Disposición 2/2013

Texto Original

JEFATURA DE GABINETE DE MINISTROS

SECRETARIA DE GABINETE Y COORDINACION ADMINISTRATIVA

SUBSECRETARIA DE TECNOLOGIAS DE GESTION

OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION

Disposición Nº 2/2013

Bs. As., 8/8/2013

VISTO el Expediente CUDAP: EXP-JGM: 0021755/2012 del Registro de laJefatura de Gabinete de Ministros, la Resolución JGM Nº 580 del 28 dejulio de 2011, y

CONSIDERANDO:

Que mediante la Resolución JGM Nº 580/11 se crea en el ámbito de laOFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION DE INFORMACIONdependiente de la SUBSECRETARIA DE TECNOLOGIAS DE GESTION de la exSECRETARIA DE GABINETE, actual SECRETARIA DE GABINETE Y COORDINACIONADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS, el “PROGRAMANACIONAL DE INFRAESTRUCTURAS CRITICAS DE INFORMACION Y CIBERSEGURIDAD”.

Que el artículo 2° de la citada norma establece que el “ProgramaNacional de Infraestructuras Críticas de Información y Ciberseguridad”tiene como objetivo la elaboración de un marco regulatorio específicoque propicie la identificación y protección de las infraestructurasestratégicas y críticas de las entidades y jurisdicciones definidas enel artículo 8° de la Ley Nº 24.156 y sus modificatorios, los organismosinterjurisdiccionales, y las organizaciones civiles y del sectorprivado que así lo requieran, así como el fomento de la cooperación ycolaboración de los mencionados sectores con miras al desarrollo deestrategias y estructuras adecuadas para un accionar coordinado haciala implementación de las pertinentes tecnologías.

Que por el artículo 3° de la Resolución JGM Nº 580/11 antes mencionadase establecen los objetivos que llevará adelante el PROGRAMA NACIONAL.

Que el artículo 4° de la Resolución JGM Nº 580/11 antes citada,establece que el citado PROGRAMA NACIONAL estará a cargo de la OFICINANACIONAL DE TECNOLOGIAS DE INFORMACION.

Que asimismo, el inciso a) del citado artículo indica que la OFICINANACIONAL DE TECNOLOGIAS DE INFORMACION deberá dictar las normas queresulten necesarias para la implementación del “PROGRAMA NACIONAL DEINFRAESTRUCTURAS CRITICAS DE INFORMACION Y CIBERSEGURIDAD”.

Que el Comité Interamericano contra el terrorismo (CICTE) pertenecientea la Organización de los Estados Americanos (OEA), del cual nuestropaís forma parte, ha suscripto el día 7 de Marzo del año 2012 laDeclaración “Fortalecimiento de la Seguridad Cibernética en lasAméricas” mediante la cual reconoce la necesidad de hallar formasefectivas de prevenir, impedir y atenuar las consecuencias de posiblesamenazas a la infraestructura crítica y de estar preparados pararesponder a tales amenazas, así como de garantizar la seguridad de lasinstalaciones y de quienes las ocupan como asimismo la necesidad dealentar a los Estados Miembros a estrechar vínculos con el sectorprivado y la sociedad civil, cuando corresponda, en sus respectivospaíses, para desarrollar programas de fomento de la capacidadpreventiva y de protección contra las amenazas a la infraestructuracrítica.

Que resulta vital ampliar la protección de las infraestructurascríticas de información, como eje de una política de Estado en suinteracción con el ciudadano el cual garantice servicios con elobjetivo de hacerlos sustentables y eficientes, generando planes deacción responsable, en constante actualización y de manera mancomunadaentre los diferentes sectores involucrados.

Que consecuentemente, se torna imprescindible a fin de impulsar unaimplementación coordinada de los distintos objetivos planteados por el“PROGRAMA NACIONAL DE INFRAESTRUCTURAS CRITICAS DE INFORMACION YCIBERSEGURIDAD”, establecer grupos de trabajo con objetivos y tareasdefinidas bajo la órbita de la OFICINA NACIONAL DE TECNOLOGIAS DEINFORMACION con el fin de desarrollar y formular proyectos y propuestasque promuevan, a través de la aplicación de las TIC, la protección deinfraestructuras críticas de información y ciberseguridad, la reducciónde las desigualdades sociales y regionales, la protección del ciudadanoy que mejoren la calidad de vida de las personas, así como otrasherramientas, normas y medios necesarios para el logro de estosobjetivos.

Que ha tomado la intervención de su competencia la DIRECCION GENERAL DEASUNTOS JURIDICOS de la SUBSECRETARIA DE COORDINACION ADMINISTRATIVA dela SECRETARIA DE GABINETE y COORDINACION ADMINISTRATIVA de la JEFATURADE GABINETE DE MINISTROS.

Que la presente medida se dicta en virtud de las facultades conferidaspor el artículo 4° inciso a) de la Resolución JGM Nº 580/11.

Por ello, EL DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION

DISPONE:

ARTICULO 1° — Créase el grupo de trabajo “ICIC - CERT” (ComputerEmergency Response Team) en el marco del “Programa Nacional deInfraestructuras Críticas de Información y Ciberseguridad”, y bajo laórbita de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION.

ARTICULO 2° — El grupo de trabajo “ICIC - CERT” tendrá a su cargo los siguientes objetivos:

a) Administrar toda la información sobre reportes de incidentes deseguridad en el Sector Público Nacional que hubieren adherido alPrograma y encausar sus posibles soluciones de forma organizada yunificada.

b) Asesorar técnicamente ante incidentes de seguridad en sistemasinformáticos que reporten los organismos del Sector Público Nacionalque hubieren adherido.

c) Centralizar los reportes sobre incidentes de seguridad ocurridos enredes teleinformáticas del Sector Público Nacional que hubierenadherido al Programa y facilitar el intercambio de información paraafrontarlos.

d) Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas, técnicas de protección y defensa.

e) Promover la coordinación entre las unidades de administración deredes informáticas del Sector Público Nacional, para la prevención,detección, manejo y recopilación de información sobre incidentes deseguridad.

f) Difundir información útil para incrementar los niveles de seguridadde las redes teleinformáticas del Sector Público Nacional.

g) Interactuar con equipos de similar naturaleza.

ARTICULO 3° — Créase el grupo de trabajo “ICIC - GAP” (Grupo de AcciónPreventiva) en el marco del “Programa Nacional de InfraestructurasCríticas de Información y Ciberseguridad”, bajo la órbita de la OFICINANACIONAL DE TECNOLOGIAS DE INFORMACION.

ARTICULO 4° — El grupo de trabajo “ICIC - GAP” tendrá a su cargo los siguientes objetivos:

a) Investigar nuevas tecnologías y herramientas en materia de seguridad informática.

b) Incorporar tecnología de última generación para minimizar todas lasposibles vulnerabilidades de la infraestructura digital del SectorPúblico Nacional.

c) Asesorar a los organismos sobre herramientas y técnicas de protección y defensa de sus sistemas de información.

d) Monitorear los servicios que el Sector Público Nacional brinda através de la red de Internet y aquellos que se identifiquen comoInfraestructura Crítica para la prevención de posibles fallas deSeguridad.

e) Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas, técnicas de protección y defensa.

f) Interactuar con equipos de similar naturaleza.

ARTICULO 5° — Créase el grupo de trabajo “ICIC - GICI” (Grupo deInfraestructuras Críticas de Información) en el marco del “ProgramaNacional de Infraestructuras Críticas de Información y Ciberseguridad”,bajo la órbita de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION.

ARTICULO 6° — El grupo de trabajo “ICIC - GICI” tendrá a su cargo los siguientes objetivos:

a) Elaborar y proponer normas destinadas a incrementar los esfuerzosorientados a elevar los umbrales de seguridad en los recursos ysistemas relacionados con las tecnologías informáticas en el ámbito delSector Público Nacional.

b) Colaborar con el sector privado para elaborar en conjunto políticasde resguardo de la seguridad digital con actualización constante,fortaleciendo lazos entre los sectores público y privado; haciendoespecial hincapié en las infraestructuras críticas.

c) Establecer prioridades y planes estratégicos para liderar elabordaje de la ciberseguridad, asegurando la implementación de losúltimos avances en tecnología para la protección de lasinfraestructuras críticas.

d) Alertar a los organismos que se adhieran al presente Programa sobrecasos de detección de intentos de vulneración de infraestructurascríticas, sean éstos reales o no.

e) Coordinar la implementación de ejercicios de respuesta ante laeventualidad de un intento de vulneración de las infraestructurascríticas del Sector Público Nacional.

f) Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas, técnicas de protección y defensa.

g) Elaborar un informe anual de la situación en materia de ciberseguridad, a efectos de su publicación abierta y transparente.

h) Difundir información útil para incrementar los niveles de seguridadde las redes teleinformáticas del Sector Público Nacional.

i) Interactuar con equipos de similar naturaleza.

ARTICULO 7° — Créase el grupo de trabajo “ICIC - INTERNET SANO” en elmarco del “Programa Nacional de Infraestructuras Críticas deInformación y Ciberseguridad”, bajo la órbita de la OFICINA NACIONAL DETECNOLOGIAS DE INFORMACION.

ARTICULO 8° — El grupo de trabajo “ICIC - INTERNET SANO” tendrá a su cargo el siguiente objetivo:

a) Promover la concientización en relación a los riesgos que acarrea eluso de medios digitales en el Sector Público Nacional, lasOrganizaciones de Gobierno, al público en general, como así también delrol compartido entre el Sector Público y Privado para el resguardo dela Infraestructura Crítica.

b) Interactuar con equipos de similar naturaleza.

ARTICULO 9° — El resguardo de la integridad de la información quebrindarán al “ICIC” las entidades y jurisdicciones definidas en elartículo 8° de la Ley Nº 24.156 y sus modificatorios, los organismosinterjurisdiccionales, y las organizaciones civiles y del sectorprivado será responsabilidad de estos últimos siendo ellos losencargados de generarla y/o administrarla. La investigación del origende los incidentes de seguridad o ataques y de quiénes son susresponsables corresponde a las autoridades de cada organismo que hayasufrido el mismo.

ARTICULO 10. — La reparación de las consecuencias de incidentes queafecten recursos específicos de las entidades y jurisdiccionesdefinidas en el artículo 8° de la Ley Nº 24.156 y sus modificatorios,los organismos interjurisdiccionales, y las organizaciones civiles ydel sector privado, será responsabilidad del organismo objeto delincidente.

ARTICULO 11. — El “ICIC” mantendrá la confidencialidad sobre laidentidad de la organización afectada por los incidentes reportados.

ARTICULO 12. — Los objetivos de los cuatro (4) Grupos de Trabajo antesmencionados, sólo serán llevados adelante por personal dependiente dela OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION.

ARTICULO 13. — La presente Disposición entrará en vigencia a partir deldía siguiente al de su publicación en el Boletín Oficial, y sepublicará en el sitio web de la JEFATURA DE GABINETE DE MINISTROS(www.jefatura.gob.ar).

ARTICULO 14. — Comuníquese, publíquese, dése a la Dirección Nacionaldel Registro Oficial y archívese. — PEDRO JANICES, Director Nacional,Oficina Nacional de Tecnologías de Información.

e. 03/09/2013 Nº 67872/13 v. 03/09/2013