefatura de Gabinete Nº669/04-Art 4.

El Comité de Seguridad de la Información, es un cuerpo integrado porrepresentantes de todas las áreas sustantivas del MINISTERIO DELINTERIOR Y TRANSPORTE, destinado a garantizar el apoyo manifiesto delas autoridades a las iniciativas de seguridad.

El Comité de Seguridad de la Información revisará la presente Políticacada 9 (nueve) meses, a efectos de mantenerla actualizada, asegurar suvigencia y nivel de eficacia.

El Comité de Seguridad de la Información del Organismo:

• propone a la máxima autoridad del MINISTERIO DEL INTERIOR YTRANSPORTE la Política de Seguridad de la Información y las funcionesgenerales en materia de seguridad de la información,

• monitorea cambios significativos en los riesgos y amenazas queafectan a los recursos de información frente a la Política de Seguridadde la Información,

• supervisa la investigación y monitoreo de incidentes relativos a la seguridad,

• aprueba las iniciativas que incrementen la seguridad de lainformación, de acuerdo con las competencias y responsabilidadesasignadas a cada área,

• acuerda y aprueba metodologías y procesos específicos relativos a la seguridad de la información,

• garantiza que la seguridad sea parte de un proceso de planificación de la información,

• evalúa y coordina la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios,

• promueve la difusión y apoyo a la seguridad de la información dentro del Organismo frente a interrupciones imprevistas.

Se prevé incorporar dentro del Comité de la Seguridad de la Informacióndel MINISTERIO DEL INTERIOR Y TRANSPORTE, a Directores Nacionales oGenerales, Secretarios, Subsecretarios, Directores o equivalentes,responsables de Unidades Organizativas de otras áreas del MINISTERIODEL INTERIOR Y TRANSPORTE y de sus Direcciones Nacionales, o quienesellos designen.

4.2. Responsables Primarios de la Información

• Autoridad Máxima: Aprueba esta Política, así como sus modificaciones,

• Secretarios, Subsecretarios, Directores Nacionales o Generales,Directores o equivalentes, responsables de Unidades Organizativas,tanto se trate de autoridades políticas o personal técnico y sea cualfuere su nivel jerárquico: Son responsables de la implementación y delcumplimiento de la Política de Seguridad de la Información dentro desus áreas de responsabilidad.

Son responsables de:

• clasificar la información según un nivel de sensibilidad y criticidad,

• documentar y mantener actualizada la clasificación indicada en el punto anterior,

• definir los usuarios que tendrán permisos de acceso a la información, de acuerdo con sus funciones y competencia.

Se determina que, cada Secretario, Subsecretario, Director Nacionales oGeneral, responsables de Unidades Organizativas o equivalentes, con usoy manejo de la información pertinente a su área, serán los responsablesprimarios de la información allí alojada. El responsable primario puededelegar la administración de sus funciones a personal idóneo a sucargo, conservando la responsabilidad del cumplimiento de las mismas.

La delegación de la administración por parte de los responsablesprimarios será documentada y proporcionada al Responsable de Seguridadde Tecnología y Seguridad, mediante un listado formal de Delegación deAutorizaciones que se confeccionara y obrará como Anexo Reglamentariodel presente.

4.3. Coordinación del Comité de Seguridad de la Información

En virtud de la DA 669/04-Art 3ro, se asignan las funciones relativas ala coordinación del Comité de Seguridad al Sr. Director General de laDirección General de Tecnología del MINISTERIO DEL INTERIOR YTRANSPORTE (DGGI), en adelante el Coordinador del Comité de Seguridadde la Información, quien impulsará la implementación y cumplimiento dela presente Política.

4.3.1. Organización de la Seguridad

De acuerdo con lo ordenado mediante el Decreto 258/2003, la DecisiónAdministrativa Nº 18/2002 y Nº 669/2004, los Decretos 378/05 y 512/09 yla Disposición 6/2005 de la Oficina Nacional de Tecnologías deInformación (ONTI) dependiente la Subsecretaría de Gestión Pública dela Jefatura de Ministros, y el CobiT 4.1; el MINISTERIO DEL INTERIOR YTRANSPORTE, a efectos de adecuar su organización funcional conforme ala normativa imperante en materia de seguridad de la información ydocumentar la segregación de funciones e incompatibilidades dentro dela arquitectura organizacional de su competencia, organiza el mapa defunciones y responsabilidades en materia de seguridad de la información.

4.3.2. Organigrama - DGGI

El organigrama de la DGGI brinda un esquema de control de gobierno delas tecnologías de la información (TI) formalmente aprobado,consistente con las mejores prácticas y estándares de TI aceptados parala administración pública nacional e independiente de tecnologíasespecíficas, situado dentro del contexto de las metas definidas en sugestión por el Ministro del Interior y Transporte, respetando elesquema de asignación de funciones aprobado por Decreto 258/2003 ymediante la Decisión Administrativa Nº 18/2002.

Mediante el uso de las tecnologías, la DGGI optimiza suspotencialidades en los proyectos desarrollados por el organismo, comoasí también en la estructura ministerial, logrando que toda laestrategia TI se oriente hacia los objetivos, metas y misión delorganismo, siendo uno de los principales esfuerzos de la DGGI que lasestructuras organizacionales migren hacia un modelo que facilite laimplementación de estrategias y metas, se minimicen riesgos complejoscomo la seguridad de redes y la privacidad; y se haga posible, entreotros aspectos, medir el desempeño de los recursos de TI, los procesosde TI implementados en los últimos dos años y el avance en laconcientización dentro del personal de las políticas de seguridad de lainformación.

El gobierno de la seguridad de la información y TI incumbe a unavariedad de partícipes (tanto internos, representados en la DGGI, comoasimismo ajenos al MINISTERIO DEL INTERIOR Y TRANSPORTE pero queprestan servicios para él) que atienden a necesidades especificas,distinguiéndose entre quienes ejecutan la toma de decisiones en cuantoa las inversiones en TI más convenientes; quienes deciden sobre losrequerimientos técnicos de la tecnología que se utiliza; los usuariosde la misma; quienes participan interna y externamente dando apoyoprofesional, administrando la organización y procesos de TI;desarrollando TI u operando servicios; quienes asumen responsabilidadesde control/riesgo; quienes realizan funciones de cumplimiento yreaseguro.

4.3.3. DGGI - MIyT Segregación de Funciones

El organigrama de la DGGI se define en función a las distintas tareasque ejecuta cada una de las áreas bajo su dependencia, prestandoespecial atención a las incompatibilidades existentes entre lasfunciones de un sector específico, con respecto a las actividadesdesempeñadas por otros. Para el supuesto que, debido a la estructura derecursos humanos que componen la DGGI, no pueda segregarse alguna delas funciones antes citadas, y se acumulen en un agente variasactividades, se compensará mediante la implementación de controles poroposición de intereses. El resguardo documental de las medidasadoptadas a tales efectos, se conservarán por un plazo no inferior ados (2) años para su posterior revisión por la Unidad de AuditoríaInterna del MINISTERIO DEL INTERIOR Y TRANSPORTE.

El mapa de segregación de funciones e incompatibilidades, siguiendo elorganigrama Ministerial, se divide en tres áreas a efectos de laorganización de gobierno de TI, a saber: Comité Directivo; Area deSistemas y Area de Tecnología y Seguridad, que queda representado conla división de colores en el organigrama.

En el cuadro, donde se indica la intersección de dos funciones mediantela sigla “NO”, se refiere a que la DGGI deberá tomar medidas en lasegregación de tareas, a efectos de evitar su concentración. Cuando laintersección de dos funciones se referencia con la sigla “X”, implicaque preferentemente estas tareas no deberían recaer en un mismo sector,y en el caso que las mismas estuviesen concentradas, deberánevidenciarse claras medidas de control compensatorio.

4.3.4. Glosario de Funciones

• PROGRAMACION: diseño y desarrollo de aplicaciones de software.

• CONTROL DE CALIDAD: prueba y homologación de software para la puesta en producción.

• ADMINISTRADOR DE BACKUP Y OTROS: custodia, guarda y mantenimiento dedatos y software almacenados en distintos medios y soportes.

• ADMINISTRADOR DE BASES DE DATOS: define y da mantenimiento a laestructura de los datos de las aplicaciones que utilizan los software.

• ADMINISTRADOR DE REDES: administra y controla la red local.

• ADMINISTRADOR DE TELECOMUNICACIONES: administra y controla la red WAN.

• ADMINISTRADOR DE SISTEMAS OPERATIVOS: mantenimiento y puesta en producción de software de sistemas aplicativos.

• MESA DE AYUDA / SOPORTE: respuesta y asesoramiento a usuarios.

• USUARIO: quien usa los sistemas aplicativos.

• ADMINISTRADOR DE PERFILES: quien define la relación entre losperfiles de usuarios conforme las funciones que estos pueden realizar.

• ARQUITECTO DE POLITICAS Y PERFILES DE ACCESO: diseño de normasinternas en seguridad de la información, perfiles de usuario y perfilesde acceso a la información.

• MONITOREO DE SEGURIDAD DE LA INFORMACION: seguimiento del cumplimiento de normas y del tratamiento de los activos.

4.4. Designación del Responsable del Area de Sistemas Informáticos

Las funciones relativas a la Seguridad Informática de los sistemasinformáticos del MIyT se encuentran a cargo del Director de Sistemas dela DGGI - MIyT.

4.5. Designación del Responsable del Area de Tecnología y Seguridad

Las funciones relativas a seguridad informática de las tecnologíasrelativas al MIyT se encuentran a cargo del Director de Tecnología ySeguridad de la DGGI - MIyT.

4.6. Responsable del Area de Recursos Humanos

Cumple la función de:

• notificar a todo el personal las obligaciones respecto delcumplimiento de la Política de Seguridad de la Información, y de todaslas normas, procedimientos y prácticas que de ella surjan,

• comunicar la presente Política a todo el personal, así como de los cambios que en ella se produzcan,

• implementar la suscripción a los compromisos de confidencialidad ynotificaciones de responsabilidad que se dicten, para el tratamiento dela información.

4.7. Responsable del Area de Capacitación

Cumple la función de:

• generar y coordinar tareas de capacitación continua en materia de seguridad;

• asistir al personal del MINISTERIO DEL INTERIOR Y TRANSPORTE en materia de seguridad de la información.

4.8. Responsable del Area de Seguridad Física

Cumple la función de:

• cubrir los requerimientos ambientales que permitan que los recursosinformáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE funcionen enforma segura. Esta tarea deberá ser ejecutada en conjunto con elResponsable de Sistemas y Seguridad Informática,

• definir e implementar tareas de mantenimiento de edificios, oficinasy todas las instalaciones donde estén ubicados los equipos deprocesamiento de la información, y donde se almacene o archiveinformación, sea ésta en formato papel u otros. En la definición de lastareas participarán el Responsable de Sistemas y Seguridad Informática,y los Responsables de la Información,

• atender las tareas relativas a la seguridad y controles de acceso físico al ámbito del MINISTERIO DEL INTERIOR Y TRANSPORTE.

4.9. Responsable de Unidad de Auditoría Interna

Las funciones relativas a la auditoría en materia de seguridadinformática relativas al MINISTERIO DEL INTERIOR Y TRANSPORTE sedesarrollan mediante la Unidad de Auditoría Interna del MIyT. La Unidadde Auditoría Interna podrá realizar revisiones independientes sobre lavigencia y el cumplimiento de la presente Política.

4.10. Asignación de Funciones y Responsabilidades de los Responsables

4.10.1. Responsabilidades del Coordinador del Comité de Seguridad de la Información

El Coordinador del Comité de Seguridad de la Información tendrá a su cargo:

• impulsar la implementación de la presente Política.

• convocar a las asambleas ordinarias y extraordinarias que se celebrencon motivo de la implementación de la presente Política y susprocedimientos, incidencias y optimizaciones, las que se celebrarán conuna periodicidad mínima mensual.

• monitoreo de seguridad de la información, mediante el seguimiento del cumplimiento de normas y del tratamiento de los activos.

4.10.2. Responsabilidades del Comité de Seguridad de la Información

El Comité de Seguridad de la Información tendrá a su cargo:

• gestionar la aprobación de la presente Política, ante la máxima autoridad del organismo,

• efectuar periódicas revisiones de la presente Política y gestionar la aprobación de las modificaciones que se efectúen,

• seguimiento de las actividades relativas a la seguridad de lainformación, dentro de cada área: análisis de riesgos, monitoreo deincidentes, supervisión de la investigación, implementación decontroles, administración de la continuidad, etc.,

• impulsar procesos de concientización de los usuarios del MINISTERIO DEL INTERIOR Y TRANSPORTE,

• proponer la asignación de funciones,

4.10.3. Responsabilidades de los Responsables Primarios de Información

Los Responsables Primarios de Información tendrán a su cargo:

• Proceso de Autorización de Acceso a Recursos Informáticos.

El acceso a los recursos informáticos, nuevos o existentes, seráautorizado por los responsables de las Unidades Organizativasinvolucradas, considerando su propósito y uso, en conjunto con elResponsable de Seguridad y Tecnología. Con ello, se garantiza elcumplimiento de las Políticas y requerimientos de seguridadpertinentes. Debe garantizarse una adecuada compatibilidad entre todoslos componentes informáticos del Organismo (hardware, software,aplicativos, dispositivos de comunicaciones, dispositivos dealmacenamiento, etc.).

• Utilización de Recursos Informáticos Personales.

Dado que recursos personales de los usuarios pueden representar unaamenaza para la información del MINISTERIO DEL INTERIOR Y TRANSPORTE,su utilización deberá ser autorizada por el Responsable Primario delsector correspondiente, y evaluada en cada caso por el Responsable deSeguridad y Tecnología. Se aprobará el uso de un recurso personal en elcaso que éste no aporte riesgos a la información del Organismo.

4.10.4. Responsabilidades del Area de Sistemas Informáticos

El Responsable del Area de Sistemas Informáticos del MINISTERIO DELINTERIOR Y TRANSPORTE, tiene a su cargo las siguientes funciones:

• cubrir los requerimientos de seguridad de la información establecidospara la operación, administración y comunicación de las bases de datos,de los sistemas y los recursos de tecnología del MINISTERIO DELINTERIOR Y TRANSPORTE,

• verificar la aplicación de las medidas de seguridad necesarias parala proteger la información del MINISTERIO DEL INTERIOR Y TRANSPORTE,

• controlar las tareas de desarrollo y mantenimiento, siguiendo unametodología apropiada para el ciclo de vida de los sistemas,contemplando la inclusión de medidas de seguridad en los sistemas entodas las fases,

• atender las tareas relativas a la seguridad de los sistemas deinformación del MINISTERIO DEL INTERIOR Y TRANSPORTE, entre otras, queen la fase de pruebas de los sistemas de información, éstas no seefectúen con datos personales reales.

• supervisar todos los aspectos inherentes a su área de competencia tratados en la presente Política.

• diseño, desarrollo, mantenimiento y puesta en producción de sistemas aplicativos de software.

• prueba y homologación de software para la puesta en producción.

• define y da mantenimiento a la estructura de los datos de lasaplicaciones que utilizan las distintas aplicaciones de software.

Para llevar correctamente la multiplicidad de actuaciones encomendadas,el Responsable de Area de Sistemas Informáticos podrá delegar enquien/es considere, la ejecución de parte o de la totalidad decualquiera de las tareas a su cargo, debiendo constar el alcance de suautorización y quienes resulten autorizados en La Política, mediante laconstancia formal asentada en un Listado de Delegación deAutorizaciones que obrará como Anexo Reglamentario de la Presente.

Además, el Responsable de Sistemas registrará las actividadesrealizadas en los aplicativos en Producción. Se incluirán lossiguientes controles, según corresponda:

• tiempo de uso de los sistemas,

• errores en los sistemas y medidas correctivas tomadas,

• intentos de acceso a sistemas, recursos e información crítica o confidencial,

• tipos de archivos almacenados en los servidores,

• ejecución de operaciones críticas,

• control de cambios a información crítica.

La Unidad de Auditoría Interna contrastará los registros de actividadesdel personal y de los procedimientos del ambiente de Producción.

Dentro de la órbita de funciones asignadas, el Responsable de Sistemaso quien él designe, comunicará a quien corresponda sobre la apariciónde fallas, así como las medidas correctivas a adoptar. Las fallas delos sistemas informáticos reportadas por los usuarios se registrarán enun sistema de gestión de incidentes.

Asimismo, el Responsable de Sistemas debe implementar controles paragarantizar la seguridad de los datos y la protección contra el accesono autorizado a los servicios conectados. Se debe considerar losiguiente.

• las funciones de operación, soporte y administración de las redes yservidores estarán separadas de las correspondientes a operaciones ysoporte de los puestos de trabajo.

• procedimientos y responsabilidades para la administración del accesoremoto a las redes del MINISTERIO DEL INTERIOR Y TRANSPORTE, así comoel acceso remoto a puestos de trabajo dentro de las mencionadas redes,

• controles especiales para proteger datos y sistemas del MINISTERIODEL INTERIOR Y TRANSPORTE que circulan o se conectan hacia redes ajenas,

• actividades de supervisión tanto para optimizar los servicios deredes como para garantizar que los controles se aplican uniformementeen toda la infraestructura de procesamiento de datos.

Dentro del ambiente de Producción, los cambios a la programacióndeberán tener un registro de auditoría que contenga toda la informaciónrelevante. Debe procurarse que los procedimientos de control de cambiossobre las operaciones y aplicaciones se hallen integrados. Seconsiderarán los siguientes ítems:

• identificación y registro de cambios significativos,

• evaluación del posible impacto de dichos cambios,

• procedimiento de aprobación formal de los cambios propuestos,

• comunicación de detalles de cambios a los Responsables Primarios de las áreas afectadas,

• planificación del proceso de cambio,

• testeo de los cambios en un ambiente de prueba,

• proceso de implementación en el ambiente de Producción,

• determinación de responsabilidades por la cancelación de cambios y los procesos de recuperación.

4.10.5. Responsabilidades del Area de Tecnología y Seguridad

El Responsable del Area de Tecnología y Seguridad del MINISTERIO DELINTERIOR Y TRANSPORTE, tiene a su cargo las siguientes funciones:

• incluir en los contratos con los distintos proveedores de servicios ytecnología, o de bienes y servicios que afecten directa oindirectamente a los activos de información la obligatoriedad delcumplimiento de la Política de Seguridad de la Información y de todaslas normas, procedimientos y prácticas relacionadas.

• definir, coordinar y supervisar los procesos de Autorización deAcceso a Recursos Informáticos, gestión de perfiles de acceso aaplicaciones y sistemas informáticos e Utilización de RecursosInformáticos Personales —ver punto 4.10.3.—.

• asistir en la toma de decisiones que involucren a la seguridad, pudiendo recurrirse al asesoramiento de terceros.

• constituirse en enlace entre el MINISTERIO DEL INTERIOR Y TRANSPORTEy otros organismos a efectos de intercambiar experiencias y obtenerasesoramiento para el mejorar prácticas y controles de seguridad,(Ar-CERT, Dirección Nacional de Protección de Datos Personales, etc.).

• analizar los perfiles de acceso y riesgos de accesos internos y deterceras partes a la información del Organismo para optimizar procesos.

• administrar y controlar las redes locales y WAN.

• coordinar la mesa de ayuda/soporte que da respuesta y asesoramiento a usuarios.

• definir normas internas y procedimientos en seguridad de la información.

• coordinar los sistemas de gestión de calidad de los serviciosprestados por el MINISTERIO DEL INTERIOR Y TRANSPORTE medianteaplicaciones de software.

• velar por el cumplimiento de la Política de contraseñas vigente, encuanto al mantenimiento de la confidencialidad de las mismas, y sumodificación periódica.

• velar por la aplicación de medidas de control del acceso físico a loslocales donde se encuentren ubicados los sistemas de información.

4.10.6. Responsabilidades del Administrador de Backup

El Responsable de las copias de resguardo y backup del MINISTERIO DELINTERIOR Y TRANSPORTE, tiene a su cargo las siguientes funciones:

• ejecución de los procedimientos de realización de copias de respaldoy recuperación de datos, en cumplimiento de la periodicidad establecidapara ello.

• llevanza de un Registro de entrada y salida de soportes informáticos,y la aplicación de un Sistema que permita identificar, inventariar yalmacenar en lugar seguro los soportes informáticos que contienen datosde carácter personal. Asimismo, deberá comprobar que se imposibilita larecuperación indebida de la información almacenada en soportesinformáticos que vayan a salir fuera de los locales en que se encuentreubicado el fichero.

• Corroboración de la aplicación referido a las medidas de seguridadindicadas en La Política cuando un soporte vaya a ser desechado oreutilizado.

4.11. Separación de funciones

Una concentración de tareas puede aumentar el riesgo de modificacionesno autorizadas, o mal uso de la información y los servicios, debido ala concentración de tareas. Por ello, se debe implementar unaseparación de funciones, tareas y áreas de responsabilidad.

En caso que sea difícil tal separación, se tendrán en cuenta controles,como el monitoreo de actividades, pistas de auditoría y la supervisión,por parte de los Responsables. En este caso, el Responsable Primarioque corresponda enviará una justificación formal al Comité deSeguridad, el que decidirá las acciones a tomar.

Se implementarán controles tales como:

• monitoreo de actividades.

• registros de auditoría y control periódico de los mismos.

• supervisión por parte de la Unidad de Auditoría Interna. Estaactividad será independiente al área que genera las actividadesauditadas.

4.11.1. Separación entre Instalaciones de Desarrollo, Prueba y Producción

Se debe definir correctamente la identificación de roles y actividadesinvolucradas en los ambientes de Desarrollo, Prueba y Producción puesla ausencia de segregación entre las mismas puede ocasionar problemasen el ambiente de Producción, como la modificación no deseada dearchivos, sistemas o datos. Atento ello, debe verificarse un nivel deseparación adecuado entre los ambientes y funciones de Producción,Prueba y Desarrollo, a fin de prevenir problemas operativos (ver cuadrode compatibilidades y segregación de funciones Punto 4.3.4.).

Según el entorno, debe atenderse, entre otras, a las siguientes vulnerabilidades:

• En entorno de Prueba, una instalación identificada y estable permitellevar a cabo pruebas significativas, impidiendo accesos inadecuadospor parte del personal de Desarrollo.

• En ambiente de Producción, una alteración no autorizada de datosposibilitaría la generación de fraude. La introducción de líneas decódigo no autorizado o probado facilitaría el funcionamiento deprogramas maliciosos, causando serios problemas operativos y amenazas ala confidencialidad de la información, además de consecuencias socialesy legales.

• Para reducir el riesgo de cambios accidentales o accesos noautorizados, deben definirse las reglas para la transferencia desoftware desde el ambiente de Desarrollo al de Pruebas, yposteriormente del ambiente de Pruebas al de Producción.A fin de efectuar una correcta separación de las actividadesdesarrolladas en cada entorno, se estima conveniente establecer losiguiente:• los ambientes de Desarrollo, Prueba y Producción estarán separados deforma física, y el software de cada ambiente se ejecutará en diferentesprocesadores, dominios y/o directorios, y las actividades de cadaambiente deben estar claramente establecidas. Si no es posible unasegregación física de ambientes, se implementarán controles para laseparación lógica de funciones en cada uno de los ambientes.• los sistemas en Producción no deben acceder a compiladores, editoresu otros utilitarios de Desarrollo, a menos que se lo requiera para sufuncionamiento.• los sistemas de Prueba y Producción tendrán distintos esquemas de autenticación y perfiles de usuario.• un usuario que deba acceder tanto a los ambientes de Prueba y Producción, lo hará con cuentas de usuario distintas.• cada uno de los ambientes de procesamiento debe tener un Responsable Primario de la información.• el personal de desarrollo no podrá tener acceso a los ambientes dePrueba o de Producción. De requerirse tal contingencia, el Responsablede Sistemas establecerá un procedimiento para la autorización,documentación y registro de dichos accesos.• Toda aplicación generada en el sector de Desarrollo, o adquirida a unproveedor, es migrada en algún momento a un ambiente de Producción,para su acceso por parte de los usuarios. Los controles de estatransferencia deben ser rigurosos, para asegurar que no se instalenprogramas fraudulentos y se causen serios problemas operativos.• Es conveniente implementar un aplicativo que administre versiones ytransfiera programas entre los ambientes, contando con un registro decontrol.4.11.2. Esquema teórico de segregación de los entornos de Prueba, Producción y DesarrolloEn el presente acápite se presenta un modelo compuesto por tresambientes. Este esquema se flexibilizará para adaptarlo a lascaracterísticas, equipos y capacidades instaladas en el MINISTERIO DELINTERIOR Y TRANSPORTE.4.11.2.1. Ambiente de DesarrolloEn este ambiente se desarrollan los programas fuentes y se almacena lainformación relacionada con el análisis y diseño de los sistemas.El desarrollador tiene total dominio sobre el ambiente. Un sistemaregistra el control de versiones. Se designa a un Administrador deprogramas fuentes, quien gestionará el versionado de los aplicativos enDesarrollo.El desarrollador realiza las pruebas con los datos existentes en las bases de Desarrollo.Cuando el desarrollador considera que el programa está terminado, seimplementa el pase al ambiente de Pruebas. En tal operación se debeincluir toda la documentación necesaria (requerimientos de instalación,librerías, estructura de carpetas y permisos, diccionario de la base dedatos, scripts, etc.).4.11.2.2. Ambiente de PruebasEn este ambiente se testean los programas fuente desarrollados, encondiciones que simulan un ambiente de Producción. Por ende, elambiente de Pruebas tendrá las mismas características que el deProducción (sistema operativo, software de base, etc.).El implementador de este ambiente, o testeador, recibe el programa y ladocumentación enviada por el desarrollador. Se efectúa una pruebageneral con un lote de datos establecido a tal efecto —valoresextremos, datos de la base de pruebas, etc.—. La actividad seráefectuada, de ser posible, junto al usuario final.Los desarrolladores, o los proveedores de los aplicativos, no debenacceder a datos de Producción utilizados para testing en el ambiente dePrueba, salvo casos de excepción debidamente justificados.Se aprueba el sistema en el ambiente de Pruebas cuando:• no se detectan errores de ejecución,• no se afecta el funcionamiento ni la performance del sistema operativo y demás componentes del ambiente,• los resultados de las rutinas de seguridad son se corresponden con las especificaciones,• se considera que la documentación presentada es completa.En caso de aprobación, se remite el programa fuente al sector deProducción, por medio de un sistema de control de versionado. Asimismo,se entrega toda la documentación necesaria (características deinstalación, librerías, estructura de carpetas y permisos, diccionariode la base de datos, scripts, etc.).En caso de desaprobación, se devuelve el programa al desarrollador, junto con un detalle de las observaciones.4.11.2.3. Ambiente de ProducciónEn este ambiente se ejecutan los procesos y datos productivos. Lasimplementaciones serán realizadas por un administrador de ambientes, oimplementador.Los programas fuente aprobados se almacenan en un repositorio defuentes de producción, mediante un sistema de control de versiones. Elcontrol de versiones indicará los datos del programador, fecha, hora ytamaño de los programas fuente, objeto, librerías, modelo de datos delas bases, parámetros, etc.El implementador instala el sistema tomándolo desde el ambiente dePruebas, asegurando una correspondencia unívoca entre ambientes. Losprocedimientos de instalación alcanzarán, además, a todos los elementosque formen parte del sistema.Toda modificación al software de base (Sistema Operativo, motores debases de datos, productos middleware, etc.) debe seguir pasos idénticos.Ni personal de Desarrollo, ni el proveedor de los aplicativos debentener acceso al ambiente de Producción, salvo casos de excepcióndebidamente justificados.El Responsable Primario de la Información debe autorizar todos los accesos a Producción.El Responsable de Sistemas y Seguridad Informática implementará losaccesos autorizados. Asimismo, efectuará monitoreo de los trabajosrealizados, elevando informes al Responsable Primario y al Comité deSeguridad, cuando corresponda.5. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O USUARIOS5.1. Carácter de usuarioSe considera usuario, al sujeto autorizado para acceder a los sistemasinformáticos y/o a quien se le ha asignado una cuenta de correoelectrónico y/o al autorizado a acceder a bases de datos, sistemas,aplicaciones o cualquier recurso informático de titularidad delMINISTERIO DEL INTERIOR Y TRANSPORTE, como así también a quienesaccedan a datos contenidos en soporte manual o no automatizados.Quien mantenga una relación de carácter laboral bajo cualquiermodalidad de contratación con el MINISTERIO DEL INTERIOR Y TRANSPORTE ytenga autorizado el acceso a las bases de datos o los sistemasinformáticos, Internet o Intranet y, en general, a cualquier datoalojado en cualquier tipo de soporte, quedará sujeto al control de suactividad por los Responsables de Seguridad Informática designados porel MINISTERIO DEL INTERIOR Y TRANSPORTE y obligado a cumplir lasmedidas de seguridad aquí descritas.El MINISTERIO DEL INTERIOR Y TRANSPORTE arbitrará los medios necesariospara garantizar el efectivo conocimiento por los usuarios sobre losderechos y obligaciones que le asisten, y se compromete a informarlessobre cualquier cambio que se haga al mismo en el futuro, cuyaaplicación no será retroactiva.Asimismo, cada usuario firmará un Anexo a su Contrato de Trabajo, porel cual se compromete a guardar el secreto y la confidencialidad de losdatos de carácter personal que trata con motivo de sus funciones y acumplir con lo dispuesto en La Política en materia de seguridadinformática. Un ejemplar del COMPROMISO DE CONFIDENCIALIDAD, POLITICADE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS obrará como AnexoReglamentario de la Presente.5.2. Confidencialidad de la informaciónMientras dure la relación laboral o de prestación de servicios(cualquiera sea la situación de revista), así como una vez se hayaextinguido la misma, los usuarios tienen expresamente prohibidocomunicar procedimientos, información alojada en las bases de datos,trabajos encomendados por su empleador incluidos en las bases de datosy, en general, divulgar cualquier dato que hayan conocido por razón desu trabajo en el MINISTERIO DEL INTERIOR Y TRANSPORTE.Todos los documentos, independientemente del soporte en el que seencuentren, relacionados con las actividades del MINISTERIO DELINTERIOR Y TRANSPORTE, son propiedad del mismo; estando obligado todotrabajador o autorizado a tratar los datos, a devolverlos cuando así lesea solicitado por el MINISTERIO DEL INTERIOR Y TRANSPORTE o con motivode la extinción del vínculo laboral.Todo usuario autorizado al acceso o tratamiento de datos de carácterpersonal de titularidad del MINISTERIO DEL INTERIOR Y TRANSPORTE, quedaobligado legalmente al secreto profesional respecto de los mismos comoasí también de los procesos a los que estos datos son sometidos,conservados y tratados, incluso una vez extinguida la relación laboralo de colaboración que le une con el MINISTERIO DEL INTERIOR YTRANSPORTE.Lo expuesto anteriormente supone que queda absolutamente prohibido:• La utilización, divulgación o cesión de los datos de los ciudadanospara finalidades diferentes o que excedan de la órbita de las funcioneslaborales del usuario.• Revelar, permitir o facilitar el acceso a la información contenida enlas bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE(automatizadas y en papel), por ningún tipo de medio (telefónico,escrito, telemático, etc.) a terceras personas ajenas a la misma sinautorización del titular de dichos datos, así como a otros trabajadoresdel órgano que, por sus funciones, no tengan autorizado el acceso a losmismos.• Recopilar información acerca de personas físicas y jurídicas queformen parte de las bases de datos del MINISTERIO DEL INTERIOR YTRANSPORTE.• La anotación por parte de los empleados de observaciones ocomentarios acerca de personas en documentos del MINISTERIO DELINTERIOR Y TRANSPORTE sean oficiales o no, con excepción de cuando asíse lo exija al personal o se desprenda de la naturaleza de la funciónque ocupa.• Manipular o modificar los datos y/o el soporte que los contienen(papel o automatizado) de un modo no previsto conforme al buen saber yentender del trabajador y a lo que se infiere como consecuencia de lasactividades que le son propias.En caso de plantearse dudas sobre los permisos de acceso a los datos, debe consultarse al Administrador y/o Supervisor.5.3. Identificación y Claves de AccesoLas contraseñas personales constituyen uno de los componentes básicosde la seguridad. Al darse de alta un usuario en el sistema operativo,el Administrador le asignará de forma individualizada, un identificadorde usuario y una contraseña, conforme a su perfil de usuario.Los números de identificación y las claves de acceso seránestrictamente confidenciales y personales, y cada identificación debepertenecer a un solo usuario.El usuario debe cambiar la contraseña proporcionada en el primer accesoal sistema, por una clave de su exclusivo conocimiento. La contraseñadeberá constar de no menos de 8 (ocho) caracteres, ser alfanumérica ycontener al menos un número y/o símbolo dentro de sus caracteres.Asimismo, se recomienda cambiar la contraseña cada lapso no superior a3 (tres) meses, por una distinta de la anterior.Debido que las contraseñas tienen carácter personal e intransferible,queda absolutamente prohibido comunicar a persona distinta del propiointeresado, el identificador de usuario y la contraseña.Si el usuario desea guardar su clave, deberá hacerlo de forma que elarchivo sea accesible sólo por él, guardado de forma ininteligible y enun archivo protegido mediante contraseña. Asimismo, si se tieneconocimiento que otra persona conoce su clave y/o contraseña, deberácambiarla inmediatamente y ponerlo en conocimiento del Administrador,quien lo registrará como incidencia. En caso de incumplimiento de estaestas obligaciones, el usuario será el único responsable de los actosrealizados por la persona que utilice de forma no autorizada suidentificador.Lo expuesto anteriormente supone que está totalmente prohibido:• Intentar descifrar las claves, sistemas o algoritmos de cifrados usando métodos de des encriptación u otros.• Intentar utilizar el sistema para acceder a áreas que el usuariotenga restringidas de los sistemas informáticos del MINISTERIO DELINTERIOR Y TRANSPORTE.• Intentar acceder sin la debida autorización, a otras cuentas o asistemas de equipos o redes conectadas a Internet, a través del uso nolícito de la contraseña (o cualquier otro medio).• El acceso o entrada en los sistemas informáticos utilizando la identificación de usuario y contraseña de otro usuario.5.4. Utilización de equipos informáticosEl MINISTERIO DEL INTERIOR Y TRANSPORTE, es propietario u ostenta losderechos de uso de todos los medios e instrumentos informáticos y decomunicación que pone a disposición de sus empleados exclusivamentepara el desarrollo de su actividad laboral.Dichos medios deberán utilizarse con el cuidado o atención necesariospara evitar su destrucción, pérdida o deterioro prematuro. No se puedemodificar ninguna parte de los mismos a iniciativa del usuario, sincontar con la autorización expresa del supervisor.El usuario que tenga a su disposición equipos informáticos portátilesdebe extremar la precaución cuando haga uso de los mismos o lostransporte fuera de las instalaciones del MINISTERIO DEL INTERIOR YTRANSPORTE, y debe darse aviso inmediatamente en caso de sustracción,perdida u otro imponderable.El MINISTERIO DEL INTERIOR Y TRANSPORTE pone a disposición de lostrabajadores los medios informáticos y técnicos adecuados para larealización de sus funciones sólo mientras dure la relación laboral ycon fines estrictamente profesionales. En el momento de la finalizaciónde la relación laboral, se denegará el acceso a los equiposinformáticos y consiguientemente a los archivos incluidos en losmismos. En el supuesto de que el ex usuario tenga en su poderdeterminados medios informáticos propiedad del MINISTERIO DEL INTERIORY TRANSPORTE (PC portátil, CD’s, DVD’s, USB´s, disco duro externo,etc.), tendrá que devolverlos en el momento de la finalización de surelación laboral.5.5. Utilización de internet y correo electrónicoEl criterio a seguir por los usuarios es que la navegación en Internetobedezca a fines profesionales, con el propósito de obtener el mejoraprovechamiento posible de los recursos informáticos.Sin embargo, de acuerdo con la necesidad de conciliación de la vidapersonal y profesional, se autoriza la navegación por Internet paraaquellos deberes personales que coinciden con el tiempo de trabajo,resulten realmente necesarias o se utilice como descanso del trabajadordentro de la jornada laboral, siempre que dicha utilización searazonable y reducida al tiempo mínimo indispensable.En vista de lo anterior, y con el fin de no ocupar innecesariamente ocolapsar las conexiones, quedan expresamente prohibidas las descargasde películas, clips, vídeos, música, imágenes, fotografías, software,etc., en especial aquellos archivos que puedan infringir la propiedadintelectual y derechos de autor de terceros.El Responsable de Seguridad Informática podrá bloquear el acceso aaquéllos sitios web que no considere acordes con el perfil delorganismo. Sin perjuicio de ello, queda terminantemente prohibido elacceso a aquellas direcciones de Internet cuyas páginas tengancontenidos pornográfico, sexual, pedófilo, racista, y en general, elque pueda resultar ofensivo o atentatorio contra la dignidad humana.La tecnología de acceso a Internet instalada permite disponer de unregistro detallado de los sitios web visitados por cada usuario, delnúmero de accesos efectuados al día, de la fecha y hora en que seefectuó la conexión y del tiempo dedicado en cada conexión. Talinformación se almacena en los servidores del MINISTERIO DEL INTERIOR YTRANSPORTE. A estos efectos se informa a los trabajadores que las basesde datos que se generen con la información de sus respectivos accesos aInternet podrán ser utilizadas por el empleador como prueba a losefectos de proceder a sanciones o despidos disciplinarios porincumplimiento de la presente política o disminución de la dedicación yrendimiento del trabajador.El correo electrónico o e-mail es también un instrumento de trabajopropiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE y como tal, suutilización debe estar relacionada con los cometidos laboralesencomendados, sin que pueda utilizarse de forma habitual o abusiva comoinstrumento para el intercambio de información cuyo contenido sea ajenoa las funciones propias del agente.Las comunicaciones realizadas a través de cuentas oficiales de correoelectrónico o e-mail no pueden considerarse privadas y no sonapropiadas para remitir información personal y/o confidencial. No sepuede garantizar totalmente la seguridad de la comunicación yconsiguientemente, no debe haber ninguna expectativa de privacidad osecreto en las comunicaciones enviadas por cuentas de correoelectrónico creadas por el MINISTERIO DEL INTERIOR Y TRANSPORTE y otrosórganos de gobierno para el ejercicio de funciones públicas. En todocaso, cualquier comunicación no profesional que pueda haberse recibidoo emitido deberá ser eliminada de las bandejas de elementosenviados/recibidos al finalizar la jornada laboral. No es objetivo deesta cláusula impedir la flexibilidad en el uso del correo electrónicosino evitar los abusos que pudieran cometerse en la utilización delmismo.En el momento de la extinción de la relación laboral, cualquier accesoa la bandeja de correo electrónico quedará interrumpido. En su caso, elusuario podrá eliminar mensajes privados e innecesarios para elorganismo. Sin embargo los mensajes relacionados con la actividadprofesional deberán ser mantenidos y guardados en el sistema. Antes decomenzar tal proceso de eliminación de mensajes, debe ponerse encomunicación con la Dirección General de Gestión Informática delMINISTERIO DEL INTERIOR Y TRANSPORTE (DGGI), para que esta supervise yorganizase el proceso.5.6. Utilización de programas, software y aplicaciones informáticasCada usuario tiene acceso a los recursos que necesita en función de su perfil de trabajo.Los archivos y sistemas informáticos utilizados para realizar sutrabajo son de propiedad estatal. Queda prohibida cualquierutilización, copia o reproducción de los mismos para fines noprofesionales, salvo autorización expresa del Responsable de Area deSistemas Informáticos, el Responsable de Tecnología y Seguridad o elCoordinador del Comité de Seguridad.El usuario será el único responsable, tanto con respecto al MINISTERIODEL INTERIOR Y TRANSPORTE como respecto a terceros, en caso deviolación de tales reglas de conducta.A fin de no vulnerar los derechos de propiedad intelectual de tercerosse prohíbe expresamente la utilización de programas para los cuales laadministración pública no haya obtenido una licencia previa.Debe advertirse que la utilización de programas informáticos sin ladebida autorización (pirateo informático) puede ser constitutiva dedelito, y el usuario puede incurrir asimismo en responsabilidades dedistinto orden.La utilización de archivos o programas de procedencia externa, puedeentrañar graves riesgos para la seguridad del conjunto de los sistemasdel MINISTERIO DEL INTERIOR Y TRANSPORTE, por lo que deberá evitarse laapertura de cualquier archivo de procedencia desconocida, lautilización de software no autorizado, la descarga de archivos deprocedencia dudosa desde internet, la conexión a la red de MINISTERIODEL INTERIOR Y TRANSPORTE de equipos no autorizados y revisados por laDGGI.Finalizado el vínculo laboral, el trabajador deberá dejar intactostodos los archivos, entregables, informes y documentos que hayan tenidoun fin profesional o productivo.Cuando se estime necesario para la protección del patrimonio estatal ydel de los demás empleados, para el de los derechos ajenos, o pormotivos relacionados con el funcionamiento del MINISTERIO DEL INTERIORY TRANSPORTE, éste se reserva la facultad de revisar periódicamente, através de los servicios técnicos de la misma, el contenido de losdiscos duros de los ordenadores utilizados por los empleados en eldesempeño de sus funciones, procediendo a la eliminación de todosaquellos programas y archivos que por parte de los servicios técnicosde la empresa se consideren ajenos a los fines profesionales enatención a los cuales dichos ordenadores son puestos a disposición delos empleados.Las mencionadas revisiones se efectuarán siempre por parte de losservicios técnicos del MINISTERIO DEL INTERIOR Y TRANSPORTE o quienéste designe, en el centro de trabajo y dentro del horario laboral,respetándose al máximo las garantías legales.5.7. Política de escritorios y pantallas limpiasSe adopta una política de escritorios, mesas o espacios de trabajolimpios, para proteger los documentos en papel; y un criterio depantallas limpias, que minimice el riesgo de accesos no autorizados ypérdidas de información, tanto durante el horario de trabajo como fueradel mismo.Será obligatorio:• Almacenar bajo llave, gabinetes o mobiliario seguro, los archivos enpapel mientras se encuentran en dominio de un trabajador y/ofuncionario, cuando no estén siendo utilizados, especialmente fuera delhorario de trabajo.• Guardar en lugar seguro copias de las llaves de ingreso al ámbito detrabajo. Las llaves se encontrarán protegidas en sobre cerrado y en unacaja de seguridad, debiendo dejarse constancia y los motivos de todoacceso a las mismas.• Los medios de almacenamiento que contengan información sensible y/ocrítica deben resguardarse, preferentemente, en cajas fuertes ogabinetes a prueba de incendio.• Proteger con cerraduras de seguridad, contraseñas u otros controles alas computadoras personales, terminales e impresoras asignadas afunciones críticas cuando no están en uso (ej. protectores de pantallacon contraseña).• Computadoras e impresoras de conexión local permanecerán apagadas cuando no se las use.• Proteger los puntos de recepción y envío de correo postal y las máquinas de fax.• Bloquear las fotocopiadoras fuera del horario normal de trabajo.• Retirar inmediatamente la información sensible una vez impresa.• Los usuarios deben finalizar o bloquear la sesión de red, antes deretirarse de su lugar trabajo. Si un agente debe abandonar su puesto detrabajo momentáneamente, activará protectores de pantalla concontraseña, a los efectos de evitar que terceros puedan ver el trabajoo continuar con la sesión del usuario habilitada.El trabajador y/o usuario y/o funcionario será el único responsable,tanto con respecto al MINISTERIO DEL INTERIOR Y TRANSPORTE comorespecto a terceros, en caso de violación de tales reglas de conducta.5.8. IncidenciasSe entiende por incidencia cualquier anomalía que afecte o puedaafectar a la seguridad e integridad de los datos de carácter personal,sistemas, soportes informáticos y archivos (estén automatizados o no).Es obligación comunicar al Supervisor o Administrador cualquierincidencia que se produzca en relación con su cuenta de usuario. Dichacomunicación deberá realizarse a la mayor brevedad posible, desde elmomento en el que se produce la incidencia o se tenga certeza de quepudiera producirse o se tiene conocimiento de la misma, vía telefónicaal interno 6000 (seis mil).6. SEGURIDAD DEL PERSONAL6.1. ObjetivoReducir los riesgos de error humano, robo, fraude, uso inadecuado deinstalaciones y recursos, y manejo no autorizado de la información.Dar a conocer a los usuarios y/o funcionarios y/o personal lasresponsabilidades que les caben en materia de seguridad, a través de sunotificación y posterior verificación sobre su cumplimiento.Capacitar a los usuarios, para que estén al corriente de los riesgos yamenazas a la información del MINISTERIO DEL INTERIOR Y TRANSPORTE yrespalden a la Política de Seguridad de la Información.Establecer compromisos en cuanto a la responsabilidad y el buen uso delos recursos del MINISTERIO DEL INTERIOR Y TRANSPORTE, por parte delpersonal y usuarios externos del MINISTERIO DEL INTERIOR Y TRANSPORTE.Comunicar las debilidades existentes en materia de seguridad, así comode los incidentes ocurridos, con el objeto de minimizar sus efectos yprevenir su reincidencia.6.2. AlcanceEsta Política se aplica a todos los usuarios de los serviciosinformáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE, y a terceraspartes, que hagan uso, administren y/o controlen sistemas deinformación, según lo indicado el Punto 3 del presente.Las responsabilidades emergentes del uso adecuado de los recursosinformáticos deberán comunicarse a todos los usuarios del MINISTERIODEL INTERIOR Y TRANSPORTE, cualquiera sea su modalidad de revista, comoasí también a todos aquellos terceros que tengan vinculación alguna conel Organismo. El personal que desempeñe funciones críticas dentro delMinisterio deberá estar notificado de aquellas responsabilidadesespeciales que emerjan de su labor.La notificación de las responsabilidades mencionadas estará a cargo del Area de Recursos Humanos.6.3. ResponsabilidadesEl Responsable del Area de Recursos Humanos deberá:• incluir las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados.• gestionar las notificaciones del uso responsable de los recursos de información del MINISTERIO DEL INTERIOR Y TRANSPORTE.• implementar los mecanismos necesarios para la toma de conocimientopor parte de los usuarios, del uso responsable de los recursosinformáticos.• El Responsable del Area de Capacitación deberá coordinar las tareasde capacitación de usuarios respecto de la presente Política deSeguridad.El Responsable de Sistemas y Seguridad Informática deberá:• realizar un seguimiento, documentar y analizar todos los incidentes de seguridad reportados• participar en la confección de los acuerdos o contratos con terceros,en lo referente a la seguridad de la información propiedad delMINISTERIO DEL INTERIOR Y TRANSPORTE.• comunicar todo incidente de seguridad al Comité de Seguridad de laInformación, y a los Responsables Primarios de la información.El Comité de Seguridad de la Información deberá:• verificar la existencia de medios y canales necesarios para que losResponsables de Sistemas y Seguridad Informática manejen los reportesde incidentes y anomalías de los sistemas.• tomar conocimiento de todo incidente relativo a la seguridad de lainformación, efectuar el seguimiento de investigaciones, controlar laevolución e impulsar la resolución de los mismos.Es responsabilidad de todo el personal del MINISTERIO DEL INTERIOR YTRANSPORTE el informar vulnerabilidades e incidentes de seguridad queoportunamente se detecten.6.4. Administradores de Identificación y Acceso6.4.1 Carácter de AdministradorSe considera administrador, al sujeto autorizado para gestionar losderechos, permisos y restricciones de acceso a los sistemas y bases dedatos de los usuarios de los sistemas informáticos y aplicaciones delMINISTERIO DEL INTERIOR Y TRANSPORTE. Los Responsables de Tecnología ySeguridad y de Area Informática, conjuntamente, han delegado en losAdministradores de Sistemas, BBDD y Perfiles, las siguientes funcionesy directivas:• Llevar a cabo el Procedimiento de asignación, identificación yautenticación de usuarios, creando usuarios conforme a los perfilespreviamente definidos por el Responsable de Tecnología y Seguridad o elResponsable del Area Informática; en conjunción con los ResponsablesPrimarios de la Información.• Conceder, alterar o anular el acceso autorizado a los datos yrecursos y realizar cualquier otra gestión relativa a las cuentas deusuario, tales como bloqueo, desbloqueo, suspensión o cancelación de lamisma, etc. A tal fin, se define que los identificadores de usuarioserán únicos, de modo de identificar a cada usuario por sus acciones.Los ID tendrán una extensión de 8 caracteres y se recomienda noutilizar términos que denoten el perfil que ha sido asignado.Excepcionalmente, podrá asignarse a la misma persona física distintosperfiles de usuario, siempre que éste mantenga un correcto orden yseparación de funciones entre ambos perfiles, y acceda al sistema condos nombres de usuario y dos contraseñas distintas.• Verificar que el nivel de acceso otorgado es adecuado para la función que lleva a cabo el usuario.• Cancelar inmediatamente los derechos de acceso de los usuarios quecambiaron sus tareas, se les haya revocado la autorización o sedesvinculasen del organismo.• Elaborar y mantener actualizada una relación de usuarios con accesoautorizado a las aplicaciones y sistemas informáticos del MINISTERIO DEINTERIOR Y TRANSPORTE, con especificación del nivel de acceso, perfilasignado, nombre de usuario, D.N.I., nombre y apellido de la personafísica con la que se corresponde el usuario.• Informar a los usuarios sobre las dudas que puedan tener en relacióncon el Documento “COMPROMISO DE CONFIDENCIALIDAD, POLITICA DE ACCESO ABASES DE DATOS Y SISTEMAS INFORMATICOS”.• Dar curso a las incidencias relativas a la gestión de usuarios; en sucaso, comunicar al Responsable de Area Informática y/o ResponsablePrimario de Información que corresponda, respecto de las infraccionescometidas por los usuarios, para que se adopten las medidas correctorasespecíficas o punitivas que procedan.• Velar por el cumplimiento de la Política de contraseñas vigente, encuanto al mantenimiento de la confidencialidad de las mismas, y sumodificación periódica.• Limitar el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.• Limitar el tiempo de acceso de los usuarios en relación con su jornada de trabajo y finalizar la conexión si este es excedido.• Permitir que los usuarios elijan sus contraseñas y recomendar que las cambien con una periodicidad trimestral.• Arbitrar mecanismos que eviten mostrar las contraseñas en pantalla, cuando son ingresadas.Los Administradores tienen expresamente prohibido:• Intentar aumentar el nivel de privilegios de un usuario en elsistema, cuando ello no sea conteste con las funciones propias delusuario.• Intentar descifrar las claves, sistemas o algoritmos de cifrados deotras reparticiones usando métodos de des encriptación u otros.• Intentar acceder sin la debida autorización, a otras cuentas o asistemas de equipos o redes conectadas a Internet, a través del uso nolícito de la contraseña (o cualquier otro medio).6.4.2. Notificación de Responsabilidad y Buen Uso de los Recursos de Información por AdministradoresCon el objetivo de proteger los recursos de información del MINISTERIODEL INTERIOR Y TRANSPORTE se informará y notificará por intermedio delDocumento “COMPROMISO DE CONFIDENCIALIDAD, GESTION DE LAS BASES DEDATOS Y TRATAMIENTO DE SISTEMAS INFORMATICOS POR LOSADMINISTRADORES.-”, parte integrante del presente como AnexoReglamentario, respecto de las medidas de seguridad de cumplimentoobligatorio para todos los agentes a los que se les asigne el perfil deAdministrador de los sistemas y recursos informáticos del MINISTERIODEL INTERIOR Y TRANSPORTE.Como parte de los términos y condiciones de empleo, quienes revistan elcarácter de Administrador, deben notificarse de las responsabilidades yel buen uso de los recursos, así como del mantenimiento de laprivacidad y divulgación adecuada de la información del Organismo, ycada Administrador declarará conocer y aceptar el detalle deactividades de su competencia que, asimismo, pueden ser objeto decontrol y monitoreo. El área de Recursos Humanos conservará una copiafirmada de dicha notificación.6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información por UsuariosCon el objetivo de proteger los recursos de información del MINISTERIODEL INTERIOR Y TRANSPORTE se informará y notificará a todos losusuarios por intermedio del Documento “COMPROMISO DE CONFIDENCIALIDAD,POLITICA DE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS”, conformelo dispuesto en el Punto 5.1. de La Política, respecto de las medidasde seguridad de cumplimento obligatorio y responsabilidades emergentesdel uso inadecuado de los recursos informáticos.El área de Recursos Humanos conservará una copia firmada de dicha notificación.Los siguientes constituyen ejemplos del buen uso de los recursos informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE:• Utilización de recursos en servidores para el almacenamiento dearchivos (documentos, planillas de cálculo, etc.) vinculados con lasfunciones y tareas cotidianas.• Utilización de los servidores para el procesamiento de datos, a través de aplicaciones autorizadas.• Mantener la privacidad adecuada de los datos relacionados con lagestión cotidiana, otorgando acceso o divulgando informaciónexpresamente autorizada.• Empleo de los accesos a Internet/Intranet cuando éstos se relacionencon la actividad que cada empleado ejerce en el organismo.• Uso del correo electrónico corporativo con fines relacionados con las funciones o tareas desempeñadas en la organización.• Cerrar la sesión de red abierta, al retirarse del puesto de trabajo.El uso inadecuado de los recursos informáticos se ejemplifica en lo siguiente:• Uso de los sistemas y recursos con fines personales, reenvío decadenas de mensajes o cualquier otro que no esté relacionado con lasactividades del MIyT.• Almacenamiento de información personal en servidores (ej: fotos, archivos de música, etc.).• Compartir o revelar contraseñas de acceso, compartir el uso de firmas digitales personales.• Modificaciones no autorizadas sobre los datos.• Eliminación no autorizada de datos.• Transmisión fraudulenta o no autorizada de datos.• Instalación y uso no autorizado de programas.• Instalación o reubicación no autorizada de computadoras.• La comunicación, almacenamiento o generación de información ofensiva;incluidos virus, gusanos, software malicioso, programas o informaciónde carácter obsceno, pornográfico o ilegal.• Almacenar información organizacional en lugares no protegidos (porejemplo, utilizar puestos de trabajo en lugar de recursos en losservidores de red).6.5. Capacitación del Usuario6.5.1. ObjetivoGarantizar que los usuarios están al corriente de las amenazas para lainformación, y que están en condiciones de respaldar la política deseguridad de la organización en el transcurso de sus tareas normales.Los usuarios deben conocer los procedimientos de seguridad y elcorrecto uso de los sistemas y servicios informáticos, a fin deminimizar eventuales riesgos de seguridad.6.5.2. Formación y Capacitación en Seguridad de la InformaciónLos empleados y personal jerárquico del MINISTERIO DEL INTERIOR YTRANSPORTE deberán recibir una capacitación sobre los aspectos deseguridad de la información del Organismo.Los contratos y/o acuerdos con terceras partes u organismos que hacenuso de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE deberáncontemplar los aspectos de políticas de seguridad relacionados. En talsentido, se contemplará una capacitación, cuando corresponda.Se considerarán los requerimientos de seguridad, responsabilidadeslegales, y el uso correcto de los recursos de información, por ejemplolas estaciones de trabajo, acceso a servicios, etc.El Responsable del Area de Capacitación coordinará las acciones al respecto que surjan de la presente Política.A tales fines, se implementará un plan de capacitación, con unarevisión cada doce (12) meses, realizando las actualizaciones quecorrespondan respecto de la tecnología o servicios informáticosvigentes o de implementación futura.7. GESTION DE INCIDENCIAS7.1. ObjetivoSe entiende por incidencia cualquier anomalía que afecte o puedaafectar a la seguridad de los sistemas informáticos y/o de los datosalojados en ellos (su confidencialidad, integridad o disponibilidad).La gestión de incidencias tiene por objeto minimizar el daño producidopor incidentes de seguridad de la información, además de monitorear ygenerar una base de conocimiento que permita optimizar los procesos,eliminar vulnerabilidades y amenazas.Se deben establecer procedimientos y responsabilidades en el manejo deincidentes relativos a la seguridad de la información, para garantizaruna respuesta rápida, eficaz y sistemática.A modo ejemplificativo y meramente enunciativo, se señalan distintostipos de eventos que puedan dar lugar a incidencias tales como: fallasen los sistemas de información y pérdida del servicio; corte desuministro o negación de servicio; errores ocasionados por datosincompletos o inexactos; violaciones de la confidencialidad; códigomalicioso e intrusiones; fraude informático; error humano; catástrofesnaturales.El Organismo establecerá medidas disciplinarias a adoptar con empleadosque perpetren intencionadamente violaciones de la seguridad. Loscontratos y acuerdos con terceras partes deberán contemplar lassanciones que sufrirán quienes violen la seguridad de la información.7.2. Comunicación de incidentes relativos a la seguridadLos incidentes relativos a la seguridad serán comunicados a través de canales apropiados, tan pronto como sea posible.Los incidentes que afectan la seguridad, advertidos o supuestos, debencomunicarse indistintamente, a los Responsables de Sistemas y SeguridadInformática, al Comité de Seguridad y a los Responsables de laInformación, tan pronto como sea posible.Se establecerá un procedimiento formal de comunicación y respuesta, enel que se indicará la acción a emprender cuando se reciba un informe deincidentes.En dicho procedimiento, el Responsable de Sistemas y Seguridad Informática debe contemplar:• informar cuanto antes sobre la detección de un incidente o violaciónde seguridad, supuestos o no, al Responsable de la Información,• indicar los pasos a seguir para la investigación, monitoreo y resolución del incidente,• mantener al Comité de Seguridad y al Responsable Primario sobre las alternativas de resolución del incidente de seguridad.7.3. Registro de incidenciasEl MINISTERIO DEL INTERIOR Y TRANSPORTE cuenta con un Registro Virtualde Incidencias, implementado dentro de la INTRANET del MINISTERIO DELINTERIOR Y TRANSPORTE, mediante la aplicación MESA DE ATENCION DEUSUARIOS.Las incidencias se clasifican en tres (3) grados de prioridad, a saber:• Normal: atenderla cuando se esté libre.• Alta: atenderla cuando se termine la tarea actual.• Urgente: atenderla inmediatamente de recibida.Cada incidencia tiene una ficha de seguimiento que incluye:• ID: el sistema le asigna un número de identificación único a cada incidencia.• Estado: a cada incidencia puede asignársele uno de los siguientesvalores de estado: en proceso de ejecución, terminada y postergada.• Fecha de ingreso: detallando día, mes, año y hora de entrada al sistema.• Prioridad: normal, alta o urgente.• Emitida por: persona que realiza la petición de ayuda y/o soporte o notificación de incidencia.• Solicitante: usuario con privilegio de coordinador que gestiona la incidencia.• Area: organismo, dirección nacional, repartición u oficinadependiente del MINISTERIO DEL INTERIOR Y TRANSPORTE que efectúa elreclamo.• Oficina: ubicación geográfica del emisor del mensaje, especificando dirección postal, oficina y nombre de la misma.• Interno: teléfono u interno de la dependencia.• Detalle: breve descripción del problema.• Ver: opción de visualización de una ficha completa del listado “MisSolicitudes” y/o “Solicitud de Asistencia”. Asimismo, también puedeconsultarse el “Historial” que permite acceder al seguimiento ymovimientos de una incidencia, si fue derivada, en su caso a quién yqué fecha y con qué resultado.• Atender: el sistema permite indicar mediante los valores de EnProceso, Postergada y Terminada, el estado de resolución de laincidencia.• Derivar: el sistema permite comunicar a otros operadores el conflictoa fin de dar con su solución, mediante el uso de la opción “Derivar A”.A tal fin, existen siete usuarios a los que se les ha asignado elperfil de COORDINADOR, que pueden derivar una consulta a los técnicosoperativos de cada sector para su resolución, como asimismo, emitir lasobservaciones y comentarios que estimen pertinentes, los que quedanasentados en el campo “Observaciones” de la aplicación. Al presente, seencuentran autorizados con el perfil de COORDINADOR, los trescoordinadores del Area Soporte del MINISTERIO DEL INTERIOR YTRANSPORTE, el Director de Sistemas de la DGGI-MIyT, el Director deTecnología y Seguridad de la DGGI-MIyT, y el Subdirector General de laDGGI del MINISTERIO DEL INTERIOR Y TRANSPORTE.• Editar: el sistema permite a aquellos usuarios con privilegios deCOORDINADOR, modificar la información que consta en alguna de lasfichas.7.4. Procedimiento de gestión de incidenciasSe instaura por medio de la presente un procedimiento de actuación antelas incidencias dividido en tres fases: notificación, gestión yregistro; que será conocido por todos los usuarios de los sistemas ybases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE.• 1ª Fase: NotificaciónTodo usuario que detecte alguna anomalía en los sistemas informáticos,soportes o equipos informáticos, ficheros, archivos y/o en los datoscontenidos en los mismos, de titularidad del MINISTERIO DEL INTERIOR YTRANSPORTE, deberá ponerlo en conocimiento inmediato al Area de SoporteTécnico de este Ministerio, mediante el uso de la aplicación desoftware MESA DE ATENCION A USUARIOS de la Intranet del MINISTERIO DELINTERIOR Y TRANSPORTE, al que accederá utilizando su login de usuario.De esta forma tratará de evitarse que la incidencia repercutanegativamente en la seguridad con la que son tratados y mantenidos lossistemas informáticos, bases de datos y activos.Si la comunicación vía Intranet no fuese posible, debe acudirse a lavía telefónica como medio de notificación supletoria, comunicándose alINTERNO 6000 (seis mil). De resultar imposible aquello, debe realizarsea través del medio más rápido y fiable disponible a fin de mantener laseguridad, confidencialidad y normalidad dentro del ámbito organizativoy técnico de la dependencia en la que se haya producido la incidencia.• 2ª Fase: GestiónIdentificada el tipo de incidencia, y conforme a la prioridad asignada,entra en la fase “En Proceso”, donde el área de Soporte del MINISTERIODEL INTERIOR Y TRANSPORTE atenderá la misma, con los resultadosposibles siguientes “Postergada”, “Derivada” o “Terminada”.Las incidencias “Derivadas” se redirigen para su resolución a personaldel Area de Soporte y/o de Redes y Comunicaciones distinto del queatendió la misma en primer instancia, como asimismo a los técnicosinternos o externos que realizan las funciones de gestión de laseguridad y realizar las labores de mantenimiento de los sistemas,equipos y ficheros.Existen siete usuarios a los que se les ha asignado el perfil deCOORDINADOR, que pueden derivar una consulta a los técnicos operativosde cada sector u externos para su resolución, como asimismo, emitir lasobservaciones y comentarios que estimen pertinentes, los que quedanasentados en el campos “Observaciones” de la aplicación. Al presente,se encuentran autorizados con el perfil de COORDINADOR, los trescoordinadores del Area Soporte del MINISTERIO DEL INTERIOR YTRANSPORTE, el Director de Sistemas de la DGGI-MIyT, el Director deTecnología y Seguridad de la DGGI-MIyT, y el Subdirector General de laDGGI del MINISTERIO DEL INTERIOR Y TRANSPORTE.Finalizada la incidencia, se adoptarán las medidas necesarias para queno vuelva a producirse una situación similar en la que pueda peligrarla integridad de los sistemas, ficheros y datos.• 3ª Fase: RegistroEn el Registro Virtual de Incidencias constarán todos los datosrelativos a las incidencias ocurridas durante el año en curso; lallevanza del mismo es una competencia exclusiva del Responsable deTecnología y Seguridad de la DGGI-MIyT.Los campos que se reflejan en el Registro, mediante la pestaña“Solicitud de Asistencia”, que cargan los usuarios al iniciar unprocedimiento de gestión de incidencias, son los siguientes: fecha desolicitud/notificación; persona que emite la solicitud; prioridad;persona que solicita la asistencia/incidencia; área del Ministerio alque pertenece; Oficina (nombre, Nº y ubicación geográfica); teléfono ointerno; e-mail; sector que debe ocuparse de la incidencia; estado.7.5. Comunicación de Vulnerabilidades de SeguridadPor intermedio de la presente se establece que el Responsable deTecnología y Seguridad de la DGGI-MIyT dispone que los usuarios de losservicios informáticos del MINISTERIO DEL INTERIOR Y TRANSPORTE debeninformar mediante la herramienta puesta a tal efecto en la Intranet, laMESA DE ATENCION DE USUARIOS, sobre vulnerabilidades de seguridad oincidencias cualquier naturaleza que éstos hayan detectado.Asimismo, se reitera que los usuarios no podrán, por sí mismos, reparar vulnerabilidades ni efectuar pruebas de detección.7.6. Comunicación de Anomalías del SoftwareLa MESA DE ATENCION DE USUARIOS, servirá a su vez, para la comunicación de anomalías de software, debiéndose:• registrar los síntomas del problema y los mensajes que aparecen en pantalla.• aislar al puesto de trabajo de la conexión de red. No se debentransferir datos otro puesto de trabajo, por ningún medio (USB, CD,red, etc.).• alertar sobre la información afectada.Los usuarios no están autorizados a desinstalar ni eliminar el softwarecon supuestas anomalías, siendo ésta una responsabilidad delResponsable de Sistemas y del Responsable de Tecnología y SeguridadInformática.7.7 Aprendiendo de los incidentesLa aplicación MESA DE ATENCION A USUARIOS cuenta con mecanismos yprocedimientos para cuantificar y monitorear tipo, volumen y costo delos incidentes de seguridad, como así también, establecer ranking deusuarios con más solicitudes “Terminadas” por sector; cantidad desolicitudes atendidas por operador; cantidad de solicitudes dedeterminado usuario; promedio de duración de una solicitud; promedio desolicitudes recibidas diarias y promedio histórico.Esta información permite identificar vulnerabilidades y amenazasrecurrentes o de alto impacto. De la misma se obtiene además, lanecesidad de modificar o agregar controles para limitar frecuencia,daño y costo de casos futuros, y las posibilidades de revisión a lapolítica de seguridad.7.8. SancionesLos usuarios que incurran en violación de las políticas yprocedimientos de seguridad de la organización, serán pasibles de lassanciones establecidas conforme normativa vigente y aplicable a laplanta permanente, planta transitoria y/o a la modalidad contractualpor la cual se encuentren vinculados al Organismo.Los acuerdos y/o contratos y/o convenios con terceras partes deberánprever sanciones para los supuestos de violación a las Políticas deSeguridad de la Información, aprobadas por el MINISTERIO DEL INTERIOR YTRANSPORTE.8. CLASIFICACION DE ACTIVOSLos activos de información se clasificarán de acuerdo con lasensibilidad y criticidad de los datos que contienen, o bien de acuerdocon la funcionalidad que cumplen, con el objeto de determinar sutratamiento y protección.Ejemplos de activos:• Recursos de información: bases de datos y archivos, documentación desistemas, manuales de usuario, material de capacitación, procedimientosoperativos o de soporte, planes de continuidad, información archivada,etc.• Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc.• Activos físicos: equipamiento informático (procesadores, monitores,computadoras portátiles, impresoras, módems, puestos de trabajo(computadoras), servidores, dispositivos de comunicaciones (routers,switches, PABXs, máquinas de fax, contestadores automáticos), mediosmagnéticos (cintas, discos),• Instalaciones de suministro eléctrico, unidades de aire acondicionado, mobiliario, lugares de emplazamiento, etc.Se tendrá en cuenta que la criticidad y la sensibilidad de determinadainformación puede variar con el tiempo, para evitar que unaclasificación por exceso se traduzca en gastos adicionales,innecesarios para el Organismo.La clasificación de un ítem de información determinado no es invariablepor siempre, ésta puede cambiar según una Política predeterminada. Hayque definir una cantidad de categorías suficiente, pero no compleja, afin de evitar esquemas engorrosos, antieconómicos o poco prácticos.La información puede convertirse en obsoleta y, por lo tanto, espasible de ser eliminada. En un proceso de destrucción de informacióndebe mantenerse la confidencialidad hasta último momento.8.1. ObjetivoIdentificar los activos de información del MINISTERIO DEL INTERIOR YTRANSPORTE, y asignar un Responsable Primario para cada uno de ellos.Clasificar la información, señalando su sensibilidad y criticidad.Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.8.2. AlcanceEsta Política se aplica a todos los recursos del MINISTERIO DELINTERIOR Y TRANSPORTE, y a terceras partes que accedan y/o administreny/o controlen datos, recursos y sistemas de información.8.3. ResponsabilidadesSe debe designar un Responsable Primario para cada recurso de información.Los Responsables Primarios deben:• clasificar la información a su cargo, según un grado de sensibilidad y criticidad;• documentar y mantener actualizada la clasificación efectuada;• definir permisos de acceso a la información de acuerdo con las funciones de los integrantes de su área.Los Responsables Primarios deberán mantener los controles apropiadossobre la información. La responsabilidad por la implementación de loscontroles será delegada sobre el Responsable de Sistemas y SeguridadInformática.El Responsable de Seguridad Informática debe asegurar que loslineamientos para la utilización de los recursos se contemplen losrequerimientos de criticidad de la información.8.4. Inventario de activosSe identificarán los activos importantes asociados a cada sistema de información, su ubicación y sus Responsables Primarios.El Responsable Primario deberá elaborar un inventario de la informacióna su cargo, y mantenerlo actualizado ante cualquier modificación.8.5. Clasificación de la informaciónLa información se clasificará según las características básicas deconfidencialidad, integridad y disponibilidad. Se establecerán nivelessegún lo siguiente:8.5.1. Confidencialidad• Nivel 0 - Público. Información que puede ser conocida y utilizada sinautorización por cualquier persona. Los permisos de acceso son:Todos los usuarios, internos o externos al MINISTERIO DEL INTERIOR Y TRANSPORTE, pueden consultar la información.Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.Los Administradores de servicios tendrán control total sobre los recursos.Los Auditores podrán consultar los registros de actividades sobre los recursos.• Nivel 1 - Reservada - Uso Interno. Información que puede ser conociday utilizada por los usuarios del MINISTERIO DEL INTERIOR Y TRANSPORTE,contando con la debida autorización. Su divulgación o uso noautorizados podrían ocasionar riesgos leves para el Organismo. Lospermisos de acceso son:Usuarios autorizados, internos al MI, pueden consultar la información.Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.Los Administradores de servicios tendrán control total sobre los recursos.Los Auditores podrán consultar los registros de actividades sobre los recursos.• Nivel 2 - Reservada-Confidencial. Información que sólo puede serconocida y utilizada por un grupo restringido de usuarios delMINISTERIO DEL INTERIOR Y TRANSPORTE, contando con la debidaautorización. Su divulgación o uso no autorizados podría ocasionarriesgos significativos al Organismo. Los permisos de acceso son:Un grupo restringido de usuarios autorizados, internos al MI, pueden consultar la información.Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.Los Administradores de servicios tendrán control total sobre los recursos.Los Auditores podrán consultar los registros de actividades sobre los recursos.Los Responsables, los usuarios y los Administradores deberán firmar un Compromiso de Confidencialidad de la Información.8.5.2. Integridad• Nivel 0 - No Clasificado. La información sufre modificaciones, y losdatos originales pueden recuperarse fácilmente. Este proceso no afectala operatoria del MI. Los permisos de acceso son:Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.Los Administradores de servicios tendrán control total sobre los recursos.Los Auditores podrán consultar los registros de actividades sobre los recursos• Nivel 1 - Bajo. La información sufre modificaciones no autorizadas,pero los datos originales pueden recuperarse. Este proceso ocasionadaños leves para el MINISTERIO DEL INTERIOR Y TRANSPORTE. Los permisosde acceso son:Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.Los Administradores de servicios tendrán control total sobre los recursos.• Nivel 2 - Medio. La información sufre modificaciones no autorizadas,y es difícil recuperar los datos originales. Este proceso ocasionadaños significativos para el MINISTERIO DEL INTERIOR Y TRANSPORTE. Lospermisos de acceso son:Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.Los Administradores de servicios tendrán control total sobre los recursos.• Nivel 3 - Alto. La información sufre modificaciones no autorizadas, yno es posible recuperar los datos originales. El proceso ocasiona dañosgraves para el MINISTERIO DEL INTERIOR Y TRANSPORTE. Los permisos deacceso son:Los Responsables, o los designados por éstos, podrán modificar el contenido de la información.Los Administradores de servicios tendrán control total sobre los recursos.8.5.3. Disponibilidad• Nivel 0 - No Clasificado. Información cuya inaccesibilidad no afectala operatoria del MINISTERIO DEL INTERIOR Y TRANSPORTE. No requiereresguardo de la información.• Nivel 1 - Bajo. Información cuya inaccesibilidad durante 15 días omás podría ocasionar daños no significativos para el MI. Requiere unresguardo por única vez, preferiblemente sobre medios ópticos.• Nivel 2 - Medio. Información cuya inaccesibilidad durante 7 días omás podría ocasionar daños significativos para el MI. Requiere unresguardo con frecuencia mensual, preferentemente sobre mediosmagnéticos.• Nivel 3 - Alto. Información cuya inaccesibilidad durante 24 horas omás podría ocasionar daños muy significativos para el MI. Requierefrecuencia de resguardo Diario, Semanal y Mensual, sobre mediosmagnéticos. El medio de resguardo Mensual se almacenará bajo un tiempode retención establecido por cada Responsable (por ejemplo: cinco años,diez años, etc.).• Nivel 4 - Muy Alto. Información cuya inaccesibilidad durante 4 horaso más podría detener la operatoria normal del MI. Requiere frecuenciade resguardo Diario, Semanal y Mensual, y Mensual-Copia, sobre mediosmagnéticos. El resguardo Mensual-Copia se almacenará off-site. Lafrecuencia de resguardo puede modificarse según el requerimiento decriticidad del sistema (por ejemplo, efectuar resguardos adicionalescada quince días, y almacenarlos off-site). Los daños probables puedenser mensurables (materiales) y no mensurables (imagen, valorestratégico de la información, obligaciones contractuales o públicas,disposiciones legales, etc.).8.5.4. Criticidad de la informaciónLa información recibirá un valor de nivel, dentro de lascaracterísticas mencionadas en los Puntos 8.5.1 a 8.5.3, lo cualpermitirá establecer un valor de criticidad.De acuerdo con los niveles de confidencialidad, integridad ydisponibilidad, la información será tanto más crítica según lasiguiente clasificación:• Criticidad Baja: niveles asignados son 0 ó 1.• Criticidad Media: nivel asignado es 2.• Criticidad Alta niveles asignados son 3 ó 4.El nivel de clasificación de la información sólo puede ser cambiado porel Responsable Primario o por el Responsable de Tecnología y Seguridad.El nivel de clasificación se modificará cumpliendo con los siguientes requisitos previos:• Luego de clasificada la información, el Responsable Primarioidentificará los recursos asociados (sistemas, equipamiento, servicios,etc.) y los perfiles funcionales que deberán tener acceso a la misma.• El cambio de clasificación debe hacerse efectivo a partir de unafecha determinada por el Responsable Primario o el Responsable deTecnología y Seguridad, con autorización del primero.• El cambio de clasificación debe ser comunicado efectivamente a los usuarios de la información.8.5. Rotulado de la InformaciónSe definirán procedimientos para el rotulado y manejo de información,de acuerdo con el esquema de clasificación definido ut supra. Losprocedimientos contemplarán los recursos de información tanto enformatos físicos como electrónicos e incorporarán las siguientesactividades de procesamiento de la información: copia; almacenamiento;transmisión por correo, fax, correo electrónico; transmisión oral(telefonía fija y móvil, correo de voz, contestadores automáticos,etc.).9. SEGURIDAD FISICA Y AMBIENTAL9.1. ObjetivosLa seguridad física brinda el marco para minimizar riesgos de daño ointerferencia a la información y a las operaciones desarrolladas dentrode las dependencias del MINISTERIO DEL INTERIOR Y TRANSPORTE comoconsecuencia de factores ambientales; evitar al máximo el riesgo deaccesos físicos no autorizados; y minimizar las interrupciones en laprestación de servicios.Estas previsiones deben abarcar la protección física de accesos, laprotección ambiental, el transporte, y la protección de activos; eimplementar medidas para proteger la información manejada por elpersonal en el ámbito físico de sus labores habituales. Por último, unalto volumen de información se almacena en formato papel, resultandonecesario establecer pautas de seguridad para su conservación.9.2. AlcanceEsta Política se aplica a todos los recursos físicos relativos a lossistemas de información del MINISTERIO DEL INTERIOR Y TRANSPORTE,edificios, instalaciones, equipos y medios de almacenamientoinformáticos, cableado, documentación en papel, dispositivos decomunicación de datos, etc.9.3. Areas Seguras y de acceso restringido9.3.1. Perímetro de Seguridad FísicaUn perímetro de seguridad es una delimitación de acceso, por ej. puertade acceso controlado por tarjeta, escritorio u oficina de recepciónatendidos por personas, etc. El emplazamiento y la fortaleza de cadabarrera dependerán de los resultados de una evaluación de riesgos.Se deben considerar e implementar los siguientes lineamientos y controles, según corresponda:• el perímetro de seguridad estará claramente definido,• el perímetro de un edificio o área de procesamiento de informaciónserá físicamente sólido. No deben existir aberturas o áreas donde seproduzca una irrupción. Las paredes externas del área serán deconstrucción sólida. Las puertas comunicantes con el exterior gozaránde una protección adecuada contra accesos no autorizados, por ej.,mediante mecanismos de control, vallas, alarmas, cerraduras, etc.,• existirá un área de recepción, atendida por personal u otros mediosde control de acceso físico al área o edificio. El ingreso a lasdistintas áreas y edificios se limitará exclusivamente al personalautorizado,• las barreras físicas se extenderán, si es necesario, desde el piso(real) hasta el techo (real), a fin de impedir ingresos no autorizados,contaminación ambiental, incendio o inundación,• las puertas contra incendio de un perímetro de seguridad tendrán alarma y se cerrarán automáticamente.• se mantendrá un registro de los sitios protegidos, indicando:identificación del edificio y área, principales elementos a proteger ymedidas de protección física.9.3.2. Areas RestringidasSe considera zona de acceso restringido o área protegida a aquellasinstalaciones de procesamiento de información ubicadas en áreasresguardadas por un perímetro de seguridad, con controles de accesoapropiados y medidas de protección física contra accesos noautorizados, daños e intrusiones.Para la selección y el diseño de un área protegida deben evaluarse losriesgos de incendio, inundación, explosión, y otras formas de desastresnaturales o provocados por el hombre. También deben observarse lasdisposiciones y normas en materia de sanidad y seguridad, las amenazasa la seguridad que representan los edificios y zonas aledañas, por ej.por filtración de agua, interferencias, acumulación de residuos,entornos agresivos, etc.El Responsable de Tecnología y Seguridad definirá que zonas seránconsideradas como áreas protegidas o de acceso restringido y mantendráun listado actualizado, de todas ellas.Para definir las zonas protegidas, se atenderá a las siguientes recomendaciones:• ubicar a las instalaciones en lugares inaccesibles para el público.• la señalización e indicaciones de las áreas serán mínimos, sin signosobvios que identifiquen la actividad de procesamiento de información.Pueden requerirse barreras y perímetros adicionales para controlar elacceso físico entre áreas con diferentes requerimientos de seguridad, yque estén ubicadas dentro del mismo perímetro.• establecer que puertas y ventanas estén bloqueadas cuando no hayavigilancia. Considerar la posibilidad de agregar protección externa alas ventanas, en particular las que se encuentran al nivel del suelo.• implementar sistemas de detección de intrusos (cámaras, detectores de proximidad, sistemas de vigilancia, etc) ubicados en:• puertas exteriores y ventanas accesibles,• áreas vacías, que deben tener alarmas activadas en todo momento,• sala de servidores,• áreas que se definan como protegidas,• recintos con dispositivos de comunicaciones.• los teléfonos internos de los recintos de procesamiento deinformación sensible y/o crítica no deben publicarse en guíastelefónicas.• materiales peligrosos o combustibles deben almacenarse a una distancia prudencial del área protegida.• la existencia de áreas protegidas, o de las actividades que allí sellevan a cabo será conocida solamente por el personal cuyas funcionesestén relacionadas con dichos ámbitos,• evitar que terceras partes ejecuten trabajos en áreas protegidas sin supervisión alguna,• prohibición de comer, beber y fumar dentro de las instalaciones de procesamiento de la información,• restringir el ingreso de equipos de computación móvil, fotográficos,de vídeo, audio o cualquier otro tipo de equipamiento que registreinformación, a menos que hayan sido formalmente autorizadas por losResponsables Primario, de Sistemas y de Tecnología y Seguridad.9.3.3. Controles de acceso físicoLas áreas protegidas serán limitadas mediante adecuados controles de acceso, y solo ingresará a ellas el personal autorizado.Entre las medidas de control de acceso físico a adoptarse, deben contemplarse las siguientes:• supervisión de ingreso de terceras partes y personal de servicio alas áreas protegidas. Fecha y hora de ingreso y egreso deben serregistrados. El acceso se otorgará cuando existan propósitosespecíficos y autorizados, y los permisos serán acotados en el tiempoconforme a los fines para los que se haya habilitado el permiso deacceso.• definir las áreas donde se opera con información sensible y/ocrítica, a fin de establecer controles de acceso lógico en lasinstalaciones de procesamiento de información.• validar accesos por medio de controles de autenticación, (ej. tarjetay número de identificación personal (PIN), huella biométrica, etc.).• registración de paquetes, envoltorios, cajas cerradas, etc., que entran o salen de los edificios,• se recomienda que el personal informe sobre la presencia dedesconocidos no escoltados o de cualquier persona que no exhiba unaidentificación visible,• revisar y actualizar cada seis (6) meses los derechos de acceso a lasáreas protegidas. Los mismos serán documentados y firmados por elResponsable Primario, en el área protegida de su dependencia.• se controlará que las áreas de Recepción y Distribución de distintoselementos (equipamiento no crítico, repuestos, insumos, etc.) esténaisladas de las instalaciones de procesamiento de información sensibley crítica, a fin de impedir ingreso de ajenos.• limitar el ingreso a las áreas de depósito al personal previamente identificado y autorizado.• diseñar el área de depósito de manera tal que los suministros sedescarguen, evitando que quienes realizan la entrega accedan a otrossectores del edificio.• proteger las puertas exteriores del depósito cuando se abre la puerta interna.• inspeccionar y registrar el material entrante antes de ser trasladado al depósito.• inspeccionar periódicamente áreas protegidas desocupadas, manteniendo bloqueado su acceso físico.Los controles de acceso físico serán determinados por el Responsable deTecnología y Seguridad de la DGGI en conjunto con los ResponsablesPrimarios. El Comité de Seguridad verificará la implementación dedichos controles.9.4. Seguridad del equipamiento informático9.4.1. ObjetivoImpedir pérdidas, daños u accesos no autorizados a los activos y/odatos del MINISTERIO DEL INTERIOR Y TRANSPORTE como así también,reducir los riesgos en la interrupción de los servicios prestados porel Organismo a los ciudadanos.9.4.2. Ubicación y protección del equipamientoEl equipamiento se ubicará de modo de reducir riesgos ambientales, yoportunidades de acceso no autorizado. Se considerarán los siguientescontroles:• minimizar el acceso innecesario a sitios con equipamiento informático instalado,• ubicar el ámbito de proceso y almacenamiento de información en sitios donde exista una adecuada supervisión de acceso físico,• adoptar controles a fin de minimizar riesgos por las siguientesposibles amenazas: manifestaciones y/o protestas callejeras, robo,incendio, explosivos, humo, agua (o falta de suministro), polvo,vibraciones, efectos químicos, interferencia o interrupción en elsuministro de energía eléctrica, radiación electromagnética.• no comer, beber ni fumar cerca de las instalaciones de procesamiento de información crítica,• monitorear las condiciones ambientales para verificar que no se comprometa el procesamiento de la información,• empleo de métodos de protección especial para equipos situados en ambientes expuestos a amenazas ambientales,• efectuar análisis de impacto de un eventual desastre en edificiospróximos al Organismo, por ej. incendio, filtración de agua, unaexplosión en la calle, corte de energía generalizado, etc.9.4.3. Suministro de energíaLas instalaciones de proceso de información crítica se protegerán defallas en el suministro de energía u otras anomalías eléctricas.Se debe contar con un adecuado suministro de energía, de acuerdo conlas especificaciones del fabricante o proveedor de los equiposinformáticos.Se enumeran las siguientes alternativas para asegurar la continuidad del suministro de energía:• bocas de suministro múltiple, para evitar un único punto de falla,• fuente de energía ininterrumpida (UPS),• generadores de respaldo.Las UPS son recomendables para asegurar el apagado regulado ysistemático y la ejecución continua del equipamiento que procesainformación critica.Se implementarán planes de contingencia que contemplen acciones aemprender ante una falla de la UPS. Los mismos deben someterse a unainspección periódica, de acuerdo con las recomendaciones del fabricanteo proveedor, a fin de mantener la capacidad requerida.Un generador de respaldo se tendrá en cuenta cuando el procesamientodebe continuar aún en presencia de fallas de suministro prolongadas.Los generadores se probarán periódicamente, según instrucciones del fabricante o proveedor.Asimismo, se dispondrá de un adecuado suministro de combustible, a finde garantizar una provisión de energía eléctrica por un períodoprolongado.Se dispondrá, además, de:• interruptores de emergencia, a fin de lograr un corte de energía rápido, en situaciones de criticidad extrema,• sistemas de iluminación de emergencia, para el caso de cortes en el suministro principal de energía,• protección contra rayos en todos los edificios,• filtros de protección contra rayos en las líneas de comunicaciones externas.9.4.4. Seguridad del cableadoTanto el cableado de energía eléctrica como el de comunicaciones dedatos deben protegerse contra todo tipo de intercepción o daño. Debenconsiderarse los siguientes controles:• siempre que sea posible, las líneas de energía eléctrica y decomunicaciones deben ser subterráneas. En su defecto, se sujetarán auna adecuada protección alternativa,• el cableado de red se protegerá contra intercepciones o daños, porejemplo mediante el uso de conductos, o evitando trayectos de afluenciade público,• para evitar interferencias, los cables de energía estarán separados de los de comunicaciones,• controles adicionales a considerar para los sistemas sensibles ocríticos: instalación de conductos blindados, instalación de recintos ocajas con cerradura en los puntos terminales y de inspección, uso derutas o medios de transmisión alternativos, uso de cableado de fibraóptica, inspecciones periódicas para detectar dispositivos noautorizados conectados a los cables.9.4.5. Mantenimiento de equiposEl equipamiento informático se mantendrá en forma adecuada paraasegurar que su disponibilidad e integridad sean permanentes. Lasactividades de mantenimiento en todas sus formas (preventivo,correctivo, etc.) dependerán del Responsable de Sistemas y Seguridad.Se deben considerar los siguientes lineamientos:• implementar el mantenimiento de equipos según los intervalos de servicio y especificaciones recomendados por el proveedor,• personal autorizado por el Responsable de Sistemas tieneresponsabilidad exclusiva por el mantenimiento y las reparaciones sobreel equipamiento,• registro de todas las fallas y labores de mantenimiento preventivo,• controles para el retiro de equipos fuera de la sede del MINISTERIODEL INTERIOR Y TRANSPORTE. Se enumeran algunos de ellos: verificacióndel estado general del equipo antes de ser retirado; resguardo oeliminación de información —si se trata de datos sensibles—, antes deretirar el equipo; verificación y cumplimiento de condicionesestablecidas en contratos de mantenimiento, garantías y/o pólizas deseguro, para la reparación y traslados de los equipos; cumplir con elprocedimiento indicado para la salida y entra de soportes, para laverificación de salida o entrada de equipos. Esta notificación debehacerse con anticipación, y debe indicar, como mínimo: proveedor,ubicación física original del equipo, datos de identificación (marca,modelo, Nro. de serie, Nro. de inventario).9.4.6. Seguridad del equipamiento fuera del ámbito de la organizaciónEl uso de equipamiento informático fuera del ámbito del MINISTERIO DELINTERIOR será requerido por el Responsable Primario, y autorizado porel Responsable de Sistemas o el Responsable de Tecnología y Seguridad,según corresponda.La seguridad provista debe ser equivalente a la suministrada dentroOrganismo, para un propósito similar, teniéndose en cuenta los riesgosde trabajar fuera del mismo. No se considera ámbito externo a lasDelegaciones u otros edificios donde funciona el MINISTERIO DELINTERIOR Y TRANSPORTE.El equipamiento incluye: computadoras personales y portátiles,teléfonos móviles, impresoras, insumos, dispositivos de comunicaciones,cableado, papel, formularios, y cualquier otro equipo u insumo que seutilice como herramienta de trabajo, sea propiedad del MINISTERIO DELINTERIOR Y TRANSPORTE o de un tercero.Se deben tener en cuenta los siguientes lineamientos:• no dejar los equipos en forma desatendida, sobre todo en lugarespúblicos. En un viaje, las computadoras personales se transportaráncomo equipaje de mano, en forma discreta, de ser posible.• respetar las instrucciones del fabricante.• disponer de una adecuada póliza de seguro9.4.7. Baja segura o reutilización de equipamiento.Todo equipamiento puede desafectarse o reutilizarse. Para eliminar lainformación que se halla en los medios de almacenamiento, debenutilizar métodos seguros, en vez de utilizar funciones de borradoestándar (ejemplo: formateo de bajo nivel en un disco, en lugar deborrado de archivos). Para el caso de datos en papel, se recomienda eluso de máquinas destructoras.Antes de dar de baja un dispositivo de almacenamiento —por ej. discosrígidos no removibles—, debe asegurarse la eliminación segura de datossensibles y/o software bajo licencia. Se recomienda realizar análisisde riesgo, para determinar si medios de almacenamiento dañados quecontienen datos sensibles, deben ser destruidos, reparados o desechados.9.4.8. Retiro de Activos del MINISTERIO DEL INTERIOR Y TRANSPORTEQueda prohibido retirar equipamiento, información y software delMINISTERIO DEL INTERIOR Y TRANSPORTE sin la correspondienteautorización formal.Asimismo, el equipamiento informático situado afuera del MINISTERIO DELINTERIOR Y TRANSPORTE deberá permanecer bajo estrictas normas deseguridad tendientes a la preservación de la información almacenada.Deberán aplicarse estrictas normas de seguridad a todos los recursossituados físicamente fuera del Organismo (“housing”), así como alequipamiento ajeno que procese información al Organismo (“hosting”).9.4.9. Seguridad de los Medios en TránsitoA fin de salvaguardar los medios informáticos en tránsito, deben aplicarse los siguientes controles:• utilizar medios de transporte o servicios de mensajería confiables.Los Responsables Primarios deben contar con una lista de servicios demensajería, con idoneidad y experiencia comprobable. El Comité deSeguridad podrá implementar un procedimiento para requerir y verificarlos datos consignados,• verificación del embalaje, para proteger al contenido contraeventuales daños físicos durante el transporte, según especificacionesde los fabricantes o proveedores de los medios,• adopción de controles especiales, cuando resulte necesario, con elfin de proteger la información sensible contra divulgación omodificación no autorizadas.10. GESTION DE COMUNICACIONES Y OPERACIONES10.1. ObjetivoGarantizar la confidencialidad, integridad y disponibilidad en lainterconexión e interoperabilidad de las comunicaciones que seestablezcan en relación con el procesamiento y transmisión deinformación del MINISTERIO DEL INTERIOR Y TRANSPORTE, tanto dentro dela órbita del Organismo como en relación con terceros.10.2. ResponsabilidadesEl Responsable de Tecnología y Seguridad Informática tendrá a su cargo:• definir e implementar procedimientos para el control de cambios a losprocesos operativos y los sistemas informáticos, de manera de noafectar la seguridad de la información,• establecer criterios de aprobación para las actualizaciones, nuevasversiones, o nuevos sistemas informáticos, contemplando realizar laspruebas necesarias antes de su aprobación definitiva,• verificar que los procedimientos de aprobación de software incluyanaspectos de seguridad para las aplicaciones de Gobierno Electrónico,• definir procedimientos para el manejo de incidentes de seguridad y la administración de los medios de almacenamiento,• definir y documentar normas claras con respecto al uso del correo electrónico,• definir y administrar los mecanismos de distribución y difusión deinformación dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE,• definir y administrar controles para prevenir accesos no autorizados y software malicioso,• definir y administrar controles para garantizar la seguridad de losdatos, los servicios y los equipos conectados a la red del Organismo,• concientizar a los usuarios en materia de seguridad sobre controlesde acceso, operación y administración de los sistemas y cambios,• implementar los cambios adecuados a los sistemas y equipamiento,asignando responsabilidades, y evaluando el posible impacto operativo,• controlar la realización de copias de resguardo de información, así como la prueba periódica de su restauración,• registrar las actividades realizadas por el personal operativo, para su posterior revisión,• implementar procedimientos que permitan tomar medidas correctivas enel momento de fallas en los procesos de la información o los sistemasde comunicaciones,• definir e implementar procedimientos para administrar medios dealmacenamiento, tales como cintas, discos, medios ópticos, informesimpresos, dispositivos móviles, disquetes, etc. La administracióncontemplará los casos de resguardo, restauración y/o eliminación de lainformación almacenada,• colaborar en el tratamiento de incidentes de seguridad de lainformación, de acuerdo con procedimientos verificados por el Comité deSeguridad,• evaluar contratos y acuerdos con terceros para incorporar serviciosrelacionados con el soporte y la seguridad de la información.Cada Responsable Primario, y el Responsable de Sistemas, determinaránlos requerimientos de proceso, comunicación y/o transporte de lainformación de su competencia, de acuerdo los niveles de sensibilidad,disponibilidad y/o criticidad que se requieran.10.3. Procedimientos Operativos de DocumentaciónSe deben documentar y mantener los procedimientos en el ambiente de Producción, identificados por su política de seguridad.Los procedimientos del ambiente de Producción estarán plasmados endocumentos formales. Los cambios deberán ser autorizados por losniveles de responsabilidad que correspondan (Responsable de Sistemas,Responsables Primarios, Unidad de Auditoría Interna, Comité deSeguridad de la Información, etc.).Los procedimientos especificarán detalladamente cada tarea, considerando:• procesamiento y manejo de la información,• requerimientos de programación de procesos, interconexión con otrossistemas, así como tiempos de inicio y finalización de las tareas,• manejo de errores u otras condiciones excepcionales que surjan durante la ejecución de tareas,• restricciones en el uso de utilitarios de sistema operativo,• administración de comunicaciones, así como de ambientes operativos y de desarrollo de sistemas,• soporte en caso de dificultades imprevistas, operativas o técnicas,• manejo de salida de información, (por ejemplo: uso de papeleríaespecial, listados de información confidencial, almacenamiento móvil,publicaciones en Intranet e Internet),• eliminación segura de tareas con salida de información fallida,• reinicio y recuperación de los sistemas, en caso de fallas, reinstalaciones o actualizaciones,• instalación y mantenimiento del equipamiento de proceso de la información y de comunicaciones,• instalación y mantenimiento de las plataformas de procesamiento de sistemas,• programación y ejecución de las tareas en los ambientes de operaciones,• monitoreo de los procesos y las comunicaciones,• inicio y finalización de la ejecución de los sistemas,• gestión de servicios,• resguardo y restauración de la información,• gestión de incidentes informáticos y de comunicaciones, considerando el posible impacto a la seguridad de los datos.10.4. Gestión de Procesamiento ExternoEn caso de tercerizar el procesamiento, se acordarán controles con elproveedor del servicio, los que se incluirán en el contrato vinculante.Se contemplarán las siguientes cuestiones específicas:• tercerizar aquellos trabajos relacionados con el ambiente deDesarrollo, según las evaluaciones que efectúe el Responsable deSistemas y Seguridad (disponibilidad de personal, equipamiento paradesarrollo de sistemas, nivel de sensibilidad de la información, etc.),• obtener la aprobación de los Responsables Primarios de las aplicaciones específicas.• identificar las implicancias para la continuidad de las actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE.• especificar las normas de seguridad y la verificación del cumplimiento.• asignar funciones específicas y procedimientos para monitorear las actividades de seguridad.• definir funciones, procedimientos de comunicación y manejo de incidentes de seguridad.10. 5. Planificación y aprobación de Sistemas10.5.1. ObjetivoMinimizar el riesgo de fallas en los sistemas.Garantizar la disponibilidad de capacidad y recursos adecuados, para locual se requiere una planificación y una preparación anticipada. Paraello, se efectuarán proyecciones para futuros requerimientos decapacidad, a fin de reducir el riesgo de sobrecarga de los sistemas.Todo nuevo requerimiento para el ambiente de Producción deberáestablecerse, documentarse y probarse antes que el nuevo sistema sehaya aprobado en el ambiente de Desarrollo.10.5.2. Planificación de la capacidadEl Responsable de Sistemas determinará las necesidades de capacidad delos sistemas productivos, además de proyectar las futuras demandas,para garantizar un procesamiento adecuado.Se tomarán en cuenta:• nuevos requerimientos informáticos,• tendencias actuales y proyectadas en el procesamiento de lainformación del MINISTERIO DEL INTERIOR Y TRANSPORTE, para el períodode vida útil de cada componente.• utilización de los recursos clave del sistema (procesadores,almacenamiento principal, almacenamiento de archivos, impresoras,sistemas de comunicaciones etc.).Las necesidades deberán ser informadas al Comité de Seguridad y a losresponsables primarios, con el fin de identificar y evitar potencialescuellos de botella que se traduzcan en amenazas a la seguridad o a lacontinuidad de los procesos.10.5.3 Aprobación del sistemaEl Responsable de Sistemas definirá los criterios de aprobación paralos sistemas informáticos, sus actualizaciones y nuevas versiones.Se deben considerar los siguientes puntos:• impacto en el desempeño y requerimientos de capacidad de las computadoras,• posibilidad de recuperación ante errores,• planes de contingencia, y continuidad operativa del MINISTERIO DEL INTERIOR Y TRANSPORTE,• realización de las pruebas necesarias antes de la aprobación definitiva de los sistemas• impacto de nuevas instalaciones sobre los sistemas existentes y la seguridad global del Organismo,• definición de tareas y funciones para los administradores y usuarios,• capacitación sobre administración, operación y/o uso de nuevos sistemas, antes de pasarlos al ambiente de Pruebas,• documentación completa.11. MANTENIMIENTO Y RESGUARDO DE LA INFORMACION11.1. ObjetivoDefinir un procedimiento de carácter confidencial, de realización decopias de respaldo y recuperación de archivos a fin de garantizar laintegridad y disponibilidad de los servicios informáticos y datos conque opera el MINISTERIO DEL INTERIOR Y TRANSPORTE.11.2. Alcance del Resguardo de la InformaciónLos Responsables de Sistemas y de Tecnología y Seguridad Informática,junto con los Responsables Primarios, determinarán y documentarán losrequerimientos de resguardo del software y los datos de cada sector, enfunción de su criticidad.El Responsable de Sistemas dispondrá y controlará la realización dedichas copias, así como las pruebas de restauración. Para ello contarácon instalaciones de resguardo que garanticen disponibilidad de lainformación y el software critico del Organismo.Recae en el Responsable de Sistemas, además, la obligación de informaral personal autorizado sobre la periodicidad con que deben hacerse lascopias de seguridad obligatoriamente y respecto de la confidencialidaden el modo o sistema de realización de las mismas.11.3. Controles del Resguardo y Recupero de la InformaciónSe definirán procedimientos para el resguardo de la información, queserán documentados e integrarán como Anexo de la presente Política,considerando los siguientes aspectos:• esquema de rotulado de las copias de resguardo, a fin de contar contoda la información necesaria para la identificación y laadministración del medio de almacenamiento utilizado,• tipo y frecuencia de resguardo de información, por ejemplo: resguardocompleto o parcial, frecuencia diaria-semanal-mensual, incremental,etc.,• medios de almacenamiento utilizados para las copias de resguardo,• destrucción segura de medios dados de baja,• guarda de copias de los medios de resguardo dentro del MINISTERIO DELINTERIOR Y TRANSPORTE. Para ello, se tendrá en cuenta los niveles declasificación de la información, en términos de disponibilidad ycriticidad, a fin de definir la información a ser almacenada en sitioexterno,• almacenamiento externo de copias de todo el software y datosesenciales para la operación del Organismo, así como los procedimientosdocumentados de restauración,• niveles de protección física y controles iguales o mayores que losaplicados al sitio principal, para la información guardada en un sitioexterno,• prueba periódica de los procedimientos de restauración, verificandoeficacia y cumplimiento dentro del tiempo asignado para recuperación dedatos en los procedimientos operativos.Se efectuará un monitoreo de los sistemas de resguardo, de modo quecumplan con los requerimientos de los planes de continuidad deactividades del MINISTERIO DEL INTERIOR Y TRANSPORTE.11.4. Administración y Seguridad de los Medios de Almacenamiento11.4.1. ObjetivoLos medios de almacenamiento y soporte de información deben protegerse físicamente.Se deben establecer procedimientos operativos apropiados para controlary proteger documentos, medios de almacenamiento (cintas, CD’s, DVD’s,disquetes, dispositivos de almacenamiento, etc.) listados impresos,etc., contra daño, robo y acceso no autorizado.11.4.2. Administración de medios informáticos removiblesEl Responsable de Tecnología y Seguridad implementará procedimientospara la administración de medios de soporte y almacenamientoinformático, tales como cintas, CD’s, DVD’s, disquetes, informesimpresos y dispositivos móviles (pen-drives, cámaras fotográficasdigitales, etc.).11.4.3. Eliminación de Medios de InformaciónEl Responsable de Tecnología y Seguridad definirá procedimientos parala eliminación segura de datos en los medios de información respetandola normativa vigente. Cuando ya no son requeridos, los datosalmacenados en medios informáticos deben eliminarse de maneradiligente, para evitar que información sensible sea divulgada ausuarios ajenos al MINISTERIO DEL INTERIOR Y TRANSPORTE.Para los procedimientos de almacenamiento y eliminación segura deberán considerarse los siguientes elementos:• documentos en papel,• grabaciones de voz o sonido,• papel carbónico,• informes de entrada/salida de personal,• cintas de impresora de un solo uso,• cintas magnéticas de cualquier tipo,• discos removibles y/o diskettes,• medios de almacenamiento óptico en todos los formatos (Ejemplos,CD-ROM, CD’s regrabables, DVD-ROM, DVD’s regrabables). Se incluyen losmedios de distribución de software del fabricante o proveedor,• listados de programas, soportados en cualquier medio (papel, magnético, óptico, etc.),• datos de prueba, soportados en cualquier medio (papel, magnético. óptico, etc.),• documentación de sistema, soportada en cualquier medio (papel, magnético, óptico, etc.),• dispositivos de almacenamiento con memoria flash o similar (pen-drives, reproductores, cámaras fotográficas digitales, etc.).Cuando un soporte que ha contenido o contiene datos de carácterpersonal sea desechado, previamente debe ser borrada toda lainformación que contiene mediante un sistema que no permita ni suaprovechamiento posterior ni la recuperación de los datos que contenía.Se puede actuar bajo cualquiera de las dos opciones:• Borrado lógico de la información de los soportes, de tal forma que no se permita el recuperado de la información.• Destrucción completa del soporte.Cuando un soporte que ha contenido o contiene datos de carácterpersonal sea reutilizado, previamente debe ser borrada toda lainformación mediante un sistema que no permita ni su aprovechamientoposterior ni la recuperación de los datos que contenía.El Responsable de Tecnología y Seguridad establecerá un procedimientode revisión de soportes, indicando la periodicidad (no inferior a seismeses) con la que se examinarán las bases de datos, y aquellos archivosque sean antiguos o no hayan sido modificados en ese plazo y norevistan utilidad, se quitarán de la red, y quedarán guardados sólo enlas copias de seguridad.11.5. Resguardo de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE11.5.1. ObjetivoLos datos del MINITERIO DEL INTERIOR se protegerán contra pérdida, destrucción y/o falsificación.Sin perjuicio de la clasificación de la información conforme a lodispuesto en el apartado 8 de la presente Política, se tipificará lainformación según su uso, por ej., registros contables, base de datos,registros de auditoría y procedimientos operativos, etc. En cada uno deellos se indicará el medio de almacenamiento, (papel, microfichas,medios ópticos, cintas magnéticas, etc.) y el período de conservación.En el caso de claves criptográficas asociadas a archivos cifrados,éstas se mantendrán en forma segura, estando disponibles para su usopor parte de usuarios autorizados, cuando se requiera.11.5.2. Procedimientos de Resguardo y Conservación de DatosEl Responsable de Tecnología y Seguridad definirá los medios deresguardo, el período en que la información permanecerá almacenada(período de conservación), y la frecuencia de resguardo. La definiciónde los resguardos deberá tener en cuenta la clasificación de datos quehayan efectuado los Responsables Primarios.El Responsable de Tecnología y Seguridad definirá procedimientos deresguardo de la información, teniendo en cuenta la clasificación y tipode datos, los sistemas, y los medios de almacenamiento a utilizar quehaya definido previamente. Deberá indicarse, asimismo, una frecuenciapara pruebas de restauración, a fin de garantizar la integridad de lainformación resguardada.Se tomarán las siguientes medidas:• lineamientos para resguardo, almacenamiento, período de conservaciónde los datos del MINISTERIO DEL INTERIOR Y TRANSPORTE, que quedarádocumentado e integrará la presente Política en forma de Anexo,• preparar un cronograma de retención identificando los tipos esenciales de registros y el período durante el cual conservarse,• Mantener un inventario de programas fuentes de información clave,• implementar controles para proteger la información y los registros esenciales contra pérdida, destrucción y falsificación.Para realizar estos procedimientos, podrá tomarse como base la siguiente tabla:Tipo de DatoSistema de InformaciónPeríodo de ConservaciónMedio de AlmacenamientoResponsable Resguardo




Los procedimientos de almacenamiento y manipulación de medios seimplementarán de acuerdo con las recomendaciones del fabricante. Sedeberá garantizar la capacidad de acceso a los datos (tanto legibilidadde formato como de medios) durante todo el período de conservación delos datos. Se tendrá en cuenta, además, una protección contra pérdidasocasionadas por futuros cambios tecnológicos.Los sistemas de almacenamiento garantizarán que los datos puedanrecuperarse en tiempo y forma aceptables para los quienes lo requieran.11.6. Intercambio de información y software11.6.1. ObjetivoImpedir la pérdida, modificación o uso inadecuado de la información que se procesa entre Organismos.El intercambio de información y software entre Organismos debe sercontrolado, consecuente con la legislación aplicable, y bajo acuerdosexistentes.Se establecerán normas y procedimientos para proteger la información ylos medios en tránsito, que serán formalizados entre el MINISTERIO DELINTERIOR Y TRANSPORTE y quienes corresponda, mediante acuerdos deinterconexión y acceso a datos por cuenta de terceros y acuerdos deintercambio de información y software, acuerdos de outosourcing, entreotros. Se deben considerar implicancias de seguridad y controlesrelacionados con el intercambio de datos, el correo electrónico, ysistemas de acceso vía redes (Internet, Intranet o similares).11.6.2. Acuerdos de Intercambio de Información y SoftwareDeberá especificarse el grado de sensibilidad de la información objetode tratamiento. Se tendrán en cuenta los siguientes aspectos:• responsabilidades en el control y la notificación de transmisiones, envío y recepción,• normas y procedimientos para notificar emisión, envío y recepción,• especificaciones técnicas para la estructura de transmisión.• pautas para la identificación del prestador del servicio de transmisión de datos,• responsabilidades y obligaciones en caso de pérdida de información,• determinación del rotulado de información clasificada, garantizandola inmediata comprensión de los rótulos, y la protección adecuada delos datos,• términos y condiciones de la licencia bajo la cual se suministra el software de transmisión de datos,• propiedad de la información suministrada y condiciones de uso,• si se requiere, normativa técnica para grabar y/o leer la información y el software,• controles especiales para proteger ítems sensibles (claves criptográficas, firma digital, etc.).11.6.3. Seguridad de la interoperabilidad y el Gobierno ElectrónicoTodas las medidas vinculadas al Plan de Gobierno Electrónico delMINISTERIO DEL INTERIOR Y TRANSPORTE se dictarán conforme a lodispuesto en los Decretos Nº 103 del 25 de enero de 2001, Nº 378 de 27del abril de 2005, Nº 628 del 13 de junio de 2005, Nº 512 del 7 de mayode 2009, la Decisión Administrativa 669/2004, la Disposición de laOFICINA NACIONAL DE TECNOLOGIAS DE LA INFORMACION de la SUBSECRETARIADE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 06 de10 de agosto de 2005, La Ley 25.506 de Firma Digital y el DecretoReglamentario 2628/2002; Ley 26.343 de Protección de los DatosPersonales y su Decreto Reglamentario 1558/2001.El Responsable de Tecnología y Seguridad Informática verificará que lasaplicaciones de interoperabilidad y Gobierno Electrónico incluyan lossiguientes aspectos:• Autenticación: nivel de confianza recíproca suficiente sobre laidentidad del usuario y el MINISTERIO DEL INTERIOR Y TRANSPORTE.• Autorización: niveles adecuados para establecer disposiciones, emitiro firmar documentos clave, etc. Deberá establecerse la forma decomunicarlo a la otra parte de la transacción electrónica.• Procesos de oferta y contratación pública: requerimientos deconfidencialidad, integridad, prueba de envío y recepción de documentosclave y no repudio de contratos.• Trámites en línea: confidencialidad, integridad, confirmación derecepción y no repudio de los datos suministrados con respecto atrámites y presentaciones ante el Estado.• Verificación: nivel apropiado de constatación de los datos suministrados por los usuarios.• Cierre de la transacción: establecer la forma más adecuada de finalizar el intercambio, para evitar fraudes.• Protección a la duplicación: asegurar que una transacción sólo se realice una vez, a menos que se especifique lo contrario.• No repudio: establecer la manera de evitar que una entidad que hayaenviado o recibido información alegue que no la envió o recibió.• Responsabilidad: asignación de responsabilidades ante el riesgo de presentaciones, tramitaciones o transacciones fraudulentas.11.6.4. Sistemas de Acceso Público y SemipúblicoSe tomarán recaudos para proteger la integridad de la información delMINISTERIO DEL INTERIOR Y TRANSPORTE ubicada en accesos públicos osemipúblicos, de manera de prevenir modificaciones no autorizadas ointrusiones.Un sistema de acceso público o semipúblico es aquel que procesa odifunde datos accesibles desde Internet, Intranet u otras redesconectadas a los sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTE.Como requisito previo a la publicación de información en dominiopúblico o semipúblico, deben verificarse las autorizaciones formalesque correspondan. Los responsables de dichas autorizaciones estaránclaramente definidos.Los sistemas de acceso público o semipúblico deberán tener en cuenta lo siguiente:• la información obtenida y/o publicada debe ajustarse a las leyes ynormativas vigentes, en especial la Ley de Protección de DatosPersonales,• la información y/o sistemas a publicarse deben haber seguido las etapas de desarrollo, prueba y producción,• se protegerá adecuadamente la información sensible que se publique enlos ambientes de Internet o Intranet, tanto durante los procesos deingreso de datos como en el posterior almacenamiento.• el sistema de publicación debe inhibir accesos no autorizados a las redes internas u otras a las cuales éste se conecte,• el Responsable Primario de los sistemas de publicación designaráformalmente al responsable de la publicación de información en Interneto Intranet,• se garantizará la validez y vigencia de la información publicada,• se instalarán sistemas de filtrado de acceso a Internet por parte deempleados y personal jerárquico del MINISTERIO DEL INTERIOR YTRANSPORTE.11.6.5. Seguridad Frente al Acceso por Parte de TercerosCuando exista un requerimiento de acceso a la información del Organismopor parte de terceros, o bien éstos presten al MINISTERIO DEL INTERIORY TRANSPORTE un servicio determinado que requiera acceder a lossistemas de información o a las instalaciones donde se encuentran losrecursos, se deberá efectuar una evaluación de riesgos y unaidentificación de requerimientos de control específicos. Se tendrán encuenta los tipos de acceso (físico o lógico) implicados, el valor de lainformación, los controles empleados por la tercera parte y laincidencia de este acceso en la seguridad de la información delMinisterio.En caso que las terceras partes accedan a determinada información delMINISTERIO DEL INTERIOR Y TRANSPORTE, deberá celebrarse un acuerdo detratamiento de datos de carácter personal alojados en bases públicas.El convenio a suscribir deberá prever la transferencia de información;interconsulta y la eventual cesión de datos de carácter personalalojados en las bases de datos del MINISTERIO DEL INTERIOR YTRANSPORTE. Deberá acordarse el tipo de acceso a datos por cuenta deterceros y de cesión de datos, que dé cumplimiento a los principios detratamiento del dato y obligaciones del responsable del tratamiento, enparticular lo previsto en los artículos 4, 9, 10, 11, 14, 15 y 16 de laLey 25.326; atendiendo especialmente a establecer taxativamente lasfinalidades de la cesión, se cumplan las medidas de seguridad exigidasen relación con la calidad de los datos comprometidos; se pacteexpresamente el destino que se les dará a los datos, registros y logque puedan originarse con motivo del tratamiento durante la vigenciadel acuerdo y una vez finalizado éste.Asimismo, deberán establecerse contractualmente el alcance deresponsabilidades y sus límites, en relación con el vínculo decesionario/cedente y encargado de tratamiento/responsable de la base dedatos, respectivamente.Sin perjuicio de los requerimientos exigidos anteriormente, en elcontrato principal o en anexos complementarios, debe acordarse:• sujeción y compliance con la Política de Seguridad del MINISTERIO DEL INTERIOR Y TRANSPORTE,• controles para garantizar la recuperación o destrucción de lainformación y los activos al finalizar el contrato, o en un momentoconvenido durante la vigencia del mismo,• niveles de servicio esperados y aceptables,• autorización de transferencias de personal, cuando correspondan,• derechos de propiedad intelectual y protección de trabajos realizados en colaboración,• elaboración y presentación de informes de notificación einvestigación de incidentes y violaciones a la seguridad; deberáestablecerse el formato de presentación de dichos informes, y delreceptor de los mismos por parte del MINISTERIO DEL INTERIOR YTRANSPORTE;• derecho del MINISTERIO DEL INTERIOR Y TRANSPORTE a monitorear, auditar, y revocar o impedir la actividad de los terceros;• la relación entre proveedores del MINISTERIO DEL INTERIOR Y TRANSPORTE y subcontratistas de aquéllos.12. CONTROL DE ACCESO LOGICO12.1. ObjetivosDeben implementarse procedimientos formales que controlen la asignaciónde derechos de acceso lógico a los sistemas de información y bases dedatos del MINISTERIO DEL INTERIOR Y TRANSPORTE. Dichos procedimientosestarán claramente documentados y notificados.Los procedimientos abarcarán todas las etapas del ciclo de vida de los accesos de los usuarios de todos los niveles, incluyendo:• etapa inicial, otorgamiento de derechos de acceso a nuevos usuarios,• etapa intermedia, cambio de derechos de acceso por nuevosrequerimientos de trabajo, desplazamiento a otras áreas del MINISTERIODEL INTERIOR Y TRANSPORTE, o porque ya no se requieren.• eliminación de los derechos por baja de los usuarios.Los principales objetivos perseguidos con el control de acceso lógico alos sistemas informáticos, aplicaciones y bases de datos del MINISTERIODEL INTERIOR Y TRANSPORTE son los siguientes:• Implementar seguridad en los accesos por medio de técnicas de identificación, autenticación y autorización.• Controlar la seguridad en la interoperabilidad entre la red del Organismo y otras redes públicas o privadas.• Registrar y revisar eventos y/o actividades críticas llevadas a cabo por los usuarios en los sistemas.• Concientizar a los usuarios respecto de su responsabilidad frente ala utilización de contraseñas y equipos. Para ello se deben tener encuenta las políticas de difusión y autorización de la información:• Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.12.2. ResponsabilidadesEl Responsable de Tecnología y Seguridad Informática tendrá a su cargo:• definir normas, procedimientos y configuraciones para la gestión deaccesos a todos los sistemas, bases de datos y servicios de informacióndel MINISTERIO DEL INTERIOR Y TRANSPORTE,• definir las tecnologías de identificación y autenticación de usuariosadecuadas para la Organización (Ej.: biometría, verificación de firmas,autenticadores de hardware, etc.),• definir pautas de utilización de Internet e Intranet, estableciendoprocedimientos formales para la solicitud y aprobación de accesos.• implementar los accesos remotos a la red del MINISTERIO DEL INTERIORY TRANSPORTE, adoptando todas las medidas de seguridad de lainformación que correspondan, y cumpliendo con las normas vigentes.• monitoreo del uso del equipamiento e instalaciones informáticas, el uso de computación móvil, y el acceso remoto.• implementación de subdivisiones de la red (por ejemplo, medianteRedes LAN Virtuales), por medio de routers y/o gateways, recomendandolos esquemas más seguros, eficientes y apropiados para la red delMINISTERIO DEL INTERIOR Y TRANSPORTE.• definición de normas y procedimientos de seguridad, así como suimplementación en los sistemas operativos, servicios de red, y sistemasde comunicación (switches, routers, gateways, etc.). Los procedimientosdeberán revisarse y validarse periódicamente.El Responsable de Sistemas tendrá a su cargo:• implementar los métodos de autenticación y control de acceso definidos para los sistemas, bases de datos y servicios.• implementar pautas para los controles de acceso, a saber:- identificación, autenticación de usuarios y administración de contraseñas,- administración de permisos- utilización de servicios de red- identificación y autenticación de nodos- uso controlado y restringido de utilitarios del sistema operativo,- desconexión de terminales por tiempo muerto de uso,- limitación del horario de conexión a la red,- registro de eventos,- protección de las redes, mediante implementación de subredes,limitación de puertos de acceso, control de conexiones, control deruteo de red, etc.,• controlar la asignación de permisos a usuarios. Se deberánimplementar procedimientos formales para otorgar o bloquear losderechos de acceso a la red de acuerdo con la correspondienteautorización del Responsable Primario,• definir e implementar un proceso formal y periódico de revisión delos permisos de acceso a la información. Esta tarea se efectuarájuntamente con los Responsables Primarios de la Información,• definir e implementar registros de auditoría de eventos de los sistemas operativos, los procesos y las comunicaciones,• implementar el registro de eventos o actividades de usuarios deacuerdo con lo definido por los propietarios de la información, asícomo la depuración de los mismos,• concientizar a los usuarios sobre el uso apropiado de contraseñas yde equipos de trabajo y asistirlos en los análisis de riesgo a los quese expone tanto a la información como a los dispositivos informáticosde soporte,Los Responsables Primarios de la Información estarán encargados de:• evaluar los riesgos a los que se expone la información, con el objetode determinar los controles de accesos, autenticación y permisos de usoa implementarse en cada caso,• autorizar y solicitar la asignación de los permisos de acceso a los usuarios de su área,• autorizar y justificar las solicitudes de acceso a trabajo remoto por parte del personal a su cargo.12.3. Política de Control de AccesosLas reglas y derechos de accesos de los usuarios deben ser claramenteestablecidas. Asimismo, los proveedores de servicios deberán indicar,en forma precisa, los requerimientos técnico-comerciales que satisfacena los controles de acceso aquí establecidos.Para ello, de forma previa a la definición de las reglas de control deacceso, será menester identificar los requerimientos de seguridad de lainformación relacionada con cada una de las aplicaciones, de lalegislación aplicable y/o las obligaciones contractuales que emanen dela protección del acceso a datos y servicios.12.4. Reglas de control de accesosAl especificar las reglas de control de acceso, se debe considerar lo siguiente:• diferenciar entre reglas obligatorias, optativas o condicionales,• establecer reglas sobre la base del mínimo privilegio requerido para trabajar sobre los sistemas, bases de datos o servicios,• establecer reglas sobre la base de la premisa “Todo está generalmenteprohibido a menos que se permita expresamente”, por encima de la regla“Todo está permitido a menos que se prohíba expresamente”,• establecer lineamientos en los cambios automáticos de los rótulos deinformación, por medio de aplicativos o sistemas, versus aquellos elusuario inicia según su criterio,• controlar cambios en los permisos de usuario, efectuadosautomáticamente por el sistema operativo de red, y/o aquellos queefectúa el administrador;• definir las reglas que requieren autorización del ResponsablePrimario, antes de entrar en vigencia, y aquellas que no la requieren.• definir los perfiles de acceso de usuarios comunes a cada categoría de puestos de trabajo,• establecer los tipos de conexiones de red disponibles, administrandolos derechos de acceso que correspondan a ambientes distribuidos.12.5. Administración de Accesos de Usuarios12.5.1. ObjetivoControlar la asignación de permisos, el registro inicial de nuevosusuarios, la modificación por requerimientos de trabajo odesplazamiento de área, la revocación de permisos, eliminación deacceso y controlar los accesos no autorizados.12.5.2. Registración de UsuariosEl Responsable de Tecnología y Seguridad Informática definirá unprocedimiento formal de registro de usuarios, a fin de que elResponsable de Sistemas otorgue y/o revoque el acceso a todos lossistemas, bases de datos y servicios de información del MINISTERIO DELINTERIOR Y TRANSPORTE.Dicho procedimiento debe estipular:• uso de cuentas de usuario único, de manera detectar a cada personapor sus acciones. Se evitará, en la medida de lo posible, la existenciade múltiples perfiles de acceso para un mismo empleado. Asimismo,deberá verificarse, periódicamente, la existencia de cuentasredundantes, a fin de bloquearlas y/o eliminarlas,• excepcionalmente, permitir el empleo de cuentas grupales y/ogenéricas para el uso conveniente del correo electrónico uaplicaciones. El Responsable Primario definirá aquellos usuarios de suárea que harán uso de estas cuentas u aplicativos, indicando lospermisos que correspondan,• establecer cuentas genéricas o grupales diferentes para cada uno delos ambientes —desarrollo, prueba y producción—, donde se encuentreinstalado la aplicación.• implementar los permisos de acceso sólo si se verifica que el usuariotiene autorización formal del Responsable Primario de la Información;• verificar que los permisos de acceso a otorgar sean adecuados para elpropósito y función del usuario, en total coherencia con las presentesPolíticas de Seguridad de la Información del MINISTERIO DEL INTERIOR YTRANSPORTE. El Responsable Primario deberá asesorarse sobre los riesgosa la seguridad que impliquen otorgar accesos indebidos, opertenecientes a áreas que no son de su incumbencia.• entregar a los Responsables Primarios un detalle escrito de losderechos de acceso y recursos disponibles para los usuarios que accedana sistemas y/o datos de su área,• mantener un registro formal de todas las personas autorizadas parautilizar los servicios. El Responsable de Sistemas brindará una copiaperiódica de dicho registro a los Responsables Primarios, a la Unidadde Auditoría Interna y al Comité de Seguridad,• requerir que los usuarios notifiquen que conocen y aceptan losderechos y responsabilidades emanadas de los permisos de acceso a lainformación,• establecer los mecanismos formales de comunicación sobre los usuariosque cambian sus tareas, se desvinculan del MINISTERIO DEL INTERIOR YTRANSPORTE, o sufrieron pérdida/robo de credenciales de acceso. Esta esuna tarea conjunta entre los Responsables Primarios, el Responsable deSeguridad y el Responsable de Recursos Humanos, quien deberá informarde inmediato al Responsable de Sistemas, para modificar, eliminar obloquear los permisos de acceso según el caso,• inhabilitar cuentas inactivas por más de 180 días. Se informará alResponsable Primario, quien autorizará a la habilitación de la cuenta osu baja definitiva,• eliminar cuentas inactivas por más de 300 días,• garantizar que cada cuenta de usuario sea utilizada exclusivamente por el titular de la misma.• Los contratos de personal, terceros y/o de servicios deberán contenercláusulas que especifiquen sanciones ante la violación de los controlesde acceso autorizados.12.6. Administración de PrivilegiosEl uso inadecuado de privilegios que permitan a un usuario pasar poralto los controles de seguridad informático es una causa frecuente defallas en los sistemas informáticos. Por tanto, se deberá ejercer unestricto control en la asignación y uso de privilegios, medianteprocedimientos formales de autorización.Se deben tener en cuenta los siguientes aspectos:• identificación de los privilegios asociados a cada producto: sistemaoperativo, base de datos y/o aplicativo. Deberán definirse lascategorías de personal a las cuales se asignarán los privilegios,• asignar privilegios sobre la base del mínimo permiso necesario y lanecesidad de uso de acuerdo con el rol funcional del usuario,• implementar procedimientos de autorización y registro de todos los privilegios asignados,• no otorgar privilegios sin haber completado el proceso formal de autorización,• establecer períodos de vigencia los privilegios brindados, en base a la utilización que se le dará a los mismos.• Revocar los permisos al finalizar su uso o los motivos que le dieron causa,• desarrollar rutinas del sistema operativo para evitar la necesidad de otorgar privilegios a los usuarios,Los Responsables Primarios de la Información serán los encargados deautorizar y requerir la asignación de privilegios a los usuarios. ElResponsable de Sistemas ejecutará la solicitud y el Responsable deTecnología y Seguridad supervisará los pedidos.12.7. Administración de Contraseñas de UsuarioLas contraseñas constituyen un medio común de validación de laidentidad de un usuario para acceder a un sistema o servicioinformático. La asignación de contraseñas debe controlarse a través deun proceso de administración formal, mediante el cual debe llevarse acabo lo siguiente:• los usuarios firmarán una declaración de compromiso de mantener ensecreto las contraseñas de sus cuentas (red, correo, aplicativos,etc.), que formará parte del compromiso de confidencialidad anexo alcontrato de trabajo. Una cláusula de igual tener será incluida en losacuerdos o contratos firmados con terceras partes u Organismos ajenosal MINISTERIO DEL INTERIOR Y TRANSPORTE.• se implementará el uso de contraseñas provisorias, que se asignarán ausuarios temporales o cuando un usuario haya olvidado su contraseña. Eltitular de la cuenta deberá cambiar dicha contraseña la primera vez queingrese a los sistemas.• las contraseñas provisorias se suministrarán una vez que el Responsable Primario haya autorizado formalmente su asignación,• se recomienda generar contraseñas provisorias seguras. Debe evitarsela participación de terceros, tanto en la generación como en la entregade la misma. Si se emplea correo electrónico, se recomienda entregar lacontraseña por medio de mensajes cifrados, con acuse de recibo porparte del usuario,• en caso que ser necesario, utilizar tecnologías de autenticación yautorización de usuarios, como ser verificación de firma digital, usode autenticadores de hardware (p. ej.: tarjetas de circuito integrado),biometría (p. ej.: verificación de huellas dactilares), etc. ElResponsable de Tecnología y Seguridad evaluará y propondrá el empleo deestas herramientas al Comité de Seguridad,• configurar los sistemas de tal manera que las contraseñas tengan una longitud mínima de 8 caracteres,• bloquear la cuenta cuando el usuario haya efectuado 5 intentos deingresar con una contraseña incorrecta. El usuario podrá solicitar unarehabilitación manual de la cuenta, para lo cual deberá solicitarse unrequerimiento formal, autorizado por el Responsable Primario de laInformación.• requerir cambios contraseña trimestrales, impidiendo que las últimas 3 sean reutilizadas,• imponer el uso de cuentas personales individuales, a fin de efectuar un para determinar responsabilidades,• permitir que los usuarios seleccionen y cambien sus propiascontraseñas, en los casos de ingreso inicial o modificación autorizada,• mantener un registro (por ejemplo: a través del Sistema Operativo) delas últimas contraseñas utilizadas por el usuario, para evitar lareutilización de las mismas,• mantener ocultas las contraseñas, cuando se ingresan por pantalla,• los archivos de contraseñas de acceso a las aplicaciones debenalmacenarse en forma separada a los archivos de contraseñas de bases dedatos,• se recomienda almacenar las contraseñas en forma cifrada, utilizando un algoritmo de cifrado unidireccional, hash u otro,• modificar todas las contraseñas predeterminadas por el vendedor, unavez instalado el software y el hardware (por ejemplo claves deimpresoras, hubs, routers, etc.). De ser posible, debe cambiarse elnombre del usuario administrador inicial (p. ej.: admin, root,administrador, etc.),12.8. Uso de Cuentas con Perfil de AdministradorExisten cuentas de usuario con las cuales es posible efectuaractividades críticas, como ser instalación y administración deplataformas, habilitación de servicios, actualización de software,configuración de componentes informáticos, etc.Dichas cuentas tienen el nivel superior de privilegios. No deben ser deuso habitual, y sólo serán utilizadas ante una necesidad crítica o unatarea que lo requiera. Las mismas se encontrarán protegidas porcontraseñas más robustas que el procedimiento habitual.El Responsable de Tecnología y Seguridad definirá procedimientos parala administración de dichas cuentas. Deberá contemplarse lo siguiente:• definir formalmente las causas que justifiquen el uso de cuentas deadministrador, así como los niveles de autorización requeridos,• definición de contraseñas seguras.• de ser posible, renombrar las cuentas administrativas embebidas en los sistemas operativos,• los nombres y las contraseñas de las cuentas críticas se resguardaráncon un alto nivel de seguridad (p. ej.: en archivos encriptados),• registrar y revisar todas las actividades que se efectúen con lascuentas críticas, renovándose las correspondientes contraseñas, de serposible, una vez que sean usadas,12.9. Uso de ContraseñasLos usuarios deberán observar prácticas confiables en la selección yuso de contraseñas, teniendo en cuenta que éstas constituyen el mediode validación de derechos de acceso a los recursos informáticos, siendode cumplimiento obligatorio:• mantener las contraseñas en secreto,• pedir un cambio de la contraseña siempre que exista un posible indicio de violación de las contraseñas o los sistemas.• seleccionar contraseñas seguras, que tengan en cuenta las siguientesrecomendaciones: que sean fáciles de recordar por el titular de lacuenta; que no estén basadas en algún dato que otra persona puedaadivinar u obtener fácilmente; y que no tengan caracteres idénticosconsecutivos o grupos totalmente numéricos o totalmente alfabéticos.• cambiar las contraseñas cada vez que el sistema se lo solicite.• evitar reutilizar contraseñas viejas.• cambiar las contraseñas provisorias en el primer inicio de sesión(“log on”). El sistema operativo podrá obligar al usuario a este cambio.• notificar cualquier incidente relacionado con la pérdida, robo de las contraseñas.• en el caso de múltiples servicios o plataformas, se recomienda elempleo de un sistema de integración de identidades, con acceso porcuenta única.12.10. Control de acceso a la red12.10.1. ObjetivoEs necesario controlar el acceso a las redes del MINISTERIO DELINTERIOR Y TRANSPORTE, a fin que los usuarios puedan hacer uso de losservicios, tanto internos como externos, sin comprometer la seguridad.Atento ello, se sugiere implementar:• interfaces adecuadas entre la red del MINISTERIO DEL INTERIOR YTRANSPORTE, sus Direcciones Nacionales, y las redes públicas o redescon las que se interconecte de terceros Organismos;• mecanismos de autenticación apropiados para usuarios y equipamiento;• controles de acceso a los servicios.12.10.2. Política de utilización de los servicios de redEl Responsable de Sistemas otorgará el acceso a los servicios yrecursos de red, siempre y cuando se efectúe el requerimiento formalpor parte del Responsable Primario, para el personal de su incumbencia.Se dará especial importancia a aquellas aplicaciones que proceseninformación crítica, y a usuarios ubicados en sitios de alto riesgo(por ejemplo: áreas de afluencia de público, oficinas externas alámbito de control de seguridad del Organismo, etc.).Para ello, se implementarán procedimientos para activar y desactivar conexiones a las redes. Se considerará:• identificar los servicios de red y las conexiones para a los cuales se brinda el acceso,• implementar normas y procedimientos de autorización, a fin de determinar las personas que harán uso de los servicios de red,• establecer controles y procedimientos de gestión para proteger las conexiones y los servicios.12.10.3. Camino ForzadoPreviendo las posibles vulnerabilidades que pueden sucederse aconsecuencia del diseño de las redes de comunicaciones, deben limitarselas opciones de elección de la ruta entre la terminal de usuario y losservicios de red autorizados, siendo recomendable:• asignar números telefónicos o líneas, en forma dedicada,• establecer que todas las conexiones autorizadas pasen a través dedispositivos de seguridad específicos (por ejemplo: conexiones forzadasa firewalls, routers, etc.).• limitar las opciones de menú y submenú en los aplicativos, para los usuarios no administrativos,• en los puestos de trabajo, limitar los aplicativos y opcionesinstalados en el escritorio a los relacionados con las tareasespecíficas de cada usuario,• evitar la navegación ilimitada por la red por medio de dominioslógicos separados (por ejemplo, redes privadas virtuales para grupos deusuarios dentro o fuera del MINISTERIO DEL INTERIOR Y TRANSPORTE),• imponer el uso de aplicativos y/o gateways de seguridad específicos para usuarios externos de la red,12.10.4. Autenticación de NodosLos usuarios remotos deben cumplir con procedimientos de autenticación,para disminuir el riesgo de accesos no autorizados mediante conexionesexternas a la red de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE. Atal fin, los Responsables Primarios y de Sistemas realizarán unaevaluación de riesgos a fin de determinar el mecanismo de autenticaciónadecuado para cada caso.Las conexiones de sistemas remotos deben autenticarse, particularmentesi las mismas provienen de redes externas al control de la gestión deseguridad del Organismo.La autenticación de nodos es un medio alternativo de establecer laidentidad de usuarios remotos, cuando éstos desean acceder a una redsegura. La autenticación de usuarios remotos puede llevarse a caboutilizando:• herramientas físicas de autenticación (por ejemplo llaves dehardware). Para ello, debe implementarse un procedimiento que incluyauna asignación formal de la llave de autenticación a quien lo requiera,un registro de los poseedores de las herramientas que se actualiceperiódicamente, un proceso de recuperación/devolución de la herramientaal momento de la desvinculación del personal poseedor de la misma y unmétodo de revocación de acceso, en caso de un compromiso a la seguridad.• protocolos de autenticación (por ejemplo desafío/respuesta). En estecaso, debe implementarse un procedimiento que incluya elestablecimiento de las reglas de autenticación con el usuario, elestablecimiento de un ciclo de vida de las reglas, en miras a surenovación.• líneas dedicadas privadas con controles de rellamada. En este caso esimportante que el proceso produzca una desconexión real del lado delOrganismo, al finalizar la llamada.• redes privadas virtuales.12.10.5. Protección de los puertos de diagnóstico remotoMuchas computadoras y sistemas de comunicación poseen una herramientade diagnóstico remoto, para uso del soporte técnico. Los puertos dediagnóstico son un potencial medio de acceso no autorizado, por lo quedeben protegerse, ejerciendo un control seguro sobre los mismos.Algunos mecanismos de seguridad apropiados pueden ser:• llaves de seguridad,• procedimientos de acceso, establecidos mediante un acuerdo entre elResponsable de Sistemas y el proveedor del soporte técnico de losrecursos informáticos,12.10.6. Computación Móvil y Trabajo RemotoAl emplear equipos informáticos móviles, se debe tener especial cuidadode no comprometer la información del Organismo. En esta categoría seincluyen a modo enunciativo y ejemplificativo no taxativo, todos losdispositivos móviles y/o removibles, a saber:• notebooks, laptops o PDA (Asistente Personal Digital),• teléfonos celulares, blackberry y sus tarjetas de memoria,• dispositivos de almacenamiento removibles, tales como CD’s, DVD’s, diskettes, cintas, discos, etc.,• dispositivos de almacenamiento de conexión de Bus Serie Universal—USB—, tales como: tarjetas de identificación personal (control deacceso), dispositivos criptográficos, cámaras digitales, reproductoresde archivos mp3, etc.• otros dispositivos removibles o portátiles que puedan contener información confidencial, sensible y/o crítica del Organismo.Se implementarán procedimientos y medidas de seguridad adecuadas parael uso de estos dispositivos, abarcando los siguientes conceptos:• acceso a los sistemas de información y servicios del Organismo a través de dichos dispositivos.• técnicas criptográficas a utilizar para la transmisión de información con alto nivel de clasificación.• mecanismos de resguardo de la información contenida en los dispositivos.• protección contra software malicioso.• procedimientos sobre los cuidados especiales a observar, contemplandolas siguientes recomendaciones: permanecer siempre cerca deldispositivo, no dejar equipos desatendidos, tratándose de equiposvaliosos, no llamar la atención, abstenerse de poner identificacionesdel Organismo en el dispositivo, salvo lo estrictamente necesario, noponer datos de contacto técnico en el dispositivo y mantener lainformación clasificada de forma cifrada.• procedimientos para que el portador de los dispositivos reporterápidamente cualquier incidente sufrido, de manera de mitigar losriesgos de exposición de los sistemas de información del Organismo.El trabajo remoto permite que el personal trabaje desde un lugarexterno al Organismo, mediante una tecnología de comunicaciones; y seráautorizado por el Responsable Primario del área a la cual pertenezca elusuario solicitante, y el Responsable de Sistemas.Las normas y procedimientos establecidos para el trabajo remoto, deben tener en cuenta los siguientes aspectos:• la seguridad física existente en el edificio y el ambiente del sitio de trabajo remoto.• los requerimientos de seguridad de comunicaciones, atendiendo a lasensibilidad de la información a la que se accederá y la sensibilidady/o criticidad del sistema al que se accede, conforme el perfil deacceso que tenga el usuario.• las amenazas de acceso no autorizado a información o recursos porparte de otras personas que utilizan el lugar, por ejemplo, familia yamigos.• cuando corresponda, bloquear las autorizaciones, y derechos de acceso al finalizar las actividades de trabajo remoto.• cuando corresponda, establecer procedimientos para la devolución deequipamiento, propiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE, quehaya sido utilizado en las actividades remotas, cuando éstas hayanfinalizado. Se deberá asegurar que dicho equipamiento sea reintegradoen las mismas condiciones en que fue entregado.• evitar la instalación/desinstalación de software no autorizado por el Organismo, desde lugares remotos.12.10.7. Subdivisión de RedesLa interconexión de las oficinas centrales del MINISTERIO DEL INTERIORY TRANSPORTE, sus Direcciones Nacionales, y Delegaciones del Interiordel país configura una red de área extensa (WAN). Esta configuracióndebe protegerse, para evitar el riesgo de accesos no autorizados.Para ello, se definirán los perímetros de seguridad que seanconvenientes. Los mismos se implementarán mediante la instalación defirewalls o por redes privadas virtuales, para filtrar el tráfico.Asimismo, puede implementarse una subdivisión en dominios lógicos dered, que tome en cuenta criterios como:• requerimientos de seguridad comunes de grupos usuarios• mayor o menor exposición de un grupo a peligros externos, separaciónfísica, u otros criterios de aglutinamiento o separación preexistentes.El Responsable de Tecnología y Seguridad determinará el esquema másapropiado, evaluando el costo y el impacto de performance que ocasionela instalación de routers o gateways adecuados para subdividir la red.12.10.8. Control de Ruteo de RedEn las redes, especialmente aquellas que se extienden fuera de loslímites del Organismo, se incorporarán controles de ruteo, paraasegurar que las conexiones informáticas no violen las políticas deControl de Accesos. Estos controles deben contemplar, como mínimo, laverificación positiva de direcciones de origen y destino. Otros métodospueden ser: autenticación de protocolos de ruteo, ruteo estático,traducción de direcciones y listas de control de acceso.12.10.9. Seguridad de los Servicios de RedEl Responsable de Tecnología y Seguridad definirá los lineamientos paragarantizar la seguridad de los servicios de red del MINISTERIO DELINTERIOR Y TRANSPORTE, tanto públicos como privados. Para ello setendrán en cuenta las siguientes pautas:• instalar y habilitar sólo aquellos servicios que sean efectivamente utilizados,• controlar el acceso a los servicios, tanto en el uso como en la administración,• verificar las vulnerabilidades que pueda presentar cada servicio, para configurarlo de manera segura,• implementar procedimientos para instalar actualizaciones y parches deseguridad que publiquen los fabricantes o proveedores de los sistemasen forma periódica.Las configuraciones de los servicios deberán documentarse, y revisarse periódicamente.12.11. Control de acceso al sistema operativo12.11.1. ObjetivoImpedir el acceso no autorizado a servidores y puestos de trabajo. Atal fin, se utilizarán mecanismos de seguridad a nivel de sistemaoperativo, a fin de restringir el acceso a los recursos de losservidores y puestos de trabajo. Dentro del catalogo de medidasdisponibles, se estima oportuno configurar el sistema operativo de modoque sea posible:• identificar y verificar la identidad, además de la terminal o ubicación de cada usuario autorizado,• registrar accesos exitosos y fallidos al sistema,• suministrar medios de autenticación apropiados. Si se empleansistemas de administración de contraseñas, debe asegurarse la calidadde las mismas (conforme Punto 11),• restringir los tiempos de duración de sesiones de red, según corresponda.12.11.2. Identificación de Puestos de Trabajo y ServidoresEl Responsable de Tecnología y Seguridad efectuará una evaluación deriesgos para determinar un método de identificación adecuado. De dichaevaluación, se redactará un procedimiento que indique:• el método de identificación utilizado,• la forma de describir cada equipo en el detalle global de la red.12.11.3. Procedimientos de ConexiónEl acceso a los servicios de información sólo será posible a través deun proceso de inicio de sesión seguro, que permita minimizar laoportunidad de accesos no autorizados. Debe divulgarse la mínimainformación posible acerca de los sistemas, a fin de no proveerasistencia innecesaria a un usuario no autorizado.En el proceso de conexión a la red o aplicativos, se deberá implementar lo siguiente:• mantener en secreto las claves de acceso,• desplegar un aviso general advirtiendo que sólo usuarios autorizados pueden acceder al puesto de trabajo o un servidor,• no presentar mensajes de ayuda,• validar la información de la conexión sólo al completarse el inicio de sesión,• si surge una condición de error, el sistema no debe indicar qué parte de los datos es correcta o incorrecta.• limitar el número de reintentos de conexión, a un límite máximo de cinco (5),• registrar los intentos de acceso no exitosos,• una vez superado el límite permitido para reintentos de acceso, el equipo debe bloquear temporalmente la conexión a la red.12.11.4. Identificación y autenticación de los usuariosLos usuarios de los servicios de red del MINISTERIO DEL INTERIOR YTRANSPORTE deben tener una única cuenta de acceso al sistema operativo,cualquiera sea su jerarquía, función o tarea. La misma debe ser de usoexclusivo por su titular, no debiendo ser transferida bajocircunstancia alguna. En caso de existir un compromiso de seguridad,las actividades de la cuenta podrán rastrearse, hasta llegar alindividuo responsable.Las cuentas personales no deben dar ningún inicio del nivel deprivilegio del usuario. Se recomienda que las mismas se denominenindicando la primera letra del nombre y el apellido, con un máximo dedoce (12) caracteres.Para el caso del sistema de correo, se podrán emplear cuentasgenéricas, a compartir con un grupo de usuarios, a fin de cumplir unatarea específica. Para ello, se requerirá la definición de unresponsable de cuenta, designado por el Responsable Primario de laInformación, así como una justificación para la creación y uso de lamisma.12.11.5. Uso de Utilitarios de Sistemas OperativosLa mayoría de los sistemas operativos de las instalaciones informáticastienen uno o más programas utilitarios pre-instalados. Estosutilitarios tienen capacidad de pasar por alto controles de sistemas yaplicaciones. Por ello, se impone que su uso sea limitado. Se debenconsiderar los siguientes controles:• los utilitarios del sistema deben ser sólo accesibles a losadministradores de los sistemas operativos instalados en los equipos.• en los puestos de trabajo, los usuarios autorizados sólo deben acceder a software de aplicaciones.• definir y documentar los niveles de autorización para utilitarios de sistemas.• de ser posible, eliminar o inhabilitar los utilitarios y software de sistema innecesarios.12.11.6. Desconexión por Tiempo Muerto en Puestos de TrabajoLos Responsables Primarios, en conjunto con el Responsable deTecnología y Seguridad, definirán qué puestos de trabajo seránconsiderados de alto riesgo (por ejemplo: aquellos con sistemascríticos instalados, y ubicados en zonas de acceso al público).Se considerará el apagado de los puestos de trabajo, luego períododefinido de inactividad —tiempo muerto—, a fin de evitar el acceso depersonas no autorizadas. La herramienta de desconexión por tiempomuerto limpiará la pantalla de la terminal y habilitará un protector depantalla protegido con contraseña. El lapso por tiempo muertoresponderá a los riesgos de seguridad del área y de la información quese maneje en el puesto de trabajo.12.10.7. Limitación del Horario de ConexiónLas restricciones al horario de conexión suministrarán seguridadadicional a las aplicaciones, reduciendo las oportunidades para elacceso indebido a los sistemas. Se recomienda implementar un control deesta índole, especialmente para aquellos puestos instalados enubicaciones de alto riesgo (por ejemplo áreas de acceso al público, odonde se estén procesando datos sensibles o críticos). Entre loscontroles a aplicar, se distinguen:• limitar los tiempos de conexión al horario normal de oficina,teniendo en cuenta que no existan requerimientos operativos de horasextras o extensión horaria.• documentar debidamente a los usuarios que tienen restricciones horarias, así como los motivos de autorización.El Responsable Primario deberá autorizar las solicitudes de fijación dehorario de conexión. El Responsable de Sistemas implementará lasherramientas necesarias para establecer los límites horarios deconexión.12.12. Control de Acceso a las Aplicaciones12.12.1. ObjetivoImpedir el acceso no autorizado a la información contenida en lossistemas de información. Las herramientas de seguridad deben serutilizadas para brindar el acceso a los usuarios autorizados. Lossistemas de aplicación deben:• controlar el acceso de usuarios a la información y a las funciones delos sistemas de aplicación, de acuerdo con la política de control deaccesos definida;• brindar protección contra el acceso no autorizado, principalmente deutilitarios y software del sistema operativo que tengan capacidad depasar por alto los controles de seguridad;• funcionar sin la seguridad de otros sistemas con los que se comparten recursos de información;• brindar acceso a la información únicamente al responsable Primario, ya quienes éste autorice, mediante designación formal. También ingresaráa los sistemas el personal de soporte que esté debidamente notificado.12.12.2. Restricción del Acceso a la InformaciónLos usuarios de sistemas de aplicación, con inclusión del personal desoporte, tendrán acceso a la información y a las funciones de lossistemas de aplicación de conformidad con la política de Control deAccesos definida (Ver Punto 11). Para poder administrar adecuadamentelos requerimientos de limitación de acceso, se aplicarán los siguientescontroles:• proveer interfaces de control de accesos a las funciones de los aplicativos,• el Responsable de Sistemas implementará, configurará y administrarálas interfaces de control de accesos. Además, deberá establecerse unprocedimiento para delegar la administración en los ResponsablesPrimarios que hagan uso de una aplicación en particular,• el Responsable Primario autorizará los requerimientos formales deacceso a las funciones de cada aplicativo. En caso que el mismo poseala administración del aplicativo, el Responsable de Sistemas deberárecibir la documentación formal de los tipos de accesos habilitados,• el usuario sólo podrá acceder a aquellas funciones operativasnecesarias para su desempeño cotidiano (principios de menor privilegioy de necesidad de saber),• el usuario deberá poseer la documentación necesaria para poder efectuar las operaciones las que está autorizado,• deberán controlarse los derechos de acceso de los usuarios, (por ejemplo, lectura, escritura, borrado y ejecución),• las salidas de datos de los sistemas de aplicación (listados,informes, etc.) sólo contendrán la información específica requerida porla entrada. Las mismas sólo se enviarán a los puestos y/ impresorasautorizados.• las salidas de datos deberán revisarse periódicamente, a fin de detectar y remover información redundante.• deberá evitarse la posibilidad de modificación directa de datosalmacenados, es decir, por fuera de las interfaces de acceso. Estaopción tendrá un justificativo en caso de sistemas en ambientes dedesarrollo. De presentarse excepciones, el Responsable de Sistemasinformará al Responsable Primario y a la Unidad de Auditoría Interna,estableciéndose un procedimiento adecuado.12.12.3. Aislamiento de SistemasSe recomienda proteger a aquellos sistemas que se hallen expuestos alriesgo de pérdida de datos. Para ello, será necesario disponer deentornos dedicados o aislados, de manera que sólo se compartan recursoscon sistemas de aplicación confiables. Se estima conveniente aplicarlas siguientes consideraciones:• definir claramente la clasificación de un sistema de aplicación. Estatarea será llevada a cabo por los Responsable Primario y de Sistemas.• definir la manera en que se compartirán los recursos de los sistemas.• el Responsable de Sistemas implementará la configuración de losentornos dedicados, de manera que respondan a los requerimientos declasificación definidos para los sistemas allí instalados,• el Responsable de Sistemas deberá considerar una administraciónsegura de las copias de respaldo de información procesada en losentornos dedicados.• el Responsable de Sistemas deberá considerar los aspectos decriticidad y confidencialidad, en la elaboración de planes decontinuidad y/o contingencia de las aplicaciones. Por ejemplo: disponerde equipamiento o instalaciones alternativas donde restablecer lossistemas, en caso de emergencias, en las mismas condiciones que las delsitio principal.12.13. Monitoreo del Acceso y Uso de los Sistemas12.13.1. ObjetivoMonitoreo de los sistemas para comprobar la eficacia de los controlesadoptados, recolectar evidencia relativa a incidencias de seguridad yverificar la conformidad con el modelo de política de accesos.Deben contarse con controles de acceso necesarios, a fin de evitar:• desactivación de la herramienta de registro.• alteración de mensajes registrados.• edición o supresión de archivos de registro.• saturación del almacenamiento de archivos de registro.• falla en los registros de los eventos.• sobre-escritura de los registros.La Unidad de Auditoría Interna podrá acceder a los registros deeventos, a fin de colaborar en el control y efectuar recomendacionessobre modificaciones a los aspectos de seguridad. También podránevaluar las herramientas de registro, pero no tendrán libre acceso aellas.12.13.2. Monitoreo del Uso de los SistemasSe desarrollarán procedimientos para monitorear el uso de los recursosinformáticos, a fin de garantizar que los usuarios desempeñenactividades autorizadas.Todos los usuarios de la red del MINISTERIO DEL INTERIOR Y TRANSPORTEdeben conocer el alcance del uso adecuado de los recursos. Atento ello,serán advertidos respecto de determinadas actividades que puedan serobjeto de control y monitoreo.A título meramente enunciativo, se estima oportuno incluir dentro del monitoreo de red y sistemas, los siguientes:• accesos, incluyendo: identificación del usuario; fecha y hora deeventos clave; tipos de eventos; archivos a los que se accede;utilitarios y programas utilizados.• operaciones privilegiadas, tales como: utilización de cuentasadministrativas; inicio y cierre del sistema; conexión y desconexión dedispositivos de entrada y salida de información; cambio de fecha/hora;cambios en la configuración de la seguridad; alta de servicios.• intentos de acceso no autorizado, tales como: intentos fallidos deviolación a las políticas de accesos; notificaciones en gateways yfirewalls; alertas de sistemas de detección de intrusiones.• alertas o fallas de sistema, tales como: alertas o mensajes deconsola; excepciones de los sistemas de registro; alarmas deadministración de redes y accesos remotos a los sistemas.13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS13.1. ObjetivoDefinir las normas y procedimientos que se aplicarán durante el ciclode vida de producción de los aplicativos, y sobre la infraestructura debase en la cual se apoyan.Implementar controles para evitar riesgos de maniobras dolosas sobrelos sistemas, bases de datos y plataformas de software de base (porejemplo, operadores que puedan manipular los datos, atacantes quepuedan comprometer la integridad de los datos, etc.).13.2. AlcanceEsta Política se aplica a:• todos los sistemas informáticos, sean propietarios o adquiridos a terceras partes.• Sistemas Operativos y/o Software de Base y/o utilitarios que integrenlos ambientes administrados donde residan los desarrollos mencionados.13.3. ResponsabilidadesEl Responsable de Sistemas, junto con cada Responsable Primariodefinirán los controles a ser implementados en los sistemasdesarrollados internamente o por terceras partes, en función de unaevaluación previa de riesgos.Se incorporarán, de ser necesario, métodos criptográficos, en funciónde la criticidad o la confidencialidad requeridas para la información.En dicho caso, el Responsable de Sistemas definirá los métodos deencriptación a ser utilizados.A tales efectos, el Responsable de Sistemas deberá considerar:• definir los controles y las medidas de seguridad a ser incorporadas a los sistemas.• garantizar el cumplimiento de los requerimientos de seguridad para el software,• verificar la seguridad de las plataformas y bases de datos,• definir y verificar el cumplimiento de controles para el desarrollo y mantenimiento de sistemas,• definir procedimientos para el control de cambios a los sistemas• controlar la introducción de código maliciosos,• participar en la definición de las funciones del personal involucradoen el procesamiento de datos (entradas, salidas, etc.), junto con losResponsables Primarios de los sistemas que correspondan,• definir procedimientos de administración de claves criptográficas,• asignar funciones para un Implementador y un Administrador de programas, dentro del área a su cargo,• incorporar aspectos relacionados con el licenciamiento, la calidaddel software y la seguridad de la información en los contratos conterceros por el desarrollo de software.13.4. Requerimientos de controles de seguridadLos controles de seguridad estarán especificados en los requerimientosde nuevos sistemas y en las mejoras a los existentes. Lasespecificaciones tendrán en cuenta controles automáticos o manuales deapoyo que se deban incorporar al sistema.Se considerará lo siguiente:• un procedimiento para incorporar controles de seguridad durante lasetapas de análisis y diseño del sistema. Dicho procedimiento incluiráuna etapa de evaluación de riesgos previa al diseño, para definirespecificar y aprobar los requerimientos de seguridad y controlesapropiados, sean éstos manuales o automáticos. En esta tareaparticiparán las áreas usuarias, Desarrollo de Sistemas y SeguridadInformática. Las áreas involucradas podrán solicitar certificaciones yevaluaciones independientes para los sistemas a poner en Producción.• evaluación de costo y esfuerzo en los controles requeridos, debiendoéstos ser proporcionales al valor del bien que se quiere proteger y alos riesgos sobre las actividades planificadas, entendiendo que todocontrol es mucho menos costoso de implementar y mantener si se lointroduce en la etapa de desarrollo de un sistema.13.5. Seguridad en los Sistemas de AplicaciónPara evitar la pérdida, modificación o uso inadecuado de datospertenecientes a los sistemas de información, se establecerán controlesy registros, verificando:• validación de datos de entrada,• procesamiento interno,• autenticación de mensajes y comunicación entre sistemas,• validación de datos de salida.13.5.1. Validación de Datos de EntradaSe especificarán controles que aseguren la validación de los datosingresados. Dichos controles se ubicarán tan cerca del punto de origencomo sea posible, e incluirán datos permanentes y tablas de parámetros.Los controles se implantarán en la etapa de desarrollo.Se considerarán los siguientes controles:• secuencia,• monto límite por operación y tipo de usuario,• rango y validez de valores posibles, de acuerdo con criterios predeterminados,• paridad,• comparaciones contra valores cargados en las tablas de datos,• controles por oposición, de forma tal que quien ingrese un dato no pueda autorizarlo y viceversa,• entrada dual u otros para detectar los siguientes errores: valoresfuera de rango; caracteres inválidos en campos de datos; datosfaltantes o incompletos; volúmenes de datos que exceden los límitesinferior y superior; controles de datos no autorizados o inconsistentes.Se especificarán las siguientes acciones a llevar a cabo:• revisiones periódicas de contenidos de campos claves o archivos dedatos, indicando quién lo realizará, en qué forma, con qué método, aquiénes se informa el resultado, etc.,• alternativas a seguir frente a errores de validación en un aplicativo,• definición de responsabilidades del personal involucrado en los procesos de entrada de datos.13.5.2. Controles de Procesamiento InternoSe incorporarán controles de validación que permitan minimizar oeliminar riesgos por fallas de procesamiento o en la detección deerrores. Los controles se implantarán en la etapa de desarrollo.Se considerarán los siguientes controles:• las funciones de agregado y eliminación que realizan cambios en losdatos deberán estar identificadas, dentro de los aplicativos,• verificar la ejecución de los aplicativos en el momento adecuado,• verificar que los aplicativos se ejecuten en el orden correcto,previniendo la falta de secuencia o fallas de procesamiento previo,• verificar la finalización programada en caso de falla, o la detención del proceso hasta que el problema sea resuelto.• revisión periódica de los registros de auditoría, para detectar anomalías en la ejecución de transacciones,• validación de datos generados por el sistema,• verificación de integridad de datos y del software,• control de integridad de registros y archivos,13.5.3. Autenticación de MensajesCuando una aplicación envíe mensajes con información clasificada, se deberán implementar controles criptográficos.10.5.4. Validación de Datos de SalidaSe establecerán procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:• probar si los datos de salida son admisibles,• conciliación de cuentas para asegurar el procesamiento de todos los datos,• proveer información suficiente, para que el usuario o el sistema deprocesamiento subsiguiente pueda determinar la exactitud, totalidad,precisión y clasificación de la información,• indicaciones de las pruebas de validación de salidas,• definición de responsabilidades del personal afectado al proceso de salida de datos.13.6. Seguridad en el Ambiente de Producción13.6.1. ObjetivoGarantizar que las actividades de soporte de tecnología de la información se lleven a cabo de manera segura.13.6.2. Control del software de ProducciónLa implementación de software en los sistemas en el ambiente deoperaciones será controlada, a fin de minimizar el riesgo de alteraciónde datos o sistemas en dicho ambiente. Se tendrá en cuenta lo siguiente:• la actualización de bibliotecas de sistemas en Producción sólo serárealizada por el implementador designado, una vez establecidas lasaprobaciones correspondientes,• de ser posible, los aplicativos en Producción sólo contendrán código ejecutable,• se implementará código ejecutable en Producción sólo después que sehaya aprobado en el entorno de Pruebas. Esto incluye la aceptación delusuario, y la actualización de las correspondientes bibliotecas deprogramas fuente,• se mantendrá un registro de auditoría de las actualizaciones a las bibliotecas de programas en el entorno operativo,• se mantendrá una copia de resguardo de las versiones previas de software, como medida de contingencia.Cuando se trate de software suministrado por terceras partes, se deberácontar con un contrato de soporte del mismo. El acceso al entorno deambiente de Producción por terceras partes sólo se otorgará con finesde soporte, y con previa aprobación del Responsables Primario y deSistemas. Las actividades de los proveedores serán sometidas amonitoreo.Toda decisión referida a actualizaciones de software debe tomar encuenta la seguridad, como nuevas funcionalidades puedan afectar a laprotección de los datos, o qué vulnerabilidades se presentan frente alos cambios.Los parches de software deben aplicarse en Producción cuandocontribuyan a mitigar o eliminar debilidades en materia de seguridad,luego de haber sido verificados y aprobados en el entorno de Pruebas.13.6.3. Protección de los datos de prueba del sistemaLos datos del entorno de Pruebas deben ser protegidos y controlados.Las pruebas de aceptación del sistema normalmente requieren volúmenesconsiderables de datos, que serán tan similares a los datos deProducción como sea posible.Se debe evitar el uso de bases de datos operativas, o que contenganinformación personal. La información de prueba debe serdespersonalizada, aplicándose los siguientes controles sobre la misma:• los procedimientos de control de accesos serán los mismos para los entornos de Prueba y de Producción.• tanto el Responsable Primario como el Responsable de Sistemas deberánautorizar las copias de datos desde el ambiente de Producción al dePruebas.• la información de Producción que se utiliza en el entorno de Pruebasse eliminará de este último ambiente, una vez concluidos todas lasverificaciones.13.6.4. Control de acceso a las bibliotecas de programa fuenteSe mantendrá un control estricto del acceso a las bibliotecas deprogramas fuente, de modo de evitar alteraciones indebidas sobre losaplicativos. Al respecto se efectúan las siguientes consideraciones:• en de lo posible, las bibliotecas de programas fuente no deben almacenarse en el ambiente de Producción.• el responsable de Sistemas designará un implementador que administreel almacenamiento de las bibliotecas de programas, para cada aplicación.• la documentación de los aplicativos se almacenará en un entorno seguro.• los aplicativos en desarrollo, mantenimiento o pruebas deben almacenarse en entornos diferentes al de Producción.• sólo el implementador podrá llevar a cabo la actualización y/odistribución de bibliotecas de programas fuente, con la autorizacióndel responsable del soporte de cada aplicación.• se mantendrán registros de auditoría de los accesos a las bibliotecas de programas fuente.• se dispondrá de copias de resguardo de versiones anteriores de losprogramas fuente, con una clara indicación de las fechas y horasprecisas en las cuales estaban en operaciones.• tanto el mantenimiento como las copias de bibliotecas de programasfuente deben sujetarse a procedimientos estrictos de control de cambios.13.7. Seguridad en los Entornos - Desarrollo Prueba y Producción13.7.1. ObjetivoMantener y controlar la seguridad del software y la información delsistema de aplicación, en los entornos de Desarrollo y Prueba.13.7.2. Procedimientos de control de cambiosA fin de minimizar riesgos por alteraciones no previstas en lossistemas informáticos, debe existir un control estricto de laimplementación de cambios.Debe disponerse de procedimientos para el control de cambios, de manerade garantizar que no se comprometa la seguridad, que los programadoresde soporte sólo accedan a áreas del sistema que competan a las tareasde actualización, y que existan aprobaciones formales para cualquiercambio.A este respecto, se estima conveniente que los procedimientos de control de cambios incluyan:• un registro de los niveles de autorización formales acordados. Todaautorización debe emitirse antes de implementar los cambios,• revisar que los cambios no comprometan controles ni procedimientos de integridad,• identificar todo el software, la información, las bases de datos y el hardware que requieran correcciones;• garantizar que la implementación se lleve a cabo sin afectar continuidad de las actividades del MI;• garantizar que todo cambio incluya la actualización de la documentación pertinente,• mantener un control de versiones para todas las actualizaciones de software;• mantener un registro de auditoría de todos los requerimientos de cambio.13.7.3. Revisión técnica de cambios en los sistemas operativosPeriódicamente es necesario cambiar el sistema operativo de losservidores por ej. instalar una versión nueva o parches. En estoscasos, deben revisarse los aplicativos instalados, para garantizar queno se produzca un impacto adverso en las operaciones o la seguridad.Debe contemplarse:• revisión de procedimientos de integridad y control de aplicaciones,para garantizar que éstos no resulten comprometidos por los cambios delsistema operativo.• garantizar que los presupuestos de soporte contemplen las revisionesy pruebas de aplicativos que deban realizarse, como consecuencia decambios en el sistema operativo.• asegurar una comunicación oportuna de cambios sobre el sistema operativo, antes de la implementación.• garantizar que se realicen las actualizaciones adecuadas en losplanes de continuidad del MINISTERIO DEL INTERIOR Y TRANSPORTE.13.7.4. Restricción de cambios en los paquetes de softwareEn la medida de lo posible, los paquetes de software suministrados porproveedores serán utilizados sin modificación. Cuando se considereesencial modificar un paquete de software, se deben tener en cuenta lossiguientes puntos:• riesgos de compromiso sobre la integridad de los procesos existentes.• obtención de consentimiento del proveedor, cuando corresponda.• que el proveedor suministre los cambios requeridos, como actualizaciones estándar de programas.• impacto que se produciría si el Ministerio asume el mantenimiento futuro del software, como resultado de los cambios.Todos los cambios deben probarse y documentarse, en un ambiente de Pruebas, para luego trasladarlo al entorno productivo.13.7.5. Desarrollo externo de softwareCuando en el desarrollo de software participan terceras partes, se debe considerar lo siguiente:• acuerdos de licencias, propiedad de códigos y derechos de propiedad intelectual.• certificación de la calidad y precisión del trabajo llevado a cabo yacuerdos de niveles de calidad aceptados (SLA - Service LegalAgreement).• acuerdos de custodia en caso de quiebra comercial de la tercera parte.• derechos de acceso a auditorias de calidad y precisión del trabajo realizado.• requerimientos contractuales con respecto a la calidad del código.• realización de pruebas, previas a la instalación, para detectar códigos troyanos o canales ocultos.13.8. Controles Criptográficos13.8.1. ObjetivoProteger la confidencialidad, autenticidad o integridad de la información, para sistemas que se consideran críticos.Las técnicas criptográficas o de cifrado, se emplearán en base a unanálisis de riesgo efectuado con anterioridad, con el fin de asegurarconfidencialidad e integridad en los sistemas que las requieran.13.8.2. Tipos de técnicas criptográficasLas técnicas criptográficas, o cifrado, son de dos tipos:• técnicas de clave secreta (cifrado simétrico), cuando dos o másactores comparten la misma clave, que se utiliza para cifrar ydescifrar información transferida entre ellos.• técnicas de clave pública (cifrado asimétrico), cuando cada usuariotiene un par de claves: una clave pública (que puede ser revelada acualquier persona) y una clave privada (que se mantiene en secreto).Existe una correspondencia biunívoca entre ambas claves. La claveprivada se emplea para el cifrado de la información, que sólo puededescifrarse con la clave pública correspondiente. Las técnicas de clavepública pueden utilizarse tanto para cifrado como para generar firmasdigitales.Todas las claves deben protegerse contra modificación, destrucción, y divulgación no autorizada.10.8.3. Política de Utilización de Controles CriptográficosLos controles criptográficos se emplearán en los siguientes casos:• para protección de claves de acceso a sistemas, datos y servicios.• para uso de firmas digitales.• para transmisión de información clasificada, fuera del ámbito del MINISTERIO DEL INTERIOR Y TRANSPORTE.• para resguardo de información, de acuerdo con la evaluación deriesgos que realicen por el Responsable de Tecnología y Seguridad ycada Responsable Primario.Asimismo, se desarrollarán procedimientos de administración de claves,a fin de recuperar la información cifrada en caso de pérdidas,compromiso, daño o reemplazo de las claves.A fin de realizar una correcta separación de funciones ycompatibilidades, el Responsable de Tecnología y Seguridad propondrá lasiguiente asignación de funciones:FunciónCargoImplementación de la Política de Controles CriptográficosAdministración de Claves

Dentro del marco de la presente Política, se estiman de utilizaciónsegura, los siguientes algoritmos de cifrado y tamaños clave:• cifrado simétricoAlgoritmoLongitud de ClaveAES128/192/256 bits3DES168 bitsIDEA128 bitsRC4128 bitsRC2128 bits• cifrado asimétricoCasos de UtilizaciónAlgoritmoLongitud de ClaveCertificados utilizados en firma digital (sellado de tiempo, almacenamiento, seguro de documentos electrónicos, etc.)RSA2048 bitsDSA2048 bitsECDSA210 bitsPara certificados de sitio seguroRSA1024 bitsPara certificados de Certificador o de información de estado de certificadosRSA2048 bitsDSA2048 bitsECDSA210 bitsPara certificados de usuario (personas físicas o jurídicas)RSA1024 bitsDSA1024 bitsECDSA160 bitsPara digesto seguro y firma digitalSHA-1256 bitsLos algoritmos y longitudes de clave mencionados son los que a la fechase consideran seguros. Se recomienda verificar esta condiciónperiódicamente con el objeto de efectuar las actualizacionescorrespondientes.13.8.4. CriptografíaLos Responsables de Sistemas y de Tecnología y Seguridad llevarán unaevaluación de riesgos para identificar el nivel requerido de protecciónde los datos. De acuerdo con ello se considerarán el tipo de algoritmode cifrado y la longitud de las claves criptográficas a utilizar.13.8.5. Firma DigitalPara el empleo de firmas y certificados digitales debe considerarse lalegislación vigente, Ley Nº 25.506, el Decreto Nº 2628/02 y normascomplementarias.Asimismo, cuando sea necesario resolver disputas acerca de laocurrencia de un evento u acción relativa a evitar que aquel que hayaoriginado una transacción electrónica niegue haberla efectuado, seutilizarán servicios de no repudio.Además de la administración segura de las claves secretas y privadas,también debe tenerse en cuenta la protección de claves públicas,mediante la generación de certificados, recurriendo para ello a unaAutoridad Certificante que ofrezca el nivel de confiabilidad requerido.A tal fin, el MINISTERIO DEL INTERIOR Y TRANSPORTE se ha constituidocomo Autoridad de Registro de la Autoridad Certificante ONTI,permitiendo la tramitación de certificados digitales para funcionariosdentro de la órbita competencial del Ministerio, con el objetivo deagilizar el proceso de emisión y renovación de certificados.14. PLAN DE CONTINGENCIA14.1. ObjetivosMinimizar los efectos de interrupciones en las actividades normales delMINISTERIO DEL INTERIOR Y TRANSPORTE, sea por resultado de desastresnaturales, accidentes, fallas en el equipamiento, acciones deliberadasu otros hechos. Asimismo, se busca que los procesos críticos esténprotegidos, combinando controles preventivos y acciones de recuperación.Analizar las consecuencias de interrupciones en el servicio, tomandomedidas para la prevención de hechos similares en el futuro.Maximizar la efectividad de las operaciones de contingencia delOrganismo, estableciendo planes que incluyan al menos las siguientesetapas:• notificación/activación: consistente en la detección y determinación del daño y la activación del plan de contingencia.• reanudación: consistente en la restauración temporal de los procesos y recuperación de los sistemas originales.• recuperación: consistente en la restauración de las capacidades normales de proceso de los sistemas.• coordinación con personal del Organismo y/o terceras partes queparticipen en las estrategias de planificación de contingencias.14.2. AlcanceEsta Política se aplica a todos los procesos identificados comocríticos, dentro del MINISTERIO DEL INTERIOR Y TRANSPORTE. Lacontinuidad de las actividades es un proceso crítico que debeinvolucrar a todos los niveles del Organismo.14.3. ResponsabilidadesLos Responsables de Tecnología y Seguridad, de Sistemas y Primarios,participarán activamente en la definición, documentación, prueba yactualización de los planes de contingencia, identificando las amenazasque puedan ocasionar interrupciones de los procesos y/o las actividadesdel Organismo y evaluando riesgos para determinar el impacto de lasinterrupciones.Asimismo, el Comité de la Seguridad de la Información desarrollará unplan estratégico para determinar el enfoque global con el que seabordará la continuidad de las actividades del Organismo como asítambién elaborará los planes de contingencia necesarios para garantizarla continuidad de las actividades del Ministerio.14.4. Administración de la Continuidad de Actividades del MINISTERIO DEL INTERIOR Y TRANSPORTEEl Comité de Seguridad de la Información coordinará los procesos deadministración de continuidad de las actividades del Organismo frente ainterrupciones imprevistas.Se incluyen las siguientes funciones:• identificar y priorizar los procesos críticos de las actividades del Organismo.• asegurar que todos los usuarios comprendan los riesgos que elMINISTERIO DEL INTERIOR Y TRANSPORTE enfrenta, en términos deprobabilidad de ocurrencia e impacto de posibles amenazas.• evaluar los efectos que una interrupción puede tener en la actividad del MINISTERIO DEL INTERIOR Y TRANSPORTE.• elaborar y documentar estrategias de continuidad de las actividadesdel Organismo, consecuentes con los objetivos y prioridades acordados.• establecer un cronograma de pruebas periódicas de los planes decontingencia, proponiendo una asignación de funciones para sucumplimiento.• coordinar actualizaciones periódicas y modificaciones de los planes y procesos implementados.• considerar la contratación de seguros que intervengan en el proceso de continuidad de las actividades del Ministerio.14.5. Continuidad de Actividades y Análisis de ImpactoEl Plan de Continuidad de las Actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE debe contemplar los siguientes puntos:• identificar las amenazas que puedan interrumpir las actividades, porejemplo, fallas en el equipamiento, comisión de ilícitos, corte en elsuministro de energía eléctrica, inundación e incendio, desastresnaturales, destrucción edilicia, atentados, etc.• evaluar los riesgos, y determinar el impacto de las interrupciones,tanto en magnitud de daño como en el período de recuperación. Laevaluación debe identificar los recursos críticos, el impacto porcortes de servicio, períodos de caída aceptables o permitidos. Se debenespecificar las prioridades de recuperación,• identificar los controles preventivos, por ejemplo: sistemas desupresión de fuego, detectores de humo, contenedores resistentes alcalor y al agua para los medios de backup, registros no electrónicosvitales, etc.Esta actividad será llevada a cabo con la activa participación de losResponsables Primarios, el Responsable de Sistemas y el Responsable deTecnología y Seguridad considerando todos los procesos y actividadesdel Organismo, sean informáticos o no.A partir de lo anterior, se presentará una propuesta de continuidad deactividades al Coordinador del Comité de Seguridad, quien la elevará ala Autoridad Máxima del MINISTERIO DEL INTERIOR Y TRANSPORTE, para suaprobación.14.6. Implementación de Planes de ContinuidadLa propuesta de continuidad de actividades que se eleve al Coordinadordel Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR YTRANSPORTE considerará los siguientes puntos:• análisis de escenarios de contingencia, definiendo las acciones correctivas a implementar en cada caso.• procedimientos de emergencia para el restablecimiento de servicios enlos plazos requeridos. Se debe dedicar especial atención a los procesosefectuados por terceras partes, y los contratos vigentes.• documentación de metodología y procedimientos acordados.• designación de un administrador de cada plan de contingencia, por área del Organismo.• instruir al personal involucrado, sobre los siguientes temas:objetivo del plan, coordinación y comunicación entre los gruposinvolucrados en las tareas de emergencia, procedimientos dedivulgación, requisitos de seguridad, responsabilidades individuales.• establecer ensayos y actualización de los planes.Asimismo, deben plantearse los recursos que permitan elrestablecimiento de los servicios en plazos aceptables o planificados.Se incluyen: dotación de personal, sitios alternativos de procesamientode la información, equipamiento contacto con fuerzas de seguridad, etc.14.7. Marco para los Planes de ContinuidadLos planes de continuidad de las actividades del Organismo seestablecerán dentro de un marco único, a fin de identificar prioridadesde prueba y mantenimiento.Los procedimientos de emergencia establecidos se modificarán cuando seidentifiquen nuevos requerimientos. Toda modificación será analizada enel Comité de Seguridad de la Información, para su aprobación.El marco para planificar la continuidad tendrá en cuenta los siguientes puntos:• evaluar los procesos a seguir antes de ponerlos en marcha. Porejemplo, qué eventos determinan si una situación es de contingencia ono, qué personas estarán involucradas, etc.• los casos donde exista una amenaza al personal y/o las funciones delMINISTERIO DEL INTERIOR Y TRANSPORTE tendrán una preeminencia sobre elresto. Para ello, deberán disponerse gestiones con autoridades públicaspertinentes, por ejemplo, policía y bomberos.• definir las acciones a emprender para el traslado de actividadescríticas a ubicaciones transitorias alternativas, para restablecerservicios en los plazos requeridos.• redactar procedimientos de recuperación para restablecer las operaciones normales del Organismo.• efectuar actividades de concientización e instrucción al personal.• documentar funciones de los involucrados en la ejecución de loscomponentes del plan. Se indicarán las vías de contacto posibles yalternativas, cuando corresponda.• definir a un responsable de declarar el estado de contingencia, y así dar inicio al plan.14.8. Ensayo, Mantenimiento y Revisión de los Planes de ContinuidadEl Comité de Seguridad de la Información diseñará un cronograma depruebas periódicas para cada plan de contingencia, indicando a losresponsables de llevarlas a cabo.Se deberá garantizar que los planes de contingencia funcionen ante unhecho real. Las técnicas de testeo incluirán, por lo menos:• discusión de diversos escenarios y medidas para la recuperación lasactividades, utilización de ejemplos de interrupciones, etc.• simulaciones, especialmente para entrenar al personal en el desempeño de sus roles.• pruebas de eficacia de recuperación de los sistemas informáticos.• ensayos completos para medir el grado de eficiencia con que elOrganismo, su personal, el equipamiento, las instalaciones y losprocesos pueden afrontar interrupciones.Para las operaciones críticas del Organismo se tomarán en cuenta, además, los siguientes mecanismos:• de ser posible, realizar ensayos de recuperación en un sitio alternativo, ejecutando actividades en paralelo,• efectuar pruebas de instalaciones y servicios de proveedores,asegurando que los mismos cumplan con los compromisos contraídos.Los resultados de las pruebas serán elevados al Comité de Seguridad de la Información.Los Responsables de Revisión verificarán en forma periódica los planesde continuidad de su incumbencia. Se sugiere armar un cuadro derevisión de planes de contingencia tal como el siguiente:Plan de ContingenciaRevisar cadaResponsable de Revisión



Se tendrán en cuenta cambios de:• personal.• direcciones o números telefónicos.• estrategia del Organismo.• ubicación, instalaciones y recursos.• legislación.• contratistas, proveedores y clientes críticos.• procesos, nuevos y/o eliminados.• tecnologías.• requisitos de operacionales y de seguridad.• hardware, software y otros equipos (tipos, especificaciones, y cantidad).• requerimientos de los sitios alternativos.Todas las modificaciones efectuadas serán propuestas por el Comité deSeguridad de la Información, para su aprobación por el superiorjerárquico que corresponda.15. GARANTIA DE CUMPLIMIENTO15.1. ObjetivosEl diseño, operación, uso y administración de los sistemas deinformación están regulados por disposiciones legales y contractuales.A tal fin, los requisitos normativos y contractuales pertinentes a cadasistema de información deben estar definidos y documentados.Revisar la seguridad de la información, en forma periódica, a efectosde garantizar la adecuada aplicación de políticas, normas yprocedimientos de seguridad, sobre las plataformas tecnológicas y lossistemas informáticos.15.2. AlcanceEsta Política se aplica a los sistemas de información, normas,procedimientos, documentación, plataformas técnicas del MINISTERIO DELINTERIOR Y TRANSPORTE y las auditorías efectuadas sobre los mismos.15.3. ResponsabilidadEl Responsable de Tecnología y Seguridad Informática cumplirá las siguientes funciones:• definir normas y procedimientos para garantizar el cumplimiento delas restricciones legales al uso del material protegido por normas depropiedad intelectual y a la conservación de registros de auditoría.• verificar periódicamente que los sistemas de información cumplan lapolítica, normas y procedimientos de seguridad establecidos.• definir y documentar claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información.• colaborar en la implementación de una notificación de buen uso de losrecursos informáticos, incluyendo cláusulas de Confidencialidad sobrela información del MINISTERIO DEL INTERIOR Y TRANSPORTE. Dichanotificación debe ser difundida y claramente comprendida por todos losusuarios del Organismo.Los Responsables Primarios velarán por la correcta implementación ycumplimiento de las normas y procedimientos de seguridad establecidosen la presente Política, dentro de su área de responsabilidad.Los usuarios de los sistemas del MINISTERIO DEL INTERIOR Y TRANSPORTEconocerán, comprenderán, darán a conocer, cumplirán y harán cumplir lapresente Política y la normativa vigente.15.4. Cumplimiento de requisitos legales15.4.1. ObjetivoImpedir infracciones y violaciones de las leyes del derecho civil y penal.Cumplir las obligaciones establecidas por leyes, estatutos, normas, reglamentos, contratos y requisitos de seguridad.15.4.2. Identificación de la Legislación AplicableSe establecerán y documentarán claramente todos los requisitosnormativos y contractuales pertinentes para cada sistema deinformación. Del mismo modo se definirán y documentarán los controlesespecíficos, las responsabilidades y las funciones individuales paracumplir con dichos requisitos.15.4.3. Derecho de propiedad intelectualSe implementarán procedimientos adecuados para garantizar elcumplimiento de las restricciones legales al uso del material protegidopor normas de propiedad intelectual.El Organismo sólo podrá autorizar el uso de material de su propiedad,sea éste producido por el Responsable de Sistemas, o suministrado porun tercero, conforme los términos y condiciones acordadas, y/o lodispuesto por la normativa vigente.La infracción a estos derechos podría resultar en acciones legales, y derivar en demandas penales.Se deberán tener presentes las siguientes normas:• Ley de Propiedad Intelectual Nº 11.723: Protege los derechos de autorde obras científicas, literarias y artísticas, incluyendo programas decomputación fuente y objeto; las compilaciones de datos u otrosmateriales.• Ley de Marcas Nº 22.362: Protege la propiedad de una marca y la exclusividad de su uso.• Ley de Patentes de Invención y Modelos de Utilidad Nº 24.481: Protegeel derecho del titular de la patente de invención a impedir queterceros utilicen su producto o procedimiento.15.4.4. Derecho de Propiedad Intelectual del SoftwareLos productos de software se suministran normalmente bajo acuerdos delicencia. Estos acuerdos suelen limitar el uso de los productos alequipamiento específico. Asimismo, la copia sólo debe limitarse a lacreación de un resguardo.El Responsable de Sistemas y Seguridad Informática, analizará lostérminos y condiciones de la licencia. Se implementarán los siguientescontroles:• normas y procedimientos para cumplir con el derecho de propiedadintelectual de software, asegurando el uso legal de los productos deinformación.• divulgar las políticas de adquisición de software y las disposicionesde la Ley de Propiedad Intelectual, así como notificar la determinaciónde tomar acciones disciplinarias contra el personal que las infrinja.• mantener un adecuado registro de activos.• conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc.• implementar controles para evitar que se exceda el número máximopermitido para las licencias de uso y verificar que sólo se instalenproductos con licencia y software autorizado.• elaborar y divulgar un procedimiento relativo a la eliminación y/o transferencia de software a terceros.• cumplir con los términos y condiciones establecidos para obtener software e información desde redes públicas.15.4.5. Protección de los Datos del OrganismoSe deberá tener presente la siguiente normativa:• Etica en el Ejercicio de la Función Pública. Ley Nº 25.188: Estableceque las personas que se desempeñen en la función pública deben protegery conservar la propiedad del Estado, y sólo emplear sus bienes con losfines autorizados.• Código de Etica de la Función Pública: Dispone que el funcionariopúblico debe proteger y conservar los bienes del Estado. Asimismo seestablece que los bienes públicos sólo se utilicen de acuerdo con losfines autorizados y de manera racional, evitando su abuso, derroche odesaprovechamiento.• Código Penal Artículo 255: Sanciona a quien sustrajere, ocultare,destruyere o inutilizare objetos destinados a servir de prueba ante laautoridad competente. Se consideran, entre otros, a los registros odocumentos confiados a la custodia de un funcionario u otra persona, enel interés del servicio público. Si el culpable fuere el mismodepositario, sufrirá además inhabilitación especial por doble tiempo.• Ley Nº 24.624. Artículo 30: Autoriza el archivo y la conservación, ensoporte electrónico u óptico indeleble, de la documentación financiera,personal y de control de la Administración Pública Nacional. Se otorgavalor jurídico y probatorio a la documentación existente que seincorpore al Archivo General de la Administración, mediante lautilización de tecnología que garantice estabilidad, perdurabilidad,inmutabilidad e inalterabilidad del soporte de almacenamiento físico.• Decisión Administrativa Nº 43/96 (B.O. 7-V-1996): Reglamenta el Art.30 de la Ley 24.624. Determina su ámbito de aplicación, defineconceptos y precisa los requisitos de carácter general, relacionadoscon los documentos en particular y con el soporte a utilizar en laredacción, producción o reproducción de aquéllos.• Ley de Propiedad Intelectual Nº 11.723: Protege los derechos de autorde las obras científicas, literarias y artísticas, incluyendocompilaciones de datos o de otros materiales.• Ley Nº 25.506: Establece que la exigencia legal de mantenerdocumentos, registros o datos, también queda satisfecha con laconservación de los correspondientes documentos digitales firmadosdigitalmente, según los procedimientos que determine la reglamentación,siempre que sean accesibles para su posterior consulta, y permitandeterminar fehacientemente el origen, destino, fecha y hora de sugeneración, envío y/o recepción.15.4.6. Protección de Datos y Privacidad de datos de carácter personalTodos los usuarios de información del MINISTERIO DEL INTERIOR YTRANSPORTE deberán conocer las restricciones al tratamiento de losdatos y de la información respecto a la cual tengan conocimiento, conmotivo del ejercicio de sus funciones.El MINISTERIO DEL INTERIOR Y TRANSPORTE implementara un COMPROMISO DECONFIDENCIALIDAD que será divulgado a todos los usuarios de sistemas deinformación y bases de datos del Ministerio. Mediante este instrumento,el usuario se comprometerá a utilizar la información solamente para eluso específico al que se ha destinado. También, se obliga a nocomunicar, diseminar o hacer pública información a ninguna persona,firma, compañía o tercera persona, salvo autorización previa y escritadel Responsable Primario del activo de que se trate.Asimismo, se instruirá a los usuarios del buen uso de los recursosinformáticos, quedarán advertidos sobre que determinadas actividadespueden ser objeto de control y monitoreo. (Ver Capítulo 5. Funciones yObligaciones del Personas y/o Usuarios - Ver Capítulo 6, Seguridad delPersonal y/o Usuarios).• Se deberán tener presente las siguientes normas:• Ley Marco de Regulación de Empleo Público Nacional. Ley Nº 25.164:Establece que los Funcionarios Públicos deben observar el deber defidelidad que se derive de la índole de las tareas que le fueronasignadas, así como de guardar la discreción correspondiente o lareserva absoluta, en su caso, de todo asunto del servicio que así lorequiera.• Convenio Colectivo de Trabajo General: Dispone que todos los agentesdeben observar el deber de fidelidad que se derive de la índole de lastareas que le fueran asignadas, así como de guardar la discrecióncorrespondiente, con respecto a todos los hechos e informaciones de loscuales tenga conocimiento en el ejercicio o con motivo del ejercicio desus funciones.• Etica en el Ejercicio de la Función Pública. Ley Nº 25.188 (ver Punto12.4.5): Obliga a todas las personas que se desempeñan en la funciónpública se abstenerse de utilizar información adquirida en elcumplimiento de sus funciones para realizar actividades no relacionadascon sus tareas oficiales o de permitir su uso en beneficio de interesesprivados.• Código de Etica de la Función Pública (ver Punto 12.4.5): Estableceque el funcionario público debe abstenerse de difundir toda informaciónque hubiere sido calificada como reservada o secreta, conforme a lasdisposiciones vigentes. Tampoco se podrá en beneficio propio, deterceros o para fines ajenos al servicio, información de la que tengaconocimiento con motivo o en ocasión del ejercicio de sus funciones yque no esté destinada al público en general.• Protección de Datos Personales. Ley Nº 25.326 (ver Punto 12.4.5):Establece responsabilidades para aquellas personas que recopilan,procesan y divulgan información personal y define criterios paraprocesar datos personales o cederlos a terceros.• Confidencialidad. Nº Ley 24.766: Impide la divulgación a terceros, osu utilización sin previo consentimiento y de manera contraria a usoscomerciales honestos, de información secreta y con valor comercial quehaya sido objeto de medidas razonables para mantenerla secreta.• Código Penal: Sanciona a aquel que, teniendo noticias de un secretocuya divulgación pueda causar daño, lo revelare sin justa causa (Art.156), al funcionario público que revelare hechos, actuaciones odocumentos que por la ley deben quedar secretaros (Art. 157), al querevelare secretos políticos o militares concernientes a la seguridad, alos medios de defensa o a las relaciones exteriores de la Nación, o alque por imprudencia o negligencia diere a conocer los secretosmencionados anteriormente, de los que se hallare en posesión en virtudde su empleo u oficio (Arts. 222 y 223).• Asimismo, deberá considerarse lo establecido en el Decreto 1172/03(B.O. 26-IX-2001), que regula el acceso a la información pública porparte de los ciudadanos.15.4.7. Regulación de Controles para el Uso de Criptografía y Firma DigitalAl utilizar firmas digitales o electrónicas, se deberá considerar lodispuesto por la Ley Nº 25.506 y su decreto reglamentario Decreto Nº2628/02 (B.O. 20-XII-2002), que establecen las condiciones bajo lascuales una firma digital es legalmente válida.Respecto a la comercialización de controles criptográficos, nuestropaís ha suscripto el acuerdo Wassennar, que establece un listado demateriales y tecnologías de doble uso, cuya comercialización puede serconsiderada peligrosa.El Decreto Nº 603/92 (B.O. 23-III-1992) regula el Régimen de Control delas Exportaciones Sensitivas y de Material Bélico, estableciendo untratamiento especial para la exportación de bienes indicados comomaterial bélico.En caso de transferencia de información cifrada, o controlescriptográficos, a otro país, se requiere obtener asesoramiento previo.Para ello, se puede consultar a la Dirección General de Política, de laSecretaría de Asuntos Militares, Ministerio de Defensa, a fin de sabersi el material exportable requiere algún tratamiento especial.15.5. Revisiones de la Política de SeguridadLos Responsables Primarios, velarán por la correcta implementación ycumplimiento de las normas y procedimientos de seguridad establecidos,informando al Comité de Seguridad sobre todo incidente o violación.Los Responsables Seguridad Física, de Tecnología y Seguridad y deSistemas realizarán revisiones periódicas de todas las áreas delOrganismo a efectos de garantizar el cumplimiento de las políticas,normas y procedimientos de seguridad de la información. Se revisaránlas siguientes áreas:• sistemas de información• proveedores de sistemas• propietarios de la información• usuarios.El Responsable de Sistemas revisará periódicamente que todos lossistemas informáticos, cumplan con las políticas, normas yprocedimientos de seguridad. Con ello se garantiza la correctaimplementación de los controles de hardware y software.La verificación del cumplimiento comprenderá pruebas de penetración,teniendo como objetivos la detección de vulnerabilidades y laverificación de la eficacia de los controles de prevención de accesosno autorizados.Para las pruebas de penetración se tomarán todos los recaudosnecesarios a fin de no se comprometer la seguridad de los sistemas enproducción.Las verificaciones de cumplimiento serán realizadas por personalcompetente, formalmente autorizado y bajo la supervisión de losResponsables Primarios, de Sistemas, y/o de Seguridad Física, segúncorresponda.15.6. Consideraciones de Auditoría de SistemasCon relación a las auditorías, serán de aplicación las Normas deControl Interno para Tecnologías de Información, aprobadas por laResolución SIGEN Nº 48/05.15.7. Sanciones Previstas por IncumplimientoSe sancionará administrativamente a todo aquel que viole lo dispuestoen la presente Política de Seguridad conforme a lo dispuesto por lasnormas estatutarias, escalafonarias y convencionales que rigen alpersonal de la Administración Pública Nacional. En caso decorresponder, se realizarán las acciones correspondientes ante el o losOrganismos pertinentes.Las sanciones sólo pueden imponerse mediante un acto administrativo queasí lo disponga cumpliendo las formalidades impuestas por los preceptosconstitucionales, la Ley de Procedimientos Administrativos y demásnormativas específicas aplicables.Amén de las sanciones disciplinarias o administrativas, el agente queno da debido cumplimiento a sus obligaciones puede incurrir también en:• responsabilidad civil o patrimonial —cuando ocasiona un daño que debe ser indemnizado— y/o,• responsabilidad penal —cuando su conducta constituye uncomportamiento considerado delito por el Código Penal y leyesespeciales.ANEXO 1 - POLITICA DE SEGURIDAD DEL MINISTERIO DEL INTERIOR Y TRANSPORTECOMPROMISO DE CONFIDENCIALIDAD, GESTION DE BASES DE DATOS Y TRATAMIENTO DE SISTEMAS INFORMATICOS.-I. OBJETO.Con el objetivo de proteger los recursos informáticos del MINISTERIODEL INTERIOR Y TRANSPORTE y la tecnología utilizada para la gestión yel ejercicio de sus funciones, se informa y notifica por intermedio delpresente, las medidas de seguridad de cumplimento obligatorio paratodos los agentes que intervengan en algún proceso o procedimientorelacionado con la gestión de (incluir actividad principal quedesarrollará el agente) para el MINISTERIO DEL INTERIOR Y TRANSPORTE.El presente clausulado recoge las medidas de seguridad establecidas conel fin de asegurar el cumplimiento de la confidencialidad, integridad,disponibilidad, legalidad y confiabilidad de la información y de losdatos, cuando sean tratados por agentes, funcionarios, y/o trabajadoresdel MINISTERIO DEL INTERIOR Y TRANSPORTE en el ejercicio de susfunciones; y detalla las obligaciones y responsabilidades que conllevael cumplimiento del mismo.Las citadas medidas, también serán de aplicación en la medida que lesafecte, a aquellos prestadores de servicios, reparticiones públicas y/oagentes que el MINISTERIO DEL INTERIOR Y TRANSPORTE requiera paraacometer sus objetivos.Para la determinación de las citadas medidas de seguridad, han sidotenidos en cuenta las pautas fijadas en la Ley 25.326 de Protección deDatos Personales, el Decreto 1558/2001, la Decisión Administrativa669/2004, la Ley 25.188 de Etica en el ejercicio de la Función Pública,la Ley 25.164 de Regulación del Empleo Público Nacional, el ConvenioColectivo de Trabajo General, el Modelo de Política de Seguridad de laInformación de la ONTI y el resto de la normativa aplicable vigente.II. AMBITO DE APLICACION.Se encuentran obligadas al cumplimiento de las prescripciones legales aquí establecidas, las siguientes personas:• Quienes presten servicios, ya sea de forma directa o indirecta, parael MINISTERIO DEL INTERIOR Y TRANSPORTE, cualquiera que sea lanaturaleza de la relación jurídica que le una con la misma.• Toda persona que, por la labor que desempeñe, tenga o pueda teneracceso a las instalaciones o departamentos donde están ubicados lossistemas de información a través de los cuales se tratan datos decarácter personal del MINISTERIO DEL INTERIOR Y TRANSPORTE.• Toda la planta de personal del organismo, tanto se trate defuncionarios políticos como técnicos, y sea cual fuere su niveljerárquico y su situación de revista.El MINISTERIO DEL INTERIOR Y TRANSPORTE se hace responsable de la laborde formar e informar a las personas que, por su condición de usuarios,se encuentren bajo el ámbito de aplicación del presente, y secomprometerá a informarles sobre cualquier cambio que se haga al mismoen el futuro, cuya aplicación no será retroactiva.III. CALIDAD DE USUARIO.Se considera usuario, al sujeto autorizado para acceder a datos decarácter personal o recursos que contienen datos de carácter personal,tanto a través del sistema informático como aquellos datos contenidosen soporte manual.Quien mantenga una relación de carácter laboral bajo cualquiermodalidad de contratación con MINISTERIO DEL INTERIOR Y TRANSPORTE ytenga autorizado el acceso a las bases de datos, las aplicaciones o lossistemas informáticos, Internet o Intranet y, en general, a cualquierdato de carácter personal facilitado por los ciudadanos en cualquiertipo de soporte, quedará sujeto al control de su actividad por losResponsables de Seguridad Informática designados por el MINISTERIO DELINTERIOR Y TRANSPORTE y obligado a cumplir las medidas de seguridaddescritas en el presente clausulado:IV. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y USUARIOS1. CONFIDENCIALIDAD DE LA INFORMACIONMientras dure la relación laboral o de prestación de servicios(cualquiera sea la situación de revista), así como una vez se hayaextinguido la misma, los usuarios tienen expresamente prohibidocomunicar procedimientos, información alojada en las bases de datos,trabajos encomendados por su empleador incluidos en las bases de datosy, en general, divulgar cualquier dato que hayan conocido por razón desu trabajo en el MINISTERIO DEL INTERIOR Y TRANSPORTE.Todos los documentos, independientemente del soporte en el que seencuentren, que contengan datos de carácter personal relacionadas conlas actividades del MINISTERIO DEL INTERIOR Y TRANSPORTE, son propiedaddel mismo; estando obligado todo trabajador o autorizado a tratar losdatos, a devolverlos cuando así le sea solicitado por el MINISTERIO DELINTERIOR Y TRANSPORTE o con motivo de la extinción del vinculo laboral.Todo usuario autorizado para llevar a cabo el tratamiento de datos decarácter personal, queda obligado legalmente al secreto profesionalrespecto de los mismos como así también de los procesos a los que estosdatos son sometidos, conservados y tratados, incluso una vez extinguidala relación laboral o de colaboración que le une con el MINISTERIO DELINTERIOR Y TRANSPORTE.Lo expuesto anteriormente supone que queda absolutamente prohibido:• La utilización, divulgación o cesión de los datos de los ciudadanospara finalidades diferentes o que excedan de la órbita de las funcioneslaborales del usuario.• Revelar, permitir o facilitar el acceso a la información contenida enlas bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE(automatizadas y en papel), por ningún tipo de medio (telefónico,escrito, telemático, etc.) a terceras personas ajenas a la misma sinautorización del titular de dichos datos, así como a otros trabajadoresdel órgano que, por sus funciones, no tengan autorizado el acceso a losmismos.• Recopilar información acerca de personas que formen parte de las bases de datos del MINISTERIO DEL INTERIOR Y TRANSPORTE.• La anotación por parte de los empleados de observaciones ocomentarios acerca de personas en documentos del MINISTERIO DELINTERIOR Y TRANSPORTE, sean oficiales o no, con excepción de cuando asíse lo exija al personal o se desprenda de la naturaleza de la funciónque ocupa.• Manipular o modificar los datos y/o el soporte que los contienen(papel o automatizado) de un modo no previsto conforme al buen saber yentender del trabajador y a lo que se infiere como consecuencia de lasactividades que le son propias.En caso de plantearse dudas sobre los permisos de acceso a los datos, debe consultarse al Administrador y/o Supervisor.2. IDENTIFICACION Y ACCESOLas contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos.Al darse de alta como usuario en el sistema operativo, el Administradorle asignará de forma individualizada, un identificador de usuario y unacontraseña, conforme a su perfil de usuario.El identificador de usuario y la clave de acceso serán estrictamenteconfidenciales y personales, y cada identificación debe pertenecer a unsolo usuario.Debe cambiar la contraseña proporcionada por el Administrador en elprimer acceso al sistema, por una clave de su exclusivo conocimiento.La contraseña deberá constar de exactamente 8 (ocho) caracteres y podrá ser alfanumérica.Las contraseñas caducan, el sistema forzará al usuario a cambiarla cada30 (treinta) días corridos, por una nueva contraseña distinta a laanterior.El sistema bloqueará la cuenta del usuario luego de 3 (tres) intentosde acceder a la aplicación con una contraseña o identificación deusuario incorrecta.Debido que las contraseñas tienen carácter personal e intransferible,queda absolutamente prohibido divulgarla a terceras personas.Si tiene conocimiento que otra persona conoce su clave y/o contraseña,deberá cambiarla inmediatamente y ponerlo en conocimiento delAdministrador, quien lo registrará como incidencia. En caso deincumplimiento de esta estas obligaciones, el usuario será el únicoresponsable de los actos realizados por la persona que utilice suidentificador de forma no autorizada.Lo expuesto anteriormente supone que está totalmente prohibido:• Intentar descifrar las claves, sistemas o algoritmos de cifrados usando métodos de des encriptación u otros.• Intentar utilizar el sistema para acceder a áreas que el usuariotenga restringidas de los sistemas informáticos del _________________.• Intentar acceder sin la debida autorización, a otras cuentas o asistemas de equipos o redes conectadas a Internet, a través del uso nolícito de la contraseña (o cualquier otro medio).• El acceso o entrada en los sistemas informáticos utilizando el código de usuario y contraseña de otro usuario.3. USO DE EQUIPOS INFORMATICOSEl Ministerio del Interior, el MINISTERIO DEL INTERIOR Y TRANSPORTE , oen su caso, la repartición pública que corresponda, es propietario uostenta los derechos de uso de todos los medios e instrumentosinformáticos y de comunicación que pone a disposición de sus empleadosexclusivamente para el desarrollo de su actividad laboral.Dichos medios deberán utilizarse con el cuidado o atención necesariospara evitar su destrucción, pérdida o deterioro prematuro. No se puedemodificar ninguna parte de los mismos a iniciativa del usuario, sincontar con la autorización expresa del supervisor.El trabajador que tenga a su disposición equipos informáticosportátiles debe extremar la precaución cuando haga uso de los mismos olos transporte fuera de las instalaciones del MINISTERIO DEL INTERIOR YTRANSPORTE, y debe darse aviso inmediatamente en caso de sustracción,perdida u otro imponderable.El MINISTERIO DEL INTERIOR Y TRANSPORTE pone a disposición de lostrabajadores los medios informáticos y técnicos adecuados para larealización de sus funciones sólo mientras dure la relación laboral ycon fines estrictamente profesionales. En el momento de la finalizaciónde la relación laboral, se denegará el acceso a los equiposinformáticos y consiguientemente a los archivos incluidos en losmismos. En el supuesto de que el ex usuario tenga en su poderdeterminados medios informáticos propiedad del MINISTERIO DEL INTERIORY TRANSPORTE (PC portátil, CD’s, DVD’s, USB´s, disco duro externo,certificado digital, tarjeta magnética, etc.), tendrá que devolverlosen el momento de la finalización de su relación laboral.4. USO DE INTERNET Y CORREO ELECTRONICOEl criterio a seguir por los usuarios es que la navegación en Internetobedezca a fines profesionales, con el propósito de obtener el mejoraprovechamiento posible de los recursos informáticos.Sin embargo, de acuerdo con la necesidad de conciliación de la vidapersonal y profesional, se autoriza la navegación por Internet paraaquellos deberes personales que coinciden con el tiempo de trabajo,resulten realmente necesarias o se utilice como descanso del trabajadordentro de la jornada laboral, siempre que dicha utilización searazonable y reducida al tiempo mínimo indispensable.En vista de lo anterior, y con el fin de no ocupar innecesariamente ocolapsar las conexiones, quedan expresamente prohibidos las descargasde películas, clips, videos, música, imágenes, fotografías, software,etc., en especial aquellos archivos que puedan infringir la propiedadintelectual y derechos de autor de terceros.El Responsable de Seguridad Informática podrá bloquear el acceso aaquéllos sitios web que no considere acordes con el perfil delorganismo. Sin perjuicio de ello, queda terminantemente prohibido elacceso a aquellas direcciones de Internet cuyas páginas tengancontenidos pornográfico, sexual, pedófilo, racista, y en general, elque pueda resultar ofensivo o atentatorio contra la dignidad humana.La tecnología de acceso a Internet instalada permite disponer de unregistro detallado de los sitios web visitados por cada usuario, delnúmero de accesos efectuados al día, de la fecha y hora en que seefectuó la conexión y del tiempo dedicado en cada conexión. Talinformación se almacena en los servidores del MINISTERIO DEL INTERIOR YTRANSPORTE. A estos efectos se informa a los trabajadores que las basesde datos que se generen con la información de sus respectivos accesos aInternet podrá ser utilizada por el empleador como prueba a los efectosde proceder a sanciones disciplinarias, instrucción de sumarioadministrativo y/o causal de despido por incumplimiento de la presentepolítica o disminución de la dedicación y rendimiento del trabajador.El correo electrónico o e-mail es también un instrumento de trabajopropiedad del MINISTERIO DEL INTERIOR Y TRANSPORTE, y dado su carácterinstitucional, su utilización debe estar relacionada con los cometidoslaborales encomendados, sin que pueda utilizarse de forma habitual oabusiva como instrumento para el intercambio de información cuyocontenido sea ajeno a la gestión de D.N.I.Las comunicaciones realizadas a través de cuentas oficiales de correoelectrónico o e-mail no pueden considerarse privadas y no sonapropiadas para remitir información personal y/o confidencial. No sepuede garantizar totalmente la seguridad de la comunicación yconsiguientemente, no debe haber ninguna expectativa de privacidad osecreto en las comunicaciones enviadas por cuentas de correoelectrónico institucionales creadas por el MINISTERIO DEL INTERIOR YTRANSPORTE y otros órganos de gobierno a un determinado usuario, parael ejercicio de funciones públicas. En todo caso, cualquiercomunicación no profesional que pueda haberse recibido o emitido es deresponsabilidad exclusiva del agente que haya utilizado el correoelectrónico en contravención de la presente cláusula y alejándose delas funciones que la MINISTERIO DEL INTERIOR Y TRANSPORTE le haencomendado y para la cuales ha sido asignada la citada casilla decorreo electrónico. No es objetivo de esta cláusula impedir laflexibilidad en el uso del correo electrónico sino evitar los abusosque pudieran cometerse en la utilización del mismo.En el momento de la extinción de la relación laboral, cualquier accesoa la bandeja de correo electrónico quedará interrumpido. El usuario nopodrá eliminar mensajes privados e innecesarios para el organismo.Asimismo, los mensajes relacionados con la actividad profesionaldeberán ser mantenidos y guardados en el sistema. Su inmediatosupervisor se encargará de supervisar las tareas de eliminación de losmensajes innecesarios.El trabajador será el único responsable, tanto con respecto alMINISTERIO DEL INTERIOR Y TRANSPORTE como con respecto a terceros, encaso de violación de tales reglas de conducta.5. USO DE PROGRAMAS, SOFTWARE Y APLICACIONES INFORMATICASCada usuario tiene acceso a los recursos que necesita en función de su perfil de trabajo.Los archivos y sistemas informáticos utilizados para la gestión deconfección y trámite de D.N.I. son de propiedad estatal. Quedaprohibida cualquier utilización, copia o reproducción de los mismospara fines no profesionales, salvo autorización expresa del Responsablede Area Informática, el Responsable de Seguridad o el Coordinador delComité de Seguridad.El trabajador será el único responsable, tanto con respecto alMINISTERIO DEL INTERIOR Y TRANSPORTE como con respecto a terceros, encaso de violación de tales reglas de conducta.A fin de no vulnerar los derechos de propiedad intelectual de tercerosse prohíbe expresamente la utilización de programas para los cuales laadministración pública que se trate, no haya obtenido una licenciaprevia.Debe advertirse que la utilización de programas informáticos sin ladebida autorización (pirateo informático) puede ser constitutiva dedelito, y el trabajador puede incurrir asimismo en responsabilidades dedistinto orden.La utilización de archivos o programas de procedencia externa, puedeentrañar graves riesgos para la seguridad del conjunto de los sistemasdel MINISTERIO DEL INTERIOR Y TRANSPORTE, por lo que deberá evitarse laapertura de cualquier archivo de procedencia desconocida, lautilización de software no autorizado o ajeno a la gestión deconfección y trámite de D.N.I., la descarga de archivos de procedenciadudosa desde internet, la conexión a la red del MINISTERIO DEL INTERIORY TRANSPORTE de equipos no autorizados y revisados por el Responsablede Area Informática.Finalizado el vínculo laboral, el trabajador deberá dejar intactostodos los archivos, entregables, informes y documentos que hayan tenidoun fin profesional o productivo.Cuando se estime necesario para la protección del patrimonio estatal ydel de los demás empleados, para el de los derechos ajenos, o pormotivos relacionados con el funcionamiento del MINISTERIO DEL INTERIORY TRANSPORTE, éste se reserva la facultad de revisar periódicamente, através de los servicios técnicos de la misma, el contenido de losdiscos duros de los ordenadores utilizados por los empleados en eldesempeño de sus funciones, procediendo a la eliminación de todosaquellos programas y archivos que por parte de los servicios técnicosde la empresa se consideren ajenos a los fines profesionales enatención a los cuales dichos ordenadores son puestos a disposición delos empleados.Las mencionadas revisiones se efectuarán siempre por parte de losservicios técnicos del MINISTERIO DEL INTERIOR Y TRANSPORTE o quienéste designe, en el centro de trabajo y dentro del horario laboral,respetándose al máximo las garantías legales.6. POLITICA DE ESCRITORIOS Y PANTALLAS LIMPIASPor la presente se adopta una política de escritorios, mesas o espaciosde trabajo limpios, para proteger los documentos en papel; y uncriterio de pantallas limpias, que minimice el riesgo de accesos noautorizados y pérdidas de información, tanto durante el horario detrabajo como fuera del mismo.Será obligatorio:• Almacenar bajo llave, gabinetes o mobiliario seguro los archivos enpapel mientras se encuentran en dominio de un trabajador, cuando noestén siendo utilizados, especialmente fuera del horario de trabajo.• Proteger con cerraduras de seguridad, contraseñas u otros controles alas computadoras personales, terminales e impresoras asignadas afunciones críticas cuando no están en uso (ej. Protectores de pantallacon contraseña).• Proteger los puntos de recepción y envío de correo postal y las máquinas de fax.• Retirar inmediatamente la información sensible una vez impresa.Si un agente debe abandonar su puesto de trabajo momentáneamente,cerrará la sesión o activará protectores de pantalla con contraseña, alos efectos de evitar que terceros puedan ver el trabajo o continuarcon la sesión del usuario habilitada.El trabajador será el único responsable, tanto con respecto alMINISTERIO DEL INTERIOR Y TRANSPORTE como con respecto a terceros, encaso de violación de tales reglas de conducta.7. INCIDENCIASSe entiende por incidencia cualquier anomalía que afecte o puedaafectar a la seguridad e integridad de los datos de carácter personal,sistemas, soportes informáticos y archivos (estén automatizados o no).Es obligación comunicar al Supervisor o Administrador cualquierincidencia que se produzca en relación con su cuenta de usuario. Dichacomunicación deberá realizarse a la mayor brevedad posible, desde elmomento en el que se produce la incidencia o se tenga certeza de quepudiera producirse o se tiene conocimiento de la misma, vía correoelectrónico a MINISTERIO DEL INTERIOR Y TRANSPORTE.8. INCUMPLIMIENTO DE LAS OBLIGACIONESEl incumplimiento de las obligaciones anteriormente descritas darálugar a la instrucción de sumario administrativo y/o la imposición delas correspondientes sanciones disciplinarias por parte del MINISTERIODEL INTERIOR Y TRANSPORTE o aquella repartición donde el trabajadorhaya cometido la infracción.Las sanciones serán las previstas, según corresponda, en la Ley 25.188de Etica en el ejercicio de la Función Pública, la Ley 25.164 deRegulación del Empleo Público Nacional, el Convenio Colectivo deTrabajo General o la normativa laboral que le sea aplicable al afectadoconforme a lo dispuesto en el Contrato de Trabajo o su situación derevista.Aceptando y de conformidad con todo lo expuesto, se firman dosejemplares del mismo tenor en _____________, a los ___ días del mes de____________de 201__.