Resolución 1381/2016

Texto Original

COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE

Resolución 1381/2016

Buenos Aires, 19/12/2016

VISTO el Expediente N° S02:0133388/2016 del Registro de la COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE, y

CONSIDERANDO:

Que mediante el artículo 1° de la Decisión Administrativa N° 669 del 20de diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS seestableció el deber de dictar o adecuar las políticas de seguridad dela información por parte de los organismos del Sector Público Nacionalcomprendidos en los incisos a) y c) del artículo 8° de la Ley N° 24.156y sus modificatorias, entre los cuales se encuentra comprendida estaCOMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE, de conformidad a laPolítica de Seguridad Modelo a dictarse a tales efectos.

Que a tales efectos la precitada norma previó la conformación de unCOMITÉ DE SEGURIDAD DE LA INFORMACIÓN por parte de cada uno de losorganismos alcanzados, como así también su integración, coordinación yfunciones, tal las prescripciones de los artículos 2°, 3° y 4° de lanorma citada.

Que la Disposición N° 3 del 27 de agosto de 2013 de la OFICINA NACIONALDE TECNOLOGÍAS DE INFORMACIÓN de la JEFATURA DE GABINETE DE MINISTROSaprobó la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO” como basepara la elaboración de las respectivas políticas a dictarse por cadaorganismo, según su propia realidad, particularidades, operatoria yrecursos, precisándose las funciones del Comité de Seguridad de laInformación y de su coordinador, entre otras cuestiones.

Que la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO” dictadaprescribe que el control de la seguridad de la información se debeimplementar desde los niveles gerenciales del conjunto de laorganización.

Que asimismo también prescribe que la máxima autoridad del organismodebe aprobar la política de seguridad de la información, revisar losbeneficios de su implementación, y evidenciar su compromiso asignandoroles y reconociendo responsabilidades explícitas.

Que la información es un recurso que como el resto de los activos tienevalor para cualquier organización, y por consiguiente debe serdebidamente protegido.

Que la seguridad de la información es un proceso destinado a laprotección de los activos de la organización de una amplia gama deamenazas destinado a preservar la continuidad de los sistemas deinformación y de las operaciones, que permite minimizar los riesgos dedaño y asegurar el eficiente cumplimiento de los objetivos.

Que la seguridad de la información resulta esencial para garantizar laconfidencialidad, integridad y la disponibilidad de la información, conel objeto de prevenir cualquier divulgación no autorizada, reflejar enforma fiel y exacta la totalidad de la información de cada transacciónde origen y evitar interrupciones o colapsos que puedan provocar lapérdida de los datos y/o afecten la continuidad de las operaciones.

Que la seguridad de la información se logra implementando adecuadoscontroles incluyendo el dictado de políticas y el diseño de procesos,procedimientos, la definición de estructuras organizacionales, defunciones de software y hardware, todo ello en conjunción con otrosprocesos de gestión del organismo.

Que el Comité se concibe como el único canal para realizar propuestas ala máxima autoridad relativas a la política de seguridad de lainformación, el diseño de procedimientos y de sistemas de prevención deriesgos, a fin de asegurar la homogeneidad y unicidad de criterios yobjetivos en la materia, y garantizar el compromiso de los responsablesprincipales de la organización en el apoyo y difusión dentro delorganismo.

Que el COMITÉ DE SEGURIDAD DE LA INFORMACIÓN tal como lo determina la“POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO”, debe garantizar elapoyo a la DIRECCIÓN EJECUTIVA en relación a las iniciativas deseguridad, el desarrollo de las mismas y su mantenimiento en el tiempo.

Que de acuerdo con la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO”corresponde practicar auditorias periódicas sobre los sistemas yactividades vinculadas con la tecnología de información, debiendoinformar sobre el cumplimiento de las especificaciones y medidas deseguridad de la información establecidas, y realizar revisionesindependientes sobre la vigencia y el cumplimiento de las políticasfijadas.

Que de acuerdo con lo establecido por la Resolución N° 48/2005 de laSINDICATURA GENERAL DE LA NACIÓN, las unidades de auditoria internasdefinidas en la Ley N° 24.156 deben contemplar la ejecución deauditorías de sistemas para efectuar revisiones objetivas de loscontroles informáticos.

Que consecuentemente, resulta oportuna la integración del COMITÉ DESEGURIDAD DE LA INFORMACIÓN, con la representación de todas las áreasprincipales de esta COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE.

Que es conveniente asimismo, establecer el reglamento de funcionamiento del mencionado Comité.

Que la GERENCIA DE ASUNTOS JURÍDICOS de la COMISIÓN NACIONAL DEREGULACIÓN DEL TRANSPORTE ha tomado la intervención que le compete.

Que la presente resolución se dicta en uso de las facultades conferidaspor el Estatuto de la COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE,aprobado por Decreto N° 1388 de fecha 29 de noviembre de 1996,modificado por su similar N° 1661 de fecha 12 de agosto de 2015 (B.O.20/8/2015), el Decreto N° 118 de fecha 12 de enero de 2016 (B.O.13/1/2016) y la Decisión Administrativa N° 669 del 20 de diciembre de2004 de la JEFATURA DE GABINETE DE MINISTROS.

Por ello,

EL DIRECTOR EJECUTIVO DE LA COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE

RESUELVE:

ARTÍCULO 1° — Conformar el COMITÉ DE SEGURIDAD DE LA INFORMACIÓN en elámbito de la COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE, de acuerdocon lo establecido en la Decisión Administrativa N° 669 de fecha 20 dediciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS.

ARTÍCULO 2° — El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN estará integradopor el Subdirector Ejecutivo, los titulares de todas las Gerencias delOrganismo, los titulares de la Subgerencia de Informática y de laSubgerencia de Fiscalización y por el titular de la Unidad de AuditoriaInterna, todos ellos con carácter de miembros permanentes.

ARTÍCULO 3° — El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN contará con unCoordinador designado por la máxima autoridad, que será responsable degestionar la coordinación de las acciones que llevará a cabo el Comité,y de impulsar la implementación y el cumplimiento de la política deseguridad.

ARTÍCULO 4° — La titularidad del COMITÉ DE SEGURIDAD DE LA INFORMACIÓNserá ejercida por la máxima autoridad del Organismo quien contará conel apoyo del Coordinador designado según el artículo anterior.

ARTÍCULO 5° — Serán funciones del COMITÉ DE SEGURIDAD DE LAINFORMACIÓN: a) Revisar y proponer a la máxima autoridad del Organismopara su aprobación, la Política de Seguridad de la Información y lasfunciones generales en materia de seguridad de la información; b)Monitorear cambios significativos en los riesgos que afectan a losrecursos de información frente a las amenazas más importantes; c) Tomarconocimiento y supervisar la investigación y monitoreo de losincidentes relativos a la seguridad; d) Aprobar las principalesiniciativas para incrementar la seguridad de la información, de acuerdoa las competencias y responsabilidades asignadas a cada área; e)Acordar y aprobar metodologías y procesos específicos relativos a laseguridad de la información; f) Garantizar que la seguridad sea partedel proceso de planificación informática del Organismo; g) Evaluar ycoordinar la implementación de controles específicos de seguridad de lainformación para nuevos sistemas o servicios; h) Promover la difusión yapoyo a la seguridad de la información dentro del Organismo; i)Coordinar el proceso de administración de la continuidad de laoperatoria de los sistemas de tratamiento de la información delOrganismo frente a interrupciones imprevistas.

ARTÍCULO 6° — Los miembros del COMITÉ DE SEGURIDAD DE LA INFORMACIÓN,deberán designar representantes que los reemplacen en caso de ausencia,y asignar dentro de sus ámbitos de responsabilidad la programación,ejecución y seguimiento de las acciones derivadas del cumplimiento dela Política de Seguridad que se apruebe.

ARTÍCULO 7° — La Unidad de Auditoria Interna será el responsable derealizar revisiones independientes sobre la vigencia y el cumplimientode la Política de Seguridad de la Información.

ARTÍCULO 8° — El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN sesionará enreuniones de carácter ordinario o extraordinario, siendoresponsabilidad del Coordinador la elaboración del temario y sudifusión, aprobado por el Titular. Las reuniones ordinarias, serealizarán en forma mensual. Las reuniones extraordinarias seefectuarán a requerimiento de cualquiera de los miembros del Comité deSeguridad de la Información. El COMITÉ DE SEGURIDAD DE LA INFORMACIÓNsesionará con la presencia de su Titular, o quien éste designe en sureemplazo, y un representante de la Unidad de Auditoria Interna. Laconvocatoria y el temario serán distribuidos a los miembros con unmínimo de cinco (5) días hábiles de antelación a la reunión, con ladescripción del asunto a tratar, propuesta o antecedentes. Al términode cada reunión, el Coordinador deberá confeccionar un informe donde sedescribirán los temas tratados, sus riesgos y amenazas, la evaluaciónde las medidas y recomendaciones adoptadas y detallará los miembrospresentes. La misma se distribuirá a los miembros del COMITÉ DESEGURIDAD DE LA INFORMACIÓN dentro de los tres (3) días hábilesposteriores a la reunión.

ARTÍCULO 9° — Notifíquese a los titulares de todas las Gerencias delOrganismo, a los titulares de la Subgerencia de Informática y de laSubgerencia de Fiscalización y al titular de la Unidad de AuditoriaInterna, para su conocimiento.

ARTÍCULO 10. — Comuníquese, publíquese, dese a la Dirección Nacionaldel Registro Oficial y archívese. — Ing. ROBERTO DOMECQ, DirectorEjecutivo, Comisión Nacional de Regulación del Transporte.

e. 22/12/2016 N° 97374/16 v. 22/12/2016