Disposición 1/2015

Texto Original

JEFATURA DE GABINETE DE MINISTROS

SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA

SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN

OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN

Disposición 1/2015

Bs. As.,19/2/2015

VISTO el Expediente CUDAP: EXP-JGM: 0030261/2014 del Registro de laJEFATURA DE GABINETE DE MINISTROS, el Decreto N° 378 del 27 de abril de2005, la Decisión Administrativa N° 669 del 20 de diciembre de 2004, laResolución N° 45 del 24 de junio de 2005 de la entonces SUBSECRETARÍADE LA GESTIÓN PÚBLICA, la Disposición N° 6 del 8 de agosto de 2005 yDisposición N° 3 del 27 de agosto de 2013 de la OFICINA DE TECNOLOGÍASDE INFORMACIÓN, y

CONSIDERANDO:

Que el Decreto N° 378/2005 aprobó los Lineamientos Estratégicos quedeberán regir el Plan Nacional de Gobierno Electrónico y los PlanesSectoriales de Gobierno Electrónico de los Organismos de laADMINISTRACIÓN PÚBLICA NACIONAL a fin de promover el empleo eficiente ycoordinado de los recursos de las Tecnologías de la Información y lasComunicaciones.

Que la Decisión Administrativa N° 669/2004 de la JEFATURA DE GABINETEDE MINISTROS estableció en su artículo 1° que los organismos del SectorPúblico Nacional comprendidos en el artículo 7° de la citada medidadeberán dictar o bien adecuar sus políticas de seguridad de lainformación conforme a la Política de Seguridad Modelo a dictarsedentro del plazo de CIENTO OCHENTA (180) días de aprobada dichaPolítica de Seguridad Modelo.

Que el artículo 8° de la mencionada decisión administrativa, facultó alentonces señor SUBSECRETARIO DE LA GESTIÓN PÚBLICA de la JEFATURA DEGABINETE DE MINISTROS a aprobar la Política de Seguridad Modelo y adictar las normas aclaratorias y complementarias de la citada medida,pudiendo dicha autoridad delegar en el DIRECTOR NACIONAL DE LA OFICINANACIONAL DE TECNOLOGÍAS DE INFORMACIÓN las facultades aludidas.

Que consecuentemente con ello, el artículo 1° de la Resolución N°45/2005 de la entonces SUBSECRETARÍA DE LA GESTIÓN PÚBLICA hoySECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DEGABINETE DE MINISTROS facultó al señor DIRECTOR NACIONAL de la OFICINANACIONAL DE TECNOLOGÍAS DE INFORMACIÓN de la entonces SUBSECRETARÍA DEGESTIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS a aprobar la“Política de Seguridad de la Información Modelo” y dictar las normasaclaratorias y complementarias que requiera la aplicación de laDecisión Administrativa N° 669/2004.

Que la Disposición N° 620/2005 de la OFICINA NACIONAL DE TECNOLOGÍAS DEINFORMACIÓN de la entonces SUBSECRETARÍA DE GESTION PÚBLICA de laJEFATURA DE GABINETE DE MINISTROS en su artículo 1° aprobó la “Políticade Seguridad de la Información Modelo” ordenada por la DecisiónAdministrativa N° 669/2004, y que sirvió como base para la elaboraciónde las respectivas políticas a dictarse por cada organismo alcanzadopor la citada norma.

Que la Disposición N° 3/2013 de la OFICINA NACIONAL DE TECNOLOGÍAS DEINFORMACIÓN de SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN de la SECRETARÍADE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DEMINISTROS en su artículo 1° aprobó la ‘‘Política de Seguridad de laInformación Modelo” que reemplazó y actualizó a los mismos fines a laque fuera aprobada por Disposición ONTI N° 6/2005.

Que atento al incremento en cantidad y variedad de amenazas yvulnerabilidades que rodean a los activos de información, la “Políticade Seguridad Modelo” oportunamente aprobada requiere ser actualizada afin de mantener su vigencia y nivel de eficacia.

Que la mera elaboración por parte de los organismos de políticas deseguridad no es suficiente para garantizar la seguridad de lainformación, la que permite a su vez, garantizar la prestación continuae ininterrumpida de los diversos servicios públicos prestados pordichos organismos.

Que sólo a través de la efectiva implementación de las medidascontempladas en dichas políticas se podrá proteger acabadamente losrecursos de información de los organismos como así también latecnología utilizada para su procesamiento.

Que la presente medida se dicta en ejercicio de las facultadesconferidas por el artículo 1° de la Resolución N° 45/2005 de laentonces SUBSECRETARÍA DE LA GESTIÓN PÚBLICA actual SECRETARÍA DEGABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DEMINISTROS.

Por ello,

EL DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓNDISPONE:ARTÍCULO 1° — Apruébase la “Política de Seguridad de la InformaciónModelo”, que reemplaza a los mismos fines a la aprobada por DisposiciónONTI N° 3/2014, que como Anexo I forma parte integrante de la presente.ARTÍCULO 2° — Instrúyase a los organismos del Sector Público Nacionalcomprendidos en el artículo 7° de la Decisión Administrativa N°669/2004 de la JEFATURA DE GABINETE DE MINISTROS, a implementar lasmedidas adoptadas en sus respectivas políticas de seguridad de lainformación dentro del plazo de CIENTO OCHENTA (180) días de publicadala presente.ARTÍCULO 3° — Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DELREGISTRO OFICIAL y archívese. — PEDRO JANICES, Director Nacional,Oficina Nacional de Tecnologías de Información.ANEXO I

Política Modelo de Seguridad de la Información

INDICEContenido

1. Introducción1.1 Alcance1.2 ¿Qué es seguridad de la información?1.3 ¿Por qué es necesario?1.4 Requerimientos de seguridad1.5 Evaluación de los riesgos de seguridad1.6 Selección de controles1.7 ¿Cómo empezar?1.8 Factores críticos de éxito2. Términos y Definiciones2.1 Seguridad de la Información2.2 Evaluación de Riesgos2.2 Tratamiento de Riesgos2.3 Gestión de Riesgos2.4 Comité de Seguridad de la Información2.5 Responsable de Seguridad de la Información2.6 Incidente de Seguridad2.7 Riesgo2.8 Amenaza2.9 Vulnerabilidad2.10 Control3. Estructura de la política Modelo4. Evaluación y tratamiento de riesgos4.1 Evaluación de los riesgos de seguridad4.2 Tratamiento de riesgos de seguridad5. Cláusula: Política de Seguridad de la Información5.1 Categoría: Política de Seguridad de la información5.1.1 Control: Documento de la política de seguridad de la información5.1.2 Control: Revisión de la política de seguridad de la información6. Cláusula: Organización6.1 Categoría: Organización interna6.1.1 Control: Compromiso de la dirección con la seguridad de la información6.1.2 Control: Coordinación de la seguridad de la información6.1.3 Control: Asignación de responsabilidades de la seguridad de la información6.1.4 Control: Autorización para Instalaciones de Procesamiento de Información6.1.5 Control: Acuerdos de confidencialidad6.1.6 Control: Contacto con otros organismos6.1.7 Control: Contacto con grupos de interés especial6.1.8 Control: Revisión independiente de la seguridad de la información6.2 Categoría: Dispositivos móviles y trabajo remoto6.2.1 Control: Dispositivos Móviles6.2.2 Control: Trabajo Remoto7. Cláusula: Recursos Humanos7.1 Categoría: Antes del empleo7.1.1 Control: Funciones y responsabilidades7.1.2 Control: Investigación de antecedentes7.1.3 Control: Términos y condiciones de contratación7.2 Categoría: Durante el empleo7.2.1 Control: Responsabilidad de la dirección7.2.2 Control: Concientización, formación y capacitación en seguridad de la información7.2.3 Control: Proceso disciplinario7.3 Categoría: Cese del empleo o cambio de puesto de trabajo7.3.1 Control: Responsabilidad del cese o cambio7.3.2 Control: Devolución de activos7.3.3 Control: Retiro de los derechos de acceso8. Cláusula: Gestión de Activos8.1 Categoría: Responsabilidad sobre los activos8.1.1 Control: Inventario de activos8.1.2 Control: Propiedad de los activos8.1.3 Control: Uso aceptable de los activos8.2 Categoría: Clasificación de la información8.2.1 Control: Directrices de clasificación8.2.2 Control: Etiquetado y manipulado de la información8.3 Categoría: Gestión de medios8.3.1 Control: Administración de Medios Informáticos Removibles8.3.2 Control: Eliminación de Medios de Información8.3.3 Control: Seguridad de los Medios en Tránsito9. Cláusula: Gestión de Accesos9.1 Categoría: Requerimientos para la Gestión de Acceso9.1.1 Control: Política de Gestión de Accesos9.1.2 Control: Reglas de Gestión de Acceso9.2 Categoría: Administración de Gestión de Usuarios9.2.1 Control: Registración de Usuarios9.2.2 Control: Gestión de Privilegios9.2.3 Control: Gestión de Contraseñas de Usuario9.2.4 Control: Administración de Contraseñas Críticas9.2.5 Control: Revisión de Derechos de Acceso de Usuarios9.3 Categoría: Responsabilidades del Usuario9.3.1 Control: Uso de Contraseñas9.4 Categoría: Control de Acceso a Sistemas y Aplicaciones9.4.1 Control: Política de Utilización de los Servicios de Red9.4.2 Control: Camino Forzado9.4.3 Control: Autenticación de Usuarios para Conexiones Externas9.4.4 Control: Autenticación de Nodos9.4.5 Control: Protección de los Puertos (Ports) de Diagnóstico Remoto9.4.6 Control: Subdivisión de Redes9.4.7 Control: Acceso a Internet9.4.8 Control: Conexión a la Red9.4.9 Control: Ruteo de Red9.4.10 Control: Seguridad de los Servicios de Red9.5 Categoría: Control de Acceso al Sistema Operativo9.5.1 Control: Identificación Automática de Terminales9.5.2 Control: Procedimientos de Conexión de Terminales9.5.3 Control: Identificación y Autenticación de los Usuarios9.5.4 Control: Sistema de Administración de Contraseñas10. Cláusula: Criptografía10.1 Categoría: Cumplimiento de Requisitos Legales10.1.1 Control: Política de Utilización de Controles Criptográficos10.1.2 Control: Cifrado10.1.3 Control: Firma Digital10.1.4 Control: Servicios de No Repudio10.1.5 Control: Protección de claves criptográficas10.1.6 Control: Protección de Claves criptográficas: Normas y procedimientos11. Cláusula: Física y Ambiental11.1 Categoría: Áreas Seguras11.1.1 Control: Perímetro de seguridad física11.1.2 Control: Controles físicos de entrada11.1.3 Control: Seguridad de oficinas, despachos, instalaciones11.1.4 Control: Protección contra amenazas externas y de origen ambiental11.1.5 Control: Trabajo en áreas seguras11.1.6 Control: Áreas de acceso público, de carga y descarga11.2 Categoría: Seguridad de los equipos11.2.1 Control: emplazamiento y protección de equipos11.2.2 Control: Instalaciones de suministro11.2.3 Control: Seguridad del cableado11.2.4 Control: Mantenimiento de los equipos11.2.5 Control: Seguridad de los equipos fuera de las instalaciones11.2.6 Control: Reutilización o retiro seguro de equipos11.2.7 Control: Retirada de materiales propiedad del organismo11.2.8 Control: Políticas de Pantallas Limpias11.2.9 Control: Políticas de Escritorios Limpios12. Cláusula: Seguridad en las Operaciones12.1 Categoría: Procedimientos y Responsabilidades operativas12.1.1 Control: Documentación de los Procedimientos Operativos12.1.2 Control: Cambios en las Operaciones12.1.3 Control: Planificación de la Capacidad12.1.4 Control: Separación de entornos de desarrollo, pruebas y operacionales12.2 Categoría: Protección contra el malware (código malicioso)12.2.1 Control: Control contra el malware (código malicioso)12.2.2 Control: Código Móvil12.3 Categoría: Resguardo (backup)12.3.1 Control: Resguardo de la Información12.4 Categoría: Registro y Monitoreo12.4.1 Control: Registro de eventos12.4.2 Control: Protección del registro de información12.4.3 Control: Registro del Administrador y del Operador12.4.4 Control: Sincronización de Relojes12.5 Categoría: Control de Software Operacional12.5.1 Control: Instalación de software en sistemas operacionales12.6 Categoría: Administración de vulnerabilidades técnicas12.6.1 Control: Administración de vulnerabilidades técnicas12.6.2 Control: Restricciones en la instalación de software12.7 Categoría: Consideraciones sobre la auditoría de los sistemas de información12.7.1 Control: Controles de auditoría de los sistemas de información13. Cláusula: Gestión de Comunicaciones13.1 Categoría: Gestión de la Red13.1.1 Control: Redes13.1.2 Control: Seguridad de Servicio de red13.2 Categoría: Transferencia de información13.2.1 Control: Procedimientos y controles de intercambio de la información13.2.2 Control: Acuerdos de Intercambio de Información13.2.3 Control: Seguridad de la Mensajería13.2.4 Control: Acuerdos de confidencialidad14. Cláusula: Adquisición, desarrollo y mantenimiento de sistemas14.1 Categoría: Requerimientos de Seguridad de los Sistemas14.1.1 Control: Análisis y Especificaciones de los Requerimientos de seguridad14.1.2 Control: Seguridad de servicios aplicativos en redes públicas14.1.3 Control: Protección de servicios de aplicativos14.2 Categoría: Seguridad en los Sistemas de Aplicación14.2.1 Control: Validación de Datos de Entrada14.2.2 Control: Controles de Procesamiento Interno14.2.3 Control: Autenticación de Mensajes14.2.4 Control: Validación de Datos de Salidas14.3 Categoría: Seguridad de los Archivos del Sistema14.3.1 Control: Software Operativo14.3.2 Control: Protección de los Datos de Prueba del Sistema14.3.3 Control: Cambios a Datos Operativos14.3.4 Control: Acceso a las Bibliotecas de Programas fuentes14.4 Categoría: Seguridad de los Procesos de Desarrollo y Soporte14.4.1 Control: Procedimiento de Control de Cambios14.4.2 Control: Revisión Técnica de los Cambios en el sistema Operativo14.4.3 Control: Restricción del Cambio de Paquetes de Software14.4.4 Control: Canales Ocultos y Código Malicioso14.4.5 Control: Desarrollo Externo de Software14.5 Categoría: Gestión de vulnerabilidades técnicas14.5.1 Control: Vulnerabilidades técnicas15. Cláusula: Relaciones con Proveedores15.1 Categoría: Seguridad de la información en las relaciones con el proveedor15.1.1 Control: Política de seguridad de la información para las relaciones con el proveedor15.1.2 Control: Abordar la seguridad dentro de los acuerdos del proveedor15.1.3 Control: Cadena de suministro de tecnologías de la información y comunicaciones15.2 Categoría: Administración de prestación de servicios de proveedores15.2.1 Control: Supervisión y Revisión de los servicios del proveedor15.2.2 Control: Gestión de cambios a los servicios del proveedor16. Cláusula: Gestión de Incidentes de Seguridad16.1 Categoría: Informe de los eventos y debilidades de la seguridad de la información16.1.1 Control: Reporte de los eventos de la seguridad de información16.1.2 Control: Reporte de las debilidades de la seguridad16.1.3 Control: Comunicación de Anomalías del Software16.2 Categoría: Gestión de los Incidentes y mejoras de la seguridad de la información16.2.1 Control: Responsabilidades y procedimientos16.2.2 Control: Aprendiendo a partir de los incidentes de la seguridad de la información16.2.3 Control: Procesos Disciplinarios17. Cláusula: Gestión de la Continuidad17.1 Categoría: Gestión de continuidad del Organismo17.1.1 Control: Proceso de Administración de la continuidad del Organismo17.1.2 Control: Continuidad de las Actividades y Análisis de los impactos17.1.3 Control: Elaboración e implementación de los planes de continuidad de las Actividades del Organismo17.1.4 Control: Marco para la Planificación de la Continuidad de las Actividades del Organismo17.1.5 Control: Ensayo, Mantenimiento y Reevaluación de los Planes de continuidad del Organismo17.2 Categoría: Redundancias17.2.1 Control: Disponibilidad de las instalaciones de procesamiento de la información18. Cláusula: Cumplimiento18.1 Categoría: Cumplimiento de Requisitos Legales18.1.1 Control: Identificación de la Legislación Aplicable18.1.2 Control: Derechos de Propiedad Intelectual18.1.3 Control: Protección de los Registros del Organismo18.1.4 Control: Protección de Datos y Privacidad de la Información Personal18.1.5 Control: Prevención del Uso Inadecuado de los Recursos de Procesamiento de Información18.1.6 Control: Regulación de Controles para el Uso de Criptografía18.1.7 Control: Recolección de Evidencia18.1.8 Control: Delitos Informáticos18.2 Categoría: Revisiones de la Política de Seguridad y la Compatibilidad Técnica18.2.1 Control: Cumplimiento de la Política de Seguridad18.2.2 Control: Verificación de la Compatibilidad Técnica18.3 Categoría: Consideraciones de Auditorías de Sistemas18.3.1 Controles de Auditoría de Sistemas18.3.2 Control: Protección de los Elementos Utilizados por la Auditoría de Sistemas18.3.3 Control: Sanciones Previstas por Incumplimiento1. Introducción

En diciembre de 2004, la DA N° 669/2004 de la Jefatura de Gabinete deMinistros estableció la obligatoriedad para los organismos del SectorPúblico Nacional (comprendidos en los incisos a) y c) del artículo 8°de la Ley N° 24.156 y sus modificatorias) de:• Dictar una política de Seguridad de la Información conforme laPolítica de Seguridad Modelo, o adecuar sus Políticas de Seguridadconforme al Modelo aprobado.• Conformar un Comité de Seguridad en la Información.• Designar un coordinador del Comité de Seguridad de la Información.• Establecer las funciones del Comité de Seguridad de la Información.En 2005 mediante la Disposición N° 6/2005 de la Oficina Nacional deTecnologías de Información se aprueba la primera “Política de Seguridadde la Información Modelo” y en mayo del 2014 se procedió a realizar laactualización de aquel Modelo, en base a las actualizaciones sufridaspor la norma ISO/IEC 27002 versión 2013 y la incorporación de temascomo los que se mencionan a continuación:Los aspectos clave de esta actualización son:Fundamentales• Compromiso y apoyo de la dirección de la organización.• Definición clara de un alcance apropiado.• Concientización y formación del personal.• Evaluación de riesgos exhaustiva y adecuada a la organización.• Compromiso de mejora continua.• Establecimiento de políticas y normas.• Organización y comunicación.• Actualización de controles.• Inclusión de la cláusula o dominio:• Criptografía• Gestión de Proveedores• Seguridad en las OperacionesFactores críticos de éxito• La concientización del empleado por la seguridad. Principal objetivo a conseguir.• Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de mejora.• Creación de un sistema de gestión de incidentes que recojanotificaciones continuas por parte de los usuarios (los incidentes deseguridad deben ser reportados y analizados).• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.• La seguridad no es un producto, es un proceso.• La seguridad no es un proyecto, es una actividad continua y elprograma de protección requiere el soporte de la organización paratener éxito.• La seguridad debe ser inherente a los procesos de información y de la organización.Riesgos• Temor ante el cambio: resistencia de las personas.• Discrepancias en los comités de dirección.• Delegación de todas las responsabilidades en departamentos técnicos.• No asumir que la seguridad de la información es inherente a los procesos de la organización.• Planes de formación y concientización inadecuados.• Definición poco clara del alcance.• Exceso de medidas técnicas en detrimento de la formación, concientización y medidas de tipo organizativo.• Falta de comunicación de los progresos al personal de la organización.Se hace saber que queda expresamente prohibido el uso para finescomerciales del presente documento. Asimismo, las personas autorizadaspara usar la “Política Modelo” podrán copiarla, modificarla yreproducirla únicamente para aquellos fines a los cuales está destinada.El presente modelo podrá sufrir modificaciones futuras, de acuerdo alas novedades que se registren en la materia que trata, las cualesserán debidamente aprobadas y comunicadas.1.1 AlcanceLa presente Política de Seguridad de la Información se dicta encumplimiento de las disposiciones legales vigentes, con el objeto degestionar adecuadamente la seguridad de la información, los sistemasinformáticos y el ambiente tecnológico del Organismo.Debe ser conocida y cumplida por toda la planta de personal delOrganismo, tanto se trate de funcionarios políticos como técnicos, ysea cual fuere su nivel jerárquico y su situación de revista.1.2 ¿Qué es seguridad de la información?La información es un activo que, como otros activos importantes, esesencial y en consecuencia necesita ser protegido adecuadamente.La información puede existir en muchas formas. Puede estar impresa oescrita en un papel, almacenada electrónicamente, transmitida porcorreo o utilizando medios electrónicos, mostrada en películas ohablada en una conversación. Cualquiera que sea la forma que tome lainformación, o medio por el cual sea almacenada o compartida, siempredebiera estar apropiadamente protegida.La seguridad de la información es la protección de la información de unrango amplio de amenazas para poder asegurar la continuidad delnegocio, minimizar el riesgo de la operación y la operación normal delorganismo.La seguridad de la información se logra implementando un adecuadoconjunto de controles; incluyendo políticas, procesos, procedimientos,estructuras organizacionales y funciones de software y hardware. Senecesitan establecer, implementar, monitorear, revisar y mejorar estoscontroles cuando sea necesario para asegurar que se cumplan losobjetivos de seguridad y comerciales específicos. Esto se debierarealizar en conjunción con otros procesos de gestión del organismo.1.3 ¿Por qué es necesarioLa información y los procesos, sistemas y redes de apoyo son activosimportantes. Definir, lograr, mantener y mejorar la seguridad de lainformación puede ser esencial para mantener una eficacia en laoperación de las actividades del organismo, observancia legal e imagen.Las organizaciones y sus sistemas y redes de información enfrentanamenazas de seguridad de un amplio rango de fuentes; incluyendo fraudepor computadora, espionaje, sabotaje, vandalismo, fuego o inundación.Las causas de daño como código malicioso, pirateo computarizado oataques de denegación servicio se hacen cada vez más comunes, másambiciosas y cada vez más sofisticadas.La seguridad de la información es importante tanto para negocios delsector público como privado, y para proteger las infraestructurascríticas. En ambos sectores, la seguridad de la información funcionarácomo un facilitador; por ejemplo para lograr e-gobierno o e-negocio,para evitar o reducir los riesgos relevantes, La interconexión de redespúblicas y privadas y el intercambio de fuentes de informaciónincrementan la dificultad de lograr un control del acceso. La tendenciaa la computación distribuida también ha debilitado la efectividad de uncontrol central y especializado.Muchos sistemas de información no han sido diseñados para ser seguros.La seguridad que se puede lograr a través de medios técnicos eslimitada, y debiera ser apoyada por la gestión y los procedimientosadecuados. Identificar qué controles establecer requiere de unplaneamiento cuidadoso y prestar atención a los detalles. La gestión dela seguridad de la información requiere, como mínimo, la participaciónde los diferentes grupos de interés, proveedores, terceros, clientes uotros grupos externos. También se puede requerir asesoría especializadade organizaciones externas.1.4 Requerimientos de seguridadTodo comienza con identificar los requerimientos de seguridad. Existentres fuentes principales de requerimientos de seguridad, Una fuente sederiva de evaluar los riesgos para la organización, tomando en cuentala estrategia general y los objetivos del organismo.A través de la evaluación del riesgo, se identifican las amenazas paralos activos, se evalúa la vulnerabilidad y la probabilidad deocurrencia y se calcula el impacto potencial.Otra fuente son los requerimientos legales, reguladores, estatutarios ycontractuales que tienen que satisfacer una organización, sus socioscomerciales, contratistas y proveedores de servicio; y su ambientesociocultural.Otra fuente es el conjunto particular de principios, objetivos yrequerimientos funcionales para el procesamiento de la información queuna organización ha desarrollado para sostener sus operaciones.1.5 Evaluación de los riesgos de seguridadLos requerimientos de seguridad se identifican mediante una evaluaciónmetódica de los riesgos de seguridad. El gasto en controles debiera serequilibrado con el daño operacional probable resultado de fallas en laseguridad.Los resultados de la evaluación del riesgo ayudarán a guiar ydeterminar la acción de gestión apropiada y las prioridades paramanejar los riesgos de seguridad de la información, e implementar loscontroles seleccionados para protegerse contra esos riesgos.La evaluación del riesgo se debiera repetir periódicamente para tratarcualquier cambio que podría influir en los resultados de la evaluacióndel riesgo.Se puede encontrar más información de la evaluación de los riesgos deseguridad en la cláusula 4.1 “Evaluando los riesgos de la seguridad”.1.6 Selección de controlesUna vez que se han identificado los requerimientos y los riesgos deseguridad y se han tomado las decisiones para el tratamiento de losriesgos, se debieran seleccionar los controles apropiados y se debieranimplementar para asegurar que los riesgos se reduzcan a un nivelaceptable.La selección de los controles de seguridad depende de las decisionesorganizacionales basadas en el criterio de aceptación del riesgo,opciones de tratamiento del riesgo y el enfoque general para la gestióndel riesgo aplicado a la organización, y también debieran estar sujetasa todas las regulaciones y legislación nacionales e internacionalesaplicables.1.7 ¿Cómo empezar?Se pueden considerar un número de controles como un buen punto deinicio para la implementación de la seguridad de la información. Estosse basan en requerimientos legales esenciales o pueden ser consideradoscomo una práctica común para la seguridad de la información.Los controles considerados como esenciales para una organización desdeel punto de vista legislativo incluyen, dependiendo de la legislaciónaplicable:a) protección de datos y privacidad de la información personal,b) protección de los registros organizacionales,c) derechos de propiedad intelectual.Los controles considerados, práctica común para la seguridad de la información, incluyen:a) documento de la política de seguridad de la información;b) asignación de responsabilidades de la seguridad de la información;c) conocimiento, educación y capacitación en seguridad de la información;d) procesamiento correcto en las aplicaciones;e) gestión de la vulnerabilidad técnica;f) gestión de la continuidad operacional;g) gestión de los incidentes y mejoras de la seguridad de la información.Estos controles se aplican a la mayoría de las organizaciones y en la mayoría de los escenarios.Se debiera notar que aunque los controles en esta política sonimportantes y debieran ser considerados, se debiera determinar larelevancia de cualquier control a la luz de los riesgos específicos queenfrenta la organización. Por lo tanto, aunque el enfoque arribamencionado es considerado como un buen punto de inicio, no reemplaza laselección de controles basada en la evaluación del riesgo.1.8 Factores críticos de éxitoLa experiencia ha demostrado que los siguientes factores con frecuenciason críticos para una exitosa implementación de la seguridad de lainformación dentro de una organización:a) política, objetivos y actividades de seguridad de información que reflejan los objetivos del organismo;b) un enfoque y marco referencial para implementar, mantener,monitorear y mejorar la seguridad de la información que sea consistentecon la cultura organizacional;c) soporte visible y compromiso de todos los niveles de gestión;d) un buen entendimiento de los requerimientos de seguridad de la información, evaluación del riesgo y gestión del riesgo;e) comunicación efectiva de la seguridad de la información con todoslos directores, empleados y otras partes para lograr conciencia sobreel tema;f) distribución de lineamientos sobre la política y los estándares deseguridad de la información para todos los directores, empleados yotras partes involucradas;g) provisión para el financiamiento de las actividades de gestión de la seguridad de la información;h) proveer el conocimiento, capacitación y educación apropiados;i) establecer un proceso de gestión de incidentes de seguridad de la información;j) implementación de un sistema de medición que se utiliza para evaluarel desempeño en la gestión de la seguridad de la información yretroalimentación de sugerencias para el mejoramiento.2. Términos y Definiciones

2.1 Seguridad de la InformaciónLa seguridad de la información se entiende como la preservación de las siguientes características:Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.Disponibilidad: se garantiza que los usuarios autorizados tengan accesoa la información y a los recursos relacionados con la misma, toda vezque lo requieran.Adicionalmente, deben considerarse los conceptos de:Autenticidad: busca asegurar la validez de la información en tiempo,forma y distribución. Asimismo, se garantiza el origen de lainformación, validando el emisor para evitar suplantación deidentidades.Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior.Protección a la duplicación: consiste en asegurar que una transacciónsólo se realiza una vez, a menos que se especifique lo contrario.Impedir que se grabe una transacción para luego reproducirla, con elobjeto de simular múltiples peticiones del mismo remitente original.No repudio: se refiere a evitar que una entidad que haya enviado orecibido información alegue ante terceros que no la envió o recibió.Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeto el Organismo.Confiabilidad de la Información: es decir, que la información generadasea adecuada para sustentar la toma de decisiones y la ejecución de lasmisiones y funciones.A los efectos de una correcta interpretación de la presente Política, se realizan las siguientes definiciones:Información: Se refiere a toda comunicación o representación deconocimiento como datos, en cualquier forma, con inclusión de formastextuales, numéricas, gráficas, cartográficas, narrativas oaudiovisuales, y en cualquier medio, ya sea magnético, en papel, enpantallas de computadoras, audiovisual u otro.Sistema de Información. Se refiere a un conjunto independiente derecursos de información organizados para la recopilación,procesamiento, mantenimiento, transmisión y difusión de informaciónsegún determinados procedimientos, tanto automatizados como manuales.Tecnología de la Información: Se refiere al hardware y softwareoperados por el Organismo o por un tercero que procese información ensu nombre, para llevar a cabo una función propia del Organismo, sintener en cuenta la tecnología utilizada, ya se trate de computación dedatos, telecomunicaciones u otro tipo.Propietario de la Información: Define a la persona responsable de laintegridad, confidencialidad y disponibilidad de una cierta información.2.2 Evaluación de RiesgosSe entiende por evaluación de riesgos a la evaluación de las amenazas yvulnerabilidades relativas a la información y a las instalaciones deprocesamiento de la misma, la probabilidad de que ocurran y supotencial impacto en la operatoria del Organismo.2.2 Tratamiento de RiesgosProceso de selección e implementación de medidas para modificar el riesgo.2.3 Gestión de RiesgosActividades coordinadas para dirigir y controlar una organización en lo que concierne al riesgo.NOTA. La gestión de riesgos usualmente incluye la evaluación deriesgos, el tratamiento de riesgos, la aceptación de riesgos y lacomunicación de riesgos.2.4 Comité de Seguridad de la InformaciónEl Comité de Seguridad de la Información, es un cuerpo integrado porrepresentantes de todas las áreas sustantivas del Organismo, destinadoa garantizar el apoyo manifiesto de las autoridades a las iniciativasde seguridad.2.5 Responsable de Seguridad de la InformaciónEs la persona que cumple la función de supervisar el cumplimiento de lapresente Política y de asesorar en materia de seguridad de lainformación a los integrantes del Organismo que así lo requieran.2.6 Incidente de SeguridadUn incidente de seguridad es un evento adverso en un sistema decomputadoras, o red de computadoras, que puede comprometer o comprometela confidencialidad, integridad y/o disponibilidad de la información.Puede ser causado mediante la explotación de alguna vulnerabilidad o unintento o amenaza de romper los mecanismos de seguridad existentes.2.7 RiesgoCombinación de la probabilidad de ocurrencia de un evento y sus consecuencias o impacto.2.8 AmenazaUna causa potencial de un incidente no deseado, el cual puede ocasionar daños a un sistema u organización.2.9 VulnerabilidadUna debilidad de un activo o grupo de activos que puede ser aprovechada por una amenaza.2.10 ControlMedio para gestionar el riesgo, incluyendo políticas, procedimientos,directrices, prácticas o estructuras organizacionales, las cualespueden ser de naturaleza administrativa, técnica, de gestión, o legal.NOTA. Control es también utilizado como sinónimo de salvaguarda o de contramedida.3. Estructura de la política Modelo

Este modelo que se divide en dos partes, y guarda la siguiente estructura:• Cuatro capítulos introductorios, con los términos generales y elestablecimiento de la Evaluación y el Tratamiento de los riesgos,• Catorce cláusulas que abarcan los diferentes aspectos o dominios dela seguridad de la información. Se presentan de manera sistemática yconsistente.

Cada cláusula contiene un número de categorías o grupo de controles deseguridad principales. Las catorce cláusulas (acompañadas por el númerode categorías de seguridad principales incluidas dentro de cadacláusula) son:- Política de Seguridad (1);- Organización (2);- Recursos Humanos (3);- Gestión de Activos (3);

- Gestión de Accesos (5);- Criptografía (1);- Seguridad Física y Ambiental (2);- Seguridad de las Operaciones (7);- Seguridad de las Comunicaciones (2);- Adquisición, Desarrollo y Mantenimiento de Sistemas (5);- Relaciones con Proveedores (3);- Gestión de Incidentes de seguridad de la información (2);- Gestión de la Continuidad (2);- Cumplimiento (3).Por último, por cada categoría, se establece un objetivo y contiene uno o más controles a realizar.A modo de síntesis se enuncia a continuación la estructura de cada cláusula:- Cláusula o dominio1. Generalidades2. Objetivos3. Alcance4 Responsabilidades5. Política- Categorías• Objetivo- ControlesLas catorce cláusulas o dominios son:- Cláusulas1. Política de seguridad2. Organización3. Recursos humanos4. Gestión de activos5. Gestión de Accesos6. Criptografía7. Seguridad Física y Ambiental8. Seguridad de las operaciones9. Seguridad de las comunicaciones10. Adquisición, desarrollo y mantenimiento de sistemas11. Relaciones con Proveedores12. Gestión de Incidentes de seguridad de la información13. Gestión de continuidad14. Cumplimento4. Evaluación y tratamiento de riesgos

GeneralidadesTodo Organismo se encuentra expuesto a riesgos en materia de seguridadde la información. No existe la seguridad completa, por lo que esnecesario conocer cuál es el mapa de riesgos al cual se enfrenta elorganismo y tomar acciones tendientes a minimizar los posibles efectosnegativos de la materialización de dichos riesgos.Es por ello que resulta imprescindible gestionar los riesgos del Organismo, como pilar fundamental para la gestión de seguridad.ObjetivoConocer los riesgos a los que se expone el Organismo en materia de seguridad de la información.Generar información de utilidad para la toma de decisiones en materia de controles de seguridad.AlcanceEsta Política se aplica a toda la información administrada en el Organismo, cualquiera sea el soporte en que se encuentre.ResponsabilidadEl Comité de Seguridad de la Información será responsable de que segestionen los riesgos de seguridad de la información, brindando suapoyo para el desarrollo de dicho proceso y su mantenimiento en eltiempo.El Responsable de Seguridad de la Información junto con los Titularesde Unidades Organizativas será responsable del desarrollo del procesode gestión de riesgos de seguridad de la información.Política4.1 Evaluación de los riesgos de seguridadEl Organismo evaluará sus riesgos identificándolos, cuantificándolos ypriorizándolos en función de los criterios de aceptación de riesgos yde los objetivos de control relevantes para el mismo. Los resultadosguiarán y determinarán la apropiada acción de la dirección y lasprioridades para gestionar los riesgos de seguridad de la información ypara la implementación de controles seleccionados para protegersecontra estos riesgos.Se debe efectuar la evaluación de riesgos periódicamente, para tratarcon los cambios en los requerimientos de seguridad y en las situacionesde riesgo, por ejemplo: cambios producidos en activos, amenazas,vulnerabilidades, impactos, valoración de riesgos. Asimismo, se debeefectuar la evaluación cada vez que ocurran cambios significativos. Esconveniente que estas evaluaciones de riesgos se lleven a cabo de unamanera metódica capaz de producir resultados comparables yreproducibles.El alcance de una evaluación de riesgos puede incluir a todo elOrganismo, una parte, un sistema de información particular, componentesespecíficos de un sistema, o servicios. Resulta recomendable seguir unametodología de evaluación de riesgos para llevar a cabo el proceso.4.2 Tratamiento de riesgos de seguridadAntes de considerar el tratamiento de un riesgo, el Organismo debedecidir los criterios para determinar si los riesgos pueden, o no, seraceptados. Los riesgos pueden ser aceptados si por ejemplo: se evaluóque el riesgo es bajo o que el costo del tratamiento no eseconómicamente viable para la organización. Tales decisiones deben sertomadas por las autoridades y debidamente documentadas.Para cada uno de los riesgos identificados durante la evaluación deriesgos, se necesita tomar una decisión para su tratamiento. Lasposibles opciones para el tratamiento de riesgos incluyen:a) Mitigar los riesgos mediante la aplicación de controles apropiados para reducir los riesgos;b) Aceptar los riesgos de manera objetiva y consciente, siempre ycuando éstos satisfagan claramente la política y los criterios deaceptación de riesgos del Organismo;c) Evitar los riesgos, eliminando las acciones que dan origen a la ocurrencia de estos;d) Transferir los riesgos asociados a otras partes interesadas, por ejemplo: compañías de seguro o proveedores.Para aquellos riesgos donde la decisión ha sido la mitigación, sebuscará reducir los riesgos a un nivel aceptable mediante laimplementación de controles, teniendo en cuenta lo siguiente:a) requerimientos y restricciones de legislaciones y regulaciones nacionales e internacionales;b) objetivos organizacionales;c) requerimientos y restricciones operativos;d) costo de implementación y operación en relación directa a losriesgos reducidos, y proporcionales a los requerimientos yrestricciones del Organismo;e) la necesidad de equilibrar las inversiones en la implementación yoperación de los controles contra el daño que podría resultar de lasfallas de seguridad.Los controles a implementar pueden ser seleccionados del contenido delas cláusulas de esta política, o se pueden establecer nuevos controlespara satisfacer necesidades específicas del Organismo. Es necesarioreconocer que algunos controles pueden no ser aplicables a todo sistemade información o a su ambiente, y podrían no ser aplicables en todoslos Organismos.Se debe recordar que ningún conjunto de controles puede alcanzar laseguridad absoluta. Los controles implementados deben ser evaluadospermanentemente para que puedan ser mejorados en eficiencia yefectividad.5. Cláusula: Política de Seguridad de la Información

GeneralidadesLa información es un recurso que, como el resto de los activos, tienevalor para el Organismo y por consiguiente debe ser debidamenteprotegida.Las Políticas de Seguridad de la Información protegen a la misma de unaamplia gama de amenazas, a fin de garantizar la continuidad de lossistemas de información y de la operación del Organismo, minimizar losriesgos de daño y asegurar el eficiente cumplimiento de los objetivosdel Organismo.Es importante que los principios de la Política de Seguridad sean parte de la cultura organizacional.Para esto, se debe asegurar un compromiso manifiesto de las máximasAutoridades del Organismo y de los titulares de Unidades Organizativaspara la difusión, consolidación y cumplimiento de la presente Política.ObjetivoProteger los recursos de información del Organismo y la tecnologíautilizada para su procesamiento, frente a amenazas, internas oexternas, deliberadas o accidentales, con el fin de asegurar elcumplimiento de la confidencialidad, integridad, disponibilidad,legalidad y confiabilidad de la información.Asegurar la implementación de las medidas de seguridad comprendidas enesta Política, identificando los recursos y las partidaspresupuestarias correspondientes, sin que ello implique necesariamentela asignación de partidas adicionales,Mantener la Política de Seguridad del Organismo actualizada, a efectos de asegurar su vigencia y nivel de eficacia.AlcanceEsta Política se aplica en todo el ámbito del Organismo, a sus recursosy a la totalidad de los procesos, ya sean internos o externosvinculados a la entidad a través de contratos o acuerdos con terceros.ResponsabilidadTodos los Directores Nacionales o Generales, Gerentes o equivalentes,titulares de Unidades Organizativas, tanto se trate de autoridadespolíticas o personal técnico y sea cual fuere su nivel jerárquico sonresponsables de la implementación de esta Política de Seguridad de laInformación dentro de sus áreas de responsabilidad, así como delcumplimiento de dicha Política por parte de su equipo de trabajo.La Política de Seguridad de la Información es de aplicación obligatoriapara todo el personal del Organismo, cualquiera sea su situación derevista, el área a la cual se encuentre afectada y cualquiera sea elnivel de las tareas que desempeñe.Las máximas autoridades del Organismo aprueban esta Política y son responsables de la autorización de sus modificaciones.El Comité de Seguridad de la Información del Organismo,• procederá a revisar y proponer a la máxima autoridad del Organismopara su aprobación la Política de Seguridad de la Información y lasfunciones generales en materia de seguridad de la información;• monitoreará cambios significativos en los riesgos que afectan a losrecursos de información frente a las amenazas más importantes;• tomará conocimiento y supervisará la investigación y monitoreo de los incidentes relativos a la seguridad;• aprobará las principales iniciativas para incrementar la seguridad dela información, de acuerdo a las competencias y responsabilidadesasignadas a cada área1, así  como acordará y aprobará metodologías yprocesos específicos relativos a seguridad de la información;• garantizará que la seguridad sea parte del proceso de planificaciónde la información; evaluará y coordinará la implementación de controlesespecíficos de seguridad de la información para nuevos sistemas oservicios;• promoverá la difusión y apoyo a la seguridad de la información dentrodel Organismo y coordinará el proceso de administración de lacontinuidad de las actividades del Organismo.1 Se refiere a dar curso a las propuestas presentadas por parte de lasáreas de acuerdo a sus competencias, elevándolas a la máxima autoridad,a través del Comité de Seguridad, con relación a la seguridad de lainformación del Organismo. Dichas iniciativas deben ser aprobadas luegopor la máxima autoridad del Organismo.El Coordinador del Comité de Seguridad de la Información será el responsable de:• coordinar las acciones del Comité de Seguridad de la Información y de• impulsar la implementación y cumplimiento de la presente Política.El Responsable de Seguridad de la Información:• cumplirá funciones relativas a la seguridad de los sistemas deinformación del Organismo, lo cual incluye: la supervisión de todos losaspectos inherentes a los temas tratados en la presente Política.Los Propietarios de la información y Propietarios de activos son responsables de:• clasificar la información de acuerdo con el grado de sensibilidad y criticidad de la misma,• documentar y mantener actualizada la clasificación efectuada, y• definir qué usuarios deben tener permisos de acceso a la información de acuerdo a sus funciones y competencia.El Responsable del Área de Recursos Humanos o quien desempeñe esas funciones, cumplirá la función de:• notificar a todo el personal que ingresa de sus obligaciones respectodel cumplimiento de la Política de Seguridad de la Información y detodas las normas, procedimientos y prácticas que de ella surjan.• Asimismo, tendrá a su cargo la notificación de la presente Política atodo el personal, de los cambios que en ella se produzcan, laimplementación de la suscripción de los Compromisos de Confidencialidad(entre otros) y las tareas de capacitación continua en materia deseguridad.El Responsable del Área Informática cumplirá la función de cubrir losrequerimientos de seguridad informática establecidos para la operación,administración y comunicación de los sistemas y recursos de tecnologíadel Organismo. Por otra parte tendrá la función de efectuar las tareasde desarrollo y mantenimiento de sistemas, siguiendo una metodología deciclo de vida de sistemas apropiada, y que contemple la inclusión demedidas de seguridad en los sistemas en todas las fases.

El Responsable del Área Legal o Jurídica verificará el cumplimiento dela presente Política en la gestión de todos los contratos, acuerdos uotra documentación del Organismo con los empleados y, en caso deexistir, con los terceros. Asimismo, asesorará en materia legal alOrganismo, en lo que se refiere a la seguridad de la información.Los usuarios de la información y de los sistemas utilizados para suprocesamiento son responsables de conocer, dar a conocer, cumplir yhacer cumplir la Política de Seguridad de la Información vigente.La Unidad de Auditoría Interna, o en su defecto quien sea propuesto porel Comité de Seguridad de la Información es responsable de practicarauditorías periódicas sobre los sistemas y actividades vinculadas conla tecnología de información, debiendo informar sobre el cumplimientode las especificaciones y medidas de seguridad de la informaciónestablecidas por esta Política y por las normas, procedimientos yprácticas que de ella surjan (Ver Cláusula 18: Cumplimiento),Política5.1 Categoría: Política de Seguridad de la informaciónObjetivoProporcionar a la Dirección Superior la dirección y soporte para laseguridad de la información en concordancia con los requerimientos ylas leyes y regulaciones relevantes. La gerencia debe establecerclaramente la dirección de la política en línea con los objetivos.5.1.1 Control: Documento de la política de seguridad de la informaciónEl documento de la política debe ser aprobado por el Comité deSeguridad, publicado y comunicado a todos los empleados y las partesexternas relevantes.Esta Política se conforma de una serie de pautas sobre aspectosespecíficos de la Seguridad de la información, que incluyen lossiguientes tópicos:Organización de la SeguridadOrientado a administrar la seguridad de la información dentro delOrganismo y establecer un marco gerencial para controlar suimplementación.Gestión de ActivosDestinado a mantener una adecuada protección de los activos del Organismo.Recursos HumanosOrientado a reducir los riesgos de error humano, comisión de ilícitos contra el Organismo o uso inadecuado de instalaciones.Física y AmbientalDestinado a impedir accesos no autorizados, daños e interferencia a las sedes e información del Organismo.Gestión de las Comunicaciones y las OperacionesDirigido a garantizar el funcionamiento correcto y seguro de lasinstalaciones de procesamiento de la información y medios decomunicación.Gestión de AccesosOrientado a controlar el acceso lógico a la información.Adquisición. Desarrollo y Mantenimiento de los SistemasOrientado a garantizar la incorporación de medidas de seguridad en lossistemas de información desde su adquisición, desarrollo y/oimplementación y durante su mantenimiento.Gestión de Incidentes de seguridadOrientado a administrar todos los eventos que atenten contra laconfidencialidad, integridad y disponibilidad de la información y losactivos tecnológicosGestión de ContinuidadOrientado a contrarrestar las interrupciones de las actividades yproteger los procesos críticos de los efectos de fallas significativaso desastres.CumplimientoDestinado a impedir infracciones y violaciones de las leyes del derechocivil y penal; de las obligaciones establecidas por leyes, estatutos,normas, reglamentos o contratos; y de los requisitos de seguridad.A fin de asegurar la implementación de las medidas de seguridadcomprendidas en esta Política, el Organismo identificará los recursosnecesarios e indicará formalmente las partidas presupuestariascorrespondientes, como anexo a la presente Política. Lo expresadoanteriormente no implicará necesariamente la asignación de partidaspresupuestarias adicionales.La máxima autoridad del Organismo aprobará formalmente la Política y lacomunicará a todos los empleados, mediante el Responsable del Area deRecursos Humanos y terceras partes relevantes.5.1.2 Control: Revisión de la política de seguridad de la informaciónLa política de seguridad de la información debe tener un dueño,responsable de las actividades de desarrollo, evaluación y revisión dela política.La actividad de revisión debe incluir las oportunidades de mejoras, enrespuesta a los cambios, entre otros: organizacionales, normativos,legales, de terceros, tecnológicos.Las mejoras tenidas en cuenta deben quedar registradas y tener las aprobaciones de los responsables.El Comité de Seguridad de la Información debe revisarla a intervalosplaneados y prever el tratamiento de caso de los cambios no planeados,a efectos de mantener actualizada la política.Asimismo efectuará toda modificación que sea necesaria en función aposibles cambios que puedan afectar su definición, como ser, cambiostecnológicos, variación de los costos de los controles, impacto de losincidentes de seguridad, etc.6. Cláusula: Organización

GeneralidadesLa presente Política de Seguridad establece la administración de laseguridad de la información, como parte fundamental de los objetivos yactividades del Organismo.Por ello, se definirá formalmente un ámbito de gestión para efectuartareas tales como la aprobación de la Política, la coordinación de suimplementación y la asignación de funciones y responsabilidades.Asimismo, se contemplará la necesidad de disponer de fuentes conconocimiento y experimentadas para el asesoramiento, cooperación ycolaboración en materia de seguridad de la información.Por otro lado debe tenerse en cuenta que ciertas actividades delOrganismo pueden requerir que terceros accedan a información interna, obien puede ser necesaria la tercerización de ciertas funcionesrelacionadas con el procesamiento de la información. En estos casos seconsiderará que la información puede ponerse en riesgo si el acceso dedichos terceros se produce en el marco de una inadecuada administraciónde la seguridad, por lo que se establecerán las medidas adecuadas parala protección de la información.Objetivo

Administrar la seguridad de la información dentro del Organismo yestablecer un marco gerencial para iniciar y controlar suimplementación, así como para la distribución de funciones yresponsabilidades.Fomentar la consulta y cooperación con Organismos especializados parala obtención de asesoría en materia de seguridad de la información.Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del Organismo.AlcanceEsta Política se aplica a todos los recursos del Organismo y a todassus relaciones con terceros que impliquen el acceso a sus datos,recursos y/o a la administración y control de sus sistemas deinformación.ResponsabilidadEl Coordinador del Comité de Seguridad de la Información será elresponsable de impulsar la implementación de la presente Política.El Comité de Seguridad de la Información tendrá a cargo elmantenimiento y la presentación para la aprobación de la presentePolítica, ante la máxima autoridad del organismo, el seguimiento deacuerdo a las incumbencias propias de cada área de las actividadesrelativas a la seguridad de la información (análisis de riesgos,monitoreo de incidentes, supervisión de la investigación,implementación de controles, administración de la continuidad,impulsión de procesos de concientización, etc.) y la proposición deasignación de funciones.El Responsable de Seguridad de la información asistirá al personal delOrganismo en materia de seguridad de la información y coordinará lainteracción con Organismos especializados. Asimismo, junto con lospropietarios de la información, analizará el riesgo de los accesos deterceros a la información del Organismo y verificará la aplicación delas medidas de seguridad necesarias para la protección de la misma.Los Responsables de las Unidades Organizativas cumplirán la función deautorizar la incorporación de nuevos recursos de procesamiento deinformación a las áreas de su incumbencia.La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información será responsable de realizarrevisiones independientes sobre la vigencia y el cumplimiento de lapresente Política.El Responsable del Área de Administración cumplirá la función deincluir en los contratos con proveedores de servicios de tecnología ycualquier otro proveedor de bienes o servicios cuya actividad afectedirecta o indirectamente a los activos de información, laobligatoriedad del cumplimiento de la Política de Seguridad de laInformación y de todas las normas, procedimientos y prácticasrelacionadas.El Responsable del Área Jurídica participará en dicha tarea.Asimismo, notificará a los proveedores sobre las modificaciones que seefectúen a la Política de Seguridad de la Información del Organismo.Política6.1 Categoría: Organización internaObjetivoManejar la seguridad de la información dentro del organismo.Se debe establecer un marco referencial gerencial o política, parainiciar y controlar la implementación de la seguridad de la informacióndentro del organismo.La Dirección debe aprobar la política de seguridad de la información,asignar los roles de seguridad y coordinar y revisar la implementaciónde la seguridad en todo el organismo.6.1.1 Control: Compromiso de la dirección con la seguridad de la informaciónLa dirección debe apoyar la seguridad de la información a través de unadirección clara, mostrando compromiso, asignando roles y reconociendoresponsabilidades explícitas.Debe formular, revisar y aprobar la política de seguridad de lainformación, como asimismo revisar los beneficios de la implementaciónde la misma.La seguridad de la información es una responsabilidad del Organismocompartida por todas las Autoridades políticas y Directores Nacionaleso Generales, Gerentes o equivalentes, por lo cual se crea el Comité deSeguridad de la Información, integrado por representantes de todos losDirectores mencionados, destinado a garantizar el apoyo manifiesto delas autoridades a las iniciativas de seguridad de la información. Elmismo contará con un Coordinador, quien cumplirá la función de impulsarla implementación de la presente Política.Conformación del Comité de Seguridad de la Información

Este Comité tendrá entre sus funciones:a) Revisar y proponer a la máxima autoridad del Organismo para suaprobación, la Política y las funciones generales en materia deseguridad de la información.b) Monitorear cambios significativos en los riesgos que afectan a losrecursos de información frente a las amenazas más importantes.c) Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad.d) Aprobar las principales iniciativas para incrementar la seguridad dela información, de acuerdo a las competencias y responsabilidadesasignadas a cada área2.e) Acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información.f) Garantizar que la seguridad sea parte del proceso de planificación informática del Organismo.g) Evaluar y coordinar la implementación de controles específicos deseguridad de la información para nuevos sistemas o servicios.h) Promover la difusión y apoyo a la seguridad de la información dentro del Organismo.i) Coordinar el proceso de administración de la continuidad de laoperatoria de los sistemas de tratamiento de la información delOrganismo frente a interrupciones imprevistas.El…………………..(Subsecretario de Coordinación o equivalente en cada áreaministerial o Secretaría de la Presidencia de la Nación o elfuncionario designado por las máximas autoridades en cada Organismodescentralizado - Indicar cargo) coordinará las actividades del Comitéde Seguridad de la Información.2 Se refiere a dar curso a las propuestas presentadas por parte de lasáreas de acuerdo a sus competencias, elevándolas a la máxima autoridad,a través del Comité de Seguridad, con relación a la seguridad de lainformación del Organismo. Dichas iniciativas deben ser aprobadas luegopor la máxima autoridad del Organismo.6.1.2 Control: Coordinación de la seguridad de la informaciónTípicamente, la coordinación de la seguridad de la información debierainvolucrar la cooperación y colaboración de los Directores Nacionales oGenerales, Gerentes o equivalentes, usuarios, administradores,diseñadores de aplicación, auditores y personal de seguridad, ycapacidades especializadas en áreas como seguros, temas legales,recursos humanos, TI o gestión del riesgo. Esta actividad debiera:a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con la política de seguridad de la información;b) identificar cómo manejar las no-conformidades;c) aprobar las metodologías y procesos para la seguridad de lainformación; por ejemplo, la evaluación del riesgo y la clasificaciónde la información;d) identificar cambios significativos en las amenazas y la exposiciónde la información y los medios de procesamiento de la información anteamenazas;e) evaluar la idoneidad y coordinar la implementación de los controles de la seguridad de información;f) promover de manera efectiva la educación, capacitación yconocimiento de la seguridad de la información a través de toda laorganización;g) evaluar la información recibida del monitoreo y revisar losincidentes de seguridad de la información, y recomendar las accionesapropiadas en respuesta a los incidentes de seguridad de informaciónidentificados.6.1.3 Control: Asignación de responsabilidades de la seguridad de la informaciónLa asignación de responsabilidades de la seguridad de la informacióndebe ejecutarse en forma alineada a la política de seguridad de lainformación (ver cláusula 5 política de seguridad de la información).El……………………………(Indicar la máxima autoridad del Organismo), asignalas funciones relativas a la Seguridad Informática del Organismoa………………………(indicar cargo), en adelante el “Responsable de Seguridad dela Información”, quien tendrá a cargo las funciones relativas a laseguridad de los sistemas de información del Organismo, lo cual incluyela supervisión de todos los aspectos inherentes a seguridad informáticatratados en la presente Política.El Comité de Seguridad de la Información propondrá a la autoridad quecorresponda para su aprobación la definición y asignación de lasresponsabilidades que surjan del presente Modelo.A continuación se detallan los procesos de seguridad, indicándose encada caso el/los responsable/s del cumplimiento de los aspectos de estaPolítica aplicables a cada caso:

De igual forma, seguidamente se detallan los propietarios de lainformación, quienes serán los Responsables de las UnidadesOrganizativas a cargo del manejo de la misma:

Cabe aclarar que, si bien los propietarios pueden delegar laadministración de sus funciones a personal idóneo a su cargo,conservarán la responsabilidad del cumplimiento de las mismas. Ladelegación de la administración por parte de los propietarios de lainformación será documentada por los mismos y proporcionada alResponsable de Seguridad de la Información.6.1.4 Control: Autorización para Instalaciones de Procesamiento de InformaciónLos nuevos recursos de procesamiento de información serán autorizadospor los Responsables de las Unidades Organizativas involucradas,considerando su propósito y uso, conjuntamente con el Responsable deSeguridad de la Información, a fin de garantizar que se cumplan todaslas Políticas y requerimientos de seguridad pertinentes.Las siguientes guías deben ser consideradas para el proceso de autorización:a) Cumplir con los niveles de aprobación vigentes en la organización,incluso el responsable del ambiente de seguridad de la información,asegurando el cumplimiento de las políticas y requerimientos.b) Cuando corresponda, se verificará el hardware y software paragarantizar su compatibilidad con los componentes de otros sistemas delOrganismo.c) El uso de recursos personales de procesamiento de información en ellugar de trabajo puede ocasionar nuevas vulnerabilidades. Enconsecuencia, su uso será evaluado en cada caso por el Responsable deSeguridad de la Información y debe ser autorizado por el Responsabledel Área Informática y por el Director Nacional (General, Gerente oequivalente en el Organismo) responsable del área al que se destinenlos recursos.6.1.5 Control: Acuerdos de confidencialidadSe definirán, implementarán y revisarán regularmente los acuerdos deconfidencialidad o de no divulgación para la protección de lainformación del Organismo. Dichos acuerdos deben responder a losrequerimientos de confidencialidad o no divulgación del Organismo, loscuales serán revisados periódicamente. Asimismo, deben cumplir con todalegislación o normativa que alcance al Organismo en materia deconfidencialidad de la información.Dichos acuerdos deben celebrarse tanto con el personal del organismocomo con aquellos terceros que se relacionen de alguna manera con suinformación.6.1.6 Control: Contacto con otros organismosA efectos de intercambiar experiencias y obtener asesoramiento para elmejoramiento de las prácticas y controles de seguridad, se mantendráncontactos con los siguientes Organismos especializados en temasrelativos a la seguridad informática:Oficina Nacional de Tecnologías de Información (ONTI) dependiente de laSubsecretaría de Tecnologías de Gestión de la Secretaría de Gabinete yCoordinación Administrativa de la Jefatura de Gabinete de Ministros:Programa Nacional de Infraestructuras Críticas de Información yCiberseguridad (ICIC). Es una unidad de respuesta ante incidentes enredes y sistemas, que centraliza y coordina los esfuerzos ante losincidentes de seguridad que afecten a los recursos informáticos delSector Público.Dirección Nacional de Protección de Datos Personales dependiente delMinisterio de Justicia y Derechos Humanos. En los intercambios deinformación de seguridad, no se divulgará información sensible (deacuerdo a lo definido en la normativa vigente, ej.: Ley 25.326) oconfidencial perteneciente al Organismo a personas no autorizadas.El intercambio de información confidencial para fines de asesoramientoo de transmisión de experiencias, sólo se permite cuando se hayafirmado un Acuerdo de Confidencialidad previo o con aquellasOrganizaciones especializadas en temas relativos a la seguridad de laInformación cuyo personal está obligado a mantener la confidencialidadde los temas que trata.6.1.7 Control: Contacto con grupos de interés especialEl Responsable de Seguridad de la información será el encargado decoordinar los conocimientos y las experiencias disponibles en elOrganismo a fin de brindar ayuda en la toma de decisiones en materia deseguridad. Éste podrá obtener asesoramiento de otros Organismos. Con elobjeto de optimizar su gestión, se habilitará al Responsable deSeguridad de la Información el contacto con las Unidades Organizativasde todas las Áreas del Organismo.Debe considerar ser miembro de grupos de interés especial para:a) Adquirir nuevos conocimientos acerca de las mejores prácticas y estar actualizado;b) Asegurar que la concientización acerca de la seguridad de la información esté actualizada y completa;c) Recibir alertas tempranas, avisos y recomendaciones ante ataques y vulnerabilidades;d) Proporcionar vínculos adecuados durante el tratamiento de los incidentes de seguridad de la información.6.1.8 Control: Revisión independiente de la seguridad de la informaciónLa Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la información realizará revisionesindependientes sobre la vigencia, implementación y gestión de laPolítica de Seguridad de la Información, a efectos de garantizar quelas prácticas del Organismo reflejan adecuadamente sus disposiciones.Estas revisiones deben incluir las oportunidades de evaluación demejoras y las necesidades de cambios de enfoque en la seguridad,incluyendo políticas y objetivos de control.Se deben registrar y reportar todas estas actividades.6.2 Categoría: Dispositivos móviles y trabajo remotoObjetivoAsegurar la seguridad de la información cuando se utiliza medios de computación y tele-trabajo móviles.La protección requerida se debe conmensurar con los riesgos que causanestas maneras de trabajo específicas. Cuando se utiliza computaciónmóvil, se deben considerar los riesgos de trabajar en un ambientedesprotegido y se debiera aplicar la protección apropiada. En el casodel tele-trabajo, la organización debe aplicar protección al lugar deltele-trabajo y asegurar que se establezcan los arreglos adecuados paraesta manera de trabajar.6.2.1 Control: Dispositivos MóvilesCuando se utilizan dispositivos informáticos móviles se debe tenerespecial cuidado en garantizar que no se comprometa la información nila infraestructura del Organismo.Se debe tener en cuenta en este sentido, cualquier dispositivo móvily/o removible, incluyendo: Notebooks, Laptop o PDA (Asistente PersonalDigital), Teléfonos Celulares y sus tarjetas de memoria, Dispositivosde Almacenamiento removibles, tales como CDs, DVDs, Disquetes, Tapes, ycualquier dispositivo de almacenamiento de conexión USB, Tarjetas deidentificación personal (control de acceso), dispositivoscriptográficos, cámaras digitales, etc.Esta lista no es taxativa, ya que deben incluirse todos losdispositivos que pudieran contener información confidencial delOrganismo y por lo tanto, ser pasibles de sufrir un incidente en el quese comprometa la seguridad del mismo.Se desarrollarán procedimientos adecuados para estos dispositivos, que abarquen los siguientes conceptos:a) La protección física necesaria.b) El acceso seguro a los dispositivos.c) La utilización segura de los dispositivos en lugares públicos.d) El acceso a los sistemas de información y servicios del Organismo a través de dichos dispositivos.e) Las técnicas criptográficas a utilizar para la transmisión de información clasificada.f) Los mecanismos de resguardo de la información contenida en los dispositivos.g) La protección contra software malicioso.La utilización de dispositivos móviles incrementa la probabilidad deocurrencia de incidentes del tipo de pérdida, robo o hurto. Enconsecuencia debe entrenarse especialmente al personal que los utilice.Se desarrollarán normas y procedimientos sobre los cuidados especialesa observar ante la posesión de dispositivos móviles, que contemplaránlas siguientes recomendaciones:a) Permanecer siempre cerca del dispositivo.b) No dejar desatendidos los equipos.c) No llamar la atención acerca de portar un equipo valioso.d) No poner identificaciones del Organismo en el dispositivo, salvo los estrictamente necesarios.e) No poner datos de contacto técnico en el dispositivo.f) Mantener cifrada la información clasificada.Por otra parte, se confeccionarán procedimientos que permitan alposeedor del dispositivo reportar rápidamente cualquier incidentesufrido y mitigar los riesgos a los que eventualmente estuvieranexpuestos los sistemas de información del Organismo, los que incluirán:a) Revocación de las credenciales afectadasb) Notificación a grupos de Trabajo donde potencialmente se pudieran haber comprometido recursos.6.2.2 Control: Trabajo RemotoEl trabajo remoto utiliza tecnología de comunicaciones para permitirque el personal trabaje en forma remota desde un lugar externo alOrganismo.El trabajo remoto sólo será autorizado por el Responsable de la UnidadOrganizativa, o superior jerárquico correspondiente, a la cualpertenezca el usuario solicitante, conjuntamente con el Responsable deSeguridad de la Información, cuando se verifique que son adoptadastodas las medidas que correspondan en materia de seguridad de lainformación, de modo de cumplir con la política, normas yprocedimientos existentes.Estos casos serán de excepción y serán contemplados en situaciones quejustifiquen la imposibilidad de otra forma de acceso y la urgencia,tales como horarios del Organismo, solicitud de las autoridades, etc.Para ello, se establecerán normas y procedimientos para el trabajo remoto, que consideren los siguientes aspectos:a) La seguridad física existente en el sitio de trabajo remoto, tomandoen cuenta la seguridad física del edificio y del ambiente local.b) El ambiente de trabajo remoto propuesto.c) Los requerimientos de seguridad de comunicaciones, tomando en cuentala necesidad de acceso remoto a los sistemas internos del Organismo, lasensibilidad de la información a la que se accederá y que pasará através del vínculo de comunicación y la sensibilidad del sistemainterno.d) La amenaza de acceso no autorizado a información o recursos porparte de otras personas que utilizan el lugar, por ejemplo, familia yamigos.e) Evitar la instalación / desinstalación de software no autorizado por el Organismo.Los controles y disposiciones comprenden:a) Proveer de mobiliario para almacenamiento y equipamiento adecuado para las actividades de trabajo remoto.b) Definir el trabajo permitido, el horario de trabajo, laclasificación de la información que se puede almacenar en el equiporemoto desde el cual se accede a la red del Organismo y los sistemasinternos y servicio a los cuales el trabajador remoto está autorizado aacceder.c) Proveer de un adecuado equipo de comunicación, con inclusión de métodos para asegurar el acceso remoto.d) Incluir seguridad física.e) Definir reglas y orientación respecto del acceso de terceros al equipamiento e información.f) Proveer el hardware y el soporte y mantenimiento del software.g) Definir los procedimientos de backup y de continuidad de las operaciones.h) Efectuar auditoría y monitoreo de la seguridad.i) Realizar la anulación de las autorizaciones, derechos de acceso ydevolución del equipo cuando finalicen las actividades remotas.j) Asegurar el reintegro del equipamiento en las mismas condiciones enque fue entregado, en el caso en que cese la necesidad de trabajar enforma remota.Se implementarán procesos de auditoría específicos para los casos deaccesos remotos, que serán revisados regularmente. Se llevará unregistro de incidentes a fin de corregir eventuales fallas en laseguridad de este tipo de accesos.7. Cláusula: Recursos Humanos

GeneralidadesLa seguridad de la información se basa en la capacidad para preservarsu integridad, confidencialidad y disponibilidad, por parte de loselementos involucrados en su tratamiento: equipamiento, software,procedimientos, así como de los recursos humanos que utilizan dichoscomponentes.En este sentido, es fundamental educar e informar al personal desde suingreso y en forma continua, cualquiera sea su situación de revista,acerca de las medidas de seguridad que afectan al desarrollo de susfunciones y de las expectativas depositadas en ellos en materia deseguridad y asuntos de confidencialidad. De la misma forma, esnecesario definir las sanciones que se aplicarán en caso deincumplimiento.La implementación de la Política de Seguridad de la Información tienecomo meta minimizar la probabilidad de ocurrencia de incidentes. Es porello que resulta necesario implementar un mecanismo que permitareportar las debilidades y los incidentes tan pronto como sea posible,a fin de subsanarlos y evitar eventuales replicaciones. Por lo tanto,es importante analizar las causas del incidente producido y aprenderdel mismo, a fin de corregir las prácticas existentes, que no pudieronprevenirlo, y evitarlo en el futuro.ObjetivoReducir los riesgos de error humano, comisión de ilícitos, usoinadecuado de instalaciones y recursos, y manejo no autorizado de lainformación.Explicitar las responsabilidades en materia de seguridad en la etapa dereclutamiento de personal e incluirlas en los acuerdos deconfidencialidad a firmarse y verificar su cumplimiento durante eldesempeño del individuo como empleado.Garantizar que los usuarios estén al corriente de las amenazas eincumbencias en materia de seguridad de la información, y se encuentrencapacitados para respaldar la Política de Seguridad del Organismo en eltranscurso de sus tareas normales.Establecer Compromisos de Confidencialidad con todo el personal yusuarios externos de las instalaciones de procesamiento de información.Establecer las herramientas y mecanismos necesarios para promover lacomunicación de debilidades existentes en materia de seguridad, asícomo de los incidentes ocurridos, con el objeto de minimizar susefectos y prevenir su reincidencia.AlcanceEsta Política se aplica a todo el personal del Organismo, cualquierasea su situación de revista, y al personal externo que efectúe tareasdentro del ámbito del Organismo.ResponsabilidadEl Responsable del Área de Recursos Humanos incluirá las funcionesrelativas a la seguridad de la información en las descripciones depuestos de los empleados, informará a todo el personal que ingresa desus obligaciones respecto del cumplimiento de la Política de Seguridadde la Información, gestionará los Compromisos de Confidencialidad conel personal y coordinará las tareas de capacitación de usuariosrespecto de la presente Política.El Responsable del Área Jurídica participará en la confección delCompromiso de Confidencialidad a firmar por los empleados y tercerosque desarrollen funciones en el organismo, en el asesoramiento sobrelas sanciones a ser aplicadas por incumplimiento de la presentePolítica y en el tratamiento de incidentes de seguridad que requierande su intervención.Política7.1 Categoría: Antes del empleoObjetivoAsegurar que los empleados, contratistas y terceros entiendan susresponsabilidades, y sean idóneos para los roles para los cuales sonconsiderados; y reducir el riesgo de robo, fraude y mal uso de losmedios.Las responsabilidades de seguridad deben ser tratadas antes del empleoen las definiciones de trabajo adecuadas y en los términos ycondiciones del empleo.7.1.1 Control: Funciones y responsabilidadesLas funciones y responsabilidades en materia de seguridad seránincorporadas en la descripción de las responsabilidades de los puestosde trabajo.Éstas incluirán las responsabilidades generales relacionadas con laimplementación y el mantenimiento de la Política de Seguridad, y lasresponsabilidades específicas vinculadas a la protección de cada uno delos activos, o la ejecución de procesos o actividades de seguridaddeterminadas.Se definirán y comunicarán claramente los roles y responsabilidades deseguridad a los candidatos para el puesto de trabajo durante el procesode preselección.7.1.2 Control: Investigación de antecedentesSe llevarán a cabo controles de verificación del personal en el momentoen que se solicita el puesto. Estos controles incluirán todos losaspectos que indiquen las normas que a tal efecto alcanzan al Organismo.Los chequeos de verificación deben incluir:a) Disponibilidad de referencias de carácter satisfactoriasb) Chequeo del currículum vitae del postulantec) Confirmación de títulos académicos y profesionales mencionados por el postulanted) Acreditación de su identidad7.1.3 Control: Términos y condiciones de contrataciónComo parte de sus términos y condiciones iniciales de empleo, losempleados, cualquiera sea su situación de revista, firmarán unCompromiso de Confidencialidad o no divulgación, en lo que respecta altratamiento de la información del Organismo. La copia firmada delCompromiso debe ser retenida en forma segura por el Área de RecursosHumanos u otra competente.Asimismo, mediante el Compromiso de Confidencialidad el empleadodeclarará conocer y aceptar la existencia de determinadas actividadesque pueden ser objeto de control y monitoreo. Estas actividades debenser detalladas a fin de no violar el derecho a la privacidad delempleado.Se desarrollará un procedimiento para la suscripción del Compromiso de Confidencialidad donde se incluirán aspectos sobre:Suscripción inicial del Compromiso por parte de la totalidad delpersonal. Revisión del contenido del Compromiso cada ….. (indicarperíodo no mayor al año).Método de re-suscripción en caso de modificación del texto del Compromiso.Los términos y condiciones de empleo establecerán la responsabilidad del empleado en materia de seguridad de la información.Cuando corresponda, los términos y condiciones de empleo estableceránque estas responsabilidades se extienden más allá de los límites de lasede del Organismo y del horario normal de trabajo.Los derechos y obligaciones del empleado relativos a la seguridad de lainformación, por ejemplo en relación con las leyes de PropiedadIntelectual o la legislación de protección de datos, se encontraránaclarados e incluidos en los términos y condiciones de empleo.7.2 Categoría: Durante el empleoObjetivoAsegurar que los usuarios empleados, contratistas y terceras personasestén al tanto de las amenazas e inquietudes de la seguridad de lainformación, sus responsabilidades y obligaciones, y estén equipadaspara apoyar la política de seguridad organizacional en el curso de sutrabajo normal, y reducir el riesgo de error humano.Se deben definir las responsabilidades de la gerencia para asegurar quese aplique la seguridad a lo largo de todo el tiempo del empleo de lapersona dentro del Organismo.7.2.1 Control: Responsabilidad de la direcciónLa dirección solicitará a los empleados, contratistas y usuarios deterceras partes que apliquen la seguridad en concordancia con laspolíticas y procedimientos establecidos por la organización, cumpliendocon lo siguiente:a) estar adecuadamente informados de sus roles y responsabilidades deseguridad de la información antes de que se les otorgue el acceso ainformación sensible o a los sistemas de información;b) ser provistos de guías para establecer las expectativas de seguridad de su rol dentro del Organismo;c) ser motivados para cumplir con las políticas de seguridad del Organismo;d) alcancen un nivel de conciencia sobre la seguridad acorde con sus roles y responsabilidades dentro del Organismo;e) cumplir con las condiciones y términos del empleo, los cualesincluyen las políticas de seguridad de la información del Organismo ymétodos adecuados de trabajo;f) mantenerse con las habilidades y calificaciones adecuadas.Si los empleados, contratistas y usuarios no son conscientes de susresponsabilidades de seguridad, ellos pueden causar daños considerablesal organismo. Un personal motivado tiene más probabilidades de ser másconfiable y causar menos incidentes de seguridad de la información.7.2.2 Control: Concientización, formación y capacitación en seguridad de la informaciónTodos los empleados del Organismo y, cuando sea pertinente, losusuarios externos y los terceros que desempeñen funciones en elorganismo, recibirán una adecuada capacitación y actualizaciónperiódica en materia de la política, normas y procedimientos delOrganismo. Esto comprende los requerimientos de seguridad y lasresponsabilidades legales, así como la capacitación referida al usocorrecto de las instalaciones de procesamiento de información y el usocorrecto de los recursos en general, como por ejemplo su estación detrabajo.El Responsable del Área de Recursos Humanos será el encargado decoordinar las acciones de capacitación que surjan de la presentePolítica.Cada …………….. (Indicar periodicidad no mayor a un año) se revisará elmaterial correspondiente a la capacitación, a fin de evaluar lapertinencia de su actualización, de acuerdo al estado del arte de esemomento.Las siguientes áreas serán encargadas de generar el material de capacitaciónÁreas Responsables del Material de Capacitación…………………………..…………………………..Adicionalmente, las áreas responsables de generar el material decapacitación dispondrán de información sobre seguridad de laInformación para la Administración Pública Nacional en la Coordinaciónde Emergencias en Redes Teleinformáticas para complementar losmateriales por ellas generados.El personal que ingrese al Organismo recibirá el material,indicándosele el comportamiento esperado en lo que respecta a laseguridad de la información, antes de serle otorgados los privilegiosde acceso a los sistemas que correspondan.Por otra parte, se arbitrarán los medios técnicos necesarios paracomunicar a todo el personal, eventuales modificaciones o novedades enmateria de seguridad, que deban ser tratadas con un orden preferencial.7.2.3 Control: Proceso disciplinarioSe seguirá el proceso disciplinario formal contemplado en las normasestatutarias, escalafonarias y convencionales que rigen al personal dela Administración Pública Nacional, para los empleados que violen laPolítica, Normas y Procedimientos de Seguridad del Organismo.El proceso disciplinario también se puede utilizar como un elementodisuasivo para evitar que los empleados, contratistas y terceros queviolen las políticas y procedimientos de la seguridad del organismo ycualquier otro incumplimiento de la seguridad.7.3 Categoría: Cese del empleo o cambio de puesto de trabajoObjetivoAsegurar que los usuarios empleados, contratistas y terceras personassalgan del Organismo o cambien de empleo de una manera ordenada.Se deben establecer las responsabilidades para asegurar que la salidadel Organismo del usuario empleado, contratista o tercera persona seamanejada y se complete la devolución de todo el equipo y se eliminentodos los derechos de acceso.7.3.1 Control: Responsabilidad del cese o cambioLas responsabilidades para realizar la desvinculación o cambio depuesto deben ser claramente definidas y asignadas, incluyendorequerimientos de seguridad y responsabilidades legales a posteriori y,cuando sea apropiado, las responsabilidades contenidas dentro decualquier acuerdo de confidencialidad, y los términos y condiciones deempleo con continuidad por un período definido de tiempo luego de lafinalización del trabajo del empleado, contratista o usuario de terceraparte.Puede ser necesario informar a los empleados, contratistas y terceros de los cambios en el personal y los acuerdos de operación.7.3.2 Control: Devolución de activosTodos los empleados, contratistas y usuarios de terceras partes debendevolver todos los activos de la organización en su poder (software,documentos corporativos, equipamiento, dispositivos de computaciónmóviles, tarjetas de crédito, tarjetas de ingreso, etc.) tras laterminación de su empleo, contrato, o acuerdo.En los casos donde el empleado, contratista y usuarios tenganconocimiento que es importante para las operaciones actuales, esainformación debe ser documentada y transferida al organismo.7.3.3 Control: Retiro de los derechos de accesoSe revisarán los derechos de acceso de un individuo a los activosasociados con los sistemas y servicios de información tras ladesvinculación. Esto determinará si es necesario remover los derechosde acceso.Con el cambio de un empleo deben removerse todos los derechos de accesoque no fueron aprobados para el nuevo empleo, comprendiendo estoaccesos lógicos y físicos, llaves, tarjetas de identificación,instalaciones de procesamiento de la información, suscripciones, yremoción de cualquier documentación que lo identifique como un miembrocorriente del Organismo.Si un empleado, contratista o usuario de tercera parte que se estádesvinculando tiene conocimiento de contraseñas para cuentas quepermanecen activas, éstas deben ser cambiadas tras la finalización ocambio de empleo, contrato o acuerdo.Se evaluará la reducción o eliminación de los derechos de acceso a losactivos de la información y a las instalaciones de procesamiento de lainformación antes de que el empleo termine o cambie, dependiendo defactores de riesgos, tales como:a) si la terminación o cambio es iniciado por el empleado, contratistao usuario de tercera parte, o por la gestión y la razón de lafinalización;b) las responsabilidades actuales del empleado, contratista o cualquier otro usuario;c) el valor de los activos accesibles actualmente.8. Cláusula: Gestión de Activos

GeneralidadesEl Organismo debe tener un conocimiento preciso sobre los activos queposee como parte importante de la administración de riesgos. Algunosejemplos de activos son:• Recursos de información: bases de datos y archivos, documentación desistemas, manuales de usuario, material de capacitación, procedimientosoperativos o de soporte, planes de continuidad y contingencia,información archivada, etc.• Recursos de software: software de aplicaciones, sistemas operativos,herramientas de desarrollo y publicación de contenidos, utilitarios,etc.• Activos físicos: equipamiento informático (procesadores, monitores,computadoras portátiles, módems), equipos de comunicaciones (routers,PABXs, máquinas de fax, contestadores automáticos, switches de datos,etc.), medios magnéticos (cintas, discos, dispositivos móviles dealmacenamiento de datos —pen drives, discos externos, etc.—), otrosequipos técnicos (relacionados con el suministro eléctrico, unidades deaire acondicionado, controles automatizados de acceso, etc.),mobiliario, lugares de emplazamiento, etc.• Servicios: servicios informáticos y de comunicaciones, utilitariosgenerales (calefacción, iluminación, energía eléctrica, etc.).Los activos de información deben ser clasificados de acuerdo a lasensibilidad y criticidad de la información que contienen o bien deacuerdo a la funcionalidad que cumplen y rotulados en función a ello,con el objeto de señalar cómo ha de ser tratada y protegida dichainformación.Generalmente, la información deja de ser sensible o crítica después deun cierto período de tiempo, por ejemplo, cuando la información se hahecho pública. Estos aspectos deben tenerse en cuenta, puesto que laclasificación por exceso puede traducirse en gastos adicionalesinnecesarios para el Organismo.Las pautas de clasificación deben prever y contemplar el hecho de quela clasificación de un ítem de información determinado nonecesariamente debe mantenerse invariable por siempre, y que ésta puedecambiar de acuerdo con una Política predeterminada. Se debe considerarla cantidad de categorías a definir para la clasificación dado que losesquemas demasiado complejos pueden tornarse engorrosos yantieconómicos o resultar poco prácticos.La información adopta muchas formas, tanto en los sistemas informáticoscomo fuera de ellos. Puede ser almacenada (en dichos sistemas o enmedios portátiles), transmitida (a través de redes o entre sistemas) eimpresa o escrita en papel. Cada una de estas formas debe contemplartodas las medidas necesarias para asegurar la confidencialidad,integridad y disponibilidad de la información.Por último, la información puede pasar a ser obsoleta y por lo tanto,ser necesario eliminarla. La destrucción de la información es unproceso que debe asegurar la confidencialidad de la misma hasta elmomento de su eliminación.Objetivo• Garantizar que los activos de información reciban un apropiado nivel de protección.• Clasificar la información para señalar su sensibilidad y criticidad.• Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.AlcanceEsta Política se aplica a toda la información administrada en el Organismo, cualquiera sea el soporte en que se encuentre.ResponsabilidadLos Propietarios de los Activos son los encargados de clasificarlos deacuerdo con su grado de sensibilidad y criticidad, de documentar ymantener actualizada la clasificación efectuada, de definir lasfunciones que deben tener permisos de acceso a los activos y sonresponsables de mantener los controles adecuados para garantizar suseguridad.El Responsable de Seguridad de la Información es el encargado deasegurar que los lineamientos para la utilización de los recursos de latecnología de información contemplen los requerimientos de seguridadestablecidos según la criticidad de la información que procesan.Cada Propietario de la Información supervisará que el proceso declasificación y rótulo de información de su área de competencia seacumplimentado de acuerdo a lo establecido en la presente Política.Política8.1 Categoría: Responsabilidad sobre los activosObjetivoTodos los activos deben ser inventariados y contar con un propietario nombrado.Los propietarios deben identificar todos los activos y se debieraasignar la responsabilidad por el mantenimiento de los controlesapropiados. La implementación de controles específicos puede serdelegada por el propietario conforme sea apropiado, pero el propietariosigue siendo responsable por la protección apropiada de los activos.8.1.1 Control: Inventario de activosSe identificarán los activos de información del Organismo. Existen muchos tipos de activos, que incluyen:a) información: bases de datos, archivos de datos, documentación, contratos, acuerdos;b) activos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo, y utilitarios;c) activos físicos: equipamiento de computación, equipamiento de comunicaciones, medios removibles y otros equipamientos;d) instalaciones: edificios, ubicaciones físicas, tendido eléctrico, red de agua y gas, etc.;e) servicios: servicios de cómputo y de comunicaciones, serviciosgenerales, por ejemplo: calefacción, iluminación, energía, y aireacondicionado;f) personas, y sus calificaciones, habilidades y experiencia;g) activos intangibles, tales como la reputación y la imagen del OrganismoEl inventario será actualizado ante cualquier modificación de lainformación registrada y revisado con una periodicidad de…………(establecer período no mayor a 6 meses).El encargado de elaborar el inventario y mantenerlo actualizado es cada Responsable de Unidad Organizativa.8.1.2 Control: Propiedad de los activosToda la información y los activos junto a sus medios de procesamientode información deben ser propiedad de un responsable designado en elorganismo.Se designarán los Propietarios de los activos identificados, quienes deben cumplir sus funciones de propietario, esto es:a) informar sobre cualquier cambio que afecte el inventario de activos;b) clasificar los activos en función a su valor;c) definir los requisitos de seguridad de los activos;d) velar por la implementación y el mantenimiento de los controles de seguridad requeridos en los activos.Cabe aclarar que, si bien los propietarios pueden delegar laadministración de sus funciones a personal idóneo a su cargo,conservarán la responsabilidad del cumplimiento de las mismas. Ladelegación de la administración por parte de los propietarios de losactivos será documentada por los mismos y proporcionada al Responsablede Seguridad de la Información.8.1.3 Control: Uso aceptable de los activosSe identificarán, documentarán e implementarán reglas para el usoaceptable de la información y los activos asociados con lasinstalaciones de procesamiento de la información.Todos los empleados, contratistas y usuarios de terceras partes debenseguir las reglas para el uso aceptable de la información y los activosasociados con las instalaciones de procesamiento de la misma,incluyendo:a) correo electrónico,b) sistemas de gestión,c) estaciones de trabajo,d) dispositivos móviles,e) herramientas y equipamiento de publicación de contenidos,f) etc.8.2 Categoría: Clasificación de la informaciónObjetivoAsegurar que la información reciba un nivel de protección apropiado.La información debe ser clasificada para indicar la necesidad,prioridades y grado de protección esperado cuando se maneja lainformación.La información tiene diversos grados de confidencialidad e importancia.Algunos ítems pueden requerir un nivel de protección adicional o manejoespecial. Se debe utilizar un esquema de clasificación de informaciónpara definir un conjunto apropiado de niveles de protección y comunicarla necesidad de medidas de uso especiales.8.2.1 Control: Directrices de clasificaciónPara clasificar un Activo de Información, se evaluarán las trescaracterísticas de la información en las cuales se basa la seguridad:confidencialidad, integridad y disponibilidad.A continuación se establece la metodología de clasificación de lainformación propuesta en función a cada una de las mencionadascaracterísticas:Confidencialidad:0. Información que puede ser conocida y utilizada sin autorización porcualquier persona, sea empleado del Organismo o no. PUBLICO1. Información que puede ser conocida y utilizada por todos losempleados del Organismo y algunas entidades externas debidamenteautorizadas, y cuya divulgación o uso no autorizados podría ocasionarriesgos o pérdidas leves para el Organismo, el Sector Público Nacionalo terceros. RESERVADA - USO INTERNO2. Información que sólo puede ser conocida y utilizada por un grupo deempleados, que la necesiten para realizar su trabajo, y cuyadivulgación o uso no autorizados podría ocasionar pérdidassignificativas al Organismo, al Sector Público Nacional o a terceros.RESERVADA - CONFIDENCIAL3. Información que sólo puede ser conocida y utilizada por un grupo muyreducido de empleados, generalmente de la alta dirección del Organismo,y cuya divulgación o uso no autorizados podría ocasionar pérdidasgraves al mismo, al Sector Público Nacional o a terceros. RESERVADASECRETAIntegridad:0. Información cuya modificación no autorizada puede repararse fácilmente, o no afecta la operatoria del Organismo.1. Información cuya modificación no autorizada puede repararse aunquepodría ocasionar pérdidas leves para el Organismo, el Sector PúblicoNacional o terceros.2. Información cuya modificación no autorizada es de difícil reparacióny podría ocasionar pérdidas significativas para el Organismo, el SectorPúblico Nacional o terceros.3. Información cuya modificación no autorizada no podría repararse,ocasionando pérdidas graves al Organismo, al Sector Público Nacional oa terceros.Disponibilidad:0. Información cuya inaccesibilidad no afecta la operatoria del Organismo.1. Información cuya inaccesibilidad permanente durante………… (definir unplazo no menor a una semana) podría ocasionar pérdidas significativaspara el Organismo, el Sector Público Nacional o terceros.2. Información cuya inaccesibilidad permanente durante………… (definir unplazo no menor a un día) podría ocasionar pérdidas significativas alOrganismo, al Sector Público Nacional o a terceros.3. Información cuya inaccesibilidad permanente durante………… (definir unplazo no menor a una hora) podría ocasionar pérdidas significativas alOrganismo, al Sector Público Nacional o a terceros.Al referirse a pérdidas, se contemplan aquellas mesurables (materiales)y no mesurables (imagen, valor estratégico de la información,obligaciones contractuales o públicas, disposiciones legales, etc.).Se asignará a la información un valor por cada uno de estos criterios.Luego, se clasificará la información en una de las siguientescategorías:CRITICIDAD BAJA: ninguno de los valores asignados superan el 1.CRITICIDAD MEDIA: alguno de los valores asignados es 2.CRITICIDAD ALTA: alguno de los valores asignados es 3.Sólo el Propietario de la información puede asignar o cambiar su nivelde clasificación, cumpliendo con los siguientes requisitos previos:• Asignarle una fecha de efectividad.• Comunicárselo al depositario del recurso.• Realizar los cambios necesarios para que los Usuarios conozcan la nueva clasificación.Luego de clasificada la información, el propietario de la mismaidentificará los recursos asociados (sistemas, equipamiento, servicios,etc.) y los perfiles funcionales que deben tener acceso a la misma.En adelante se mencionará como “información clasificada” (o “datosclasificados”) a aquella que se encuadre en los niveles 1, 2 o 3 deConfidencialidad.8.2.2 Control: Etiquetado y manipulado de la informaciónSe definirán procedimientos para el rotulado y manejo de información,de acuerdo al esquema de clasificación definido. Los mismoscontemplarán los recursos de información tanto en formatos físicos comoelectrónicos e incorporarán las siguientes actividades de procesamientode la información:- Copia;- Almacenamiento;- Transmisión por correo, fax, correo electrónico;- Transmisión oral (telefonía fija y móvil, correo de voz, contestadores automáticos, etc.).- Transmisión a través de mecanismos de intercambio de archivos (FTP, almacenamiento masivo remoto, etc.).Para cada uno de los niveles de clasificación, se deben definir losprocedimientos de manejo seguros, incluyendo las actividades deprocesamiento, almacenaje, transmisión, de-clasificación y destrucción.8.3 Categoría: Gestión de mediosObjetivoEvitar la divulgación no-autorizada; modificación, eliminación odestrucción de activos; y la interrupción de las actividades. Losmedios se debieran controlar y proteger físicamente.Se deben establecer los procedimientos de operación apropiados paraproteger los documentos, medios de cómputo (por ejemplo, cintas ydiscos), entrada/salida de datos (input/output) y documentación delsistema de una divulgación no-autorizada, modificación, eliminación ydestrucción.8.3.1 Control: Administración de Medios Informáticos RemoviblesEl Responsable del Área Informática, con la asistencia del Responsablede Seguridad de la Información, implementará procedimientos para laadministración de medios informáticos removibles, como cintas, discos,pen drives e informes impresos. El cumplimiento de los procedimientosse hará de acuerdo a la cláusula “9.1 Categoría: Requerimientos para elControl de Acceso”.Se deben considerar las siguientes acciones para la implementación de los procedimientos:a) Eliminar de forma segura los contenidos, si ya no son requeridos, decualquier medio reutilizable que ha de ser retirado o reutilizado porel Organismo.b) Requerir autorización para retirar cualquier medio del Organismo yrealizar un control de todos los retiros a fin de mantener un registrode auditoría.c) Almacenar todos los medios en un ambiente seguro y protegido, deacuerdo con las especificaciones de los fabricantes o proveedores y lacriticidad de la información almacenada.8.3.2 Control: Eliminación de Medios de InformaciónEl Responsable del Área Informática, junto con el Responsable deSeguridad de la Información definirá procedimientos para la eliminaciónsegura de los medios de soporte de información respetando la normativavigente.Los procedimientos deben considerar que los siguientes elementos requerirán almacenamiento y eliminación segura:a) Documentos en papel.b) Voces u otras grabaciones.c) Papel carbónico.d) Informes de salida.e) Cintas de impresora de un solo uso.f) Cintas magnéticas.g) Discos u otros dispositivos removibles.h) Medios de almacenamiento óptico (todos los formatos incluyendo todoslos medios de distribución de software del fabricante o proveedor).i) Listados de programas.j) Datos de prueba.k) Documentación del sistema.La evaluación del mecanismo de eliminación debe contemplar el tipo de dispositivo y la criticidad de la información contenida.8.3.3 Control: Seguridad de los Medios en TránsitoLos procedimientos de transporte de medios informáticos entre diferentes puntos (envíos postales y mensajería) deben contemplar:a) La utilización de medios de transporte o servicios de mensajeríaconfiables. El Propietario de la Información a transportar determinaráqué servicio de mensajería se utilizará conforme la criticidad de lainformación a transmitir.b) Suficiente embalaje para envío de medios a través de serviciospostales o de mensajería, siguiendo las especificaciones de losfabricantes o proveedores.c) La adopción de controles especiales, cuando resulte necesario, a finde proteger la información sensible contra divulgación o modificaciónno autorizadas. Entre los ejemplos se incluyen:1) Uso de recipientes cerrados.2) Entrega en mano.3) Embalaje a prueba de apertura no autorizada (que revele cualquier intento de acceso).4) En casos excepcionales, división de la mercadería a enviar en más de una entrega y envío por diferentes rutas.9. Cláusula: Gestión de Accesos

GeneralidadesEl acceso por medio de un sistema de restricciones y excepciones a lainformación es la base de todo sistema de seguridad informática. Paraimpedir el acceso no autorizado a los sistemas de información se debenimplementar procedimientos formales para controlar la asignación dederechos de acceso a los sistemas de información, bases de datos yservicios de información, y estos deben estar claramente documentados,comunicados y controlados en cuanto-a su cumplimiento.Los procedimientos comprenden todas las etapas del ciclo de vida de losaccesos de los usuarios de todos los niveles, desde el registro inicialde nuevos usuarios hasta la privación final de derechos de los usuariosque ya no requieren el acceso.La cooperación de los usuarios es esencial para la eficacia de laseguridad, por lo tanto es necesario concientizar a los mismos acercade sus responsabilidades por el mantenimiento de controles de accesoeficaces, en particular aquellos relacionados con el uso de contraseñasy la seguridad del equipamiento.ObjetivoImpedir el acceso no autorizado a los sistemas de información, bases dedatos y servicios de información. Implementar seguridad en los accesosde usuarios por medio de técnicas de autenticación y autorización.Controlar la seguridad en la conexión entre la red del Organismo yotras redes públicas o privadas. Registrar y revisar eventos yactividades críticas llevadas a cabo por los usuarios en los sistemas.Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.AlcanceLa Política definida en este documento se aplica a todas las formas deacceso de aquellos a quienes se les haya otorgado permisos sobre lossistemas de información, bases de datos o servicios de información delOrganismo, cualquiera sea la función que desempeñe.Asimismo se aplica al personal técnico que define, instala, administray mantiene los permisos de acceso y las conexiones de red, y a los queadministran su seguridad.ResponsabilidadEl Responsable de Seguridad de la Información estará a cargo de:Definir normas y procedimientos para: la gestión de accesos a todos lossistemas, bases de datos y servicios de información multiusuario; elmonitoreo del uso de las instalaciones de procesamiento de lainformación; la solicitud y aprobación de accesos a Internet; el uso decomputación móvil, trabajo remoto y reportes de incidentesrelacionados; la respuesta a la activación de alarmas silenciosas; larevisión de registros de actividades (logs); y el ajuste de relojes deacuerdo a un estándar preestablecido.- Definir pautas de utilización de Internet para todos los usuarios.- Participar en la definición de normas y procedimientos de seguridad aimplementar en el ambiente informático (ej.: sistemas operativos,servicios de red, enrutadores o gateways, etc.) y validarlosperiódicamente.- Controlar periódicamente la asignación de privilegios a usuarios.- Analizar y sugerir medidas a ser implementadas para efectivizar el control de acceso a Internet de los usuarios.- Verificar el cumplimiento de las pautas establecidas, relacionadascon control de accesos, registración de usuarios, administración deprivilegios, administración de contraseñas, utilización de servicios dered, autenticación de usuarios y nodos, uso controlado de utilitariosdel sistema, alarmas silenciosas, desconexión de terminales por tiempomuerto, limitación del horario de conexión, registro de eventos,protección de puertos (físicos y lógicos), subdivisión de redes,control de conexiones a la red, control de ruteo de red, etc.- Concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de trabajo.- Verificar periódicamente el cumplimiento de los procedimientos de revisión de registros de auditoría.- Asistir a los usuarios que corresponda en el análisis de riesgos alos que se expone la información y los componentes del ambienteinformático que sirven de soporte a la misma.Los Propietarios de la Información estarán encargados de:- Evaluar los riesgos a los cuales se expone la información con el objeto de:• determinar los controles de accesos, autenticación y utilización a ser implementados en cada caso.• definir los eventos y actividades de usuarios a ser registrados enlos sistemas de procesamiento de su incumbencia y la periodicidad derevisión de los mismos.- Aprobar y solicitar la asignación de privilegios a usuarios.- Llevar a cabo un proceso formal y periódico de revisión de los derechos de acceso a la información.- Definir un cronograma de depuración de registros de auditoría en línea.Los Propietarios de la Información junto con la Unidad de AuditoríaInterna o en su defecto quien sea propuesto por el Comité de Seguridadde la Información, definirán un cronograma de depuración de logs yregistros de auditoría en línea en función a normas vigentes y a suspropias necesidades.Los Responsable de las Unidades Organizativas, junto con el Responsablede Seguridad de la Información, autorizarán el trabajo remoto delpersonal a su cargo, en los casos en que se verifique que son adoptadastodas las medidas que correspondan en materia de seguridad de lainformación, de modo de cumplir con las normas vigentes. Asimismoautorizarán el acceso de los usuarios a su cargo a los servicios yrecursos de red y a Internet.El Responsable del Área Informática cumplirá las siguientes funciones:- Implementar procedimientos para la activación y desactivación de derechos de acceso a las redes.- Analizar e implementar los métodos de autenticación y control de acceso definidos en los sistemas, bases de datos y servicios.- Evaluar el costo y el impacto de la implementación de “enrutadores”,“gateways” y/o firewalls adecuados para subdividir la red y recomendarel esquema apropiado.- Implementar el control de puertos, de conexión a la red y de ruteo de red.- Implementar el registro de eventos o actividades (logs) de usuariosde acuerdo a lo definido por los propietarios de la información, asícomo la depuración de los mismos.- Definir e implementar los registros de eventos y actividadescorrespondientes a sistemas operativos y otras plataformas deprocesamiento.- Evaluar los riesgos sobre la utilización de las instalaciones deprocesamiento de información, con el objeto de definir medios demonitoreo y tecnologías de identificación y autenticación de usuarios(Ej.: biometría, verificación de firma, uso de autenticadores dehardware).- Definir e implementar la configuración que debe efectuarse para cadaservicio de red, de manera de garantizar la seguridad en su operatoria.- Analizar las medidas a ser implementadas para efectivizar el control de acceso a Internet de los usuarios.- Otorgar acceso a los servicios y recursos de red, únicamente de acuerdo al pedido formal correspondiente.- Efectuar un control de los registros de auditoría generados por los sistemas operativos y de comunicaciones.La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información, tendrá acceso a los registrosde eventos a fin de colaborar en el control y efectuar recomendacionessobre modificaciones a los aspectos de seguridad.El Comité de Seguridad de la Información aprobará el análisis deriesgos de la información efectuado. Asimismo, aprobará el períododefinido para el mantenimiento de los registros de auditoría generados.Política9.1 Categoría: Requerimientos para la Gestión de AccesoObjetivoControlar el acceso a la información. Se debe controlar el acceso a lainformación, medios de procesamiento de la información y procesos sobrela base de los requerimientos del organismo y de seguridad. Las reglasde control del acceso deben tomar en cuenta las políticas para ladivulgación y autorización de la información.9.1.1 Control: Política de Gestión de AccesosEn la aplicación de gestión de acceso, se contemplarán los siguientes aspectos:a) Identificar los requerimientos de seguridad de cada una de las aplicaciones.b) Identificar toda la información relacionada con las aplicaciones.c) Establecer criterios coherentes entre esta Política de Control deAcceso y la Política de Clasificación de Información de los diferentessistemas y redes (Ver cláusula 8 Gestión de Activos).d) Identificar la legislación aplicable y las obligacionescontractuales con respecto a la protección del acceso a datos yservicios.e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de trabajo.f) Administrar los derechos de acceso en un ambiente distribuido y dered, que reconozcan todos los tipos de conexiones y dispositivosdisponibles.9.1.2 Control: Reglas de Gestión de AccesoLas reglas de control de acceso especificadas, deben:a) Indicar expresamente si las reglas son obligatorias u optativasb) Establecer reglas sobre la premisa “Todo debe estar prohibido amenos que se permita expresamente” y no sobre la premisa inversa de“Todo está permitido a menos que se prohiba expresamente”.c) Controlar los cambios en los rótulos de información que soniniciados automáticamente por herramientas de procesamiento deinformación, de aquellos que son iniciados a discreción del usuario(Ver cláusula 8 Gestión de Activos).d) Controlar los cambios en los permisos de usuario que son iniciadosautomáticamente por el sistema de información y aquellos que soniniciados por el administrador.e) Controlar las reglas que requieren la aprobación del administrador odel Propietario de la Información de que se trate, antes de entrar envigencia, y aquellas que no requieren aprobación.9.2 Categoría: Administración de Gestión de UsuariosObjetivoCon el objetivo de impedir el acceso no autorizado a la información seimplementarán procedimientos formales para controlar la asignación dederechos de acceso a los sistemas, datos y servicios de información.Los procedimientos debieran abarcar todas las etapas en el ciclo devida del acceso del usuario, desde el registro inicial de usuariosnuevos hasta la baja final de los usuarios que ya no requieren acceso alos sistemas y servicios de información.9.2.1 Control: Registración de UsuariosEl Responsable de Seguridad de la Información definirá un procedimientoformal de registro de usuarios para otorgar y revocar el acceso a todoslos sistemas, bases de datos y servicios de información multiusuario,el cual debe comprender:a) Utilizar identificadores de usuario únicos, de manera que se puedaidentificar a los usuarios por sus acciones evitando la existencia demúltiples perfiles de acceso para un mismo empleado. El uso deidentificadores grupales sólo debe ser permitido cuando seanconvenientes para el trabajo a desarrollar debido a razones operativas.b) Verificar que el usuario tiene autorización del Propietario de laInformación para el uso del sistema, base de datos o servicio deinformación.c) Verificar que el nivel de acceso otorgado es adecuado para elpropósito de la función del usuario y es coherente con la Política deSeguridad del Organismo, por ejemplo que no compromete la segregaciónde funciones.d) Entregar a los usuarios un detalle escrito de sus derechos de acceso.e) Requerir que los usuarios firmen declaraciones señalando que comprenden y aceptan las condiciones para el acceso.f) Garantizar que los proveedores de servicios no otorguen acceso hastaque se hayan completado los procedimientos de autorización.g) Mantener un registro formal de todas las personas registradas para utilizar el servicio.h) Cancelar inmediatamente los derechos de acceso de los usuarios quecambiaron sus tareas, o de aquellos a los que se les revocó laautorización, se desvincularon del Organismo o sufrieron lapérdida/robo de sus credenciales de acceso.i) Efectuar revisiones periódicas con el objeto de:- cancelar identificadores y cuentas de usuario redundantes- inhabilitar cuentas inactivas por más de……… (indicar período no mayor a 60 días)- eliminar cuentas inactivas por más de………… (indicar período no mayor a 120 días)En el caso de existir excepciones, deben ser debidamente justificadas y aprobadas.j) Garantizar que los identificadores de usuario redundantes no se asignen a otros usuarios.k) Incluir cláusulas en los contratos de personal y de servicios queespecifiquen sanciones si el personal o los agentes que prestan unservicio intentan accesos no autorizados en caso de corresponder.9.2.2 Control: Gestión de PrivilegiosSe limitará y controlará la asignación y uso de privilegios, debido aque el uso inadecuado de los privilegios del sistema resultafrecuentemente en el factor más importante que contribuye a la falla delos sistemas a los que se ha accedido ilegalmente.Los sistemas multiusuario que requieren protección contra accesos noautorizados, deben prever una asignación de privilegios controladamediante un proceso de autorización formal. Se deben tener en cuentalos siguientes pasos:a) Identificar los privilegios asociados a cada producto del sistema,por ejemplo sistema operativo, sistema de administración de bases dedatos y aplicaciones, y las categorías de personal a las cuales debenasignarse los productos.b) Asignar los privilegios a individuos sobre la base de la necesidadde uso y evento por evento, por ejemplo el requerimiento mínimo para surol funcional.c) Mantener un proceso de autorización y un registro de todos losprivilegios asignados. Los privilegios no deben ser otorgados hasta quese haya completado el proceso formal de autorización.d) Establecer un período de vigencia para el mantenimiento de losprivilegios (en base a la utilización que se le dará a los mismos)luego del cual los mismos serán revocados.e) Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios.Los Propietarios de Información serán los encargados de aprobar laasignación de privilegios a usuarios y solicitar su implementación, locual será supervisado por el Responsable de Seguridad de la Información.9.2.3 Control: Gestión de Contraseñas de UsuarioLa asignación de contraseñas se controlará a través de un proceso deadministración formal, mediante el cual deben respetarse los siguientespasos:a) Requerir que los usuarios firmen una declaración por la cual secomprometen a mantener sus contraseñas personales en secreto y lascontraseñas de los grupos de trabajo exclusivamente entre los miembrosdel grupo. Esta declaración bien puede estar incluida en el Compromisode Confidencialidad.b) Garantizar que los usuarios cambien las contraseñas iniciales queles han sido asignadas la primera vez que ingresan al sistema. Lascontraseñas provisorias, que se asignan cuando los usuarios olvidan sucontraseña, sólo debe suministrarse una vez acreditada la identidad delusuario.c) Generar contraseñas provisorias seguras para otorgar a los usuarios.Se debe evitar la participación de terceros o el uso de mensajes decorreo electrónico sin protección (texto claro) en el mecanismo deentrega de la contraseña y los usuarios deben dar acuse de reciboformal cuando la reciban.d) Almacenar las contraseñas sólo en sistemas informáticos protegidos.e) Utilizar otras tecnologías de autenticación y autorización deusuarios, como ser la biométrica (por ejemplo verificación de huellasdactilares), verificación de firma, uso de autenticadores de hardware(como las tarjetas de circuito integrado), etc. El uso de esasherramientas se dispondrá cuando la evaluación de riesgos realizada porel Responsable de Seguridad de la Información conjuntamente con elResponsable del Área de Informática y el Propietario de la Informaciónlo determine necesario (o lo justifique).f) Configurar los sistemas de tal manera que:- las contraseñas sean del tipo “password fuerte” y tengan……… (especificar cantidad no menor a 8 caracteres) caracteres,- suspendan o bloqueen permanentemente al usuario luego de………(especificar cantidad no mayor a 3) intentos de entrar con unacontraseña incorrecta (debe pedir la rehabilitación ante quiencorresponda),- solicitar el cambio de la contraseña cada……… (especificar lapso no mayor a 45 días),- impedir que las últimas……… (especificar cantidad no menor a 12) contraseñas sean reutilizadas,- establecer un tiempo de vida mínimo de……… (especificar cantidad no mayor a 3) días para las contraseñas.9.2.4 Control: Administración de Contraseñas CríticasEn los diferentes ambientes de procesamiento existen cuentas deusuarios con las cuales es posible efectuar actividades críticas comoser instalación de plataformas o sistemas, habilitación de servicios,actualización de software, configuración de componentes informáticos,etc. Dichas cuentas no serán de uso habitual (diario), sino que sóloserán utilizadas ante una necesidad específica de realizar alguna tareaque lo requiera y se encontrarán protegidas por contraseñas con unmayor nivel de complejidad que el habitual. El Responsable de Seguridadde la Información definirá procedimientos para la administración dedichas contraseñas críticas que contemplen lo siguiente:a) Se definirán las causas que justificarán el uso de contraseñas críticas así como el nivel de autorización requerido.b) Las contraseñas seleccionadas serán seguras, y su definición seráefectuada como mínimo por dos personas, de manera que ninguna de ellasconozca la contraseña completa.c) Las contraseñas y los nombres de las cuentas críticas a las que pertenecen serán resguardadas debidamente.d) La utilización de las contraseñas críticas será registrada,documentando las causas que determinaron su uso, así como elresponsable de las actividades que se efectúen con la misma.e) Cada contraseña crítica se renovará una vez utilizada y se definiráun período luego del cual la misma será renovada en caso de que no sela haya utilizado.f) Se registrarán todas las actividades que se efectúen con las cuentascríticas para luego ser revisadas. Dicho registro será revisadoposteriormente por el Responsable de Seguridad de la Información.9.2.5 Control: Revisión de Derechos de Acceso de UsuariosA fin de mantener un control eficaz del acceso a los datos y serviciosde información, el Propietario de la Información de que se tratellevará a cabo un proceso formal, a intervalos regulares de…………(Indicar periodicidad no mayor a 6 meses), a fin de revisar losderechos de acceso de los usuarios. Se deben contemplar los siguientescontroles:a) Revisar los derechos de acceso de los usuarios a intervalos de………… (Especificar tiempo no mayor a 6 meses).b) Revisar las autorizaciones de privilegios especiales de derechos deacceso a intervalos de…………… (Especificar tiempo no mayor a 3 meses).c) Revisar las asignaciones de privilegios a intervalos de……………(Especificar tiempo no mayor a 6 meses), a fin de garantizar que no seobtengan privilegios no autorizados.9.3 Categoría: Responsabilidades del UsuarioObjetivoEvitar el acceso de usuarios no-autorizados, evitar poner en peligro lainformación y evitar el robo de información y los medios deprocesamiento de la información.La cooperación de los usuarios autorizados es esencial para una seguridad efectiva.Los usuarios deben estar al tanto de sus responsabilidades paramantener controles de acceso efectivos, particularmente con relación aluso de claves secretas y la seguridad del equipo del usuario.Se debe implementar una política de escritorio y pantalla limpios parareducir el riesgo de acceso no autorizado o daño a los papeles, mediosy medios de procesamiento de la información.9.3.1 Control: Uso de ContraseñasLos usuarios deben seguir buenas prácticas de seguridad en la selección y uso de contraseñas.Las contraseñas constituyen un medio de validación y autenticación dela identidad de un usuario, y consecuentemente un medio para establecerderechos de acceso a las instalaciones o servicios de procesamiento deinformación.Los usuarios deben cumplir las siguientes directivas:a) Mantener las contraseñas en secreto.b) Pedir el cambio de la contraseña siempre que exista un posible indicio de compromiso del sistema o de las contraseñas.c) Seleccionar contraseñas de calidad, de acuerdo a las prescripcionesinformadas por el Responsable del Activo de Información de que setrate, que:1. Sean fáciles de recordar.2. No estén basadas en algún dato que otra persona pueda adivinar uobtener fácilmente mediante información relacionada con la persona, porejemplo nombres, números de teléfono, fecha de nacimiento, etc.3. No tengan caracteres idénticos consecutivos o grupos totalmente numéricos o totalmente alfabéticos.d) Cambiar las contraseñas cada vez que el sistema se lo solicite y evitar reutilizar o reciclar viejas contraseñas.e) Cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”).f) Evitar incluir contraseñas en los procesos automatizados de iniciode sesión, por ejemplo, aquellas almacenadas en una tecla de función omacro.g) Notificar de acuerdo a lo establecido en la cláusula 16 Gestión deIncidentes de Seguridad, cualquier incidente de seguridad relacionadocon sus contraseñas: pérdida, robo o indicio de pérdida deconfidencialidad.Si los usuarios necesitan acceder a múltiples servicios o plataformas yse requiere que mantengan múltiples contraseñas, se notificará a losmismos que pueden utilizar una única contraseña para todos losservicios que brinden un nivel adecuado de protección de lascontraseñas almacenadas y en tránsito.9.4 Categoría: Control de Acceso a Sistemas y AplicacionesObjetivoEvitar el acceso no autorizado a los servicios de la red.Se debe controlar el acceso a los servicios de redes internas y externas.El acceso del usuario a las redes y servicios de las redes no debencomprometer la seguridad de los servicios de la red asegurando:a) que existan las interfases apropiadas entre la red del Organismo y las redes de otras organizaciones, y redes públicas;b) se apliquen los mecanismos de autenticación apropiados para los usuarios y el equipo;c) el control del acceso del usuario a la información sea obligatorio.9.4.1 Control: Política de Utilización de los Servicios de RedLas conexiones no seguras a los servicios de red pueden afectar a todoel Organismo, por lo tanto, se controlará el acceso a los servicios dered tanto internos como externos. Esto es necesario para garantizar quelos usuarios que tengan acceso a las redes y a sus servicios, nocomprometan la seguridad de los mismos.El Responsable del Área Informática tendrá a cargo el otorgamiento delacceso a los servicios y recursos de red, únicamente de acuerdo alpedido formal del titular de una Unidad Organizativa que lo solicitepara personal de su incumbencia.Este control es particularmente importante para las conexiones de red aaplicaciones que procesen información clasificada o aplicacionescríticas, o a usuarios que utilicen el acceso desde sitios de altoriesgo, por ejemplo áreas públicas o externas que están fuera de laadministración y del control de seguridad del Organismo.Para ello, se desarrollarán procedimientos para la activación ydesactivación de derechos de acceso a las redes, los cualescomprenderán:a) Identificar las redes y servicios de red a los cuales se permite el acceso.b) Realizar normas y procedimientos de autorización para determinar laspersonas y las redes y servicios de red a los cuales se les otorgará elacceso.c) Establecer controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red.Esta Política será coherente con la Política de Gestión de Accesos del Organismo.9.4.2 Control: Camino ForzadoLas redes están diseñadas para permitir el máximo alcance dedistribución de recursos y flexibilidad en la elección de la ruta autilizar. Estas características también pueden ofrecer oportunidadespara el acceso no autorizado a las aplicaciones del Organismo, o parael uso no autorizado de servicios de información. Por esto, el caminode las comunicaciones será controlado.Se limitarán las opciones de elección de la ruta entre la terminal deusuario y los servicios a los cuales el mismo se encuentra autorizado aacceder, mediante la implementación de controles en diferentes puntosde la misma.A continuación se enumeran algunos ejemplos a considerar en caso de implementar estos controles a los sistemas existentes:a) Asignar números telefónicos o líneas, en forma dedicada.b) Establecer la conexión automática de puertos a gateways de seguridad o a sistemas de aplicación específicos.c) Limitar las opciones de menú y submenú de cada uno de los usuarios.d) Evitar la navegación ilimitada por la red.e) Imponer el uso de sistemas de aplicación y/o gateways de seguridad específicos para usuarios externos de la red.f) Controlar activamente las comunicaciones con origen y destinoautorizados a través de un gateway, por ejemplo utilizando firewalls ygenerando alertas ante eventos no previstos.g) Restringir el acceso a redes, estableciendo dominios lógicosseparados, por ejemplo, redes privadas virtuales para grupos deusuarios dentro o fuera del Organismo.Los requerimientos relativos a caminos forzados se basarán en laPolítica de Control de Accesos del Organismo El Responsable deSeguridad de la Información, conjuntamente con el Propietario de laInformación de que se trate, realizará una evaluación de riesgos a finde determinar los mecanismos de control que corresponda en cada caso.9.4.3 Control: Autenticación de Usuarios para Conexiones ExternasLas conexiones externas son de gran potencial para accesos noautorizados a la información del Organismo. Por consiguiente, el accesode usuarios remotos estará sujeto al cumplimiento de procedimientos deautenticación. Existen diferentes métodos de autenticación, algunos delos cuales brindan un mayor nivel de protección que otros. ElResponsable de Seguridad de la Información, conjuntamente con elPropietario de la Información de que se trate, realizará una evaluaciónde riesgos a fin de determinar el mecanismo de autenticación quecorresponda en cada caso.La autenticación de usuarios remotos puede llevarse a cabo utilizando:a) Un método de autenticación físico (por ejemplo tokens de hardware),para lo que debe implementarse un procedimiento que incluya:• Asignación de la herramienta de autenticación.• Registro de los poseedores de autenticadores.• Mecanismo de rescate al momento de la desvinculación del personal al que se le otorgó.• Método de revocación de acceso del autenticador, en caso de compromiso de seguridad.b) Un protocolo de autenticación (por ejemplo desafío/respuesta), para lo que debe implementarse un procedimiento que incluya:• Establecimiento de las reglas con el usuario.• Establecimiento de un ciclo de vida de las reglas para su renovación.c) También pueden utilizarse líneas dedicadas privadas o unaherramienta de verificación de la dirección del usuario de red, a finde constatar el origen de la conexión.Los procedimientos y controles de rellamada, o dial-back, puedenbrindar protección contra conexiones no autorizadas a las instalacionesde procesamiento de información del Organismo. Al aplicar este tipo decontrol, el Organismo no debe utilizar servicios de red que incluyandesvío de llamadas. Si por alguna causa es preciso mantener el desvíode llamadas, no será posible aplicar el control de re-llamada.Asimismo, es importante que el proceso de re-llamada garantice que seproduzca a su término, una desconexión real del lado del Organismo.En caso de utilizarse sistemas de Voz sobre IP, deben ajustarse loscontroles a fin de que no sean utilizados para efectuar comunicacionesno autorizadas (ej.: bloqueo de puertos).9.4.4 Control: Autenticación de NodosUna herramienta de conexión automática a una computadora remota podríabrindar un medio para obtener acceso no autorizado a una aplicación delOrganismo. Por consiguiente, las conexiones a sistemas informáticosremotos serán autenticadas. Esto es particularmente importante si laconexión utiliza una red que está fuera de control de la gestión deseguridad del Organismo. En el punto anterior se mencionan algunosejemplos de autenticación y de cómo puede lograrse. La autenticación denodos puede servir como un medio alternativo de autenticación de gruposde usuarios remotos, cuando éstos están conectados a un servicioinformático seguro y compartido.9.4.5 Control: Protección de los Puertos (Ports) de Diagnóstico RemotoMuchas computadoras y sistemas de comunicación son instalados yadministrados con una herramienta de diagnóstico remoto. Si no estánprotegidos, estos puertos de diagnóstico proporcionan un medio deacceso no autorizado. Por consiguiente, serán protegidos por unmecanismo de seguridad apropiado, con las mismas características delpunto “9.4.3 Control: Autenticación de Usuarios para ConexionesExternas”. También para este caso debe tenerse en cuenta el punto“9.4.2 Control: Camino Forzado”.9.4.6 Control: Subdivisión de RedesPara controlar la seguridad en redes extensas, se podrán dividir endominios lógicos separados. Para esto se definirán y documentarán losperímetros de seguridad que sean convenientes. Estos perímetros seimplementarán mediante la instalación de “gateways” con funcionalidadesde “firewall” o redes privadas virtuales, para filtrar el tráfico entrelos dominios y para bloquear el acceso no autorizado de acuerdo a laPolítica de Control de Accesos.La subdivisión en dominios de la red tomará en cuenta criterios comolos requerimientos de seguridad comunes de grupos de integrantes de lared, la mayor exposición de un grupo a peligros externos, separaciónfísica, u otros criterios de aglutinamiento o segregación preexistentes.Basándose en la Política de Gestión de Accesos y los requerimientos deacceso (9.1 Categoría: Requerimientos para la Gestión de Acceso), elResponsable del Área Informática evaluará el costo relativo y elimpacto en el desempeño que ocasione la implementación de enrutadores ogateways adecuados para subdividir la red. Luego decidirá, junto con elResponsable de Seguridad de la Información, el esquema más apropiado aimplementar.9.4.7 Control: Acceso a InternetEl acceso a Internet será utilizado con propósitos autorizados o con el destino por el cual fue provisto.El Responsable de Seguridad de la Información definirá procedimientospara solicitar y aprobar accesos a Internet. Los accesos seránautorizados formalmente por el Responsable de la Unidad Organizativa acargo del personal que lo solicite. Asimismo, se definirán las pautasde utilización de Internet para todos los usuarios.Se evaluará la conveniencia de generar un registro de los accesos delos usuarios a Internet, con el objeto de realizar revisiones de losaccesos efectuados o analizar casos particulares. Dicho control serácomunicado a los usuarios de acuerdo a lo establecido en el punto 6.1.5Control: Acuerdos de confidencialidad. Para ello, el Responsable deSeguridad de la Información junto con el Responsable del Área deInformática analizarán las medidas a ser implementadas para efectivizardicho control, como ser la instalación de “firewalls”, “proxies”, etc.9.4.8 Control: Conexión a la RedSobre la base de lo definido en el punto “9.1 Categoría: Requerimientospara la gestión de accesos”, se implementarán controles para limitar lacapacidad de conexión de los usuarios. Dichos controles se podránimplementar en los “gateways” que separen los diferentes dominios de lared.Algunos ejemplos de los entornos a las que deben implementarse restricciones son:a) Correo electrónico.b) Transferencia de archivos.c) Acceso interactivo.d) Acceso a la red fuera del horario laboral.9.4.9 Control: Ruteo de RedEn las redes compartidas, especialmente aquellas que se extienden fuerade los límites del Organismo, se incorporarán controles de ruteo, paraasegurar que las conexiones informáticas y los flujos de información noviolen la Política de Control de Accesos Estos controles contemplaránmínimamente la verificación positiva de direcciones de origen ydestino. Adicionalmente, para este objetivo pueden utilizarse diversosmétodos incluyendo entre otros autenticación de protocolos de ruteo,ruteo estático, traducción de direcciones y listas de control de acceso.9.4.10 Control: Seguridad de los Servicios de RedEl Responsable de Seguridad de la Información junto con el Responsabledel Área informática definirán las pautas para garantizar la seguridadde los servicios de red del Organismo, tanto públicos como privados.Para ello se tendrán en cuenta las siguientes directivas:- Mantener instalados y habilitados sólo aquellos servicios que sean utilizados.- Controlar el acceso lógico a los servicios, tanto a su uso como a su administración.- Configurar cada servicio de manera segura, evitando las vulnerabilidades que pudieran presentarse.- Instalar periódicamente las actualizaciones de seguridad.Dicha configuración será revisada periódicamente por el Responsable de Seguridad de la Información.9.5 Categoría: Control de Acceso al Sistema OperativoObjetivoEvitar el acceso no autorizado a los sistemas operativos.Se deben utilizar medios de seguridad para restringir el acceso a lossistemas operativos a los usuarios no autorizados. Los medios debentener la capacidad para:a) autenticar a los usuarios autorizados, en concordancia con una política de control de acceso definida;b) registrar los intentos exitosos y fallidos de autenticación del sistema;c) registrar el uso de los privilegios especiales del sistema;d) emitir alarmas cuando se violen las políticas de seguridad del sistema;e) proporcionar los medios de autenticación apropiados;f) cuando sea apropiado, restringir el tiempo de conexión de los usuarios9.5.1 Control: Identificación Automática de TerminalesEl Responsable de Seguridad de la Información junto con el Responsabledel Área Informática realizará una evaluación de riesgos a fin dedeterminar el método de protección adecuado para el acceso al SistemaOperativo.Si del análisis realizado surgiera la necesidad de proveer un método deidentificación de terminales, se redactará un procedimiento que indique:a) El método de identificación automática de terminales utilizado.b) El detalle de transacciones permitidas por terminal o dispositivo.9.5.2 Control: Procedimientos de Conexión de Terminales.El acceso a los servicios de información sólo será posible a través deun proceso de conexión seguro. El procedimiento de conexión en unsistema informático será diseñado para minimizar la oportunidad deacceso no autorizado.Este procedimiento, por lo tanto, debe divulgar la mínima informaciónposible acerca del sistema, a fin de evitar proveer de asistenciainnecesaria a un usuario no autorizado.El procedimiento de identificación debe:a) Mantener en secreto los identificadores de sistemas o aplicacioneshasta tanto se halla llevado a cabo exitosamente el proceso de conexión.b) Desplegar un aviso general advirtiendo que sólo los usuarios autorizados pueden acceder a la computadora.c) Evitar dar mensajes de ayuda que pudieran asistir a un usuario no autorizado durante el procedimiento de conexión.d) Validar la información de la conexión sólo al completarse latotalidad de los datos de entrada. Si surge una condición de error, elsistema no debe indicar que parte de los datos es correcta o incorrecta.e) Limitar el número de intentos de conexión no exitosos permitidos y:- Registrar los intentos no exitosos.- Impedir otros intentos de identificación, una vez superado el límite permitido.- Desconectar conexiones de comunicaciones de datos.f) Limitar el tiempo máximo permitido para el procedimiento deconexión. Si este es excedido, el sistema debe finalizar la conexión.g) Desplegar la siguiente información, al completarse una conexión exitosa:- Fecha y hora de la conexión exitosa anterior.- Detalles de los intentos de conexión no exitosos desde la última conexión exitosa.9.5.3 Control: Identificación y Autenticación de los UsuariosTodos los usuarios (incluido el personal de soporte técnico, como losoperadores, administradores de red, programadores de sistemas yadministradores de bases de datos) tendrán un identificador único (IDde usuario) solamente para su uso personal exclusivo, de manera que lasactividades puedan rastrearse con posterioridad hasta llegar alindividuo responsable, a fin de garantizar la trazabilidad de lastransacciones. Los identificadores de usuario no darán ningún indiciodel nivel de privilegio otorgado.En circunstancias excepcionales, cuando existe un claro beneficio parael Organismo, podrá utilizarse un identificador compartido para ungrupo de usuarios o una tarea específica. Para casos de esta índole, sedocumentará la justificación y aprobación del Propietario de laInformación de que se trate.Si se utilizará un método de autenticación físico (por ejemploautenticadores de hardware), debe implementarse un procedimiento queincluya:a) Asignar la herramienta de autenticación.b) Registrar los poseedores de autenticadores.c) Rescatar el autenticador al momento de la desvinculación del personal al que se le otorgó.d) Revocar el acceso del autenticador, en caso de compromiso de seguridad.9.5.4 Control: Sistema de Administración de ContraseñasLas contraseñas constituyen uno de los principales medios de validaciónde la autoridad de un usuario para acceder a un servicio informático.Los sistemas de administración de contraseñas deben constituir unaherramienta eficaz e interactiva que garantice contraseñas de calidad.El sistema de administración de contraseñas debe:a) Imponer el uso de contraseñas individuales para determinar responsabilidades.b) Permitir que los usuarios seleccionen y cambien sus propiascontraseñas (luego de cumplido el plazo mínimo de mantenimiento de lasmismas) e incluir un procedimiento de confirmación para contemplar loserrores de ingreso.c) Imponer una selección de contraseñas de calidad según lo señalado en el punto “9.3.1 Control: Uso de Contraseñas”.d) Imponer cambios en las contraseñas en aquellos casos en que los usuarios mantengan sus propias contraseñas.e) Obligar a los usuarios a cambiar las contraseñas provisorias en suprimer procedimiento de identificación, en los casos en que ellosseleccionen sus contraseñas.f) Mantener un registro de las últimas 13 contraseñas utilizadas por el usuario, y evitar la reutilización de las mismas.g) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas.10. Cláusula: Criptografía

GeneralidadesLa criptografía se usa en forma primaria para proteger la informacióndel riesgo de seguridad que la misma pueda ser interceptada porcualquier persona no autorizada.Esto reduce la probabilidad de que partes no autorizadas puedan tener acceso a la información.Se debe tener cuidado con los sistemas de encriptación que no protegena toda la información para asegurar que aquella información clasificadacomo confidencial.ObjetivosGarantizar el uso adecuado y eficaz de la criptografía para proteger laconfidencialidad, no-repudio, la autenticidad y/o la integridad de lainformación.AlcanceEsta Política se aplica a todos los sistemas informáticos, tantodesarrollos propios o de terceros, y a todos los Sistemas Operativosy/o Software de Base que integren cualquiera de los ambientesadministrados por el Organismo en donde residan los desarrollosmencionados.ResponsabilidadEl Responsable de Seguridad de la Información, junto con el Propietariode la Información, definirá en función a la criticidad de lainformación, los requerimientos de protección mediante métodoscriptográficos. Luego, el Responsable de Seguridad de la informacióndefinirá junto con el Responsable del Área de Sistemas, los métodos deencripción a ser utilizados.Asimismo, el Responsable de Seguridad de la Información cumplirá las siguientes funciones:- Definir los procedimientos de administración de claves.- Verificar el cumplimiento de los controles establecidos para el desarrollo y mantenimiento de sistemas.- Garantizar el cumplimiento de los requerimientos de seguridad para el software.- Definir procedimientos para: el control de cambios a los sistemas; laverificación de la seguridad de las plataformas y bases de datos quesoportan e interactúan con los sistemas; el control de códigomalicioso; y la definición de las funciones del personal involucrado enel proceso de entrada de datos.Política10.1 Categoría: Cumplimiento de Requisitos LegalesObjetivoSe utilizarán sistemas y técnicas criptográficas para la protección dela información en base a un análisis de riesgo efectuado, con el fin deasegurar una adecuada protección de su confidencialidad e integridad.Se debe desarrollar una política sobre el uso de controlescriptográficos. Se debe establecer una gestión clave para sostener eluso de técnicas criptográficas.10.1.1 Control: Política de Utilización de Controles CriptográficosEl Organismo establece la presente Política de uso de controlescriptográficos, a fin de determinar su correcto uso. Para ello seindica que:a) Se utilizarán controles criptográficos en los siguientes casos:1) Para la protección de claves de acceso a sistemas, datos y servicios.2) Para la transmisión de información clasificada, fuera del ámbito del Organismo.3) Para el resguardo de información, cuando así surja de la evaluaciónde riesgos realizada por el Propietario de la Información y elResponsable de Seguridad de la Información.b) Se desarrollarán procedimientos respecto de la administración declaves, de la recuperación de información cifrada en caso de pérdida,compromiso o daño de las claves y en cuanto al reemplazo de las clavesde cifrado.c) El Responsable del Área Informática propondrá la siguiente asignación de funciones:

d) Se utilizarán, como mínimo, los siguientes algoritmos de cifrado y tamaños de clave:

Los algoritmos y longitudes de clave mencionados son los que a la fechase consideran seguros. Se recomienda verificar esta condiciónperiódicamente con el objeto de efectuar las actualizacionescorrespondientes.10.1.2 Control: CifradoMediante la evaluación de riesgos que llevará a cabo el Propietario dela Información y el Responsable de Seguridad de la Información, seidentificará el nivel requerido de protección, tomando en cuenta eltipo y la calidad del algoritmo de cifrado utilizado y la longitud delas claves criptográficas a utilizar.Al implementar la Política del Organismo en materia criptográfica, seconsiderarán los controles aplicables a la exportación e importación detecnología criptográfica.10.1.3 Control: Firma DigitalLas firmas digitales proporcionan un medio de protección de laautenticidad e integridad de los documentos electrónicos. Puedenaplicarse a cualquier tipo de documento que se proceseelectrónicamente. Se implementan mediante el uso de una técnicacriptográfica sobre la base de dos claves relacionadas de manera única,donde una clave, denominada privada, se utiliza para crear una firma yla otra, denominada pública, para verificarla.Se tomarán recaudos para proteger la confidencialidad de las claves privadas.Asimismo, es importante proteger la integridad de la clave pública.Esta protección se provee mediante el uso de un certificado de clavepública.Los algoritmos de firma utilizados, como así también la longitud de clave a emplear, son los descriptos en la presente política.Se recomienda que las claves criptográficas utilizadas para firmardigitalmente no sean empleadas en procedimientos de cifrado deinformación. Dichas claves deben ser resguardadas bajo el controlexclusivo de su titular.Al utilizar firmas y certificados digitales, se considerará lalegislación vigente (Ley N° 25.506, el Decreto N° 2628/02 y el conjuntode normas complementarias que fijan o modifican competencias yestablecen procedimientos) que describa las condiciones bajo las cualesuna firma digital es legalmente válida.En algunos casos podría ser necesario establecer acuerdos especialespara respaldar el uso de las firmas digitales. A tal fin se debeobtener asesoramiento legal con respecto al marco normativo aplicable yla modalidad del acuerdo a implementar. (Ver Cláusula 10.1.1 Control:Política de utilización de controles criptográficos, en el cuadro decifrado asimétrico).10.1.4 Control: Servicios de No RepudioEstos servicios se utilizarán cuando sea necesario resolver disputasacerca de la ocurrencia de un evento o acción. Su objetivo esproporcionar herramientas para evitar que aquél que haya originado unatransacción electrónica niegue haberla efectuado.10.1.5 Control: Protección de claves criptográficasSe implementará un sistema de administración de claves criptográficaspara respaldar la utilización por parte del Organismo de los dos tiposde técnicas criptográficas, a saber:a) Técnicas de clave secreta (criptografía simétrica), cuando dos o másactores comparten la misma clave y ésta se utiliza tanto para cifrarinformación como para descifrarla.b) Técnicas de clave pública (criptografía asimétrica), cuando cadausuario tiene un par de claves: una clave pública (que puede serrevelada a cualquier persona) utilizada para cifrar y una clave privada(que debe mantenerse en secreto) utilizada para descifrar. Las clavesasimétricas utilizadas para cifrado no deben ser las mismas que seutilizan para firmar digitalmente.Todas las claves serán protegidas contra modificación y destrucción, ylas claves secretas y privadas serán protegidas contra copia odivulgación no autorizada.Se aplicarán con éste propósito los algoritmos criptográficosenumerados en el punto 10.1.1 Control: Política de Utilización deControles Criptográficos.Se proporcionará una protección adecuada al equipamiento utilizado paragenerar, almacenar y archivar claves, considerándolo crítico o de altoriesgo.10.1.6 Control: Protección de Claves criptográficas: Normas y procedimientosSe redactarán las normas y procedimientos necesarios para:a) Generar claves para diferentes sistemas criptográficos y diferentes aplicaciones.b) Generar y obtener certificados de clave pública de manera segura.c) Distribuir claves de forma segura a los usuarios que corresponda,incluyendo información sobre cómo deben activarse cuando se reciban.d) Almacenar claves, incluyendo la forma de acceso a las mismas por parte de los usuarios autorizados.e) Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben cambiarse las claves.f) Revocar claves, incluyendo cómo deben retirarse o desactivarse lasmismas, por ejemplo cuando las claves están comprometidas o cuando unusuario se desvincula del Organismo (en cuyo caso las claves tambiéndeben archivarse).g) Recuperar claves pérdidas o alteradas como parte de laadministración de la continuidad de las actividades del Organismo, porejemplo para la recuperación de la información cifrada.h) Archivar claves, por ejemplo, para la información archivada o resguardada.i) Destruir claves.j) Registrar y auditar las actividades relativas a la administración de claves.A fin de reducir la probabilidad de compromiso, las claves tendránfechas de inicio y caducidad de vigencia, definidas de manera que sólopuedan ser utilizadas por el lapso de………… (indicar lapso no mayor a 12meses).Además de la administración segura de las claves secretas y privadas,debe tenerse en cuenta la protección de las claves públicas. Esteproblema es abordado mediante el uso de un certificado de clavepública. Este certificado se generará de forma que vincule de maneraúnica la información relativa al propietario del par de clavespública/privada con la clave pública.En consecuencia es importante que el proceso de administración de loscertificados de clave pública sea absolutamente confiable. Este procesodeberá ser llevado a cabo por una entidad denominada Autoridad deCertificación (AC) o Certificador.11. Cláusula: Física y Ambiental

Generalidades

La seguridad física y ambiental brinda el marco para minimizar losriesgos de daños e interferencias a la información y a las operacionesdel Organismo. Asimismo, pretende evitar al máximo el riesgo de accesosfísicos no autorizados, mediante el establecimiento de perímetros deseguridad.Se distinguen tres conceptos a tener en cuenta: la protección física deaccesos, la protección ambiental y el transporte, protección ymantenimiento de equipamiento y documentación.El establecimiento de perímetros de seguridad y áreas protegidasfacilita la implementación de controles tendientes a proteger lasinstalaciones de procesamiento de información crítica o sensible delOrganismo, de accesos físicos no autorizados.El control de los factores ambientales permite garantizar el correctofuncionamiento de los equipos de procesamiento y minimizar lasinterrupciones de servicio. Deben contemplarse tanto los riesgos en lasinstalaciones del Organismo como en instalaciones próximas a la sededel mismo que puedan interferir con las actividades.El equipamiento donde se almacena información es susceptible demantenimiento periódico, lo cual implica en ocasiones su traslado ypermanencia fuera de las áreas protegidas del Organismo. Dichosprocesos deben ser ejecutados bajo estrictas normas de seguridad y depreservación de la información almacenada en los mismos. Así también setendrá en cuenta la aplicación de dichas normas en equipamientoperteneciente al Organismo pero situado físicamente fuera del mismo(“housing”) así como en equipamiento ajeno que albergue sistemas y/opreste servicios de procesamiento de información al Organismo(“hosting”).La información almacenada en los sistemas de procesamiento y ladocumentación contenida en diferentes medios de almacenamiento, sonsusceptibles de ser recuperadas mientras no están siendo utilizados. Espor ello que el transporte y la disposición final presentan riesgos quedeben ser evaluados.Gran cantidad de información manejada en las oficinas se encuentraalmacenada en papel, por lo que es necesario establecer pautas deseguridad para la conservación de dicha documentación; y para sudestrucción cuando así lo amerite.ObjetivoPrevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información del Organismo.Proteger el equipamiento de procesamiento de información crítica delOrganismo ubicándolo en áreas protegidas y resguardadas por unperímetro de seguridad definido, con medidas de seguridad y controlesde acceso apropiados. Asimismo, contemplar la protección del mismo ensu traslado y permanencia fuera de las áreas protegidas, por motivos demantenimiento u otros.Controlar los factores ambientales que podrían perjudicar el correctofuncionamiento del equipamiento informático que alberga la informacióndel Organismo.Implementar medidas para proteger la información manejada por elpersonal en las oficinas, en el marco normal de sus labores habituales.Proporcionar protección proporcional a los riesgos identificados.AlcanceEsta Política se aplica a todos los recursos físicos relativos a lossistemas de información del Organismo: instalaciones, equipamiento,cableado, expedientes, medios de almacenamiento, etc.ResponsabilidadEl Responsable de Seguridad de la Información definirá junto con elResponsable del Área Informática y los Propietarios de Información,según corresponda, las medidas de seguridad física y ambiental para elresguardo de los activos críticos, en función a un análisis de riesgos,y controlará su implementación. Asimismo, verificará el cumplimiento delas disposiciones sobre seguridad física y ambiental indicadas en lapresente Cláusula.El Responsable del Área Informática asistirá al Responsable deSeguridad de la Información en la definición de las medidas deseguridad a implementar en áreas protegidas, y coordinará suimplementación. Asimismo, controlará el mantenimiento del equipamientoinformático de acuerdo a las indicaciones de proveedores tanto dentrocomo fuera de las instalaciones del Organismo.Los Responsables de Unidades Organizativas definirán los niveles deacceso físico del personal del organismo a las áreas restringidas bajosu responsabilidad.Los Propietarios de la Información autorizarán formalmente el trabajofuera de las instalaciones con información de su incumbencia a losempleados del Organismo cuando lo crean conveniente.La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información revisará los registros deacceso a las áreas protegidas.Todo el personal del Organismo es responsable del cumplimiento de lapolítica de pantallas y escritorios limpios, para la protección de lainformación relativa al trabajo diario en las oficinas.Política11.1 Categoría: Áreas SegurasObjetivoEvitar el acceso físico no autorizado, daño e interferencia con la información y los locales del Organismo.Los medios de procesamiento de información crítica o confidencial debenubicarse en áreas seguras, protegidas por los perímetros de seguridaddefinidos, con las barreras de seguridad y controles de entradaapropiados. Deben estar físicamente protegidos del acceso noautorizado, daño e interferencia.11.1.1 Control: Perímetro de seguridad físicaLa protección física se llevará a cabo mediante la creación de diversasbarreras o medidas de control físicas alrededor de las sedes delOrganismo y de las instalaciones de procesamiento de información.El Organismo utilizará perímetros de seguridad para proteger las áreasque contienen instalaciones de procesamiento de información, desuministro de energía eléctrica, de aire acondicionado, y cualquierotra área considerada crítica para el correcto funcionamiento de lossistemas de información. Un perímetro de seguridad está delimitado poruna barrera, por ejemplo una pared, una puerta de acceso controlado pordispositivo de autenticación o un escritorio u oficina de recepciónatendidos por personas. El emplazamiento y la fortaleza de cada barreraestarán definidas por el Responsable del Área Informática con elasesoramiento del Responsable de Seguridad de la Información, deacuerdo a la evaluación de riesgos efectuada.Se considerarán e implementarán los siguientes lineamientos y controles, según corresponda:a) Definir y documentar claramente el perímetro de seguridad.b) Ubicar las instalaciones de procesamiento de información dentro delperímetro de un edificio o área de construcción físicamente sólida (porejemplo no deben existir aberturas en el perímetro o áreas donde puedaproducirse fácilmente una irrupción). Las paredes externas del áreadeben ser sólidas y todas las puertas que comunican con el exteriordeben estar adecuadamente protegidas contra accesos no autorizados, porejemplo mediante mecanismos de control, vallas, alarmas, cerraduras,etc.c) Verificar la existencia de un área de recepción atendida porpersonal. Si esto no fuera posible se implementarán los siguientesmedios alternativos de control de acceso físico al área o edificio:………(indicar otros medios alternativos de control). El acceso a dichasáreas y edificios estará restringido exclusivamente al personalautorizado. Los métodos implementados registrarán cada ingreso y egresoen forma precisa.d) Extender las barreras físicas necesarias desde el piso (real) hastael techo (real), a fin de impedir el ingreso no autorizado y lacontaminación ambiental, por ejemplo por incendio, humedad e inundación.e) Identificar claramente todas las puertas de incendio de un perímetro de seguridad.Un área segura puede ser una oficina con llave, o varias oficinasrodeadas por una barrera de seguridad física interna continua. Puedenser necesarios barreras y perímetros adicionales para controlar elacceso físico entre las áreas con diferentes requerimientos deseguridad, dentro del mismo perímetro de seguridadEl Responsable de Seguridad de la Información llevará un registro actualizado de los sitios protegidos, indicando:a) Identificación del Edificio y Área.b) Principales elementos a proteger.c) Medidas de protección física11.1.2 Control: Controles físicos de entradaLas áreas protegidas se resguardarán mediante el empleo de controles deacceso físico, los que serán determinados por el Responsable deSeguridad de la Información junto con el Responsable del ÁreaInformática, a fin de permitir el acceso sólo al personal autorizado.Estos controles de acceso físico tendrán, por lo menos, las siguientescaracterísticas:a) Supervisar o inspeccionar a los visitantes a áreas protegidas yregistrar la fecha y horario de su ingreso y egreso. Sólo se permitiráel acceso mediando propósitos específicos y autorizados e instruyéndoseal visitante en el momento de ingreso sobre los requerimientos deseguridad del área y los procedimientos de emergencia.b) Controlar y limitar el acceso a la información clasificada y a lasinstalaciones de procesamiento de información, exclusivamente a laspersonas autorizadas. Se utilizarán los siguientes controles deautenticación para autorizar y validar todos los accesos:………… (porejemplo: personal de guardia con listado de personas habilitadas o portarjeta magnética o inteligente y número de identificación personal(PIN), etc.). Se mantendrá un registro protegido para permitir auditartodos los accesos.c) Implementar el uso de una identificación unívoca visible para todoel personal del área protegida e instruirlo acerca de cuestionar lapresencia de desconocidos no escoltados por personal autorizado y acualquier persona que no exhiba una identificación visible.d) Revisar y actualizar cada……… (definir período no mayor a 6 meses)los derechos de acceso a las áreas protegidas, los que serándocumentados y firmados por el Responsable de la Unidad Organizativa dela que dependa.e) Revisar los registros de acceso a las áreas protegidas. Esta tareala realizará la Unidad de Auditoría Interna o en su defecto quien seapropuesto por el Comité de Seguridad de la Información.11.1.3 Control: Seguridad de oficinas, despachos, instalacionesPara la selección y el diseño de un área protegida se tendrá en cuentala posibilidad de daño producido por incendio, inundación, explosión,agitación civil, y otras formas de desastres naturales o provocados porel hombre. También se tomarán en cuenta las disposiciones y normas(estándares) en materia de sanidad y seguridad. Asimismo, seconsiderarán las amenazas a la seguridad que representan los edificiosy zonas aledañas, por ejemplo, filtración de agua desde otrasinstalaciones.Se definen los siguientes sitios como áreas protegidas del OrganismoAreas Protegidas

………………………………

Se establecen las siguientes medidas de protección para áreas protegidas:a) Ubicar las instalaciones críticas en lugares a los cuales no pueda acceder personal no autorizado.b) Establecer que los edificios o sitios donde se realicen actividadesde procesamiento de información serán discretos y ofrecerán unseñalamiento mínimo de su propósito, sin signos obvios, exteriores ointeriores.c) Ubicar las funciones y el equipamiento de soporte, por ejemplo:impresoras, fotocopiadoras, máquinas de fax, adecuadamente dentro delárea protegida para evitar solicitudes de acceso, el cual podríacomprometer la información.d) Establecer que las puertas y ventanas permanecerán cerradas cuandono haya vigilancia. Se agregará protección externa a las ventanas, enparticular las que se encuentran en planta baja o presenten riesgosespeciales.e) Implementar los siguientes mecanismos de control para la detecciónde intrusos:………………………. (detallar cuales). Los mismos serán instaladossegún estándares profesionales y probados periódicamente. Estosmecanismos de control comprenderán todas las puertas exteriores yventanas accesibles.f) Separar las instalaciones de procesamiento de informaciónadministradas por el Organismo de aquellas administradas por terceros.g) Restringir el acceso público a las guías telefónicas y listados deteléfonos internos que identifican las ubicaciones de las instalacionesde procesamiento de información sensible.h) Almacenar los materiales peligrosos o combustibles en los siguienteslugares seguros a una distancia prudencial de las áreas protegidas delOrganismo:…………… (incluir lista de lugares seguros). Los suministros,como los útiles de escritorio, no serán trasladados al área protegidahasta que sean requeridos.i) Almacenar los equipos redundantes y la información de resguardo(back up) en un sitio seguro y distante del lugar de procesamiento,para evitar daños ocasionados ante eventuales contingencias en el sitioprincipal:……………………. (detallar ubicación).11.1.4 Control: Protección contra amenazas externas y de origen ambientalSe debe asignar y aplicar protección física contra daño por fuego,inundación, terremoto, explosión, revuelta civil y otras formas dedesastres naturales o causados por el hombre.Se debe prestar consideración a cualquier amenaza contra la seguridadpresentada por locales vecinos; por ejemplo, un fuego en un edificiovecino, escape de agua en el techo o pisos en sótano o una explosión enla calle.Se debe considerar los siguientes lineamientos para evitar el daño porfuego, inundación, terremoto, explosión, revuelta civil y otras formasde desastres naturales o causados por el hombre:a) los materiales peligrosos o combustibles deben ser almacenados a unadistancia segura del área asegurada. Los suministros a granel comopapelería no deben almacenarse en el área asegurada;b) el equipo de reemplazo y los medios de respaldo debieran ubicarse auna distancia segura para evitar el daño de un desastre que afecte ellocal principal;c) se debe proporcionar equipo contra-incendios ubicado adecuadamente.11.1.5 Control: Trabajo en áreas segurasPara incrementar la seguridad de las áreas protegidas, se establecenlos siguientes controles y lineamientos adicionales. Esto incluyecontroles para el personal que trabaja en el área protegida, así comopara las actividades de terceros que tengan lugar allí:a) Dar a conocer al personal la existencia del área protegida, o de lasactividades que allí se llevan a cabo, sólo si es necesario para eldesarrollo de sus funciones.b) Evitar la ejecución de trabajos por parte de terceros sin supervisión.c) Bloquear físicamente e inspeccionar periódicamente las áreas protegidas desocupadas.d) Limitar el acceso al personal del servicio de soporte externo a lasáreas protegidas o a las instalaciones de procesamiento de informaciónsensible. Este acceso, como el de cualquier otra persona ajena querequiera acceder al área protegida, será otorgado solamente cuando seanecesario y se encuentre autorizado y monitoreado. Se mantendrá unregistro de todos los accesos de personas ajenas.e) Pueden requerirse barreras y perímetros adicionales para controlarel acceso físico entre áreas con diferentes requerimientos deseguridad, y que están ubicadas dentro del mismo perímetro de seguridad.f) Impedir el ingreso de equipos de computación móvil, fotográficos, devídeo, audio o cualquier otro tipo de equipamiento que registreinformación, a menos que hayan sido formalmente autorizadas por elResponsable de dicho área o el Responsable del Área Informática y elResponsable de Seguridad de la Información.g) Prohibir comer, beber y fumar dentro de las instalaciones de procesamiento de la información.11.1.6 Control: Áreas de acceso público, de carga y descargaSe controlarán las áreas de Recepción y Distribución, las cualesestarán aisladas de las instalaciones de procesamiento de información,a fin de impedir accesos no autorizados.Para ello se establecerán controles físicos que considerarán los siguientes lineamientos:a) Limitar el acceso a las áreas de depósito, desde el exterior de lasede del Organismo, sólo al personal previamente identificado yautorizado.b) Diseñar el área de depósito de manera tal que los suministros puedanser descargados sin que el personal que realiza la entrega acceda aotros sectores del edificio.c) Proteger todas las puertas exteriores del depósito cuando se abre la puerta interna.d) Inspeccionar el material entrante para descartar peligrospotenciales antes de ser trasladado desde el área de depósito hasta ellugar de uso.e) Registrar el material entrante al ingresar al sitio pertinente.f) Cuando fuese posible, el material entrante debe estar segregado o separado en sus diferentes partes que lo constituyan.11.2 Categoría: Seguridad de los equiposObjetivoEvitar pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades del Organismo.Se debe proteger el equipo de amenazas físicas y ambientales.11.2.1 Control: emplazamiento y protección de equiposEl equipamiento será ubicado y protegido de tal manera que se reduzcanlos riesgos ocasionados por amenazas y peligros ambientales, y lasoportunidades de acceso no autorizado, teniendo en cuenta lossiguientes puntos:a) Ubicar el equipamiento en un sitio donde se minimice el acceso innecesario y provea un control de acceso adecuado.b) Ubicar las instalaciones de procesamiento y almacenamiento deinformación que manejan datos clasificados, en un sitio que permita lasupervisión durante su uso.c) Aislar los elementos que requieren protección especial para reducir el nivel general de protección requerida.d) Adoptar controles adecuados para minimizar el riesgo de amenazas potenciales, por:

Se deben establecer lineamientos sobre las actividades de comer, bebery fumar en la proximidad de los medios de procesamiento de lainformación.Revisar regularmente las condiciones ambientales para verificar que lasmismas no afecten de manera adversa el funcionamiento de lasinstalaciones de procesamiento de la información. Esta revisión serealizará cada:……………… (indicar periodicidad, no mayor a seis meses).Se deben aplicar protección contra rayos a todos los edificios y sedeben adaptar filtros de protección contra rayos a todas las líneas deingreso de energía y comunicaciones.Considerar asimismo el impacto de las amenazas citadas en el punto d)que tengan lugar en zonas próximas a la sede del Organismo.11.2.2 Control: Instalaciones de suministroEl equipamiento estará protegido con respecto a las posibles fallas enel suministro de energía u otras anomalías eléctricas. El suministro deenergía estará de acuerdo con las especificaciones del fabricante oproveedor de cada equipo. Para asegurar la continuidad del suministrode energía, se contemplarán las siguientes medidas de control:a) Disponer de múltiples enchufes o líneas de suministro para evitar un único punto de falla en el suministro de energía.b) Contar con un suministro de energía interrumpible (UPS) paraasegurar el apagado regulado y sistemático o la ejecución continua delequipamiento que sustenta las operaciones críticas del Organismo. Ladeterminación de dichas operaciones críticas, será el resultado delanálisis de impacto realizado por el Responsable de Seguridad de laInformación conjuntamente con los Propietarios de la Información conincumbencia. Los planes de contingencia contemplarán las acciones quehan de emprenderse ante una falla de la UPS. Los equipos de UPS seráninspeccionados y probados periódicamente para asegurar que funcionancorrectamente y que tienen la autonomía requerida.c) Montar un generador de respaldo para los casos en que elprocesamiento deba continuar ante una falla prolongada en el suministrode energía. Debe realizarse un análisis de impacto de las posiblesconsecuencias ante una interrupción prolongada del procesamiento, conel objeto de definir qué componentes será necesario abastecer deenergía alternativa. Dicho análisis será realizado por el Responsablede Seguridad de la Información conjuntamente con los Propietarios de laInformación. Se dispondrá de un adecuado suministro de combustible paragarantizar que el generador pueda funcionar por un período prolongado.Cuando el encendido de los generadores no sea automático, se aseguraráque el tiempo de funcionamiento de la UPS permita el encendido manualde los mismos. Los generadores serán inspeccionados y probadosperiódicamente para asegurar que funcionen según lo previsto.Asimismo, se procurará que los interruptores de emergencia se ubiquencerca de las salidas de emergencia de las salas donde se encuentra elequipamiento, a fin de facilitar un corte rápido de la energía en casode producirse una situación crítica. Se proveerá de iluminación deemergencia en caso de producirse una falla en el suministro principalde energía. Se implementará protección contra descargas eléctricas entodos los edificios y líneas de comunicaciones externas de acuerdo alas normativas vigentes.Las opciones para lograr la continuidad de los suministros de energíaincluyen múltiples alimentaciones para evitar que una falla en elsuministro de energía.11.2.3 Control: Seguridad del cableadoEl cableado de energía eléctrica y de comunicaciones que transportadatos o brinda apoyo a los servicios de información estará protegidocontra intercepción o daño, mediante las siguientes acciones:a) Cumplir con los requisitos técnicos vigentes de la República Argentina.b) Utilizar pisoducto o cableado embutido en la pared, siempre que seaposible, cuando corresponda a las instalaciones de procesamiento deinformación. En su defecto estarán sujetas a la siguiente protecciónalternativa:………… (indicar protección alternativa del cableado)c) Proteger el cableado de red contra intercepción no autorizada o dañomediante los siguientes controles:……… (ejemplo: el uso de conductos oevitando trayectos que atraviesen áreas públicas).d) Separar los cables de energía de los cables de comunicaciones para evitar interferencias.e) Proteger el tendido del cableado troncal (backbone) mediante la utilización de ductos blindados.Para los sistemas sensibles o críticos………………… y…………… (detallar cuálesson), se implementarán los siguientes controles adicionales:a) Instalar conductos blindados y recintos o cajas con cerradura en los puntos terminales y de inspección.b) Utilizar rutas o medios de transmisión alternativos.11.2.4 Control: Mantenimiento de los equiposSe realizará el mantenimiento del equipamiento para asegurar sudisponibilidad e integridad permanentes. Para ello se debe considerar:a) Someter el equipamiento a tareas de mantenimiento preventivo, deacuerdo con los intervalos de servicio y especificaciones recomendadospor el proveedor y con la autorización formal del Responsables del ÁreaInformática. El Área de Informática mantendrá un listado actualizadodel equipamiento con el detalle de la frecuencia en que se realizará elmantenimiento preventivo.b) Establecer que sólo el personal de mantenimiento autorizado puedebrindar mantenimiento y llevar a cabo reparaciones en el equipamiento.c) Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo y correctivo realizado.d) Registrar el retiro de equipamiento de la sede del Organismo para su mantenimiento.e) Eliminar la información confidencial que contenga cualquierequipamiento que sea necesario retirar, realizándose previamente lasrespectivas copias de resguardo.11.2.5 Control: Seguridad de los equipos fuera de las instalacionesEl uso de equipamiento destinado al procesamiento de información, fueradel ámbito del Organismo, será autorizado por el responsablepatrimonial. En el caso de que en el mismo se almacene informaciónclasificada, debe ser aprobado además por el Propietario de la misma.La seguridad provista debe ser equivalente a la suministrada dentro delámbito del Organismo para un propósito similar, teniendo en cuenta losriesgos de trabajar fuera de la misma.Se respetarán permanentemente las instrucciones del fabricante respectodel cuidado del equipamiento. Asimismo, se mantendrá una adecuadacobertura de seguro para proteger el equipamiento fuera del ámbito delOrganismo, cuando sea conveniente.Los riesgos de seguridad, por ejemplo: daño, robo o intercepción; puedevariar considerablemente entre los edificios y se debe tomarlo encuenta para evaluar los controles apropiados.11.2.6 Control: Reutilización o retiro seguro de equiposLa información puede verse comprometida por una desafectación o unareutilización descuidada del equipamiento. Los medios de almacenamientoconteniendo material sensible, por ejemplo discos rígidos noremovibles, serán físicamente destruidos o sobrescritos en forma seguraen lugar de utilizar las funciones de borrado estándar, segúncorresponda.Los dispositivos que contengan información confidencial deben requeriruna evaluación de riesgo para determinar si los ítems debieran serfísicamente destruidos en lugar de enviarlos a reparar o descartar.11.2.7 Control: Retirada de materiales propiedad del organismoEl equipamiento, la información y el software no serán retirados de la sede del Organismo sin autorización formal.Periódicamente, se llevarán a cabo comprobaciones puntuales paradetectar el retiro no autorizado de activos del Organismo, las queserán llevadas a cabo por.............. (indicar el Área responsable).El personal será puesto en conocimiento de la posibilidad derealización de dichas comprobaciones.Los empleados deben saber que se llevan a cabo chequeos inesperados, ylos chequeos se deben realizar con la debida autorización de losrequerimientos legales y reguladores.11.2.8 Control: Políticas de Pantallas LimpiasLos usuarios deben garantizar que los equipos desatendidos sean protegidos adecuadamente.Los equipos instalados en áreas de usuarios, por ejemplo estaciones detrabajo o servidores de archivos, requieren una protección específicacontra accesos no autorizados cuando se encuentran desatendidos.El Responsable de Seguridad de la Información debe coordinar con elÁrea de Recursos Humanos las tareas de concientización a todos losusuarios y contratistas, acerca de los requerimientos y procedimientosde seguridad, para la protección de equipos desatendidos, así como desus funciones en relación a la implementación de dicha protección.Los usuarios cumplirán con las siguientes pautas:a) Concluir las sesiones activas al finalizar las tareas, a menos quepuedan protegerse mediante un mecanismo de bloqueo adecuado, porejemplo, un protector de pantalla protegido por contraseña.b) Proteger las PC’s o terminales contra usos no autorizados medianteun bloqueo de seguridad o control equivalente, por ejemplo, contraseñade acceso cuando no se utilizan.11.2.9 Control: Políticas de Escritorios LimpiosSe adopta una política de escritorios limpios para proteger documentosen papel y dispositivos de almacenamiento removibles y una política depantallas limpias en las instalaciones de procesamiento de información,a fin de reducir los riesgos de acceso no autorizado, pérdida y daño dela información, tanto durante el horario normal de trabajo como fueradel mismo.Se aplicarán los siguientes lineamientos:a) Almacenar bajo llave, cuando corresponda, los documentos en papel ylos medios informáticos, en gabinetes y/u otro tipo de mobiliarioseguro cuando no están siendo utilizados, especialmente fuera delhorario de trabajo.b) Guardar bajo llave la información sensible o crítica del Organismo(preferentemente en una caja fuerte o gabinete a prueba de incendios)cuando no está en uso, especialmente cuando no hay personal en laoficina.c) Desconectar de la red / sistema / servicio las computadoraspersonales, terminales e impresoras asignadas a funciones críticas,cuando están desatendidas. Las mismas deben ser protegidas mediantecerraduras de seguridad, contraseñas u otros controles cuando no estánen uso (como por ejemplo la utilización de protectores de pantalla concontraseña). Los responsables de cada área mantendrán un registro delas contraseñas o copia de las llaves de seguridad utilizadas en elsector a su cargo. Tales elementos se encontrarán protegidos en sobrecerrado o caja de seguridad para impedir accesos no autorizados,debiendo dejarse constancia de todo acceso a las mismas, y de losmotivos que llevaron a tal acción.d) Proteger los puntos de recepción y envío de correo postal y las máquinas de fax no atendidas.e) Bloquear las fotocopiadoras (o protegerlas de alguna manera del uso no autorizado) fuera del horario normal de trabajo.f) Retirar inmediatamente la información sensible o confidencial, una vez impresa.12. Cláusula: Seguridad en las Operaciones

GeneralidadesLa proliferación de software malicioso, como virus, troyanos, etc.,hace necesario que se adopten medidas de prevención, a efectos deevitar la ocurrencia de tales amenazas.Es conveniente separar los ambientes de desarrollo, prueba yoperaciones de los sistemas del Organismo, estableciendo procedimientosque aseguren la calidad de los procesos que se implementen en el ámbitooperativo, a fin de minimizar los riesgos de incidentes producidos porla manipulación de información operativa.ObjetivoGarantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.Establecer responsabilidades y procedimientos para su gestión yoperación, incluyendo instrucciones operativas, procedimientos para larespuesta a incidentes y separación de funciones:AlcanceTodas las instalaciones de procesamiento de información del Organismo.ResponsabilidadEl Responsable de Seguridad de la información tendrá a su cargo, entre otros:• Definir procedimientos para el control de cambios a los procesosoperativos documentados, los sistemas e instalaciones de procesamientode información, y verificar su cumplimiento, de manera que no afectenla seguridad de la información.• Establecer criterios de aprobación para nuevos sistemas deinformación, actualizaciones y nuevas versiones, contemplando larealización de las pruebas necesarias antes de su aprobacióndefinitiva. Verificar que dichos procedimientos de aprobación desoftware incluyan aspectos de seguridad para todas las aplicaciones.• Definir procedimientos para el manejo de incidentes de seguridad y para la administración de los medios de almacenamiento.• Definir y documentar controles para la detección y prevención delacceso no autorizado, la protección contra software malicioso y paragarantizar la seguridad de los datos y los servicios conectados en lasredes del Organismo.• Desarrollar procedimientos adecuados de concientización de usuariosen materia de seguridad, controles de acceso al sistema yadministración de cambios.• Verificar el cumplimiento de las normas, procedimientos y controles establecidos.El Responsable del Área Informática tendrá a su cargo lo siguiente:• Controlar la existencia de documentación actualizada relacionada con los procedimientos de operaciones.• Evaluar el posible impacto operativo de los cambios previstos asistemas y equipamiento y verificar su correcta implementación,asignando responsabilidades.• Administrar los medios técnicos necesarios para permitir la segregación de los ambientes de procesamiento.• Monitorear las necesidades de capacidad de los sistemas en operacióny proyectar las futuras demandas de capacidad, a fin de evitarpotenciales amenazas a la seguridad del sistema o a los servicios delusuario.• Controlar la realización de las copias de resguardo de información, así como la prueba periódica de su restauración.• Asegurar el registro de las actividades realizadas por el personal operativo, para su posterior revisión.• Implementar los controles de seguridad definidos (software malicioso y accesos no autorizados).• Definir e implementar procedimientos para la administración de mediosinformáticos de almacenamiento, como cintas, discos, casetes e informesimpresos y para la eliminación segura de los mismos.• Participar en el tratamiento de los incidentes de seguridad, de acuerdo a los procedimientos establecidos.El Responsable de Seguridad de la información junto con el Responsabledel Área Informática y el Responsable del Área Jurídica del Organismoevaluarán los contratos y acuerdos con terceros para garantizar laincorporación de consideraciones relativas a la seguridad de lainformación involucrada en la gestión de los productos o serviciosprestados.Cada Propietario de la Información, junto con el Responsable deSeguridad de la Información y el Responsable del Área Informática,determinará los requerimientos para resguardar la información por lacual es responsable. Asimismo, aprobará los servicios de mensajeríaautorizados para transportar la información cuando sea requerido, deacuerdo a su nivel de criticidad.La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información, revisará las actividades queno hayan sido posibles segregar. Asimismo, revisará los registros deactividades del personal operativo.Política12.1 Categoría: Procedimientos y Responsabilidades operativasObjetivoAsegurar la operación correcta y segura de los medios de procesamiento de la información.Se deben establecer las responsabilidades y procedimientos para lagestión y operación de todos los medios de procesamiento de lainformación. Esto incluye el desarrollo de los procedimientos deoperación apropiados12.1.1 Control: Documentación de los ProcedimientosOperativosSe documentarán y mantendrán actualizados los procedimientos operativosidentificados en esta Política y sus cambios serán autorizados por elResponsable de Seguridad de la Información.Los procedimientos especificarán instrucciones para la ejecución detallada de cada tarea, incluyendo:a) Procesamiento y manejo de la información.b) Requerimientos de programación de procesos, interdependencias conotros sistemas, tiempos de inicio de las primeras tareas y tiempos determinación de las últimas tareas.c) Instrucciones para el manejo de errores u otras condiciones excepcionales que puedan surgir durante la ejecución de tareas.d) Restricciones en el uso de utilitarios del sistema.e) Personas de soporte a contactar en caso de dificultades operativas o técnicas imprevistas.f) Instrucciones especiales para el manejo de “salidas”, como el uso depapelería especial o la administración de salidas confidenciales,incluyendo procedimientos para la eliminación segura de salidasfallidas de tareas.g) Reinicio del sistema y procedimientos de recuperación en caso de producirse fallas en el sistema.Se preparará adicionalmente documentación sobre procedimientos referidos a las siguientes actividades:a) Instalación y mantenimiento de equipamiento para el procesamiento de información y comunicaciones.b) Instalación y mantenimiento de las plataformas de procesamiento.c) Monitoreo del procesamiento y las comunicaciones.d) Inicio y finalización de la ejecución de los sistemas.e) Programación y ejecución de procesos.f) Gestión de servicios.g) Resguardo de información.h) Gestión de incidentes de seguridad en el ambiente de procesamiento y comunicaciones.i) Remplazo o cambio de componentes del ambiente de procesamiento y comunicaciones.j) Uso del correo electrónico.12.1.2 Control: Cambios en las OperacionesSe definirán procedimientos para el control de los cambios en elambiente operativo y de comunicaciones. Todo cambio debe ser evaluadopreviamente en aspectos técnicos y de seguridad.El Responsable de Seguridad de la Información controlará que loscambios en los componentes operativos y de comunicaciones no afecten laseguridad de los mismos ni de la información que soportan. ElResponsable del Área Informática evaluará el posible impacto operativode los cambios previstos y verificará su correcta implementación.Se retendrá un registro de auditoría que contenga toda la información relevante de cada cambio implementado.Los procedimientos de control de cambios contemplarán los siguientes puntos:a) Identificación y registro de cambios significativos.b) Evaluación del posible impacto de dichos cambios.c) Aprobación formal de los cambios propuestos.d) Planificación del proceso de cambio.e) Prueba del nuevo escenario.f) Comunicación de detalles de cambios a todas las personas pertinentes.g) Identificación de las responsabilidades por la cancelación de los cambios fallidos y la recuperación respecto de los mismos.12.1.3 Control: Planificación de la CapacidadEl Responsable del Área Informática, o el personal que éste designe,efectuará el monitoreo de las necesidades de capacidad de los sistemasen operación y proyectar las futuras demandas, a fin de garantizar unprocesamiento y almacenamiento adecuados. Para ello tomará en cuentaademás los nuevos requerimientos de los sistemas así como lastendencias actuales y proyectadas en el procesamiento de la informacióndel Organismo para el período estipulado de vida útil de cadacomponente. Asimismo, informará las necesidades detectadas a lasautoridades competentes para que puedan identificar y evitarpotenciales cuellos de botella, que podrían plantear una amenaza a laseguridad o a la continuidad del procesamiento, y puedan planificar unaadecuada acción correctiva.12.1.4 Control: Separación de entornos de desarrollo, pruebas y operacionalesLos ambientes de desarrollo, prueba y operaciones, siempre que seaposible, estarán separados preferentemente en forma física, y sedefinirán y documentarán las reglas para la transferencia de softwaredesde el estado de desarrollo hacia el estado productivo.Para ello, se tendrán en cuenta los siguientes controles:a) Ejecutar el software de desarrollo y de producción, en diferentes ambientes de operaciones, equipos, o directorios.b) Separar las actividades de desarrollo y prueba, en entornos diferentes.c) Impedir el acceso a los compiladores, editores y otros utilitariosdel sistema en el ambiente de producción, cuando no sean indispensablespara el funcionamiento del mismo.d) Utilizar sistemas de autenticación y autorización independientespara los diferentes ambientes, así como perfiles de acceso a lossistemas. Prohibir a los usuarios compartir contraseñas en estossistemas. Las interfaces de los sistemas identificarán claramente a quéinstancia se está realizando la conexión.e) Definir propietarios de la información para cada uno de los ambientes de procesamiento existentes.f) El personal de desarrollo no tendrá acceso al ambiente productivo.De ser extrema dicha necesidad, se establecerá un procedimiento deemergencia para la autorización, documentación y registro de dichosaccesos.12.2 Categoría: Protección contra el malware (código malicioso)ObjetivoProteger la integridad del software y la integración. Se requiere tomarprecauciones para evitar y detectar la introducción de códigosmaliciosos y códigos móviles no-autorizados. El software y los mediosde procesamiento de la información son vulnerables a la introducción decódigos maliciosos; como ser, entre otros, virus Troyanos, bombaslógicas, etc. Los usuarios deben estar al tanto de los peligros de loscódigos maliciosos. Cuando sea apropiado, los gerentes deben introducircontroles para evitar, detectar y eliminar los códigos maliciosos ycontrolar los códigos móviles.12.2.1 Control: Control contra el malware (código malicioso)El Responsable de Seguridad de la Información definirá controles dedetección y prevención para la protección contra software malicioso. ElResponsable del Área Informática, o el personal designado por éste,implementara dichos controles.El Responsable de Seguridad de la Información desarrollaráprocedimientos adecuados de concientización de usuarios en materia deseguridad, controles de acceso al sistema y administración de cambios.Estos controles deben considerar establecer políticas y procedimientosformales que contemplen las siguientes acciones:a) Prohibir la instalación y uso de software no autorizado por elOrganismo (Ver 18.1.2 Control: Derecho de Propiedad Intelectual).b) Redactar procedimientos para evitar los riesgos relacionados con laobtención de archivos y software desde o a través de redes externas, opor cualquier otro medio (ej: dispositivos portátiles), señalando lasmedidas de protección a tomar.c) Instalar y actualizar periódicamente software de detección yreparación de virus, examinado computadoras y medios informáticos, comomedida precautoria y rutinaria.d) Mantener los sistemas al día con las últimas actualizaciones deseguridad disponibles (probar dichas actualizaciones en un entorno deprueba previamente si es que constituyen cambios críticos a lossistemas).e) Revisar periódicamente el contenido de software y datos de losequipos de procesamiento que sustentan procesos críticos del Organismo,investigando formalmente la presencia de archivos no aprobados omodificaciones no autorizadas.f) Verificar antes de su uso, la presencia de virus en archivos demedios electrónicos de origen incierto, o en archivos recibidos através de redes no confiables.g) Redactar procedimientos para verificar toda la información relativaa software malicioso, garantizando que los boletines de alerta seanexactos e informativos.h) Concientizar al personal acerca del problema de los falsos antivirus(rogues) y las cadenas falsas (hoax) y de cómo proceder frente a losmismos.i) Redactar normas de protección y habilitación de puertos de conexión de dispositivos móviles y sus derechos de acceso.12.2.2 Control: Código MóvilEn caso que el código móvil sea autorizado, se debe garantizar que laconfiguración asegure que el código móvil autorizado opere de acuerdo auna configuración de seguridad claramente definida, previniendo que elcódigo móvil no autorizado sea ejecutado.Asimismo, se implementarán acciones para la protección contra accionesmaliciosas resultantes de la ejecución no autorizada de código móvil,como ser:a) ejecución del código móvil en un ambiente lógicamente aislado;b) bloqueo del uso de código móvil;c) bloqueo de la recepción de código móvil;d) activación de medidas técnicas como sea disponible en un sistema específico para asegurar que el código móvil es gestionado;e) control de los recursos disponibles para el acceso del código móvil;f) implementación de controles criptográficos para autenticar de forma unívoca el código móvil.12.3 Categoría: Resguardo (backup)ObjetivoMantener la integridad y disponibilidad de la información y los medios de procesamiento de información.Se deben establecer los procedimientos de rutina para implementar lapolítica de respaldo acordada y la estrategia (ver también Cláusula17.1 Categoría: Gestión de Continuidad del Organismo) para tomar copiasde respaldo de los datos y practicar su restauración oportuna.12.3.1 Control: Resguardo de la InformaciónEl Responsable del Área Informática, de Seguridad de la Información ylos Propietarios de Información determinarán los requerimientos pararesguardar cada software o dato en función de su criticidad. En base aello, se definirá y documentará un esquema de resguardo de lainformación.El Responsable del Área Informática dispondrá y controlará larealización de dichas copias, así como la prueba periódica de surestauración e integridad. Para esto se debe contar con instalacionesde resguardo que garanticen la disponibilidad de toda la información ydel software crítico del Organismo. Los sistemas de resguardo debenprobarse periódicamente, asegurándose que cumplen con losrequerimientos de los planes de continuidad de las actividades delorganismo, según el punto (ver también Cláusula 17.1 Categoría: Gestiónde Continuidad del Organismo).Se definirán procedimientos para el resguardo de la información, que deben considerar los siguientes puntos:a) Definir un esquema de rótulo de las copias de resguardo, que permitacontar con toda la información necesaria para identificar cada una deellas y administrarlas debidamente.b) Establecer un esquema de remplazo de los medios de almacenamiento delas copias de resguardo, una vez concluida la posibilidad de serreutilizados, de acuerdo a lo indicado por el proveedor, y asegurandola destrucción de los medios desechados.c) Almacenar en una ubicación remota copias recientes de información deresguardo junto con registros exactos y completos de las mismas y losprocedimientos documentados de restauración, a una distancia suficientecomo para evitar daños provenientes de un desastre en el sitioprincipal. Se deben retener al menos tres generaciones o ciclos deinformación de resguardo para la información y el software esencialespara el Organismo. Para la definición de información mínima a serresguardada en el sitio remoto, se debe tener en cuenta el nivel declasificación otorgado a la misma, en términos de disponibilidad yrequisitos legales a los que se encuentre sujeta.d) Asignar a la información de resguardo un nivel de protección físicay ambiental según las normas aplicadas en el sitio principal. Extenderlos mismos controles aplicados a los dispositivos en el sitio principalal sitio de resguardo.e) Probar periódicamente los medios de resguardo.f) Verificar y probar periódicamente los procedimientos de restauracióngarantizando su eficacia y cumplimiento dentro del tiempo asignado a larecuperación en los procedimientos operativos.12.4 Categoría: Registro y MonitoreoObjetivoDetectar las actividades de procesamiento de información no autorizadas.Se deben monitorear los sistemas y se deben reportar los eventos deseguridad de la información. Se deben utilizar bitácoras de operador yse deben registrar las fallas para asegurar que se identifiquen losproblemas en los sistemas de información. Una organización debe cumplircon todos los requerimientos legales relevantes aplicables a susactividades de monitoreo y registro.Se debe utilizar el monitoreo del sistema para chequear la efectividadde los controles adoptados y para verificar la conformidad con unmodelo de política de acceso.12.4.1 Control: Registro de eventosSe producirán y mantendrán registros de auditoría en los cuales seregistren las actividades, excepciones, y eventos de seguridad de lainformación de los usuarios, por un período acordado para permitir ladetección e investigación de incidentes.Se debe evaluar la registración, en los mencionados registros, de la siguiente información:a) identificación de los usuarios;b) fechas, tiempos, y detalles de los eventos principales, por ejemplo, inicio y cierre de sesión;c) identidad del equipo o la ubicación si es posible;d) registros de intentos de acceso al sistema exitosos y fallidos;e) registros de intentos de acceso a los datos u otro recurso, exitosos y rechazados;f) cambios a la configuración del sistema;g) uso de privilegios;h) uso de utilitarios y aplicaciones de sistemas;i) archivos accedidos y el tipo de acceso;j) direcciones de redes y protocolos;k) alarmas que son ejecutadas por el sistema de control de accesos;I) activación y desactivación de los sistemas de protección, tales como sistemas antivirus y sistemas de detección de intrusos.12.4.2 Control: Protección del registro de informaciónSe implementarán controles para la protección de los registros deauditoría contra cambios no autorizados y problemas operacionales,incluyendo:a) alteraciones de los tipos de mensajes que son grabados;b) edición o eliminación de archivos de registro;Exceso de la capacidad de almacenamiento de los archivos de registro,resultando en la falla para registrar los eventos o sobrescribiendoeventos registrados en el pasado.12.4.3 Control: Registro del Administrador y del OperadorSe registrarán y revisarán periódicamente en particular las actividadesde los administradores y operadores de sistema incluyendo:a) cuenta de administración u operación involucrada;b) momento en el cual ocurre un evento (éxito o falla);c) información acerca del evento (por ejemplo, los archivosmanipulados) o las fallas (por ejemplo, los errores ocurridos y lasacciones correctivas tomadas);d) procesos involucrados.12.4.4 Control: Sincronización de RelojesA fin de garantizar la exactitud de los registros de auditoría, almenos los equipos que realicen estos registros, deben tener unacorrecta configuración de sus relojes.Para ello, se dispondrá de un procedimiento de ajuste de relojes, elcual indicará también la verificación de los relojes contra una fuenteexterna del dato y la modalidad de corrección ante cualquier variaciónsignificativa.12.5 Categoría: Control de Software OperacionalObjetivoGarantizar la seguridad de los archivos del sistema.Se debe controlar el acceso a los archivos del sistema y el códigofuente del programa, y los proyectos TI. Asimismo, las actividades desoporte se debieran realizar de una manera segura.12.5.1 Control: Instalación de software en sistemas operacionalesSe definen los siguientes controles a realizar durante laimplementación del software en producción, a fin de minimizar el riesgode alteración de los sistemas.• Toda aplicación, desarrollada por el Organismo o por un tercerotendrá un único Responsable designado formalmente por el Responsabledel Área Informática.• Ningún programador o analista de desarrollo y mantenimiento de aplicaciones podrá acceder a los ambientes de producción.• El Responsable del Área Informática, propondrá para su aprobación porparte del superior jerárquico que corresponda, la asignación de lafunción de “implementador” al personal de su área que considereadecuado, quien tendrá como funciones principales:a) Coordinar la implementación de modificaciones o nuevos programas en el ambiente de Producción.b) Asegurar que los sistemas aplicativos en uso, en el ambiente deProducción, sean los autorizados y aprobados de acuerdo a las normas yprocedimientos vigentes.c) Instalar las modificaciones, controlando previamente la recepción dela prueba aprobada por parte del Analista Responsable, del sectorencargado del testeo y del usuario final.d) Rechazar la implementación en caso de encontrar defectos y/o si faltara la documentación estándar establecida.Otros controles a realizar son:a) Guardar sólo los ejecutables en el ambiente de producción.b) Llevar un registro de auditoría de las actualizaciones realizadas.c) Retener las versiones previas del sistema, como medida de contingencia.d) Definir un procedimiento que establezca los pasos a seguir paraimplementar las autorizaciones y conformidades pertinentes, las pruebasprevias a realizarse, etc.e) Denegar, cuando correspondiere, permisos de modificación al implementador sobre los programas fuentes bajo su custodia.Evitar, que la función de implementador sea ejercida por personal que pertenezca al sector de desarrollo o mantenimiento.12.6 Categoría: Administración de vulnerabilidades técnicasObjetivoSe implementará la gestión de las vulnerabilidades técnicas de formaefectiva, sistemática y repetible, con mediciones que confirmen suefectividad. Dichas consideraciones incluirán los sistemas operativos,y cualquier otra aplicación en uso.12.6.1 Control: Administración de vulnerabilidades técnicasSe obtendrá información oportuna acerca de las vulnerabilidadestécnicas de los sistemas de información utilizados, la exposición delOrganismo a tales vulnerabilidades evaluadas, y se tomarán las medidasnecesarias para tratar los riesgos asociados.Para ello se contará con un inventario de software donde se detalleinformación de versiones del mismo así como datos del proveedor yresponsable interno.El proceso de gestión de las vulnerabilidades técnicas debe comprender:a) Definición de roles y responsabilidades asociados con la gestión de vulnerabilidades técnicas;b) Procedimientos de identificación de vulnerabilidades técnicas potenciales;c) Definición de una línea de tiempo para reaccionar ante lasnotificaciones de las vulnerabilidades técnicas potencialmenterelevantes;d) Definición de prioridades para la atención de necesidades relacionadas con actualizaciones de seguridad;e) Identificación de los riesgos asociados y las acciones a llevar a cabo ante vulnerabilidades identificadas;f) Identificación de los riesgos asociados a la instalación de parches;g) Aprobación y evaluación de los parches antes de que sean instaladospara garantizar que son efectivos y que no resultan en efectossecundarios que no puedan ser tolerados;h) Consideración de controles alternativos en caso de inexistencia de parches;i) Generación y mantenimiento de un registro de auditoría para todos los procedimientos emprendidos;j) Seguimiento y evaluación regular del proceso de gestión de lasvulnerabilidades técnicas para garantizar su efectividad y eficiencia;12.6.2 Control: Restricciones en la instalación de softwareSe deben establecer e implementar:• las reglas que rigen la instalación de software por parte de losusuarios y poner en vigencia una política estricta sobre qué tipo desoftware pueden instalar los usuarios.La instalación no controlada de software en dispositivoscomputacionales puede dar pie a la introducción de vulnerabilidades y ala fuga de información, a la falta de integridad u otros incidentes deseguridad de información o bien a la transgresión de derechos depropiedad intelectual.12.7 Categoría: Consideraciones sobre la auditoría de los sistemas de informaciónObjetivoAsegurar el cumplimiento de minimizar el impacto de las actividades de auditoría en los sistemas operacionales.12.7.1 Control: Controles de auditoría de los sistemas de informaciónCuando se realicen actividades de auditoría que involucrenverificaciones de los sistemas en producción, se tomarán recaudos en laplanificación de los requerimientos y tareas, y se acordará con lasáreas involucradas a efectos de minimizar el riesgo de interrupcionesen las operaciones.Se contemplarán los siguientes puntos:a) Acordar con el Área que corresponda los requerimientos de auditoría.b) Controlar el alcance de las verificaciones. Esta función será realizada por el responsable de auditoría.c) Limitar las verificaciones a un acceso de sólo lectura del softwarey datos de producción. Caso contrario, se tomarán los resguardosnecesarios a efectos de aislar y contrarrestar los efectos de lasmodificaciones realizadas, una vez finalizada la auditoría. Por ejemplo:• Eliminar archivos transitorios.• Eliminar entidades ficticias y datos incorporados en archivos maestros.• Revertir transacciones.• Revocar privilegios otorgados.d) Identificar claramente los recursos de tecnologías de información(TI) para llevar a cabo las verificaciones, los cuales serán puestos adisposición de los auditores. A tal efecto, la Unidad de AuditoríaInterna o en su defecto quien sea propuesto por el Comité de Seguridadde la Información completará el siguiente formulario, el cual debe serpuesto en conocimiento de las áreas involucradas:

e) Identificar y acordar los requerimientos de procesamiento especial o adicional.f) Monitorear y registrar todos los accesos, a fin de generar una pistade referencia. Los datos a resguardar deben incluir como mínimo:• Fecha y hora.• Puesto de trabajo.• Usuario.• Tipo de acceso.• Identificación de los datos accedidos.• Estado previo y posterior.• Programa y/o función utilizada.g) Documentar todos los procedimientos de auditoría, requerimientos y responsabilidades.13. Cláusula: Gestión de Comunicaciones

GeneralidadesLos sistemas de información están comunicados entre sí, tanto dentrodel Organismo como con terceros fuera de él. Por lo tanto es necesarioestablecer criterios de seguridad en las comunicaciones que seestablezcan.Las comunicaciones establecidas permiten el intercambio de información,que debe estar regulado para garantizar las condiciones deconfidencialidad, integridad y disponibilidad de la información que seemite o recibe por los distintos canales.ObjetivoGarantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones.AlcanceTodas las instalaciones de procesamiento y transmisión de información del Organismo.ResponsabilidadEl Responsable de Seguridad de la información tendrá a su cargo, entre otros:• Definir y documentar una norma clara con respecto al uso del correo electrónico.• Controlar los mecanismos de distribución y difusión de información dentro del Organismo.• Desarrollar procedimientos adecuados de concientización de usuariosen materia de seguridad, controles de acceso al sistema yadministración de cambios.• Verificar el cumplimiento de las normas, procedimientos y controles establecidos.El Responsable del Área Informática tendrá a su cargo lo siguiente:• Controlar la existencia de documentación actualizada relacionada con los procedimientos de comunicaciones.• Asegurar el registro de las actividades realizadas por el personal operativo, para su posterior revisión.• Definir e implementar procedimientos para la administración de mediosinformáticos de almacenamiento, como cintas, discos, casetes e informesimpresos y para la eliminación segura de los mismos.El Responsable de Seguridad de la información junto con el Responsabledel Área Informática y el Responsable del Área Jurídica del Organismoevaluarán los contratos y acuerdos con terceros para garantizar laincorporación de consideraciones relativas a la seguridad de lainformación involucrada en la gestión de los productos o serviciosprestados.Cada Propietario de la Información, junto con el Responsable deSeguridad de la Información y el Responsable del Área Informática,determinará los requerimientos para resguardar la información por lacual es responsable. Asimismo, aprobará los servicios de mensajeríaautorizados para transportar la información cuando sea requerido, deacuerdo a su nivel de criticidad.La Unidad de Auditoría Interna o en su defecto quien sea propuesto porel Comité de Seguridad de la Información, revisará las actividades queno hayan sido posibles segregar. Asimismo, revisará los registros deactividades del personal operativo.Política13.1 Categoría: Gestión de la RedObjetivoAsegurar la protección de la información en redes y la protección de la infraestructura de soporte.La gestión segura de las redes, la cual puede abarcar los límitesorganizacionales, requiere de la cuidadosa consideración del flujo dedatos, implicancias legales, monitoreo y protección.También se pueden requerir controles adicionales para proteger la información confidencial que pasa a través de redes públicas.13.1.1 Control: RedesEl Responsable de Seguridad de la Información definirá controles paragarantizar la seguridad de los datos y los servicios conectados en lasredes del Organismo, contra el acceso no autorizado, considerando laejecución de las siguientes acciones:a) Establecer los procedimientos para la administración delequipamiento remoto, incluyendo los equipos en las áreas usuarias, laque será llevada a cabo por el responsable establecido en el punto“6.1.3 Control: Asignación de responsabilidad de la seguridad de lainformación”.

b) Establecer controles especiales para salvaguardar laconfidencialidad e integridad del procesamiento de los datos que pasana través de redes públicas, y para proteger los sistemas conectados.Implementar controles especiales para mantener la disponibilidad de losservicios de red y computadoras conectadas.c) Garantizar mediante actividades de supervisión, que los controles seaplican uniformemente en toda la infraestructura de procesamiento deinformación.El Responsable del Área Informática implementará dichos controles.13.1.2 Control: Seguridad de Servicio de redEl Responsable de Seguridad de la Información junto con el Responsabledel Área Informática definirán las pautas para garantizar la seguridadde los servicios de red del Organismo, tanto públicos como privados.Para ello se tendrán en cuenta las siguientes directivas:• Mantener instalados y habilitados sólo aquellos servicios que sean utilizados.• Controlar el acceso lógico a los servicios, tanto a su uso como a su administración.• Configurar cada servicio de manera segura, evitando las vulnerabilidades que pudieran presentar.• Instalar periódicamente las actualizaciones de seguridad.• Dicha configuración será revisada periódicamente por el Responsable de Seguridad de la Información.13.2 Categoría: Transferencia de informaciónObjetivoMantener la seguridad en el intercambio de información dentro del Organismo y con cualquier otra entidad externa.Los intercambios de información dentro de las organizaciones se debenbasar en una política formal de intercambio, seguida en línea con losacuerdos de intercambio, y debiera cumplir con cualquier legislaciónrelevante (ver 18 Cláusula: Cumplimiento).Se deben establecer los procedimientos y estándares para proteger lainformación y los medios físicos que contiene la información entránsito.13.2.1 Control: Procedimientos y controles de intercambio de la informaciónSe establecerán procedimientos y controles formales para proteger elintercambio de información a través del uso de todos los tipos deinstalaciones de comunicación, considerando lo siguiente:a) Protección de la información intercambiada de la intercepción,copiado, modificación, de que sea mal dirigida, y de su destrucción.b) detección de y la protección contra el código malicioso que puedeser transmitido a través del uso de comunicaciones electrónicas.c) definición del uso aceptable de las instalaciones de comunicación electrónicas.d) uso seguro de comunicaciones inalámbricas.e) responsabilidades del empleado, contratista y cualquier otro usuariode no comprometer a la organización, por ejemplo, a través de ladifamación, hostigamiento, personificación, reenvío de cadenas decomunicación epistolar, compras no autorizadas y cualquier otro medio(ej.: redes sociales).f) uso de técnicas criptográficas para proteger la confidencialidad, integridad y la autenticidad de la información.g) directrices de retención y eliminación para toda la correspondenciaen concordancia con las leyes y regulaciones relevantes, locales ynacionales.h) instrucción del personal sobre las precauciones que deben tomar a la hora de transmitir información del Organismo.13.2.2 Control: Acuerdos de Intercambio de InformaciónCuando se realicen acuerdos entre organizaciones para el intercambio deinformación y software, se especificarán el grado de sensibilidad de lainformación del Organismo involucrada y las consideraciones deseguridad sobre la misma. Se tendrán en cuenta los siguientes aspectos:a) Responsabilidades gerenciales por el control y la notificación de transmisiones, envíos y recepciones.b) Procedimientos de notificación de emisión, transmisión, envío y recepción.c) Normas técnicas para el empaquetado y la transmisión.d) Pautas para la identificación del prestador del servicio de correo.e) Responsabilidades y obligaciones en caso de pérdida, exposición o divulgación no autorizada de datos.f) Uso de un sistema convenido para el rotulado de informaciónclasificada, garantizando que el significado de los rótulos seainmediatamente comprendido y que la información sea adecuadamenteprotegida.g) Términos y condiciones de la licencia bajo la cual se suministra el software.h) Información sobre la propiedad de la información suministrada y las condiciones de su uso.i) Normas técnicas para la grabación y lectura de la información y del software.j) Controles especiales que puedan requerirse para proteger ítems sensibles, (claves criptográficas, etc.).13.2.3 Control: Seguridad de la MensajeríaLa mensajería electrónica como el correo electrónico, el intercambio dedatos electrónicos (EDI por sus siglas en inglés), la mensajeríainstantánea y las redes sociales juegan un muy importante en lascomunicaciones organizacionales. La mensajería electrónica tienediferentes riesgos que las comunicaciones basadas en papel.Se considerarán las siguientes medidas de seguridad en los mensajes electrónicos:•protección de mensajes por el acceso no autorizado, modificaciones o denegación de servicio;• correcta asignación de la dirección y el transporte del mensaje;• confiabilidad y disponibilidad general del servicio;• consideraciones legales, por ejemplo, requerimientos para firmas electrónicas;• obtención de aprobación previa al uso de los servicios públicosexternos tales como mensajería instantánea o el compartir archivos;• niveles altos de controles de autenticación para los accesos desde las redes públicamente accesibles.13.2.4 Control: Acuerdos de confidencialidad.Se definirán, implementarán y revisarán regularmente los acuerdos deconfidencialidad o de no divulgación para la protección de lainformación del Organismo. Dichos acuerdos deben responder a losrequerimientos de confidencialidad o no divulgación del Organismo, loscuales serán revisalos periódicamente. Asimismo, deben cumplir con todalegislación o normativa que alcance al Organismo en materia deconfidencialidad de la información.Dichos acuerdos deben celebrarse tanto con el personal del organismocomo con aquellos terceros que se relacionen de alguna manera con suinformación.14. Cláusula: Adquisición, desarrollo y mantenimiento de sistemas

GeneralidadesEl desarrollo y mantenimiento de las aplicaciones es un punto crítico de la seguridad.Durante el análisis y diseño de los procesos que soportan estasaplicaciones se deben identificar, documentar y aprobar losrequerimientos de seguridad a incorporar durante las etapas dedesarrollo e implementación. Adicionalmente, se deben diseñar controlesde validación de datos de entrada, procesamiento interno y salida dedatos.Dado que los analistas y programadores tienen el conocimiento total dela lógica de los procesos en los sistemas, se deben implementarcontroles que eviten maniobras dolosas por parte de estas personas uotras que puedan operar sobre los sistemas, bases de datos yplataformas de software de base (por ejemplo, operadores que puedanmanipular los datos y/o atacantes que puedan comprometer / alterar laintegridad de las bases de datos) y en el caso de que se lleven a cabo,identificar rápidamente al responsable.Asimismo, es necesaria una adecuada administración de lainfraestructura de base, Sistemas Operativos y Software de Base, en lasdistintas plataformas, para asegurar una correcta implementación de laseguridad, ya que en general los aplicativos se asientan sobre estetipo de software.ObjetivoAsegurar la inclusión de controles de seguridad y validación de datosen la adquisición y el desarrollo de los sistemas de información.Definir y documentar las normas y procedimientos que se aplicarándurante el ciclo de vida de los aplicativos y en la infraestructura debase en la cual se apoyan.Definir los métodos de protección de la información crítica o sensible.AlcanceEsta Política se aplica a todos los sistemas informáticos, tantodesarrollos propios o de terceros, y a todos los Sistemas Operativosy/o Software de Base que integren cualquiera de los ambientesadministrados por el Organismo en donde residan los desarrollosmencionados.ResponsabilidadEl Responsable de Seguridad de la Información junto con el Propietariode la Información y la Unidad de Auditoría Interna, definirán loscontroles a ser implementados en los sistemas desarrolladosinternamente o por terceros, en función de una evaluación previa deriesgos.El Responsable de Seguridad de la Información, junto con el Propietariode la Información, definirá en función a la criticidad de lainformación, los requerimientos de protección mediante métodoscriptográficos. Luego, el Responsable de Seguridad de la Informacióndefinirá junto con el Responsable del Área de Sistemas, los métodos deencripción a ser utilizados.Asimismo, el Responsable de Seguridad de la Información cumplirá las siguientes funciones:• Definir los procedimientos de administración de claves.• Verificar el cumplimiento de los controles establecidos para el desarrollo y mantenimiento de sistemas.• Garantizar el cumplimiento de los requerimientos de seguridad para el software.• Definir procedimientos para: el control de cambios a los sistemas; laverificación de la seguridad de las plataformas y bases de datos quesoportan e interactúan con los sistemas; el control de códigomalicioso; y la definición de las funciones del personal involucrado enel proceso de entrada de datos.El Responsable del Área Informática, propondrá para su aprobación porparte del superior jerárquico que corresponda, la asignación defunciones de “implementador” y “administrador de programas fuentes” alpersonal de su área que considere adecuado, cuyas responsabilidades sedetallan en la presente cláusula. Asimismo, verificará el cumplimientode las definiciones establecidas sobre los controles y las medidas deseguridad a ser incorporadas a los sistemas.El Área de Sistemas propondrá quiénes realizarán la administración de las técnicas criptográficas y claves.El Responsable del Área de Administración incorporará aspectosrelacionados con el licenciamiento, la calidad del software y laseguridad de la información en los contratos con terceros por eldesarrollo de software. El Responsable del Área Jurídica participará endicha tarea.Política14.1 Categoría: Requerimientos de Seguridad de los SistemasObjetivoGarantizar que la seguridad sea una parte integral de los sistemas de información.Los sistemas de información incluyen sistemas de operación,infraestructura, aplicaciones operativas, productos de venta masiva,servicios y aplicaciones desarrolladas por el usuario. El diseño eimplementación del sistema de información que soporta el procesooperativo puede ser crucial para la seguridad. Se deben identificar yacordar los requerimientos de seguridad antes del desarrollo y/oimplementación de los sistemas de información.14.1.1 Control: Análisis y Especificaciones de los Requerimientos de seguridadEsta Política se implementa para incorporar seguridad a los sistemas deinformación (propios o de terceros) y a las mejoras o actualizacionesque se les incorporen.Los requerimientos para nuevos sistemas o mejoras a los existentesespecificarán la necesidad de controles. Estas especificaciones debenconsiderar los controles automáticos a incorporar al sistema, como asítambién controles manuales de apoyo.Se deben tener en cuenta las siguientes consideraciones:a) Definir un procedimiento para que durante las etapas de análisis ydiseño del sistema, se incorporen a los requerimientos, loscorrespondientes controles de seguridad. Este procedimiento debeincluir una etapa de evaluación de riesgos previa al diseño, paradefinir los requerimientos de seguridad e identificar los controlesapropiados. En esta tarea deben participar las áreas usuarias, desistemas, de seguridad informática y auditoría, especificando yaprobando los controles automáticos a incorporar al sistema y lasnecesidades de controles manuales complementarios. Las áreasinvolucradas podrán solicitar certificaciones y evaluacionesindependientes para los productos a utilizar.b) Evaluar los requerimientos de seguridad y los controles requeridos,teniendo en cuenta que éstos deben ser proporcionales en costo yesfuerzo al valor del bien que se quiere proteger y al daño potencialque pudiera ocasionar a las actividades realizadas.c) Considerar que los controles introducidos en la etapa de diseño, sonsignificativamente menos costosos de implementar y mantener queaquellos incluidos durante o después de la implementación.14.1.2 Control: Seguridad de servicios aplicativos en redes públicasSe controlarán los mecanismos de distribución y difusión tales comodocumentos, computadoras, dispositivos de computación móvil,comunicaciones móviles, correo, correo de voz, comunicaciones de voz engeneral (analógica o digital), multimedia, servicios o instalacionespostales, equipos de fax, etc.Al interconectar dichos medios, se considerarán las implicancias en loque respecta a la seguridad y a las actividades propias del Organismo,incluyendo:a) Vulnerabilidades de la información en los sistemas de oficina, porejemplo la grabación de llamadas telefónicas o teleconferencias, laconfidencialidad de las llamadas, el almacenamiento de faxes, laapertura o distribución del correo.b) Procedimientos y controles apropiados para administrar ladistribución de información, por ejemplo el uso de boletineselectrónicos institucionales.c) Exclusión de categorías de información sensible del Organismo, si el sistema no brinda un adecuado nivel de protección.d) Limitación del acceso a la información de las actividades quedesarrollan determinadas personas, por ejemplo aquellas que trabaja enproyectos sensibles.e) La aptitud del sistema para dar soporte a las aplicaciones del Organismo, como la comunicación de órdenes o autorizaciones.f) Categorías de personal y contratistas o terceros a los que sepermite el uso del sistema y las ubicaciones desde las cuales se puedeacceder al mismo.g) Restricción de acceso a determinadas instalaciones a específicas categorías de usuarios.h) Identificación de la posición o categoría de los usuarios, porejemplo empleados del Organismo o contratistas, en directoriosaccesibles por otros usuarios.i) Retención y resguardo de la información almacenada en el sistema.j) Requerimientos y disposiciones relativos a sistemas de soporte de reposición de información previa.14.1.3 Control: Protección de servicios de aplicativosSe tomarán recaudos para la protección de la integridad de lainformación publicada electrónicamente, a fin de prevenir lamodificación no autorizada que podría dañar la reputación del Organismoque emite la publicación. Es posible que la información de un sistemade acceso público, por ejemplo la información en un servidor Webaccesible por Internet, deba cumplir con ciertas normas de lajurisdicción en la cual se localiza el sistema o en la cual tiene lugarla transacción electrónica. Se implementará un proceso de autorizaciónformal antes de que la información se ponga a disposición del público,estableciéndose en todos los casos los encargados de dicha aprobación.Todos los sistemas de acceso público deben prever que:a) La información se obtenga, procese y proporcione de acuerdo a lanormativa vigente, en especial la Ley de Protección de Datos Personales.b) La información que se ingresa al sistema de publicación, o aquellaque procesa el mismo, sea procesada en forma completa, exacta yoportuna.c) La información sensible o confidencial sea protegida durante el proceso de recolección y su almacenamiento.d) El acceso al sistema de publicación no permita el acceso accidental a las redes a las cuales se conecta el mismo.e) El responsable de la publicación de información en sistemas de acceso público sea claramente identificado.f) La información se publique teniendo en cuenta las normas establecidas al respecto.g) Se garantice la validez y vigencia de la información publicada.14.2 Categoría: Seguridad en los Sistemas de AplicaciónObjetivoPara evitar la pérdida, modificación o uso inadecuado de los datospertenecientes a los sistemas de información, se establecerán controlesy registros de auditoría, verificando:a) La validación efectiva de datos de entrada.b) El procesamiento interno.c) La autenticación de mensajes (interfaces entre sistemas)d) La validación de datos de salida.14.2.1 Control: Validación de Datos de EntradaSe definirá un procedimiento que durante la etapa de diseño,especifique controles que aseguren la validez de los datos ingresados,tan cerca del punto de origen como sea posible, controlando tambiéndatos permanentes y tablas de parámetros.Este procedimiento considerará los siguientes controles:a) Control de secuencia.b) Control de monto límite por operación y tipo de usuario.c) Control del rango de valores posibles y de su validez, de acuerdo a criterios predeterminados.d) Control de paridad.e) Control contra valores cargados en las tablas de datos.f) Controles por oposición, de forma tal que quien ingrese un dato no pueda autorizarlo y viceversa.Por otra parte, se llevarán a cabo las siguientes acciones:a) Se definirá un procedimiento para realizar revisiones periódicas decontenidos de campos claves o archivos de datos, definiendo quién lorealizará, en qué forma, con qué método, quiénes deben ser informadosdel resultado, etc.b) Se definirá un procedimiento que explicite las alternativas a seguir para responder a errores de validación en un aplicativo.c) Se definirá un procedimiento que permita determinar lasresponsabilidades de todo el personal involucrado en el proceso deentrada de datos.14.2.2 Control: Controles de Procesamiento InternoSe definirá un procedimiento para que durante la etapa de diseño, seincorporen controles de validación a fin de eliminar o minimizar losriesgos de fallas de procesamiento y/o vicios por procesos de errores.Para ello se implementarán:a) Procedimientos que permitan identificar el uso y localización en losaplicativos, de funciones de incorporación y eliminación que realizancambios en los datos.b) Procedimientos que establezcan los controles y verificacionesnecesarios para prevenir la ejecución de programas fuera de secuencia ocuando falle el procesamiento previo.c) Procedimientos que establezcan la revisión periódica de losregistros de auditoría o alertas de forma de detectar cualquieranomalía en la ejecución de las transacciones.d) Procedimientos que realicen la validación de los datos generados por el sistema.e) Procedimientos que verifiquen la integridad de los datos y del software cargado o descargado entre computadoras.f) Procedimientos que controlen la integridad de registros y archivos.g) Procedimientos que verifiquen la ejecución de los aplicativos en el momento adecuado.h) Procedimientos que aseguren el orden correcto de ejecución de losaplicativos, la finalización programada en caso de falla, y ladetención de las actividades de procesamiento hasta que el problema searesuelto.14.2.3 Control: Autenticación de MensajesCuando una aplicación tenga previsto el envío de mensajes que contenganinformación clasificada, se implementarán los controles criptográficosdeterminados en el punto 10.1.1 Control: Política de Utilización deControles Criptográficos.14.2.4 Control: Validación de Datos de SalidasSe establecerán procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:a) Comprobaciones de la razonabilidad para probar si los datos de salida son plausibles.b) Control de conciliación de cuentas para asegurar el procesamiento de todos los datos.c) Provisión de información suficiente, para que el lector o sistema deprocesamiento subsiguiente determine la exactitud, totalidad, precisióny clasificación de la información.d) Procedimientos para responder a las pruebas de validación de salidas.e) Definición de las responsabilidades de todo el personal involucrado en el proceso de salida de datos.14.3 Categoría: Seguridad de los Archivos del SistemaObjetivoSe garantizará que los desarrollos y actividades de soporte a lossistemas se lleven a cabo de manera segura, controlando el acceso a losarchivos del mismo.14.3.1 Control: Software OperativoSe definen los siguientes controles a realizar durante laimplementación del software en producción, a fin de minimizar el riesgode alteración de los sistemas.• Toda aplicación, desarrollada por el Organismo o por un tercerotendrá un único Responsable designado formalmente por el Responsabledel Área Informática.• Ningún programador o analista de desarrollo y mantenimiento de aplicaciones podrá acceder a los ambientes de producción.• El Responsable del Área Informática, propondrá para su aprobación porparte del superior jerárquico que corresponda, la asignación de lafunción de “implementador” al personal de su área que considereadecuado, quien tendrá como funciones principales:a) Coordinar la implementación de modificaciones o nuevos programas en el ambiente de Producción.b) Asegurar que los sistemas aplicativos en uso, en el ambiente deProducción, sean los autorizados y aprobados de acuerdo a las normas yprocedimientos vigentes.c) Instalar las modificaciones, controlando previamente la recepción dela prueba aprobada por parte del Analista Responsable, del sectorencargado del testeo y del usuario final.d) Rechazar la implementación en caso de encontrar defectos y/o si faltara la documentación estándar establecida.Otros controles a realizar son:e) Guardar sólo los ejecutables en el ambiente de producción.f) Llevar un registro de auditoría de las actualizaciones realizadas.g) Retener las versiones previas del sistema, como medida de contingencia.h) Definir un procedimiento que establezca los pasos a seguir paraimplementar las autorizaciones y conformes pertinentes, las pruebasprevias a realizarse, etc.i) Denegar permisos de modificación al implementador sobre los programas fuentes bajo su custodia.j) Evitar, que la función de implementador sea ejercida por personal que pertenezca al sector de desarrollo o mantenimiento.14.3.2 Control: Protección de los Datos de Prueba del SistemaLas pruebas de los sistemas se efectuarán sobre datos extraídos delambiente operativo. Para proteger los datos de prueba se estableceránnormas y procedimientos que contemplen lo siguiente:Prohibir el uso de bases de datos operativas. En caso contrario sedeben despersonalizar los datos antes de su uso. Aplicar idénticosprocedimientos de control de acceso que en la base de producción.Solicitar autorización formal para realizar una copia de la baseoperativa como base de prueba, llevando registro de tal autorización.Eliminar inmediatamente, una vez completadas las pruebas, la información operativa utilizada.14.3.3 Control: Cambios a Datos OperativosLa modificación, actualización o eliminación de los datos operativosserán realizados a través de los sistemas que procesan dichos datos yde acuerdo al esquema de control de accesos implementado en los mismos.Una modificación por fuera de los sistemas a un dato, almacenado ya seaen un archivo o base de datos, podría poner en riesgo la integridad dela información.Los casos en los que no fuera posible la aplicación de la precedentepolítica, se considerarán como excepciones. El Responsable de Seguridadde la Información definirá procedimientos para la gestión de dichasexcepciones que contemplarán lo siguiente:a) Se generará una solicitud formal para la realización de la modificación, actualización o eliminación del dato.b) El Propietario de la Información afectada y el Responsable deSeguridad de la Información aprobarán la ejecución del cambio evaluandolas razones por las cuales se solicita.c) Se generarán cuentas de usuario de emergencia para ser utilizadas enla ejecución de excepciones. Las mismas serán protegidas mediantecontraseñas, sujetas al procedimiento de administración de contraseñascríticas y habilitadas sólo ante un requerimiento de emergencia y porel lapso que ésta dure.d) Se designará un encargado de implementar los cambios, el cual noserá personal del área de Desarrollo. En el caso de que esta función nopueda ser segregada, se aplicarán controles adicionales de acuerdo a loestablecido en la Cláusula 7 Recursos Humanos.e) Se registrarán todas las actividades realizadas con las cuentas deemergencia. Dicho registro será revisado posteriormente por elResponsable de Seguridad de la Información.14.3.4 Control: Acceso a las Bibliotecas de Programas fuentesPara reducir la probabilidad de alteración de programas fuentes, se aplicarán los siguientes controles:a) El Responsable del Área Informática, propondrá para su aprobaciónpor parte del superior jerárquico que corresponda la función de“administrador de programas fuentes” al personal de su área queconsidere adecuado, quien tendrá en custodia los programas fuentes ydebe:• Proveer al Área de Desarrollo los programas fuentes solicitados parasu modificación, manteniendo en todo momento la correlación programafuente / ejecutable.• Llevar un registro actualizado de todos los programas fuentes en uso,indicando nombre del programa, programador, Analista Responsable queautorizó, versión, fecha de última modificación y fecha / hora decompilación y estado (en modificación, en producción).• Verificar que el Analista Responsable que autoriza la solicitud de unprograma fuente sea el designado para la aplicación, rechazando elpedido en caso contrario. Registrar cada solicitud aprobada.• Administrar las distintas versiones de una aplicación.• Asegurar que un mismo programa fuente no sea modificado simultáneamente por más de un desarrollador.b) Denegar al “administrador de programas fuentes” permisos de modificación sobre los programas fuentes bajo su custodia.c) Establecer que todo programa objeto o ejecutable en producción tengaun único programa fuente asociado que garantice su origen.d) Establecer que el implementador de producción efectuará lageneración del programa objeto o ejecutable que estará en producción(compilación), a fin de garantizar tal correspondencia.e) Desarrollar un procedimiento que garantice que toda vez que se migrea producción el módulo fuente, se cree el código ejecutablecorrespondiente en forma automática.f) Evitar que la función de “administrador de programas fuentes” seaejercida por personal que pertenezca al sector de desarrollo y/omantenimiento.g) Prohibir la guarda de programas fuentes históricos (que no sean loscorrespondientes a los programas operativos) en el ambiente deproducción.h) Prohibir el acceso a todo operador y/o usuario de aplicaciones a losambientes y a las herramientas que permitan la generación y/omanipulación de los programas fuentes.i) Realizar las copias de respaldo de los programas fuentes cumpliendolos requisitos de seguridad establecidos por el Organismo en losprocedimientos que surgen de la presente política.14.4 Categoría: Seguridad de los Procesos de Desarrollo y SoporteObjetivoEsta Política provee seguridad al software y a la información delsistema de aplicación, por lo tanto se controlarán los entornos y elsoporte dado a los mismos.14.4.1 Control: Procedimiento de Control de CambiosA fin de minimizar los riesgos de alteración de los sistemas deinformación, se implementarán controles estrictos durante laimplementación de cambios imponiendo el cumplimiento de procedimientosformales. Éstos garantizarán que se cumplan los procedimientos deseguridad y control, respetando la división de funciones.Para ello se establecerá un procedimiento que incluya las siguientes consideraciones:a) Verificar que los cambios sean propuestos por usuarios autorizados yrespete los términos y condiciones que surjan de la licencia de uso.b) Mantener un registro de los niveles de autorización acordados.c) Solicitar la autorización del Propietario de la Información, en casode tratarse de cambios a sistemas de procesamiento de la misma.d) Efectuar un análisis de riesgos del cambio.e) Determinar los requisitos de seguridad para el cambio.f) Analizar el impacto de los cambios sobre los controles de seguridad existentes.g) Obtener aprobación formal por parte del Responsable del ÁreaInformática para las tareas detalladas, antes que comiencen las tareas.h) Solicitar la revisión del Responsable de Seguridad de la Informaciónpara garantizar que no se violen los requerimientos de seguridad quedebe cumplir el software.i) Efectuar las actividades relativas al cambio en el ambiente de desarrollo.j) Obtener la aprobación por parte del usuario autorizado y del área de pruebas mediante pruebas en el ambiente correspondiente.k) Actualizar la documentación para cada cambio implementado, tanto delos manuales de usuario como de la documentación operativa.I) Mantener un control de versiones para todas las actualizaciones de software.m) Garantizar que la implementación se llevará a cabo minimizando ladiscontinuidad de las actividades y sin alterar los procesosinvolucrados.n) Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar su operatoria.o) Garantizar que sea el implementador quien efectúe el pasaje de losobjetos modificados al ambiente operativo, de acuerdo a lo establecidoen “14.3.1 Control: Software Operativo”.En el Anexo a la presente cláusula se presenta un esquema modelo de segregación de ambientes de procesamiento.14.4.2 Control: Revisión Técnica de los Cambios en el sistema OperativoToda vez que sea necesario realizar un cambio en el Sistema Operativo,los sistemas serán revisados para asegurar que no se produzca unimpacto en su funcionamiento o seguridad.Para ello, se definirá un procedimiento que incluya:a) Revisar los procedimientos de integridad y control de aplicacionespara garantizar que no hayan sido comprometidas por el cambio.b) Garantizar que los cambios en el sistema operativo sean informados con anterioridad a la implementación.c) Asegurar la actualización del Plan de Continuidad de las Actividades del Organismo.14.4.3 Control: Restricción del Cambio de Paquetes de SoftwareEn caso de considerarlo necesario la modificación de paquetes desoftware suministrados por proveedores, y previa autorización delResponsable del Área Informática, se debe:a) Analizar los términos y condiciones de la licencia a fin de determinar si las modificaciones se encuentran autorizadas.b) Determinar la conveniencia de que la modificación sea efectuada por el Organismo, por el proveedor o por un tercero.c) Evaluar el impacto que se produciría si el Organismo se hace cargo del mantenimiento.d) Retener el software original realizando los cambios sobre una copiaperfectamente identificada, documentando exhaustivamente por si fueranecesario aplicarlo a nuevas versiones.14.4.4 Control: Canales Ocultos y Código MaliciosoUn canal oculto puede exponer información utilizando algunos mediosindirectos y desconocidos. El código malicioso está diseñado paraafectar a un sistema en forma no autorizada y no requerida por elusuario.En este sentido, se redactarán normas y procedimientos que incluyan:a) Adquirir programas a proveedores acreditados o productos ya evaluados.b) Examinar los códigos fuentes (cuando sea posible) antes de utilizar los programas.c) Controlar el acceso y las modificaciones al código instalado.d) Utilizar herramientas para la protección contra la infección del software con código malicioso.e) Ejecutar controles y tests de evaluación de seguridad periódicamente y, en especial, previo a su puesta en producción.14.4.5 Control: Desarrollo Externo de SoftwarePara el caso que se considere la tercerización del desarrollo desoftware, se establecerán normas y procedimientos que contemplen lossiguientes puntos:a) Acuerdos de licencias, propiedad de código y derechos conferidos (Ver 18.1.2 Derechos de Propiedad Intelectual).b) Requerimientos contractuales con respecto a la calidad y seguridad del código y la existencia de garantías.c) Procedimientos de certificación de la calidad y precisión deltrabajo llevado a cabo por el proveedor, que incluyan auditorías,revisión de código para detectar código malicioso, verificación delcumplimiento de los requerimientos de seguridad del softwareestablecidos, etc.d) Verificación del cumplimiento de las condiciones de seguridad.e) Acuerdos de custodia de los fuentes del software (y cualquier otrainformación requerida) en caso de quiebra y/o inhabilidad de la terceraparte.14.5 Categoría: Gestión de vulnerabilidades técnicasObjetivoSe implementará la gestión de las vulnerabilidades técnicas de formaefectiva, sistemática y repetible, con mediciones que confirmen suefectividad. Dichas consideraciones incluirán los sistemas operativos,y cualquier otra aplicación en uso.14.5.1 Control: Vulnerabilidades técnicasSe obtendrá información oportuna acerca de las vulnerabilidadestécnicas de los sistemas de información utilizados, la exposición delOrganismo a tales vulnerabilidades evaluadas, y se tomarán las medidasnecesarias para tratar los riesgos asociados.Para ello se contará con un inventario de software donde se detalleinformación de versiones del mismo así como datos del proveedor yresponsable interno.El proceso de gestión de las vulnerabilidades técnicas debe comprender:a) Definición de roles y responsabilidades asociados con la gestión de vulnerabilidades técnicas;b) Procedimientos de identificación de vulnerabilidades técnicas potenciales;c) Definición de una línea de tiempo para reaccionar ante lasnotificaciones de las vulnerabilidades técnicas potencialmenterelevantes;d) Definición de prioridades para la atención de necesidades relacionadas con actualizaciones de seguridad;e) Identificación de los riesgos asociados y las acciones a llevar a cabo ante vulnerabilidades identificadas;f) Identificación de los riesgos asociados a la instalación de parches;g) Aprobación y evaluación de los parches antes de que sean instaladospara garantizar que son efectivos y que no resultan en efectossecundarios que no puedan ser tolerados;h) Consideración de controles alternativos en caso de inexistencia de parches;i) Generación y mantenimiento de un registro de auditoría para todos los procedimientos emprendidos;j) Seguimiento y evaluación regular del proceso de gestión de lasvulnerabilidades técnicas para garantizar su efectividad y eficiencia;Información ComplementariaPara cumplir con esta Política, en lo referente a los puntos “Seguridadde los Archivos del Sistema y “Seguridad de los Procesos de Desarrolloy Soporte”, se sugiere implementar un modelo de separación de funcionesentre los distintos ambientes involucrados.Toda aplicación generada en el sector de desarrollo o adquirida a unproveedor es, en algún momento, implementada en un ambiente deproducción. Los controles de esta transferencia deben ser rigurosos afin de asegurar que no se instalen programas fraudulentos. Esconveniente implementar algún software para la administración deversiones y para la transmisión de programas entre los ambientesdefinidos, con un registro asociado para su control.A continuación se presenta un modelo ideal formado por tres ambientesque debe ser adaptado a las características propias de cada Organismo,teniendo en cuenta las capacidades instaladas, los recursos y elequipamiento existente.Ambiente de DesarrolloEs donde se desarrollan los programas fuentes y donde se almacena todala información relacionada con el análisis y diseño de los sistemas. Elanalista o programador (desarrollador) tiene total dominio sobre elambiente. Puede recibir algún fuente para modificar, quedandoregistrado en el sistema de control de versiones que administra el“administrador de programas fuentes”.El desarrollador realiza las pruebas con los datos de la base dedesarrollo. Cuando considera que el programa está terminado, lo pasa alambiente de pruebas junto con la documentación requerida que leentregará al implementador de ese ambiente.Ambiente de PruebasEl implementador de este ambiente recibe el programa y la documentaciónrespectiva y realiza una prueba general con un lote de datos para talefecto, junto con el usuario de ser posible.El testeador realiza las pruebas con los datos de la base de pruebas.Si no detectan errores de ejecución, los resultados de las rutinas deseguridad son correctos de acuerdo a las especificaciones y consideraque la documentación presentada es completa, entonces remite elprograma fuente al implementador de producción por medio del sistema decontrol de versiones y le entrega las instrucciones. Caso contrario,vuelve atrás el ciclo devolviendo el programa al desarrollador, juntocon un detalle de las observaciones.Ambiente de ProducciónEs donde se ejecutan los sistemas y se encuentran los datosproductivos. Los programas fuentes certificados se guardan en unrepositorio de fuentes de producción, almacenándolos mediante unsistema de control de versiones que maneja el “administrador deprogramas fuentes” y donde se dejan los datos del programador que hizola modificación, fecha, hora y tamaño de los programas fuentes yobjetos o ejecutables.El “implementador” compila el programa fuente dentro del ambiente deproducción en el momento de realizar el pasaje para asegurar de estaforma que hay una correspondencia biunívoca con el ejecutable enproducción y luego se elimina, dejándolo en el repositorio productivode programas fuentes.Deben aplicarse procedimientos de la misma naturaleza y alcance paralas modificaciones de cualquier otro elemento que forme parte delsistema, por ejemplo: modelo de datos de la base de datos o cambios enlos parámetros, etc. Las modificaciones realizadas al software de base(Sistemas Operativos, Motores de bases de datos, Productos middleware)deben cumplir idénticos pasos, sólo que las implementaciones lasrealizarán los propios administradores.Cabe aclarar que tanto el personal de desarrollo, como el proveedor delos aplicativos, no deben tener acceso al ambiente de producción, asícomo tampoco a los datos reales para la realización de las pruebas enel Ambiente de Prueba. Para casos excepcionales, se debe documentaradecuadamente la autorización, los trabajos realizados y monitorearlosen todo momento.15. Cláusula: Relaciones con Proveedores

GeneralidadesLos proveedores del Organismo deben ser gestionados en lo que respectaa los aspectos de seguridad que tienen que ver con el establecimiento yel acuerdo de todos los requisitos de seguridad de la información delorganismo.ObjetivoEstablecer y mantener el nivel acordado de seguridad de información yprestación de servicios conforme a los acuerdos del proveedor.AlcanceLos dos grandes puntos del alcance son:• asegurar la protección de la información del organismo que esaccedida por los proveedores, cumpliendo con el nivel de seguridadestablecido.• el mantenimiento del nivel acordado de seguridad de información yprestación de servicios conforme a los acuerdos del proveedor.ResponsabilidadEl Responsable de Seguridad de la Información, junto con el Propietariode la Información, deben definir en función a la criticidad de lainformación, los requerimientos de protección en lo referente al accesode la información de los proveedores durante todo su ciclo de vida conel organismo. Asimismo todo responsable de las áreas legales, compras oque gestionen los contratos con proveedores, deben garantizar que enlos mismos se definan y se acuerden los niveles de seguridadestablecidos por el organismo.Política15.1 Categoría: Seguridad de la información en las relaciones con el proveedorObjetivoGarantizar y asegurar la protección de la información del organismo quees accedida por los proveedores, cumpliendo con el nivel de seguridadestablecido.15.1.1 Control: Política de seguridad de la información para las relaciones con el proveedorSe deben acordar los requisitos de seguridad de la información paramitigar los riesgos asociados al acceso de los proveedores a losactivos del organismo con el proveedor y se deben documentardebidamente.El organismo debe identificar e imponer controles de seguridad de lainformación para abordar específicamente el acceso de los proveedores ala información del organismo en una política.Los contratos o acuerdos de tercerización total o parcial para laadministración y control de sistemas de información, redes y/oambientes de equipamiento de Trabajo del Organismo, contemplarán lossiguientes aspectos:a) la identificación y la documentación de los tipos de proveedores, esdecir, los servicios de TI, las utilidades de logística, los serviciosfinancieros, los componentes de la infraestructura de TI y a quiénesautorizará al organismo para acceder a su información;b) un proceso y ciclo de vida estandarizado para administrar las relaciones con los proveedores;c) la definición de los tipos de acceso a la información que se lespermitirá a los distintos tipos de proveedores y el monitoreo y controldel acceso;d) requisitos mínimos de seguridad de la información para cada tipo deinformación y tipo de acceso para servir de base para los acuerdosindividuales con los proveedores en base a las necesidades delorganismo y los requisitos y su perfil de riesgo;e) procesos y procedimientos para monitorear la adherencia a losrequisitos de seguridad de información establecidos para cada tipo deproveedor y tipo de acceso, incluida la revisión de terceros y lavalidación de productos;f) controles de precisión y nivel de detalles para garantizar laintegridad de la información o el procesamiento de información queentrega cualquiera de las partes;g) tipos de obligaciones aplicables a los proveedores para proteger la información;h) manejo de incidentes y contingencias asociadas con el acceso a losproveedores, incluidas las responsabilidades del organismo y losproveedores;i) resiliencia y, en caso de ser necesario, disposiciones derecuperación y contingencia para garantizar la disponibilidad de lainformación o el procesamiento de información proporcionado porcualquiera de las partes;j) capacitación de concientización para el personal del organismoinvolucrado en las adquisiciones sobre políticas, procesos yprocedimientos correspondientes;k) capacitación de concientización para el personal del organismo queinteractúa con el personal de los proveedores en cuanto a las reglasadecuadas sobre el compromiso y el comportamiento en base al tipo deproveedor y el nivel de acceso del proveedor a los sistemas y lainformación del organismo;I) que las condiciones sobre los controles y requisitos de seguridad dela información se documentarán en un acuerdo firmado por ambas partes;m) administración de las transiciones necesarias de información,instalaciones de procesamiento de información y cualquier otra cosa quese deba mover y, garantizando que se mantiene la seguridad de lainformación a través de todo el período de transición.15.1.2 Control: Abordar la seguridad dentro de los acuerdos del proveedorSe deben establecer y acordar todos los requisitos de seguridad de lainformación pertinentes con cada proveedor que puede acceder, procesar,almacenar, comunicar o proporcionar componentes de infraestructura deTI para la información del organismo.Se deben establecer y documentar acuerdos con los proveedores paragarantizar que no existen malos entendidos entre el organismo y elproveedor en cuanto a las obligaciones de ambas partes para cumplir conlos requisitos de seguridad de la información pertinentes.A continuación se definen los términos para incluir en los acuerdos afin de y poder satisfacer los requisitos de seguridad de la informaciónidentificados:a) descripción de la información que se debe proporcionar o a la que sedebe acceder y los métodos para proporcionar o acceder a la información;b) clasificación de la información de acuerdo al esquema declasificación del organismo; y si es necesario también realizar elmapeo entre el esquema propio del organismo y el esquema declasificación del proveedor;c) requisitos legales y normativos, incluida la protección de datospersonales, los derechos de propiedad intelectual y una descripción desobre cómo se garantizará si se cumplen;d) obligación de cada parte contractual de implementar un conjunto decontroles acordados incluido el control de acceso, la revisión dedesempeño, el monitoreo, los informes y la auditoría;e) reglas de uso aceptable de la información, incluido en uso inaceptable en caso de ser necesario;f) una lista explícita del personal autorizado para acceder a o recibirla información o los procedimientos o condiciones del organismo para suautorización y el retiro de la autorización, para el acceso a o larecepción de la información del organismo al personal del proveedor;g) políticas de seguridad de la información pertinentes al contrato específico;h) requisitos y procedimientos de la administración de incidentes (enespecial la notificación y la colaboración durante la remediación deincidentes);i) requisitos de capacitación y concientización para procedimientosespecíficos y requisitos de seguridad de la información, es decir, parala respuesta ante incidentes y procedimientos de autorización;j) normativas pertinentes para la subcontratación, incluidos los controles que se deben implementar;k) socios de acuerdos pertinentes, incluida una persona de contacto para los asuntos de seguridad de la información;I) requisitos de selección, si existe alguno, para el personal delproveedor para realizar los procedimientos de selección y notificaciónsi no se ha completado la selección o si los resultados dan pie a dudaso inquietudes;m) derecho a auditar los procesos y los controles del proveedor relacionados al acuerdo;n) procesos de resolución de defectos y resolución de conflictos;o) obligación del proveedor a entregar periódicamente un informeindependiente sobre la efectividad de los controles y un acuerdo sobrela corrección oportuna de los asuntos pertinentes indicados en elinforme;p) obligaciones del proveedor para cumplir con los requisitos de seguridad del organismo.15.1.3 Control: Cadena de suministro de tecnologías de la información y comunicacionesSe deben incluir en los acuerdos con los proveedores, los requisitospara abordar los riesgos de seguridad de la información asociados conla cadena de suministro de los servicios y productos de tecnología deinformación y comunicaciones.Se deben incluir los siguientes temas en los acuerdos con el proveedor sobre la seguridad de la cadena de suministro:a) definir los requisitos de seguridad de la información que seaplicarán a la adquisición de tecnologías, productos o servicios deinformación y comunicación además de los requisitos de seguridad de lainformación para las relaciones con el proveedor;b) para los servicios de tecnología de información y comunicación, querequieren que los usuarios propaguen los requisitos de seguridad delorganismo en toda la cadena de suministro si los proveedores realizansubcontrataciones para partes del servicio de tecnología de informacióny comunicación proporcionados al organismo;c) para los productos de tecnología de información y comunicación querequieren que los proveedores propaguen las prácticas de seguridadcorrespondientes a través de toda la cadena de suministro si estosproductos incluyen componentes comprados a otros proveedores;d) implementación de un proceso de monitoreo y métodos aceptables paravalidar que los productos y servicios de tecnología de información ycomunicación se adhieren a los requisitos de seguridad establecidos;e) implementación de un proceso para identificar los componentes de losproductos o servicios que son fundamentales para mantener lafuncionalidad y que, por lo tanto, requiere una mayor atención yescrutinio cuando se desarrollan fuera del organismo, especialmente siel proveedor del nivel superior externalice los aspectos de loscomponentes de productos o servicios a otros proveedores;f) obtención de una garantía de que los componentes críticos y su origen se pueden rastrear en toda la cadena de suministros;g) obtener la garantía de que los productos de tecnología deinformación y comunicación entregados funcionan según lo esperado sinninguna función inesperada o no deseada;h) definición de las reglas para compartir la información en cuanto ala cadena de suministro y cualquier posible problema y compromiso entreel organismo y los proveedores;i) implementación de procesos específicos para administrar el ciclo devida de los componentes de tecnología de información y comunicaciónjunto con la disponibilidad y los riesgos de seguridad asociados. Estoincluye los riesgos de los componentes que ya no están disponiblesdebido a que los proveedores ya no están en el negocio o a que ya noproporcionan estos componentes debido a los avances de la tecnología.15.2 Categoría: Administración de prestación de servicios de proveedoresObjetivoGarantizar el mantenimiento del nivel acordado de seguridad deinformación y prestación de servicios conforme a los acuerdos delproveedor.15.2.1 Control: Supervisión y Revisión de los servicios del proveedorSe llevará a cabo el seguimiento, control y revisión de los serviciosde las terceras partes asegurando que se encuentran adheridos a lostérminos de seguridad de la información y las condiciones definidas enlos acuerdos, y que los incidentes de seguridad de la información y losproblemas son manejados en forma apropiada.El Organismo mantendrá control suficiente y visión general de todos losaspectos de seguridad para la información sensible o crítica, o de lasinstalaciones de procesamiento de información accedidas, procesadas ogestionadas por una tercera parte. Se recomienda que la organizaciónasegure que se mantenga la visibilidad de las actividades de seguridadcomo gestión de cambios, identificación de vulnerabilidades yreporte/respuesta de incidentes de seguridad de información a través deun proceso de reportes claro y definido, con formato y estructura.15.2.2 Control: Gestión de cambios a los servicios del proveedorSe gestionarán los cambios en la provisión de los servicios, incluyendoel mantenimiento y las mejoras de las políticas, procedimientos ycontroles de seguridad de la información existentes, teniendo en cuentala criticidad de los sistemas y procesos del negocio involucrados y larevaluación de los riesgos.El proceso de gestión del cambio de un servicio de tercera parte necesita tener cuenta:• Los cambios realizados por la organización para implementar:- mejoras a los servicios corrientes ofrecidos;- desarrollo de cualquier aplicaciones y sistemas nuevos;- modificaciones o actualizaciones de las políticas y procedimientos del Organismo;- nuevos controles para resolver los incidentes de la seguridad de la información y para mejorar la seguridad;• cambios en los servicios de las terceras partes para implementar:- cambios y mejoras de las redes;- uso de nuevas tecnologías;- adopción de nuevos productos o nuevas versiones/publicaciones;- nuevas herramientas de desarrollo y ambientes;- cambios de las ubicaciones físicas de las instalaciones de servicio;- cambio de los proveedores.16. Cláusula: Gestión de Incidentes de Seguridad

GeneralidadesExisten numerosas amenazas que atentan contra la seguridad de lainformación, representando riesgos latentes que de materializarsepueden ocasionar incidentes de seguridad.Los Organismos cuentan con innumerables activos de información, cadauno de los cuales puede encontrarse expuesto a sufrir incidentes deseguridad. Es por ello que resulta sumamente necesario contar con unacapacidad de gestión de dichos incidentes que permita comenzar por sudetección, llevar a cabo su tratamiento y colaborar en la prevención defuturos incidentes similares.ObjetivoGarantizar que los eventos de seguridad de la información y lasdebilidades asociados a los sistemas de información sean comunicados deforma tal que se apliquen las acciones correctivas en el tiempooportuno.AlcanceLa Política definida en este documento se aplica a todo incidente quepueda afectar la seguridad de la información del Organismo.ResponsabilidadEl Comité de Seguridad de la Información será responsable deimplementar los medios y canales necesarios para que el Responsable deSeguridad de la Información maneje los reportes de incidentes yanomalías de los sistemas. Asimismo, dicho Comité, tomará conocimiento,efectuará el seguimiento de la investigación, controlará la evolución eimpulsará la resolución de los incidentes relativos a la seguridad.El Responsable de Seguridad de la Información tiene a cargo elseguimiento, documentación y análisis de los incidentes de seguridadreportados así como su comunicación al Comité de Seguridad de laInformación, a los propietarios de la información y al ProgramaNacional de Infraestructuras Críticas de Información y Ciberseguridad(ICIC).3Asimismo, el Responsable de Seguridad de la Información y el área deGestión de Recursos Humanos son responsables de comunicarfehacientemente los procedimientos de Gestión de Incidentes a losempleados y contratados al inicio de la relación laboral.3 El Programa Nacional que funciona en el ámbito de la OFICINA NACIONALDE TECNOLOGÍAS DE INFORMACIÓN de la SUBSECRETARIA DE TECNOLOGÍAS DEGESTIÓN de la SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA dela JEFATURA DE GABINETE DE MINISTROS tiene entre sus objetivos brindarrespuesta ante incidentes en redes, centralizar y coordinar losesfuerzos para el manejo de los incidentes de seguridad que afecten alos recursos informáticos del Sector Público Nacional.El Responsable del Área Jurídica participará en el tratamiento de incidentes de seguridad que requieran de su intervención.Todo el personal del Organismo es responsable de reportar debilidades e incidentes de seguridad que oportunamente se detecten.Política16.1 Categoría: Informe de los eventos y debilidades de la seguridad de la informaciónObjetivoAsegurar que los eventos y debilidades de la seguridad de lainformación asociados con los sistemas de información sean comunicadosde una manera que permita que se realice una acción correctiva oportuna.16.1.1 Control: Reporte de los eventos de la seguridad de informaciónLos incidentes relativos a la seguridad serán comunicados a través delas autoridades o canales apropiados tan pronto como sea posible.Se establecerá un procedimiento formal de comunicación y de respuesta aincidentes, indicando la acción que ha de emprenderse al recibir uninforme sobre incidentes.Dicho procedimiento debe contemplar que ante la detección de unsupuesto incidente o violación de la seguridad, el Responsable deSeguridad de la Información sea informado tan pronto como se hayatomado conocimiento. Este indicará los recursos necesarios para lainvestigación y resolución del incidente, y se encargará de sumonitoreo.Asimismo, mantendrá al Comité de Seguridad al tanto de la ocurrencia de incidentes de seguridad.Sin perjuicio de informar a otros Organismos de competencia, elResponsable de Seguridad de la Información, comunicará al ProgramaNacional de Infraestructuras Críticas de Información y Ciberseguridad(ICIC) todo incidente o violación de la seguridad, que involucrerecursos informáticos.Todos los empleados y contratistas deben conocer fehacientemente elprocedimiento de comunicación de incidentes de seguridad, y debeninformar formalmente los mismos tan pronto hayan tomado conocimiento desu ocurrencia.16.1.2 Control: Reporte de las debilidades de la seguridadLos usuarios de servicios de información, al momento de tomarconocimiento directo o indirectamente acerca de una debilidad deseguridad, son responsables de registrar y comunicar formalmente lasmismas al Responsable de Seguridad de la Información.Se prohíbe expresamente a los usuarios la realización de pruebas paradetectar y/o utilizar una supuesta debilidad o falla de seguridad.16.1.3 Control: Comunicación de Anomalías del SoftwareSe establecerán procedimientos para la comunicación de anomalías de software, los cuales deben contemplar:a) Registrar los síntomas del problema y los mensajes que aparecen en pantalla.b) Establecer las medidas de aplicación inmediata ante la presencia de una anomalía.c) Alertar inmediatamente de modo formal al Responsable de Seguridad de la Información o del Activo de que se trate.Se prohíbe a los usuarios quitar el software que supuestamente tieneuna anomalía, a menos que estén autorizados formalmente para hacerlo.La recuperación será realizada por personal experimentado,adecuadamente habilitado.16.2 Categoría: Gestión de los Incidentes y mejoras de la seguridad de la informaciónObjetivoAsegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información.Se deben establecer las responsabilidades y procedimientos para manejarde manera efectiva los eventos y debilidades en la seguridad de lainformación una vez que han sido reportados. Se debe aplicar un procesode mejora continua para la respuesta, monitoreo, evaluación y gestióngeneral de los incidentes en la seguridad de la información.16.2.1 Control: Responsabilidades y procedimientosSe establecerán funciones y procedimientos de manejo de incidentesgarantizando una respuesta rápida, eficaz y sistemática a losincidentes relativos a seguridad. Se deben considerar los siguientesítems:a) Contemplar y definir todos los tipos probables de incidentes relativos a seguridad, incluyendo como mínimo:1) Fallas operativas2) Código malicioso3) Intrusiones4) Fraude informático5) Error humano6) Catástrofes naturalesb) Comunicar formalmente los incidentes a través de autoridades o canales apropiados tan pronto como sea posible.c) Contemplar los siguientes puntos en los procedimientos para losplanes de contingencia normales (diseñados para recuperar sistemas yservicios tan pronto como sea posible):1) Definición de las primeras medidas a implementar.2) Análisis e identificación de la causa del incidente.3) Planificación e implementación de soluciones para evitar la repetición del mismo, si fuera necesario.4) Comunicación formal con las personas afectadas o involucradas con la recuperación del incidente.5) Notificación de la acción a la autoridad y/u Organismos pertinentes.d) Registrar pistas de auditoría y evidencia similar para:1) Análisis de problemas internos.2) Uso como evidencia en relación con una probable violacióncontractual o infracción normativa, o en marco de un proceso judicial(Ver cláusula 10.1. Categoría: Cumplimiento de Requisitos Legales).e) Implementar controles detallados y formalizados de las acciones derecuperación respecto de las violaciones de la seguridad y decorrección de fallas del sistema, garantizando:1) Acceso a los sistemas y datos existentes sólo al personal claramente identificado y autorizado.2) Documentación de todas las acciones de emergencia emprendidas en forma detallada.3) Comunicación de las acciones de emergencia al titular de la Unidad Organizativa y revisión de su cumplimiento.4) Constatación de la integridad de los controles y sistemas del Organismo en un plazo mínimo.En los casos en los que se considere necesario, se solicitará laparticipación del Responsable del Área Jurídica del Organismo en eltratamiento de incidentes de seguridad ocurridos.16.2.2 Control: Aprendiendo a partir de los incidentes de la seguridad de la informaciónSe definirá un proceso que permita documentar, cuantificar y monitorearlos tipos, volúmenes y costos de los incidentes y anomalías. Estainformación se utilizará para identificar aquellos que sean recurrenteso de alto impacto. Esto será evaluado a efectos de establecer lanecesidad de mejorar o agregar controles para limitar la frecuencia,daño y costo de casos futuros.16.2.3 Control: Procesos DisciplinariosSe seguirá el proceso disciplinario formal contemplado en las normasestatutarias, escalafonarias y convencionales que rigen al personal dela Administración Publica Nacional, para los empleados que violen laPolítica, Normas y Procedimientos de Seguridad del Organismo (VerCláusula 18 Cumplimiento)17. Cláusula: Gestión de la Continuidad

GeneralidadesLa administración de la continuidad de las actividades es un procesocrítico que debe involucrar a todos los niveles del Organismo.El desarrollo e implementación de planes de contingencia es unaherramienta básica para garantizar que las actividades del Organismopuedan restablecerse dentro de los plazos requeridos.Dichos planes deben mantenerse actualizados y transformarse en unaparte integral del resto de los procesos de administración y gestión,debiendo incluir necesariamente controles destinados a identificar yreducir riesgos, atenuar las consecuencias de eventuales interrupcionesde las actividades del organismo y asegurar la reanudación oportuna delas operaciones indispensables.ObjetivoMinimizar los efectos de las posibles interrupciones de las actividadesnormales del Organismo (sean éstas resultado de desastres naturales,accidentes, fallas en el equipamiento, acciones deliberadas u otroshechos) y proteger los procesos críticos mediante una combinación decontroles preventivos y acciones de recuperación.Analizar las consecuencias de la interrupción del servicio y tomar lasmedidas correspondientes para la prevención de hechos similares en elfuturo.Maximizar la efectividad de las operaciones de contingencia delOrganismo con el establecimiento de planes que incluyan al menos lassiguientes etapas:a) Notificación/Activación: Consistente en la detección y determinación del daño y la activación del plan.b) Reanudación: Consistente en la restauración temporal de lasoperaciones y recuperación del daño producido al sistema original.c) Recuperación: Consistente en la restauración de las capacidades deproceso del sistema a las condiciones de operación normales.Asegurar la coordinación con el personal del Organismo y los contactosexternos que participarán en las estrategias de planificación decontingencias. Asignar funciones para cada actividad definida.AlcanceEsta Política se aplica a todos los procesos críticos identificados del Organismo.ResponsabilidadEl Responsable de Seguridad de la Información participará activamenteen la definición, documentación, prueba y actualización de los planesde contingencia.Los Propietarios de la Información y el Responsable de Seguridad de la Información cumplirán las siguientes funciones:- Identificar las amenazas que puedan ocasionar interrupciones de los procesos y/o las actividades del Organismo.- Evaluar los riesgos para determinar el impacto de dichas interrupciones.- Identificar los controles preventivos.- Desarrollar un plan estratégico para determinar el enfoque global conel que se abordará la continuidad de las actividades del Organismo.- Elaborar los planes de contingencia necesarios para garantizar la continuidad de las actividades del Organismo.Los Responsables de Procesos revisarán periódicamente los planes bajosu incumbencia, como así también identificar cambios en lasdisposiciones relativas a las actividades del Organismo aún noreflejadas en los planes de continuidad.Los administradores de cada plan verificarán el cumplimiento de losprocedimientos implementados para llevar a cabo las accionescontempladas en cada plan de continuidad.El Comité de Seguridad de la Información tendrá a cargo la coordinacióndel proceso de administración de la continuidad de la operatoria de lossistemas de tratamiento de información del Organismo frente ainterrupciones imprevistas.Política17.1 Categoría: Gestión de continuidad del OrganismoObjetivoContraatacar las interrupciones a las actividades del organismo yproteger los procesos críticos de los efectos de fallas importantes odesastres en los sistemas de información y asegurar su reanudaciónoportuna.17.1.1 Control: Proceso de Administración de la continuidad del OrganismoEl Comité de Seguridad de la Información, será el responsable de lacoordinación del desarrollo de los procesos que garanticen lacontinuidad de las actividades del Organismo.Este Comité tendrá a cargo la coordinación del proceso deadministración de la continuidad de la operatoria de los sistemas detratamiento de información del Organismo frente a interrupcionesimprevistas, lo cual incluye las siguientes funciones:a) Identificar y priorizar los procesos críticos de las actividades del Organismo.b) Asegurar que todos los integrantes del Organismo comprendan losriesgos que la misma enfrenta, en términos de probabilidad deocurrencia e impacto de posibles amenazas, así como los efectos que unainterrupción puede tener en la actividad del Organismo.c) Elaborar y documentar una estrategia de continuidad de lasactividades del Organismo consecuente con los objetivos y prioridadesacordados.d) Proponer planes de continuidad de las actividades del Organismo de conformidad con la estrategia de continuidad acordada.e) Establecer un cronograma de pruebas periódicas de cada uno de losplanes de contingencia, proponiendo una asignación de funciones para sucumplimiento.f) Coordinar actualizaciones periódicas de los planes y procesos implementados.g) Considerar la contratación de seguros que podrían formar parte del proceso de continuidad de las actividades del Organismo.h) Proponer las modificaciones a los planes de contingencia.17.1.2 Control: Continuidad de las Actividades y Análisis de los impactosCon el fin de establecer un Plan de Continuidad de las Actividades del Organismo se deben contemplar los siguientes puntos:• Identificar los eventos (amenazas) que puedan ocasionarinterrupciones en los procesos de las actividades, por ejemplo, fallasen el equipamiento, comisión de ilícitos, interrupción del suministrode energía eléctrica, inundación, incendio, desastres naturales,destrucción edilicia, atentados, etc.• Evaluar los riesgos para determinar el impacto de dichasinterrupciones, tanto en términos de magnitud de daño como del períodode recuperación. Dicha evaluación debe identificar los recursoscríticos, los impactos producidos por una interrupción, los tiempos deinterrupción aceptables o permitidos, y debe especificar lasprioridades de recuperación.• Identificar los controles preventivos, como por ejemplo sistemas desupresión de fuego, detectores de humo y fuego, contenedoresresistentes al calor y a prueba de agua para los medios de backup, losregistros no electrónicos vitales, etc.Esta actividad será llevada a cabo con la activa participación de lospropietarios de los procesos y recursos de información de que se tratey el Responsable de Seguridad de la Información, considerando todos losprocesos de las actividades del Organismo y no limitándose a lasinstalaciones de procesamiento de la información.Según los resultados de la evaluación de esta actividad, sedesarrollará un plan estratégico para determinar el enfoque global conel que se abordará la continuidad de las actividades del Organismo. Unavez que se ha creado este plan, el mismo debe ser propuesto por elComité de Seguridad de la Información a la máxima autoridad delOrganismo para su aprobación.17.1.3 Control: Elaboración e implementación de los planes de continuidad de las Actividades del OrganismoLos propietarios de procesos y recursos de información, con laasistencia del Responsable de Seguridad de la Información, elaboraránlos planes de contingencia necesarios para garantizar la continuidad delas actividades del Organismo. Estos procesos deben ser propuestos porel Comité de Seguridad de la Información.El proceso de planificación de la continuidad de las actividades considerará los siguientes puntos:a) Identificar y acordar respecto a todas las funciones y procedimientos de emergencia.b) Analizar los posibles escenarios de contingencia y definir las acciones correctivas a implementar en cada caso.c) Implementar procedimientos de emergencia para permitir larecuperación y restablecimiento en los plazos requeridos. Se debededicar especial atención a la evaluación de las dependencias deactividades externas y a los contratos vigentes.d) Documentar los procedimientos y procesos acordados.e) Instruir adecuadamente al personal, en materia de procedimientos yprocesos de emergencia acordados, incluyendo el manejo de crisis.f) instruir al personal involucrado en los procedimientos de reanudación y recuperación en los siguientes temas:1) Objetivo del plan.2) Mecanismos de coordinación y comunicación entre equipos (personal involucrado).3) Procedimientos de divulgación.4) Requisitos de la seguridad.5) Procesos específicos para el personal involucrado.6) Responsabilidades individuales.g) Probar y actualizar los planes, guardando evidencia formal de las pruebas y sus resultados.Asimismo, el proceso de planificación debe concentrarse en losobjetivos de las actividades requeridas del organismo, por ejemplo,restablecimiento de los servicios a los usuarios en un plazo aceptable.Deben considerarse los servicios y recursos que permitirán que estoocurra, incluyendo, dotación de personal, recursos que no procesaninformación, así como acuerdos para reanudación de emergencia en sitiosalternativos de procesamiento de la información.17.1.4 Control: Marco para la Planificación de la Continuidad de las Actividades del OrganismoSe mantendrá un solo marco para los planes de continuidad de lasactividades del Organismo, a fin de garantizar que los mismos seanuniformes e identificar prioridades de prueba y mantenimiento.Cada plan de continuidad especificará claramente las condiciones parasu puesta en marcha, así como las personas a cargo de ejecutar cadacomponente del mismo. Cuando se identifiquen nuevos requerimientos, semodificarán los procedimientos de emergencia establecidos, por ejemplo,los planes de evacuación o los recursos de emergencia existentes.El administrador de cada plan de continuidad será el encargado de coordinar las tareas definidas en el mismo.Estas modificaciones deben ser propuestas por el Comité de Seguridad de la Información para su aprobación.El marco para la planificación de la continuidad de las actividades del Organismo, tendrá en cuenta los siguientes puntos:a) Prever las condiciones de implementación de los planes que describanel proceso a seguir (cómo evaluar la situación, qué personas estaráninvolucradas, etc.) antes de poner en marcha los mismos.b) Definir los procedimientos de emergencia que describan las accionesa emprender una vez ocurrido un incidente que ponga en peligro lasoperaciones del Organismo y/o la vida humana. Esto debe incluirdisposiciones con respecto a la gestión de las relaciones públicas y avínculos eficaces a establecer con las autoridades públicaspertinentes, por ejemplo, la policía, bomberos y autoridades locales.c) Realizar los procedimientos de emergencia que describan las accionesa emprender para el traslado de actividades esenciales del Organismo ode servicios de soporte a ubicaciones transitorias alternativas, y parael restablecimiento de los procesos en los plazos requeridos.d) Redactar los procedimientos de recuperación que describan lasacciones a emprender para restablecer las operaciones normales delOrganismo.e) Definir un cronograma de mantenimiento que especifique cómo y cuándoserá probado el plan, y el proceso para el mantenimiento del mismo.f) Efectuar actividades de concientización e instrucción al personal,diseñadas para propiciar la comprensión de los procesos de continuidadlas actividades y garantizar que los procesos sigan siendo eficaces.g) Documentar las responsabilidades y funciones de las personas,describiendo los responsables de la ejecución de cada uno de loscomponentes del plan y las vías de contacto posibles. Se debenmencionar alternativas cuando corresponda. Es de suma importanciadefinir a un responsable de declarar el estado de contingencia, lo cualdará inicio al plan.Los administradores de los planes de contingencia son:

Plan de Contingencia Administrador ………………………….. ………………………….


El cumplimiento de los procedimientos implementados para llevar a cabolas acciones contempladas en cada plan de continuidad, deben contarseentre las responsabilidades de los administradores de cada plan. Lasdisposiciones de emergencia para servicios técnicos alternativos, comoinstalaciones de comunicaciones o de procesamiento de información,normalmente se cuentan entre las responsabilidades de los proveedoresde servicios.17.1.5 Control: Ensayo, Mantenimiento y Reevaluación de los Planes de continuidad del OrganismoDebido a que los planes de continuidad de las actividades del Organismopueden fallar, por suposiciones incorrectas, errores o cambios en elequipamiento, se establecen las siguientes pautas de acción:• El Comité de Seguridad de la Información establecerá un cronograma depruebas periódicas de cada uno de los planes de contingencia.• El cronograma indicará quienes son los responsables de llevar a cabocada una de las pruebas y de elevar el resultado obtenido al citadoComité.Se deben utilizar diversas técnicas para garantizar que los planes decontingencia funcionarán ante un hecho real, y éstas incluirán por lomenos:a) Efectuar pruebas de discusión de diversos escenarios (discutiendomedidas para la recuperación las actividades utilizando ejemplos deinterrupciones).b) Realizar simulaciones (especialmente para entrenar al personal en eldesempeño de sus roles de gestión posterior a incidentes o crisis).c) Efectuar pruebas de recuperación técnica (garantizando que lossistemas de información puedan ser restablecidos con eficacia).d) Realizar ensayos completos probando que el Organismo, el personal,el equipamiento, las instalaciones y los procesos pueden afrontar lasinterrupciones.Para las operaciones críticas del Organismo se tomarán en cuenta, además, los siguientes mecanismos:a) Efectuar pruebas de recuperación en un sitio alternativo (ejecutandolos procesos de las actividades del Organismo en paralelo, conoperaciones de recuperación fuera del sitio principal).b) Realizar pruebas de instalaciones y servicios de proveedores(garantizando que los productos y servicios de proveedores externoscumplan con los compromisos contraídos).Todas las pruebas efectuadas deben ser documentadas, resguardándose laevidencia formal de la ejecución y de los resultados obtenidos.Los planes de continuidad de las actividades del Organismo seránrevisados y actualizados periódicamente, para garantizar su eficaciapermanente. Se incluirán procedimientos en el programa deadministración de cambios del Organismo para garantizar que se abordenadecuadamente los tópicos de continuidad de las actividades.La periodicidad de revisión de los planes de contingencia es la siguiente:

Plan de Contingencia Revisar cada Responsable de Revisión

Cada uno de los Responsables de Procesos es el responsable de lasrevisiones periódicas de cada uno de los planes de continuidad de suincumbencia, como así también de la identificación de cambios en lasdisposiciones relativas a las actividades del Organismo aún noreflejadas en dichos planes.Debe prestarse atención, especialmente, a los cambios de:a) Personal.b) Direcciones o números telefónicos.c) Estrategia del Organismo.d) Ubicación, instalaciones y recursos.e) Legislación.f) Contratistas, proveedores y clientes críticos.g) Procesos, o procesos nuevos / eliminados.h) Tecnologías.i) Requisitos operacionales.j) Requisitos de seguridad.k) Hardware, software y otros equipos (tipos, especificaciones, y cantidad).l) Requerimientos de los sitios alternativos.m) Registros de datos vitales.Todas las modificaciones efectuadas serán propuestas por el Comité deSeguridad de la Información para su aprobación por el superiorjerárquico que corresponda.Por otra parte, el resultado de este proceso será dado a conocer a finde que todo el Personal involucrado tenga conocimiento de los cambiosincorporados.17.2 Categoría: RedundanciasObjetivoAsegurar la continuidad de la información y que esté integrada a los sistemas de gestión.17.2.1 Control: Disponibilidad de las instalaciones de procesamiento de la informaciónSe deben implementar las instalaciones de procesamiento de lainformación con la debida redundancia a efectos de cumplir con losrequisitos definidos.Para cumplir con lo anterior el Organismo debe identificar losrequisitos funcionales para considerar los componentes o arquitecturasredundantes. Hay tener en cuenta durante el diseño, la actividad de lagestión de los riesgos de integridad y confidencialidad de lainformación que puedan acarrear las redundancias.18. Cláusula: Cumplimiento

GeneralidadesEl diseño, operación, uso y administración de los sistemas deinformación están regulados por disposiciones legales y contractuales.Los requisitos normativos y contractuales pertinentes a cada sistema deinformación deben estar debidamente definidos y documentados.El Área Jurídica del Organismo, será responsable de encuadrar jurídicamente la formulación e implementación de la política.ObjetivosCumplir con las disposiciones normativas y contractuales a fin deevitar sanciones administrativas al Organismo y/o al empleado o queincurran en responsabilidad civil o penal como resultado de suincumplimiento.Garantizar que los sistemas cumplan con la política, normas y procedimientos de seguridad del Organismo.Revisar la seguridad de los sistemas de información periódicamente aefectos de garantizar la adecuada aplicación de la política, normas yprocedimientos de seguridad, sobre las plataformas tecnológicas y lossistemas de información.Optimizar la eficacia del proceso de auditoría de sistemas y minimizarlos problemas que pudiera ocasionar el mismo, o los obstáculos quepudieran afectarlo.Garantizar la existencia de controles que protejan los sistemas enproducción y las herramientas de auditoría en el transcurso de lasauditorías de sistemas.Determinar los plazos para el mantenimiento de información y para la recolección de evidencia del Organismo.AlcanceEsta Política se aplica a todo el personal del Organismo, cualquiera sea su situación de revista.Asimismo se aplica a los sistemas de información, normas,procedimientos, documentación y plataformas técnicas del Organismo y alas auditorías efectuadas sobre los mismos.ResponsabilidadEl Responsable de Seguridad de la Información cumplirá las siguientes funciones:- Definir normas y procedimientos para garantizar el cumplimiento delas restricciones legales al uso del material protegido por normas depropiedad intelectual y a la conservación de registros.- Realizar revisiones periódicas de todas las áreas del Organismo aefectos de garantizar el cumplimiento de la política, normas yprocedimientos de seguridad.- Verificar periódicamente que los sistemas de información cumplan lapolítica, normas y procedimientos de seguridad establecidos.- Garantizar la seguridad y el control de las herramientas utilizadas para las revisiones de auditoría.El Responsable del Área Jurídica del Organismo, con la asistencia delResponsable de Seguridad de la Información cumplirán las siguientesfunciones:- Definir y documentar claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información.- Redactar un Compromiso de Confidencialidad a ser firmado por todo el personal.Los Responsables de Unidades Organizativas velarán por la correctaimplementación y cumplimiento de las normas y procedimientos deseguridad establecidos en la presente Política, dentro de su área deresponsabilidad.Todos los empleados de los mandos medios y superiores conocerán,comprenderán, darán a conocer, cumplirán y harán cumplir la presentePolítica y la normativa vigente.Política18.1 Categoría: Cumplimiento de Requisitos LegalesObjetivoEvitar las violaciones a cualquier ley; regulación estatutaria,reguladora o contractual; y cualquier requerimiento de seguridad.El diseño, operación, uso y gestión de los sistemas de informaciónpueden estar sujetos a requerimientos de seguridad estatutarios,reguladores y contractuales.18.1.1 Control: Identificación de la Legislación AplicableSe definirán y documentarán claramente todos los requisitos normativosy contractuales pertinentes para cada sistema de información. Del mismomodo se definirán y documentarán los controles específicos y lasresponsabilidades y funciones individuales para cumplir con dichosrequisitos.18.1.2 Control: Derechos de Propiedad IntelectualSe implementarán procedimientos adecuados para garantizar elcumplimiento de las restricciones legales al uso del material protegidopor normas de propiedad intelectual.Los empleados únicamente podrán utilizar material autorizado por el Organismo.El Organismo solo podrá autorizar el uso de material producido por elmismo, o material autorizado o suministrado al mismo por su titular,conforme los términos y condiciones acordadas y lo dispuesto por lanormativa vigente.La infracción a estos derechos puede tener como resultado acciones legales que podrían derivar en demandas penales.Se deben tener presentes las siguientes normas:• Ley de Propiedad Intelectual N° 11.723: Protege los derechos de autorde las obras científicas, literarias y artísticas, incluyendo losprogramas de computación fuente y objeto; las compilaciones de datos ode otros materiales.• Ley de Marcas N° 22.362: Protege la propiedad de una marca y la exclusividad de su uso.• Ley de Patentes de Invención y Modelos de Utilidad N° 24.481: Protegeel derecho del titular de la patente de invención a impedir queterceros utilicen su producto o procedimiento.Derecho de Propiedad intelectual del SoftwareEl software es considerado una obra intelectual que goza de la protección de la Ley 11.723 de Propiedad Intelectual.Esta Ley establece que la explotación de la propiedad intelectual sobrelos programas de computación incluirá, entre otras formas, loscontratos de licencia para su uso o reproducción.Los productos de software se suministran normalmente bajo acuerdos delicencia que suelen limitar el uso de los productos al equipamientoespecífico y su copia a la creación de copias de resguardo solamente.El Responsable de Seguridad de la Información, con la asistencia delÁrea Jurídica, analizará los términos y condiciones de la licencia, eimplementará los siguientes controles:a) Definir normas y procedimientos para el cumplimiento del derecho depropiedad intelectual de software que defina el uso legal de productosde información y de software.b) Divulgar las políticas de adquisición de software y lasdisposiciones de la Ley de Propiedad Intelectual, y notificar ladeterminación de tomar acciones disciplinarias contra el personal quelas infrinja.c) Mantener un adecuado registro de activos.d) Conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc.e) Implementar controles para evitar el exceso del número máximo permitido de usuarios.f) Verificar que sólo se instalen productos con licencia y software autorizado.g) Elaborar y divulgar un procedimiento para el mantenimiento de condiciones adecuadas con respecto a las licencias.h) Elaborar y divulgar un procedimiento relativo a la eliminación o transferencia de software a terceros.i) Utilizar herramientas de auditoría adecuadas.j) Cumplir con los términos y condiciones establecidos para obtener software e información en redes públicas.18.1.3 Control: Protección de los Registros del OrganismoLos registros críticos del Organismo se protegerán contra pérdida,destrucción y falsificación. Algunos registros pueden requerir unaretención segura para cumplir requisitos legales o normativos, así comopara respaldar actividades esenciales del Organismo.Los registros se clasificarán en diferentes tipos, por ejemploregistros contables, registros de base de datos, registros de auditoríay procedimientos operativos, cada uno de ellos detallando los períodosde retención y el tipo de medios de almacenamiento, por ejemplo papel,microfichas, medios magnéticos u ópticos.

Las claves criptográficas asociadas con archivos cifrados se mantendránen forma segura y estarán disponibles para su uso por parte de personasautorizadas cuando resulte necesario.Se debe considerar la posibilidad de degradación de los mediosutilizados para el almacenamiento de los registros. Los procedimientosde almacenamiento y manipulación se implementarán de acuerdo con lasrecomendaciones del fabricante.Si se seleccionan medios de almacenamiento electrónicos, se incluiránlos procedimientos para garantizar la capacidad de acceso a los datos(tanto legibilidad de formato como medios) durante todo el período deretención, a fin de salvaguardar los mismos contra eventuales pérdidasocasionadas por futuros cambios tecnológicos.Los sistemas de almacenamiento de datos serán seleccionados de modo talque los datos requeridos puedan recuperarse de una manera que resulteaceptable para un tribunal de justicia, por ejemplo que todos losregistros requeridos puedan recuperarse en un plazo y un formatoaceptable.El sistema de almacenamiento y manipulación garantizará una claraidentificación de los registros y de su período de retención legal onormativa. Asimismo, se permitirá una adecuada destrucción de losregistros una vez transcurrido dicho período, si ya no resultannecesarios para el Organismo.A fin de cumplir con estas obligaciones, se tomarán las siguientes medidas:a) Elaborar y divulgar los lineamientos para la retención,almacenamiento, manipulación y eliminación de registros e información.b) Preparar un cronograma de retención identificando los tiposesenciales de registros y el período durante el cual deben serretenidos.c) Mantener un inventario de programas fuentes de información clave.d) Implementar adecuados controles para proteger la información y losregistros esenciales contra pérdida, destrucción y falsificación.En particular, se deben tener presente las siguientes normas:• Ética en el Ejercicio de la Función Pública. Ley 25.188: Estableceque las personas que se desempeñen en la función pública deben protegery conservar la propiedad del Estado y sólo emplear sus bienes con losfines autorizados.• Código de Ética de la Función Pública: Dispone que el funcionariopúblico debe proteger y conservar los bienes del Estado y utilizar losque le fueran asignados para el desempeño de sus funciones de maneraracional, evitando su abuso, derroche o desaprovechamiento.• Código Penal Art. 255: Sanciona a quien sustrajere, ocultare,destruyere o inutilizare objetos destinados a servir de prueba ante laautoridad competente, registros o documentos confiados a la custodia deun funcionario o de otra persona en el interés del servicio público. Siel culpable fuere el mismo depositario, sufrirá además inhabilitaciónespecial por doble tiempo.• Ley N° 24.624. Artículo 30: Autoriza el archivo y la conservación ensoporte electrónico u óptico indeleble de la documentación financiera,de personal y de control de la Administración Pública Nacional y otorgavalor jurídico y probatorio a la documentación existente que seincorpore al Archivo General de la Administración, mediante lautilización de tecnología que garantice la estabilidad, perdurabilidad,inmutabilidad e inalterabilidad del soporte de guarda físico de lamencionada documentación.• Decisión Administrativa 43/96: Reglamenta el Art. 30 de la Ley24.624. Determina su ámbito de aplicación, define conceptos y precisalos requisitos de carácter general, los relacionados con los documentosen particular y con el soporte a utilizar en la redacción, producción oreproducción de aquellos.• Ley de Propiedad Intelectual N° 11.723: Protege los derechos de autorde las obras científicas, literarias y artísticas, incluyendo lascompilaciones de datos o de otros materiales.• Ley N° 25.506: Establece que la exigencia legal de conservardocumentos, registros o datos, también queda satisfecha con laconservación de los correspondientes documentos digitales firmadosdigitalmente, según los procedimientos que determine la reglamentación,siempre que sean accesibles para su posterior consulta y permitandeterminar fehacientemente el origen, destino, fecha y hora de sugeneración, envío y/o recepción.• Código Penal: Sanciona a aquel que alterare, destruyere o inutilizaredatos, documentos, programas o sistemas informáticos (Art. 183).18.1.4 Control: Protección de Datos y Privacidad de la Información PersonalTodos los empleados deben conocer las restricciones al tratamiento delos datos y de la información respecto a la cual tengan conocimientocon motivo del ejercicio de sus funciones.El Organismo redactará un “Compromiso de Confidencialidad”, el cualdebe ser suscrito por todos los funcionarios públicos y contratistas.La copia firmada del compromiso será retenida en forma segura por elOrganismo.Mediante este instrumento el empleado se comprometerá a utilizar lainformación solamente para el uso específico al que se ha destinado y ano comunicar, diseminar o de alguna otra forma hacer pública lainformación a ninguna persona, firma, compañía o tercera persona, salvoautorización previa y escrita del Responsable del Activo de que setrate. A través del “Compromiso de Confidencialidad” se debe advertiral empleado que determinadas actividades pueden ser objeto de control ymonitoreo. Estas actividades deben ser detalladas a fin de no violar elderecho a la privacidad del empleado.En particular, se deben tener presente las siguientes normas:• Ley Marco de Regulación de Empleo Público Nacional. Ley 25.164:Establece que los Funcionarios Públicos deben observar el deber defidelidad que se derive de la índole de las tareas que le fueronasignadas y guardar la discreción correspondiente o la reservaabsoluta, en su caso, de todo asunto del servicio que así lo requiera.• Convenio Colectivo de Trabajo General: Dispone que todos los agentesdeben observar el deber de fidelidad que se derive de la índole de lastareas que le fueran asignadas y guardar la discreción correspondiente,con respecto a todos los hechos e informaciones de los cuales tengaconocimiento en el ejercicio o con motivo del ejercicio de susfunciones.• Ética en el Ejercicio de la Función Pública. Ley 25.188: Obliga atodas las personas que se desempeñen en la función pública a abstenersede utilizar información adquirida en el cumplimiento de sus funcionespara realizar actividades no relacionadas con sus tareas oficiales o depermitir su uso en beneficio de intereses privados.• Código de Ética de la Función Pública: Establece que el funcionariopúblico debe abstenerse de difundir toda información que hubiera sidocalificada como reservada o secreta conforme a las disposicionesvigentes, ni la debe utilizar, en beneficio propio o de terceros o parafines ajenos al servicio, información de la que tenga conocimiento conmotivo o en ocasión del ejercicio de sus funciones y que no estédestinada al público en general.• Protección de Datos Personales. Ley 25.326: Estableceresponsabilidades para aquellas personas que recopilan, procesan ydivulgan información personal y define criterios para procesar datospersonales o cederlos a terceros.• Confidencialidad. Ley N° 24.766: Impide la divulgación a terceros, osu utilización sin previo consentimiento y de manera contraria a losusos comerciales honestos, de información secreta y con valor comercialque haya sido objeto de medidas razonables para mantenerla secreta.• Código Penal: Sanciona a aquel que abriere o accediere indebidamentea una comunicación electrónica o indebidamente la suprimiere o desviare(Art. 153), al que a sabiendas accediere por cualquier medio, sin ladebida autorización o excediendo la que posea, a un sistema o datoinformático de acceso restringido (Art. 153 bis), al que el quehallándose en posesión de una correspondencia, una comunicaciónelectrónica, un pliego cerrado, un despacho telegráfico, telefónico ode otra naturaleza, no destinados a la publicidad, los hiciere publicarindebidamente, si el hecho causare o pudiere causar perjuicios aterceros. (Art. 155), al que teniendo noticias de un secreto cuyadivulgación pueda causar daño, lo revelare sin justa causa (Art. 156),al funcionario público que revelare hechos, actuaciones o documentosque por la ley deben quedar secretos (Art. 157), al que a sabiendas eilegítimamente, o violando sistemas de confidencialidad y seguridad dedatos, accediere, de cualquier forma, a un banco de datos personales,ilegítimamente proporcionare o revelare a otro información registradaen un archivo o en un banco de datos personales cuyo secreto estuviereobligado a preservar por disposición de la ley e ilegítimamenteinsertare o hiciere insertar datos en un archivo de datos personales(Art. 157 bis), al que alterare, destruyere o inutilizare datos,documentos, programas o sistemas informáticos (Art. 183), al querevelare secretos políticos o militares concernientes a la seguridad, alos medios de defensa o a las relaciones exteriores de la Nación, o alque por imprudencia o negligencia diere a conocer los secretosmencionados anteriormente, de los que se hallare en posesión en virtudde su empleo u oficio (Art. 222 y 223).Asimismo, debe considerarse lo establecido en el Decreto 1172/03, queregula el acceso a la información pública por parte de los ciudadanos.18.1.5 Control: Prevención del Uso Inadecuado de los Recursos de Procesamiento de InformaciónLos recursos de procesamiento de información del Organismo sesuministran con un propósito determinado. Toda utilización de estosrecursos con propósitos no autorizados o ajenos al destino por el cualfueron provistos debe ser considerada como uso indebido.Todos los empleados deben conocer el alcance preciso del uso adecuado de los recursos informáticos y deben respetarlo.En particular, se debe respetar lo dispuesto por las siguientes normas:• Ley Marco de Regulación de Empleo Público Nacional. Ley 25.164:Prohíbe hacer uso indebido o con fines particulares del patrimonioestatal.• Convenio Colectivo de Trabajo General: Obliga a los agentes a nohacer uso indebido o con fines particulares del patrimonio estatal.• Ética en el Ejercicio de la Función Pública. Ley 25.188: Obliga a laspersonas que se desempeñen en la función pública a proteger y conservarla propiedad del Estado y sólo emplear sus bienes con los finesautorizados.• Código de Ética de la Función Pública: Obliga al funcionario públicoa proteger y conservar los bienes del Estado y utilizar los que lefueran asignados para el desempeño de sus funciones de manera racional,evitando su abuso, derroche o desaprovechamiento.• Código Penal: Sanciona a aquel que alterare, destruyere o inutilizaredatos, documentos, programas o sistemas informáticos; o vendiere,distribuyere, hiciere circular o introdujere en un sistema informático,cualquier programa destinado a causar daños (Art. 183).18.1.6 Control: Regulación de Controles para el Uso de CriptografíaAl utilizar firmas digitales o electrónicas, se debe considerar lodispuesto por la Ley 25.506 y su decreto reglamentario Decreto 2628/02,que establecen las condiciones bajo las cuales una firma digital eslegalmente válida.Respecto a la comercialización de controles criptográficos, nuestropaís ha suscrito el acuerdo Wassennar, que establece un listado demateriales y tecnologías de doble uso, cuya comercialización puede serconsiderada peligrosa.El Decreto 603/92 regula el Régimen de Control de las ExportacionesSensitivas y de Material Bélico, estableciendo un tratamiento especialpara la exportación de determinados bienes que pueden ser comprendidosdentro del concepto de material bélico.Se debe obtener asesoramiento antes de transferir a otro paísinformación cifrada o controles criptográficos. Para ello se puedeconsultar a la Dirección General de Política, de la Secretaría deAsuntos Militares, Ministerio de Defensa, a fin de saber si el materialexportable requiere algún tratamiento especial.18.1.7 Control: Recolección de EvidenciaEs necesario contar con adecuada evidencia para respaldar una accióncontra una persona u organización. Siempre que esta acción responda auna medida disciplinaria interna, la evidencia necesaria estarádescrita en los procedimientos internos.Cuando la acción implique la aplicación de una ley, la evidenciapresentada debe cumplir con lo establecido por las normas procesales.Para lograr la validez de la evidencia, el Organismo garantizará quesus sistemas de información cumplen con la normativa y los estándares ocódigos de práctica relativos a la producción de evidencia válida.Para lograr la calidad y totalidad de la evidencia es necesaria unasólida pista de la misma. Esta pista se establecerá cumpliendo lassiguientes condiciones:a) Almacenar los documentos en papel originales en forma segura ymantener registros acerca de quién lo halló, dónde se halló, cuándo sehalló y quién presenció el hallazgo. Cualquier investigación debegarantizar que los originales no sean alterados.b) Copiar la información para garantizar su disponibilidad. Semantendrá un registro de todas las acciones realizadas durante elproceso de copia. Se almacenará en forma segura una copia de los mediosy del registro.Cuando se detecta un incidente, puede no resultar obvio si éstederivará en una demanda legal por lo tanto se deben tomar todos losrecaudos establecidos para la obtención y preservación de la evidencia.Se debe tener presente lo dispuesto por el Reglamento deInvestigaciones Administrativas, procedimiento administrativo especial,de naturaleza correctiva interna que constituye garantía suficientepara la protección de los derechos y correcto ejercicio de lasresponsabilidades impuestas a los agentes públicos. Este Decreto debeser complementado por lo dispuesto en la Ley N° 19.549 (Ley deProcedimientos Administrativos) y por toda otra normativa aplicable,incluido el Código Penal, el que sanciona a quien sustrajere, alterare,ocultare, destruyere o inutilizare en todo o en parte objetosdestinados a servir de prueba ante la autoridad competente, registros odocumentos confiados a la custodia de un funcionario público o de otrapersona en el interés del servicio público (Art. 255).18.1.8 Control: Delitos InformáticosTodos los empleados deben conocer la existencia de la Ley 26.388 deDelitos Informáticos, a partir de cuyo dictado se castigan penalmenteciertas conductas cometidas mediante medios informáticos. En talsentido, los agentes públicos deben conocer con exactitud el alcance delos nuevos tipos penales introducidos por la norma mencionada.Cabe señalar que la mayoría de las conductas descritas por dicha normavinculada ya han sido señaladas en los apartados precedentes.18.2 Categoría: Revisiones de la Política de Seguridad y la Compatibilidad TécnicaObjetivoAsegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional.La seguridad de los sistemas de información se debiera revisar regularmente.Estas revisiones deben realizarse en base a las políticas de seguridadapropiadas y las plataformas técnicas, y los sistemas de informacióndeben ser auditados en cumplimiento con los estándares deimplementación de seguridad aplicables y los controles de seguridaddocumentados.18.2.1 Control: Cumplimiento de la Política de SeguridadCada Responsable de Unidad Organizativa, velará por la correctaimplementación y cumplimiento de las normas y procedimientos deseguridad establecidos, dentro de su área de responsabilidad.El Responsable de Seguridad de la Información, realizará revisionesperiódicas de todas las áreas del Organismo a efectos de garantizar elcumplimiento de la política, normas y procedimientos de seguridad.Entre las áreas a revisar se incluyen las siguientes:a) Sistemas de información.b) Proveedores de sistemas.c) Propietarios de información.d) Usuarios.Los Propietarios de la Información brindarán apoyo a la revisiónperiódica del cumplimiento de la política, normas, procedimientos yotros requisitos de seguridad aplicables.18.2.2 Control: Verificación de la Compatibilidad TécnicaEl Responsable de Seguridad de la Información verificará periódicamenteque los sistemas de información cumplan con la política, normas yprocedimientos de seguridad, las que incluirán la revisión de lossistemas en producción a fin de garantizar que los controles dehardware y software hayan sido correctamente implementados. En caso deser necesario, estas revisiones contemplarán la asistencia técnicaespecializada.El resultado de la evaluación se volcará en un informe técnico para suulterior interpretación por parte de los especialistas. Para ello, latarea podrá ser realizada por un profesional experimentado (en formamanual o con el apoyo de herramientas de software), o por un paquete desoftware automatizado que genere reportes que serán interpretados porun especialista técnico.La verificación del cumplimiento comprenderá pruebas de penetración ytendrá como objetivo la detección de vulnerabilidades en el sistema yla verificación de la eficacia de los controles con relación a laprevención de accesos no autorizados. Se tomarán los recaudosnecesarios en el caso de pruebas de penetración exitosas quecomprometan la seguridad del sistema.Las verificaciones de cumplimiento sólo serán realizadas por personascompetentes, formalmente autorizadas y bajo la supervisión.18.3 Categoría: Consideraciones de Auditorías de SistemasObjetivoMaximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoría del sistema de información.Durante las auditorías de los sistemas de información debieran existircontroles para salvaguardar los sistemas operacionales y herramientasde auditoría.Con relación a las auditorías, serán de aplicación las Normas deControl Interno para Tecnologías de Información, aprobadas por laresolución SIGEN N° 48/05.18.3.1 Controles de Auditoría de SistemasCuando se realicen actividades de auditoría que involucrenverificaciones de los sistemas en producción, se tomarán recaudos en laplanificación de los requerimientos y tareas, y se acordará con lasáreas involucradas a efectos de minimizar el riesgo de interrupcionesen las operaciones.Se contemplarán los siguientes puntos:a) Acordar con el Área que corresponda los requerimientos de auditoría.b) Controlar el alcance de las verificaciones. Esta función será realizada por el responsable de auditoría.c) Limitar las verificaciones a un acceso de sólo lectura del softwarey datos de producción. Caso contrario, se tomarán los resguardosnecesarios a efectos de aislar y contrarrestar los efectos de lasmodificaciones realizadas, una vez finalizada la auditoría. Por ejemplo:• Eliminar archivos transitorios.• Eliminar entidades ficticias y datos incorporados en archivos maestros.• Revertir transacciones.• Revocar privilegios otorgadosd) Identificar claramente los recursos de tecnologías de información(TI) para llevar a cabo las verificaciones, los cuales serán puestos adisposición de los auditores. A tal efecto, la Unidad de Auditoría o ensu defecto quien sea propuesto por el Comité de Seguridad de laInformación completará el siguiente formulario, el cual debe ser puestoen conocimiento de las áreas involucradas:

e) Identificar y acordar los requerimientos de procesamiento especial o adicional.f) Monitorear y registrar todos los accesos, a fin de generar una pistade referencia. Los datos a resguardar deben incluir como mínimo:• Fecha y hora.• Puesto de trabajo.• Usuario.• Tipo de acceso.• Identificación de los datos accedidos.

• Estado previo y posterior.• Programa y/o función utilizada.g) Documentar todos los procedimientos de auditoría, requerimientos y responsabilidades.18.3.2 Control: Protección de los Elementos Utilizados por la Auditoría de SistemasSe protegerá el acceso a los elementos utilizados en las auditorías desistemas, o sea archivos de datos o software, a fin de evitar el maluso o el compromiso de los mismos.Dichas herramientas estarán separadas de los sistemas en producción yde desarrollo, y se les otorgará el nivel de protección requerido.Se tomarán los recaudos necesarios a efectos de cumplimentar las normasde auditoría dispuestas por la Sindicatura General de la Nación.18.3.3 Control: Sanciones Previstas por IncumplimientoSe sancionará administrativamente a todo aquel que viole lo dispuestoen la presente Política de Seguridad conforme a lo dispuesto por lasnormas estatutarias, escalafonarias y convencionales que rigen alpersonal de la Administración Pública Nacional, y en caso decorresponder, se realizarán las acciones correspondientes ante el o losOrganismos pertinentes.

Las sanciones sólo pueden imponerse mediante un acto administrativo queasí lo disponga cumpliendo las formalidades impuestas por los preceptosconstitucionales, la Ley de Procedimiento Administrativo y demásnormativas específicas aplicables.Amén de las sanciones disciplinarias o administrativas, el agente queno da debido cumplimiento a sus obligaciones pueden incurrir también enresponsabilidad civil o patrimonial —cuando ocasiona un daño que debeser indemnizado— y/o en responsabilidad penal —cuando su conductaconstituye un comportamiento considerado delito por el Código Penal yleyes especiales.

e. 25/02/2015 N° 11885/15 v. 25/02/2015