Disposición 3/2013

Texto Original

Oficina Nacional de Tecnologías de Información

ADMINISTRACION PUBLICA NACIONAL

Disposición 3/2013

Apruébase la “Política de Seguridad de la Información Modelo”.

Bs. As., 27/8/2013

VISTO el Expediente CUDAP: EXP-JGM: 50449/2011 del Registro de laJEFATURA DE GABINETE DE MINISTROS, el Decreto Nº 378 del 27 de abril de2005, la Decisión Administrativa Nº 669 del 20 de diciembre de 2004 dela JEFATURA DE GABINETE DE MINISTROS, la Resolución Nº 45 de fecha 24de junio de 2005 de la entonces SUBSECRETARIA DE LA GESTION PUBLICA, laDisposición Nº 6 de fecha 8 de agosto de 2005 de la OFICINA DETECNOLOGIAS DE INFORMACION, y

CONSIDERANDO:

Que el Decreto Nº 378/05 aprobó los Lineamientos Estratégicos quedeberán regir el Plan Nacional de Gobierno Electrónico y los PlanesSectoriales de Gobierno Electrónico de los Organismos de laADMINISTRACION PUBLICA NACIONAL a fin de promover el empleo eficiente ycoordinado de los recursos de las Tecnologías de la Información y lasComunicaciones.

Que la Decisión Administrativa Nº 669/04 de la JEFATURA DE GABINETE DEMINISTROS estableció en su artículo 1º que los organismos del SectorPúblico Nacional comprendidos en el artículo 7º de la citada medidadeberán dictar o bien adecuar sus políticas de seguridad de lainformación conforme a la Política de Seguridad Modelo a dictarsedentro del plazo de CIENTO OCHENTA (180) días de aprobada dichaPolítica de Seguridad Modelo.

Que el artículo 8º de la mencionada Decisión Administrativa, facultó alentonces señor SUBSECRETARIO DE LA GESTION PUBLICA de la JEFATURA DEGABINETE DE MINISTROS a aprobar la Política de Seguridad Modelo y adictar las normas aclaratorias y complementarias de la citada medida,pudiendo dicha autoridad delegar en el DIRECTOR NACIONAL DE LA OFICINANACIONAL DE TECNOLOGIAS DE INFORMACION las facultades aludidas.

Que consecuentemente el artículo 1º de la Resolución de la exSUBSECRETARIA DE GESTION PUBLICA Nº 45/05 de la JEFATURA DE GABINETE DEMINISTROS facultó al señor DIRECTOR NACIONAL de la OFICINA NACIONAL DETECNOLOGIAS DE INFORMACION a aprobar la Política de Seguridad de laInformación Modelo y dictar las normas aclaratorias y complementariasque requiera la aplicación de la Decisión Administrativa JGM Nº669/2004.

Que la Disposición Nº 6/05 de la OFICINA NACIONAL DE TECNOLOGIAS DEINFORMACION de la SUBSECRETARIA DE TECNOLOGIAS DE GESTION de laSECRETARIA DE GABINETE Y COORDINACION ADMINISTRATIVA de la JEFATURA DEGABINETE DE MINISTROS en su artículo 1º aprobó la “Política deSeguridad de la Información Modelo” ordenada por la DecisiónAdministrativa JGM Nº 669/04, y que sirve como base para la elaboraciónde las respectivas políticas a dictarse por cada organismo alcanzadopor la citada norma.

Que atento al incremento en cantidad y variedad de amenazas yvulnerabilidades que rodean a los activos de información, la “Políticade Seguridad Modelo” oportunamente aprobada requiere ser actualizada afin de mantener su vigencia y nivel de eficacia.

Que la mera elaboración por parte de los organismos de políticas deseguridad no es suficiente para garantizar la seguridad de lainformación, la que permite a su vez, garantizar la prestación continuae ininterrumpida de los diversos servicios públicos prestados pordichos organismos.

Que sólo a través de la efectiva implementación de las medidascontempladas en dichas políticas se podrá proteger acabadamente losrecursos de información de los organismos como así también latecnología utilizada para su procesamiento.

Que ha tomado la intervención de su competencia la DIRECCION GENERAL DEASUNTOS JURIDICOS de la SUBSECRETARIA DE COORDINACION ADMINISTRATIVA dela SECRETARIA DE GABINETE y COORDINACION ADMINISTRATIVA de la JEFATURADE GABINETE DE MINISTROS.

Que la presente medida se dicta en ejercicio de las facultadesconferidas por el artículo 1° de la Resolución de la ex SUBSECRETARIADE GESTION PUBLICA Nº 45/05.

Por ello,

EL DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION

DISPONE:

Artículo 1° — Apruébase la“Política de Seguridad de la Información Modelo”, que reemplaza a losmismos fines a la aprobada por Disposición ONTI Nº 6/2005, que comoAnexo I forma parte integrante de la presente.

Art. 2° — Las disposiciones dela Política de Seguridad de la Información Modelo servirán como basepara la elaboración de las respectivas políticas a dictarse por cadaorganismo alcanzado por la Decisión Administrativa Nº 669/2004,debiendo ser interpretada como un compendio de mejores prácticas enmateria de seguridad de la información para las entidades, públicas yadaptada a la realidad y recursos de cada organismo.

Art. 3° — Las funciones a lasque hace alusión la Política de Seguridad Modelo deberán ser asignadasde acuerdo a las particularidades y operatoria de cada organismo. Dichaasignación deberá realizarse evitándose la duplicación de tareas yasegurando la segregación de funciones incompatibles siempre que seaposible, o bien mediante la implementación de controles para mitigardicho riesgo.

Art. 4° — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Pedro Janices.

ANEXO I

Política deSeguridad de la InformaciónModelo

INDICE

Tabla de contenido

1 Introducción1.1 Alcance1.2 Qué es seguridad de la información1.3 ¿Por qué es necesario1.4 Requerimientos de seguridad1.5 Evaluación de los riesgos de seguridad1.6 Selección de controles1.7 ¿Cómo empezar1.8 Factores críticos de éxito

2 Términos y Definiciones2.1 Seguridad de la Información2.2 Evaluación de Riesgos2.2 Tratamiento de Riesgos2.3 Gestión de Riesgos2.4 Comité de Seguridad de la Información2.5 Responsable de Seguridad de la Información2.6 Incidente de Seguridad2.8 Riesgo2.9 Amenaza2.10 Vulnerabilidad2.11 Control

3. Estructura de la política Modelo

4. Evaluación y tratamiento de riesgos4.1 Evaluación de los riesgos de seguridad4.2 Tratamiento de riesgos de seguridad

5. Cláusula: Política de Seguridad de la Información5.1 Categoría: Política de Seguridad de la información5.1.1 Control: Documento de la política de seguridad de la información5-1-2 Control: Revisión de la política de seguridad de la información

6. Cláusula: Organización6.1 Categoría: Organización interna6.1.1 Control: Compromiso de la dirección con la seguridad de la información6-1-2 Control: Coordinación de la seguridad de la información6-1-3 Control: Asignación de responsabilidades de la seguridad de la información6-1-4 Control: Autorización para Instalaciones de Procesamiento de Información6-1-5 Control: Acuerdos de confidencialidad6-1-6 Control: Contacto con otros organismos6-1-7 Control: Contacto con grupos de interés especial6-1-8 Control: Revisión independiente de la seguridad de la información6.2 Categoría: Grupos o personas externas6.2.1 Control: Identificación de los riesgos relacionados con grupos externos6-2-2 Control: Puntos de seguridad de la información a considerar en Contratos o Acuerdos con terceros6-2-3 Control: Puntos de Seguridad de la Información a ser considerados en acuerdos con terceros

7. Cláusula: Gestión de Activos7.1 Categoría: Responsabilidad sobre los activos7.1.1 Control: Inventario de activos7.1.2 Control: Propiedad de los activos7.1.3 Control: Uso aceptable de los activos7.2 Categoría: Clasificación de la información7.2.1 Control: Directrices de clasificación7.2.2 Control: Etiquetado y manipulado de la información

8. Cláusula: Recursos Humanos8.1 Categoría: Antes del empleo8.1.1 Control: Funciones y responsabilidades8.1.2 Control: Investigación de antecedentes8.1.3 Control: Términos y condiciones de contratación8.2 Categoría: Durante el empleo8.2.1 Control: Responsabilidad de la dirección8.2.2 Control: Concientización, formación y capacitación en seguridad de la información8.2.3 Control: Proceso disciplinario8.3 Categoría: Cese del empleo o cambio de puesto de trabajo8.3.1 Control: Responsabilidad del cese o cambio8.3.2 Control: Devolución de activos8.3.3 Control: Retiro de los derechos de acceso

9. Cláusula: Física y Ambiental9.1 Categoría: Areas Seguras9.1.1 Control: Perímetro de seguridad física9.1.2 Control: Controles físicos de entrada9.1.3 Control: Seguridad de oficinas, despachos, instalaciones9.1.4 Control: Protección contra amenazas externas y de origen ambiental9.1.5 Control: Trabajo en áreas seguras9.1.6 Control: Areas de acceso público, de carga y descarga9.2 Categoría: Seguridad de los equipos9.2.1 Control: emplazamiento y protección de equipos9.2.2 Control: Instalaciones de suministro9.2.3 Control: Seguridad del cableado9.2.4 Control: Mantenimiento de los equipos9.2.5 Control: Seguridad de los equipos fuera de las instalaciones9.2.6 Control: Reutilización o retiro seguro de equipos9.2.7 Control: Retirada de materiales propiedad de la empresa9.2.8 Políticas de Escritorios y Pantallas Limpias

10. Cláusula: Gestión de Comunicaciones y Operaciones10.1 Categoría: Procedimientos y Responsabilidades Operativas10.1.1 Control: Documentación de los Procedimientos Operativos10.1.2 Control: Cambios en las Operaciones10.1.3 Control: Separación de Funciones10.1.4 Control: Separación entre Instalaciones de Desarrollo e Instalaciones Operativas10.2 Categoría: Gestión de Provisión de Servicios10.2.1 Control: Provisión de servicio10.2.2 Control: Seguimiento y revisión de los servicios de las terceras partes10.2.3 Control: Gestión del cambio de los servicios de terceras partes10.3 Categoría: Planificación y Aprobación de Sistemas10.3.1 Control: Planificación de la Capacidad10.3.2 Control: Aprobación del Sistema10.4 Categoría: Protección Contra Código Malicioso10.4.1 Control: Código Malicioso10.4.2 Control: Código Móvil10.5 Categoría: Respaldo o Back-up10.5.1 Control: Resguardo de la Información10.5.2 Control: Registro de Actividades del Personal Operativo10.5.3 Control: Registro de Fallas10.6 Categoría: Gestión de la Red10.6.1 Control: Redes10.7 Categoría: Administración y Seguridad de los medios de almacenamiento10.7.1 Control: Administración de Medios Informáticos Removibles10.7.2 Control: Eliminación de Medios de Información10.7.3 Control: Procedimientos de Manejo de la Información10.7.4 Control: Seguridad de la Documentación del Sistema10.8 Categoría: Intercambios de Información y Software10.8.1 Control: Procedimientos y controles de intercambio de la información10.8.2 Control: Acuerdos de Intercambio de Información y Software10.8.3 Control: Seguridad de los Medios en Tránsito10.8.4 Control: Seguridad de los la Mensajería10.8.5 Control: Seguridad del Gobierno Electrónico10.9 Categoría: Seguridad del Correo Electrónico10.9.1 Control: Riesgos de Seguridad10.9.2 Control: Política de Correo Electrónico10.9.3 Control: Seguridad de los Sistemas Electrónicos de Oficina10.9.4 Control: Sistemas de Acceso Público10.9.5 Control: Otras Formas de Intercambio de Información10.10 Categoría: Seguimiento y control10.10.1 Control: Registro de auditoría10.10.2 Control: Protección de los registros10.10.3 Control: Registro de actividad de administrador y operador10.10.4 Control: Sincronización de Relojes

11. Cláusula: Gestión de Accesos11.1 Categoría: Requerimientos para el Control de Acceso11.1.1 Control: Política de Control de Accesos11.1.2 Control: Reglas de Control de Acceso11.2 Categoría: Administración de Accesos de Usuarios11.2.1 Control: Registración de Usuarios11.2.2 Control: Gestión de Privilegios11.2.3 Control: Gestión de Contraseñas de Usuario11.2.4 Control: Administración de Contraseñas Críticas11.2.5 Revisión de Derechos de Acceso de Usuarios11.3 Categoría: Responsabilidades del Usuario11.3.1 Control: Uso de Contraseñas11.3.2 Control: Equipos Desatendidos en Areas de Usuarios11.4 Categoría: Control de Acceso a la Red11.4.1 Control: Política de Utilización de los Servicios de Red11.4.2 Control: Camino Forzado11.4.3 Control: Autenticación de Usuarios para Conexiones Externas11.4.4 Control: Autenticación de Nodos11.4.5 Control: Protección de los Puertos (Ports) de Diagnóstico Remoto11.4.6 Control: Subdivisión de Redes11.4.7 Control: Acceso a Internet11.4.8 Control: Conexión a la Red11.4.9 Control: Ruteo de Red11.4.10 Control: Seguridad de los Servicios de Red11.5 Categoría: Control de Acceso al Sistema Operativo11.5.1 Control: Identificación Automática de Terminales11.5.2 Control: Procedimientos de Conexión de Terminales11.5.3 Control: Identificación y Autenticación de los Usuarios11.5.4 Control: Sistema de Administración de Contraseñas11.5.5 Control: Uso de Utilitarios de Sistema11.5.6 Control: Alarmas Silenciosas para la Protección de los Usuarios11.5.7 Control: Desconexión de Terminales por Tiempo Muerto11.5.8 Control: Limitación del Horario de Conexión11.6 Categoría: Control de Acceso a las Aplicaciones11.6.1 Control: Restricción del Acceso a la Información11.6.2 Control: Aislamiento de los Sistemas Sensibles11.7 Categoría: Monitoreo del Acceso y Uso de los Sistemas11.7.1 Control: Registro de Eventos11.7.2 Control: Procedimientos y Areas de Riesgo11.8 Categoría: Dispositivos Móviles y Trabajo Remoto11.8.1 Control: Computación Móvil11.8.2 Control: Trabajo Remoto

12. Cláusula: Adquisición, desarrollo y mantenimiento de sistemas12.1 Categoría: Requerimientos de Seguridad de los Sistemas12.1.1 Control: Análisis y Especificaciones de los Requerimientos de seguridad12.2 Categoría: Seguridad en los Sistemas de Aplicación12.2.1 Validación de Datos de Entrada12.2.2 Control: Controles de Procesamiento Interno12.2.3 Control: Autenticación de Mensajes12.2.4 Control: Validación de Datos de Salidas12.3 Categoría: Controles Criptográficos12.3.1 Control: Política de Utilización de Controles Criptográficos12.3.2 Control: Cifrado12.3.4 Control: Firma Digital12.3.5 Control: Servicios de No Repudio12.3.6 Control: Protección de claves criptográficas12.3.7 Control: Protección de Claves criptográficas: Normas y procedimientos12.4 Categoría: Seguridad de los Archivos del Sistema12.4.1 Control: Software Operativo12.4.2 Control: Protección de los Datos de Prueba del Sistema12.4.3 Control: Cambios a Datos Operativos12.4.4 Control: Acceso a las Bibliotecas de Programas fuentes12.5 Categoría: Seguridad de los Procesos de Desarrollo y Soporte12.5.1 Control Procedimiento de Control de Cambios12.5.2 Control: Revisión Técnica de los Cambios en el sistema Operativo12.5.3 control: Restricción del Cambio de Paquetes de Software12.5.4 Control: Canales Ocultos y Código Malicioso12.5.6 Control: Desarrollo Externo de Software12.6 Categoría: Gestión de vulnerabilidades técnicas12.6.1 Control: Vulnerabilidades técnicas

13. Cláusula: Gestión de Incidentes de Seguridad13.1 Categoría: Informe de los eventos y debilidades de la seguridad13.1.1 Reporte de los eventos de la seguridad de información13.1.2 Reporte de las debilidades de la seguridad13.1.3 Comunicación de Anomalías del Software13.2 Categoría: Gestión de los Incidentes y mejoras de la seguridad13.2.1 Control: Responsabilidades y procedimientos13.2.2 Aprendiendo a partir de los incidentes de la seguridad de la información13.2.3 Procesos Disciplinarios

14. Cláusula: Gestión de la Continuidad14.1 Categoría: Gestión de continuidad del Organismo14.1.1 Control: Proceso de Administración de la continuidad del Organismo14.1.2 Control: Continuidad de las Actividades y Análisis de los impactos14.1.3 Control: Elaboración e implementación de os planes de continuidad de las Actividades del Organismo14.1.4 Control: Marco para la Planificación de la continuidad de las Actividades del Organismo14.1.5 Control: Ensayo, Mantenimiento y Reevaluación de los Planes de continuidad del Organismo

15. Cláusula: Cumplimiento15.1 Categoría: Cumplimiento de Requisitos Legales15.1.1 Control: Identificación de la Legislación Aplicable15.1.2 Control: Derechos de Propiedad Intelectual15.1.3 Control: Protección de los Registros del Organismo15.1.3 Control: Protección de Datos y Privacidad de la Información Personal15.1.4 Control: Prevención del Uso Inadecuado de los Recursos de Procesamiento de Información15.1.6 Regulación de Controles para el Uso de Criptografía15.1.7 Recolección de Evidencia15.1.8 Delitos Informáticos15.2 Categoría: Revisiones de la Política de Seguridad y la Compatibilidad15.2.1 Control: Cumplimiento de la Política de Seguridad15.2.2 Verificación de la Compatibilidad Técnica15.3 Consideraciones de Auditorías de Sistemas15.3.1 Controles de Auditoría de Sistemas15.3.2 Protección de los Elementos Utilizados por la Auditoría de Sistemas15.3.3 Sanciones Previstas por Incumplimiento

1 Introducción

En diciembre de 2004, la DA Nº 669/2004 de la Jefatura de Gabinete deMinistros estableció la obligatoriedad para los organismos del SectorPúblico Nacional (comprendidos en los incisos a) y c) del artículo 8ºde la Ley Nº 24.156 y sus modificatorias) de:

• Dictar una política de Seguridad de la Información conforme laPolítica de Seguridad Modelo, o adecuar sus Políticas de Seguridadconforme al Modelo aprobado.

• Conformar un Comité de Seguridad en la Información.

• Designar un coordinador del Comité de Seguridad de la Información.

• Establecer las funciones del Comité de Seguridad de la Información.

En 2005 mediante la Disposición Nº 6/2005 de la Oficina Nacional deTecnologías de Información se aprueba la primera “Política de Seguridadde la Información Modelo” y en septiembre del 2011 se procedió arealizar la actualización de aquel Modelo, en base a lasactualizaciones sufridas por la norma ISO/IEC 27002 y la incorporaciónde temas como los que se mencionan a continuación:

Los aspectos clave de esta actualización son:

Fundamentales

• Compromiso y apoyo de la Dirección de la organización.

• Definición clara de un alcance apropiado.

• concientización y formación del personal.

• Evaluación de riesgos exhaustiva y adecuada a la organización.

• Compromiso de mejora continua.

• Establecimiento de políticas y normas.

• Organización y comunicación.

• Inclusión de la cláusula o dominio gestión de incidentes de seguridad

Factores críticos de éxito

• La concientización del empleado por la seguridad. Principal objetivo a conseguir.

• Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de mejora.

• Creación de un sistema de gestión de incidentes que recojanotificaciones continuas por parte de los usuarios (los incidentes deseguridad deben ser reportados y analizados).

• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

• La seguridad no es un producto, es un proceso.

• La seguridad no es un proyecto, es una actividad continua y elprograma de protección requiere el soporte de la organización paratener éxito.

• La seguridad debe ser inherente a los procesos de información y de la organización.

Riesgos

• Temor ante el cambio: resistencia de las personas.

• Discrepancias en los comités de dirección.

• Delegación de todas las responsabilidades en departamentos técnicos.

• No asumir que la seguridad de la información es inherente a los procesos de la organización.

• Planes de formación y concientización inadecuados.

• Definición poco clara del alcance.

• Exceso de medidas técnicas en detrimento de la formación, concientización y medidas de tipo organizativo.

• Falta de comunicación de los progresos al personal de la organización.

Se hace saber que queda expresamenteprohibido el uso para fines comerciales del presente documento.Asimismo, las personas autorizadas para usar la “Política Modelo”podrán copiarla, modificarla y reproducirla únicamente para aquellosfines a los cuales está destinada.

El presente modelo podrá sufrir modificaciones futuras, de acuerdo alas novedades que se registren en la materia que trata, las cualesserán debidamente aprobadas y comunicadas.

1.1 Alcance

La presente Política de Seguridad de la Información se dicta encumplimiento de las disposiciones legales vigentes, con el objeto degestionar adecuadamente la seguridad de la información, los sistemasinformáticos y el ambiente tecnológico del Organismo.

Debe ser conocida y cumplida por toda la planta de personal delOrganismo, tanto se trate de funcionarios políticos como técnicos, ysea cual fuere su nivel jerárquico y su situación de revista.

1.2 Qué es seguridad de la información

La información es un activo que, como otros activos importantes, esesencial y en consecuencia necesita ser protegido adecuadamente.

La información puede existir en muchas formas. Puede estar impresa oescrita en un papel, almacenada electrónicamente, transmitida porcorreo o utilizando medios electrónicos, mostrada en películas ohablada en una conversación. Cualquiera que sea la forma que tome lainformación, o medio por el cual sea almacenada o compartida, siempredebiera estar apropiadamente protegida.

La seguridad de la información es la protección de la información de unrango amplio de amenazas para poder asegurar la continuidad delnegocio, minimizar el riesgo de la operación y la operación normal delorganismo.

La seguridad de la información se logra implementando un adecuadoconjunto de controles; incluyendo políticas, procesos, procedimientos,estructuras organizacionales y funciones de software y hardware. Senecesitan establecer, implementar, monitorear, revisar y mejorar estoscontroles cuando sea necesario para asegurar que se cumplan losobjetivos de seguridad y comerciales específicos. Esto se debierarealizar en conjunción con otros procesos de gestión del organismo.

1.3 ¿Por qué es necesario

La información y los procesos, sistemas y redes de apoyo son activosimportantes. Definir, lograr, mantener y mejorar la seguridad de lainformación puede ser esencial para mantener una eficacia en laoperación de las actividades del organismo, observancia legal e imagen.

Las organizaciones y sus sistemas y redes de información enfrentanamenazas de seguridad de un amplio rango de fuentes; incluyendo fraudepor computadora, espionaje, sabotaje, vandalismo, fuego o inundación.Las causas de daño como código malicioso, pirateo computarizado onegación de ataques de servicio se hacen cada vez más comunes, másambiciosas y cada vez más sofisticadas.

La seguridad de la información es importante tanto para negocios delsector público como privado, y para proteger las infraestructurascríticas. En ambos sectores, la seguridad de la información funcionarácomo un facilitador; por ejemplo para lograr e-gobierno o e-negocio,para evitar o reducir los riesgos relevantes. La interconexión de redespúblicas y privadas y el intercambio de fuentes de informaciónincrementan la dificultad de lograr un control del acceso. La tendenciaa la computación distribuida también ha debilitado la efectividad de uncontrol central y especializado.

Muchos sistemas de información no han sido diseñados para ser seguros.La seguridad que se puede lograr a través de medios técnicos eslimitada, y debiera ser apoyada por la gestión y los procedimientosadecuados. Identificar qué controles establecer requiere de unplaneamiento cuidadoso y prestar atención a los detalles. La gestión dela seguridad de la información requiere, como mínimo, la participaciónde los diferentes grupos de interés, proveedores, terceros, clientes uotros grupos externos. También se puede requerir asesoría especializadade organizaciones externas.

1.4 Requerimientos de seguridad

Todo comienza con identificar los requerimientos de seguridad. Existentres fuentes principales de requerimientos de seguridad, Una fuente sederiva de evaluar los riesgos para la organización, tomando en cuentala estrategia general y los objetivos del organismo.

A través de la evaluación del riesgo, se identifican las amenazas paralos activos, se evalúa la vulnerabilidad y la probabilidad deocurrencia y se calcula el impacto potencial.

Otra fuente son los requerimientos legales, reguladores, estatutarios ycontractuales que tienen que satisfacer una organización, sus socioscomerciales, contratistas y proveedores de servicio; y su ambientesocio-cultural.

Otra fuente es el conjunto particular de principios, objetivos yrequerimientos funcionales para el procesamiento de la información queuna organización ha desarrollado para sostener sus operaciones.

1.5 Evaluación de los riesgos de seguridad

Los requerimientos de seguridad se identifican mediante una evaluaciónmetódica de los riesgos de seguridad. El gasto en controles debiera serequilibrado con el daño operacional probable resultado de fallas en laseguridad.

Los resultados de la evaluación del riesgo ayudarán a guiar ydeterminar la acción de gestión apropiada y las prioridades paramanejar los riesgos de seguridad de la información, e implementar loscontroles seleccionados para protegerse contra esos riesgos.

La evaluación del riesgo se debiera repetir periódicamente para tratarcualquier cambio que podría influir en los resultados de la evaluacióndel riesgo.

Se puede encontrar más información de la evaluación de los riesgos deseguridad en la cláusula 4.1 “Evaluando los riesgos de la seguridad”.

1.6 Selección de controles

Una vez que se han identificado los requerimientos y los riesgos deseguridad y se han tomado las decisiones para el tratamiento de losriesgos, se debieran seleccionar los controles apropiados y se debieranimplementar para asegurar que los riesgos se reduzcan a un nivelaceptable.

La selección de los controles de seguridad depende de las decisionesorganizacionales basadas en el criterio de aceptación del riesgo,opciones de tratamiento del riesgo y el enfoque general para la gestióndel riesgo aplicado a la organización, y también debieran estar sujetasa todas las regulaciones y legislación nacionales e internacionalesaplicables.

1.7 ¿Cómo empezar

Se pueden considerar un número de controles como un buen punto deinicio para la implementación de la seguridad de la información. Estosse basan en requerimientos legales esenciales o pueden ser consideradoscomo una práctica común para la seguridad de la información.

Los controles considerados como esenciales para una organización desdeel punto de vista legislativo incluyen, dependiendo de la legislaciónaplicable:

a) protección de datos y privacidad de la información personal

b) protección de los registros organizacionales

c) derechos de propiedad intelectual

Los controles considerados práctica común para la seguridad de la información incluyen:

a) documento de la política de seguridad de la información

b) asignación de responsabilidades de la seguridad de la información

c) conocimiento, educación y capacitación en seguridad de la información

d) procesamiento correcto en las aplicaciones

e) gestión de la vulnerabilidad técnica

f) gestión de la continuidad operacional

g) gestión de los incidentes y mejoras de la seguridad de la información

Estos controles se aplican a la mayoría de las organizaciones y en la mayoría de los escenarios.

Se debiera notar que aunque los controles en esta política sonimportantes y debieran ser considerados, se debiera determinar larelevancia de cualquier control a la luz de los riesgos específicos queenfrenta la organización. Por lo tanto, aunque el enfoque arribamencionado es considerado como un buen punto de inicio, no reemplaza laselección de controles basada en la evaluación del riesgo.

1.8 Factores críticos de éxito

La experiencia ha demostrado que los siguientes factores con frecuenciason críticos para una exitosa implementación de la seguridad de lainformación dentro de una organización:

a) política, objetivos y actividades de seguridad de información que reflejan los objetivos del organismo;

b) un enfoque y marco referencial para implementar, mantener,monitorear y mejorar la seguridad de la información que sea consistentecon la cultura organizacional;

c) soporte visible y compromiso de todos los niveles de gestión;

d) un buen entendimiento de los requerimientos de seguridad de la información, evaluación del riesgo y gestión del riesgo;

e) comunicación efectiva de la seguridad de la información con todo losdirectores, empleados y otras partes para lograr conciencia sobre eltema;

f) distribución de lineamientos sobre la política y los estándares deseguridad de la información para todos los directores, empleados yotras partes involucradas;

g) provisión para el financiamiento de las actividades de gestión de la seguridad de la información;

h) proveer el conocimiento, capacitación y educación apropiados;

i) establecer un proceso de gestión de incidentes de seguridad de la información;

j) implementación de un sistema de medición: que se utiliza paraevaluar el desempeño en la gestión de la seguridad de la información yretroalimentación de sugerencias para el mejoramiento.

2 Términos y Definiciones

2.1 Seguridad de la Información

La seguridad de la información se entiende como la preservación de las siguientes características:

• Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

• Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

• Disponibilidad: se garantizaque los usuarios autorizados tengan acceso a la información y a losrecursos relacionados con la misma, toda vez que lo requieran.

Adicionalmente, deben considerarse los conceptos de:

• Autenticidad: busca asegurarla validez de la información en tiempo, forma y distribución. Asimismo,se garantiza el origen de la información, validando el emisor paraevitar suplantación de identidades.

• Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior.

• Protección a la duplicación:consiste en asegurar que una transacción sólo se realiza una vez, amenos que se especifique lo contrario. Impedir que se grabe unatransacción para luego reproducirla, con el objeto de simular múltiplespeticiones del mismo remitente original.

• No repudio: se refiere a evitar que una entidad que haya enviado o recibido información alegue ante terceros que no la envió o recibió.

• Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeto el Organismo.

• Confiabilidad de la Información:es decir, que la información generada sea adecuada para sustentar latoma de decisiones y la ejecución de las misiones y funciones.

A los efectos de una correcta interpretación de la presente Política, se realizan las siguientes definiciones:

• Información: Se refiere atoda comunicación o representación de conocimiento como datos, encualquier forma, con inclusión de formas textuales, numéricas,gráficas, cartográficas, narrativas o audiovisuales, y en cualquiermedio, ya sea magnético, en papel, en pantallas de computadoras,audiovisual u otro.

• Sistema de Información: Serefiere a un conjunto independiente de recursos de informaciónorganizados para la recopilación, procesamiento, mantenimiento,transmisión y difusión de información según determinadosprocedimientos, tanto automatizados como manuales.

• Tecnología de la Información:Se refiere al hardware y software operados por el Organismo o por untercero que procese información en su nombre, para llevar a cabo unafunción propia del Organismo, sin tener en cuenta la tecnologíautilizada, ya se trate de computación de datos, telecomunicaciones uotro tipo.

2.2 Evaluación de Riesgos

Se entiende por evaluación de riesgos a la evaluación de las amenazas yvulnerabilidades relativas a la información y a las instalaciones deprocesamiento de la misma, la probabilidad de que ocurran y supotencial impacto en la operatoria del Organismo.

2.2 Tratamiento de Riesgos

Proceso de selección e implementación de medidas para modificar el riesgo.

2.3 Gestión de Riesgos

Actividades coordinadas para dirigir y controlar una organización en lo que concierne al riesgo.

NOTA. La gestión de riesgos usualmente incluye la evaluación deriesgos, el tratamiento de riesgos, la aceptación de riesgos y lacomunicación de riesgos.

2.4 Comité de Seguridad de la Información

El Comité de Seguridad de la Información, es un cuerpo integrado porrepresentantes de todas las áreas sustantivas del Organismo, destinadoa garantizar el apoyo manifiesto de las autoridades a las iniciativasde seguridad.

2.5 Responsable de Seguridad de la Información

Es la persona que cumple la función de supervisar el cumplimiento de lapresente Política y de asesorar en materia de seguridad de lainformación a los integrantes del Organismo que así lo requieran.

2.6 Incidente de Seguridad

Un incidente de seguridad es un evento adverso en un sistema decomputadoras, o red de computadoras, que puede comprometer o comprometela confidencialidad, integridad y/o disponibilidad de la información.Puede ser causado mediante la explotación de alguna vulnerabilidad o unintento o amenaza de romper los mecanismos de seguridad existentes.

2.8 Riesgo

Combinación de la probabilidad de ocurrencia de un evento y sus consecuencias o impacto.

2.9 Amenaza

Una causa potencial de un incidente no deseado, el cual puede ocasionar daños a un sistema u organización.

2.10 Vulnerabilidad

Una debilidad de un activo o grupo de activos que puede ser aprovechada por una amenaza.

2.11 Control

Medio para gestionar el riesgo, incluyendo políticas, procedimientos,directrices, prácticas o estructuras organizacionales, las cualespueden ser de naturaleza administrativa, técnica, de gestión, o legal.

NOTA. Control es también utilizado como sinónimo de salvaguarda o de contramedida.

3. Estructura de la política Modelo

Este modelo que se divide en dos partes, y guarda la siguiente estructura:

• Cuatro capítulos introductorios, con los términos generales y elestablecimiento de la Evaluación y el Tratamiento de los riesgos.

• Once capítulos que abarcan las diferentes cláusulas, aspectos odominios de la seguridad de la información. Se presentan de manerasistemática y consistente.

Cada cláusula contiene un número de categorías o grupo de controles deseguridad principales. Las diez cláusulas (acompañadas por el número decategorías de seguridad principales incluidas dentro de cada cláusula)son:

- Política de Seguridad (1);

- Organización (2);

- Gestión de Activos (2);

- Recursos Humanos (3);

- Seguridad Física y Ambiental (2);

- Gestión de Comunicaciones y Operaciones (10);

- Gestión de Accesos (7);

- Adquisición, Desarrollo y Mantenimiento de Sistemas (6);

- Gestión de Incidentes de seguridad (2)

- Gestión de la Continuidad (1);

- Cumplimiento (3).

Por último, por cada categoría, se establece un objetivo y contiene uno o más controles a realizar.

A modo de síntesis se enuncia a continuación la estructura de cada uno de los capítulos de cada cláusula:

- Capítulo de la cláusula o dominio

• Generalidades

• Objetivos

• Alcance

• Responsabilidades

• Política

• Categorías

• Objetivo

• Controles

Las once cláusulas o dominios son:

- Cláusulas

• Política de seguridad

• Organización

• Gestión de activos

• Recursos humanos

• Física ambiental

• Gestión de comunicaciones y operaciones

• Gestión de Accesos

• Adquisición, desarrollo y mantenimiento de sistemas

• Gestión de Incidentes de seguridad

• Gestión de continuidad

• Cumplimento

4. Evaluación y tratamiento de riesgos

Generalidades

Todo Organismo se encuentra expuesto a riesgos en materia de seguridadde la información. No existe la seguridad completa, por lo que esnecesario conocer cuál es el mapa de riesgos al cual se enfrenta elorganismo y tomar acciones tendientes a minimizar los posibles efectosnegativos de la materialización de dichos riesgos.

Es por ello que resulta imprescindible gestionar los riesgos del Organismo, como pilar fundamental para la gestión de seguridad.

Objetivo

Conocer los riesgos a los que se expone el Organismo en materia de seguridad de la información.

Generar información de utilidad para la toma de decisiones en materia de controles de seguridad.

Alcance

Esta Política se aplica a toda la información administrada en el Organismo, cualquiera sea el soporte en que se encuentre.

Responsabilidad

El Comité de Seguridad de la Información será responsable de que segestionen los riesgos de seguridad de la información, brindando suapoyo para el desarrollo de dicho proceso y su mantenimiento en eltiempo.

El Responsable de Seguridad de la Información junto con los Titularesde Unidades Organizativas serán responsables del desarrollo del procesode gestión de riesgos de seguridad de la información.

Política

4.1 Evaluación de los riesgos de seguridad

El Organismo evaluará sus riesgos identificándolos, cuantificándolos ypriorizándolos en función de los criterios de aceptación de riesgos yde los objetivos de control relevantes para el mismo. Los resultadosguiarán y determinarán la apropiada acción de la dirección y lasprioridades para gestionar los riesgos de seguridad de la información ypara la implementación de controles seleccionados para protegersecontra estos riesgos.

Se debe efectuar la evaluación de riesgos periódicamente, para tratarcon los cambios en los requerimientos de seguridad y en las situacionesde riesgo, por ejemplo: cambios producidos en activos, amenazas,vulnerabilidades, impactos, valoración de riesgos. Asimismo, se debeefectuar la evaluación cada vez que ocurran cambios significativos. Esconveniente que estas evaluaciones de riesgos se lleven a cabo de unamanera metódica capaz de producir resultados comparables yreproducibles.

El alcance de una evaluación de riesgos puede incluir a todo elOrganismo, una parte, un sistema de información particular, componentesespecíficos de un sistema, o servicios. Resulta recomendable seguir unametodología de evaluación de riesgos para llevar a cabo el proceso.

4.2 Tratamiento de riesgos de seguridad

Antes de considerar el tratamiento de un riesgo, el Organismo debedecidir los criterios para determinar si los riesgos pueden, o no, seraceptados. Los riesgos pueden ser aceptados si por ejemplo: se evaluóque el riesgo es bajo o que el costo del tratamiento no eseconómicamente viable para la organización. Tales decisiones deben sertomadas por las autoridades y debidamente documentadas.

Para cada uno de los riesgos identificados durante la evaluación deriesgos, se necesita tomar una decisión para su tratamiento. Lasposibles opciones para el tratamiento de riesgos incluyen:

a) Mitigar los riesgos mediante la aplicación de controles apropiados para reducir los riesgos;

b) Aceptar los riesgos de manera objetiva y consciente, siempre ycuando éstos satisfagan claramente la política y los criterios deaceptación de riesgos del Organismo;

c) Evitar los riesgos, eliminando las acciones que dan origen a la ocurrencia de éstos;

d) Transferir los riesgos asociados a otras partes interesadas, por ejemplo: compañías de seguro o proveedores.

Para aquellos riesgos donde la decisión ha sido la mitigación, sebuscará reducir los riesgos a un nivel aceptable mediante laimplementación de controles, teniendo en cuenta lo siguiente:

a) requerimientos y restricciones de legislaciones y regulaciones nacionales e internacionales;

b) objetivos organizacionales;

c) requerimientos y restricciones operativos;

d) costo de implementación y operación en relación directa a losriesgos reducidos, y proporcionales a los requerimientos yrestricciones del Organismo;

e) la necesidad de equilibrar las inversiones en la implementación yoperación de los controles contra el daño que podría resultar de lasfallas de seguridad.

Los controles a implementar pueden ser seleccionados del contenido delos capítulos de esta política, o se pueden establecer nuevos controlespara satisfacer necesidades específicas del Organismo. Es necesarioreconocer que algunos controles pueden no ser aplicables a todo sistemade información o a su ambiente, y podrían no ser aplicables en todoslos Organismos.

Se debe recordar que ningún conjunto de controles puede alcanzar laseguridad absoluta. Los controles implementados deben ser evaluadospermanentemente para que puedan ser mejorados en eficiencia yefectividad.

5. Cláusula: Política de Seguridad de la Información

Generalidades

La información es un recurso que, como el resto de los activos, tienevalor para el Organismo y por consiguiente debe ser debidamenteprotegida.

Las Políticas de Seguridad de la Información protegen a la misma de unaamplia gama de amenazas, a fin de garantizar la continuidad de lossistemas de información y de la operación del Organismo, minimizar losriesgos de daño y asegurar el eficiente cumplimiento de los objetivosdel Organismo.

Es importante que los principios de la Política de Seguridad sean parte de la cultura organizacional.

Para esto, se debe asegurar un compromiso manifiesto de las máximasAutoridades del Organismo y de los titulares de Unidades Organizativaspara la difusión, consolidación y cumplimiento de la presente Política.

Objetivo

Proteger los recursos de información del Organismo y la tecnologíautilizada para su procesamiento, frente a amenazas, internas oexternas, deliberadas o accidentales, con el fin de asegurar elcumplimiento de la confidencialidad, integridad, disponibilidad,legalidad y confiabilidad de la información.

Asegurar la implementación de las medidas de seguridad comprendidas enesta Política, identificando los recursos y las partidaspresupuestarias correspondientes, sin que ello implique necesariamentela asignación de partidas adicionales.

Mantener la Política de Seguridad del Organismo actualizada, a efectos de asegurar su vigencia y nivel de eficacia.

Alcance

Esta Política se aplica en todo el ámbito del Organismo, a sus recursosy a la totalidad de los procesos, ya sean internos o externosvinculados a la entidad a través de contratos o acuerdos con terceros.

Responsabilidad

Todos los Directores Nacionales o Generales, Gerentes o equivalentes,titulares de Unidades Organizativas, tanto se trate de autoridadespolíticas o personal técnico y sea cual fuere su nivel jerárquico sonresponsables de la implementación de esta Política de Seguridad de laInformación dentro de sus áreas de responsabilidad, así como delcumplimiento de dicha Política por parte de su equipo de trabajo.

La Política de Seguridad de la Información es de aplicación obligatoriapara todo el personal del Organismo, cualquiera sea su situación derevista, el área a la cual se encuentre afectado y cualquiera sea elnivel de las tareas que desempeñe.

Las máximas autoridades del Organismo aprueban esta Política y son responsables de la autorización de sus modificaciones.

El Comité de Seguridad de la Información del Organismo,

• procederá a revisar y proponer a la máxima autoridad del Organismopara su aprobación la Política de Seguridad de la Información y lasfunciones generales en materia de seguridad de la información;

• monitorear cambios significativos en los riesgos que afectan a losrecursos de información frente a las amenazas más importantes;

• tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad;

• aprobar las principales iniciativas para incrementar la seguridad dela información, de acuerdo a las competencias y responsabilidadesasignadas a cada área1, así como acordar y aprobar metodologías yprocesos específicos relativos a seguridad de la información;______1 Se refiere a dar curso a las propuestas presentadaspor parte de las áreas de acuerdo a sus competencias, elevándolas a lamáxima autoridad, a través del Comité de Seguridad, con relación a laseguridad de la información del Organismo. Dichas iniciativas deben seraprobadas luego por la máxima autoridad del Organismo.

• garantizar que la seguridad sea parte del proceso de planificación dela información; evaluar y coordinar la implementación de controlesespecíficos de seguridad de la información para nuevos sistemas oservicios;

• promover la difusión y apoyo a la seguridad de la información dentrodel Organismo y coordinar el proceso de administración de lacontinuidad de las actividades del Organismo.

El Coordinador del Comité de Seguridad de la Información será el responsable de:

• coordinar las acciones del Comité de Seguridad de la Información y de

• impulsar la implementación y cumplimiento de la presente Política.

El Responsable de Seguridad de la Información

• cumplirá funciones relativas a la seguridad de los sistemas de información del Organismo,

• lo cual incluye: la supervisión de todos los aspectos inherentes a los temas tratados en la presente Política.

Los Propietarios de la Información2 y Propietarios de activos son responsables de:

• clasificarla de acuerdo con el grado de sensibilidad y criticidad de la misma,

• de documentar y mantener actualizada la clasificación efectuada, y

• de definir qué usuarios deben tener permisos de acceso a la información de acuerdo a sus funciones y competencia.

El Responsable del Area de Recursos Humanos o quien desempeñe esas funciones, cumplirá la función de:

• notificar a todo el personal que ingresa de sus obligaciones respectodel cumplimiento de la Política de Seguridad de la Información y detodas las normas, procedimientos y prácticas que de ella surjan.

• Asimismo, tendrá a su cargo la notificación de la presente Política atodo el personal, de los cambios que en ella se produzcan, laimplementación de la suscripción de los Compromisos de Confidencialidad(entre otros) y las tareas de capacitación continua en materia deseguridad.

El Responsable del Area Informáticacumplirá la función de cubrir los requerimientos de seguridadinformática establecidos para la operación, administración ycomunicación de los sistemas y recursos de tecnología del Organismo.Por otra parte tendrá la función de efectuar las tareas de desarrollo ymantenimiento de sistemas, siguiendo una metodología de ciclo de vidade sistemas apropiada, y que contemple la inclusión de medidas deseguridad en los sistemas en todas las fases.

El Responsable del Area Legal o Jurídicaverificará el cumplimiento de la presente Política en la gestión detodos los contratos, acuerdos u otra documentación del Organismo consus empleados y con terceros. Asimismo, asesorará en materia legal alOrganismo, en lo que se refiere a la seguridad de la información.

Los usuarios de la información y de los sistemasutilizados para su procesamiento son responsables de conocer, dar aconocer, cumplir y hacer cumplir la Política de Seguridad de laInformación vigente.

La Unidad de Auditoría Interna,o en su defecto quien sea propuesto por el Comité de Seguridad de laInformación es responsable de practicar auditorías periódicas sobre lossistemas y actividades vinculadas con la tecnología de información,debiendo informar sobre el cumplimiento de las especificaciones ymedidas de seguridad de la información establecidas por esta Política ypor las normas, procedimientos y prácticas que de ella surjan (Vercapítulo 15 Cláusula Cumplimiento).

Política

5.1 Categoría: Política de Seguridad de la información

Objetivo

Proporcionar a la Dirección Superior la dirección y soporte para laseguridad de la información en concordancia con los requerimientos ylas leyes y regulaciones relevantes. La gerencia debe establecerclaramente la dirección de la política en línea con los objetivos.

5.1.1 Control: Documento de la política de seguridad de la información

El documento de la política debe ser aprobado por el Comité deSeguridad, publicado y comunicado a todos los empleados y las partesexternas relevantes.

Esta Política se conforma de una serie de pautas sobre aspectosespecíficos de la Seguridad de la Información, que incluyen lossiguientes tópicos:

Organización de la Seguridad

Orientado a administrar la seguridad de la información dentro delOrganismo y establecer un marco gerencial para controlar suimplementación.

Gestión de Activos

Destinado a mantener una adecuada protección de los activos del Organismo.

Recursos Humanos

Orientado a reducir los riesgos de error humano, comisión de ilícitos contra el Organismo o uso inadecuado de instalaciones.

Física y Ambiental

Destinado a impedir accesos no autorizados, daños e interferencia a las sedes e información del Organismo._____2 El concepto “Propietario de la Información” definea la persona responsable de la integridad, confidencialidad ydisponibilidad de una cierta información.

Gestión de las Comunicaciones y las Operaciones

Dirigido a garantizar el funcionamiento correcto y seguro de lasinstalaciones de procesamiento de la información y medios decomunicación.

Gestión de Accesos

Orientado a controlar el acceso lógico a la información.

Adquisición. Desarrollo y Mantenimiento de los Sistemas

Orientado a garantizar la incorporación de medidas de seguridad en lossistemas de información desde su adquisición, desarrollo y/oimplementación y durante su mantenimiento.

Gestión de Incidentes de seguridad

Orientado a administrar todos los eventos que atenten contra laconfidencialidad, integridad y disponibilidad de la información y losactivos tecnológicos

Gestión de Continuidad

Orientado a contrarrestar las interrupciones de las actividades yproteger los procesos críticos de los efectos de fallas significativaso desastres.

Cumplimiento

Destinado a impedir infracciones y violaciones de las leyes del derechocivil y penal; de las obligaciones establecidas por leyes, estatutos,normas, reglamentos o contratos; y de los requisitos de seguridad.

A fin de asegurar la implementación de las medidas de seguridadcomprendidas en esta Política, el Organismo identificará los recursosnecesarios e indicará formalmente las partidas presupuestariascorrespondientes, como anexo a la presente Política. Lo expresadoanteriormente no implicará necesariamente la asignación de partidaspresupuestarias adicionales.

La máxima autoridad del Organismo aprobará formalmente la Política y lacomunicará a todos los empleados y terceras partes relevantes.

5-1-2 Control: Revisión de la política de seguridad de la información

La política de seguridad de la información debe tener un dueño,responsable de las actividades de desarrollo, evaluación y revisión dela política.

La actividad de revisión debe incluir las oportunidades de mejoras, enrespuesta a los cambios, entre otros: organizacionales, normativos,legales, tercero, tecnológicos.

Las mejoras tenidas en cuenta, deben quedar registradas y tener las aprobaciones de los responsables.

El Comité de Seguridad de la Información debe revisarla a intervalosplaneados y prever el tratamiento de caso de los cambios no planeados,a efectos de mantener actualizada la política.

Asimismo efectuará toda modificación que sea necesaria en función aposibles cambios que puedan afectar su definición, como ser, cambiostecnológicos, variación de los costos de los controles, impacto de losincidentes de seguridad, etc.

6. Cláusula: Organización

Generalidades

La presente Política de Seguridad establece la administración de laseguridad de la información, como parte fundamental de los objetivos yactividades del Organismo.

Por ello, se definirá formalmente un ámbito de gestión para efectuartareas tales como la aprobación de la Política, la coordinación de suimplementación y la asignación de funciones y responsabilidades.

Asimismo, se contemplará la necesidad de disponer de fuentes conconocimiento y experimentadas para el asesoramiento, cooperación ycolaboración en materia de seguridad de la información.

Por otro lado debe tenerse en cuenta que ciertas actividades delOrganismo pueden requerir que terceros accedan a información interna, obien puede ser necesaria la tercerización de ciertas funcionesrelacionadas con el procesamiento de la información. En estos casos seconsiderará que la información puede ponerse en riesgo si el acceso dedichos terceros se produce en el marco de una inadecuada administraciónde la seguridad, por lo que se establecerán las medidas adecuadas parala protección de la información.

Objetivo

Administrar la seguridad de la información dentro del Organismo yestablecer un marco gerencial para iniciar y controlar suimplementación, así como para la distribución de funciones yresponsabilidades.

Fomentar la consulta y cooperación con Organismos especializados parala obtención de asesoría en materia de seguridad de la información.

Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del Organismo.

Alcance

Esta Política se aplica a todos los recursos del Organismo y a todassus relaciones con terceros que impliquen el acceso a sus datos,recursos y/o a la administración y control de sus sistemas deinformación.

Responsabilidad

El Coordinador del Comité de Seguridad de la Información será elresponsable de impulsar la implementación de la presente Política.

El Comité de Seguridad de la Información tendrá a cargo elmantenimiento y la presentación para la aprobación de la presentePolítica, ante la máxima autoridad del organismo, el seguimiento deacuerdo a las incumbencias propias de cada área de las actividadesrelativas a la seguridad de la información (análisis de riesgos,monitoreo de incidentes, supervisión de la investigación,implementación de controles, administración de la continuidad,impulsión de procesos de concientización, etc.) y la proposición deasignación de funciones.

El Responsable de Seguridad de la Información asistirá al personal delOrganismo en materia de seguridad de la información y coordinará lainteracción con Organismos especializados. Asimismo, junto con lospropietarios de la información, analizará el riesgo de los accesos deterceros a la información del Organismo y verificará la aplicación delas medidas de seguridad necesarias para la protección de la misma.

Los Responsables de las Unidades Organizativas cumplirán la función deautorizar la incorporación de nuevos recursos de procesamiento deinformación a las áreas de su incumbencia.

La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información será responsable de realizarrevisiones independientes sobre la vigencia y el cumplimiento de lapresente Política.

El Responsable del Area de Administración cumplirá la función deincluir en los contratos con proveedores de servicios de tecnología ycualquier otro proveedor de bienes o servicios cuya actividad afectedirecta o indirectamente a los activos de información, laobligatoriedad del cumplimiento de la Política de Seguridad de laInformación y de todas las normas, procedimientos y prácticasrelacionadas.

El Responsable del Area Jurídica participará en dicha tarea.

Asimismo, notificará a los proveedores sobre las modificaciones que seefectúen a la Política de Seguridad de la Información del Organismo

Política

6.1 Categoría: Organización interna

Objetivo

Manejar la seguridad de la información dentro del organismo.

Se debe establecer un marco referencial gerencial o política, parainiciar y controlar la implementación de la seguridad de la informacióndentro del organismo.

La Dirección debe aprobar la política de seguridad de la información,asignar los roles de seguridad y coordinar y revisar la implementaciónde la seguridad en todo el organismo.

6.1.1 Control: Compromiso de la dirección con la seguridad de la información

La dirección debe apoyar la seguridad de la información a través de unadirección clara, mostrando compromiso, asignando roles y reconociendoresponsabilidades explícitas.

Debe formular, revisar y aprobar la política de seguridad de lainformación, como asimismo revisar los beneficios de la implementaciónde la misma.

La seguridad de la información es una responsabilidad del Organismocompartida por todas las Autoridades políticas y Directores Nacionaleso Generales, Gerentes o equivalentes, por lo cual se crea el Comité deSeguridad de la Información, integrado por representantes de todos losDirectores mencionados, destinado a garantizar el apoyo manifiesto delas autoridades a las iniciativas de seguridad de la información. Elmismo contará con un Coordinador, quien cumplirá la función de impulsarla implementación de la presente Política.

Conformación del Comité de Seguridad de la Información

Area/DirecciónRepresentante



Este Comité tendrá entre sus funciones:

a) Revisar y proponer a la máxima autoridad del Organismo para suaprobación, la Política y las funciones generales en materia deseguridad de la información.

b) Monitorear cambios significativos en los riesgos que afectan a losrecursos de información frente a las amenazas más importantes.

c) Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad.

d) Aprobar las principales iniciativas para incrementar la seguridad dela información, de acuerdo a las competencias y responsabilidadesasignadas a cada área3.

e) Acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información.

f) Garantizar que la seguridad sea parte del proceso de planificación informática del Organismo.

g) Evaluar y coordinar la implementación de controles específicos deseguridad de la información para nuevos sistemas o servicios.

h) Promover la difusión y apoyo a la seguridad de la información dentro del Organismo.

i) Coordinar el proceso de administración de la continuidad de laoperatoria de los sistemas de tratamiento de la información delOrganismo frente a interrupciones imprevistas.

El ............ (Subsecretario de Coordinación o equivalente en cadaárea ministerial o Secretaría de la Presidencia de la Nación o elfuncionario designado por las máximas autoridades en cada Organismodescentralizado - Indicar cargo) coordinará las actividades del Comitéde Seguridad de la Información._______3 Se refiere a dar curso a las propuestas presentadaspor parte de las áreas de acuerdo a sus competencias, elevándolas a lamáxima autoridad, a través del Comité de Seguridad, con relación a laseguridad de la información del Organismo. Dichas iniciativas deben seraprobadas luego por la máxima autoridad del Organismo.

6-1-2 Control: Coordinación de la seguridad de la información

Típicamente, la coordinación de la seguridad de la información debierainvolucrar la cooperación y colaboración de los Directores Nacionales oGenerales, Gerentes o equivalentes, usuarios, administradores,diseñadores de aplicación, auditores y personal de seguridad, ycapacidades especializadas en áreas como seguros, temas legales,recursos humanos, TI o gestión del riesgo. Esta actividad debiera:

a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con la política de seguridad de la información;

b) identificar cómo manejar las no-conformidades;

c) aprobar las metodologías y procesos para la seguridad de lainformación; por ejemplo, la evaluación del riesgo, la clasificación dela información;

d) identificar cambios significativos en las amenazas y la exposiciónde la información y los medios de procesamiento de la información anteamenazas;

e) evaluar la idoneidad y coordinar la implementación de los controles de la seguridad de información;

f) promover de manera efectiva la educación, capacitación yconocimiento de la seguridad de la información a través de toda laorganización;

g) evaluar la información recibida del monitoreo y revisar losincidentes de seguridad de la información, y recomendar las accionesapropiadas en respuesta a los incidentes de seguridad de informaciónidentificados.

6-1-3 Control: Asignación de responsabilidades de la seguridad de la información

La asignación de responsabilidades de la seguridad de la informacióndebe ejecutarse en forma alineada a la política de seguridad de lainformación (ver cláusula 5 política de seguridad)

El ……………………………………………………………………………. (indicar la máxima autoridad delOrganismo), asigna las funciones relativas a la Seguridad Informáticadel Organismo a .................................(indicar cargo), enadelante el “Responsable de Seguridad de la Información”, quien tendráa cargo las funciones relativas a la seguridad de los sistemas deinformación del Organismo, lo cual incluye la supervisión de todos losaspectos inherentes a seguridad informática tratados en la presentePolítica.

El Comité de Seguridad de la Información propondrá a la autoridad quecorresponda para su aprobación la definición y asignación de lasresponsabilidades que surjan del presente Modelo.

A continuación se detallan los procesos de seguridad, indicándose encada caso el/los responsable/s del cumplimiento de los aspectos de estaPolítica aplicables a cada caso:

ProcesoResponsableSeguridad del Personal................Seguridad Física y Ambiental................Seguridad en las Comunicaciones y las Operaciones................Control de Accesos................Seguridad en el Desarrollo y Mantenimiento de Sistemas................Planificación de la Continuidad Operativa...........................................

De igual forma, seguidamente se detallan los propietarios de lainformación, quienes serán los Responsables de las UnidadesOrganizativas a cargo del manejo de la misma:

InformaciónPropietarioRecursos asociadosProcesos involucradosAdministradorContable.................Sistemas de información, equipamiento, bases de datos, comunicaciones, ...................................................Presupuesto....................................................................Inventario

...............



...............           Cabe aclarar que, si bien los propietarios pueden delegar laadministración de sus funciones a personal idóneo a su cargo,conservarán la responsabilidad del cumplimiento de las mismas. Ladelegación de la administración por parte de los propietarios de lainformación será documentada por los mismos y proporcionada alResponsable de Seguridad de la Información.

6-1-4 Control: Autorización para Instalaciones de Procesamiento de Información

Los nuevos recursos de procesamiento de información serán autorizadospor los Responsables de las Unidades Organizativas involucradas,considerando su propósito y uso, conjuntamente con el Responsable deSeguridad de la Información, a fin de garantizar que se cumplan todaslas Políticas y requerimientos de seguridad pertinentes.

Las siguientes guías deben ser consideradas para el proceso de autorización:

a) Cumplir con los niveles de aprobación vigentes en la organización,incluso el responsable del ambiente de seguridad de la información,asegurando el cumplimiento de las políticas y requerimientos.

b) Cuando corresponda, se verificará el hardware y software paragarantizar su compatibilidad con los componentes de otros sistemas delOrganismo.

c) El uso de recursos personales de procesamiento de información en ellugar de trabajo puede ocasionar nuevas vulnerabilidades. Enconsecuencia, su uso será evaluado en cada caso por el Responsable deSeguridad de la Información y debe ser autorizado por el Responsabledel Area Informática y por el Director Nacional (General, Gerente oequivalente en el Organismo) responsable del área al que se destinenlos recursos.

6-1-5 Control: Acuerdos de confidencialidad

Se definirán, implementarán y revisarán regularmente los acuerdos deconfidencialidad o de no divulgación para la protección de lainformación del Organismo. Dichos acuerdos deben responder a losrequerimientos de confidencialidad o no divulgación del Organismo, loscuales serán revisaros periódicamente. Asimismo, deben cumplir con todalegislación o normativa que alcance al Organismo en materia deconfidencialidad de la información.

Dichos acuerdos deben celebrarse tanto con el personal del organismocomo con aquellos terceros que se relacionen de alguna manera con suinformación.

6-1-6 Control: Contacto con otros organismos

A efectos de intercambiar experiencias y obtener asesoramiento para elmejoramiento de las prácticas y controles de seguridad, se mantendráncontactos con los siguientes Organismos especializados en temasrelativos a la seguridad informática:

• Oficina Nacional de Tecnologías de Información (ONTI), y particularmente con:

- La Oficina Nacional de Tecnologías de Información - Coordinación de Emergencias en Redes Teleinformáticas.

La Coordinación de Emergencias en Redes Teleinformáticas es una unidadde respuesta ante incidentes en redes, que centraliza y coordina losesfuerzos para el manejo de los incidentes de seguridad que afecten alos recursos informáticos del Sector Público.

• Dirección Nacional de Protección de Datos Personales.

En los intercambios de información de seguridad, no se divulgaráinformación sensible (de acuerdo a lo definido en la normativa vigente,ej.: Ley 25.326) o confidencial perteneciente al Organismo a personasno autorizadas.

El intercambio de información confidencial para fines de asesoramientoo de transmisión de experiencias, sólo se permite cuando se hayafirmado un Acuerdo de Confidencialidad previo o con aquellasOrganizaciones especializadas en temas relativos a la seguridad de laInformación cuyo personal está obligado a mantener la confidencialidadde los temas que trata.

6-1-7 Control: Contacto con grupos de interés especial

El Responsable de Seguridad de la Información será el encargado decoordinar los conocimientos y las experiencias disponibles en elOrganismo a fin de brindar ayuda en la toma de decisiones en materia deseguridad. Este podrá obtener asesoramiento de otros Organismos. Con elobjeto de optimizar su gestión, se habilitará al Responsable deSeguridad de la Información el contacto con las Unidades Organizativasde todas las Areas del Organismo.

Debe considerar ser miembro de grupos de interés especial para:

a) Adquirir nuevos conocimientos acerca de las mejores prácticas y estar actualizado

b) Asegurar que la concientización acerca de la seguridad de la información esté actualizada y completa

c) Recibir alertas tempranas, avisos y recomendaciones ante ataques y vulnerabilidades

d) Proporcionar vínculos adecuados durante el tratamiento de los incidentes de seguridad de la información.

6-1-8 Control: Revisión independiente de la seguridad de la información

La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información realizará revisionesindependientes sobre la vigencia, implementación y gestión de laPolítica de Seguridad de la Información, a efectos de garantizar quelas prácticas del Organismo reflejan adecuadamente sus disposiciones.

Estas revisiones deben incluir las oportunidades de evaluación demejoras y las necesidades de cambios de enfoque en la seguridad,incluyendo políticas y objetivos de control.

Se deben registrar y reportar todas estas actividades.

6.2 Categoría: Grupos o personas externas

Objetivo

Mantener la seguridad de la información y los medios de procesamientode información del Organismo que son ingresados, procesados,comunicados a, o manejados por, grupos externos.

La seguridad de la información y los medios de procesamiento de lainformación del Organismo no deben ser reducidos por la introducción deproductos y servicios de grupos externos.

6.2.1 Control: Identificación de los riesgos relacionados con grupos externos

Cuando exista la necesidad de otorgar acceso a terceras partes ainformación del Organismo, el Responsable de Seguridad de laInformación y el Propietario de la Información de que se trate,llevarán a cabo y documentarán una evaluación de riesgos paraidentificar los requerimientos de controles específicos, teniendo encuenta, entre otros aspectos:

a) Los medios de procesamiento de información a los cuales necesita tener acceso el grupo externo

b) El tipo de acceso requerido (físico/lógico y a qué recurso).

c) Los motivos para los cuales se solicita el acceso.

d) El valor de la información.

e) Los controles empleados por la tercera parte.

f) Diferentes medios y controles empleados por el grupo externo cuandoalmacena, procesa, comunica, comparte e intercambia información.

g) La incidencia de este acceso en la seguridad de la información del Organismo.

En todos los contratos o acuerdos cuyo objeto sea la prestación deservicios a título personal bajo cualquier modalidad jurídica que debandesarrollarse dentro del Organismo, se establecerán los controles,requerimientos de seguridad y compromisos de confidencialidadaplicables al caso, restringiendo al mínimo necesario, los permisos aotorgar.

Se cita a modo de ejemplo:

a) Personal de mantenimiento y soporte de hardware y software.

b) Limpieza, “catering”, guardia de seguridad y otros servicios de soporte tercerizados.

c) Pasantías y otras designaciones de corto plazo.

d) Consultores.

e) Auditores

En ningún caso se otorgará acceso a terceros a la información, a lasinstalaciones de procesamiento u otras áreas de servicios críticos,hasta tanto se hayan implementado los controles apropiados y se hayafirmado un contrato o acuerdo que defina las condiciones para laconexión o el acceso.

6-2- 2 Control: Puntos de seguridad de la información a considerar en Contratos o Acuerdos con terceros

Se revisarán los contratos o acuerdos existentes o que se efectúen conterceros, teniendo en cuenta la necesidad de aplicar los siguientescontroles:

a) Cumplimiento de la Política de seguridad de la información del Organismo.

b) Protección de los activos del Organismo, incluyendo:

• Procedimientos para proteger los bienes del Organismo, abarcando los activos físicos, la información y el software.

• Procedimientos para determinar si ha ocurrido algún evento quecomprometa los bienes, por ejemplo, debido a pérdida o modificación dedatos.

• Controles para garantizar la recuperación o destrucción de lainformación y los activos al finalizar el contrato o acuerdo, o en unmomento convenido durante la vigencia del mismo.

• Restricciones a la copia y divulgación de información.

c) Descripción de los servicios disponibles.

d) Nivel de servicio esperado y niveles de servicio aceptables.

e) Permiso para la transferencia de personal cuando sea necesario.

f) Obligaciones de las partes emanadas del acuerdo y responsabilidades legales.

g) Existencia de Derechos de Propiedad Intelectual.

h) Definiciones relacionadas con la protección de datos.

i) Acuerdos de control de accesos que contemplen:

• Métodos de acceso permitidos, y el control y uso de identificadoresúnicos como identificadores de usuario y contraseñas de usuarios.

• Proceso de autorización de accesos y privilegios de usuarios.

• Requerimiento para mantener actualizada una lista de individuosautorizados a utilizar los servicios que han de implementarse y susderechos y privilegios con respecto a dicho uso.

j) Definición de criterios de desempeño comprobables, de monitoreo y de presentación de informes.

k) Adquisición de derecho a auditar responsabilidades contractuales o surgidas del acuerdo.

l) Establecimiento de un proceso para la resolución de problemas y encaso de corresponder disposiciones con relación a situaciones decontingencia.

m) Responsabilidades relativas a la instalación y al mantenimiento de hardware y software.

n) Estructura de dependencia y del proceso de elaboración ypresentación de informes que contemple un acuerdo con respecto a losformatos de los mismos.

o) Proceso claro y detallado de administración de cambios.

p) Controles de protección física requeridos y los mecanismos que aseguren la implementación de los mismos.

q) Métodos y procedimientos de entrenamiento de usuarios y administradores en materia de seguridad.

r) Controles que garanticen la protección contra software malicioso.

s) Elaboración y presentación de informes, notificación e investigación de incidentes y violaciones relativos a la seguridad.

t) Relación entre proveedores y subcontratistas.

6-2-3 Control: Puntos de Seguridad de la Información a ser considerados en acuerdos con terceros

Los contratos o acuerdos de tercerización total o parcial para laadministración y control de sistemas de información, redes y/oambientes de equipamiento de Trabajo del Organismo, contemplarán ademásde los puntos especificados en 6.2.2, los siguientes aspectos:

a) Forma en que se cumplirán los requisitos legales aplicables.

b) Medios para garantizar que todas las partes involucradas en latercerización, incluyendo los subcontratistas, están al corriente desus responsabilidades en materia de seguridad.

c) Forma en que se mantendrá y comprobará la integridad y confidencialidad de los activos del Organismo.

d) Controles físicos y lógicos que se utilizarán para restringir y delimitar el acceso a la información sensible del Organismo.

e) Forma en que se mantendrá la disponibilidad de los servicios ante la ocurrencia de desastres.

f) Niveles de seguridad física que se asignarán al equipamiento tercerizado.

g) Derecho a la auditoría por parte del Organismo sobre los aspectostercerizados en forma directa o a través de la contratación deservicios ad hoc.

Se debe prever la factibilidad de ampliar los requerimientos y procedimientos de seguridad con el acuerdo de las partes.

7. Cláusula: Gestión de Activos

Generalidades

El Organismo debe tener un conocimiento preciso sobre los activos queposee como parte importante de la administración de riesgos. Algunosejemplos de activos son:

• Recursos de información: bases de datos y archivos, documentación desistemas, manuales de usuario, material de capacitación, procedimientosoperativos o de soporte, planes de continuidad y contingencia,información archivada, etc.

• Recursos de software: software de aplicaciones, sistemas operativos,herramientas de desarrollo y publicación de contenidos, utilitarios,etc.

• Activos físicos: equipamiento informático (procesadores, monitores,computadoras portátiles, módems), equipos de comunicaciones (routers,PABXs, máquinas de fax, contestadores automáticos, switches de datos,etc.), medios magnéticos (cintas, discos, dispositivos móviles dealmacenamiento de datos —pen drives, discos externos, etc.—), otrosequipos técnicos (relacionados con el suministro eléctrico, unidades deaire acondicionado, controles automatizados de acceso, etc.),mobiliario, lugares de emplazamiento, etc.

• Servicios: servicios informáticos y de comunicaciones, utilitariosgenerales (calefacción, iluminación, energía eléctrica, etc.).

Los activos de información deben ser clasificados de acuerdo a lasensibilidad y criticidad de la información que contienen o bien deacuerdo a la funcionalidad que cumplen y rotulados en función a ello,con el objeto de señalar cómo ha de ser tratada y protegida dichainformación.

Generalmente, la información deja de ser sensible o crítica después deun cierto período de tiempo, por ejemplo, cuando la información se hahecho pública. Estos aspectos deben tenerse en cuenta, puesto que laclasificación por exceso puede traducirse en gastos adicionalesinnecesarios para el Organismo.

Las pautas de clasificación deben prever y contemplar el hecho de quela clasificación de un ítem de información determinado nonecesariamente debe mantenerse invariable por siempre, y que ésta puedecambiar de acuerdo con una Política predeterminada. Se debe considerarla cantidad de categorías a definir para la clasificación dado que losesquemas demasiado complejos pueden tornarse engorrosos yantieconómicos o resultar poco prácticos.

La información adopta muchas formas, tanto en los sistemas informáticoscomo fuera de ellos. Puede ser almacenada (en dichos sistemas o enmedios portátiles), transmitida (a través de redes o entre sistemas) eimpresa o escrita en papel. Cada una de estas formas debe contemplartodas las medidas necesarias para asegurar la confidencialidad,integridad y disponibilidad de la información.

Por último, la información puede pasar a ser obsoleta y por lo tanto,ser necesario eliminarla. La destrucción de la información es unproceso que debe asegurar la confidencialidad de la misma hasta elmomento de su eliminación.

Objetivo

Garantizar que los activos de información reciban un apropiado nivel de protección.

Clasificar la información para señalar su sensibilidad y criticidad.

Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.

Alcance

Esta Política se aplica a toda la información administrada en el Organismo, cualquiera sea el soporte en que se encuentre.

Responsabilidad

Los Propietarios de los Activos son los encargados de clasificarlos deacuerdo con su grado de sensibilidad y criticidad, de documentar ymantener actualizada la clasificación efectuada, de definir lasfunciones que deben tener permisos de acceso a los activos y sonresponsables de mantener los controles adecuados para garantizar suseguridad.

El Responsable de Seguridad de la Información es el encargado deasegurar que los lineamientos para la utilización de los recursos de latecnología de información contemplen los requerimientos de seguridadestablecidos según la criticidad de la información que procesan.

Cada Propietario de la Información supervisará que el proceso declasificación y rótulo de información de su área de competencia seacumplimentado de acuerdo a lo establecido en la presente Política.

Política

7.1 Categoría: Responsabilidad sobre los activos

Objetivo

Todos los activos deben ser inventariados y contar con un propietario nombrado.

Los propietarios deben identificar todos los activos y se debieraasignar la responsabilidad por el mantenimiento de los controlesapropiados. La implementación de controles específicos puede serdelegada por el propietario conforme sea apropiado, pero el propietariosigue siendo responsable por la protección apropiada de los activos.

7.1.1 Control: Inventario de activos

Se identificarán los activos de información del Organismo. Existen muchos tipos de activos, que incluyen:

a) información: bases de datos, archivos de datos, documentación, contratos, acuerdos;

b) activos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo, y utilitarios;

c) activos físicos: equipamiento de computación, equipamiento de comunicaciones, medios removibles y otros equipamientos;

d) instalaciones: edificios, ubicaciones físicas, tendido eléctrico, red de agua y gas, etc.;

e) servicios: servicios de cómputo y de comunicaciones, serviciosgenerales, por ejemplo: calefacción, iluminación, energía, y aireacondicionado;

f) personas, y sus calificaciones, habilidades y experiencia;

g) activos intangibles, tales como la reputación y la imagen del Organismo.

El inventario será actualizado ante cualquier modificación de lainformación registrada y revisado con una periodicidad de ......(establecer período no mayor a 6 meses).

El encargado de elaborar el inventario y mantenerlo actualizado es cada Responsable de Unidad Organizativa.

7.1.2 Control: Propiedad de los activos

Toda la información y los activos junto a sus medios de procesamientode información deben ser propiedad de un responsable designado en elorganismo.

Se designarán los Propietarios de los activos identificados, quienes deben cumplir sus funciones de propietario, esto es:

a) informar sobre cualquier cambio que afecte el inventario de activos

b) clasificar los activos en función a su valor

c) definir los requisitos de seguridad de los activos

d) velar por la implementación y el mantenimiento de los controles de seguridad requeridos en los activos

Cabe aclarar que, si bien los propietarios pueden delegar laadministración de sus funciones a personal idóneo a su cargo,conservarán la responsabilidad del cumplimiento de las mismas. Ladelegación de la administración por parte de los propietarios de losactivos será documentada por los mismos y proporcionada al Responsablede Seguridad de la Información.

7.1.3 Control: Uso aceptable de los activos

Se identificarán, documentarán e implementarán reglas para el usoaceptable de la información y los activos asociados con lasinstalaciones de procesamiento de la información.

Todos los empleados, contratistas y usuarios de terceras partes debenseguir las reglas para el uso aceptable de la información y los activosasociados con las instalaciones de procesamiento de la misma,incluyendo:

a) correo electrónico,

b) sistemas de gestión,

c) estaciones de trabajo,

d) dispositivos móviles,

e) herramientas y equipamiento de de publicación de contenidos

f) etc.

7.2 Categoría: Clasificación de la información

Objetivo

Asegurar que la información reciba un nivel de protección apropiado.

La información debe ser clasificada para indicar la necesidad,prioridades y grado de protección esperado cuando se maneja lainformación.

La información tiene diversos grados de confidencialidad e importancia.Algunos ítems pueden requerir un nivel de protección adicional o manejoespecial. Se debe utilizar un esquema de clasificación de informaciónpara definir un conjunto apropiado de niveles de protección y comunicarla necesidad de medidas de uso especiales.

7.2.1 Control: Directrices de clasificación

Para clasificar un Activo de Información, se evaluarán las trescaracterísticas de la información en las cuales se basa la seguridad:confidencialidad, integridad y disponibilidad.

A continuación se establece la metodología de clasificación de lainformación propuesta en función a cada una de las mencionadascaracterísticas:

• Confidencialidad:

0- Información que puede ser conocida y utilizada sin autorización porcualquier persona, sea empleado del Organismo o no. PUBLICO

1- Información que puede ser conocida y utilizada por todos losempleados del Organismo y algunas entidades externas debidamenteautorizadas, y cuya divulgación o uso no autorizados podría ocasionarriesgos o pérdidas leves para el Organismo, el Sector Público Nacionalo terceros. RESERVADA - USO INTERNO

2- Información que sólo puede ser conocida y utilizada por un grupo deempleados, que la necesiten para realizar su trabajo, y cuyadivulgación o uso no autorizados podría ocasionar pérdidassignificativas al Organismo, al Sector Público Nacional o a terceros.RESERVADA - CONFIDENCIAL

3- Información que sólo puede ser conocida y utilizada por un grupo muyreducido de empleados, generalmente de la alta dirección del Organismo,y cuya divulgación o uso no autorizados podría ocasionar pérdidasgraves al mismo, al Sector Público Nacional o a terceros. RESERVADASECRETA

• Integridad:

0- Información cuya modificación no autorizada puede repararse fácilmente, o no afecta la operatoria del Organismo.

1- Información cuya modificación no autorizada puede repararse aunquepodría ocasionar pérdidas leves para el Organismo, el Sector PúblicoNacional o terceros.

2- Información cuya modificación no autorizada es de difícil reparacióny podría ocasionar pérdidas significativas para el Organismo, el SectorPúblico Nacional o terceros.

3- Información cuya modificación no autorizada no podría repararse,ocasionando pérdidas graves al Organismo, al Sector Público Nacional oa terceros.

• Disponibilidad:

0- Información cuya inaccesibilidad no afecta la operatoria del Organismo.

1- Información cuya inaccesibilidad permanente durante ....... (definirun plazo no menor a una semana) podría ocasionar pérdidassignificativas para el Organismo, el Sector Público Nacional o terceros.

2- Información cuya inaccesibilidad permanente durante ....... (definirun plazo no menor a un día) podría ocasionar pérdidas significativas alOrganismo, al Sector Público Nacional o a terceros.

3- Información cuya inaccesibilidad permanente durante ....... (definirun plazo no menor a una hora) podría ocasionar pérdidas significativasal Organismo, al Sector Público Nacional o a terceros.

Al referirse a pérdidas, se contemplan aquellas mesurables (materiales)y no mesurables (imagen, valor estratégico de la información,obligaciones contractuales o públicas, disposiciones legales, etc.).

Se asignará a la información un valor por cada uno de estos criterios.Luego, se clasificará la información en una de las siguientescategorías:

• CRITICIDAD BAJA: ninguno de los valores asignados superan el 1.

• CRITICIDAD MEDIA: alguno de los valores asignados es 2

• CRITICIDAD ALTA: alguno de los valores asignados es 3

Sólo el Propietario de la Información puede asignar o cambiar su nivelde clasificación, cumpliendo con los siguientes requisitos previos:

• Asignarle una fecha de efectividad.

• Comunicárselo al depositario del recurso.

• Realizar los cambios necesarios para que los Usuarios conozcan la nueva clasificación.

Luego de clasificada la información, el propietario de la mismaidentificará los recursos asociados (sistemas, equipamiento, servicios,etc.) y los perfiles funcionales que deben tener acceso a la misma.

En adelante se mencionará como “información clasificada” (o “datosclasificados”) a aquella que se encuadre en los niveles 1, 2 ó 3 deConfidencialidad.

7.2.2 Control: Etiquetado y manipulado de la información

Se definirán procedimientos para el rotulado y manejo de información,de acuerdo al esquema de clasificación definido. Los mismoscontemplarán los recursos de información tanto en formatos físicos comoelectrónicos e incorporarán las siguientes actividades de procesamientode la información:

- Copia;

- Almacenamiento;

- Transmisión por correo, fax, correo electrónico;

- Transmisión oral (telefonía fija y móvil, correo de voz, contestadores automáticos, etc.).

- Transmisión a través de mecanismos de intercambio de archivos (FTP, almacenamiento masivo remoto, etc.)

Para cada uno de los niveles de clasificación, se deben definir losprocedimientos de manejo seguros, incluyendo las actividades deprocesamiento, almacenaje, transmisión, de-clasificación y destrucción.

8. Cláusula: Recursos Humanos

Generalidades

La seguridad de la información se basa en la capacidad para preservarsu integridad, confidencialidad y disponibilidad, por parte de loselementos involucrados en su tratamiento: equipamiento, software,procedimientos, así como de los recursos humanos que utilizan dichoscomponentes.

En este sentido, es fundamental educar e informar al personal desde suingreso y en forma continua, cualquiera sea su situación de revista,acerca de las medidas de seguridad que afectan al desarrollo de susfunciones y de las expectativas depositadas en ellos en materia deseguridad y asuntos de confidencialidad. De la misma forma, esnecesario definir las sanciones que se aplicarán en caso deincumplimiento.

La implementación de la Política de Seguridad de la Información tienecomo meta minimizar la probabilidad de ocurrencia de incidentes. Es porello que resulta necesario implementar un mecanismo que permitareportar las debilidades y los incidentes tan pronto como sea posible,a fin de subsanarlos y evitar eventuales replicaciones. Por lo tanto,es importante analizar las causas del incidente producido y aprenderdel mismo, a fin de corregir las prácticas existentes, que no pudieronprevenirlo, y evitarlo en el futuro.

Objetivo

Reducir los riesgos de error humano, comisión de ilícitos, usoinadecuado de instalaciones y recursos, y manejo no autorizado de lainformación.

Explicitar las responsabilidades en materia de seguridad en la etapa dereclutamiento de personal e incluirlas en los acuerdos a firmarse yverificar su cumplimiento durante el desempeño del individuo comoempleado.

Garantizar que los usuarios estén al corriente de las amenazas eincumbencias en materia de seguridad de la información, y se encuentrencapacitados para respaldar la Política de Seguridad del Organismo en eltranscurso de sus tareas normales.

Establecer Compromisos de Confidencialidad con todo el personal yusuarios externos de las instalaciones de procesamiento de información.

Establecer las herramientas y mecanismos necesarios para promover lacomunicación de debilidades existentes en materia de seguridad, asícomo de los incidentes ocurridos, con el objeto de minimizar susefectos y prevenir su reincidencia.

Alcance

Esta Política se aplica a todo el personal del Organismo, cualquierasea su situación de revista, y al personal externo que efectúe tareasdentro del ámbito del Organismo.

Responsabilidad

El Responsable del Area de Recursos Humanos incluirá las funcionesrelativas a la seguridad de la información en las descripciones depuestos de los empleados, informará a todo el personal que ingresa desus obligaciones respecto del cumplimiento de la Política de Seguridadde la Información, gestionará los Compromisos de Confidencialidad conel personal y coordinará las tareas de capacitación de usuariosrespecto de la presente Política.

El Responsable del Area Jurídica participará en la confección delCompromiso de Confidencialidad a firmar por los empleados y tercerosque desarrollen funciones en el organismo, en el asesoramiento sobrelas sanciones a ser aplicadas por incumplimiento de la presentePolítica y en el tratamiento de incidentes de seguridad que requierande su intervención.

Política

8.1 Categoría: Antes del empleo

Objetivo

Asegurar que los empleados, contratistas y terceros entiendan susresponsabilidades, y sean idóneos para los roles para los cuales sonconsiderados; y reducir el riesgo de robo, fraude y mal uso de losmedios.

Las responsabilidades de seguridad deben ser tratadas antes del empleoen las definiciones de trabajo adecuadas y en los términos ycondiciones del empleo

8.1.1 Control: Funciones y responsabilidades

Las funciones y responsabilidades en materia de seguridad seránincorporadas en la descripción de las responsabilidades de los puestosde trabajo.

Estas incluirán las responsabilidades generales relacionadas con laimplementación y el mantenimiento de la Política de Seguridad, y lasresponsabilidades específicas vinculadas a la protección de cada uno delos activos, o la ejecución de procesos o actividades de seguridaddeterminadas.

Se definirán y comunicarán claramente los roles y responsabilidades deseguridad a los candidatos para el puesto de trabajo durante el procesode preselección.

8.1.2 Control: Investigación de antecedentes

Se llevarán a cabo controles de verificación del personal en el momentoen que se solicita el puesto. Estos controles incluirán todos losaspectos que indiquen las normas que a tal efecto, alcanzan alOrganismo.

Los chequeos de verificación deben incluir:

a) Disponibilidad de referencias de carácter satisfactorias

b) Chequeo del currículum vitae del postulante

c) Confirmación de títulos académicos y profesionales mencionados por el postulante

d) Acreditación de su identidad

8.1.3 Control: Términos y condiciones de contratación

Como parte de sus términos y condiciones iniciales de empleo, losempleados, cualquiera sea su situación de revista, firmarán unCompromiso de Confidencialidad o no divulgación, en lo que respecta altratamiento de la información del Organismo. La copia firmada delCompromiso debe ser retenida en forma segura por el Area de RecursosHumanos u otra competente.

Asimismo, mediante el Compromiso de Confidencialidad el empleadodeclarará conocer y aceptar la existencia de determinadas actividadesque pueden ser objeto de control y monitoreo. Estas actividades debenser detalladas a fin de no violar el derecho a la privacidad delempleado.

Se desarrollará un procedimiento para la suscripción del Compromiso de Confidencialidad donde se incluirán aspectos sobre:

a) Suscripción inicial del Compromiso por parte de la totalidad del personal.

b) Revisión del contenido del Compromiso cada ….(indicar período no mayor al año).

c) Método de re-suscripción en caso de modificación del texto del Compromiso.

Los términos y condiciones de empleo establecerán la responsabilidad del empleado en materia de seguridad de la información.

Cuando corresponda, los términos y condiciones de empleo estableceránque estas responsabilidades se extienden más allá de los límites de lasede del Organismo y del horario normal de trabajo.

Los derechos y obligaciones del empleado relativos a la seguridad de lainformación, por ejemplo en relación con las leyes de PropiedadIntelectual o la legislación de protección de datos, se encontraránaclarados e incluidos en los términos y condiciones de empleo.

8.2 Categoría: Durante el empleo

Objetivo

Asegurar que los usuarios empleados, contratistas y terceras personasestén al tanto de las amenazas e inquietudes de la seguridad de lainformación, sus responsabilidades y obligaciones, y estén equipadaspara apoyar la política de seguridad organizacional en el curso de sutrabajo normal, y reducir el riesgo de error humano.

Se deben definir las responsabilidades de la gerencia para asegurar quese aplique la seguridad a lo largo de todo el tiempo del empleo de lapersona dentro del Organismo.

8.2.1 Control: Responsabilidad de la dirección

La dirección solicitará a los empleados, contratistas y usuarios deterceras partes que apliquen la seguridad en concordancia con laspolíticas y procedimientos establecidos por la organización, cumpliendocon o siguiente:

a) estar adecuadamente informados de sus roles y responsabilidades deseguridad de la información antes de que se les otorgue el acceso ainformación sensible o a los sistemas de información;

b) ser provistos de guías para establecer las expectativas de seguridad de su rol dentro del Organismo;

c) ser motivados para cumplir con las políticas de seguridad del Organismo;

d) alcancen un nivel de conciencia sobre la seguridad acorde con sus roles y responsabilidades dentro del Organismo;

e) cumplir con las condiciones y términos del empleo, los cualesincluyen las políticas de seguridad de la información del Organismo ymétodos adecuados de trabajo;

f) mantenerse con las habilidades y calificaciones adecuadas.

Si los empleados, contratistas y usuarios no son conscientes de susresponsabilidades de seguridad, ellos pueden causar daños considerablesal organismo. Un personal motivado tiene más probabilidades de ser másconfiable y causar menos incidentes de seguridad de la información.

8.2.2 Control: Concientización, formación y capacitación en seguridad de la información

Todos los empleados del Organismo y, cuando sea pertinente, losusuarios externos y los terceros que desempeñen funciones en elorganismo, recibirán una adecuada capacitación y actualizaciónperiódica en materia de la política, normas y procedimientos delOrganismo. Esto comprende los requerimientos de seguridad y lasresponsabilidades legales, así como la capacitación referida al usocorrecto de las instalaciones de procesamiento de información y el usocorrecto de los recursos en general, como por ejemplo su estación detrabajo.

El Responsable del Area de Recursos Humanos será el encargado decoordinar las acciones de capacitación que surjan de la presentePolítica.

Cada ........ (indicar periodicidad no mayor a un año) se revisará elmaterial correspondiente a la capacitación, a fin de evaluar lapertinencia de su actualización, de acuerdo al estado del arte de esemomento.

Las siguientes áreas serán encargadas de generar el material de capacitación

Areas Responsables del Material de Capacitación..................................................................................................Adicionalmente, las áreas responsables de generar el material decapacitación dispondrán de información sobre seguridad de laInformación para la Administración Pública Nacional en la Coordinaciónde Emergencias en Redes Teleinformáticas para complementar losmateriales por ellas generados.

El personal que ingrese al Organismo recibirá el material,indicándosele el comportamiento esperado en lo que respecta a laseguridad de la información, antes de serle otorgados los privilegiosde acceso a los sistemas que correspondan.

Por otra parte, se arbitrarán los medios técnicos necesarios paracomunicar a todo el personal, eventuales modificaciones o novedades enmateria de seguridad, que deban ser tratadas con un orden preferencial.

8.2.3 Control: Proceso disciplinario

Se seguirá el proceso disciplinario formal contemplado en las normasestatutarias, escalafonarias y convencionales que rigen al personal dela Administración Pública Nacional, para los empleados que violen laPolítica, Normas y Procedimientos de Seguridad del Organismo.

El proceso disciplinario también se puede utilizar como un elementodisuasivo para evitar que los empleados, contratistas y terceros queviolen la políticas y procedimientos de la seguridad del organismo ycualquier otro incumplimiento de la seguridad.

8.3 Categoría: Cese del empleo o cambio de puesto de trabajo

Objetivo

Asegurar que los usuarios empleados, contratistas y terceras personassalgan del Organismo o cambien de empleo de una manera ordenada.

Se deben establecer las responsabilidades para asegurar que la salidadel Organismo del usuario empleado, contratista o tercera persona seamanejada y se complete la devolución de todo el equipo y se eliminentodos los derechos de acceso.

8.3.1 Control: Responsabilidad del cese o cambio

Las responsabilidades para realizar la desvinculación o cambio depuesto deben ser claramente definidas y asignadas, incluyendorequerimientos de seguridad y responsabilidades legales a posteriori y,cuando sea apropiado, las responsabilidades contenidas dentro decualquier acuerdo de confidencialidad, y los términos y condiciones deempleo con continuidad por un período definido de tiempo luego de lafinalización del trabajo del empleado, contratista o usuario de terceraparte.

Puede ser necesario informar a los empleados, contratistas y terceros de los cambios en el personal y los acuerdos de operación.

8.3.2 Control: Devolución de activos

Todos los empleados, contratistas y usuarios de terceras partes debendevolver todos los activos de la organización en su poder (software,documentos corporativos, equipamiento, dispositivos de computaciónmóviles, tarjetas de crédito, tarjetas de ingreso, etc.) tras laterminación de su empleo, contrato, o acuerdo.

En los casos donde el empleado, contratista y usuarios tenganconocimiento que es importante para las operaciones actuales, esainformación debe ser documentada y transferida al organismo.

8.3.3 Control: Retiro de los derechos de acceso

Se revisarán los derechos de acceso de un individuo a los activosasociados con los sistemas y servicios de información tras ladesvinculación, Esto determinará si es necesario remover los derechosde acceso.

Con el cambio de un empleo deben removerse todos los derechos de accesoque no fueron aprobados para el nuevo empleo, comprendiendo estoaccesos lógicos y físicos, llaves, tarjetas de identificación,instalaciones de procesamiento de la información, suscripciones, yremoción de cualquier documentación que lo identifique como un miembrocorriente del Organismo.

Si un empleado, contratista o usuario de tercera parte que se estádesvinculando tiene conocimiento de contraseñas para cuentas quepermanecen activas, éstas deben ser cambiadas tras la finalización ocambio de empleo, contrato o acuerdo.

Se evaluará la reducción o eliminación de los derechos de acceso a losactivos de la información y a las instalaciones de procesamiento de lainformación antes de que el empleo termine o cambie, dependiendo defactores de riesgos, tales como:

a) si la terminación o cambio es iniciado por el empleado, contratistao usuario de tercera parte, o por la gestión y la razón de lafinalización;

b) las responsabilidades actuales del empleado, contratista o cualquier otro usuario;

c) el valor de los activos accesibles actualmente.

9. Cláusula: Física y Ambiental

Generalidades

La seguridad física y ambiental brinda el marco para minimizar losriesgos de daños e interferencias a la información y a las operacionesdel Organismo. Asimismo, pretende evitar al máximo el riesgo de accesosfísicos no autorizados, mediante el establecimiento de perímetros deseguridad.

Se distinguen tres conceptos a tener en cuenta: la protección física deaccesos, la protección ambiental y el transporte, protección ymantenimiento de equipamiento y documentación.

El establecimiento de perímetros de seguridad y áreas protegidasfacilita la implementación de controles tendientes a proteger lasinstalaciones de procesamiento de información crítica o sensible delOrganismo, de accesos físicos no autorizados.

El control de los factores ambientales permite garantizar el correctofuncionamiento de los equipos de procesamiento y minimizar lasinterrupciones de servicio. Deben contemplarse tanto los riesgos en lasinstalaciones del Organismo como en instalaciones próximas a la sededel mismo que puedan interferir con las actividades.

El equipamiento donde se almacena información es susceptible demantenimiento periódico, lo cual implica en ocasiones su traslado ypermanencia fuera de las áreas protegidas del Organismo. Dichosprocesos deben ser ejecutados bajo estrictas normas de seguridad y depreservación de la información almacenada en los mismos. Así también setendrá en cuenta la aplicación de dichas normas en equipamientoperteneciente al Organismo pero situado físicamente fuera del mismo(“housing”) así como en equipamiento ajeno que albergue sistemas y/opreste servicios de procesamiento de información al Organismo(“hosting”).

La información almacenada en los sistemas de procesamiento y ladocumentación contenida en diferentes medios de almacenamiento, sonsusceptibles de ser recuperadas mientras no están siendo utilizados. Espor ello que el transporte y la disposición final presentan riesgos quedeben ser evaluados.

Gran cantidad de información manejada en las oficinas se encuentraalmacenada en papel, por lo que es necesario establecer pautas deseguridad para la conservación de dicha documentación; y para sudestrucción cuando así lo amerite.

Objetivo

Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información del Organismo.

Proteger el equipamiento de procesamiento de información crítica delOrganismo ubicándolo en áreas protegidas y resguardadas por unperímetro de seguridad definido, con medidas de seguridad y controlesde acceso apropiados. Asimismo, contemplar la protección del mismo ensu traslado y permanencia fuera de las áreas protegidas, por motivos demantenimiento u otros.

Controlar los factores ambientales que podrían perjudicar el correctofuncionamiento del equipamiento informático que alberga la informacióndel Organismo.

Implementar medidas para proteger la información manejada por elpersonal en las oficinas, en el marco normal de sus labores habituales.

Proporcionar protección proporcional a los riesgos identificados.

Alcance

Esta Política se aplica a todos los recursos físicos relativos a lossistemas de información del Organismo: instalaciones, equipamiento,cableado, expedientes, medios de almacenamiento, etc.

Responsabilidad

El Responsable de Seguridad de la Información definirá junto con elResponsable del Area Informática y los Propietarios de Información,según corresponda, las medidas de seguridad física y ambiental para elresguardo de los activos críticos, en función a un análisis de riesgos,y controlará su implementación. Asimismo, verificará el cumplimiento delas disposiciones sobre seguridad física y ambiental indicadas en elpresente Capítulo.

El Responsable del Area Informática asistirá al Responsable deSeguridad de la Información en la definición de las medidas deseguridad a implementar en áreas protegidas, y coordinará suimplementación. Asimismo, controlará el mantenimiento del equipamientoinformático de acuerdo a las indicaciones de proveedores tanto dentrocomo fuera de las instalaciones del Organismo.

Los Responsables de Unidades Organizativas definirán los niveles deacceso físico del personal del organismo a las a las áreas restringidasbajo su responsabilidad.

Los Propietarios de la Información autorizarán formalmente el trabajofuera de las instalaciones con información de su incumbencia a losempleados del Organismo cuando lo crean conveniente.

La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información revisará los registros deacceso a las áreas protegidas.

Todo el personal del Organismo es responsable del cumplimiento de lapolítica de pantallas y escritorios limpios, para la protección de lainformación relativa al trabajo diario en las oficinas.

Política

9.1 Categoría: Areas Seguras

Objetivo

Evitar el acceso físico no autorizado, daño e interferencia con la información y los locales del Organismo.

Los medios de procesamiento de información crítica o confidencial debenubicarse en áreas seguras, protegidas por los perímetros de seguridaddefinidos, con las barreras de seguridad y controles de entradaapropiados. Deben estar físicamente protegidos del acceso noautorizado, daño e interferencia.

9.1.1 Control: Perímetro de seguridad física

La protección física se llevará a cabo mediante la creación de diversasbarreras o medidas de control físicas alrededor de las sedes delOrganismo y de las instalaciones de procesamiento de información.

El Organismo utilizará perímetros de seguridad para proteger las áreasque contienen instalaciones de procesamiento de información, desuministro de energía eléctrica, de aire acondicionado, y cualquierotra área considerada crítica para el correcto funcionamiento de lossistemas de información. Un perímetro de seguridad está delimitado poruna barrera, por ejemplo una pared, una puerta de acceso controlado pordispositivo de autenticación o un escritorio u oficina de recepciónatendidos por personas. El emplazamiento y la fortaleza de cada barreraestarán definidas por el Responsable del Area Informática con elasesoramiento del Responsable de Seguridad de la Información, deacuerdo a la evaluación de riesgos efectuada.

Se considerarán e implementarán los siguientes lineamientos y controles, según corresponda:

a) Definir y documentar claramente el perímetro de seguridad.

b) Ubicar las instalaciones de procesamiento de información dentro delperímetro de un edificio o área de construcción físicamente sólida (porejemplo no deben existir aberturas en el perímetro o áreas donde puedaproducirse fácilmente una irrupción). Las paredes externas del áreadeben ser sólidas y todas las puertas que comunican con el exteriordeben estar adecuadamente protegidas contra accesos no autorizados, porejemplo mediante mecanismos de control, vallas, alarmas, cerraduras,etc.

c) Verificar la existencia de un área de recepción atendida porpersonal. Si esto no fuera posible se implementarán los siguientesmedios alternativos de control de acceso físico al área oedificio:....... (indicar otros medios alternativos de control). Elacceso a dichas áreas y edificios estará restringido exclusivamente alpersonal autorizado. Los métodos implementados registrarán cada ingresoy egreso en forma precisa.

d) Extender las barreras físicas necesarias desde el piso (real) hastael techo (real), a fin de impedir el ingreso no autorizado y lacontaminación ambiental, por ejemplo por incendio, humedad e inundación.

e) Identificar claramente todas las puertas de incendio de un perímetro de seguridad.

Un área segura puede ser una oficina con llave, o varias oficinasrodeadas por una barrera de seguridad física interna continua. Puedenser necesarios barreras y perímetros adicionales para controlar elacceso físico entre las áreas con diferentes requerimientos deseguridad, dentro del mismo perímetro de seguridad

El Responsable de Seguridad de la Información llevará un registro actualizado de los sitios protegidos, indicando:

a) Identificación del Edificio y Area.

b) Principales elementos a proteger.

c) Medidas de protección física

9.1.2 Control: Controles físicos de entrada

Las áreas protegidas se resguardarán mediante el empleo de controles deacceso físico, los que serán determinados por el Responsable deSeguridad de la Información junto con el Responsable del AreaInformática, a fin de permitir el acceso sólo al personal autorizado.Estos controles de acceso físico tendrán, por lo menos, las siguientescaracterísticas:

a) Supervisar o inspeccionar a los visitantes a áreas protegidas yregistrar la fecha y horario de su ingreso y egreso. Sólo se permitiráel acceso mediando propósitos específicos y autorizados e instruyéndoseal visitante en el momento de ingreso sobre los requerimientos deseguridad del área y los procedimientos de emergencia.

b) Controlar y limitar el acceso a la información clasificada y a lasinstalaciones de procesamiento de información, exclusivamente a laspersonas autorizadas. Se utilizarán los siguientes controles deautenticación para autorizar y validar todos los accesos:....... (porejemplo: personal de guardia con listado de personas habilitadas o portarjeta magnética o inteligente y número de identificación personal(PIN), etc.). Se mantendrá un registro protegido para permitir auditartodos los accesos.

c) Implementar el uso de una identificación unívoca visible para todoel personal del área protegida e instruirlo acerca de cuestionar lapresencia de desconocidos no escoltados por personal autorizado y acualquier persona que no exhiba una identificación visible.

d) Revisar y actualizar cada ……. (definir período no mayor a 6 meses)los derechos de acceso a las áreas protegidas, los que serándocumentados y firmados por el Responsable de la Unidad Organizativa dela que dependa.

e) Revisar los registros de acceso a las áreas protegidas. Esta tareala realizará la Unidad de Auditoría Interna o en su defecto quien seapropuesto por el Comité de Seguridad de la Información.

9.1.3 Control: Seguridad de oficinas, despachos, instalaciones

Para la selección y el diseño de un área protegida se tendrá en cuentala posibilidad de daño producido por incendio, inundación, explosión,agitación civil, y otras formas de desastres naturales o provocados porel hombre. También se tomarán en cuenta las disposiciones y normas(estándares) en materia de sanidad y seguridad. Asimismo, seconsiderarán las amenazas a la seguridad que representan los edificiosy zonas aledañas, por ejemplo, filtración de agua desde otrasinstalaciones.

Se definen los siguientes sitios como áreas protegidas del Organismo

Areas Protegidas............................................................................................Se establecen las siguientes medidas de protección para áreas protegidas:

a) Ubicar las instalaciones críticas en lugares a los cuales no pueda acceder personal no autorizado.

b) Establecer que los edificios o sitios donde se realicen actividadesde procesamiento de información serán discretos y ofrecerán unseñalamiento mínimo de su propósito, sin signos obvios, exteriores ointeriores.

c) Ubicar las funciones y el equipamiento de soporte, por ejemplo:impresoras, fotocopiadoras, máquinas de fax, adecuadamente dentro delárea protegida para evitar solicitudes de acceso, el cual podríacomprometer la información.

d) Establecer que las puertas y ventanas permanecerán cerradas cuandono haya vigilancia. Se agregará protección externa a las ventanas, enparticular las que se encuentran en planta baja o presenten riesgosespeciales.

e) Implementar los siguientes mecanismos de control para la detecciónde intrusos: ........... (detallar cuáles). Los mismos serán instaladossegún estándares profesionales y probados periódicamente. Estosmecanismos de control comprenderán todas las puertas exteriores yventanas accesibles.

f) Separar las instalaciones de procesamiento de informaciónadministradas por el Organismo de aquéllas administradas por terceros.

g) Restringir el acceso público a las guías telefónicas y listados deteléfonos internos que identifican las ubicaciones de las instalacionesde procesamiento de información sensible.

h) Almacenar los materiales peligrosos o combustibles en los siguienteslugares seguros a una distancia prudencial de las áreas protegidas delOrganismo: ......... (incluir lista de lugares seguros). Lossuministros, como los útiles de escritorio, no serán trasladados alárea protegida hasta que sean requeridos.

i) Almacenar los equipos redundantes y la información de resguardo(back up) en un sitio seguro y distante del lugar de procesamiento,para evitar daños ocasionados ante eventuales contingencias en el sitioprincipal: ............. (detallar ubicación).

9.1.4 Control: Protección contra amenazas externas y de origen ambiental

Se debe asignar y aplicar protección física contra daño por fuego,inundación, terremoto, explosión, revuelta civil y otras formas dedesastres naturales o causados por el hombre.

Se debe prestar consideración a cualquier amenaza contra la seguridadpresentada por locales vecinos; por ejemplo, un fuego en un edificiovecino, escape de agua en el techo o pisos en sótano o una explosión enla calle.

Se debe considerar los siguientes lineamientos para evitar el daño porfuego, inundación, terremoto, explosión, revuelta civil y otras formasde desastres naturales o causados por el hombre:

a) los materiales peligrosos o combustibles deben ser almacenados a unadistancia segura del área asegurada. Los suministros a granel comopapelería no deben almacenarse en el área asegurada;

b) el equipo de reemplazo y los medios de respaldo debieran ubicarse auna distancia segura para evitar el daño de un desastre que afecte ellocal principal;

c) se debe proporcionar equipo contra-incendios ubicado adecuadamente.

9.1.5 Control: Trabajo en áreas seguras

Para incrementar la seguridad de las áreas protegidas, se establecenlos siguientes controles y lineamientos adicionales. Esto incluyecontroles para el personal que trabaja en el área protegida, así comopara las actividades de terceros que tengan lugar allí:

a) Dar a conocer al personal la existencia del área protegida, o de lasactividades que allí se llevan a cabo, sólo si es necesario para eldesarrollo de sus funciones.

b) Evitar la ejecución de trabajos por parte de terceros sin supervisión.

c) Bloquear físicamente e inspeccionar periódicamente las áreas protegidas desocupadas.

d) Limitar el acceso al personal del servicio de soporte externo a lasáreas protegidas o a las instalaciones de procesamiento de informaciónsensible. Este acceso, como el de cualquier otra persona ajena querequiera acceder al área protegida, será otorgado solamente cuando seanecesario y se encuentre autorizado y monitoreado. Se mantendrá unregistro de todos los accesos de personas ajenas.

e) Pueden requerirse barreras y perímetros adicionales para controlarel acceso físico entre áreas con diferentes requerimientos deseguridad, y que están ubicadas dentro del mismo perímetro de seguridad.

f) Impedir el ingreso de equipos de computación móvil, fotográficos, devídeo, audio o cualquier otro tipo de equipamiento que registreinformación, a menos que hayan sido formalmente autorizadas por elResponsable de dicho área o el Responsable del Area Informática y elResponsable de Seguridad de la Información.

g) Prohibir comer, beber y fumar dentro de las instalaciones de procesamiento de la información.

9.1.6 Control: Areas de acceso público, de carga y descarga

Se controlarán las áreas de Recepción y Distribución, las cualesestarán aisladas de las instalaciones de procesamiento de información,a fin de impedir accesos no autorizados.

Para ello se establecerán controles físicos que considerarán los siguientes lineamientos:

a) Limitar el acceso a las áreas de depósito, desde el exterior de lasede del Organismo, sólo al personal previamente identificado yautorizado.

b) Diseñar el área de depósito de manera tal que los suministros puedanser descargados sin que el personal que realiza la entrega acceda aotros sectores del edificio.

c) Proteger todas las puertas exteriores del depósito cuando se abre la puerta interna.

d) Inspeccionar el material entrante para descartar peligrospotenciales antes de ser trasladado desde el área de depósito hasta ellugar de uso.

e) Registrar el material entrante al ingresar al sitio pertinente.

f) Cuando fuese posible, el material entrante debe estar segregado o separado en sus diferentes partes que lo constituyan.

9.2 Categoría: Seguridad de los equipos

Objetivo

Evitar pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades del Organismo.

Se debe proteger el equipo de amenazas físicas y ambientales.

9.2.1 Control: emplazamiento y protección de equipos

El equipamiento será ubicado y protegido de tal manera que se reduzcanlos riesgos ocasionados por amenazas y peligros ambientales, y lasoportunidades de acceso no autorizado, teniendo en cuenta lossiguientes puntos:

a) Ubicar el equipamiento en un sitio donde se minimice el acceso innecesario y provea un control de acceso adecuado.

b) Ubicar las instalaciones de procesamiento y almacenamiento deinformación que manejan datos clasificados, en un sitio que permita lasupervisión durante su uso.

c) Aislar los elementos que requieren protección especial para reducir el nivel general de protección requerida.

d) Adoptar controles adecuados para minimizar el riesgo de amenazas potenciales, por:

Amenazas PotencialesControlesRobo o hurtoIncendioExplosivosHumoInundaciones o filtraciones de agua (o falta de suministro)PolvoVibracionesEfectos químicosInterferencia en el suministro de energía eléctrica (cortes de suministro, variación de tensión)Radiación electromagnéticaDerrumbes.......

e) Se deben establecer lineamientos sobre las actividades de comer,beber y fumar en la proximidad de los medios de procesamiento de lainformación.

f) Revisar regularmente las condiciones ambientales para verificar quelas mismas no afecten de manera adversa el funcionamiento de lasinstalaciones de procesamiento de la información. Esta revisión serealizará cada: ..............(indicar periodicidad, no mayor a seismeses).

g) Se deben aplicar protección contra rayos a todos los edificios y sedeben adaptar filtros de protección contra rayos a todas las líneas deingreso de energía y comunicaciones.

h) Considerar asimismo el impacto de las amenazas citadas en el puntod) que tengan lugar en zonas próximas a la sede del Organismo.

9.2.2 Control: Instalaciones de suministro

El equipamiento estará protegido con respecto a las posibles fallas enel suministro de energía u otras anomalías eléctricas. El suministro deenergía estará de acuerdo con las especificaciones del fabricante oproveedor de cada equipo. Para asegurar la continuidad del suministrode energía, se contemplarán las siguientes medidas de control:

a) Disponer de múltiples enchufes o líneas de suministro para evitar un único punto de falla en el suministro de energía.

b) Contar con un suministro de energía interrumpible (UPS) paraasegurar el apagado regulado y sistemático o la ejecución continua delequipamiento que sustenta las operaciones críticas del Organismo. Ladeterminación de dichas operaciones críticas, será el resultado delanálisis de impacto realizado por el Responsable de Seguridad de laInformación conjuntamente con los Propietarios de la Información conincumbencia. Los planes de contingencia contemplarán las acciones quehan de emprenderse ante una falla de la UPS. Los equipos de UPS seráninspeccionados y probados periódicamente para asegurar que funcionancorrectamente y que tienen la autonomía requerida.

c) Montar un generador de respaldo para los casos en que elprocesamiento deba continuar ante una falla prolongada en el suministrode energía. Debe realizarse un análisis de impacto de las posiblesconsecuencias ante una interrupción prolongada del procesamiento, conel objeto de definir qué componentes será necesario abastecer deenergía alternativa. Dicho análisis será realizado por el Responsablede Seguridad de la Información conjuntamente con los Propietarios de laInformación. Se dispondrá de un adecuado suministro de combustible paragarantizar que el generador pueda funcionar por un período prolongado.Cuando el encendido de los generadores no sea automático, se aseguraráque el tiempo de funcionamiento de la UPS permita el encendido manualde los mismos. Los generadores serán inspeccionados y probadosperiódicamente para asegurar que funcionen según lo previsto.

Asimismo, se procurará que los interruptores de emergencia se ubiquencerca de las salidas de emergencia de las salas donde se encuentra elequipamiento, a fin de facilitar un corte rápido de la energía en casode producirse una situación crítica. Se proveerá de iluminación deemergencia en caso de producirse una falla en el suministro principalde energía. Se implementará protección contra descargas eléctricas entodos los edificios y líneas de comunicaciones externas de acuerdo alas normativas vigentes.

Las opciones para lograr la continuidad de los suministros de energíaincluyen múltiples alimentaciones para evitar que una falla en elsuministro de energía.

9.2.3 Control: Seguridad del cableado

El cableado de energía eléctrica y de comunicaciones que transportadatos o brinda apoyo a los servicios de información estará protegidocontra intercepción o daño, mediante las siguientes acciones:

a) Cumplir con los requisitos técnicos vigentes de la República Argentina.

b) Utilizar pisoducto o cableado embutido en la pared, siempre que seaposible, cuando corresponda a las instalaciones de procesamiento deinformación. En su defecto estarán sujetas a la siguiente protecciónalternativa: ...........(indicar protección alternativa del cableado).

c) Proteger el cableado de red contra intercepción no autorizada o dañomediante los siguientes controles: ... (ejemplo: el uso de conductos oevitando trayectos que atraviesen áreas públicas).

d) Separar los cables de energía de los cables de comunicaciones para evitar interferencias.

e) Proteger el tendido del cableado troncal (backbone) mediante la utilización de ductos blindados.

Para los sistemas sensibles o críticos ........, ....... y .......(detallar cuáles son), se implementarán los siguientes controlesadicionales:

a) Instalar conductos blindados y recintos o cajas con cerradura en los puntos terminales y de inspección.

b) Utilizar rutas o medios de transmisión alternativos.

9.2.4 Control: Mantenimiento de los equipos

Se realizará el mantenimiento del equipamiento para asegurar sudisponibilidad e integridad permanentes. Para ello se debe considerar:

a) Someter el equipamiento a tareas de mantenimiento preventivo, deacuerdo con los intervalos de servicio y especificaciones recomendadospor el proveedor y con la autorización formal del Responsables del AreaInformática. El Area de Informática mantendrá un listado actualizadodel equipamiento con el detalle de la frecuencia en que se realizará elmantenimiento preventivo.

b) Establecer que sólo el personal de mantenimiento autorizado puedebrindar mantenimiento y llevar a cabo reparaciones en el equipamiento.

c) Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo y correctivo realizado.

d) Registrar el retiro de equipamiento de la sede del Organismo para su mantenimiento.

e) Eliminar la información confidencial que contenga cualquierequipamiento que sea necesario retirar, realizándose previamente lasrespectivas copias de resguardo.

9.2.5 Control: Seguridad de los equipos fuera de las instalaciones

El uso de equipamiento destinado al procesamiento de información, fueradel ámbito del Organismo, será autorizado por el responsablepatrimonial. En el caso de que en el mismo se almacene informaciónclasificada, debe ser aprobado además por el Propietario de la misma.La seguridad provista debe ser equivalente a la suministrada dentro delámbito del Organismo para un propósito similar, teniendo en cuenta losriesgos de trabajar fuera de la misma.

Se respetarán permanentemente las instrucciones del fabricante respectodel cuidado del equipamiento. Asimismo, se mantendrá una adecuadacobertura de seguro para proteger el equipamiento fuera del ámbito delOrganismo, cuando sea conveniente.

Los riesgos de seguridad, por ejemplo: daño, robo o intercepción; puedevariar considerablemente entre los edificios y se debe tomarlo encuenta para evaluar los controles apropiados.

9.2.6 Control: Reutilización o retiro seguro de equipos

La información puede verse comprometida por una desafectación o unareutilización descuidada del equipamiento. Los medios de almacenamientoconteniendo material sensible, por ejemplo discos rígidos noremovibles, serán físicamente destruidos o sobrescritos en forma seguraen lugar de utilizar las funciones de borrado estándar, segúncorresponda.

Los dispositivos que contengan información confidencial deben requeriruna evaluación de riesgo para determinar si los ítems debieran serfísicamente destruidos en lugar de enviarlos a reparar o descartar.

9.2.7 Control: Retirada de materiales propiedad de la empresa

El equipamiento, la información y el software no serán retirados de la sede del Organismo sin autorización formal.

Periódicamente, se llevarán a cabo comprobaciones puntuales paradetectar el retiro no autorizado de activos del Organismo, las queserán llevadas a cabo por ..... (indicar el Area responsable). Elpersonal será puesto en conocimiento de la posibilidad de realizaciónde dichas comprobaciones.

Los empleados deben saber que se llevan a cabo chequeos inesperados, ylos chequeos se deben realizar con la debida autorización de losrequerimientos legales y reguladores.

9.2.8 Políticas de Escritorios y Pantallas Limpias. Se adopta unapolítica de escritorios limpios para proteger documentos en papel ydispositivos de almacenamiento removibles y una política de pantallaslimpias en las instalaciones de procesamiento de información, a fin dereducir los riesgos de acceso no autorizado, pérdida y daño de lainformación, tanto durante el horario normal de trabajo como fuera delmismo.

Se aplicarán los siguientes lineamientos:

a) Almacenar bajo llave, cuando corresponda, los documentos en papel ylos medios informáticos, en gabinetes y/u otro tipo de mobiliarioseguro cuando no están siendo utilizados, especialmente fuera delhorario de trabajo.

b) Guardar bajo llave la información sensible o crítica del Organismo(preferentemente en una caja fuerte o gabinete a prueba de incendios)cuando no está en uso, especialmente cuando no hay personal en laoficina.

c) Desconectar de la red/sistema/servicio las computadoras personales,terminales e impresoras asignadas a funciones críticas, cuando estándesatendidas. Las mismas deben ser protegidas mediante cerraduras deseguridad, contraseñas u otros controles cuando no están en uso (comopor ejemplo la utilización de protectores de pantalla con contraseña).Los responsables de cada área mantendrán un registro de las contraseñaso copia de las llaves de seguridad utilizadas en el sector a su cargo.Tales elementos se encontrarán protegidos en sobre cerrado o caja deseguridad para impedir accesos no autorizados, debiendo dejarseconstancia de todo acceso a las mismas, y de los motivos que llevaron atal acción.

d) Proteger los puntos de recepción y envío de correo postal y las máquinas de fax no atendidas.

e) Bloquear las fotocopiadoras (o protegerlas de alguna manera del uso no autorizado) fuera del horario normal de trabajo.

f) Retirar inmediatamente la información sensible o confidencial, una vez impresa.

10. Cláusula: Gestión de Comunicaciones y Operaciones

Generalidades

La proliferación de software malicioso, como virus, troyanos, etc.,hace necesario que se adopten medidas de prevención, a efectos deevitar la ocurrencia de tales amenazas.

Es conveniente separar los ambientes de desarrollo, prueba yoperaciones de los sistemas del Organismo, estableciendo procedimientosque aseguren la calidad de los procesos que se implementen en el ámbitooperativo, a fin de minimizar los riesgos de incidentes producidos porla manipulación de información operativa.

Los sistemas de información están comunicados entre sí, tanto dentrodel Organismo como con terceros fuera de él. Por lo tanto es necesarioestablecer criterios de seguridad en las comunicaciones que seestablezcan.

Las comunicaciones establecidas permiten el intercambio de información,que debe estar regulado para garantizar las condiciones deconfidencialidad, integridad y disponibilidad de la información que seemite o recibe por los distintos canales.

Objetivo

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones.

Establecer responsabilidades y procedimientos para su gestión yoperación, incluyendo instrucciones operativas, procedimientos para larespuesta a incidentes y separación de funciones.

Alcance

Todas las instalaciones de procesamiento y transmisión de información del Organismo.

Responsabilidad

El Responsable de Seguridad de la información tendrá a su cargo, entre otros:

• Definir procedimientos para el control de cambios a los procesosoperativos documentados, los sistemas e instalaciones de procesamientode información, y verificar su cumplimiento, de manera que no afectenla seguridad de la información.

• Establecer criterios de aprobación para nuevos sistemas deinformación, actualizaciones y nuevas versiones, contemplando larealización de las pruebas necesarias antes de su aprobacióndefinitiva. Verificar que dichos procedimientos de aprobación desoftware incluyan aspectos de seguridad para todas las aplicaciones.

• Definir procedimientos para el manejo de incidentes de seguridad y para la administración de los medios de almacenamiento.

• Definir y documentar una norma clara con respecto al uso del correo electrónico.

• Controlar los mecanismos de distribución y difusión de información dentro del Organismo.

• Definir y documentar controles para la detección y prevención delacceso no autorizado, la protección contra software malicioso y paragarantizar la seguridad de los datos y los servicios conectados en lasredes del Organismo.

• Desarrollar procedimientos adecuados de concientización de usuariosen materia de seguridad, controles de acceso al sistema yadministración de cambios.

• Verificar el cumplimiento de las normas, procedimientos y controles establecidos.

El Responsable del Area Informática tendrá a su cargo lo siguiente:

• Controlar la existencia de documentación actualizada relacionada con los procedimientos de comunicaciones y operaciones.

• Evaluar el posible impacto operativo de los cambios previstos asistemas y equipamiento y verificar su correcta implementación,asignando responsabilidades.

• Administrar los medios técnicos necesarios para permitir la segregación de los ambientes de procesamiento.

• Monitorear las necesidades de capacidad de los sistemas en operacióny proyectar las futuras demandas de capacidad, a fin de evitarpotenciales amenazas a la seguridad del sistema o a los servicios delusuario.

• Controlar la realización de las copias de resguardo de información, así como la prueba periódica de su restauración.

• Asegurar el registro de las actividades realizadas por el personal operativo, para su posterior revisión.

• Desarrollar y verificar el cumplimiento de procedimientos paracomunicar las fallas en el procesamiento de la información o lossistemas de comunicaciones, que permita tomar medidas correctivas.

• Implementar los controles de seguridad definidos (software malicioso y accesos no autorizados).

• Definir e implementar procedimientos para la administración de mediosinformáticos de almacenamiento, como cintas, discos, casetes e informesimpresos y para la eliminación segura de los mismos.

• Participar en el tratamiento de los incidentes de seguridad, de acuerdo a los procedimientos establecidos.

El Responsable de Seguridad de la información junto con el Responsabledel Area Informática y el Responsable del Area Jurídica del Organismoevaluarán los contratos y acuerdos con terceros para garantizar laincorporación de consideraciones relativas a la seguridad de lainformación involucrada en la gestión de los productos o serviciosprestados.

Cada Propietario de la Información, junto con el Responsable deSeguridad de la Información y el Responsable del Area Informática,determinará los requerimientos para resguardar la información por lacual es responsable. Asimismo, aprobará los servicios de mensajeríaautorizados para transportar la información cuando sea requerido, deacuerdo a su nivel de criticidad.

La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información, revisará las actividades queno hayan sido posibles segregar. Asimismo, revisará los registros deactividades del personal operativo.

Política

10.1 Categoría: Procedimientos y Responsabilidades Operativas

Objetivo

Asegurar la operación correcta y segura de los medios de procesamiento de la información.

Se deben establecer las responsabilidades y procedimientos para lagestión y operación de todos los medios de procesamiento de lainformación. Esto incluye el desarrollo de los procedimientos deoperación apropiados.

10.1.1 Control: Documentación de los Procedimientos Operativos

Se documentarán y mantendrán actualizados los procedimientos operativosidentificados en esta Política y sus cambios serán autorizados por elResponsable de Seguridad de la Información.

Los procedimientos especificarán instrucciones para la ejecución detallada de cada tarea, incluyendo:

a) Procesamiento y manejo de la información.

b) Requerimientos de programación de procesos, interdependencias conotros sistemas, tiempos de inicio de las primeras tareas y tiempos determinación de las últimas tareas.

c) Instrucciones para el manejo de errores u otras condiciones excepcionales que puedan surgir durante la ejecución de tareas.

d) Restricciones en el uso de utilitarios del sistema.

e) Personas de soporte a contactar en caso de dificultades operativas o técnicas imprevistas.

f) Instrucciones especiales para el manejo de “salidas”, como el uso depapelería especial o la administración de salidas confidenciales,incluyendo procedimientos para la eliminación segura de salidasfallidas de tareas.

g) Reinicio del sistema y procedimientos de recuperación en caso de producirse fallas en el sistema.

Se preparará adicionalmente documentación sobre procedimientos referidos a las siguientes actividades:

a) Instalación y mantenimiento de equipamiento para el procesamiento de información y comunicaciones.

b) Instalación y mantenimiento de las plataformas de procesamiento.

c) Monitoreo del procesamiento y las comunicaciones.

d) Inicio y finalización de la ejecución de los sistemas.

e) Programación y ejecución de procesos.

f) Gestión de servicios.

g) Resguardo de información.

h) Gestión de incidentes de seguridad en el ambiente de procesamiento y comunicaciones.

i) Reemplazo o cambio de componentes del ambiente de procesamiento y comunicaciones.

j) Uso del correo electrónico.

10.1.2 Control: Cambios en las Operaciones

Se definirán procedimientos para el control de los cambios en elambiente operativo y de comunicaciones. Todo cambio debe ser evaluadopreviamente en aspectos técnicos y de seguridad.

El Responsable de Seguridad de la Información controlará que loscambios en los componentes operativos y de comunicaciones no afecten laseguridad de los mismos ni de la información que soportan. ElResponsable del Area Informática evaluará el posible impacto operativode los cambios previstos y verificará su correcta implementación.

Se retendrá un registro de auditoría que contenga toda la información relevante de cada cambio implementado.

Los procedimientos de control de cambios contemplarán los siguientes puntos:

a) Identificación y registro de cambios significativos.

b) Evaluación del posible impacto de dichos cambios.

c) Aprobación formal de los cambios propuestos.

d) Planificación del proceso de cambio.

e) Prueba del nuevo escenario.

f) Comunicación de detalles de cambios a todas las personas pertinentes.

g) Identificación de las responsabilidades por la cancelación de los cambios fallidos y la recuperación respecto de los mismos.

10.1.3 Control: Separación de Funciones

Se separará la gestión o ejecución de ciertas tareas o áreas deresponsabilidad, a fin de reducir el riesgo de modificaciones noautorizadas o mal uso de la información o los servicios por falta deindependencia en la ejecución de funciones críticas.

Si este método de control no se pudiera cumplir en algún caso, se implementarán controles como:

a) Monitoreo de las actividades.

b) Registros de auditoría y control periódico de los mismos.

c) Supervisión por parte de la Unidad de Auditoría Interna o en sudefecto quien sea propuesto a tal efecto, siendo independiente al áreaque genera las actividades auditadas.

Asimismo, se documentará la justificación formal por la cual no fue posible efectuar la segregación de funciones.

Se asegurará la independencia de las funciones de auditoría deseguridad, tomando recaudos para que ninguna persona pueda realizaractividades en áreas de responsabilidad única sin ser monitoreada, y laindependencia entre el inicio de un evento y su autorización,considerando los siguientes puntos:

a) Separar actividades que requieren connivencia para defraudar, porejemplo efectuar una orden de compra y verificar que la mercadería fuerecibida.

b) Diseñar controles, si existe peligro de connivencia de manera talque dos o más personas estén involucradas, reduciendo la posibilidad deconspiración.

10.1.4 Control: Separación entre Instalaciones de Desarrollo e Instalaciones Operativas

Los ambientes de desarrollo, prueba y operaciones, siempre que seaposible, estarán separados preferentemente en forma física, y sedefinirán y documentarán las reglas para la transferencia de softwaredesde el estado de desarrollo hacia el estado productivo.

Para ello, se tendrán en cuenta los siguientes controles:

a) Ejecutar el software de desarrollo y de producción, en diferentes ambientes de operaciones, equipos, o directorios.

b) Separar las actividades de desarrollo y prueba, en entornos diferentes.

c) Impedir el acceso a los compiladores, editores y otros utilitariosdel sistema en el ambiente de producción, cuando no sean indispensablespara el funcionamiento del mismo.

d) Utilizar sistemas de autenticación y autorización independientespara los diferentes ambientes, así como perfiles de acceso a lossistemas. Prohibir a los usuarios compartir contraseñas en estossistemas. Las interfaces de los sistemas identificarán claramente a quéinstancia se está realizando la conexión.

e) Definir propietarios de la información para cada uno de los ambientes de procesamiento existentes.

f) El personal de desarrollo no tendrá acceso al ambiente productivo.De ser extrema dicha necesidad, se establecerá un procedimiento deemergencia para la autorización, documentación y registro de dichosaccesos.

Para el caso que no puedan mantener separados los distintos ambientesen forma física, deben implementarse los controles indicados en elpunto “10.1.3 Control: Separación de Funciones”.

En el Anexo al capítulo 12 se presenta un esquema modelo de segregación de ambientes de procesamiento.

10.2 Categoría: Gestión de Provisión de Servicios

Objetivo

Implementar y mantener el nivel apropiado de seguridad de lainformación y la entrega del servicio en línea con los acuerdos deentrega de servicios de terceros.

La organización debe chequear la implementación de los acuerdos,monitorear su cumplimiento con los estándares y manejar los cambiospara asegurar que los servicios sean entregados para satisfacer todoslos requerimientos acordados por la tercera persona.

10.2.1 Control: Provisión de servicio

Se verificará que los servicios brindados por una tercera parteincluyan los acuerdos de seguridad arreglados, definiciones deservicio, y aspectos de la gestión del servicio. En el caso de acuerdosde tercerización, el Organismo debe planificar las transicionesnecesarias (de la información, de las instalaciones de procesamiento deinformación, y cualquier otro componente que necesite ser trasladado),y que asegure que la seguridad es mantenida a lo largo del período detransición.

En el caso de tercerizar la administración de las instalaciones deprocesamiento, se acordarán controles con el proveedor del servicio yse incluirán en el contrato, contemplando las siguientes cuestionesespecíficas (Ver 6-2-2 Control: Puntos de seguridad de la información aconsiderar en Contratos o Acuerdos con terceros):

a) Identificar las aplicaciones sensibles o críticas que convenga retener en el Organismo.

b) Obtener la aprobación de los propietarios de aplicaciones específicas.

c) Identificar las implicancias para la continuidad de los planes de las actividades del Organismo.

d) Especificar las normas de seguridad y el proceso de medición del cumplimiento.

e) Asignar funciones específicas y procedimientos para monitorear todas las actividades de seguridad.

f) Definir las funciones y procedimientos de comunicación y manejo de incidentes relativos a la seguridad.

Dichas consideraciones deben ser acordadas entre el Responsable deSeguridad de la Información, el Responsable del Area de Informática yel Responsable del Area Jurídica del Organismo.

10.2.2 Control: Seguimiento y revisión de los servicios de las terceras partes

Se llevará a cabo el seguimiento, control y revisión de los serviciosde las terceras partes asegurando que se encuentran adheridos a lostérminos de seguridad de la información y las condiciones definidas enlos acuerdos, y que los incidentes de seguridad de la información y losproblemas son manejados en forma apropiada.

El Organismo mantendrá control suficiente y visión general de todos losaspectos de seguridad para la información sensible o crítica, o de lasinstalaciones de procesamiento de información accedidas, procesadas ogestionadas por una tercera parte. Se recomienda que la organizaciónasegure que se mantenga la visibilidad de las actividades de seguridadcomo gestión de cambios, identificación de vulnerabilidades yreporte/respuesta de incidentes de seguridad de información a través deun proceso de reportes claro y definido, con formato y estructura.

10.2.3 Control: Gestión del cambio de los servicios de terceras partes

Se gestionarán los cambios en la provisión de los servicios, incluyendoel mantenimiento y las mejoras de las políticas, procedimientos ycontroles de seguridad de la información existentes, teniendo en cuentala criticidad de los sistemas y procesos del negocio involucrados y lareevaluación de los riesgos.

El proceso de gestión del cambio de un servicio de tercera parte necesita tener cuenta:

• Los cambios realizados por la organización para implementar:

- mejoras a los servicios corrientes ofrecidos;

- desarrollo de cualquier aplicaciones y sistemas nuevos;

- modificaciones o actualizaciones de las políticas y procedimientos del Organismo;

- nuevos controles para resolver los incidentes de la seguridad de la información y para mejorar la seguridad;

• cambios en los servicios de las terceras partes para implementar:

- cambios y mejoras de las redes;

- uso de nuevas tecnologías;

- adopción de nuevos productos o nuevas versiones/publicaciones;

- nuevas herramientas de desarrollo y ambientes;

- cambios de las ubicaciones físicas de las instalaciones de servicio;

- cambio de los vendedores.

10.3 Categoría: Planificación y Aprobación de Sistemas

Objetivo

Minimizar el riesgo de fallas en los sistemas. Se requiereplanificación y preparación anticipadas para asegurar la disponibilidadde la capacidad y los recursos adecuados para entregar el desempeño delsistema requerido.

Se deben realizar proyecciones de los requerimientos de la capacidad futura para reducir el riesgo de sobrecarga en el sistema.

Se deben establecer, documentar y probar los requerimientos operacionales de los sistemas nuevos antes de su aceptación y uso.

10.3.1 Control: Planificación de la Capacidad

El Responsable del Area Informática, o el personal que éste designe,efectuará el monitoreo de las necesidades de capacidad de los sistemasen operación y proyectar las futuras demandas, a fin de garantizar unprocesamiento y almacenamiento adecuados. Para ello tomará en cuentaademás los nuevos requerimientos de los sistemas así como lastendencias actuales y proyectadas en el procesamiento de la informacióndel Organismo para el período estipulado de vida útil de cadacomponente. Asimismo, informará las necesidades detectadas a lasautoridades competentes para que puedan identificar y evitarpotenciales cuellos de botella, que podrían plantear una amenaza a laseguridad o a la continuidad del procesamiento, y puedan planificar unaadecuada acción correctiva.

10.3.2 Control: Aprobación del Sistema

El Responsable del Area Informática y el Responsable de Seguridad de laInformación sugerirán criterios de aprobación para nuevos sistemas deinformación, actualizaciones y nuevas versiones, solicitando larealización de las pruebas necesarias antes de su aprobacióndefinitiva. Se deben considerar los siguientes puntos:

a) Verificar el impacto en el desempeño y los requerimientos de capacidad de las computadoras.

b) Garantizar la recuperación ante errores.

c) Preparar y poner a prueba los procedimientos operativos de rutina según normas definidas.

d) Garantizar la implementación de un conjunto acordado de controles de seguridad.

e) Confeccionar disposiciones relativas a la continuidad de las actividades del Organismo.

f) Asegurar que la instalación del nuevo sistema no afectaránegativamente los sistemas existentes, especialmente en los períodospico de procesamiento.

g) Considerar el efecto que tiene el nuevo sistema en la seguridad global del Organismo.

h) Disponer la realización de entrenamiento en la operación y/o uso de nuevos sistemas.

10.4 Categoría: Protección Contra Código Malicioso

Objetivo

Proteger la integridad del software y la integración. Se requiere tomarprecauciones para evitar y detectar la introducción de códigosmaliciosos y códigos móviles no-autorizados. El software y los mediosde procesamiento de la información son vulnerables a la introducción decódigos maliciosos; como ser, entre otros, virus Troyanos, bombaslógicas, etc. Los usuarios deben estar al tanto de los peligros de loscódigos maliciosos. Cuando sea apropiado, los gerentes deben introducircontroles para evitar, detectar y eliminar los códigos maliciosos ycontrolar los códigos móviles.

10.4.1 Control: Código Malicioso

El Responsable de Seguridad de la Información definirá controles dedetección y prevención para la protección contra software malicioso. ElResponsable del Area Informática, o el personal designado por éste,implementarán dichos controles.

El Responsable de Seguridad de la Información desarrollaráprocedimientos adecuados de concientización de usuarios en materia deseguridad, controles de acceso al sistema y administración de cambios.

Estos controles deben considerar establecer políticas y procedimientos formales que contemplen las siguientes acciones:

a) Prohibir la instalación y uso de software no autorizado por elOrganismo (Ver 0 Derecho de Propiedad Intelectual del Software).

b) Redactar procedimientos para evitar los riesgos relacionados con laobtención de archivos y software desde o a través de redes externas, opor cualquier otro medio (ej.: dispositivos portátiles), señalando lasmedidas de protección a tomar.

c) Instalar y actualizar periódicamente software de detección yreparación de virus, examinado computadoras y medios informáticos, comomedida precautoria y rutinaria.

d) Mantener los sistemas al día con las últimas actualizaciones deseguridad disponibles (probar dichas actualizaciones en un entorno deprueba previamente si es que constituyen cambios críticos a lossistemas).

e) Revisar periódicamente el contenido de software y datos de losequipos de procesamiento que sustentan procesos críticos del Organismo,investigando formalmente la presencia de archivos no aprobados omodificaciones no autorizadas, en especial, realizar revisión yanálisis de logs.

f) Verificar antes de su uso, la presencia de virus en archivos demedios electrónicos de origen incierto, o en archivos recibidos através de redes no confiables.

g) Redactar procedimientos para verificar toda la información relativaa software malicioso, garantizando que los boletines de alerta seanexactos e informativos.

h) Concientizar al personal acerca del problema de los falsos antivirus(rogues) y las cadenas falsas (hoax) y de cómo proceder frente a losmismos.

i) Redactar normas de protección y habilitación de puertos de conexión de dispositivos móviles y sus derechos de acceso.

10.4.2 Control: Código Móvil

En caso que el código móvil sea autorizado, se debe garantizar que laconfiguración asegure que el código móvil autorizado opere de acuerdo auna configuración de seguridad claramente definida, previniendo que elcódigo móvil no autorizado sea ejecutado.

Asimismo, se implementarán acciones para la protección contra accionesmaliciosas resultantes de la ejecución no autorizada de código móvil,como ser:

a) ejecución del código móvil en un ambiente lógicamente aislado;

b) bloqueo del uso de código móvil;

c) bloqueo de la recepción de código móvil;

d) activación de medidas técnicas como sea disponible en un sistema específico para asegurar que el código móvil es gestionado;

e) control de los recursos disponibles para el acceso del código móvil;

f) implementación de controles criptográficos para autenticar de forma unívoca el código móvil.

10.5 Categoría: Respaldo o Back-up

Objetivo

Mantener la integridad y disponibilidad de la información y los medios de procesamiento de información.

Se deben establecer los procedimientos de rutina para implementar lapolítica de respaldo acordada y la estrategia (ver también Capítulo14.1 Gestión de Continuidad del Organismo) para tomar copias derespaldo de los datos y practicar su restauración oportuna.

10.5.1 Control: Resguardo de la Información

El Responsable del Area Informática y el de Seguridad de la Informaciónjunto al Responsable del Area Informática y los Propietarios deInformación determinarán los requerimientos para resguardar cadasoftware o dato en función de su criticidad. En base a ello, sedefinirá y documentará un esquema de resguardo de la información.

El Responsable del Area Informática dispondrá y controlará larealización de dichas copias, así como la prueba periódica de surestauración e integridad. Para esto se debe contar con instalacionesde resguardo que garanticen la disponibilidad de toda la información ydel software crítico del Organismo. Los sistemas de resguardo debenprobarse periódicamente, asegurándose que cumplen con losrequerimientos de los planes de continuidad de las actividades delorganismo, según el punto (ver también Capítulo 14.1 Gestión deContinuidad del Organismo).

Se definirán procedimientos para el resguardo de la información, que deben considerar los siguientes puntos:

a) Definir un esquema de rótulo de las copias de resguardo, que permitacontar con toda la información necesaria para identificar cada una deellas y administrarlas debidamente.

b) Establecer un esquema de remplazo de los medios de almacenamiento delas copias de resguardo, una vez concluida la posibilidad de serreutilizados, de acuerdo a lo indicado por el proveedor, y asegurandola destrucción de los medios desechados.

c) Almacenar en una ubicación remota copias recientes de información deresguardo junto con registros exactos y completos de las mismas y losprocedimientos documentados de restauración, a una distancia suficientecomo para evitar daños provenientes de un desastre en el sitioprincipal. Se deben retener al menos tres generaciones o ciclos deinformación de resguardo para la información y el software esencialespara el Organismo. Para la definición de información mínima a serresguardada en el sitio remoto, se debe tener en cuenta el nivel declasificación otorgado a la misma, en términos de disponibilidad yrequisitos legales a los que se encuentre sujeta.

d) Asignar a la información de resguardo un nivel de protección físicay ambiental según las normas aplicadas en el sitio principal. Extenderlos mismos controles aplicados a los dispositivos en el sitio principalal sitio de resguardo.

e) Probar periódicamente los medios de resguardo.

f) Verificar y probar periódicamente los procedimientos de restauracióngarantizando su eficacia y cumplimiento dentro del tiempo asignado a larecuperación en los procedimientos operativos.

Los procedimientos de realización de copias de resguardo y sualmacenamiento deben respetar las disposiciones capítulo 7 Gestión deActivos y 15.1.3 Control: Protección de los Registros del Organismo lapresente Política.

10.5.2 Control: Registro de Actividades del Personal Operativo

El Responsable del Area Informática asegurará el registro de lasactividades realizadas en los sistemas, incluyendo según corresponda:

a) Tiempos de inicio y cierre del sistema.

b) Errores del sistema y medidas correctivas tomadas.

c) Intentos de acceso a sistemas, recursos o información crítica o acciones restringidas

d) Ejecución de operaciones críticas

e) Cambios a información crítica

La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información contrastará los registros deactividades del personal operativo con relación a los procedimientosoperativos.

10.5.3 Control: Registro de Fallas

El Responsable del Area Informática desarrollará y verificará elcumplimiento de procedimientos para comunicar las fallas en elprocesamiento de la información o los sistemas de comunicaciones, quepermita tomar medidas correctivas.

Se registrarán las fallas comunicadas, debiendo existir reglas claras para el manejo de las mismas, con inclusión de:

a) Revisión de registros de fallas para garantizar que las mismas fueron resueltas satisfactoriamente.

b) Revisión de medidas correctivas para garantizar que los controles nofueron comprometidos, y que las medidas tomadas fueron autorizadas.

c) Documentación de la falla con el objeto de prevenir su repetición o facilitar su resolución en caso de reincidencia.

d) Integrar la comunicación y gestión de la falla acorde a lo definido en el Capítulo 13 – Gestión de Incidentes.

10.6 Categoría: Gestión de la Red

Objetivo

Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.

La gestión segura de las redes, la cual puede abarcar los límitesorganizacionales, requiere de la cuidadosa consideración del flujo dedatos, implicancias legales, monitoreo y protección.

También se pueden requerir controles adicionales para proteger la información confidencial que pasa a través de redes públicas.

10.6.1 Control: Redes

El Responsable de Seguridad de la Información definirá controles paragarantizar la seguridad de los datos y los servicios conectados en lasredes del Organismo, contra el acceso no autorizado, considerando laejecución de las siguientes acciones:

a) Establecer los procedimientos para la administración delequipamiento remoto, incluyendo los equipos en las áreas usuarias, laque será llevada a cabo por el responsable establecido en el punto“6-1-3 control: Asignación de responsabilidad de la seguridad de lainformación”.

b) Establecer controles especiales para salvaguardar laconfidencialidad e integridad del procesamiento de los datos que pasana través de redes públicas, y para proteger los sistemas conectados.Implementar controles especiales para mantener la disponibilidad de losservicios de red y computadoras conectadas.

c) Garantizar mediante actividades de supervisión, que los controles seaplican uniformemente en toda la infraestructura de procesamiento deinformación.

El Responsable del Area Informática implementará dichos controles.

10.7 Categoría: Administración y Seguridad de los medios de almacenamiento

Objetivo

Evitar la divulgación no-autorizada; modificación, eliminación odestrucción de activos; y la interrupción de las actividadescomerciales. Los medios se debieran controlar y proteger físicamente.

Se deben establecer los procedimientos de operación apropiados paraproteger los documentos, medios de cómputo (por ejemplo, cintas ydiscos), entrada/salida de datos (input/output) y documentación delsistema de una divulgación no-autorizada, modificación, eliminación ydestrucción.

10.7.1 Control: Administración de Medios Informáticos Removibles

El Responsable del Area Informática, con la asistencia del Responsablede Seguridad de la Información, implementará procedimientos para laadministración de medios informáticos removibles, como cintas, discos,pendrives e informes impresos. El cumplimiento de los procedimientos sehará de acuerdo al capítulo “11.1 Categoría: Requerimientos para elControl de Acceso”.

Se deben considerar las siguientes acciones para la implementación de los procedimientos:

a) Eliminar de forma segura los contenidos, si ya no son requeridos, decualquier medio reutilizable que ha de ser retirado o reutilizado porel Organismo.

b) Requerir autorización para retirar cualquier medio del Organismo yrealizar un control de todos los retiros a fin de mantener un registrode auditoría.

c) Almacenar todos los medios en un ambiente seguro y protegido, deacuerdo con las especificaciones de los fabricantes o proveedores y lacriticidad de la información almacenada.

Se documentarán todos los procedimientos y niveles de autorización, enconcordancia con el capítulo 7.1.1 Control: Inventario de activos.

10.7.2 Control: Eliminación de Medios de Información

El Responsable del Area Informática, junto con el Responsable deSeguridad de la Información, definirá procedimientos para laeliminación segura de los medios de soporte de información respetandola normativa vigente.

Los procedimientos deben considerar que los siguientes elementos requerirán almacenamiento y eliminación segura:

a) Documentos en papel.

b) Voces u otras grabaciones.

c) Papel carbónico.

d) Informes de salida.

e) Cintas de impresora de un solo uso.

f) Cintas magnéticas.

g) Discos u otros dispositivos removibles.

h) Medios de almacenamiento óptico (todos los formatos incluyendo todoslos medios de distribución de software del fabricante o proveedor).

i) Listados de programas.

j) Datos de prueba.

k) Documentación del sistema.

La evaluación del mecanismo de eliminación debe contemplar el tipo de dispositivo y la criticidad de la información contenida.

10.7.3 Control: Procedimientos de Manejo de la Información

Se definirán procedimientos para el manejo y almacenamiento de lainformación de acuerdo a la clasificación establecida en el capítulo7.1.1 Control: Inventario de activos.

En los procedimientos se contemplarán las siguientes acciones:

a) Incluir en la protección a documentos, sistemas informáticos, redes,computación móvil, comunicaciones móviles, correo, correo de voz,comunicaciones de voz en general, multimedia, servicios e instalacionespostales, uso de máquinas de fax y cualquier otro ítem potencialmentesensible.

b) Restringir el acceso sólo al personal debidamente autorizado.

c) Mantener un registro formal de los receptores autorizados de datos.

d) Garantizar que los datos de entrada son completos, que elprocesamiento se lleva a cabo correctamente y que se valida las salidas.

e) Proteger los datos en espera (“colas”) y memorias temporales (ej.: cache).

f) Conservar los medios de almacenamiento en un ambiente que concuerdecon las especificaciones de los fabricantes o proveedores.

10.7.4 Control: Seguridad de la Documentación del Sistema

La documentación del sistema puede contener información sensible oconfidencial, por lo que se considerarán los siguientes recaudos parasu protección:

a) Almacenar la documentación del sistema en forma segura.

b) Restringir el acceso a la documentación del sistema al personalestrictamente necesario. Dicho acceso será autorizado por elPropietario de la Información relativa al sistema.

10.8 Categoría: Intercambios de Información y Software

Objetivo

Mantener la seguridad en el intercambio de información y software dentro del Organismo y con cualquier otra entidad externa.

Los intercambios de información y software dentro de las organizacionesse deben basar en una política formal de intercambio, seguida en líneacon los acuerdos de intercambio, y debiera cumplir con cualquierlegislación relevante (ver capítulo 15 Cumplimiento).

Se deben establecer los procedimientos y estándares para proteger lainformación y los medios físicos que contiene la informaciónen-tránsito.

10.8.1 Control: Procedimientos y controles de intercambio de la información

Se establecerán procedimientos y controles formales para proteger elintercambio de información a través del uso de todos los tipos deinstalaciones de comunicación, considerando lo siguiente:

a) Protección de la información intercambiada de la intercepción,copiado, modificación, de que sea mal dirigida, y de su destrucción

b) detección de y la protección contra el código malicioso que puedeser transmitido a través del uso de comunicaciones electrónicas

c) definición del uso aceptable de las instalaciones de comunicación electrónicas

d) uso seguro de comunicaciones inalámbricas

e) responsabilidades del empleado, contratista y cualquier otro usuariode no comprometer a la organización, por ejemplo, a través de ladifamación, hostigamiento, personificación, reenvío de cadenas decomunicación epistolar, compras no autorizadas y cualquier otro medio(ej.: redes sociales)

f) uso de técnicas criptográficas para proteger la confidencialidad, integridad y la autenticidad de la información

g) directrices de retención y eliminación para toda la correspondenciaen concordancia con las leyes y regulaciones relevantes, locales ynacionales

h) instrucción del personal sobre las precauciones que deben tomar a la hora de transmitir información del Organismo.

10.8.2 Control: Acuerdos de Intercambio de Información y Software

Cuando se realicen acuerdos entre organizaciones para el intercambio deinformación y software, se especificarán el grado de sensibilidad de lainformación del Organismo involucrada y las consideraciones deseguridad sobre la misma. Se tendrán en cuenta los siguientes aspectos:

a) Responsabilidades gerenciales por el control y la notificación de transmisiones, envíos y recepciones.

b) Procedimientos de notificación de emisión, transmisión, envío y recepción.

c) Normas técnicas para el empaquetado y la transmisión.

d) Pautas para la identificación del prestador del servicio de correo.

e) Responsabilidades y obligaciones en caso de pérdida, exposición o divulgación no autorizada de datos.

f) Uso de un sistema convenido para el rotulado de informaciónclasificada, garantizando que el significado de los rótulos seainmediatamente comprendido y que la información sea adecuadamenteprotegida.

g) Términos y condiciones de la licencia bajo la cual se suministra el software.

h) Información sobre la propiedad de la información suministrada y las condiciones de su uso.

i) Normas técnicas para la grabación y lectura de la información y del software.

j) Controles especiales que puedan requerirse para proteger ítems sensibles, (claves criptográficas, etc.).

10.8.3 Control: Seguridad de los Medios en Tránsito

Los procedimientos de transporte de medios informáticos entre diferentes puntos (envíos postales y mensajería) deben contemplar:

a) La utilización de medios de transporte o servicios de mensajeríaconfiables. El Propietario de la Información a transportar determinaráqué servicio de mensajería se utilizará conforme la criticidad de lainformación a transmitir.

b) Suficiente embalaje para envío de medios a través de serviciospostales o de mensajería, siguiendo las especificaciones de losfabricantes o proveedores.

c) La adopción de controles especiales, cuando resulte necesario, a finde proteger la información sensible contra divulgación o modificaciónno autorizadas. Entre los ejemplos se incluyen:

1. Uso de recipientes cerrados.

2. Entrega en mano.

3. Embalaje a prueba de apertura no autorizada (que revele cualquier intento de acceso).

4. En casos excepcionales, división de la mercadería a enviar en más de una entrega y envío por diferentes rutas.

10.8.4 Control: Seguridad de los la Mensajería

La mensajería electrónica como el correo electrónico, el intercambio dedatos electrónicos (EDI por sus siglas en inglés), la mensajeríainstantánea y las redes sociales juegan un muy importante en lascomunicaciones organizacionales. La mensajería electrónica tienediferentes riesgos que las comunicaciones basadas en papel.

Se considerarán las siguientes medidas de seguridad en los mensajes electrónicos:

- protección de mensajes por el acceso no autorizado, modificaciones o denegación de servicio;

- correcta asignación de la dirección y el transporte del mensaje;

- confiabilidad y disponibilidad general del servicio;

- consideraciones legales, por ejemplo, requerimientos para firmas electrónicas;

- obtención de aprobación previa al uso de los servicios públicosexternos tales como mensajería instantánea o el compartir archivos;

- niveles altos de controles de autenticación para los accesos desde las redes públicamente accesibles.

10.8.5 Control: Seguridad del Gobierno Electrónico

El Responsable de Seguridad de la Información verificará que losprocedimientos de aprobación de Software del punto “10.3.2 Control:Aprobación del Sistema” incluyan los siguientes aspectos para lasaplicaciones de Gobierno Electrónico:

a) Autenticación: Nivel de confianza recíproca suficiente sobre la identidad del usuario y el Organismo.

b) Autorización: Niveles deAutorización adecuados para establecer disposiciones, emitir o firmardocumentos clave, etc. Forma de comunicarlo al otro participante de latransacción electrónica.

c) Procesos de oferta y contratación pública: Requerimientos de confidencialidad, integridad y prueba de envío y recepción de documentos clave y de no repudio de contratos.

d) Trámites en línea:Confidencialidad, integridad y no repudio de los datos suministradoscon respecto a trámites y presentaciones ante el Estado y confirmaciónde recepción.

e) Verificación: Grado de verificación apropiado para constatar la información suministrada por los usuarios.

f) Cierre de la transacción: Forma de interacción más adecuada para evitar fraudes.

g) Protección a la duplicación: Asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario.

h) No repudio: Manera de evitar que una entidad que haya enviado o recibido información alegue que no la envió o recibió.

i) Responsabilidad: Asignación de responsabilidades ante el riesgo de eventuales presentaciones, tramitaciones o transacciones fraudulentas.

j) Seguridad: contemplas losrequisitos de Integridad, Confidencialidad y Disponibilidad de lasAplicaciones, por ejemplo asegurando que las aplicaciones disponibles através de redes de acceso público (ej.: Internet) no puedan seralteradas en su contenido, infectadas con código ni susceptibles avulnerabilidades derivadas de malas prácticas de desarrollo.

Las consideraciones mencionadas se implementarán mediante la aplicaciónde las técnicas criptográficas enumeradas en el punto “12.3.1 Control:Política de Utilización de Controles Criptográficos” y tomando encuenta el cumplimiento de los requisitos legales emanados de toda lanormativa vigente.

Se darán a conocer a los usuarios, los términos y condicionesaplicables, asegurándose que los mismos fueron leídos y comprendidospor los mismos.

Todas las medidas vinculadas al plan de gobierno electrónico delorganismo deben dictarse conforme lo dispuesto por el Decreto Nº378/2005.

10.9 Categoría: Seguridad del Correo Electrónico

Objetivo

Garantizar la seguridad de los servicios de correo electrónico y su uso seguro.

Se debieran considerar las implicancias de seguridad asociadas con el uso de servicios de correo electrónico.

10.9.1 Control: Riesgos de Seguridad

Se implementarán controles para reducir los riesgos de incidentes de seguridad en el correo electrónico, contemplando:

a) La vulnerabilidad de los mensajes al acceso o modificación no autorizados o a la denegación de servicio.

b) La posible intercepción y el consecuente acceso a los mensajes enlos medios de transferencia que intervienen en la distribución de losmismos.

c) Las posibles vulnerabilidades a errores, por ejemplo, consignaciónincorrecta de la dirección o dirección errónea, y la confiabilidad ydisponibilidad general del servicio.

d) La posible recepción de código malicioso en un mensaje de correo, elcual afecte la seguridad de la terminal receptora o de la red a la quese encuentra conectada.

e) El impacto de un cambio en el medio de comunicación en los procesos del Organismo.

f) Las consideraciones legales, como la necesidad potencial de contar con prueba de origen, envío, entrega y aceptación.

g) Las implicancias de la publicación externa de información sensible o confidencial, accesibles al público.

h) El acceso de usuarios remotos a las cuentas de correo electrónico.

i) El uso inadecuado por parte del personal.

10.9.2 Control: Política de Correo Electrónico

El Responsable de Seguridad de la Información junto con el Responsabledel Area Informática definirán y documentarán normas y procedimientosclaros con respecto al uso del correo electrónico, que incluya al menoslos siguientes aspectos:

a) Protección contra ataques al correo electrónico, por ejemplo virus, intercepción, etc.

b) Protección de archivos adjuntos de correo electrónico.

c) Uso de técnicas criptográficas para proteger la confidencialidad eintegridad de los mensajes electrónicos (Ver 12.3 Categoría: ControlesCriptográficos).

d) Retención de mensajes que, si se almacenaran, pudieran ser usados en caso de litigio.

e) Controles adicionales para examinar mensajes electrónicos que no pueden ser autenticados.

f) Aspectos operativos para garantizar el correcto funcionamiento delservicio (ej.: tamaño máximo de información transmitida y recibida,cantidad de destinatarios, tamaño máximo del buzón del usuario, etc.).

g) Definición de los alcances del uso del correo electrónico por parte del personal del Organismo.

h) Potestad del Organismo para auditar los mensajes recibidos oemitidos por los servidores del Organismo, lo cual se incluirá en el“Compromiso de Confidencialidad”.

Estos dos últimos puntos deben ser leídos a la luz de las normasvigentes que no sólo prohíben a los empleados a hacer uso indebido ocon fines particulares del patrimonio estatal sino que también imponenla obligación de usar los bienes y recursos del Estado con los finesautorizados y de manera racional, evitando su abuso, derroche odesaprovechamiento.

Entender al correo electrónico como una herramienta más de trabajoprovista al empleado a fin de ser utilizada conforme el uso al cualestá destinada, faculta al empleador a implementar sistemas decontroles destinados a velar por la protección y el buen uso de susrecursos.

Esta facultad, sin embargo, debe ejercerse salvaguardando la dignidaddel trabajador y su derecho a la intimidad. Por tal motivo, elOrganismos debe informar claramente a sus empleados:

a) cuál es el uso que el organismo espera que los empleados hagan del correo electrónico provisto por el organismo; y

b) bajo qué condiciones los mensajes pueden ser objeto de control y monitoreo.

10.9.3 Control: Seguridad de los Sistemas Electrónicos de Oficina

Se controlarán los mecanismos de distribución y difusión tales comodocumentos, computadoras, dispositivos de computación móvil,comunicaciones móviles, correo, correo de voz, comunicaciones de voz engeneral (analógica o digital), multimedia, servicios o instalacionespostales, equipos de fax, etc.

Al interconectar dichos medios, se considerarán las implicancias en loque respecta a la seguridad y a las actividades propias del Organismo,incluyendo:

a) Vulnerabilidades de la información en los sistemas de oficina, porejemplo la grabación de llamadas telefónicas o teleconferencias, laconfidencialidad de las llamadas, el almacenamiento de faxes, laapertura o distribución del correo.

b) Procedimientos y controles apropiados para administrar ladistribución de información, por ejemplo el uso de boletineselectrónicos institucionales.

c) Exclusión de categorías de información sensible del Organismo, si el sistema no brinda un adecuado nivel de protección.

d) Limitación del acceso a la información de las actividades quedesarrollan determinadas personas, por ejemplo aquellas que trabaja enproyectos sensibles.

e) La aptitud del sistema para dar soporte a las aplicaciones del Organismo, como la comunicación de órdenes o autorizaciones.

f) Categorías de personal y contratistas o terceros a los que sepermite el uso del sistema y las ubicaciones desde las cuales se puedeacceder al mismo.

g) Restricción de acceso a determinadas instalaciones a específicas categorías de usuarios.

h) Identificación de la posición o categoría de los usuarios, porejemplo empleados del Organismo o contratistas, en directoriosaccesibles por otros usuarios.

i) Retención y resguardo de la información almacenada en el sistema.

j) Requerimientos y disposiciones relativos a sistemas de soporte de reposición de información previa.

10.9.4 Control: Sistemas de Acceso Público

Se tomarán recaudos para la protección de la integridad de lainformación publicada electrónicamente, a fin de prevenir lamodificación no autorizada que podría dañar la reputación del Organismoque emite la publicación. Es posible que la información de un sistemade acceso público, por ejemplo la información en un servidor Webaccesible por Internet, deba cumplir con ciertas normas de lajurisdicción en la cual se localiza el sistema o en la cual tiene lugarla transacción electrónica.

Se implementará un proceso de autorización formal antes de que lainformación se ponga a disposición del público, estableciéndose entodos los casos los encargados de dicha aprobación.

Todos los sistemas de acceso público deben prever que:

a) La información se obtenga, procese y proporcione de acuerdo a lanormativa vigente, en especial la Ley de Protección de Datos Personales.

b) La información que se ingresa al sistema de publicación, o aquellaque procesa el mismo, sea procesada en forma completa, exacta yoportuna.

c) La información sensible o confidencial sea protegida durante el proceso de recolección y su almacenamiento.

d) El acceso al sistema de publicación no permita el acceso accidental a las redes a las cuales se conecta el mismo.

e) El responsable de la publicación de información en sistemas de acceso público sea claramente identificado.

f) La información se publique teniendo en cuenta las normas establecidas al respecto.

g) Se garantice la validez y vigencia de la información publicada.

10.9.5 Control: Otras Formas de Intercambio de Información

Se implementarán normas, procedimientos y controles para proteger elintercambio de información a través de medios de comunicaciones de voz,fax y vídeo, contemplando las siguientes acciones:

a) Concientizar al personal sobre la toma de debidas precauciones, porejemplo no revelar información sensible como para evitar ser escuchadoo interceptado, al hacer una llamada telefónica, por:

1. Personas cercanas, en especial al utilizar teléfonos móviles o smartphones.

2. Terceros que tengan acceso a la comunicación mediante laIntervención de la línea telefónica, y otras formas de escuchasubrepticias, a través del acceso físico al aparato o a la líneatelefónica, o mediante equipos de barrido de frecuencias al utilizarteléfonos móviles análogos.

3. Terceros en el lado receptor.

b) Recordar al personal que no sostengan conversaciones confidencialesen lugares públicos u oficinas abiertas y lugares de reunión conparedes delgadas.

c) No dejar mensajes en contestadores automáticos puesto que éstospueden ser escuchados por personas no autorizadas, almacenados ensistemas públicos o almacenados incorrectamente como resultado de unerror de discado.

d) Recordar al personal los problemas ocasionados por el uso de máquinas de fax, en particular:

1. El acceso no autorizado a sistemas incorporados de almacenamiento de mensajes con el objeto de recuperarlos.

2. La programación deliberada o accidental de equipos para enviar mensajes a determinados números.

El envío de documentos y mensajes a un número equivocado por errores de discado o por utilizar el número almacenado equivocado.

10.10 Categoría: Seguimiento y control

Objetivo

Detectar las actividades de procesamiento de información no autorizadas.

Se deben monitorear los sistemas y se deben reportar los eventos deseguridad de la información. Se deben utilizar bitácoras de operador yse deben registrar las fallas para asegurar que se identifiquen losproblemas en los sistemas de información. Una organización debe cumplircon todos los requerimientos legales relevantes aplicables a susactividades de monitoreo y registro.

Se debe utilizar el monitoreo del sistema para chequear la efectividadde los controles adoptados y para verificar la conformidad con unmodelo de política de acceso.

10.10.1 Control: Registro de auditoría

Se producirán y mantendrán registros de auditoría en los cuales seregistren las actividades, excepciones, y eventos de seguridad de lainformación de los usuarios, por un período acordado para permitir ladetección e investigación de incidentes.

Se debe evaluar la registración en los mencionados registros de la siguiente información:

a) identificación de los usuarios;

b) fechas, tiempos, y detalles de los eventos principales, por ejemplo, inicio y cierre de sesión;

c) identidad del equipo o la ubicación si es posible;

d) registros de intentos de acceso al sistema exitosos y fallidos;

e) registros de intentos de acceso a los datos u otro recurso, exitosos y rechazados;

f) cambios a la configuración del sistema;

g) uso de privilegios;

h) uso de utilitarios y aplicaciones de sistemas;

i) archivos accedidos y el tipo de acceso;

j) direcciones de redes y protocolos;

k) alarmas que son ejecutadas por el sistema de control de accesos;

l) activación y desactivación de los sistemas de protección, tales como sistemas antivirus y sistemas de detección de intrusos.

10.10.2 Control: Protección de los registros

Se implementarán controles para la protección de los registros deauditoría contra cambios no autorizados y problemas operacionales,incluyendo:

a) alteraciones de los tipos de mensajes que son grabados;

b) edición o eliminación de archivos de registro;

Exceso de la capacidad de almacenamiento de los archivos de registro,resultando en la falla para registrar los eventos o sobrescribiendoeventos registrados en el pasado.

10.10.3 Control: Registro de actividad de administrador y operador

Se registrarán y revisarán periódicamente en particular las actividadesde los administradores y operadores de sistema incluyendo:

a) cuenta de administración u operación involucrada;

b) momento en el cual ocurre un evento (éxito o falla);

c) información acerca del evento (por ejemplo, los archivosmanipulados) o las fallas (por ejemplo, los errores ocurridos y lasacciones correctivas tomadas);

d) procesos involucrados.

10.10.4 Control: Sincronización de Relojes

A fin de garantizar la exactitud de los registros de auditoría, almenos los equipos que realicen estos registros, deben tener unacorrecta configuración de sus relojes.

Para ello, se dispondrá de un procedimiento de ajuste de relojes, elcual indicará también la verificación de los relojes contra una fuenteexterna del dato y la modalidad de corrección ante cualquier variaciónsignificativa.

11. Cláusula: Gestión de Accesos

Generalidades

El acceso por medio de un sistema de restricciones y excepciones a lainformación es la base de todo sistema de seguridad informática. Paraimpedir el acceso no autorizado a los sistemas de información se debenimplementar procedimientos formales para controlar la asignación dederechos de acceso a los sistemas de información, bases de datos yservicios de información, y éstos deben estar claramente documentados,comunicados y controlados en cuanto a su cumplimiento.

Los procedimientos comprenden todas las etapas del ciclo de vida de losaccesos de los usuarios de todos los niveles, desde el registro inicialde nuevos usuarios hasta la privación final de derechos de los usuariosque ya no requieren el acceso.

La cooperación de los usuarios es esencial para la eficacia de laseguridad, por lo tanto es necesario concientizar a los mismos acercade sus responsabilidades por el mantenimiento de controles de accesoeficaces, en particular aquellos relacionados con el uso de contraseñasy la seguridad del equipamiento.

Objetivo

Impedir el acceso no autorizado a los sistemas de información, bases dedatos y servicios de información. Implementar seguridad en los accesosde usuarios por medio de técnicas de autenticación y autorización.

Controlar la seguridad en la conexión entre la red del Organismo yotras redes públicas o privadas. Registrar y revisar eventos yactividades críticas llevadas a cabo por los usuarios en los sistemas.

Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.

Alcance

La Política definida en este documento se aplica a todas las formas deacceso de aquellos a quienes se les haya otorgado permisos sobre lossistemas de información, bases de datos o servicios de información delOrganismo, cualquiera sea la función que desempeñe.

Asimismo se aplica al personal técnico que define, instala, administray mantiene los permisos de acceso y las conexiones de red, y a los queadministran su seguridad.

Responsabilidad

El Responsable de Seguridad de la Información estará a cargo de:

Definir normas y procedimientos para: la gestión de accesos a todos lossistemas, bases de datos y servicios de información multiusuario; elmonitoreo del uso de las instalaciones de procesamiento de lainformación; la solicitud y aprobación de accesos a Internet; el uso decomputación móvil, trabajo remoto y reportes de incidentesrelacionados; la respuesta a la activación de alarmas silenciosas; larevisión de registros de actividades (logs); y el ajuste de relojes deacuerdo a un estándar preestablecido.

- Definir pautas de utilización de Internet para todos los usuarios.

- Participar en la definición de normas y procedimientos de seguridad aimplementar en el ambiente informático (ej.: sistemas operativos,servicios de red, enrutadores o gateways, etc.) y validarlosperiódicamente.

- Controlar periódicamente la asignación de privilegios a usuarios.

- Analizar y sugerir medidas a ser implementadas para efectivizar el control de acceso a Internet de los usuarios.

- Verificar el cumplimiento de las pautas establecidas, relacionadascon control de accesos, registración de usuarios, administración deprivilegios, administración de contraseñas, utilización de servicios dered, autenticación de usuarios y nodos, uso controlado de utilitariosdel sistema, alarmas silenciosas, desconexión de terminales por tiempomuerto, limitación del horario de conexión, registro de eventos,protección de puertos (físicos y lógicos), subdivisión de redes,control de conexiones a la red, control de ruteo de red, etc.

- Concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de trabajo.

- Verificar periódicamente el cumplimiento de los procedimientos de revisión de registros de auditoría.

- Asistir a los usuarios que corresponda en el análisis de riesgos alos que se expone la información y los componentes del ambienteinformático que sirven de soporte a la misma.

Los Propietarios de la Información estarán encargados de:

- Evaluar los riesgos a los cuales se expone la información con el objeto de:

• determinar los controles de accesos, autenticación y utilización a ser implementados en cada caso.

• definir los eventos y actividades de usuarios a ser registrados enlos sistemas de procesamiento de su incumbencia y la periodicidad derevisión de los mismos.

- Aprobar y solicitar la asignación de privilegios a usuarios.

- Llevar a cabo un proceso formal y periódico de revisión de los derechos de acceso a la información.

- Definir un cronograma de depuración de registros de auditoría en línea.

Los Propietarios de la Información junto con la Unidad de AuditoríaInterna o en su defecto quien sea propuesto por el Comité de Seguridadde la Información, definirán un cronograma de depuración de logs yregistros de auditoría en línea en función a normas vigentes y a suspropias necesidades.

Los Responsable de las Unidades Organizativas, junto con el Responsablede Seguridad de la Información, autorizarán el trabajo remoto delpersonal a su cargo, en los casos en que se verifique que son adoptadastodas las medidas que correspondan en materia de seguridad de lainformación, de modo de cumplir con las normas vigentes. Asimismoautorizarán el acceso de los usuarios a su cargo a los servicios yrecursos de red y a Internet.

El Responsable del Area Informática cumplirá las siguientes funciones:

- Implementar procedimientos para la activación y desactivación de derechos de acceso a las redes.

- Analizar e implementar los métodos de autenticación y control de acceso definidos en los sistemas, bases de datos y servicios.

- Evaluar el costo y el impacto de la implementación de “enrutadores”,“gateways” y/o firewalls adecuados para subdividir la red y recomendarel esquema apropiado.

- Implementar el control de puertos, de conexión a la red y de ruteo de red.

- Implementar el registro de eventos o actividades (logs) de usuariosde acuerdo a lo definido por los propietarios de la información, asícomo la depuración de los mismos.

- Definir e implementar los registros de eventos y actividadescorrespondientes a sistemas operativos y otras plataformas deprocesamiento.

- Evaluar los riesgos sobre la utilización de las instalaciones deprocesamiento de información, con el objeto de definir medios demonitoreo y tecnologías de identificación y autenticación de usuarios(Ej.: biometría, verificación de firma, uso de autenticadores dehardware).

- Definir e implementar la configuración que debe efectuarse para cadaservicio de red, de manera de garantizar la seguridad en su operatoria.

- Analizar las medidas a ser implementadas para efectivizar el control de acceso a Internet de los usuarios.

- Otorgar acceso a los servicios y recursos de red, únicamente de acuerdo al pedido formal correspondiente.

- Efectuar un control de los registros de auditoría generados por los sistemas operativos y de comunicaciones.

La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información, tendrá acceso a los registrosde eventos a fin de colaborar en el control y efectuar recomendacionessobre modificaciones a los aspectos de seguridad.

El Comité de Seguridad de la Información aprobará el análisis deriesgos de la información efectuado. Asimismo, aprobará el períododefinido para el mantenimiento de los registros de auditoría generados.

Política

11.1 Categoría: Requerimientos para el Control de Acceso

Objetivo

Controlar el acceso a la información. Se debe controlar el acceso a lainformación, medios de procesamiento de la información y procesos denegocio sobre la base de los requerimientos de negocio y de seguridad.

Las reglas de control del acceso deben tomar en cuenta las políticas para la divulgación y autorización de la información.

11.1.1 Control: Política de Control de Accesos

En la aplicación de controles de acceso, se contemplarán los siguientes aspectos:

a) Identificar los requerimientos de seguridad de cada una de las aplicaciones.

b) Identificar toda la información relacionada con las aplicaciones.

c) Establecer criterios coherentes entre esta Política de Control deAcceso y la Política de Clasificación de Información de los diferentessistemas y redes (Ver capítulo 7 Gestión de Activos).

d) Identificar la legislación aplicable y las obligacionescontractuales con respecto a la protección del acceso a datos yservicios.

e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de trabajo.

f) Administrar los derechos de acceso en un ambiente distribuido y dered, que reconozcan todos los tipos de conexiones y dispositivosdisponibles.

11.1.2 Control: Reglas de Control de Acceso

Las reglas de control de acceso especificadas, deben:

a) Indicar expresamente si las reglas son obligatorias u optativas.

b) Establecer reglas sobre la premisa “Todo debe estar prohibido amenos que se permita expresamente” y no sobre la premisa inversa de“Todo está permitido a menos que se prohíba expresamente”.

g) Controlar los cambios en los rótulos de información que soniniciados automáticamente por herramientas de procesamiento deinformación, de aquellos que son iniciados a discreción del usuario(Ver capítulo 7 Gestión de Activos).

c) Controlar los cambios en los permisos de usuario que son iniciadosautomáticamente por el sistema de información y aquellos que soniniciados por el administrador.

d) Controlar las reglas que requieren la aprobación del administrador odel Propietario de la Información de que se trate, antes de entrar envigencia, y aquellas que no requieren aprobación.

11.2 Categoría: Administración de Accesos de Usuarios

Objetivo

Con el objetivo de impedir el acceso no autorizado a la información seimplementarán procedimientos formales para controlar la asignación dederechos de acceso a los sistemas, datos y servicios de información.

Los procedimientos debieran abarcar todas las etapas en el ciclo devida del acceso del usuario, desde el registro inicial de usuariosnuevos hasta la baja final de los usuarios que ya no requieren acceso alos sistemas y servicios de información.

11.2.1 Control: Registración de Usuarios

El Responsable de Seguridad de la Información definirá un procedimientoformal de registro de usuarios para otorgar y revocar el acceso a todoslos sistemas, bases de datos y servicios de información multiusuario,el cual debe comprender:

a) Utilizar identificadores de usuario únicos, de manera que se puedaidentificar a los usuarios por sus acciones evitando la existencia demúltiples perfiles de acceso para un mismo empleado. El uso deidentificadores grupales sólo debe ser permitido cuando seanconvenientes para el trabajo a desarrollar debido a razones operativas.

b) Verificar que el usuario tiene autorización del Propietario de laInformación para el uso del sistema, base de datos o servicio deinformación.

c) Verificar que el nivel de acceso otorgado es adecuado para elpropósito de la función del usuario y es coherente con la Política deSeguridad del Organismo, por ejemplo que no compromete la segregaciónde funciones.

d) Entregar a los usuarios un detalle escrito de sus derechos de acceso.

e) Requerir que los usuarios firmen declaraciones señalando que comprenden y aceptan las condiciones para el acceso.

f) Garantizar que los proveedores de servicios no otorguen acceso hastaque se hayan completado los procedimientos de autorización.

g) Mantener un registro formal de todas las personas registradas para utilizar el servicio.

h) Cancelar inmediatamente los derechos de acceso de los usuarios quecambiaron sus tareas, o de aquellos a los que se les revocó laautorización, se desvincularon del Organismo o sufrieron lapérdida/robo de sus credenciales de acceso.

i) Efectuar revisiones periódicas con el objeto de:

- cancelar identificadores y cuentas de usuario redundantes

- inhabilitar cuentas inactivas por más de ....... (indicar período no mayor a 60 días)

- eliminar cuentas inactivas por más de....... (indicar período no mayor a 120 días)

En el caso de existir excepciones, deben ser debidamente justificadas y aprobadas.

j) Garantizar que los identificadores de usuario redundantes no se asignen a otros usuarios.

k) Incluir cláusulas en los contratos de personal y de servicios queespecifiquen sanciones si el personal o los agentes que prestan unservicio intentan accesos no autorizados.

11.2.2 Control: Gestión de Privilegios

Se limitará y controlará la asignación y uso de privilegios, debido aque el uso inadecuado de los privilegios del sistema resultafrecuentemente en el factor más importante que contribuye a la falla delos sistemas a los que se ha accedido ilegalmente.

Los sistemas multiusuario que requieren protección contra accesos noautorizados, deben prever una asignación de privilegios controladamediante un proceso de autorización formal. Se deben tener en cuentalos siguientes pasos:

a) Identificar los privilegios asociados a cada producto del sistema,por ejemplo sistema operativo, sistema de administración de bases dedatos y aplicaciones, y las categorías de personal a las cuales debenasignarse los productos.

b) Asignar los privilegios a individuos sobre la base de la necesidadde uso y evento por evento, por ejemplo el requerimiento mínimo para surol funcional.

c) Mantener un proceso de autorización y un registro de todos losprivilegios asignados. Los privilegios no deben ser otorgados hasta quese haya completado el proceso formal de autorización.

d) Establecer un período de vigencia para el mantenimiento de losprivilegios (en base a la utilización que se le dará a los mismos)luego del cual los mismos serán revocados.

e) Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios.

Los Propietarios de Información serán los encargados de aprobar laasignación de privilegios a usuarios y solicitar su implementación, locual será supervisado por el Responsable de Seguridad de la Información.

11.2.3 Control: Gestión de Contraseñas de Usuario

La asignación de contraseñas se controlará a través de un proceso deadministración formal, mediante el cual deben respetarse los siguientespasos:

a) Requerir que los usuarios firmen una declaración por la cual secomprometen a mantener sus contraseñas personales en secreto y lascontraseñas de los grupos de trabajo exclusivamente entre los miembrosdel grupo. Esta declaración bien puede estar incluida en el Compromisode Confidencialidad.

b) Garantizar que los usuarios cambien las contraseñas iniciales queles han sido asignadas la primera vez que ingresan al sistema. Lascontraseñas provisorias, que se asignan cuando los usuarios olvidan sucontraseña, sólo debe suministrarse una vez acreditada la identidad delusuario.

c) Generar contraseñas provisorias seguras para otorgar a los usuarios.Se debe evitar la participación de terceros o el uso de mensajes decorreo electrónico sin protección (texto claro) en el mecanismo deentrega de la contraseña y los usuarios deben dar acuse de reciboformal cuando la reciban.

d) Almacenar las contraseñas sólo en sistemas informáticos protegidos.

e) Utilizar otras tecnologías de autenticación y autorización deusuarios, como ser la biométrica (por ejemplo verificación de huellasdactilares), verificación de firma, uso de autenticadores de hardware(como las tarjetas de circuito integrado), etc. El uso de esasherramientas se dispondrá cuando la evaluación de riesgos realizada porel Responsable de Seguridad de la Información conjuntamente con elResponsable del Area de Informática y el Propietario de la Informaciónlo determine necesario (o lo justifique).

f) Configurar los sistemas de tal manera que:

- las contraseñas sean del tipo “password fuerte” y tengan ... (especificar cantidad no menor a 8 caracteres) caracteres,

- suspendan o bloqueen permanentemente al usuario luego de ...(especificar cantidad no mayor a 3) intentos de entrar con unacontraseña incorrecta (debe pedir la rehabilitación ante quiencorresponda),

- solicitar el cambio de la contraseña cada ... (especificar lapso no mayor a 45 días),

- impedir que las últimas .... (especificar cantidad no menor a 12) contraseñas sean reutilizadas,

- establecer un tiempo de vida mínimo de ... (especificar cantidad no mayor a 3) días para las contraseñas.

11.2.4 Control: Administración de Contraseñas Críticas

En los diferentes ambientes de procesamiento existen cuentas deusuarios con las cuales es posible efectuar actividades críticas comoser instalación de plataformas o sistemas, habilitación de servicios,actualización de software, configuración de componentes informáticos,etc. Dichas cuentas no serán de uso habitual (diario), sino que sóloserán utilizadas ante una necesidad específica de realizar alguna tareaque lo requiera y se encontrarán protegidas por contraseñas con unmayor nivel de complejidad que el habitual. El Responsable de Seguridadde la Información definirá procedimientos para la administración dedichas contraseñas críticas que contemplen lo siguiente:

a) Se definirán las causas que justificarán el uso de contraseñas críticas así como el nivel de autorización requerido.

b) Las contraseñas seleccionadas serán seguras, y su definición seráefectuada como mínimo por dos personas, de manera que ninguna de ellasconozca la contraseña completa.

c) Las contraseñas y los nombres de las cuentas críticas a las que pertenecen serán resguardadas debidamente.

d) La utilización de las contraseñas críticas será registrada,documentando las causas que determinaron su uso, así como elresponsable de las actividades que se efectúen con la misma.

e) Cada contraseña crítica se renovará una vez utilizada y se definiráun período luego del cual la misma será renovada en caso de que no sela haya utilizado.

f) Se registrarán todas las actividades que se efectúen con las cuentascríticas para luego ser revisadas. Dicho registro será revisadoposteriormente por el Responsable de Seguridad de la Información.

11.2.5 Revisión de Derechos de Acceso de Usuarios

A fin de mantener un control eficaz del acceso a los datos y serviciosde información, el Propietario de la Información de que se tratellevará a cabo un proceso formal, a intervalos regulares de .....(indicar periodicidad no mayor a 6 meses), a fin de revisar losderechos de acceso de los usuarios. Se deben contemplar los siguientescontroles:

a) Revisar los derechos de acceso de los usuarios a intervalos de ..... (especificar tiempo no mayor a 6 meses).

b) Revisar las autorizaciones de privilegios especiales de derechos deacceso a intervalos de ..... (especificar tiempo no mayor a 3 meses).

c) Revisar las asignaciones de privilegios a intervalos de .....(especificar tiempo no mayor a 6 meses), a fin de garantizar que no seobtengan privilegios no autorizados.

11.3 Categoría: Responsabilidades del Usuario

Objetivo

Evitar el acceso de usuarios no-autorizados, evitar poner en peligro lainformación y evitar el robo de información y los medios deprocesamiento de la información.

La cooperación de los usuarios autorizados es esencial para una seguridad efectiva.

Los usuarios deben estar al tanto de sus responsabilidades paramantener controles de acceso efectivos, particularmente con relación aluso de claves secretas y la seguridad del equipo del usuario.

Se debe implementar una política de escritorio y pantalla limpios parareducir el riesgo de acceso no autorizado o daño a los papeles, mediosy medios de procesamiento de la información.

11.3.1 Control: Uso de Contraseñas

Los usuarios deben seguir buenas prácticas de seguridad en la selección y uso de contraseñas.

Las contraseñas constituyen un medio de validación y autenticación dela identidad de un usuario, y consecuentemente un medio para establecerderechos de acceso a las instalaciones o servicios de procesamiento deinformación.

Los usuarios deben cumplir las siguientes directivas:

a) Mantener las contraseñas en secreto.

b) Pedir el cambio de la contraseña siempre que exista un posible indicio de compromiso del sistema o de las contraseñas.

c) Seleccionar contraseñas de calidad, de acuerdo a las prescripcionesinformadas por el Responsable del Activo de Información de que setrate, que:

1. Sean fáciles de recordar.

2. No estén basadas en algún dato que otra persona pueda adivinar uobtener fácilmente mediante información relacionada con la persona, porejemplo nombres, números de teléfono, fecha de nacimiento, etc.

3. No tengan caracteres idénticos consecutivos o grupos totalmente numéricos o totalmente alfabéticos.

d) Cambiar las contraseñas cada vez que el sistema se lo solicite y evitar reutilizar o reciclar viejas contraseñas.

e) Cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”).

f) Evitar incluir contraseñas en los procesos automatizados de iniciode sesión, por ejemplo, aquellas almacenadas en una tecla de función omacro.

g) Notificar de acuerdo a lo establecido en capítulo 13 (Gestión deIncidentes de Seguridad), cualquier incidente de seguridad relacionadocon sus contraseñas: pérdida, robo o indicio de pérdida deconfidencialidad.

Si los usuarios necesitan acceder a múltiples servicios o plataformas yse requiere que mantengan múltiples contraseñas, se notificará a losmismos que pueden utilizar una única contraseña para todos losservicios que brinden un nivel adecuado de protección de lascontraseñas almacenadas y en tránsito.

11.3.2 Control: Equipos Desatendidos en Areas de Usuarios

Los usuarios deben garantizar que los equipos desatendidos sean protegidos adecuadamente.

Los equipos instalados en áreas de usuarios, por ejemplo estaciones detrabajo o servidores de archivos, requieren una protección específicacontra accesos no autorizados cuando se encuentran desatendidos.

El Responsable de Seguridad de la Información debe coordinar con elArea de Recursos Humanos las tareas de concientización a todos losusuarios y contratistas, acerca de los requerimientos y procedimientosde seguridad, para la protección de equipos desatendidos, así como desus funciones en relación a la implementación de dicha protección.

Los usuarios cumplirán con las siguientes pautas:

a) Concluir las sesiones activas al finalizar las tareas, a menos quepuedan protegerse mediante un mecanismo de bloqueo adecuado, porejemplo, un protector de pantalla protegido por contraseña.

b) Proteger las PC’s o terminales contra usos no autorizados medianteun bloqueo de seguridad o control equivalente, por ejemplo, contraseñade acceso cuando no se utilizan.

11.4 Categoría: Control de Acceso a la Red

Objetivo

Evitar el acceso no autorizado a los servicios de la red.

Se debe controlar el acceso a los servicios de redes internas y externas.

El acceso del usuario a las redes y servicios de las redes no debencomprometer la seguridad de los servicios de la red asegurando:

a) que existan las interfaces apropiadas entre la red del Organismo y las redes de otras organizaciones, y redes públicas;

b) se apliquen los mecanismos de autenticación apropiados para los usuarios y el equipo;

c) el control del acceso del usuario a la información sea obligatorio.

11.4.1 Control: Política de Utilización de los Servicios de Red

Las conexiones no seguras a los servicios de red pueden afectar a todoel Organismo, por lo tanto, se controlará el acceso a los servicios dered tanto internos como externos. Esto es necesario para garantizar quelos usuarios que tengan acceso a las redes y a sus servicios, nocomprometan la seguridad de los mismos.

El Responsable del Area Informática tendrá a cargo el otorgamiento delacceso a los servicios y recursos de red, únicamente de acuerdo alpedido formal del titular de una Unidad Organizativa que lo solicitepara personal de su incumbencia.

Este control es particularmente importante para las conexiones de red aaplicaciones que procesen información clasificada o aplicacionescríticas, o a usuarios que utilicen el acceso desde sitios de altoriesgo, por ejemplo áreas públicas o externas que están fuera de laadministración y del control de seguridad del Organismo.

Para ello, se desarrollarán procedimientos para la activación ydesactivación de derechos de acceso a las redes, los cualescomprenderán:

a) Identificar las redes y servicios de red a los cuales se permite el acceso.

b) Realizar normas y procedimientos de autorización para determinar laspersonas y las redes y servicios de red a los cuales se les otorgará elacceso.

c) Establecer controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red.

Esta Política será coherente con la Política de Control de Accesos del Organismo .

11.4.2 Control: Camino Forzado

Las redes están diseñadas para permitir el máximo alcance dedistribución de recursos y flexibilidad en la elección de la ruta autilizar. Estas características también pueden ofrecer oportunidadespara el acceso no autorizado a las aplicaciones del Organismo, o parael uso no autorizado de servicios de información. Por esto, el caminode las comunicaciones será controlado.

Se limitarán las opciones de elección de la ruta entre la terminal deusuario y los servicios a los cuales el mismo se encuentra autorizado aacceder, mediante la implementación de controles en diferentes puntosde la misma.

A continuación se enumeran algunos ejemplos a considerar en caso de implementar estos controles a los sistemas existentes:

a) Asignar números telefónicos o líneas, en forma dedicada.

b) Establecer la conexión automática de puertos a gateways de seguridad o a sistemas de aplicación específicos.

c) Limitar las opciones de menú y submenú de cada uno de los usuarios.

d) Evitar la navegación ilimitada por la red.

e) Imponer el uso de sistemas de aplicación y/o gateways de seguridad específicos para usuarios externos de la red.

f) Controlar activamente las comunicaciones con origen y destinoautorizados a través de un gateway, por ejemplo utilizando firewalls ygenerando alertas ante eventos no previstos.

g) Restringir el acceso a redes, estableciendo dominios lógicosseparados, por ejemplo, redes privadas virtuales para grupos deusuarios dentro o fuera del Organismo.

Los requerimientos relativos a caminos forzados se basarán en laPolítica de Control de Accesos del Organismo. El Responsable deSeguridad de la Información, conjuntamente con el Propietario de laInformación de que se trate, realizará una evaluación de riesgos a finde determinar los mecanismos de control que corresponda en cada caso.

11.4.3 Control: Autenticación de Usuarios para Conexiones Externas

Las conexiones externas son de gran potencial para accesos noautorizados a la información del Organismo. Por consiguiente, el accesode usuarios remotos estará sujeto al cumplimiento de procedimientos deautenticación. Existen diferentes métodos de autenticación, algunos delos cuales brindan un mayor nivel de protección que otros. ElResponsable de Seguridad de la Información, conjuntamente con elPropietario de la Información de que se trate, realizará una evaluaciónde riesgos a fin de determinar el mecanismo de autenticación quecorresponda en cada caso.

La autenticación de usuarios remotos puede llevarse a cabo utilizando:

a) Un método de autenticación físico (por ejemplo tokens de hardware),para lo que debe implementarse un procedimiento que incluya:

• Asignación de la herramienta de autenticación.

• Registro de los poseedores de autenticadores.

• Mecanismo de rescate al momento de la desvinculación del personal al que se le otorgó.

• Método de revocación de acceso del autenticador, en caso de compromiso de seguridad.

b) Un protocolo de autenticación (por ejemplo desafío/respuesta), para lo que debe implementarse un procedimiento que incluya:

• Establecimiento de las reglas con el usuario.

• Establecimiento de un ciclo de vida de las reglas para su renovación.

c) También pueden utilizarse líneas dedicadas privadas o unaherramienta de verificación de la dirección del usuario de red, a finde constatar el origen de la conexión.

Los procedimientos y controles de rellamada, o dial-back, puedenbrindar protección contra conexiones no autorizadas a las instalacionesde procesamiento de información del Organismo. Al aplicar este tipo decontrol, el Organismo no debe utilizar servicios de red que incluyandesvío de llamadas. Si por alguna causa es preciso mantener el desvíode llamadas, no será posible aplicar el control de rellamada. Asimismo,es importante que el proceso de re-llamada garantice que se produzca asu término, una desconexión real del lado del Organismo.

En caso de utilizarse sistemas de Voz sobre IP, deben ajustarse loscontroles a fin de que no sean utilizados para efectuar comunicacionesno autorizadas (ej: bloqueo de puertos).

11.4.4 Control: Autenticación de Nodos

Una herramienta de conexión automática a una computadora remota podríabrindar un medio para obtener acceso no autorizado a una aplicación delOrganismo. Por consiguiente, las conexiones a sistemas informáticosremotos serán autenticadas. Esto es particularmente importante si laconexión utiliza una red que está fuera de control de la gestión deseguridad del Organismo. En el punto anterior se mencionan algunosejemplos de autenticación y de cómo puede lograrse. La autenticación denodos puede servir como un medio alternativo de autenticación de gruposde usuarios remotos, cuando éstos están conectados a un servicioinformático seguro y compartido.

11.4.5 Control: Protección de los Puertos (Ports) de Diagnóstico Remoto

Muchas computadoras y sistemas de comunicación son instalados yadministrados con una herramienta de diagnóstico remoto. Si no estánprotegidos, estos puertos de diagnóstico proporcionan un medio deacceso no autorizado. Por consiguiente, serán protegidos por unmecanismo de seguridad apropiado, con las mismas características delpunto “11.4.3 Control: Autenticación de Usuarios para ConexionesExternas”. También para este caso debe tenerse en cuenta el punto“11.4.2 Control: Camino Forzado”.

11.4.6 Control: Subdivisión de Redes

Para controlar la seguridad en redes extensas, se podrán dividir endominios lógicos separados. Para esto se definirán y documentarán losperímetros de seguridad que sean convenientes. Estos perímetros seimplementarán mediante la instalación de “gateways” con funcionalidadesde “firewall” o redes privadas virtuales, para filtrar el tráfico entrelos dominios y para bloquear el acceso no autorizado de acuerdo a laPolítica de Control de Accesos.

La subdivisión en dominios de la red tomará en cuenta criterios comolos requerimientos de seguridad comunes de grupos de integrantes de lared, la mayor exposición de un grupo a peligros externos, separaciónfísica, u otros criterios de aglutinamiento o segregación preexistentes.

Basándose en la Política de Control de Accesos y los requerimientos deacceso (11.1 Categoría: Requerimientos para el Control de Acceso), elResponsable del Area Informática evaluará el costo relativo y elimpacto en el desempeño que ocasione la implementación de enrutadores ogateways adecuados para subdividir la red. Luego decidirá, junto con elResponsable de Seguridad de la Información, el esquema más apropiado aimplementar.

11.4.7 Control: Acceso a Internet

El acceso a Internet será utilizado con propósitos autorizados o con el destino por el cual fue provisto.

El Responsable de Seguridad de la Información definirá procedimientospara solicitar y aprobar accesos a Internet. Los accesos seránautorizados formalmente por el Responsable de la Unidad Organizativa acargo del personal que lo solicite. Asimismo, se definirán las pautasde utilización de Internet para todos los usuarios.

Se evaluará la conveniencia de generar un registro de los accesos delos usuarios a Internet, con el objeto de realizar revisiones de losaccesos efectuados o analizar casos particulares. Dicho control serácomunicado a los usuarios de acuerdo a lo establecido en el punto 6-1-5Control Acuerdos de confidencialidad. Para ello, el Responsable deSeguridad de la Información junto con el Responsable del Area deInformática analizarán las medidas a ser implementadas para efectivizardicho control, como ser la instalación de “firewalls”, “proxies”, etc.

11.4.8 Control: Conexión a la Red

Sobre la base de lo definido en el punto “11.1 Categoría:Requerimientos”, se implementarán controles para limitar la capacidadde conexión de los usuarios. Dichos controles se podrán implementar enlos “gateways” que separen los diferentes dominios de la red .

Algunos ejemplos de los entornos a las que deben implementarse restricciones son:

a) Correo electrónico.

b) Transferencia de archivos.

c) Acceso interactivo.

d) Acceso a la red fuera del horario laboral.

11.4.9 Control: Ruteo de Red

En las redes compartidas, especialmente aquellas que se extienden fuerade los límites del Organismo, se incorporarán controles de ruteo, paraasegurar que las conexiones informáticas y los flujos de información noviolen la Política de Control de Accesos. Estos controles contemplaránmínimamente la verificación positiva de direcciones de origen ydestino. Adicionalmente, para este objetivo pueden utilizarse diversosmétodos incluyendo entre otros autenticación de protocolos de ruteo,ruteo estático, traducción de direcciones y listas de control de acceso.

11.4.10 Control: Seguridad de los Servicios de Red

El Responsable de Seguridad de la Información junto con el Responsabledel Area Informática definirán las pautas para garantizar la seguridadde los servicios de red del Organismo, tanto públicos como privados.

Para ello se tendrán en cuenta las siguientes directivas:

- Mantener instalados y habilitados sólo aquellos servicios que sean utilizados.

- Controlar el acceso lógico a los servicios, tanto a su uso como a su administración.

- Configurar cada servicio de manera segura, evitando las vulnerabilidades que pudieran presentar.

- Instalar periódicamente las actualizaciones de seguridad.

Dicha configuración será revisada periódicamente por el Responsable de Seguridad de la Información.

11.5 Categoría: Control de Acceso al Sistema Operativo

Objetivo

Evitar el acceso no autorizado a los sistemas operativos.

Se deben utilizar medios de seguridad para restringir el acceso a lossistemas operativos a los usuarios autorizados. Los medios deben tenerla capacidad para:

a) autenticar a los usuarios autorizados, en concordancia con una política de control de acceso definida;

b) registrar los intentos exitosos y fallidos de autenticación del sistema;

c) registrar el uso de los privilegios especiales del sistema;

d) emitir alarmas cuando se violan las políticas de seguridad del sistema;

e) proporcionar los medios de autenticación apropiados;

f) cuando sea apropiado, restringir el tiempo de conexión de los usuarios

11.5.1 Control: Identificación Automática de Terminales

El Responsable de Seguridad de la Información junto con el Responsabledel Area Informática realizarán una evaluación de riesgos a fin dedeterminar el método de protección adecuado para el acceso al SistemaOperativo.

Si del análisis realizado surgiera la necesidad de proveer un método deidentificación de terminales, se redactará un procedimiento que indique:

a) El método de identificación automática de terminales utilizado.

b) El detalle de transacciones permitidas por terminal o dispositivo.

11.5.2 Control: Procedimientos de Conexión de Terminales

El acceso a los servicios de información sólo será posible a través deun proceso de conexión seguro. El procedimiento de conexión en unsistema informático será diseñado para minimizar la oportunidad deacceso no autorizado.

Este procedimiento, por lo tanto, debe divulgar la mínima informaciónposible acerca del sistema, a fin de evitar proveer de asistenciainnecesaria a un usuario no autorizado.

El procedimiento de identificación debe:

a) Mantener en secreto los identificadores de sistemas o aplicacioneshasta tanto se halla llevado a cabo exitosamente el proceso de conexión.

b) Desplegar un aviso general advirtiendo que sólo los usuarios autorizados pueden acceder a la computadora.

c) Evitar dar mensajes de ayuda que pudieran asistir a un usuario no autorizado durante el procedimiento de conexión.

d) Validar la información de la conexión sólo al completarse latotalidad de los datos de entrada. Si surge una condición de error, elsistema no debe indicar que parte de los datos es correcta o incorrecta.

e) Limitar el número de intentos de conexión no exitosos permitidos y:

• Registrar los intentos no exitosos.

• Impedir otros intentos de identificación, una vez superado el límite permitido.

• Desconectar conexiones de comunicaciones de datos.

f) Limitar el tiempo máximo permitido para el procedimiento deconexión. Si éste es excedido, el sistema debe finalizar la conexión.

g) Desplegar la siguiente información, al completarse una conexión exitosa:

• Fecha y hora de la conexión exitosa anterior.

• Detalles de los intentos de conexión no exitosos desde la última conexión exitosa.

11.5.3 Control: Identificación y Autenticación de los Usuarios

Todos los usuarios (incluido el personal de soporte técnico, como losoperadores, administradores de red, programadores de sistemas yadministradores de bases de datos) tendrán un identificador único (IDde usuario) solamente para su uso personal exclusivo, de manera que lasactividades puedan rastrearse con posterioridad hasta llegar alindividuo responsable, a fin de garantizar la trazabilidad de lastransacciones. Los identificadores de usuario no darán ningún indiciodel nivel de privilegio otorgado.

En circunstancias excepcionales, cuando existe un claro beneficio parael Organismo, podrá utilizarse un identificador compartido para ungrupo de usuarios o una tarea específica. Para casos de esta índole, sedocumentará la justificación y aprobación del Propietario de laInformación de que se trate.

Si se utilizará un método de autenticación físico (por ejemploautenticadores de hardware), debe implementarse un procedimiento queincluya:

a) Asignar la herramienta de autenticación.

b) Registrar los poseedores de autenticadores.

c) Rescatar el autenticador al momento de la desvinculación del personal al que se le otorgó.

d) Revocar el acceso del autenticador, en caso de compromiso de seguridad.

11.5.4 Control: Sistema de Administración de Contraseñas

Las contraseñas constituyen uno de los principales medios de validaciónde la autoridad de un usuario para acceder a un servicio informático.Los sistemas de administración de contraseñas deben constituir unaherramienta eficaz e interactiva que garantice contraseñas de calidad.

El sistema de administración de contraseñas debe:

f) Imponer el uso de contraseñas individuales para determinar responsabilidades.

g) Permitir que los usuarios seleccionen y cambien sus propiascontraseñas (luego de cumplido el plazo mínimo de mantenimiento de lasmismas) e incluir un procedimiento de confirmación para contemplar loserrores de ingreso.

h) Imponer una selección de contraseñas de calidad según lo señalado en el punto “11.3.1 Control: Uso de Contraseñas”.

i) Imponer cambios en las contraseñas en aquellos casos en que losusuarios mantengan sus propias contraseñas, según lo señalado en elpunto “11.3.1 Control: Uso de Contraseñas”.

j) Obligar a los usuarios a cambiar las contraseñas provisorias en suprimer procedimiento de identificación, en los casos en que ellosseleccionen sus contraseñas.

k) Mantener un registro de las últimas 13 contraseñas utilizadas por el usuario, y evitar la reutilización de las mismas.

l) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas.

m) Almacenar en forma separada los archivos de contraseñas y los datos de sistemas de aplicación.

n) Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado unidireccional.

o) Modificar todas las contraseñas predeterminadas por el vendedor, unavez instalado el software y el hardware (por ejemplo claves deimpresoras, hubs, routers, etc.).

p) Garantizar que el medio utilizado para acceder/utilizar el sistemade contraseñas, asegure que no se tenga acceso a información temporal oen tránsito de forma no protegida.

11.5.5 Control: Uso de Utilitarios de Sistema

La mayoría de las instalaciones informáticas tienen uno o más programasutilitarios que podrían tener la capacidad de pasar por alto loscontroles de sistemas y aplicaciones. Es esencial que su uso sealimitado y minuciosamente controlado. Se deben considerar lossiguientes controles:

a) Utilizar procedimientos de autenticación para utilitarios del sistema.

b) Separar entre utilitarios del sistema y software de aplicaciones.

c) Limitar el uso de utilitarios del sistema a la cantidad mínima viable de usuarios fiables y autorizados.

d) Evitar que personas ajenas al Organismo tomen conocimiento de laexistencia y modo de uso de los utilitarios instalados en lasinstalaciones informáticas.

e) Establecer autorizaciones para uso ad hoc de utilitarios de sistema.

f) Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el transcurso de un cambio autorizado.

g) Registrar todo uso de utilitarios del sistema.

h) Definir y documentar los niveles de autorización para utilitarios del sistema.

i) Remover todo el software basado en utilitarios y software de sistema innecesarios.

11.5.6 Control: Alarmas Silenciosas para la Protección de los Usuarios

Se considerará la provisión de alarmas silenciosas para los usuariosque podrían ser objetos de coerción. La decisión de suministrar unaalarma de esta índole se basará en una evaluación de riesgos querealizará el Responsable de Seguridad de la Información junto con elResponsable del Area Informática. En este caso, se definirán yasignarán funciones y procedimientos para responder a la utilización deuna alarma silenciosa.

11.5.7 Control: Desconexión de Terminales por Tiempo Muerto

El Responsable de Seguridad de la Información, junto con losPropietarios de la Información de que se trate definirán cuáles seconsideran terminales de alto riesgo, por ejemplo áreas públicas oexternas fuera del alcance de la gestión de seguridad del Organismo, oque sirven a sistemas de alto riesgo. Las mismas se apagarán después deun período definido de inactividad, tiempo muerto, para evitar elacceso de personas no autorizadas. Esta herramienta de desconexión portiempo muerto debe limpiar la pantalla de la terminal y debe cerrartanto la sesión de la aplicación como la de red. El lapso por tiempomuerto responderá a los riesgos de seguridad del área y de lainformación que maneje la terminal.

Para las estaciones de trabajo, se implementará la desconexión portiempo muerto, que limpie la pantalla y evite el acceso no autorizado,pero que no cierra las sesiones de aplicación o de red.

Por otro lado, si un agente debe abandonar su puesto de trabajomomentáneamente, activará protectores de pantalla con contraseñas, alos efectos de evitar que terceros puedan ver su trabajo o continuarcon la sesión de usuario habilitada.

11.5.8 Control: Limitación del Horario de Conexión

Las restricciones al horario de conexión deben suministrar seguridadadicional a las aplicaciones de alto riesgo. La limitación del períododurante el cual se permiten las conexiones de terminales a losservicios informáticos reduce el espectro de oportunidades para elacceso no autorizado. Se implementará un control de esta índole paraaplicaciones informáticas sensibles, especialmente aquellas terminalesinstaladas en ubicaciones de alto riesgo, por ejemplo áreas públicas oexternas que estén fuera del alcance de la gestión de seguridad delOrganismo.

Entre los controles que se deben aplicar, se enuncian:

a) Utilizar lapsos predeterminados, por ejemplo para transmisiones dearchivos en lote, o sesiones interactivas periódicas de corta duración.

b) Limitar los tiempos de conexión al horario normal de oficina, de noexistir un requerimiento operativo de horas extras o extensión horaria.

c) Documentar debidamente los agentes que no tienen restriccioneshorarias y las razones de su autorización. También cuando elPropietario de la Información autorice excepciones para una extensiónhoraria ocasional.

11.6 Categoría: Control de Acceso a las Aplicaciones

Objetivo

Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.

Se deben utilizar medios de seguridad para restringir el acceso a y dentro de los sistemas de aplicación.

El acceso lógico al software de la aplicación y la información se debelimitar a los usuarios autorizados. Los sistemas de aplicación debieran:

a) controlar el acceso del usuario a la información y las funciones delsistema de aplicación, en concordancia con una política de control deacceso definida;

b) proporcionar protección contra un acceso no autorizado de cualquierutilidad, software del sistema de operación y software malicioso quesea capaz de superar o pasar los controles del sistema o la aplicación;

c) no comprometer a otros sistemas con los cuales se comparten recursos de información.

11.6.1 Control: Restricción del Acceso a la Información

Los usuarios de sistemas de aplicación, con inclusión del personal desoporte, tendrán acceso a la información y a las funciones de lossistemas de aplicación de conformidad con la Política de Control deAcceso definida, sobre la base de los requerimientos de cadaaplicación, y conforme a la Política del Organismo para el acceso a lainformación.

Se aplicarán los siguientes controles, para brindar apoyo a los requerimientos de limitación de accesos:

a) Proveer una interfaz para controlar el acceso a las funciones de lossistemas de aplicación. El Propietario de la Información involucradaserá responsable de la adjudicación de accesos a las funciones. En elcaso de que las actividades involucradas en el otorgamiento de accesorevistan un carácter técnico elevado, las mismas serán llevadas a cabopor personal del área de sistemas, conforme a una autorización formalemitida por el Propietario de la Información.

b) Restringir el conocimiento de los usuarios acerca de la informacióno de las funciones de los sistemas de aplicación a las cuales no seanautorizados a acceder, con la adecuada edición de la documentación deusuario.

c) Controlar los derechos de acceso de los usuarios, por ejemplo, lectura, escritura, supresión y ejecución.

d) Garantizar que las salidas de los sistemas de aplicación queadministran información sensible, contengan sólo la información queresulte pertinente para el uso de la salida, y que la misma se envíesolamente a las terminales y ubicaciones autorizadas.

e) Revisar periódicamente dichas salidas a fin de garantizar la remoción de la información redundante.

f) Restringir el acceso a la información por fuera del sistemaencargado de su procesamiento, es decir, la modificación directa deldato almacenado.

11.6.2 Control: Aislamiento de los Sistemas Sensibles

Los sistemas críticos podrían requerir de un ambiente informáticodedicado (aislado). Algunos sistemas de aplicación son suficientementesensibles a pérdidas potenciales y requieren un tratamiento especial.La sensibilidad puede señalar que el sistema de aplicación debeejecutarse en una computadora dedicada, que sólo debe compartirrecursos con los sistemas de aplicación confiables, o no tenerlimitaciones. Son aplicables las siguientes consideraciones:

a) Identificar y documentar claramente la sensibilidad de un sistema deaplicación. Esta tarea será llevada a cabo por el administrador de laaplicación.

b) Identificar y acordar con el administrador de la aplicación sensiblecuando la aplicación ha de ejecutarse en un ambiente compartido, lossistemas de aplicación con los cuales ésta compartirá los recursos.

c) Coordinar con el Responsable del Area informática, qué serviciosestarán disponibles en el entorno donde se ejecutará la aplicación, deacuerdo a los requerimientos de operación y seguridad especificados porel administrador de la aplicación.

d) Considerar la seguridad en la administración de las copias de respaldo de la información que procesan las aplicaciones.

e) Considerar las mismas precauciones de seguridad y privacidad, en laelaboración del plan de continuidad y/o contingencia de la ejecución dela aplicación. Ejemplo: el equipamiento alternativo o las instalacionesde emergencia donde restablecer la aplicación.

11.7 Categoría: Monitoreo del Acceso y Uso de los Sistemas

Objetivo

Asegurar que se registren y se evalúen todos los eventos significativos para la seguridad de accesos.

Verificar la existencia de procedimientos para monitorear el uso de las instalaciones de procesamiento de la información.

11.7.1 Control: Registro de Eventos

Se generarán registros de auditoría que contengan excepciones y otros eventos relativos a la seguridad.

Los registros de auditoría deben incluir:

a) Identificación del usuario.

b) Fecha y hora de inicio y terminación.

c) Identidad o ubicación de la terminal, si se hubiera dispuesto identificación automática para la misma.

d) Registros de intentos exitosos y fallidos de acceso al sistema.

e) Registros de intentos exitosos y fallidos de acceso a datos y otros recursos.

En todos los casos, los registros de auditoría serán archivadospreferentemente en un equipo diferente al que los genere y conforme losrequerimientos de la Política de Retención de Registros.

Los Propietarios de la Información junto con la Unidad de AuditoríaInterna o en su defecto quien sea propuesto por el Comité de Seguridadde la Información, definirán un cronograma de depuración de registrosen línea en función a normas vigentes y a sus propias necesidades.

11.7.2 Control: Procedimientos y Areas de Riesgo

Se desarrollarán procedimientos para monitorear el uso de lasinstalaciones de procesamiento de la información, a fin de garantizarque los usuarios sólo estén desempeñando actividades que hayan sidoautorizadas explícitamente.

Todos los empleados deben conocer el alcance preciso del uso adecuadode los recursos informáticos, y se les advertirá que determinadasactividades pueden ser objeto de control y monitoreo.

El alcance de estos procedimientos debe corresponderse a la evaluaciónde riesgos que realice el Responsable del Area Informática y elResponsable de Seguridad de la Información.

Entre las áreas que deben tenerse en cuenta se enumeran las siguientes:

a) Acceso no autorizado, incluyendo detalles como:

1. Identificación del usuario.

2. Fecha y hora de eventos clave.

3. Tipos de eventos.

4. Archivos a los que se accede.

5. Utilitarios y programas utilizados.

b) Todas las operaciones con privilegio, como:

1. Utilización de cuenta de supervisor.

2. Inicio y cierre del sistema.

3. Conexión y desconexión de dispositivos de Ingreso y Salida de información o que permitan copiar datos.

4. Cambio de fecha/hora.

5. Cambios en la configuración de la seguridad.

6. Alta de servicios.

c) Intentos de acceso no autorizado, como:

1. Intentos fallidos.

2. Violaciones de la Política de Accesos y notificaciones para “gateways” de red y “firewalls”.

3. Alertas de sistemas de detección de intrusiones.

d) Alertas o fallas de sistema como:

1. Alertas o mensajes de consola.

2. Excepciones del sistema de registro.

3. Alarmas del sistema de administración de redes.

4. Accesos remotos a los sistemas.

Entre los factores de riesgo que se deben considerar se encuentran:

a) La criticidad de los procesos de aplicaciones.

b) El valor, la sensibilidad o criticidad de la información involucrada.

c) La experiencia acumulada en materia de infiltración y uso inadecuado del sistema.

d) El alcance de la interconexión del sistema (en particular las redes públicas).

Los Propietarios de la Información manifestarán la necesidad deregistrar aquellos eventos que consideren críticos para la operatoriaque se encuentra bajo su responsabilidad.

11.7.3 Registro y Revisión de Eventos

Se implementará un procedimiento de registro y revisión de losregistros de auditoría, orientado a producir un informe de las amenazasdetectadas contra los sistemas y los métodos utilizados.

La periodicidad de dichas revisiones será definida por los Propietariosde la Información y el Responsable de Seguridad de la Información, deacuerdo a la evaluación de riesgos efectuada.

Si el volumen de la información contenida en alguno de los registrosfuera muy grande, el procedimiento indicará cuáles de los registros mássignificativos se copiarán automáticamente en registros auxiliares.

Por otra parte, el Responsable del Area Informática, podrá disponer lautilización de herramientas de auditoría o utilitarios adecuados parallevar a cabo el control unificado de los registros.

En la asignación de funciones en materia de seguridad de la información(Ver 6-1-3 Control: Asignación de responsabilidades de la seguridad dela información), se debe separar las funciones entre quienes realizanla revisión y aquellos cuyas actividades están siendo monitoreadas.

Las herramientas de registro deben contar con los controles de acceso necesarios, a fin de garantizar que no ocurra:

a) La desactivación de la herramienta de registro.

b) La alteración de mensajes registrados.

c) La edición o supresión de archivos de registro.

d) La saturación de un medio de soporte de archivos de registro.

e) La falla en los registros de los eventos.

f) La sobrescritura de los registros.

La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información, tendrá acceso a los registrosde eventos a fin de colaborar en el control y efectuar recomendacionessobre modificaciones a los aspectos de seguridad. Adicionalmentepodrían evaluar las herramientas de registro, pero no tendrán libreacceso a ellas.

11.8 Categoría: Dispositivos Móviles y Trabajo Remoto

Objetivo

Asegurar la seguridad de la información cuando se utiliza medios de computación y tele-trabajo móviles.

La protección requerida se debe conmensurar con los riesgos que causanestas maneras de trabajo específicas. Cuando se utiliza computaciónmóvil, se deben considerar los riesgos de trabajar en un ambientedesprotegido y se debiera aplicar la protección apropiada. En el casodel tele-trabajo, la organización debe aplicar protección al lugar deltele-trabajo y asegurar que se establezcan los arreglos adecuados paraesta manera de trabajar.

11.8.1 Control: Computación Móvil

Cuando se utilizan dispositivos informáticos móviles se debe tenerespecial cuidado en garantizar que no se comprometa la información nila infraestructura del Organismo.

Se debe tener en cuenta en este sentido, cualquier dispositivo móvily/o removible, incluyendo: Notebooks, Laptop o PDA (Asistente PersonalDigital), Teléfonos Celulares y sus tarjetas de memoria, Dispositivosde Almacenamiento removibles, tales como CDs, DVDs, Disquetes, Tapes, ycualquier dispositivo de almacenamiento de conexión USB, Tarjetas deidentificación personal (control de acceso), dispositivoscriptográficos, cámaras digitales, etc.Esta lista no es taxativa, ya que deben incluirse todos losdispositivos que pudieran contener información confidencial delOrganismo y por lo tanto, ser pasibles de sufrir un incidente en el quese comprometa la seguridad del mismo.

Se desarrollarán procedimientos adecuados para estos dispositivos, que abarquen los siguientes conceptos:

e) La protección física necesaria

f) El acceso seguro a los dispositivos

g) La utilización segura de los dispositivos en lugares públicos.

h) El acceso a los sistemas de información y servicios del Organismo a través de dichos dispositivos.

i) Las técnicas criptográficas a utilizar para la transmisión de información clasificada.

j) Los mecanismos de resguardo de la información contenida en los dispositivos.

k) La protección contra software malicioso.

La utilización de dispositivos móviles incrementa la probabilidad deocurrencia de incidentes del tipo de pérdida, robo o hurto. Enconsecuencia debe entrenarse especialmente al personal que los utilice.Se desarrollarán normas y procedimientos sobre los cuidados especialesa observar ante la posesión de dispositivos móviles, que contemplaránlas siguientes recomendaciones:

a) Permanecer siempre cerca del dispositivo.

b) No dejar desatendidos los equipos.

c) No llamar la atención acerca de portar un equipo valioso.

d) No poner identificaciones del Organismo en el dispositivo, salvo los estrictamente necesarios.

e) No poner datos de contacto técnico en el dispositivo.

f) Mantener cifrada la información clasificada.

Por otra parte, se confeccionarán procedimientos que permitan alpropietario del dispositivo reportar rápidamente cualquier incidentesufrido y mitigar los riesgos a los que eventualmente estuvieranexpuestos los sistemas de información del Organismo, los que incluirán:

a) Revocación de las credenciales afectadas

b) Notificación a grupos de Trabajo donde potencialmente se pudieran haber comprometido recursos.

11.8.2 Control: Trabajo Remoto

El trabajo remoto utiliza tecnología de comunicaciones para permitirque el personal trabaje en forma remota desde un lugar externo alOrganismo.

El trabajo remoto sólo será autorizado por el Responsable de la UnidadOrganizativa, o superior jerárquico correspondiente, a la cualpertenezca el usuario solicitante, conjuntamente con el Responsable deSeguridad de la Información, cuando se verifique que son adoptadastodas las medidas que correspondan en materia de seguridad de lainformación, de modo de cumplir con la política, normas yprocedimientos existentes.

Estos casos serán de excepción y serán contemplados en situaciones quejustifiquen la imposibilidad de otra forma de acceso y la urgencia,tales como horarios del Organismo, solicitud de las autoridades, etc.

Para ello, se establecerán normas y procedimientos para el trabajo remoto, que consideren los siguientes aspectos:

a) La seguridad física existente en el sitio de trabajo remoto, tomandoen cuenta la seguridad física del edificio y del ambiente local.

b) El ambiente de trabajo remoto propuesto.

c) Los requerimientos de seguridad de comunicaciones, tomando en cuentala necesidad de acceso remoto a los sistemas internos del Organismo, lasensibilidad de la información a la que se accederá y que pasará através del vínculo de comunicación y la sensibilidad del sistemainterno.

d) La amenaza de acceso no autorizado a información o recursos porparte de otras personas que utilizan el lugar, por ejemplo, familia yamigos.

e) Evitar la instalación/desinstalación de software no autorizada por el Organismo.

Los controles y disposiciones comprenden:

a) Proveer de mobiliario para almacenamiento y equipamiento adecuado para las actividades de trabajo remoto.

b) Definir el trabajo permitido, el horario de trabajo, laclasificación de la información que se puede almacenar en el equiporemoto desde el cual se accede a la red del Organismo y los sistemasinternos y servicio a los cuales el trabajador remoto está autorizado aacceder.

c) Proveer de un adecuado equipo de comunicación, con inclusión de métodos para asegurar el acceso remoto.

d) Incluir seguridad física.

e) Definir reglas y orientación respecto del acceso de terceros al equipamiento e información.

f) Proveer el hardware y el soporte y mantenimiento del software.

g) Definir los procedimientos de backup y de continuidad de las operaciones.

h) Efectuar auditoría y monitoreo de la seguridad.

i) Realizar la anulación de las autorizaciones, derechos de acceso ydevolución del equipo cuando finalicen las actividades remotas.

j) Asegurar el reintegro del equipamiento en las mismas condiciones enque fue entregado, en el caso en que cese la necesidad de trabajar enforma remota.

Se implementarán procesos de auditoría específicos para los casos deaccesos remotos, que serán revisados regularmente. Se llevará unregistro de incidentes a fin de corregir eventuales fallas en laseguridad de este tipo de accesos.

12. Cláusula: Adquisición, desarrollo y mantenimiento de sistemas

Generalidades

El desarrollo y mantenimiento de las aplicaciones es un punto crítico de la seguridad.

Durante el análisis y diseño de los procesos que soportan estasaplicaciones se deben identificar, documentar y aprobar losrequerimientos de seguridad a incorporar durante las etapas dedesarrollo e implementación. Adicionalmente, se deben diseñar controlesde validación de datos de entrada, procesamiento interno y salida dedatos.

Dado que los analistas y programadores tienen el conocimiento total dela lógica de los procesos en los sistemas, se deben implementarcontroles que eviten maniobras dolosas por parte de estas personas uotras que puedan operar sobre los sistemas, bases de datos yplataformas de software de base (por ejemplo, operadores que puedanmanipular los datos y/o atacantes que puedan comprometer/alterar laintegridad de las bases de datos) y en el caso de que se lleven a cabo,identificar rápidamente al responsable.

Asimismo, es necesaria una adecuada administración de lainfraestructura de base, Sistemas Operativos y Software de Base, en lasdistintas plataformas, para asegurar una correcta implementación de laseguridad, ya que en general los aplicativos se asientan sobre estetipo de software.

Objetivo

Asegurar la inclusión de controles de seguridad y validación de datosen la adquisición y el desarrollo de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarándurante el ciclo de vida de los aplicativos y en la infraestructura debase en la cual se apoyan.

Definir los métodos de protección de la información crítica o sensible.

Alcance

Esta Política se aplica a todos los sistemas informáticos, tantodesarrollos propios o de terceros, y a todos los Sistemas Operativosy/o Software de Base que integren cualquiera de los ambientesadministrados por el Organismo en donde residan los desarrollosmencionados.

Responsabilidad

El Responsable de Seguridad de la Información junto con el Propietariode la Información y la Unidad de Auditoría Interna, definirán loscontroles a ser implementados en los sistemas desarrolladosinternamente o por terceros, en función de una evaluación previa deriesgos.

El Responsable de Seguridad de la Información, junto con el Propietariode la Información, definirán en función a la criticidad de lainformación, los requerimientos de protección mediante métodoscriptográficos. Luego, el Responsable de Seguridad de la Informacióndefinirá junto con el Responsable del Area de Sistemas, los métodos deencripción a ser utilizados.

Asimismo, el Responsable de Seguridad de la Información cumplirá las siguientes funciones:

- Definir los procedimientos de administración de claves.

- Verificar el cumplimiento de los controles establecidos para el desarrollo y mantenimiento de sistemas.

- Garantizar el cumplimiento de los requerimientos de seguridad para el software.

- Definir procedimientos para: el control de cambios a los sistemas; laverificación de la seguridad de las plataformas y bases de datos quesoportan e interactúan con los sistemas; el control de códigomalicioso; y la definición de las funciones del personal involucrado enel proceso de entrada de datos.

El Responsable del Area Informática, propondrá para su aprobación porparte del superior jerárquico que corresponda, la asignación defunciones de “implementador” y “administrador de programas fuentes” alpersonal de su área que considere adecuado, cuyas responsabilidades sedetallan en el presente capítulo. Asimismo, verificará el cumplimientode las definiciones establecidas sobre los controles y las medidas deseguridad a ser incorporadas a los sistemas.

El Area de Sistemas propondrá quiénes realizarán la administración de las técnicas criptográficas y claves.

El Responsable del Area de Administración incorporará aspectosrelacionados con el licenciamiento, la calidad del software y laseguridad de la información en los contratos con terceros por eldesarrollo de software. El Responsable del Area Jurídica participará endicha tarea.

Política

12.1 Categoría: Requerimientos de Seguridad de los Sistemas

Objetivo

Garantizar que la seguridad sea una parte integral de los sistemas de información.

Los sistemas de información incluyen sistemas de operación,infraestructura, aplicaciones operativas, productos de venta masiva,servicios y aplicaciones desarrolladas por el usuario. El diseño eimplementación del sistema de información que soporta el procesooperativo puede ser crucial para la seguridad. Se deben identificar yacordar los requerimientos de seguridad antes del desarrollo y/oimplementación de los sistemas de información.

12.1.1 Control: Análisis y Especificaciones de los Requerimientos de seguridad

Esta Política se implementa para incorporar seguridad a los sistemas deinformación (propios o de terceros) y a las mejoras o actualizacionesque se les incorporen.

Los requerimientos para nuevos sistemas o mejoras a los existentesespecificarán la necesidad de controles. Estas especificaciones debenconsiderar los controles automáticos a incorporar al sistema, como asítambién controles manuales de apoyo.

Se deben tener en cuenta las siguientes consideraciones:

a) Definir un procedimiento para que durante las etapas de análisis ydiseño del sistema, se incorporen a los requerimientos, loscorrespondientes controles de seguridad. Este procedimiento debeincluir una etapa de evaluación de riesgos previa al diseño, paradefinir los requerimientos de seguridad e identificar los controlesapropiados. En esta tarea deben participar las áreas usuarias, desistemas, de seguridad informática y auditoría, especificando yaprobando los controles automáticos a incorporar al sistema y lasnecesidades de controles manuales complementarios. Las áreasinvolucradas podrán solicitar certificaciones y evaluacionesindependientes para los productos a utilizar.

b) Evaluar los requerimientos de seguridad y los controles requeridos,teniendo en cuenta que éstos deben ser proporcionales en costo yesfuerzo al valor del bien que se quiere proteger y al daño potencialque pudiera ocasionar a las actividades realizadas.

c) Considerar que los controles introducidos en la etapa de diseño, sonsignificativamente menos costosos de implementar y mantener queaquellos incluidos durante o después de la implementación.

12.2 Categoría: Seguridad en los Sistemas de Aplicación

Objetivo

Para evitar la pérdida, modificación o uso inadecuado de los datospertenecientes a los sistemas de información, se establecerán controlesy registros de auditoría, verificando:

a) La validación efectiva de datos de entrada.

b) El procesamiento interno.

c) La autenticación de mensajes (interfaces entre sistemas)

d) La validación de datos de salida.

12.2.1 Validación de Datos de Entrada

Se definirá un procedimiento que durante la etapa de diseño,especifique controles que aseguren la validez de los datos ingresados,tan cerca del punto de origen como sea posible, controlando tambiéndatos permanentes y tablas de parámetros.

Este procedimiento considerará los siguientes controles:

a) Control de secuencia.

b) Control de monto límite por operación y tipo de usuario.

c) Control del rango de valores posibles y de su validez, de acuerdo a criterios predeterminados.

d) Control de paridad.

e) Control contra valores cargados en las tablas de datos.

f) Controles por oposición, de forma tal que quien ingrese un dato no pueda autorizarlo y viceversa.

Por otra parte, se llevarán a cabo las siguientes acciones:

a) Se definirá un procedimiento para realizar revisiones periódicas decontenidos de campos claves o archivos de datos, definiendo quién lorealizará, en qué forma, con qué método, quiénes deben ser informadosdel resultado, etc.

b) Se definirá un procedimiento que explicite las alternativas a seguir para responder a errores de validación en un aplicativo.

c) Se definirá un procedimiento que permita determinar lasresponsabilidades de todo el personal involucrado en el proceso deentrada de datos.

12.2.2 Control: Controles de Procesamiento Interno

Se definirá un procedimiento para que durante la etapa de diseño, seincorporen controles de validación a fin de eliminar o minimizar losriesgos de fallas de procesamiento y/o vicios por procesos de errores.

Para ello se implementarán:

a) Procedimientos que permitan identificar el uso y localización en losaplicativos, de funciones de incorporación y eliminación que realizancambios en los datos.

b) Procedimientos que establezcan los controles y verificacionesnecesarios para prevenir la ejecución de programas fuera de secuencia ocuando falle el procesamiento previo.

c) Procedimientos que establezcan la revisión periódica de losregistros de auditoría o alertas de forma de detectar cualquieranomalía en la ejecución de las transacciones.

d) Procedimientos que realicen la validación de los datos generados por el sistema.

e) Procedimientos que verifiquen la integridad de los datos y del software cargado o descargado entre computadoras.

f) Procedimientos que controlen la integridad de registros y archivos.

g) Procedimientos que verifiquen la ejecución de los aplicativos en el momento adecuado.

h) Procedimientos que aseguren el orden correcto de ejecución de losaplicativos, la finalización programada en caso de falla, y ladetención de las actividades de procesamiento hasta que el problema searesuelto.

12.2.3 Control: Autenticación de Mensajes

Cuando una aplicación tenga previsto el envío de mensajes que contenganinformación clasificada, se implementarán los controles criptográficosdeterminados en el punto “12.3 Categoría: Controles Criptográficos”.

12.2.4 Control: Validación de Datos de Salidas

Se establecerán procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:

a) Comprobaciones de la razonabilidad para probar si los datos de salida son plausibles.

b) Control de conciliación de cuentas para asegurar el procesamiento de todos los datos.

c) Provisión de información suficiente, para que el lector o sistema deprocesamiento subsiguiente determine la exactitud, totalidad, precisióny clasificación de la información.

d) Procedimientos para responder a las pruebas de validación de salidas.

e) Definición de las responsabilidades de todo el personal involucrado en el proceso de salida de datos.

12.3 Categoría: Controles Criptográficos

Objetivo

Se utilizarán sistemas y técnicas criptográficas para la protección dela información en base a un análisis de riesgo efectuado, con el fin deasegurar una adecuada protección de su confidencialidad e integridad.

Se debe desarrollar una política sobre el uso de controlescriptográficos. Se debe establecer una gestión clave para sostener eluso de técnicas criptográficas.

12.3.1 Control: Política de Utilización de Controles Criptográficos

El Organismo establece la presente Política de uso de controlescriptográficos, a fin de determinar su correcto uso. Para ello seindica que:

a) Se utilizarán controles criptográficos en los siguientes casos:

1. Para la protección de claves de acceso a sistemas, datos y servicios.

2. Para la transmisión de información clasificada, fuera del ámbito del Organismo.

3. Para el resguardo de información, cuando así surja de la evaluaciónde riesgos realizada por el Propietario de la Información y elResponsable de Seguridad de la Información.

b) Se desarrollarán procedimientos respecto de la administración declaves, de la recuperación de información cifrada en caso de pérdida,compromiso o daño de las claves y en cuanto al reemplazo de las clavesde cifrado.

c) El Responsable del Area Informática propondrá la siguiente asignación de funciones:

FunciónCargoImplementación de la Política de Controles CriptográficosAdministración de Claves

d) Se utilizarán los siguientes algoritmos de cifrado y tamaños de clave:

1. Cifrado Simétrico

AlgoritmoLongitud de ClaveAES128/192/2563DES168 bitsIDEA128 bitsRC4128 bitsRC2128 bits2. Cifrado Asimétrico

Casos de UtilizaciónAlgoritmoLongitud de ClaveParacertificados utilizados en servicios relacionados a la firma digital(sellado de tiempo, almacenamiento seguro de documentos electrónicos,etc.)RSA2048 bitsDSA2048 bitsECDSA210 bitsPara certificados de sitio seguroRSA1024 bitsPara certificados de Certificador o de información de estado de certificadosRSA2048 bitsDSA2048 bitsECDSA210 bitsPara certificados de usuario (personas físicas o jurídicas)RSA1024 bitsDSA1024 bitsECDSA160 bitsPara digesto seguroSHA-1256 bitsLos algoritmos y longitudes de clave mencionados son los que a la fechase consideran seguros. Se recomienda verificar esta condiciónperiódicamente con el objeto de efectuar las actualizacionescorrespondientes.

12.3.2 Control: Cifrado

Mediante la evaluación de riesgos que llevará a cabo el Propietario dela Información y el Responsable de Seguridad de la Información, seidentificará el nivel requerido de protección, tomando en cuenta eltipo y la calidad del algoritmo de cifrado utilizado y la longitud delas claves criptográficas a utilizar.

Al implementar la Política del Organismo en materia criptográfica, seconsiderarán los controles aplicables a la exportación e importación detecnología criptográfica.

12.3.4 Control: Firma Digital

Las firmas digitales proporcionan un medio de protección de laautenticidad e integridad de los documentos electrónicos. Puedenaplicarse a cualquier tipo de documento que se proceseelectrónicamente. Se implementan mediante el uso de una técnicacriptográfica sobre la base de dos claves relacionadas de manera única,donde una clave, denominada privada, se utiliza para crear una firma yla otra, denominada pública, para verificarla.

Se tomarán recaudos para proteger la confidencialidad de las claves privadas.

Asimismo, es importante proteger la integridad de la clave pública.Esta protección se provee mediante el uso de un certificado de clavepública.

Los algoritmos de firma utilizados, como así también la longitud declave a emplear, son las enumeradas en el punto 0. 12.3.1 Control:Política de Utilización de Controles Criptográficos, en el cuadro decifrado asimétrico.

Se recomienda que las claves criptográficas utilizadas para firmardigitalmente no sean empleadas en procedimientos de cifrado deinformación. Dichas claves deben ser resguardadas bajo el controlexclusivo de su titular.

Al utilizar firmas y certificados digitales, se considerará lalegislación vigente (Ley Nº 25.506, el Decreto Nº 2628/02 y el conjuntode normas complementarias que fijan o modifican competencias yestablecen procedimientos) que describa las condiciones bajo las cualesuna firma digital es legalmente válida.

En algunos casos podría ser necesario establecer acuerdos especialespara respaldar el uso de las firmas digitales. A tal fin se debeobtener asesoramiento legal con respecto al marco normativo aplicable yla modalidad del acuerdo a implementar. (Ver Capítulo 12-3-1 Control:Política de utilización de controles criptográficos, en el cuadro decifrado asimétrico).

12.3.5 Control: Servicios de No Repudio

Estos servicios se utilizarán cuando sea necesario resolver disputasacerca de la ocurrencia de un evento o acción. Su objetivo esproporcionar herramientas para evitar que aquel que haya originado unatransacción electrónica niegue haberla efectuado.

12.3.6 Control: Protección de claves criptográficas

Se implementará un sistema de administración de claves criptográficaspara respaldar la utilización por parte del Organismo de los dos tiposde técnicas criptográficas, a saber:

a) Técnicas de clave secreta (criptografía simétrica), cuando dos o másactores comparten la misma clave y ésta se utiliza tanto para cifrarinformación como para descifrarla.

b) Técnicas de clave pública (criptografía asimétrica), cuando cadausuario tiene un par de claves: una clave pública (que puede serrevelada a cualquier persona) utilizada para cifrar y una clave privada(que debe mantenerse en secreto) utilizada para descifrar. Las clavesasimétricas utilizadas para cifrado no deben ser las mismas que seutilizan para firmar digitalmente.

Todas las claves serán protegidas contra modificación y destrucción, ylas claves secretas y privadas serán protegidas contra copia odivulgación no autorizada.

Se aplicarán con éste propósito los algoritmos criptográficosenumerados en el punto 0. 12.3.1 Control: Política de Utilización deControles Criptográficos.

Se proporcionará una protección adecuada al equipamiento utilizado paragenerar, almacenar y archivar claves, considerándolo crítico o de altoriesgo.

12.3.7 Control: Protección de Claves criptográficas: Normas y procedimientos

Se redactarán las normas y procedimientos necesarios para:

a) Generar claves para diferentes sistemas criptográficos y diferentes aplicaciones.

b) Generar y obtener certificados de clave pública de manera segura.

c) Distribuir claves de forma segura a los usuarios que corresponda,incluyendo información sobre cómo deben activarse cuando se reciban.

d) Almacenar claves, incluyendo la forma de acceso a las mismas por parte de los usuarios autorizados.

e) Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben cambiarse las claves.

f) Revocar claves, incluyendo cómo deben retirarse o desactivarse lasmismas, por ejemplo cuando las claves están comprometidas o cuando unusuario se desvincula del Organismo (en cuyo caso las claves tambiéndeben archivarse).

g) Recuperar claves pérdidas o alteradas como parte de laadministración de la continuidad de las actividades del Organismo, porejemplo para la recuperación de la información cifrada.

h) Archivar claves, por ejemplo, para la información archivada o resguardada.

i) Destruir claves.

j) Registrar y auditar las actividades relativas a la administración de claves.

A fin de reducir la probabilidad de compromiso, las claves tendránfechas de inicio y caducidad de vigencia, definidas de manera que sólopuedan ser utilizadas por el lapso de .......... (indicar lapso nomayor a 12 meses).

Además de la administración segura de las claves secretas y privadas,debe tenerse en cuenta la protección de las claves públicas. Esteproblema es abordado mediante el uso de un certificado de clavepública. Este certificado se generará de forma que vincule de maneraúnica la información relativa al propietario del par de clavespública/privada con la clave pública.

En consecuencia es importante que el proceso de administración de loscertificados de clave pública sea absolutamente confiable. Este procesoes llevado a cabo por una entidad denominada Autoridad de Certificación(AC) o Certificador.

12.4 Categoría: Seguridad de los Archivos del Sistema

Objetivo

Se garantizará que los desarrollos y actividades de soporte a lossistemas se lleven a cabo de manera segura, controlando el acceso a losarchivos del mismo.

12.4.1 Control: Software Operativo

Se definen los siguientes controles a realizar durante laimplementación del software en producción, a fin de minimizar el riesgode alteración de los sistemas.

• Toda aplicación, desarrollada por el Organismo o por un tercerotendrá un único Responsable designado formalmente por el Responsabledel Area Informática.

• Ningún programador o analista de desarrollo y mantenimiento de aplicaciones podrá acceder a los ambientes de producción.

• El Responsable del Area Informática, propondrá para su aprobación porparte del superior jerárquico que corresponda, la asignación de lafunción de “implementador” al personal de su área que considereadecuado, quien tendrá como funciones principales:

a) Coordinar la implementación de modificaciones o nuevos programas en el ambiente de Producción.

b) Asegurar que los sistemas aplicativos en uso, en el ambiente deProducción, sean los autorizados y aprobados de acuerdo a las normas yprocedimientos vigentes.

c) Instalar las modificaciones, controlando previamente la recepción dela prueba aprobada por parte del Analista Responsable, del sectorencargado del testeo y del usuario final.

d) Rechazar la implementación en caso de encontrar defectos y/o si faltara la documentación estándar establecida.

Otros controles a realizar son:

a) Guardar sólo los ejecutables en el ambiente de producción.

b) Llevar un registro de auditoría de las actualizaciones realizadas.

c) Retener las versiones previas del sistema, como medida de contingencia.

d) Definir un procedimiento que establezca los pasos a seguir paraimplementar las autorizaciones y conformes pertinentes, las pruebasprevias a realizarse, etc.

e) Denegar permisos de modificación al implementador sobre los programas fuentes bajo su custodia.

f) Evitar, que la función de implementador sea ejercida por personal que pertenezca al sector de desarrollo o mantenimiento.

12.4.2 Control: Protección de los Datos de Prueba del Sistema

Las pruebas de los sistemas se efectuarán sobre datos extraídos delambiente operativo. Para proteger los datos de prueba se estableceránnormas y procedimientos que contemplen lo siguiente:

g) Prohibir el uso de bases de datos operativas. En caso contrario sedeben despersonalizar los datos antes de su uso. Aplicar idénticosprocedimientos de control de acceso que en la base de producción.

h) Solicitar autorización formal para realizar una copia de la baseoperativa como base de prueba, llevando registro de tal autorización.

i) Eliminar inmediatamente, una vez completadas las pruebas, la información operativa utilizada.

12.4.3 Control: Cambios a Datos Operativos

La modificación, actualización o eliminación de los datos operativosserán realizados a través de los sistemas que procesan dichos datos yde acuerdo al esquema de control de accesos implementado en los mismos.Una modificación por fuera de los sistemas a un dato, almacenado ya seaen un archivo o base de datos, podría poner en riesgo la integridad dela información.

Los casos en los que no fuera posible la aplicación de la precedentepolítica, se considerarán como excepciones. El Responsable de Seguridadde la Información definirá procedimientos para la gestión de dichasexcepciones que contemplarán lo siguiente:

a) Se generará una solicitud formal para la realización de la modificación, actualización o eliminación del dato.

b) El Propietario de la Información afectada y del Responsable deSeguridad de la Información aprobarán la ejecución del cambio evaluandolas razones por las cuales se solicita.

c) Se generarán cuentas de usuario de emergencia para ser utilizadas enla ejecución de excepciones. Las mismas serán protegidas mediantecontraseñas, sujetas al procedimiento de administración de contraseñascríticas y habilitadas sólo ante un requerimiento de emergencia y porel lapso que ésta dure.

d) Se designará un encargado de implementar los cambios, el cual noserá personal del área de Desarrollo. En el caso de que esta función nopueda ser segregada, se aplicarán controles adicionales de acuerdo a loestablecido en 0. 10.1.3 Control: Separación de Funciones.

e) Se registrarán todas las actividades realizadas con las cuentas deemergencia. Dicho registro será revisado posteriormente por elResponsable de Seguridad de la Información.

12.4.4 Control: Acceso a las Bibliotecas de Programas fuentes

Para reducir la probabilidad de alteración de programas fuentes, se aplicarán los siguientes controles:

a) El Responsable del Area Informática, propondrá para su aprobaciónpor parte del superior jerárquico que corresponda la función de“administrador de programas fuentes” al personal de su área queconsidere adecuado, quien tendrá en custodia los programas fuentes ydebe:

• Proveer al Area de Desarrollo los programas fuentes solicitados parasu modificación, manteniendo en todo momento la correlación programafuente/ejecutable.

• Llevar un registro actualizado de todos los programas fuentes en uso,indicando nombre del programa, programador, Analista Responsable queautorizó, versión, fecha de última modificación y fecha/hora decompilación y estado (en modificación, en producción).

• Verificar que el Analista Responsable que autoriza la solicitud de unprograma fuente sea el designado para la aplicación, rechazando elpedido en caso contrario. Registrar cada solicitud aprobada.

• Administrar las distintas versiones de una aplicación.

• Asegurar que un mismo programa fuente no sea modificado simultáneamente por más de un desarrollador.

b) Denegar al “administrador de programas fuentes” permisos de modificación sobre los programas fuentes bajo su custodia.

c) Establecer que todo programa objeto o ejecutable en producción tengaun único programa fuente asociado que garantice su origen.

d) Establecer que el implementador de producción efectuará lageneración del programa objeto o ejecutable que estará en producción(compilación), a fin de garantizar tal correspondencia.

e) Desarrollar un procedimiento que garantice que toda vez que se migrea producción el módulo fuente, se cree el código ejecutablecorrespondiente en forma automática.

f) Evitar que la función de “administrador de programas fuentes” seaejercida por personal que pertenezca al sector de desarrollo y/omantenimiento.

g) Prohibir la guarda de programas fuentes históricos (que no sean loscorrespondientes a los programas operativos) en el ambiente deproducción.

h) Prohibir el acceso a todo operador y/o usuario de aplicaciones a losambientes y a las herramientas que permitan la generación y/omanipulación de los programas fuentes.

i) Realizar las copias de respaldo de los programas fuentes cumpliendolos requisitos de seguridad establecidos por el Organismo en losprocedimientos que surgen de la presente política.

12.5 Categoría: Seguridad de los Procesos de Desarrollo y Soporte

Objetivo

Esta Política provee seguridad al software y a la información delsistema de aplicación, por lo tanto se controlarán los entornos y elsoporte dado a los mismos.

12.5.1 Control Procedimiento de Control de Cambios

A fin de minimizar los riesgos de alteración de los sistemas deinformación, se implementarán controles estrictos durante laimplementación de cambios imponiendo el cumplimiento de procedimientosformales. Estos garantizarán que se cumplan los procedimientos deseguridad y control, respetando la división de funciones.

Para ello se establecerá un procedimiento que incluya las siguientes consideraciones:

a) Verificar que los cambios sean propuestos por usuarios autorizados yrespete los términos y condiciones que surjan de la licencia de uso.

b) Mantener un registro de los niveles de autorización acordados.

c) Solicitar la autorización del Propietario de la Información, en casode tratarse de cambios a sistemas de procesamiento de la misma.

d) Efectuar un análisis de riesgos del cambio.

e) Determinar los requisitos de seguridad para el cambio.

f) Analizar el impacto de los cambios sobre los controles de seguridad existentes.

g) Obtener aprobación formal por parte del Responsable del AreaInformática para las tareas detalladas, antes que comiencen las tareas.

h) Solicitar la revisión del Responsable de Seguridad de la Informaciónpara garantizar que no se violen los requerimientos de seguridad quedebe cumplir el software.

i) Efectuar las actividades relativas al cambio en el ambiente de desarrollo.

j) Obtener la aprobación por parte del usuario autorizado y del área de pruebas mediante pruebas en el ambiente correspondiente.

k) Actualizar la documentación para cada cambio implementado, tanto delos manuales de usuario como de la documentación operativa.

l) Mantener un control de versiones para todas las actualizaciones de software.

m) Garantizar que la implementación se llevará a cabo minimizando ladiscontinuidad de las actividades y sin alterar los procesosinvolucrados.

n) Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar su operatoria.

o) Garantizar que sea el implementador quien efectúe el pasaje de losobjetos modificados al ambiente operativo, de acuerdo a lo establecidoen “12.4.1 Control: Software Operativo”.

En el Anexo al presente capítulo se presenta un esquema modelo de segregación de ambientes de procesamiento.

12.5.2 Control: Revisión Técnica de los Cambios en el sistema Operativo

Toda vez que sea necesario realizar un cambio en el Sistema Operativo,los sistemas serán revisados para asegurar que no se produzca unimpacto en su funcionamiento o seguridad.

Para ello, se definirá un procedimiento que incluya:

a) Revisar los procedimientos de integridad y control de aplicacionespara garantizar que no hayan sido comprometidas por el cambio.

b) Garantizar que los cambios en el sistema operativo sean informados con anterioridad a la implementación.

c) Asegurar la actualización del Plan de Continuidad de las Actividades del Organismo.

12.5.3 Control: Restricción del Cambio de Paquetes de Software

En caso de considerarlo necesario la modificación de paquetes desoftware suministrados por proveedores, y previa autorización delResponsable del Area Informática, se debe:

a) Analizar los términos y condiciones de la licencia a fin de determinar si las modificaciones se encuentran autorizadas.

b) Determinar la conveniencia de que la modificación sea efectuada por el Organismo, por el proveedor o por un tercero.

c) Evaluar el impacto que se produce si el Organismo se hace cargo del mantenimiento.

d) Retener el software original realizando los cambios sobre una copiaperfectamente identificada, documentando exhaustivamente por si fueranecesario aplicarlo a nuevas versiones.

12.5.4 Control: Canales Ocultos y Código Malicioso

Un canal oculto puede exponer información utilizando algunos mediosindirectos y desconocidos. El código malicioso está diseñado paraafectar a un sistema en forma no autorizada y no requerida por elusuario.

En este sentido, se redactarán normas y procedimientos que incluyan:

a) Adquirir programas a proveedores acreditados o productos ya evaluados.

b) Examinar los códigos fuentes (cuando sea posible) antes de utilizar los programas.

c) Controlar el acceso y las modificaciones al código instalado.

d) Utilizar herramientas para la protección contra la infección del software con código malicioso.

e) Ejecutar controles y tests de evaluación de seguridad periódicamente y, en especial, previo a su puesta en producción.

12.5.6 Control: Desarrollo Externo de Software

Para el caso que se considere la tercerización del desarrollo desoftware, se establecerán normas y procedimientos que contemplen lossiguientes puntos:

a) Acuerdos de licencias, propiedad de código y derechos conferidos (Ver 15-1-2 Derechos de Propiedad Intelectual).

b) Requerimientos contractuales con respecto a la calidad y seguridad del código y la existencia de garantías.

c) Procedimientos de certificación de la calidad y precisión deltrabajo llevado a cabo por el proveedor, que incluyan auditorías,revisión de código para detectar código malicioso, verificación delcumplimiento de los requerimientos de seguridad del softwareestablecidos, etc.

d) Verificación del cumplimiento de las condiciones de seguridad.

e) Acuerdos de custodia de los fuentes del software (y cualquier otrainformación requerida) en caso de quiebra de la tercera parte.

12.6 Categoría: Gestión de vulnerabilidades técnicas

Objetivo

Se implementará la gestión de las vulnerabilidades técnicas de formaefectiva, sistemática y repetible, con mediciones que confirmen suefectividad. Dichas consideraciones incluirán los sistemas operativos,y cualquier otra aplicación en uso.

12.6.1 Control: Vulnerabilidades técnicas

Se obtendrá información oportuna acerca de las vulnerabilidadestécnicas de los sistemas de información utilizados, la exposición delOrganismo a tales vulnerabilidades evaluadas, y se tomarán las medidasnecesarias para tratar los riesgos asociados.

Para ello se contará con un inventario de software donde se detalleinformación de versiones del mismo así como datos del proveedor yresponsable interno.

El proceso de gestión de las vulnerabilidades técnicas debe comprender:

a) Definición de roles y responsabilidades asociados con la gestión de vulnerabilidades técnicas;

b) Procedimientos de identificación de vulnerabilidades técnicas potenciales;

c) Definición de una línea de tiempo para reaccionar ante lasnotificaciones de las vulnerabilidades técnicas potencialmenterelevantes;

d) Definición de prioridades para la atención de necesidades relacionadas con actualizaciones de seguridad;

e) Identificación de los riesgos asociados y las acciones a llevar a cabo ante vulnerabilidades identificadas;

f) Identificación de los riesgos asociados a la instalación de parches;

g) Aprobación y evaluación de los parches antes de que sean instaladospara garantizar que son efectivos y que no resultan en efectossecundarios que no puedan ser tolerados;

h) Consideración de controles alternativos en caso de inexistencia de parches;

i) Generación y mantenimiento de un registro de auditoría para todos los procedimientos emprendidos;

j) Seguimiento y evaluación regular del proceso de gestión de lasvulnerabilidades técnicas para garantizar su efectividad y eficiencia.

Anexo

Para cumplir con esta Política, en lo referente a los puntos “Seguridadde los Archivos del Sistema” y “Seguridad de los Procesos de Desarrolloy Soporte”, se sugiere implementar un modelo de separación de funcionesentre los distintos ambientes involucrados.

Toda aplicación generada en el sector de desarrollo o adquirida a unproveedor es, en algún momento, implementada en un ambiente deproducción. Los controles de esta transferencia deben ser rigurosos afin de asegurar que no se instalen programas fraudulentos. Esconveniente implementar algún software para la administración deversiones y para la transmisión de programas entre los ambientesdefinidos, con un registro asociado para su control.

A continuación se presenta un modelo ideal formado por tres ambientesque debe ser adaptado a las características propias de cada Organismo,teniendo en cuenta las capacidades instaladas, los recursos y elequipamiento existente.

• Ambiente de Desarrollo

Es donde se desarrollan los programas fuentes y donde se almacena todala información relacionada con el análisis y diseño de los sistemas. Elanalista o programador (desarrollador) tiene total dominio sobre elambiente. Puede recibir algún fuente para modificar, quedandoregistrado en el sistema de control de versiones que administra el“administrador de programas fuentes”.

El desarrollador realiza las pruebas con los datos de la base dedesarrollo. Cuando considera que el programa está terminado, lo pasa alambiente de pruebas junto con la documentación requerida que leentregará al implementador de ese ambiente.

• Ambiente de Pruebas

El implementador de este ambiente recibe el programa y la documentaciónrespectiva y realiza una prueba general con un lote de datos para talefecto, junto con el usuario de ser posible.

El testeador realiza las pruebas con los datos de la base de pruebas.Si no detectan errores de ejecución, los resultados de las rutinas deseguridad son correctas de acuerdo a las especificaciones y consideraque la documentación presentada es completa, entonces remite elprograma fuente al implementador de producción por medio del sistema decontrol de versiones y le entrega las instrucciones. Caso contrario,vuelve atrás el ciclo devolviendo el programa al desarrollador, juntocon un detalle de las observaciones.

• Ambiente de Producción

Es donde se ejecutan los sistemas y se encuentran los datosproductivos. Los programas fuentes certificados se guardan en unrepositorio de fuentes de producción, almacenándolos mediante unsistema de control de versiones que maneja el “administrador deprogramas fuentes” y donde se dejan los datos del programador que hizola modificación, fecha, hora y tamaño de los programas fuentes yobjetos o ejecutables.

El “implementador” compila el programa fuente dentro del ambiente deproducción en el momento de realizar el pasaje para asegurar de estaforma que hay una correspondencia biunívoca con el ejecutable enproducción y luego se elimina, dejándolo en el repositorio productivode programas fuentes.

Deben aplicarse procedimientos de la misma naturaleza y alcance paralas modificaciones de cualquier otro elemento que forme parte delsistema, por ejemplo: modelo de datos de la base de datos o cambios enlos parámetros, etc. Las modificaciones realizadas al software de base(Sistemas Operativos, Motores de bases de datos, Productos middleware)deben cumplir idénticos pasos, sólo que las implementaciones lasrealizarán los propios administradores.

Cabe aclarar que tanto el personal de desarrollo, como el proveedor delos aplicativos, no deben tener acceso al ambiente de producción, asícomo tampoco a los datos reales para la realización de las pruebas enel Ambiente de Prueba. Para casos excepcionales, se debe documentaradecuadamente la autorización, los trabajos realizados y monitorearlosen todo momento.

13. Cláusula: Gestión de Incidentes de Seguridad

Generalidades

Existen numerosas amenazas que atentan contra la seguridad de lainformación, representando riesgos latentes que de materializarsepueden ocasionar incidentes de seguridad.

Los Organismos cuentan con innumerables activos de información, cadauno de los cuales puede encontrarse expuesto a sufrir incidentes deseguridad. Es por ello que resulta sumamente necesario contar con unacapacidad de gestión de dichos incidentes que permita comenzar por sudetección, llevar a cabo su tratamiento y colaborar en la prevención defuturos incidentes similares.

Objetivo

Garantizar que los eventos de seguridad de la información y lasdebilidades asociados a los sistemas de información sean comunicados deforma tal que se apliquen las acciones correctivas en el tiempooportuno.

Alcance

La Política definida en este documento se aplica a todo incidente quepueda afectar la seguridad de la información del Organismo.

Responsabilidad

El Comité de Seguridad de la Información será responsable deimplementar los medios y canales necesarios para que el Responsable deSeguridad de la Información maneje los reportes de incidentes yanomalías de los sistemas. Asimismo, dicho Comité, tomará conocimiento,efectuará el seguimiento de la investigación, controlará la evolución eimpulsará la resolución de los incidentes relativos a la seguridad.

El Responsable de Seguridad de la Información tiene a cargo elseguimiento, documentación y análisis de los incidentes de seguridadreportados así como su comunicación al Comité de Seguridad de laInformación, a los propietarios de la información y al ProgramaNacional de Infraestructuras Críticas de Información y Ciberseguridad(ICIC).4

 Asimismo, el Responsable de Seguridad de la Información y el áreade Gestión de Recursos Humanos son responsables de comunicarfehacientemente los procedimientos de Gestión de Incidentes a losempleados y contratados al inicio de la relación laboral.

El Responsable del Area Jurídica participará en el tratamiento de incidentes de seguridad que requieran de su intervención.

Todo el personal del Organismo es responsable de reportar debilidades e incidentes de seguridad que oportunamente se detecten.Política

13.1 Categoría Informe de los eventos y debilidades de la seguridad de la información

Objetivo

Asegurar que los eventos y debilidades de la seguridad de lainformación asociados con los sistemas de información sean comunicadosde una manera que permita que se realice una acción correctiva oportuna.

13.1.1 Reporte de los eventos de la seguridad de información

Los incidentes relativos a la seguridad serán comunicados a través delas autoridades o canales apropiados tan pronto como sea posible._______4 El Programa Nacional tiene entre sus objetivosbrindar respuesta ante incidentes en redes, centralizar y coordinar losesfuerzos para el manejo de los incidentes de seguridad que afecten alos recursos informáticos del Sector Público Nacional.

Se establecerá un procedimiento formal de comunicación y de respuesta aincidentes, indicando la acción que ha de emprenderse al recibir uninforme sobre incidentes.

Dicho procedimiento debe contemplar que ante la detección de unsupuesto incidente o violación de la seguridad, el Responsable deSeguridad de la Información sea informado tan pronto como se hayatomado conocimiento. Este indicará los recursos necesarios para lainvestigación y resolución del incidente, y se encargará de sumonitoreo. Asimismo, mantendrá al Comité de Seguridad al tanto de laocurrencia de incidentes de seguridad.

Sin perjuicio de informar a otros Organismos de competencia, elResponsable de Seguridad de la Información, comunicará al ProgramaNacional de Infraestructuras Críticas de Información y Ciberseguridad(ICIC) todo incidente o violación de la seguridad, que involucrerecursos informáticos.

Todos los empleados y contratistas deben conocer fehacientemente elprocedimiento de comunicación de incidentes de seguridad, y debeninformar formalmente los mismos tan pronto hayan tomado conocimiento desu ocurrencia.

13.1.2 Reporte de las debilidades de la seguridad

Los usuarios de servicios de información, al momento de tomarconocimiento directa o indirectamente acerca de una debilidad deseguridad, son responsables de registrar y comunicar formalmente lasmismas al Responsable de Seguridad de la Información.

Se prohíbe expresamente a los usuarios la realización de pruebas paradetectar y/o utilizar una supuesta debilidad o falla de seguridad.

13.1.3 Comunicación de Anomalías del Software

Se establecerán procedimientos para la comunicación de anomalías de software, los cuales deben contemplar:

a) Registrar los síntomas del problema y los mensajes que aparecen en pantalla.

b) Establecer las medidas de aplicación inmediata ante la presencia de una anomalía.

c) Alertar inmediatamente de modo formal al Responsable de Seguridad de la Información o del Activo de que se trate.

Se prohíbe a los usuarios quitar el software que supuestamente tieneuna anomalía, a menos que estén autorizados formalmente para hacerlo.La recuperación será realizada por personal experimentado,adecuadamente habilitado.

13.2 Categoría Gestión de los Incidentes y mejoras de la seguridad de la información

Objetivo

Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información.

Se deben establecer las responsabilidades y procedimientos para manejarde manera efectiva los eventos y debilidades en la seguridad de lainformación una vez que han sido reportados. Se debe aplicar un procesode mejora continua para la respuesta, monitoreo, evaluación y gestióngeneral de los incidentes en la seguridad de la información.

13.2.1 Control: Responsabilidades y procedimientos

Se establecerán funciones y procedimientos de manejo de incidentesgarantizando una respuesta rápida, eficaz y sistemática a losincidentes relativos a seguridad. Se deben considerar los siguientesítems:

a) Contemplar y definir todos los tipos probables de incidentes relativos a seguridad, incluyendo como mínimo:

1. Fallas operativas

2. Código malicioso

3. Intrusiones

4. Fraude informático

5. Error humano

6. Catástrofes naturales

b) Comunicar formalmente los incidentes a través de autoridades o canales apropiados tan pronto como sea posible.

c) Contemplar los siguientes puntos en los procedimientos para losplanes de contingencia normales (diseñados para recuperar sistemas yservicios tan pronto como sea posible):

1. Definición de las primeras medidas a implementar

2. Análisis e identificación de la causa del incidente.

3. Planificación e implementación de soluciones para evitar la repetición del mismo, si fuera necesario.

4. Comunicación formal con las personas afectadas o involucradas con la recuperación, del incidente.

5. Notificación de la acción a la autoridad y/u Organismos pertinentes.

d) Registrar pistas de auditoría y evidencia similar para:

1. Análisis de problemas internos.

2. Uso como evidencia en relación con una probable violacióncontractual o infracción normativa, o en marco de un proceso judicial(Ver capítulo 15.1. Categoría: Cumplimiento de Requisitos Legales).

3. Negociación de compensaciones por parte de los proveedores de software y de servicios.

e) Implementar controles detallados y formalizados de las acciones derecuperación respecto de las violaciones de la seguridad y decorrección de fallas del sistema, garantizando:

1. Acceso a los sistemas y datos existentes sólo al personal claramente identificado y autorizado.

2. Documentación de todas las acciones de emergencia emprendidas en forma detallada.

3. Comunicación de las acciones de emergencia al titular de la Unidad Organizativa y revisión de su cumplimiento.

4. Constatación de la integridad de los controles y sistemas del Organismo en un plazo mínimo.

En los casos en los que se considere necesario, se solicitará laparticipación del Responsable del Area Jurídica del Organismo en eltratamiento de incidentes de seguridad ocurridos.

13.2.2 Aprendiendo a partir de los incidentes de la seguridad de la información

Se definirá un proceso que permita documentar, cuantificar y monitorearlos tipos, volúmenes y costos de los incidentes y anomalías. Estainformación se utilizará para identificar aquellos que sean recurrenteso de alto impacto. Esto será evaluado a efectos de establecer lanecesidad de mejorar o agregar controles para limitar la frecuencia,daño y costo de casos futuros.

13.2.3 Procesos Disciplinarios

Se seguirá el proceso disciplinario formal contemplado en las normasestatutarias, escalafonarias y convencionales que rigen al personal dela Administración Pública Nacional, para los empleados que violen laPolítica, Normas y Procedimientos de Seguridad del Organismo (Vercapítulo 15 Cumplimiento)

14. Cláusula: Gestión de la Continuidad

Generalidades

La administración de la continuidad de las actividades es un procesocrítico que debe involucrar a todos los niveles del Organismo.

El desarrollo e implementación de planes de contingencia es unaherramienta básica para garantizar que las actividades del Organismopuedan restablecerse dentro de los plazos requeridos.

Dichos planes deben mantenerse actualizados y transformarse en unaparte integral del resto de los procesos de administración y gestión,debiendo incluir necesariamente controles destinados a identificar yreducir riesgos, atenuar las consecuencias de eventuales interrupcionesde las actividades del organismo y asegurar la reanudación oportuna delas operaciones indispensables.

Objetivo

Minimizar los efectos de las posibles interrupciones de las actividadesnormales del Organismo (sean éstas resultado de desastres naturales,accidentes, fallas en el equipamiento, acciones deliberadas u otroshechos) y proteger los procesos críticos mediante una combinación decontroles preventivos y acciones de recuperación.

Analizar las consecuencias de la interrupción del servicio y tomar lasmedidas correspondientes para la prevención de hechos similares en elfuturo.

Maximizar la efectividad de las operaciones de contingencia delOrganismo con el establecimiento de planes que incluyan al menos lassiguientes etapas:

a) Notificación/Activación: Consistente en la detección y determinación del daño y la activación del plan.

b) Reanudación: Consistente en la restauración temporal de lasoperaciones y recuperación del daño producido al sistema original.

c) Recuperación: Consistente en la restauración de las capacidades deproceso del sistema a las condiciones de operación normales.

Asegurar la coordinación con el personal del Organismo y los contactosexternos que participarán en las estrategias de planificación decontingencias. Asignar funciones para cada actividad definida.

Alcance

Esta Política se aplica a todos los procesos críticos identificados del Organismo.

Responsabilidad

El Responsable de Seguridad de la Información participará activamenteen la definición, documentación, prueba y actualización de los planesde contingencia.

Los Propietarios de la Información y el Responsable de Seguridad de la Información cumplirán las siguientes funciones:

- Identificar las amenazas que puedan ocasionar interrupciones de los procesos y/o las actividades del Organismo.

- Evaluar los riesgos para determinar el impacto de dichas interrupciones.

- Identificar los controles preventivos.

- Desarrollar un plan estratégico para determinar el enfoque global conel que se abordará la continuidad de las actividades del Organismo.

- Elaborar los planes de contingencia necesarios para garantizar la continuidad de las actividades del Organismo.

Los Responsables de Procesos revisarán periódicamente los planes bajosu incumbencia, como así también identificar cambios en lasdisposiciones relativas a las actividades del Organismo aún noreflejadas en los planes de continuidad.

Los administradores de cada plan verificarán el cumplimiento de losprocedimientos implementados para llevar a cabo las accionescontempladas en cada plan de continuidad.

El Comité de Seguridad de la Información tendrá a cargo la coordinacióndel proceso de administración de la continuidad de la operatoria de lossistemas de tratamiento de información del Organismo frente ainterrupciones imprevistas.

Política

14.1 Categoría: Gestión de continuidad del Organismo

Objetivo

Contraatacar las interrupciones a las actividades del organismo yproteger los procesos críticos de los efectos de fallas importantes odesastres en los sistemas de información y asegurar su reanudaciónoportuna.

14.1.1 Control: Proceso de Administración de la continuidad del Organismo

El Comité de Seguridad de la Información, será el responsable de lacoordinación del desarrollo de los procesos que garanticen lacontinuidad de las actividades del Organismo.

Este Comité tendrá a cargo la coordinación del proceso deadministración de la continuidad de la operatoria de los sistemas detratamiento de información del Organismo frente a interrupcionesimprevistas, lo cual incluye las siguientes funciones:

a) Identificar y priorizar los procesos críticos de las actividades del Organismo.

b) Asegurar que todos los integrantes del Organismo comprendan losriesgos que la misma enfrenta, en términos de probabilidad deocurrencia e impacto de posibles amenazas, así como los efectos que unainterrupción puede tener en la actividad del Organismo.

c) Elaborar y documentar una estrategia de continuidad de lasactividades del Organismo consecuente con los objetivos y prioridadesacordados.

d) Proponer planes de continuidad de las actividades del Organismo de conformidad con la estrategia de continuidad acordada.

e) Establecer un cronograma de pruebas periódicas de cada uno de losplanes de contingencia, proponiendo una asignación de funciones para sucumplimiento.

f) Coordinar actualizaciones periódicas de los planes y procesos implementados.

g) Considerar la contratación de seguros que podrían formar parte del proceso de continuidad de las actividades del Organismo.

h) Proponer las modificaciones a los planes de contingencia.

14.1.2 Control: Continuidad de las Actividades y Análisis de los impactos

Con el fin de establecer un Plan de Continuidad de las Actividades del Organismo se deben contemplar los siguientes puntos:

• Identificar los eventos (amenazas) que puedan ocasionarinterrupciones en los procesos de las actividades, por ejemplo, fallasen el equipamiento, comisión de ilícitos, interrupción del suministrode energía eléctrica, inundación e incendio, desastres naturales,destrucción edilicia, atentados, etc.

• Evaluar los riesgos para determinar el impacto de dichasinterrupciones, tanto en términos de magnitud de daño como del períodode recuperación. Dicha evaluación debe identificar los recursoscríticos, los impactos producidos por una interrupción, los tiempos deinterrupción aceptables o permitidos, y debe especificar lasprioridades de recuperación.

• Identificar los controles preventivos, como por ejemplo sistemas desupresión de fuego, detectores de humo y fuego, contenedoresresistentes al calor y a prueba de agua para los medios de backup, losregistros no electrónicos vitales, etc.

Esta actividad será llevada a cabo con la activa participación de lospropietarios de los procesos y recursos de información de que se tratey el Responsable de Seguridad de la Información, considerando todos losprocesos de las actividades del Organismo y no limitándose a lasinstalaciones de procesamiento de la información.

Según los resultados de la evaluación de esta actividad, sedesarrollará un plan estratégico para determinar el enfoque global conel que se abordará la continuidad de las actividades del Organismo. Unavez que se ha creado este plan, el mismo debe ser propuesto por elComité de Seguridad de la Información a la máxima autoridad delOrganismo para su aprobación.

14.1.3 Control: Elaboración e implementación de los planes de continuidad de las Actividades del Organismo

Los propietarios de procesos y recursos de información, con laasistencia del Responsable de Seguridad de la Información, elaboraránlos planes de contingencia necesarios para garantizar la continuidad delas actividades del Organismo. Estos procesos deben ser propuestos porel Comité de Seguridad de la Información.

El proceso de planificación de la continuidad de las actividades considerará los siguientes puntos:

a) Identificar y acordar respecto a todas las funciones y procedimientos de emergencia.

b) Analizar los posibles escenarios de contingencia y definir las acciones correctivas a implementar en cada caso.

c) Implementar procedimientos de emergencia para permitir larecuperación y restablecimiento en los plazos requeridos. Se debededicar especial atención a la evaluación de las dependencias deactividades externas y a los contratos vigentes.

d) Documentar los procedimientos y procesos acordados.

e) Instruir adecuadamente al personal, en materia de procedimientos yprocesos de emergencia acordados, incluyendo el manejo de crisis.

f) Instruir al personal involucrado en los procedimientos de reanudación y recuperación en los siguientes temas:

1. Objetivo del plan.

2. Mecanismos de coordinación y comunicación entre equipos (personal involucrado).

3. Procedimientos de divulgación.

4. Requisitos de la seguridad.

5. Procesos específicos para el personal involucrado.

6. Responsabilidades individuales.

g) Probar y actualizar los planes, guardando evidencia formal de las pruebas y sus resultados.

Asimismo, el proceso de planificación debe concentrarse en losobjetivos de las actividades del Organismo requeridos, por ejemplo,restablecimiento de los servicios a los usuarios en un plazo aceptable.Deben considerarse los servicios y recursos que permitirán que estoocurra, incluyendo, dotación de personal, recursos que no procesaninformación, así como acuerdos para reanudación de emergencia en sitiosalternativos de procesamiento de la información.

14.1.4 Control: Marco para la Planificación de la continuidad de las Actividades del Organismo

Se mantendrá un solo marco para los planes de continuidad de lasactividades del Organismo, a fin de garantizar que los mismos seanuniformes e identificar prioridades de prueba y mantenimiento.

Cada plan de continuidad especificará claramente las condiciones parasu puesta en marcha, así como las personas a cargo de ejecutar cadacomponente del mismo. Cuando se identifiquen nuevos requerimientos, semodificarán los procedimientos de emergencia establecidos, por ejemplo,los planes de evacuación o los recursos de emergencia existentes.

El administrador de cada plan de continuidad será el encargado de coordinar las tareas definidas en el mismo.

Estas modificaciones deben ser propuestas por el Comité de Seguridad de la Información para su aprobación.

El marco para la planificación de la continuidad de las actividades del Organismo, tendrá en cuenta los siguientes puntos:

a) Prever las condiciones de implementación de los planes que describanel proceso a seguir (cómo evaluar la situación, qué personas estaráninvolucradas, etc.) antes de poner en marcha los mismos.

b) Definir los procedimientos de emergencia que describan las accionesa emprender una vez ocurrido un incidente que ponga en peligro lasoperaciones del Organismo y/o la vida humana. Esto debe incluirdisposiciones con respecto a la gestión de las relaciones públicas y avínculos eficaces a establecer con las autoridades públicaspertinentes, por ejemplo, la policía, bomberos y autoridades locales.

c) Realizar los procedimientos de emergencia que describan las accionesa emprender para el traslado de actividades esenciales del Organismo ode servicios de soporte a ubicaciones transitorias alternativas, y parael restablecimiento de los procesos en los plazos requeridos.

d) Redactar los procedimientos de recuperación que describan lasacciones a emprender para restablecer las operaciones normales delOrganismo.

e) Definir un cronograma de mantenimiento que especifique cómo y cuándoserá probado el plan, y el proceso para el mantenimiento del mismo.

f) Efectuar actividades de concientización e instrucción al personal,diseñadas para propiciar la comprensión de los procesos de continuidadlas actividades y garantizar que los procesos sigan siendo eficaces.

g) Documentar las responsabilidades y funciones de las personas,describiendo los responsables de la ejecución de cada uno de loscomponentes del plan y las vías de contacto posibles. Se debenmencionar alternativas cuando corresponda. Es de suma importanciadefinir a un responsable de declarar el estado de contingencia, lo cualdará inicio al plan.

Los administradores de los planes de contingencia son:

Plan de ContingenciaAdministrador....................................

El cumplimiento de los procedimientos implementados para llevar a cabolas acciones contempladas en cada plan de continuidad, deben contarseentre las responsabilidades de los administradores de cada plan. Lasdisposiciones de emergencia para servicios técnicos alternativos, comoinstalaciones de comunicaciones o de procesamiento de información,normalmente se cuentan entre las responsabilidades de los proveedoresde servicios.

14.1.5 Control: Ensayo, Mantenimiento y Reevaluación de los Planes de continuidad del Organismo

Debido a que los planes de continuidad de las actividades del Organismopueden fallar, por suposiciones incorrectas, errores o cambios en elequipamiento, se establecen las siguientes pautas de acción:

• El Comité de Seguridad de la Información establecerá un cronograma depruebas periódicas de cada uno de los planes de contingencia.

• El cronograma indicará quiénes son los responsables de llevar a cabocada una de las pruebas y de elevar el resultado obtenido al citadoComité.

Se deben utilizar diversas técnicas para garantizar que los planes decontingencia funcionarán ante un hecho real, y éstas incluirán por lomenos:

a) Efectuar pruebas de discusión de diversos escenarios (discutiendomedidas para la recuperación las actividades utilizando ejemplos deinterrupciones).

b) Realizar simulaciones (especialmente para entrenar al personal en eldesempeño de sus roles de gestión posterior a incidentes o crisis).

c) Efectuar pruebas de recuperación técnica (garantizando que lossistemas de información puedan ser restablecidos con eficacia).

d) Realizar ensayos completos probando que el Organismo, el personal,el equipamiento, las instalaciones y los procesos pueden afrontar lasinterrupciones.

Para las operaciones críticas del Organismo se tomarán en cuenta, además, los siguientes mecanismos:

a) Efectuar pruebas de recuperación en un sitio alternativo (ejecutandolos procesos de las actividades del Organismo en paralelo, conoperaciones de recuperación fuera del sitio principal).

b) Realizar pruebas de instalaciones y servicios de proveedores(garantizando que los productos y servicios de proveedores externoscumplan con los compromisos contraídos).

Todas las pruebas efectuadas deben ser documentadas, resguardándose laevidencia formal de la ejecución y de los resultados obtenidos.

Los planes de continuidad de las actividades del Organismo seránrevisados y actualizados periódicamente, para garantizar su eficaciapermanente. Se incluirán procedimientos en el programa deadministración de cambios del Organismo para garantizar que se abordenadecuadamente los tópicos de continuidad de las actividades.

La periodicidad de revisión de los planes de contingencia es la siguiente:

Plan de ContingenciaRevisar cadaResponsable de Revisión


Cada uno de los Responsables de Procesos es el responsable de lasrevisiones periódicas de cada uno de los planes de continuidad de suincumbencia, como así también de la identificación de cambios en lasdisposiciones relativas a las actividades del Organismo aún noreflejadas en dichos planes.

Debe prestarse atención, especialmente, a los cambios de:

a) Personal.

b) Direcciones o números telefónicos.

c) Estrategia del Organismo.

d) Ubicación, instalaciones y recursos.

e) Legislación.

f) Contratistas, proveedores y clientes críticos.

g) Procesos, o procesos nuevos/eliminados.

h) Tecnologías.

i) Requisitos operacionales.

j) Requisitos de seguridad.

k) Hardware, software y otros equipos (tipos, especificaciones, y cantidad).

l) Requerimientos de los sitios alternativos.

m) Registros de datos vitales.

Todas las modificaciones efectuadas serán propuestas por el Comité deSeguridad de la Información para su aprobación por el superiorjerárquico que corresponda.

Por otra parte, el resultado de este proceso será dado a conocer a finde que todo el personal involucrado tenga conocimiento de los cambiosincorporados.

15. Cláusula: Cumplimiento

Generalidades

El diseño, operación, uso y administración de los sistemas deinformación están regulados por disposiciones legales y contractuales.

Los requisitos normativos y contractuales pertinentes a cada sistema deinformación deben estar debidamente definidos y documentados.

El Area Jurídica del Organismo, será responsable de encuadrar jurídicamente la formulación e implementación de la política.

Objetivos

Cumplir con las disposiciones normativas y contractuales a fin deevitar sanciones administrativas al Organismo y/o al empleado o queincurran en responsabilidad civil o penal como resultado de suincumplimiento.

Garantizar que los sistemas cumplan con la política, normas y procedimientos de seguridad del Organismo.

Revisar la seguridad de los sistemas de información periódicamente aefectos de garantizar la adecuada aplicación de la política, normas yprocedimientos de seguridad, sobre las plataformas tecnológicas y lossistemas de información.

Optimizar la eficacia del proceso de auditoría de sistemas y minimizarlos problemas que pudiera ocasionar el mismo, o los obstáculos quepudieran afectarlo.

Garantizar la existencia de controles que protejan los sistemas enproducción y las herramientas de auditoría en el transcurso de lasauditorías de sistemas.

Determinar los plazos para el mantenimiento de información y para la recolección de evidencia del Organismo.

Alcance

Esta Política se aplica a todo el personal del Organismo, cualquiera sea su situación de revista.

Asimismo se aplica a los sistemas de información, normas,procedimientos, documentación y plataformas técnicas del Organismo y alas auditorías efectuadas sobre los mismos.

Responsabilidad

El Responsable de Seguridad de la Información cumplirá las siguientes funciones:

- Definir normas y procedimientos para garantizar el cumplimiento delas restricciones legales al uso del material protegido por normas depropiedad intelectual y a la conservación de registros.

- Realizar revisiones periódicas de todas las áreas del Organismo aefectos de garantizar el cumplimiento de la política, normas yprocedimientos de seguridad.

- Verificar periódicamente que los sistemas de información cumplan lapolítica, normas y procedimientos de seguridad establecidos.

- Garantizar la seguridad y el control de las herramientas utilizadas para las revisiones de auditoría.

El Responsable del Area Jurídica del Organismo, con la asistencia delResponsable de Seguridad de la Información cumplirán las siguientesfunciones:

- Definir y documentar claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información.

- Redactar un Compromiso de Confidencialidad a ser firmado por todo el personal.

Los Responsables de Unidades Organizativas velarán por la correctaimplementación y cumplimiento de las normas y procedimientos deseguridad establecidos en la presente Política, dentro de su área deresponsabilidad.

Todos los empleados de los mandos medios y superiores conocerán,comprenderán, darán a conocer, cumplirán y harán cumplir la presentePolítica y la normativa vigente.

Política

15.1 Categoría: Cumplimiento de Requisitos Legales

Objetivo

Evitar las violaciones a cualquier ley; regulación estatutaria,reguladora o contractual; y cualquier requerimiento de seguridad.

El diseño, operación, uso y gestión de los sistemas de informaciónpueden estar sujetos a requerimientos de seguridad estatutarios,reguladores y contractuales.

15.1.1 Control: Identificación de la Legislación Aplicable

Se definirán y documentarán claramente todos los requisitos normativosy contractuales pertinentes para cada sistema de información. Del mismomodo se definirán y documentarán los controles específicos y lasresponsabilidades y funciones individuales para cumplir con dichosrequisitos.

15.1.2 Control: Derechos de Propiedad Intelectual

Se implementarán procedimientos adecuados para garantizar elcumplimiento de las restricciones legales al uso del material protegidopor normas de propiedad intelectual.

Los empleados únicamente podrán utilizar material autorizado por el Organismo.

El Organismo sólo podrá autorizar el uso de material producido por elmismo, o material autorizado o suministrado al mismo por su titular,conforme los términos y condiciones acordados y lo dispuesto por lanormativa vigente.

La infracción a estos derechos puede tener como resultado acciones legales que podrían derivar en demandas penales.

Se deben tener presentes las siguientes normas:

• Ley de Propiedad Intelectual Nº 11.723: Protege los derechos de autorde las obras científicas, literarias y artísticas, incluyendo losprogramas de computación fuente y objeto; las compilaciones de datos ode otros materiales.

• Ley de Marcas Nº 22.362: Protege la propiedad de una marca y la exclusividad de su uso.

• Ley de Patentes de Invención y Modelos de Utilidad Nº 24.481: Protegeel derecho del titular de la patente de invención a impedir queterceros utilicen su producto o procedimiento.

Derecho de Propiedad Intelectual del Software

El software es considerado una obra intelectual que goza de la protección de la Ley 11.723 de Propiedad Intelectual.

Esta Ley establece que la explotación de la propiedad intelectual sobrelos programas de computación incluirá, entre otras formas, loscontratos de licencia para su uso o reproducción.

Los productos de software se suministran normalmente bajo acuerdos delicencia que suelen limitar el uso de los productos al equipamientoespecífico y su copia a la creación de copias de resguardo solamente.

El Responsable de Seguridad de la Información, con la asistencia delArea Jurídica, analizará los términos y condiciones de la licencia, eimplementará los siguientes controles:

a) Definir normas y procedimientos para el cumplimiento del derecho depropiedad intelectual de software que defina el uso legal de productosde información y de software.

b) Divulgar las políticas de adquisición de software y lasdisposiciones de la Ley de Propiedad Intelectual, y notificar ladeterminación de tomar acciones disciplinarias contra el personal quelas infrinja.

c) Mantener un adecuado registro de activos.

d) Conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc.

e) Implementar controles para evitar el exceso del número máximo permitido de usuarios.

f) Verificar que sólo se instalen productos con licencia y software autorizado.

g) Elaborar y divulgar un procedimiento para el mantenimiento de condiciones adecuadas con respecto a las licencias.

h) Elaborar y divulgar un procedimiento relativo a la eliminación o transferencia de software a terceros.

i) Utilizar herramientas de auditoría adecuadas.

j) Cumplir con los términos y condiciones establecidos para obtener software e información en redes públicas.

15.1.3 Control: Protección de los Registros del Organismo

Los registros críticos del Organismo se protegerán contra pérdida,destrucción y falsificación. Algunos registros pueden requerir unaretención segura para cumplir requisitos legales o normativos, así comopara respaldar actividades esenciales del Organismo.

Los registros se clasificarán en diferentes tipos, por ejemploregistros contables, registros de base de datos, registros de auditoríay procedimientos operativos, cada uno de ellos detallando los períodosde retención y el tipo de medios de almacenamiento, por ejemplo papel,microfichas, medios magnéticos u ópticos.

Tipo de RegistroSistema de InformaciónPeríodo de RetenciónMedio de AlmacenamientoResponsable



Las claves criptográficas asociadas con archivos cifrados se mantendránen forma segura y estarán disponibles para su uso por parte de personasautorizadas cuando resulte necesario (Ver 0. 12.3 Categoría: ControlesCriptográficos).

Se debe considerar la posibilidad de degradación de los mediosutilizados para el almacenamiento de los registros. Los procedimientosde almacenamiento y manipulación se implementarán de acuerdo con lasrecomendaciones del fabricante. (Ver 0. 12.3.1 Control: Política deUtilización de Controles Criptográficos).

Si se seleccionan medios de almacenamiento electrónicos, se incluiránlos procedimientos para garantizar la capacidad de acceso a los datos(tanto legibilidad de formato como medios) durante todo el período deretención, a fin de salvaguardar los mismos contra eventuales pérdidasocasionadas por futuros cambios tecnológicos.

Los sistemas de almacenamiento de datos serán seleccionados de modo talque los datos requeridos puedan recuperarse de una manera que resulteaceptable para un tribunal de justicia, por ejemplo que todos losregistros requeridos puedan recuperarse en un plazo y un formatoaceptable.

El sistema de almacenamiento y manipulación garantizará una claraidentificación de los registros y de su período de retención legal onormativa. Asimismo, se permitirá una adecuada destrucción de losregistros una vez transcurrido dicho período, si ya no resultannecesarios para el Organismo.

A fin de cumplir con estas obligaciones, se tomarán las siguientes medidas:

a) Elaborar y divulgar los lineamientos para la retención,almacenamiento, manipulación y eliminación de registros e información.

b) Preparar un cronograma de retención identificando los tiposesenciales de registros y el período durante el cual deben serretenidos.

c) Mantener un inventario de programas fuentes de información clave.

d) Implementar adecuados controles para proteger la información y losregistros esenciales contra pérdida, destrucción y falsificación.

En particular, se deben tener presente las siguientes normas:

• Etica en el Ejercicio de la Función Pública. Ley 25.188: Estableceque las personas que se desempeñen en la función pública deben protegery conservar la propiedad del Estado y sólo emplear sus bienes con losfines autorizados.

• Código de Etica de la Función Pública: Dispone que el funcionariopúblico debe proteger y conservar los bienes del Estado y utilizar losque le fueran asignados para el desempeño de sus funciones de maneraracional, evitando su abuso, derroche o desaprovechamiento.

• Código Penal Art. 255: Sanciona a quien sustrajere, ocultare,destruyere o inutilizare objetos destinados a servir de prueba ante laautoridad competente, registros o documentos confiados a la custodia deun funcionario o de otra persona en el interés del servicio público. Siel culpable fuere el mismo depositario, sufrirá además inhabilitaciónespecial por doble tiempo.

• Ley Nº 24.624. Artículo 30: Autoriza el archivo y la conservación ensoporte electrónico u óptico indeleble de la documentación financiera,de personal y de control de la Administración Pública Nacional y otorgavalor jurídico y probatorio a la documentación existente que seincorpore al Archivo General de la Administración, mediante lautilización de tecnología que garantice la estabilidad, perdurabilidad,inmutabilidad e inalterabilidad del soporte de guarda físico de lamencionada documentación.

• Decisión Administrativa 43/96: Reglamenta el Art. 30 de la Ley24.624. Determina su ámbito de aplicación, define conceptos y precisalos requisitos de carácter general, los relacionados con los documentosen particular y con el soporte a utilizar en la redacción, producción oreproducción de aquéllos.

• Ley de Propiedad Intelectual Nº 11.723: Protege los derechos de autorde las obras científicas, literarias y artísticas, incluyendo lascompilaciones de datos o de otros materiales.

• Ley Nº 25.506: Establece que la exigencia legal de conservardocumentos, registros o datos, también queda satisfecha con laconservación de los correspondientes documentos digitales firmadosdigitalmente, según los procedimientos que determine la reglamentación,siempre que sean accesibles para su posterior consulta y permitandeterminar fehacientemente el origen, destino, fecha y hora de sugeneración, envío y/o recepción.

• Código Penal: Sanciona a aquel que alterare, destruyere o inutilizaredatos, documentos, programas o sistemas informáticos (Art. 183).

15.1.3 Control: Protección de Datos y Privacidad de la Información Personal

Todos los empleados deben conocer las restricciones al tratamiento delos datos y de la información respecto a la cual tengan conocimientocon motivo del ejercicio de sus funciones.

El Organismo redactará un “Compromiso de Confidencialidad”, el cualdebe ser suscrito por todos los empleados y contratistas. La copiafirmada del compromiso será retenida en forma segura por el Organismo.

Mediante este instrumento el empleado se comprometerá a utilizar lainformación solamente para el uso específico al que se ha destinado y ano comunicar, diseminar o de alguna otra forma hacer pública lainformación a ninguna persona, firma, compañía o tercera persona, salvoautorización previa y escrita del Responsable del Activo de que setrate. A través del “Compromiso de Confidencialidad” se debe advertiral empleado que determinadas actividades pueden ser objeto de control ymonitoreo. Estas actividades deben ser detalladas a fin de no violar elderecho a la privacidad del empleado (Ver 6-1-5 Control: Acuerdos deconfidencialidad).

En particular, se deben tener presente las siguientes normas:

• Ley Marco de Regulación de Empleo Público Nacional. Ley 25.164:Establece que los Funcionarios Públicos deben observar el deber defidelidad que se derive de la índole de las tareas que le fueronasignadas y guardar la discreción correspondiente o la reservaabsoluta, en su caso, de todo asunto del servicio que así lo requiera.

• Convenio Colectivo de Trabajo General: Dispone que todos los agentesdeben observar el deber de fidelidad que se derive de la índole de lastareas que le fueran asignadas y guardar la discreción correspondiente,con respecto a todos los hechos e informaciones de los cuales tengaconocimiento en el ejercicio o con motivo del ejercicio de susfunciones.

• Etica en el Ejercicio de la Función Pública. Ley 25.188: Obliga atodas las personas que se desempeñen en la función pública a abstenersede utilizar información adquirida en el cumplimiento de sus funcionespara realizar actividades no relacionadas con sus tareas oficiales o depermitir su uso en beneficio de intereses privados.

• Código de Etica de la Función Pública: Establece que el funcionariopúblico debe abstenerse de difundir toda información que hubiera sidocalificada como reservada o secreta conforme a las disposicionesvigentes, ni la debe utilizar, en beneficio propio o de terceros o parafines ajenos al servicio, información de la que tenga conocimiento conmotivo o en ocasión del ejercicio de sus funciones y que no estédestinada al público en general.

• Protección de Datos Personales. Ley 25.326: Estableceresponsabilidades para aquellas personas que recopilan, procesan ydivulgan información personal y define criterios para procesar datospersonales o cederlos a terceros.

• Confidencialidad. Ley Nº 24.766: Impide la divulgación a terceros, osu utilización sin previo consentimiento y de manera contraria a losusos comerciales honestos, de información secreta y con valor comercialque haya sido objeto de medidas razonables para mantenerla secreta.

• Código Penal: Sanciona a aquel que abriere o accediere indebidamentea una comunicación electrónica o indebidamente la suprimiere o desviare(Art. 153), al que a sabiendas accediere por cualquier medio, sin ladebida autorización o excediendo la que posea, a un sistema o datoinformático de acceso restringido (Art. 153 bis), al que el quehallándose en posesión de una correspondencia, una comunicaciónelectrónica, un pliego cerrado, un despacho telegráfico, telefónico ode otra naturaleza, no destinados a la publicidad, los hiciere publicarindebidamente, si el hecho causare o pudiere causar perjuicios aterceros. (Art. 155), al que teniendo noticias de un secreto cuyadivulgación pueda causar daño, lo revelare sin justa causa (Art. 156),al funcionario público que revelare hechos, actuaciones o documentosque por la ley deben quedar secretos (Art. 157), al que a sabiendas eilegítimamente, o violando sistemas de confidencialidad y seguridad dedatos, accediere, de cualquier forma, a un banco de datos personales,ilegítimamente proporcionare o revelare a otro información registradaen un archivo o en un banco de datos personales cuyo secreto estuviereobligado a preservar por disposición de la ley e ilegítimamenteinsertare o hiciere insertar datos en un archivo de datos personales(Art. 157 bis), al que alterare, destruyere o inutilizare datos,documentos, programas o sistemas informáticos (Art. 183), al querevelare secretos políticos o militares concernientes a la seguridad, alos medios de defensa o a las relaciones exteriores de la Nación, o alque por imprudencia o negligencia diere a conocer los secretosmencionados anteriormente, de los que se hallare en posesión en virtudde su empleo u oficio (Art. 222 y 223).

Asimismo, debe considerarse lo establecido en el Decreto 1172/03, queregula el acceso a la información pública por parte de los ciudadanos.

15.1.4 Control: Prevención del Uso Inadecuado de los Recursos de Procesamiento de Información

Los recursos de procesamiento de información del Organismo sesuministran con un propósito determinado. Toda utilización de estosrecursos con propósitos no autorizados o ajenos al destino por el cualfueron provistos debe ser considerada como uso indebido.

Todos los empleados deben conocer el alcance preciso del uso adecuado de los recursos informáticos y deben respetarlo.

En particular, se debe respetar lo dispuesto por las siguientes normas:

• Ley Marco de Regulación de Empleo Público Nacional. Ley 25.164:Prohíbe hacer uso indebido o con fines particulares del patrimonioestatal.

• Convenio Colectivo de Trabajo General: Obliga a los agentes a nohacer uso indebido o con fines particulares del patrimonio estatal.

• Etica en el Ejercicio de la Función Pública. Ley 25.188: Obliga a laspersonas que se desempeñen en la función pública a proteger y conservarla propiedad del Estado y sólo emplear sus bienes con los finesautorizados.

• Código de Etica de la Función Pública: Obliga al funcionario públicoa proteger y conservar los bienes del Estado y utilizar los que lefueran asignados para el desempeño de sus funciones de manera racional,evitando su abuso, derroche o desaprovechamiento.

• Código Penal: Sanciona a aquel que alterare, destruyere o inutilizaredatos, documentos, programas o sistemas informáticos; o vendiere,distribuyere, hiciere circular o introdujere en un sistema informático,cualquier programa destinado a causar daños (Art. 183).

15.1.6 Regulación de Controles para el Uso de Criptografía

Al utilizar firmas digitales o electrónicas, se debe considerar lodispuesto por la Ley 25.506 y su decreto reglamentario Decreto 2628/02,que establecen las condiciones bajo las cuales una firma digital eslegalmente válida.

Respecto a la comercialización de controles criptográficos, nuestropaís ha suscrito el acuerdo Wassennar, que establece un listado demateriales y tecnologías de doble uso, cuya comercialización puede serconsiderada peligrosa.

El Decreto 603/92 regula el Régimen de Control de las ExportacionesSensitivas y de Material Bélico, estableciendo un tratamiento especialpara la exportación de determinados bienes que pueden ser comprendidosdentro del concepto de material bélico.

Se debe obtener asesoramiento antes de transferir a otro paísinformación cifrada o controles criptográficos. Para ello se puedeconsultar a la Dirección General de Política, de la Secretaría deAsuntos Militares, Ministerio de Defensa, a fin de saber si el materialexportable requiere algún tratamiento especial.

15.1.7 Recolección de Evidencia

Es necesario contar con adecuada evidencia para respaldar una accióncontra una persona u organización. Siempre que esta acción responda auna medida disciplinaria interna, la evidencia necesaria estarádescrita en los procedimientos internos.

Cuando la acción implique la aplicación de una ley, tanto civil comopenal, la evidencia presentada debe cumplir con lo establecido por lasnormas procesales. Para lograr la validez de la evidencia, el Organismogarantizará que sus sistemas de información cumplen con la normativa ylos estándares o códigos de práctica relativos a la producción deevidencia válida.

Para lograr la calidad y totalidad de la evidencia es necesaria unasólida pista de la misma. Esta pista se establecerá cumpliendo lassiguientes condiciones:

a) Almacenar los documentos en papel originales en forma segura ymantener registros acerca de quién lo halló, dónde se halló, cuándo sehalló y quién presenció el hallazgo. Cualquier investigación debegarantizar que los originales no sean alterados.

b) Copiar la información para garantizar su disponibilidad. Semantendrá un registro de todas las acciones realizadas durante elproceso de copia. Se almacenará en forma segura una copia de los mediosy del registro.

Cuando se detecta un incidente, puede no resultar obvio si éstederivará en una demanda legal por lo tanto se deben tomar todos losrecaudos establecidos para la obtención y preservación de la evidencia.

Se debe tener presente lo dispuesto por el Reglamento deInvestigaciones Administrativas, procedimiento administrativo especial,de naturaleza correctiva interna que constituye garantía suficientepara la protección de los derechos y correcto ejercicio de lasresponsabilidades impuestas a los agentes públicos. Este Decreto debeser complementado por lo dispuesto en la Ley Nº 19.549 (Ley deProcedimientos Administrativos) y por toda otra normativa aplicable,incluido el Código Penal, el que sanciona a quien sustrajere, alterare,ocultare, destruyere o inutilizare en todo o en parte objetosdestinados a servir de prueba ante la autoridad competente, registros odocumentos confiados a la custodia de un funcionario público o de otrapersona en el interés del servicio público (Art. 255).

15.1.8 Delitos Informáticos

Todos los empleados deben conocer la existencia de la Ley 26.388 deDelitos Informáticos, a partir de cuyo dictado se castigan penalmenteciertas conductas cometidas mediante medios informáticos. En talsentido, los agentes públicos deben conocer con exactitud el alcance delos nuevos tipos penales introducidos por la norma mencionada.

Cabe señalar que la mayoría de las conductas descritas por dicha normavinculada ya han sido señaladas en los apartados precedentes.

15.2 Categoría: Revisiones de la Política de Seguridad y la Compatibilidad Técnica

Objetivo

Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional.

La seguridad de los sistemas de información se debiera revisar regularmente.

Estas revisiones deben realizarse en base a las políticas de seguridadapropiadas y las plataformas técnicas, y los sistemas de informacióndeben ser auditados en cumplimiento con los estándares deimplementación de seguridad aplicables y los controles de seguridaddocumentados.

15.2.1 Control: Cumplimiento de la Política de Seguridad

Cada Responsable de Unidad Organizativa, velará por la correctaimplementación y cumplimiento de las normas y procedimientos deseguridad establecidos, dentro de su área de responsabilidad.

El Responsable de Seguridad de la Información, realizará revisionesperiódicas de todas las áreas del Organismo a efectos de garantizar elcumplimiento de la política, normas y procedimientos de seguridad.Entre las áreas a revisar se incluyen las siguientes:

a) Sistemas de información.

b) Proveedores de sistemas.

c) Propietarios de información.

d) Usuarios.

Los Propietarios de la Información brindarán apoyo a la revisiónperiódica del cumplimiento de la política, normas, procedimientos yotros requisitos de seguridad aplicables.

15.2.2 Verificación de la Compatibilidad Técnica

El Responsable de Seguridad de la Información verificará periódicamenteque los sistemas de información cumplan con la política, normas yprocedimientos de seguridad, las que incluirán la revisión de lossistemas en producción a fin de garantizar que los controles dehardware y software hayan sido correctamente implementados. En caso deser necesario, estas revisiones contemplarán la asistencia técnicaespecializada.

El resultado de la evaluación se volcará en un informe técnico para suulterior interpretación por parte de los especialistas. Para ello, latarea podrá ser realizada por un profesional experimentado (en formamanual o con el apoyo de herramientas de software), o por un paquete desoftware automatizado que genere reportes que serán interpretados porun especialista técnico.

La verificación del cumplimiento comprenderá pruebas de penetración ytendrá como objetivo la detección de vulnerabilidades en el sistema yla verificación de la eficacia de los controles con relación a laprevención de accesos no autorizados. Se tomarán los recaudosnecesarios en el caso de pruebas de penetración exitosas quecomprometan la seguridad del sistema.

Las verificaciones de cumplimiento sólo serán realizadas por personascompetentes, formalmente autorizadas y bajo la supervisión.

15.3 Consideraciones de Auditorías de Sistemas

Objetivo

Maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoría del sistema de información.

Durante las auditorías de los sistemas de información debieran existircontroles para salvaguardar los sistemas operacionales y herramientasde auditoría.

Con relación a las auditorías, serán de aplicación las Normas deControl Interno para Tecnologías de Información, aprobadas por laresolución SIGEN Nº 48/05.

15.3.1 Controles de Auditoría de Sistemas

Cuando se realicen actividades de auditoría que involucrenverificaciones de los sistemas en producción, se tomarán recaudos en laplanificación de los requerimientos y tareas, y se acordará con lasáreas involucradas a efectos de minimizar el riesgo de interrupcionesen las operaciones.

Se contemplarán los siguientes puntos:

a) Acordar con el Area que corresponda los requerimientos de auditoría.

b) Controlar el alcance de las verificaciones. Esta función será realizada por el responsable de auditoría.

c) Limitar las verificaciones a un acceso de sólo lectura del softwarey datos de producción. Caso contrario, se tomarán los resguardosnecesarios a efectos de aislar y contrarrestar los efectos de lasmodificaciones realizadas, una vez finalizada la auditoría. Por ejemplo:

• Eliminar archivos transitorios.

• Eliminar entidades ficticias y datos incorporados en archivos maestros.

• Revertir transacciones.

• Revocar privilegios otorgados

d) Identificar claramente los recursos de tecnologías de información(TI) para llevar a cabo las verificaciones, los cuales serán puestos adisposición de los auditores. A tal efecto, la Unidad de Auditoría o ensu defecto quien sea propuesto por el Comité de Seguridad de laInformación completará el siguiente formulario, el cual debe ser puestoen conocimiento de las áreas involucradas:

Recursos de TI a utilizar en la VerificaciónSistemas de información...................Base de datos...................Hardware...................Software de Auditoría...................Medios Magnéticos...................Personal de Auditoría...................Interlocutores de las Areas de Informática...................Interlocutores de las Areas Usuarias...................Conexiones a Red..................................................e) Identificar y acordar los requerimientos de procesamiento especial o adicional.

f) Monitorear y registrar todos los accesos, a fin de generar una pistade referencia. Los datos a resguardar deben incluir como mínimo:

• Fecha y hora.

• Puesto de trabajo.

• Usuario.

• Tipo de acceso.

• Identificación de los datos accedidos.

• Estado previo y posterior.

• Programa y/o función utilizada.

g) Documentar todos los procedimientos de auditoría, requerimientos y responsabilidades.

15.3.2 Protección de los Elementos Utilizados por la Auditoría de Sistemas

Se protegerá el acceso a los elementos utilizados en las auditorías desistemas, o sea archivos de datos o software, a fin de evitar el maluso o el compromiso de los mismos.

Dichas herramientas estarán separadas de los sistemas en producción yde desarrollo, y se les otorgará el nivel de protección requerido.

Se tomarán los recaudos necesarios a efectos de cumplimentar las normasde auditoría dispuestas por la Sindicatura General de la Nación.

15.3.3 Sanciones Previstas por Incumplimiento

Se sancionará administrativamente a todo aquel que viole lo dispuestoen la presente Política de Seguridad conforme a lo dispuesto por lasnormas estatutarias, escalafonarias y convencionales que rigen alpersonal de la Administración Pública Nacional, y en caso decorresponder, se realizarán las acciones correspondientes ante el o losOrganismos pertinentes.

Las sanciones sólo pueden imponerse mediante un acto administrativo queasí lo disponga cumpliendo las formalidades impuestas por los preceptosconstitucionales, la Ley de Procedimiento Administrativo y demásnormativas específicas aplicables.

Amén de las sanciones disciplinarias o administrativas, el agente queno da debido cumplimiento a sus obligaciones pueden incurrir también enresponsabilidad civil o patrimonial —cuando ocasiona un daño que debeser indemnizado— y/o en responsabilidad penal —cuando su conductaconstituye un comportamiento considerado delito por el Código Penal yleyes especiales.