Informatica y Derecho - 706 - Registro Nacional de las Personas Res 2979/13- Apruebase politica de seguridad de la información
Carlos Acquistapace
MINISTERIO DEL INTERIOR Y
TRANSPORTE
REGISTRO NACIONAL DE LAS
PERSONAS
Resolución Nº
2979/2013
POLITICA DE
SEGURIDAD DE LA INFORMACION del REGISTRO NACIONAL DE LAS
PERSONAS - COMPROMISO DE CONFIDENCIALIDAD, GESTION DE LAS BASES DE
DATOS Y TRATAMIENTO DE SISTEMAS INFORMATICOS DEL REGISTRO NACIONAL DE LAS
PERSONAS - AUTORIZACION Y GESTION DE
USUARIOS
Bs. As.,
13/12/2013
VISTO el Expediente Nº S02:0003822/2013 del registro de la
DIRECCION NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, Organismo
Descentralizado actuante en la órbita del MINISTERIO DEL INTERIOR Y TRANSPORTE,
la Ley Nº 17.671 y sus modificatorias, la Decisión Administrativa Nº 669 del 20
de diciembre de 2004, y la Disposición Nº 6 del 3 de agosto de 2005 de la
OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION de la ex SUBSECRETARIA DE LA
GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, la Resolución Nº 104
del MINISTERIO DEL INTERIOR Y TRANSPORTE del 30 de julio de 2012,
y
CONSIDERANDO:
Que el artículo 1º de la Decisión Administrativa
Nº 669/04 establece que los organismos del Sector Público Nacional comprendidos
en los incisos a) y c) del artículo 8º de la Ley de Administración Financiera y
de los Sistemas de Control del Sector Público Nacional Nº 24.156 y sus
modificatorias, deberán dictar, o bien adecuar sus políticas de seguridad de la
información.
Que la Disposición Nº 6 del 3 de agosto de 2005 de la
OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION organismo dependiente de la ex
SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS,
aprueba la “Política de Seguridad de la Información Modelo”.
Que a los
fines de optimizar las herramientas de protección de los activos y recursos de
información de este REGISTRO NACIONAL DE LAS PERSONAS, la tecnología utilizada
para su procesamiento, y dar acabado cumplimiento con la norma referida
ut-supra, deviene necesario dictar una política de seguridad de la información
conforme con la Política de Seguridad de la Información Modelo.
Que la
Decisión Administrativa Nº 669/04 prevé la conformación de un Comité de
Seguridad de la Información, determinando las funciones que el mismo deberá
ejecutar y estableciendo su integración.
Que mediante la Resolución Nº
104/12 del MINISTERIO DEL INTERIOR Y TRANSPORTE se aprobó la “Política de
Seguridad de la Información” y su Anexo I “Compromiso de confidencialidad,
gestión de bases de datos y tratamiento de sistemas informáticos”.
Que a
los fines de optimizar las herramientas de protección de los activos y recursos
de información de esta DIRECCION NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS,
la tecnología utilizada para su procesamiento, y dar acabado cumplimiento con
las normas referidas precedentemente, deviene necesario dictar un compromiso que
tenga por objeto proteger los recursos de información del REGISTRO NACIONAL DE
LAS PERSONAS y la tecnología utilizada para la gestión del DOCUMENTO NACIONAL DE
IDENTIDAD y PASAPORTE, estableciendo las medidas de seguridad de cumplimento
obligatorio para todas las personas y los usuarios y/o agentes que accedan a
información existente en este REGISTRO NACIONAL DE LAS PERSONAS y/o intervengan
en la toma de trámite, confección, gestión, fabricación, logística,
distribución, tratamiento y/o cualquier proceso o procedimiento asociado al
Sistema Nuevo DOCUMENTO NACIONAL DE IDENTIDAD y PASAPORTE.
Que la
política de seguridad de la información, las funciones relativas a la seguridad
informática y la integración del Comité de Seguridad de la Información no
implican erogaciones presupuestarias adicionales.
Que la DIRECCION
GENERAL TECNICA JURIDICA de la DIRECCION NACIONAL DEL REGISTRO NACIONAL DE LAS
PERSONAS ha tomado intervención.
Que la presente medida se dicta en uso
de las atribuciones conferidas por el artículo 5º de la Ley Nº 17.671 y los
artículos 1° y 2° de la Decisión Administrativa 669/04.
Por
ello,
LA DIRECTORA NACIONAL DEL REGISTRO NACIONAL DE LAS
PERSONAS
RESUELVE:
ARTICULO 1° — Apruébase la “POLITICA DE
SEGURIDAD DE LA INFORMACION del REGISTRO NACIONAL DE LAS PERSONAS”, que como
Anexo I integra la presente medida.
ARTICULO 2° — Apruébanse el
“COMPROMISO DE CONFIDENCIALIDAD, GESTION DE LAS BASES DE DATOS Y TRATAMIENTO DE
SISTEMAS INFORMATICOS DEL REGISTRO NACIONAL DE LAS PERSONAS”, y la “AUTORIZACION
Y GESTION DE USUARIOS”, como Anexos II y III de la “POLITICA DE SEGURIDAD DE LA
INFORMACION del REGISTRO NACIONAL DE LAS PERSONAS”.
ARTICULO 3° — Créase
el Comité de Seguridad de la Información del REGISTRO NACIONAL DE LAS PERSONAS,
como parte integrante de la “POLITICA DE SEGURIDAD DE LA INFORMACION del
REGISTRO NACIONAL DE LAS PERSONAS”.
ARTICULO 4° — Desígnase Coordinador
del Comité de Seguridad de la Información del REGISTRO NACIONAL DE LAS PERSONAS
al DIRECTOR GENERAL DE TECNOLOGIA DE LA INFORMACION DE LA DIRECCION NACIONAL DEL
REGISTRO NACIONAL DE LAS PERSONAS.
ARTICULO 5° — Por intermedio del
Coordinador del Comité de Seguridad de la Información del REGISTRO NACIONAL DE
LAS PERSONAS se deberá notificar a todos los representantes de las Direcciones
Nacionales, Generales y equivalentes; así como a todos los responsables externos
al Organismo, sobre las obligaciones respecto del cumplimiento de la Política de
Seguridad de la Información, de los compromisos de confidencialidad y
notificaciones de responsabilidad en el tratamiento de la información que se
dicten, y de todas las normas, procedimientos y prácticas que de ella
surjan.
ARTICULO 6° — Comuníquese, publíquese, dése a la DIRECCION
NACIONAL DEL REGISTRO OFICIAL y archívese. — Lic. MORA ARQUETA, Directora
Nacional, Registro Nacional de las Personas.
REGISTRO NACIONAL DE LAS PERSONAS
INDICE
1. INTRODUCCION
1.1. Objetivos de la
Política de Seguridad de la Información
2. DEFINICIONES
2.1.
Seguridad de la Información
2.2. Información
2.3. Dato
2.4.
Clasificación de la Información
2.4.1. Datos Críticos
2.5. Sistema
de Información
2.6. Tecnología de la Información
2.7. Recursos
Informáticos
2.8. Recursos Informáticos Personales
2.9. Evaluación
de Riesgos
2.10. Administración de Riesgos
2.11. Incidente de
Seguridad
2.12. Usuario
3. AMBITO DE APLICACION
3.1.
Alcance de la Política de Seguridad del ReNaPer
3.2. Ambito
Funcional
3.3 Ambito Personal
4. ORGANIZACION DE LA
SEGURIDAD
4.1. Comité de Seguridad de la Información
4.2.
Responsables Primarios de la Información
4.3. Coordinación del Comité de
Seguridad de la Información
4.4. Segregación de Funciones
DGTI
4.4.4. Glosario de Funciones
4.5. Designación del Responsable
de Area de Sistemas Informáticos
4.6. Designación del Responsable de Area
de Tecnología y Seguridad
4.7. Responsable del Area de Recursos
Humanos
4.8. Responsable del Area de Capacitación
4.9. Responsable
del Area de Seguridad Física
4.10. Responsable de la Unidad de Auditoría
Interna
4.11. Asignación de Funciones y Responsabilidades de los
Responsables
4.11.1. Responsabilidades del Coordinador del Comité de
Seguridad de la Información
4.11.2. Responsabilidades del Comité de
Seguridad de la Información
4.11.3. Responsabilidades de Responsables
Primarios de Información
4.11.4. Responsabilidades del Area de Sistemas
Informáticos
4.11.5. Responsabilidades del Area de Tecnología y
Seguridad
4.11.6. Responsabilidades del Area de Backup
4.12.
Separación de Funciones
4.12.1. Separación entre Instalaciones de
Desarrollo, Prueba y Producción
4.12.2. Esquema teórico de segregación de
los entornos de Prueba, Producción y Desarrollo
4.12.2.1. Ambiente de
Desarrollo
4.12.2.2. Ambiente de Pruebas
4.12.2.3. Ambiente de
Producción
5. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O
USUARIOS
5.1. Carácter de usuario
5.2.
Confidencialidad
5.3. Identificación y Claves de Acceso
5.4.
Utilización de Equipos Informáticos
5.5. Utilización de Internet y Correo
Electrónico
5.6. Utilización de Programas, Software y Aplicaciones
Informáticas
5.7. Política de Escritorios y Pantallas Limpias
5.8.
Incidencias
6. SEGURIDAD DEL PERSONAL Y/O USUARIOS
6.1.
Objetivo
6.2. Alcance
6.3. Responsabilidades
6.4.
Administradores de Identificación y Acceso
6.4.1. Carácter de
Administrador
6.4.2. Funciones delegadas al Administrador
6.5.
Capacitación del Usuario
6.5.1. Objetivo
6.5.2. Formación y
Capacitación en Seguridad de la Información
7. GESTION DE
INCIDENCIAS
7.1. Objetivo
7.2. Comunicación de incidentes
relativos a la seguridad
7.3. Registro de Incidencias
7.4.
Procedimiento de gestión de incidencias
7.5. Comunicación de Anomalías
del Software
7.6. Aprendiendo de los incidentes
7.7.
Sanciones
8. CLASIFICACION DE ACTIVOS
8.1. Objetivo
8.2.
Alcance
8.3. Responsabilidades
8.4. Inventario de
activos
8.5. Clasificación de la información
8.5.1.
Confidencialidad
8.5.2. Integridad
8.5.3.
Disponibilidad
8.5.4. Criticidad de la Información
8.5. Rotulado
de la Información
9. SEGURIDAD FISICA Y AMBIENTAL
9.1.
Objetivos
9.2. Alcance
9.3. Areas Seguras y de Acceso
Restringido
9.3.1. Perímetro de seguridad física
9.3.2 Areas
Restringidas
9.3.3. Controles de acceso físico
9.4. Seguridad del
equipamiento informático
9.4.1. Objetivo
9.4.2. Ubicación y
protección del equipamiento
9.4.3. Suministro de energía
9.4.4.
Seguridad del cableado
9.4.5. Mantenimiento de equipos
9.4.6.
Seguridad del equipamiento fuera del ámbito de la organización
9.4.7.
Baja segura o reutilización de equipamiento.
9.4.8. Retiro de
Activos
9.4.9. Seguridad de los medios de tránsito
10. GESTION DE
COMUNICACIONES Y OPERACIONES
10.1. Objetivo
10.2.
Responsabilidades
10.3. Procedimientos Operativos de
Documentación
10.4. Gestión de procesamiento externo
10.5.
Planificación y Aprobación de sistemas
10.5.1. Objetivo
10.5.2.
Planificación de la capacidad
10.5.3. Aprobación del sistema
11.
MANTENIMIENTO Y RESGUARDO DE LA INFORMACION
11.1. Objetivo
11.2.
Alcance del Resguardo de la Información
11.3. Controles del Resguardo y
Recupero de la Información
11.4. Administración y Seguridad de los Medios
de Almacenamiento
11.4.1. Objetivo
11.4.2. Administración de
medios informáticos removibles
11.4.3. Eliminación de Medios de
Información
11.5. Resguardo de la información
11.5.1.
Objetivo
11.5.2. Procedimientos de Resguardo y Conservación de
Datos
11.6. Intercambio de información y software
11.6.1.
Objetivo
11.6.2. Acuerdos de Intercambio de Información y
Software
11.6.3. Seguridad de la Interoperabilidad y el Gobierno
Electrónico
11.6.4. Sistemas de Acceso Público y
semi-público
11.6.5. Seguridad frente al acceso por parte de
terceros
12. CONTROL DE ACCESO LOGICO
12.1. Objetivos
12.2.
Responsabilidades
12.3. Política de Control de Accesos
12.4.
Reglas de control de accesos
12.5. Administración de Accesos de
Usuarios
12.5.1. Objetivo
12.5.2. Registración de
Usuarios
12.6. Administración de Privilegios
12.7. Administración
de Contraseñas de Usuario
12.8. Uso de Cuentas con perfil de
Administrador
12.9. Uso de contraseñas
12.10. Control de acceso a
la red
12.10.1. Objetivo
12.10.2. Política de utilización de los
servicios de red
12.10.3. Camino Forzado
12.10.4. Autenticación de
Nodos
12.10.5. Protección de los puertos de diagnóstico
remoto
12.10.6. Computación Móvil y Trabajo remoto
12.10.7.
Subdivisión de Redes
12.10.8. Control de Ruteo de Red
12.10.9.
Seguridad de los Servicios de Red
12.11. Control de acceso al sistema
operativo
12.11.1. Objetivo
12.11.2. Identificación de Puestos de
Trabajo y Servidores
12.11.3. Procedimientos de Conexión
12.11.4.
Identificación y autenticación de los usuarios
12.11.5. Uso de
Utilitarios de Sistemas Operativos
12.11.6. Desconexión por Tiempo Muerto
en Puestos de Trabajo
12.11.7. Limitación del Horario de
Conexión
12.12. Control de Acceso a las Aplicaciones
12.12.1.
Objetivo
12.12.2. Restricción del Acceso a la Información
12.12.3.
Aislamiento de Sistemas
12.13. Monitoreo del Acceso y Uso de los
Sistemas
12.13.1. Objetivo
12.13.2. Monitoreo del Uso de los
Sistemas
13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
13.1.
Objetivo
13.2. Alcance
13.3. Responsabilidades
13.4.
Requerimientos de controles de seguridad
13.5. Seguridad en los sistemas
de Aplicación
13.5.1. Validación de datos de entrada
13.5.2.
Controles de procesamiento interno
13.5.3. Autenticación de
mensajes
13.6. Seguridad en el Ambiente de Producción
13.6.1.
Objetivo
13.6.2. Control del software de producción
13.6.3.
Protección de los datos de prueba del sistema
13.6.4. Control de acceso a
las bibliotecas de programa fuente
13.7. Seguridad en los Entornos
Desarrollo Prueba y Producción
13.7.1. Objetivo
13.7.2.
Procedimientos de control de cambios
13.7.3. Revisión técnica de cambios
en los sistemas operativos
13.7.4. Restricción de cambios en los paquetes
de software
13.7.5. Desarrollo externo de software
13.8. Controles
Criptográficos
13.8.1. Objetivo
13.8.2. Tipos de técnicas
criptográficas
13.8.3. Política de utilización de controles
criptográficos
13.8.4. Criptografía
13.8.5. Firma
Digital
14. PLAN DE CONTINGENCIA
14.1. Objetivos
14.2.
Alcance
14.3. Responsabilidades
14.4. Administración de la
Continuidad de Actividades
14.5. Continuidad de Actividades y Análisis de
Impacto
14.6. Implementación de Planes de Continuidad
14.7. Marco
para los Planes de Continuidad
14.8. Ensayo, Mantenimiento y Revisión de
los Planes de Continuidad
15. GARANTIA DE CUMPLIMIENTO
15.1.
Objetivos
15.2. Alcance
15.3. Responsabilidad
15.4.
Cumplimiento de requisitos legales
15.4.1. Objetivo
15.4.2.
Identificación de la Legislación Aplicable
15.4.3. Derecho de propiedad
intelectual
15.4.4. Derecho de Propiedad Intelectual del
Software
15.4.5 Protección de Datos del Organismo
15.4.6.
Protección de Datos y Privacidad de datos de carácter personal
15.4.7.
Regulación de controles para el Uso de Criptografía y Firma
Digital
15.4.8. Revisiones de la Política de Seguridad
15.5.
Consideraciones de Auditoría de Sistemas
15.6. Sanciones Previstas por
Incumplimiento
1. INTRODUCCION
1.1. Objetivos de la Política de
Seguridad de la Información
El presente documento, Política de Seguridad
de la Información del REGISTRO NACIONAL DE LAS PERSONAS, (en adelante La
Política) tiene por objeto proteger los sistemas de información del REGISTRO
NACIONAL DE LAS PERSONAS (en adelante ReNaPer), sus bases de datos, la
información allí alojada y la tecnología utilizada para su
procesamiento.
La seguridad de la información requiere la implementación
de un complejo conjunto de controles, que abarque políticas, prácticas,
procedimientos, estructuras organizacionales y funciones de software, entre
otros, de modo que los medios técnicos queden respaldados dentro de una gestión
planificada en materia de seguridad, que atienda a las vulnerabilidades y fallas
internas como asimismo a las posibles amenazas externas, sean deliberadas o
accidentales, tales como intrusiones, ataques físicos y lógicos e
incidencias.
La Política recoge las medidas de seguridad establecidas con
el fin de asegurar la confidencialidad, integridad, disponibilidad, legalidad y
confiabilidad de los sistemas de información y de los datos, cuando sean
tratados por agentes, funcionarios, trabajadores en el ejercicio de sus
funciones, y aquellos prestadores de servicios y/o reparticiones públicas que el
ReNaPer requiera para acometer sus objetivos.
Para la determinación las
citadas medidas de seguridad, han sido tenidas en cuenta las pautas fijadas en
los Decretos Nº 103 del 25 de enero de 2001, Nº 378 de 27 del abril de 2005, Nº
258 de 24 de Junio de 2003, Nº 512 del 7 de mayo de 2009, la Ley Nº 25.326 de
Protección de Datos Personales y su Decreto reglamentario Nº 1558/2001, la Ley
Nº 11.723 de Propiedad Intelectual, la Ley 17.671 de Identificación, Registro y
Clasificación el Potencial Humano Nacional, la Ley Nº 25.188 de Etica en el
ejercicio de la Función Pública, la Ley 25.164 de Regulación del Empleo Público
Nacional, el Convenio Colectivo de Trabajo General, la norma ISO 17.799, el
Manual Cobit 4.1, la Decisión Administrativa Nº 669/2004, la Resolución Nº
104/2012 del Ministerio del Interior y Transporte y la Disposición de la OFICINA
NACIONAL DE TECNOLOGIAS DE LA INFORMACION de la SUBSECRETARIA DE LA GESTION
PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 6 de 3 de agosto de
2005.
2. DEFINICIONES
A los efectos de este documento se aplican
las siguientes definiciones:
2.1. Seguridad de la Información: La
seguridad de la información se entiende como la preservación de las siguientes
características:
• Confidencialidad: se garantiza que la información sea
accesible sólo a aquellas personas autorizadas a tener acceso a la
misma.
• Integridad: se salvaguarda la exactitud y totalidad de la
información y los métodos de procesamiento.
• Disponibilidad: se
garantiza que los usuarios autorizados tengan acceso a la información y a los
recursos relacionados con la misma, toda vez que lo requieran.
•
Autenticidad: busca asegurar la validez de la información en tiempo, forma y
distribución. Asimismo, se garantiza el origen de la información, validando el
emisor para evitar suplantación de identidades.
• Auditabilidad: define
que todos los eventos de un sistema deben poder ser registrados para su control
posterior.
• Protección a la duplicación: consiste en asegurar que una
transacción sólo se realiza una vez, a menos que se especifique lo
contrario.
• No repudio: consiste en implementar mecanismos que eviten
que una entidad niegue haber enviado información efectivamente emitida.
•
Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o
disposiciones a las que está sujeto el ReNaPer.
• Confiabilidad de la
Información: la información generada será adecuada para sustentar tomas de
decisiones y la implementación de funciones y objetivos
organizacionales.
• Privilegio: Para los sistemas multiusuario o de red,
indica una característica o servicio que permite a un usuario pasar por alto
determinados controles de seguridad de los sistemas y recursos de
información.
2.2. Información: Es todo conocimiento que puede
representarse y transmitirse en formas textuales, numéricas, gráficas,
cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea
magnético, en papel, en pantallas de computadoras, medios audiovisuales,
telefonía u otros.
Se considera que la información es el activo más
importante de toda organización.
2.3. Dato: Unidad de la
información.
2.4. Clasificación de la Información: en datos sensibles
personales y datos sensibles organizacionales. Los primeros refieren a datos de
carácter personal de origen racial o étnico, ideología, creencias religiosas o
filosóficas, afiliación sindical, salud o vida sexual. Los datos sensibles
organizacionales, refieren a temas propios de una organización, cuya difusión
pública aumentaría el riesgo de amenazas a la información.
2.4.1. Datos
Críticos: Información cuya indisponibilidad puede afectar el normal
funcionamiento de una organización.
2.5. Sistema de Información: Conjunto
independiente de recursos de información organizados para la recopilación,
procesamiento, mantenimiento, transmisión y difusión de información según
determinados procedimientos, tanto automatizados como manuales.
2.6.
Tecnología de la Información: Hardware y software operados por el ReNaPer o por
un tercero que procese información en su nombre, para llevar a cabo una función
propia del Organismo. Comprende la tecnología que permite generar información
basada en procesos computacionales, de telecomunicaciones, de impresión en papel
por algún medio específico o cualquier otro tipo.
2.7. Recursos
Informáticos: Para cumplimentar los objetivos impuestos, el ReNaPer pone a
disposición de los usuarios una serie de recursos informáticos de su propiedad.
Son recursos informáticos todos aquellos componentes de hardware, software y
tecnología relacionadas, cuyo objetivo es el de generar, archivar, procesar o
transmitir información.
2.8. Recursos Informáticos Personales: Se trata
de elementos informáticos, de propiedad de los usuarios, que se hallan a
disposición del ReNaPer. La utilización indebida de estos recursos en el ámbito
de la Organización puede poner en riesgo a la información.
2.9.
Evaluación de Riesgos: Evaluación de las amenazas y vulnerabilidades relativas a
la información y a las instalaciones de procesamiento de la misma, la
probabilidad de que ocurran y su potencial impacto en la operatoria del
Organismo.
2.10. Administración de Riesgos: Es el proceso de
identificación, control, minimización o eliminación de los riesgos de seguridad
que afectan a la información, dentro de un costo aceptable. Este proceso es
cíclico y debe llevarse a cabo en forma periódica.
2.11. Incidente de
Seguridad: Todo evento que pueda comprometer a la seguridad de los datos,
afectando la confidencialidad, la integridad, la disponibilidad, la legalidad y
la confiabilidad de la información.
2.12. Usuario: Persona física u
Organismo, que utiliza los recursos informáticos que el ReNaPer pone a su
disposición. Un usuario que requiera el acceso a un recurso informático deberá
poseer una cuenta que los acredite frente al mismo, llamada cuenta de acceso.
Los usuarios de la información y de los sistemas informáticos del ReNaPer pueden
ser:
• personal jerárquico perteneciente al ReNaPer,
• agentes del
ReNaPer, bajo sus diversas formas de contratación,
• personal que guarde
alguna relación con el ReNaPer,
• terceras partes, no pertenecientes al
Organismo, y que acceden a datos o sistemas del ReNaPer,
• organismos que
acceden a datos o sistemas del ReNaPer, en virtud de acuerdos o
contratos.
3. AMBITO DE APLICACION
3.1. Alcance de la Política de
Seguridad del ReNaPer
La presente Política de Seguridad de la Información
se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de
gestionar adecuadamente la seguridad de la información, los sistemas
informáticos y el ambiente tecnológico del ReNaPer.
La Política de
Seguridad de la Información debe ser conocida y cumplida por todo el personal
del ReNaPer, sean funcionarios políticos o técnicos, y dentro de cualquier nivel
jerárquico o situación vinculante. A tal fin, debe ser comunicada a todos los
usuarios del ReNaPer, de manera pertinente, accesible y comprensible.
La
presente Política también alcanza a todos aquellas personas físicas o jurídicas
que, aún sin pertenecer al ReNaPer, hacen uso, en calidad de usuario, de los
sistemas informáticos y/o de la información disponible.
3.2. Ambito
Funcional
La Política alcanza a todo el ámbito del ReNaPer, a sus
recursos y a la totalidad de los procesos (sean manuales o digitales), y es de
aplicación única y exclusiva al ReNaPer, a los organismos que de él dependen, a
las oficinas que el Organismo posee en territorio o jurisdicción argentina, y a
aquellas reparticiones públicas o agentes en quienes el ReNaPer delegue la
realización de cualquier función dentro del marco de sus competencias
especificas y delegadas, en el marco de lo dispuesto en la Ley Nº 17671 de
Identificación, Registro Y Clasificación Del Potencial Humano
Nacional.
El ReNaPer ostenta la condición de último responsable de los
sistemas de información y bases de datos que gestionen todos los organismos,
agentes y reparticiones públicas que operan bajo su mandato, como así también es
titular de los sistemas y bases de datos propias y exclusivas para el ejercicio
de funciones centralizadas.
3.2. Ambito Personal
Se encuentran
obligadas al cumplimiento de las prescripciones legales aquí establecidas, las
siguientes:
• Quienes presten servicios para el ReNaPer, ya sea de forma
directa o indirecta, y se trate de persona física o jurídica, pública o privada,
u organismo; cualquiera que sea la naturaleza de la relación jurídica que le una
con la misma incluyendo al personal de empresas de servicios contratados por el
RENAPER, que de algún modo pudieran tener acceso a información y/o
documentación.
• Toda entidad o persona física o jurídica, pública o
privada que, por la labor que desempeñe, tenga o pueda tener acceso directo y/o
remoto a las instalaciones, sistemas de información y/o aplicaciones
informáticas mediante los cuales el ReNaPer lleva a cabo su actividad
centralizada y/o presta servicios al ciudadano.
• Todo usuario, sea de
planta de personal del Organismo como personal contratado, tanto se trate de
funcionarios políticos como técnicos, sea cual fuere su nivel jerárquico y
situación de revista.
El ReNaPer se hace responsable de la labor de
formar e informar a quienes, por su condición de usuarios, se encuentren bajo el
ámbito de aplicación de la presente. Asimismo, el Coordinador del Comité de
Seguridad de la Información, el Responsable de Seguridad Informática, los
Responsables de Area, los Administradores y Usuarios, serán instruidos para
cumplir con las funciones que les sean encomendadas en este documento e
informados de las responsabilidades que su cargo les atribuye.
4.
ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION
4.1. Comité de Seguridad
de la Información
Se crea el Comité de Seguridad de la Información,
dentro del ámbito del ReNaPer, siendo sus funciones las estipuladas en el
Artículo 4° de la Decisión Administrativa Nº 669 del 20 de diciembre de
2004.
El Comité de Seguridad de la Información, es un cuerpo integrado
por representantes de todas las áreas sustantivas del ReNaPer, destinado a
garantizar el apoyo manifiesto de las autoridades a las iniciativas de
seguridad.
El Comité de Seguridad de la Información revisará anualmente
la presente Política, a efectos de mantenerla actualizada, asegurar su vigencia
y nivel de eficacia.
El Comité de Seguridad de la Información del
Organismo:
• propone a la máxima autoridad del ReNaPer la Política de
Seguridad de la Información y las funciones generales en materia de seguridad de
la información,
• supervisa la investigación y monitoreo de incidentes
relativos a la seguridad,
• garantiza que la seguridad sea parte de un
proceso de planificación de la información,
• evalúa y coordina la
implementación de controles específicos de seguridad de la información para
nuevos sistemas o servicios,
• promueve la difusión y apoyo a la
seguridad de la información dentro del Organismo frente a interrupciones
imprevistas.
4.2. Responsables Primarios de la Información
•
Autoridad Máxima: Aprueba esta Política, así como sus modificaciones.
•
Responsables de Unidades Organizativas, tanto autoridades políticas como
personal técnico, y sea cual fuere su nivel jerárquico: Son responsables de la
implementación y del cumplimiento de la Política de Seguridad de la Información
dentro de sus áreas de responsabilidad.
Son responsables de:
•
clasificar la información según un nivel de sensibilidad y criticidad,
•
documentar y mantener actualizada la clasificación de la información,
•
definir los usuarios que tendrán permisos de acceso a la información, de acuerdo
a sus funciones y competencia.
Se determina que cada Director General,
Director o responsables de Unidades Organizativas o equivalentes, con uso y
manejo de la información pertinente a su área, serán los responsables primarios
de la información allí alojada. El responsable primario puede delegar la
administración de sus funciones a personal idóneo a su cargo, conservando la
responsabilidad del cumplimiento de las mismas.
La delegación por parte
de los responsables primarios será documentada y remitida a la Dirección General
de Tecnologías de la Información.
4.3. Coordinación del Comité de
Seguridad de la Información
En virtud del Artículo 3° de la Decisión
Administrativa Nº 669/2004, se asignan las funciones relativas a la coordinación
del Comité de Seguridad al Sr. Director General de la Dirección General de
Tecnologías de la Información del ReNaPer, en adelante el Coordinador del Comité
de Seguridad de la Información, quien impulsará la implementación y cumplimiento
de la presente Política.
4.4. Segregación de Funciones
En la
confección del organigrama de la Dirección General de Tecnologías de la
Información del ReNaPer (en adelante, DGTI), se prestará especial atención a las
incompatibilidades existentes entre las funciones de un sector específico, con
respecto a las actividades desempeñadas por otros.
Para el supuesto que,
debido a la estructura de recursos humanos que componen la DGTI- ReNaPer, no
pueda segregarse alguna de las funciones antes citadas, y se acumulen en un
agente varias actividades, se compensará mediante la implementación de controles
por oposición de intereses. El resguardo documental de las medidas adoptadas a
tales efectos, se conservarán por un plazo no inferior a dos años para su
posterior revisión por la Unidad de Auditoría Interna del ReNaPer.
El
mapa de segregación de funciones e incompatibilidades se divide en tres áreas a
efectos de la organización de gobierno de Tecnología de la Información, a saber:
Comité Directivo; Area de Sistemas, y Area de Tecnología y Seguridad,
representado por la división de colores.
En el cuadro, donde se indica la
intersección de dos funciones mediante la sigla “NO”, se refiere a que la DGTI
deberá tomar medidas en la segregación de tareas, a efectos de evitar su
concentración.
Cuando la intersección de dos funciones se referencia con
la sigla “X”, implica que preferentemente estas tareas no deberían recaer en un
mismo sector, y en el caso que las mismas estuviesen concentradas, deberán
evidenciarse claras medidas de control compensatorio.
4.4.4. Glosario de
Funciones
• PROGRAMACION: diseño y desarrollo de aplicaciones de
software.
• CONTROL DE CALIDAD: prueba y homologación de software para la
puesta en producción.
• ADMINISTRADOR DE BACKUP Y OTROS: custodia, guarda
y mantenimiento de datos y software almacenados en distintos medios y
soportes.
• ADMINISTRADOR DE BASES DE DATOS: define y da mantenimiento a
la estructura de los datos de las aplicaciones que utilizan los
software.
• ADMINISTRADOR DE REDES: administra y controla la red
local.
• ADMINISTRADOR DE TELECOMUNICACIONES: administra y controla la
red WAN.
• ADMINISTRADOR DE SISTEMAS OPERATIVOS: mantenimiento y puesta
en producción de software de sistemas aplicativos.
• MESA DE AYUDA /
SOPORTE: respuesta y asesoramiento a usuarios.
• USUARIO: quien usa los
sistemas aplicativos.
• ADMINISTRADOR DE PERFILES: quien define la
relación entre los perfiles de usuarios conforme las funciones que estos pueden
realizar.
• ARQUITECTO DE POLITICAS Y PERFILES DE ACCESO: diseño de
normas internas en seguridad de la información, perfiles de usuario y perfiles
de acceso a la información.
• MONITOREO DE SEGURIDAD DE LA INFORMACION:
seguimiento del cumplimiento de normas y del tratamiento de los
activos.
4.5. Designación del Responsable del Area de
Sistemas Informáticos
Las funciones relativas a la seguridad informática
de los sistemas informáticos del ReNaPer se encuentran a cargo del Director
General de Tecnología de la Información - ReNaPer.
4.6. Designación del
Responsable de Seguridad
Las funciones relativas a seguridad informática
de las tecnologías relativas al ReNaPer se encuentran a cargo de la Coordinación
de Seguridad Informática.
4.7. Responsable del Area de Recursos
Humanos
Cumple la función de:
• notificar a todo el personal las
obligaciones respecto del cumplimiento de la Política de Seguridad de la
Información, y de todas las normas, procedimientos y prácticas que de ella
surjan;
• comunicar la presente Política a todo el personal, así como de
los cambios que en ella se produzcan;
• implementar la suscripción a los
compromisos de confidencialidad y notificaciones de responsabilidad que se
dicten, para el tratamiento de la información.
4.8. Responsable del Area
de Capacitación
Cumple la función de:
• generar y coordinar tareas
de capacitación continua en materia de seguridad;
• asistir al personal
del ReNaPer en materia de seguridad de la información, privacidad,
procedimientos adecuados para el uso de sistemas informáticos, activos y
recursos del Organismo.
4.9. Responsable del Area de Seguridad
Física
Cumple la función de:
• cubrir los requerimientos ambientales
que permitan que los recursos informáticos del ReNaPer funcionen en forma
segura;
• definir e implementar tareas de mantenimiento de edificios,
oficinas y todas las instalaciones donde estén ubicados los equipos de
procesamiento de la información, y donde se almacene o archive información, sea
ésta en formato papel u otros;
• atender las tareas relativas a la
seguridad física y controles de acceso físico al ámbito del
ReNaPer.
4.10. Responsable de Unidad de Auditoría Interna
Las
funciones relativas a la auditoría en materia de seguridad informática relativas
al ReNaPer se desarrollan mediante la Unidad de Auditoría Interna del ReNaPer.
La Unidad de Auditoría Interna podrá realizar revisiones independientes sobre la
vigencia y el cumplimiento de la presente Política.
4.11. Asignación de
Funciones y Responsabilidades de los Responsables
4.11.1.
Responsabilidades del Coordinador del Comité de Seguridad de la
Información
El Coordinador del Comité de Seguridad de la Información
tendrá a su cargo:
• impulsar la implementación de la presente
Política;
• convocar a las asambleas ordinarias y extraordinarias que se
celebren con motivo de la implementación de la presente Política y sus
procedimientos; incidencias y optimizaciones, las que se celebrarán con una
periodicidad mínima mensual;
• monitoreo de seguridad de la información,
mediante el seguimiento del cumplimiento de normas y del tratamiento de los
activos.
4.11.2. Responsabilidades del Comité de Seguridad de la
Información
El Comité de Seguridad de la Información tendrá a su
cargo:
• gestionar la aprobación de la presente Política, ante la máxima
autoridad del organismo;
• efectuar periódicas revisiones de la presente
Política y gestionar la aprobación de las modificaciones que se
efectúen;
• seguimiento de las actividades relativas a la seguridad de la
información, dentro de cada área: análisis de riesgos, monitoreo de incidentes,
supervisión de la investigación, implementación de controles, administración de
la continuidad, etc.;
• impulsar procesos de concientización de los
usuarios del ReNaPer;
• proponer la asignación de
funciones.
4.11.3. Responsabilidades de los Responsables Primarios de
Información
Los Responsables Primarios de Información tendrán a su
cargo:
• Proceso de Autorización de Acceso a Recursos
Informáticos
El acceso a los recursos informáticos, nuevos o existentes,
será autorizado por los responsables de las Unidades Organizativas involucradas,
considerando su propósito y uso, en conjunto con el Responsable de Seguridad y
Tecnología. Con ello, se garantiza el cumplimiento de las Políticas y
requerimientos de seguridad pertinentes. Debe garantizarse una adecuada
compatibilidad entre todos los componentes informáticos del Organismo (hardware,
software, aplicativos, dispositivos de comunicaciones, dispositivos de
almacenamiento, etc.).
• Utilización de Recursos Informáticos
Personales
La utilización de recursos y activos personales de los
usuarios para llevar a cabo tareas laborales para el ReNaPer se encuentra
prohibida. Sin embargo, el uso de efectos personales para la ejecución de tareas
podrá suceder, previa autorización escrita del Responsable Primario del sector
correspondiente, y evaluada en cada caso por el Responsable de Seguridad y
Tecnología. Se aprobará el uso de un recurso personal en el caso que éste no
aporte riesgos a la información del Organismo.
4.11.4. Responsabilidades
del Area de Sistemas Informáticos
El Responsable del Area de Sistemas
Informáticos del ReNaPer, tiene a su cargo las siguientes funciones:
•
cubrir los requerimientos de seguridad de la información establecidos para la
operación, administración y comunicación de las bases de datos, de los sistemas
y los recursos de tecnología del ReNaPer;
• verificar la aplicación de
las medidas de seguridad y procedimientos necesarios para la proteger la
información del ReNaPer;
• controlar las tareas de desarrollo y
mantenimiento, siguiendo una metodología apropiada para el ciclo de vida de los
sistemas, contemplando la inclusión de medidas de seguridad en los sistemas en
todas las fases;
• atender las tareas relativas a la seguridad de los
sistemas de información del ReNaPer, entre otras, que en la fase de pruebas de
los sistemas de información, éstas no se efectúen con datos personales
reales;
• supervisar todos los aspectos inherentes a su área de
competencia tratados en la presente Política;
• prueba y homologación de
software para la puesta en producción.
Para llevar correctamente la
multiplicidad de actuaciones encomendadas, el Responsable de Area de Sistemas
Informáticos podrá delegar en quien/es considere, la ejecución de parte o de la
totalidad de cualquiera de las tareas a su cargo, debiendo constar el alcance de
su autorización y quienes resulten autorizados, mediante la constancia formal,
la que se efectuará por escrito.
Además, el Responsable de Sistemas
registrará las actividades realizadas en los aplicativos en Producción. Se
incluirán los siguientes controles, según corresponda:
• tiempo de uso de
los sistemas;
• errores en los sistemas y medidas correctivas
tomadas;
• intentos de acceso a sistemas, recursos e información crítica
o confidencial;
• tipos de archivos almacenados en los
servidores;
• ejecución de operaciones críticas;
• control de
cambios a información crítica.
Asimismo, el Responsable de Sistemas debe
implementar controles para garantizar la seguridad de los datos y la protección
contra el acceso no autorizado a los servicios conectados. Se debe considerar lo
siguiente:
• Las funciones de operación, soporte y administración de las
redes y servidores estarán separadas de las correspondientes a operaciones y
soporte de los puestos de trabajo.
• Procedimientos y responsabilidades
para la administración del acceso remoto a las redes del ReNaPer, así como el
acceso remoto a puestos de trabajo dentro de las mencionadas redes:
•
Controles especiales para proteger datos y sistemas del ReNaPer que circulan o
se conectan hacia redes ajenas.
• Actividades de supervisión tanto para
optimizar los servicios de redes como para garantizar que los controles se
aplican uniformemente en toda la infraestructura de procesamiento de
datos.
Dentro del ambiente de Producción, los cambios a la programación
deberán tener un registro de auditoría que contenga toda la información
relevante. Debe procurarse que los procedimientos de control de cambios sobre
las operaciones y aplicaciones se hallen integrados. Se considerarán los
siguientes ítems:
• identificación y registro de cambios
significativos,
• evaluación del posible impacto de dichos
cambios,
• procedimiento de aprobación formal de los cambios
propuestos,
• comunicación de detalles de cambios a los Responsables
Primarios de las áreas afectadas,
• planificación del proceso de
cambio,
• testeo de los cambios en un ambiente de prueba,
•
proceso de implementación en el ambiente de Producción,
• determinación
de responsabilidades por la cancelación de cambios y los procesos de
recuperación.
4.11.5. Responsabilidades del Area de Tecnología y
Seguridad
El Responsable del Area de Tecnología y Seguridad del ReNaPer
tiene a su cargo las siguientes funciones:
• Incluir en los contratos con
los distintos proveedores de servicios y tecnología, o de bienes y servicios que
afecten directa o indirectamente a los activos de información la obligatoriedad
del cumplimiento de la Política de Seguridad de la Información y de todas las
normas, procedimientos y prácticas relacionadas.
• Definir, coordinar y
supervisar los procesos de Autorización de Acceso a Recursos Informáticos,
gestión de perfiles de acceso a aplicaciones y sistemas informáticos e
Utilización de Recursos Informáticos Personales.
• Asistir en la toma de
decisiones que involucren a la seguridad, pudiendo recurrirse al asesoramiento
de terceros.
• Constituirse en enlace entre el ReNaPer y otros organismos
a efectos de intercambiar experiencias y obtener asesoramiento para el mejorar
prácticas y controles de seguridad.
• Analizar los perfiles de acceso y
riesgos de accesos internos y de terceras partes a la información del Organismo
para optimizar procesos.
• Administrar y controlar las redes locales y
WAN.
• Coordinar la mesa de ayuda/soporte que da respuesta y
asesoramiento a usuarios.
• Definir normas internas y procedimientos en
seguridad de la información.
• Coordinar los sistemas de gestión de
calidad de los servicios prestados por el ReNaPer mediante aplicaciones de
software.
• Velar por el cumplimiento de la Política de contraseñas
vigente, en cuanto al mantenimiento de la confidencialidad de las mismas, y su
modificación periódica.
• Velar por la aplicación de medidas de control
del acceso físico a los locales donde se encuentren ubicados los sistemas de
información.
4.11.6. Responsabilidades del Administrador de
Backup
El Responsable de las copias de resguardo y backup del ReNaPer,
tiene a su cargo las siguientes funciones:
• Ejecución de los
procedimientos de realización de copias de respaldo y recuperación de datos, en
cumplimiento de la periodicidad establecida para ello.
• Empleo de un
Registro de entrada y salida de soportes informáticos, y la aplicación de un
Sistema que permita identificar, inventariar y almacenar en lugar seguro los
soportes informáticos que contienen datos de carácter personal. Asimismo, deberá
comprobar que se imposibilita la recuperación indebida de la información
almacenada en soportes informáticos que vayan a salir fuera de los locales en
que se encuentre ubicado el fichero.
• Corroboración de la aplicación
referido a las medidas de seguridad indicadas en la Política cuando un soporte
vaya a ser desechado o reutilizado.
4.12. Separación de
funciones
Una concentración de tareas puede aumentar el riesgo de
modificaciones no autorizadas, o mal uso de la información y los servicios,
debido a la concentración de tareas. Por ello, se debe implementar una
separación de funciones, tareas y áreas de responsabilidad.
En caso que
sea difícil tal separación, se tendrán en cuenta controles, como el monitoreo de
actividades, pistas de auditoría y la supervisión, por parte de los
Responsables. Se implementarán controles tales como:
• Monitoreo de
actividades.
• Registros de auditoría y control periódico de los
mismos.
• Supervisión por parte de la Unidad de Auditoría Interna. Esta
actividad será independiente al área que genera las actividades
auditadas.
4.12.1. Separación entre Instalaciones de Desarrollo, Prueba y
Producción
Se debe definir correctamente la identificación de roles y
actividades involucradas en los ambientes de Desarrollo, Prueba y Producción,
pues la ausencia de segregación entre las mismas puede ocasionar problemas en el
ambiente de Producción, tales como la modificación no deseada de archivos,
sistemas o datos.
Atento ello, debe verificarse un nivel de separación
adecuado entre los ambientes y funciones de Producción, Prueba y Desarrollo, a
fin de prevenir problemas operativos (ver cuadro de compatibilidades y
segregación de funciones).
Según el entorno, debe atenderse, entre otras,
a las siguientes vulnerabilidades:
• En entorno de Prueba, una
instalación identificada y estable permite llevar a cabo pruebas significativas,
impidiendo accesos inadecuados por parte del personal de Desarrollo.
• En
ambiente de Producción, una alteración no autorizada de datos posibilitaría la
generación de fraude. La introducción de líneas de código no autorizado o
probado facilitaría el funcionamiento de programas maliciosos, causando serios
problemas operativos y amenazas a la confidencialidad de la información, además
de consecuencias sociales y legales.
• Para reducir el riesgo de cambios
accidentales o accesos no autorizados, deben definirse las reglas para la
transferencia de software desde el ambiente de Desarrollo al de Pruebas, y
posteriormente del ambiente de Pruebas al de Producción.
A fin de
efectuar una correcta separación de las actividades desarrolladas en cada
entorno, se estima conveniente establecer lo siguiente:
• Los ambientes
de Desarrollo, Prueba y Producción estarán separados de forma física, y el
software de cada ambiente se ejecutará en diferentes procesadores, dominios y/o
directorios, y las actividades de cada ambiente deben estar claramente
establecidas. Si no es posible una segregación física de ambientes, se
implementarán controles para la separación lógica de funciones en cada uno de
los ambientes.
• Los sistemas en Producción no deben acceder a
compiladores, editores u otros utilitarios de Desarrollo, a menos que se lo
requiera para su funcionamiento.
• Los sistemas de Prueba y Producción
tendrán distintos esquemas de autenticación y perfiles de usuario.
• Un
usuario que deba acceder tanto a los ambientes de Prueba, como de Producción, lo
hará con cuentas de usuario distintas.
• Cada uno de los ambientes de
procesamiento debe tener un Responsable Primario de la información.
• El
personal de desarrollo no podrá tener acceso a los ambientes de Prueba o de
Producción. De requerirse tal contingencia, el Responsable de Sistemas
establecerá un procedimiento para la autorización, documentación y registro de
dichos accesos.
• Toda aplicación generada en el sector de Desarrollo, o
adquirida a un proveedor, es migrada en algún momento a un ambiente de
Producción, para su acceso por parte de los usuarios. Los controles de esta
transferencia deben ser rigurosos, para asegurar que no se instalen programas
fraudulentos y se originen serios problemas operativos.
• Es conveniente
implementar un aplicativo que administre versiones y transfiera programas entre
los ambientes, contando con un registro de control.
4.12.2. Esquema
teórico de segregación de los entornos de Prueba, Producción y
Desarrollo
En el presente acápite se presenta un modelo compuesto por
tres ambientes. Este esquema se flexibilizará para adaptarlo a las
características, equipos y capacidades instaladas en el
ReNaPer.
4.12.2.1. Ambiente de Desarrollo
En este ambiente se
desarrollan los programas fuentes y se almacena la información relacionada con
el análisis y diseño de los sistemas.
El desarrollador tiene total
dominio sobre el ambiente. Un sistema registra el control de versiones. Se
designa a un Administrador de programas fuentes, quien gestionará el versionado
de los aplicativos en Desarrollo.
El desarrollador realiza las pruebas
con los datos existentes en las bases de Desarrollo.
Cuando el
desarrollador considera que el programa está terminado, se implementa el pase al
ambiente de Pruebas. En tal operación se debe incluir toda la documentación
necesaria (requerimientos de instalación, librerías, estructura de carpetas y
permisos, diccionario de la base de datos, scripts, etc.).
4.12.2.2.
Ambiente de Pruebas
En este ambiente se testean los programas fuente
desarrollados, en condiciones que simulan un ambiente de Producción. Por ende,
el ambiente de Pruebas tendrá las mismas características que el de Producción
(sistema operativo, software de base, etc.).
El implementador de este
ambiente, o testeador, recibe el programa y la documentación enviada por el
desarrollador. Se efectúa una prueba general con un lote de datos establecido a
tal efecto —valores extremos, datos de la base de pruebas, etc.—. La actividad
será efectuada, de ser posible, junto al usuario final.
Los
desarrolladores, o los proveedores de los aplicativos, no deben acceder a datos
de Producción utilizados para testing en el ambiente de Prueba, salvo casos de
excepción debidamente justificados.
Se aprueba el sistema en el ambiente
de Pruebas cuando:
• no se detectan errores de ejecución,
• no se
afecta el funcionamiento ni la performance del sistema operativo y demás
componentes del ambiente,
• los resultados de las rutinas de seguridad se
corresponden con las especificaciones,
• se considera que la
documentación presentada es completa.
En caso de aprobación, se remite el
programa fuente al sector de Producción, por medio de un sistema de control de
versionado. Asimismo, se entrega toda la documentación necesaria
(características de instalación, librerías, estructura de carpetas y permisos,
diccionario de la base de datos, scripts, etc.).
En caso de
desaprobación, se devuelve el programa al desarrollador, junto con un detalle de
las observaciones.
4.12.2.3. Ambiente de Producción
En este
ambiente se ejecutan los procesos y datos productivos. Las implementaciones
serán realizadas por un administrador de ambientes, o implementador.
Los
programas fuente aprobados se almacenan en un repositorio de fuentes de
producción, mediante un sistema de control de versiones. El control de versiones
indicará los datos del programador, fecha, hora y tamaño de los programas
fuente, objeto, librerías, modelo de datos de las bases, parámetros,
etc.
El implementador instala el sistema tomándolo desde el ambiente de
Pruebas, asegurando una correspondencia unívoca entre ambientes. Los
procedimientos de instalación alcanzarán, además, a todos los elementos que
formen parte del sistema.
Toda modificación al software de base (Sistema
Operativo, motores de bases de datos, productos middleware, etc.) debe seguir
pasos idénticos.
Ni el personal de Desarrollo, ni el proveedor de los
aplicativos deben tener acceso al ambiente de Producción, salvo casos de
excepción debidamente justificados.
El Responsable Primario de la
Información debe autorizar todos los accesos a Producción.
El Responsable
de Sistemas y Seguridad Informática implementará los accesos autorizados.
Asimismo, efectuará monitoreo de los trabajos realizados, elevando informes al
Responsable Primario y al Comité de Seguridad, cuando corresponda.
5.
FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O USUARIOS
5.1. Carácter de
usuario asistencia
Se considera usuario al sujeto autorizado para acceder
a sistemas y/o recursos informáticos del ReNaPer, y/o a quien se le ha asignado
una cuenta de correo electrónico y/o autorizado a acceder a bases de datos,
sistemas, aplicaciones o cualquier recurso informático de titularidad del
ReNaPer, sean estos manuales y/o automatizados.
Quien mantenga una
relación de carácter laboral bajo cualquier modalidad de contratación con el
ReNaPer, y tenga autorizado el acceso a las bases de datos o los sistemas
informáticos, Internet o Intranet y, en general, a cualquier dato alojado en
cualquier tipo de soporte, quedará sujeto al control de su actividad por los
Responsables de Seguridad Informática designados por el ReNaPer, y obligado a
cumplir las medidas de seguridad aquí descriptas.
El ReNaPer arbitrará
los medios necesarios para garantizar el efectivo conocimiento por los usuarios
sobre los derechos y obligaciones que le asisten, y se compromete a informarles
sobre cualquier cambio que se haga al mismo en el futuro, cuya aplicación no
será retroactiva.
Asimismo, cada usuario firmará el COMPROMISO DE
CONFIDENCIALIDAD, POLITICA DE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS,
que obra como Anexo II del presente, por el cual se compromete a guardar el
secreto y la confidencialidad de los datos de carácter personal que trata con
motivo de sus funciones, y a cumplir con lo dispuesto en la Política en materia
de seguridad informática.
5.2. Confidencialidad de la
información
Mientras dure la relación laboral o de prestación de
servicios (cualquiera sea la situación de revista), así como una vez se haya
extinguido la misma, los usuarios tienen expresamente prohibido comunicar
procedimientos, información alojada en las bases de datos, trabajos encomendados
por su empleador incluidos en las bases de datos y, en general, divulgar
cualquier dato que hayan conocido por razón de su trabajo en el
ReNaPer.
Todos los documentos, independientemente del soporte en el que
se encuentren, relacionados con las actividades del ReNaPer, son propiedad del
mismo; estando obligado todo trabajador o autorizado a tratar los datos, a
devolverlos cuando así le sea solicitado por el ReNaPer o con motivo de la
extinción del vinculo laboral.
Todo usuario autorizado al acceso o
tratamiento de datos de carácter personal de titularidad del ReNaPer, queda
obligado legalmente al secreto profesional respecto de los mismos como así
también de los procesos a los que estos datos son sometidos, conservados y
tratados, incluso una vez extinguida la relación laboral o de colaboración que
le une con el ReNaPer.
Lo expuesto anteriormente supone que queda
absolutamente prohibido:
• Utilizar, divulgar, manipular o ceder los
datos de los ciudadanos para finalidades diferentes o que excedan de la órbita
de las funciones laborales del usuario.
• Revelar, permitir o facilitar
el acceso a la información contenida en las bases de datos del ReNaPer
(automatizadas y en papel), por ningún tipo de medio (telefónico, escrito,
telemático, etc.) a terceras personas ajenas a la misma sin autorización del
titular de dichos datos, así como a otros trabajadores del Organismo que, por
sus funciones, no tengan autorizado el acceso a los mismos.
• Recopilar
información acerca de personas que formen parte de las bases de datos del
ReNaPer.
• Anotar marginalmente en los sistemas del ReNaPer y documentos
emitidos por el ReNaPer, observaciones o comentarios acerca de personas, con
excepción de cuando así se lo exija al personal, o se desprenda de la naturaleza
de la función que ocupa.
• Manipular, falsear o modificar los datos y/o
el soporte que los contienen (papel o automatizado) de un modo no previsto
conforme al buen saber y entender del trabajador, y a lo que se infiere como
consecuencia de las actividades que le son propias.
En caso de plantearse
dudas sobre los permisos de acceso a los datos, debe consultarse al
Administrador y/o Supervisor.
5.3. Identificación y Claves de
Acceso
Las contraseñas personales constituyen uno de los componentes
básicos de la seguridad. Al darse de alta un usuario en el sistema operativo, el
Administrador le asignará de forma individualizada, un identificador de usuario
y una contraseña, conforme a su perfil de usuario.
Los números de
identificación y las claves de acceso serán estrictamente confidenciales y
personales, y cada identificación debe pertenecer a un solo usuario.
El
usuario debe cambiar la contraseña proporcionada en el primer acceso al sistema,
por una clave de su exclusivo conocimiento. La contraseña deberá constar de no
menos de OCHO (8) caracteres y ser alfanumérica. Asimismo, se recomienda cambiar
la contraseña cada lapso no superior a TRES (3) meses, por una distinta de la
anterior.
Debido que las contraseñas tienen carácter personal e
intransferible, queda absolutamente prohibido comunicar a persona distinta del
propio interesado, el identificador de usuario y la contraseña.
Si el
usuario desea guardar su clave, deberá hacerlo de forma que el archivo sea
accesible sólo por él, guardado de forma ininteligible y en un archivo protegido
mediante contraseña. Asimismo, si se tiene conocimiento de que otra persona
conoce su clave y/o contraseña, deberá cambiarla inmediatamente y ponerlo en
conocimiento del Administrador, quien lo registrará como incidencia. En caso de
incumplimiento de estas obligaciones, el usuario será el único responsable de
los actos realizados por la persona que utilice de forma no autorizada su
identificador.
Lo expuesto anteriormente supone que está totalmente
prohibido:
• Intentar descifrar las claves, sistemas o algoritmos de
cifrados usando métodos de des-encriptación u otros.
• Intentar utilizar
el sistema para acceder a áreas que el usuario tenga restringidas de los
sistemas informáticos del ReNaPer.
• Intentar acceder sin la debida
autorización, a otras cuentas o a sistemas de equipos o redes conectadas a
Internet, a través del uso no lícito de la contraseña (o cualquier otro
medio).
• El acceso o entrada en los sistemas informáticos utilizando la
identificación de usuario y contraseña de otro usuario.
5.4. Utilización
de equipos informáticos
El ReNaPer es propietario y ostenta los derechos
de uso de todos los medios e instrumentos informáticos y de comunicación que
pone a disposición de sus empleados exclusivamente para el desarrollo de su
actividad laboral. Dichos medios deberán utilizarse con el cuidado y/o la
atención necesarios para evitar su destrucción, pérdida o deterioro prematuro.
No se puede modificar ninguna parte de los mismos a iniciativa del usuario, sin
contar con la autorización expresa del supervisor.
El usuario que tenga a
su disposición equipos informáticos portátiles debe extremar la precaución
cuando haga uso de los mismos o los transporte fuera de las instalaciones del
ReNaPer, y debe darse aviso inmediatamente en caso de sustracción, pérdida u
otro imponderable.
El ReNaPer pone a disposición de los trabajadores los
medios informáticos y técnicos adecuados para la realización de sus funciones
sólo mientras dure la relación laboral y con fines estrictamente profesionales.
En el momento de la finalización de la relación laboral, se denegará el acceso a
los equipos informáticos y consiguientemente a los archivos incluidos en los
mismos. En el supuesto de que el ex usuario tenga en su poder determinados
medios informáticos propiedad del ReNaPer (PC portátil, CD’s, DVD’s, USB´s,
token, disco duro externo, etc.), tendrá que devolverlos en el momento de la
finalización de su relación laboral.
5.5. Utilización de internet y
correo electrónico
El criterio a seguir por los usuarios es que la
navegación en Internet obedezca a fines profesionales, con el propósito de
obtener el mejor aprovechamiento posible de los recursos
informáticos.
Sin embargo, de acuerdo a la necesidad de conciliación de
la vida personal y profesional, se autoriza la navegación por Internet para
aquellos deberes personales que coinciden con el tiempo de trabajo, resulten
realmente necesarios, o se utilicen como descanso del trabajador dentro de la
jornada laboral, siempre que dicha utilización sea razonable y reducida al
tiempo mínimo indispensable.
En vista de lo anterior, y con el fin de no
ocupar innecesariamente o colapsar las conexiones, quedan expresamente
prohibidas las descargas de películas, clips, vídeos, música, imágenes,
fotografías, software, etc., en especial aquellos archivos que puedan infringir
la propiedad intelectual y derechos de autor de terceros.
El Responsable
de Seguridad Informática podrá bloquear el acceso a aquellos sitios web que no
considere acordes con el perfil del organismo. Sin perjuicio de ello, queda
terminantemente prohibido el acceso a aquellas direcciones de Internet cuyas
páginas tengan contenidos de corte pornográfico, sexual, pedófilo, racista, y en
general, el que pueda resultar ofensivo o atentatorio contra la dignidad
humana.
La tecnología de acceso a Internet instalada permite disponer de
un registro detallado de los sitios web visitados por cada usuario, del número
de accesos efectuados al día, de la fecha y hora en que se efectuó la conexión y
del tiempo dedicado en cada conexión. Tal información se almacena en los
servidores del ReNaPer. A estos efectos se informa a los trabajadores que las
bases de datos que se generen con la información de sus respectivos accesos a
Internet podrán ser utilizadas por el empleador como prueba a los efectos de
proceder a sanciones o despidos disciplinarios por incumplimiento de la presente
política o disminución de la dedicación y rendimiento del trabajador.
El
correo electrónico o e-mail es también un instrumento de trabajo propiedad del
ReNaPer y como tal, su utilización debe estar relacionada con los cometidos
laborales encomendados, sin que pueda utilizarse de forma habitual o abusiva
como instrumento para el intercambio de información cuyo contenido sea ajeno a
las funciones propias del agente.
Las comunicaciones realizadas a través
de cuentas oficiales de correo electrónico o e-mail no pueden considerarse
privadas y no son apropiadas para remitir información personal y/o confidencial.
No se puede garantizar totalmente la seguridad de la comunicación y
consiguientemente, no debe haber ninguna expectativa de privacidad o secreto en
las comunicaciones enviadas por cuentas de correo electrónico creadas por el
ReNaPer y otros órganos de gobierno para el ejercicio de funciones públicas. En
todo caso, cualquier comunicación no profesional que pueda haberse recibido o
emitido deberá ser eliminada de las bandejas de elementos enviados/ recibidos al
finalizar la jornada laboral. No es objetivo de esta cláusula impedir la
flexibilidad en el uso del correo electrónico sino evitar los abusos que
pudieran cometerse en la utilización del mismo.
En el momento de la
extinción de la relación laboral, cualquier acceso a la bandeja de correo
electrónico quedará interrumpido. En su caso, el usuario podrá eliminar mensajes
privados e innecesarios para el Organismo. Sin embargo los mensajes relacionados
con la actividad profesional deberán ser mantenidos y guardados en el sistema.
Antes de comenzar tal proceso de eliminación de mensajes, debe ponerse en
comunicación con la Dirección General Tecnologías de la Información del ReNaPer,
para que ésta supervise y organice el proceso.
5.6. Utilización de
programas, software y aplicaciones informáticas
Cada usuario tiene acceso
a los recursos que necesita en función de su perfil de trabajo.
Los
archivos y sistemas informáticos utilizados para realizar su trabajo son de
propiedad estatal. Queda prohibida cualquier utilización, copia o reproducción
de los mismos para fines no profesionales, salvo autorización expresa del
Responsable de Area de Sistemas Informáticos, el Responsable de Tecnología y
Seguridad o el Coordinador del Comité de Seguridad.
El usuario será el
único responsable, tanto con respecto al ReNaPer como respecto a terceros, en
caso de violación de tales reglas de conducta.
A fin de no vulnerar los
derechos de propiedad intelectual de terceros, se prohíbe expresamente la
utilización de programas para los cuales la administración pública no haya
obtenido una licencia previa.
Debe advertirse que la utilización de
programas informáticos sin la debida autorización (pirateo informático) puede
ser constitutiva de delito, y el usuario puede incurrir asimismo en
responsabilidades de distinto orden.
La utilización de archivos o
programas de procedencia externa, puede entrañar graves riesgos para la
seguridad del conjunto de los sistemas del ReNaPer, por lo que deberá evitarse
la apertura de cualquier archivo de procedencia desconocida, la utilización de
software no autorizado, la descarga de archivos de procedencia dudosa desde
internet, y la conexión a la red de ReNaPer de equipos no autorizados y
revisados por la DGTI.
Finalizado el vínculo laboral, el trabajador
deberá dejar intactos todos los archivos, entregables, informes y documentos que
hayan tenido un fin profesional o productivo.
Cuando se estime necesario
para la protección del patrimonio estatal, la de los empleados, la de los
derechos ajenos, o por motivos relacionados con el funcionamiento del ReNaPer,
éste se reserva la facultad de revisar periódicamente, a través de los servicios
técnicos de la misma, el contenido de los discos duros de los ordenadores
utilizados por los empleados en el desempeño de sus funciones, procediendo a la
eliminación de todos aquellos programas y archivos que por parte de los
servicios técnicos de la empresa se consideren ajenos a los fines profesionales
en atención a los cuales dichos ordenadores son puestos a disposición de los
empleados.
Las mencionadas revisiones se efectuarán siempre por parte de
los servicios técnicos del ReNaPer o quien éste designe, en el centro de trabajo
y dentro del horario laboral, respetándose al máximo las garantías
legales.
5.7. Política de escritorios y pantallas limpias
Se
adopta una política de escritorios, mesas o espacios de trabajo limpios, para
proteger los documentos en papel; y un criterio de pantallas limpias, que
minimice el riesgo de accesos no autorizados y pérdidas de información, tanto
durante el horario de trabajo como fuera del mismo.
Será
obligatorio:
• Almacenar bajo llave, gabinetes o mobiliario seguro, los
archivos en papel mientras se encuentran en dominio de un trabajador y/o
funcionario, cuando no estén siendo utilizados, especialmente fuera del horario
de trabajo.
• Guardar en lugar seguro copias de las llaves de ingreso al
ámbito de trabajo. Las llaves se encontrarán protegidas en sobre cerrado y en
una caja de seguridad, debiendo dejarse constancia y los motivos de todo acceso
a las mismas,
• Los medios de almacenamiento que contengan información
sensible y/o crítica deben resguardarse, preferentemente, en cajas fuertes o
gabinetes a prueba de incendio.
• Proteger con cerraduras de seguridad,
contraseñas u otros controles a las computadoras personales, terminales e
impresoras asignadas a funciones críticas cuando no están en uso (ej.
protectores de pantalla con contraseña).
• Computadoras e impresoras de
conexión local permanecerán apagadas cuando no se las use.
• Proteger los
puntos de recepción y envío de correo postal y las maquinas de fax.
•
Bloquear las fotocopiadoras fuera del horario normal de trabajo.
•
Retirar inmediatamente la información sensible una vez impresa.
• Los
usuarios deben finalizar o bloquear la sesión de red, antes de retirarse de su
lugar trabajo. Si un agente debe abandonar su puesto de trabajo momentáneamente,
activará protectores de pantalla con contraseña, a los efectos de evitar que
terceros puedan ver el trabajo o continuar con la sesión del usuario
habilitada.
El trabajador y/o usuario y/o funcionario será el único
responsable, tanto con respecto al ReNaPer como respecto a terceros, en caso de
violación de tales reglas de conducta.
5.8. Incidencias
Se
entiende por incidencia cualquier anomalía que afecte o pueda afectar a la
seguridad e integridad de los datos de carácter personal, sistemas, soportes
informáticos y archivos (estén automatizados o no).
Es obligación
comunicar al Supervisor o Administrador cualquier incidencia que se produzca en
relación a su cuenta de usuario. Dicha comunicación deberá realizarse a la mayor
brevedad posible, desde el momento en el que se produce la incidencia o se tenga
certeza de que pudiera producirse o se tiene conocimiento de la misma.
6.
SEGURIDAD DEL PERSONAL
6.1. Objetivo
Reducir los riesgos de error
humano, robo, fraude, uso inadecuado de instalaciones y recursos, y manejo no
autorizado de la información.
Dar a conocer a los usuarios y/o
funcionarios y/o al personal las responsabilidades que les caben en materia de
seguridad, a través de su notificación y posterior verificación sobre su
cumplimiento.
Capacitar a los usuarios para que estén al corriente de los
riesgos y amenazas a la información del ReNaPer y respalden la presente
Política.
Establecer compromisos en cuanto a la responsabilidad y el buen
uso de los recursos del ReNaPer, por parte del personal y usuarios externos del
ReNaPer.
Comunicar las debilidades existentes en materia de seguridad,
así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y
prevenir su reincidencia.
6.2. Alcance
Esta Política se aplica a
todos los usuarios de los servicios informáticos del ReNaPer, y a terceras
partes, que hagan uso, administren y/o controlen sistemas de
información.
Las responsabilidades emergentes del uso adecuado de los
recursos informáticos deberán comunicarse a todos los usuarios del ReNaPer,
cualquiera sea su modalidad de revista, como así también a todos aquellos
terceros que tengan vinculación alguna con el Organismo. El personal que
desempeñe funciones críticas dentro del Organismo deberá estar notificado de
aquellas responsabilidades especiales que emerjan de su labor.
La
notificación de las responsabilidades mencionadas estará a cargo del Area de
Recursos Humanos.
6.3. Responsabilidades
El Responsable del Area
de Recursos Humanos deberá:
• incluir las funciones relativas a la
seguridad de la información en las descripciones de puestos de los
empleados,
• gestionar las notificaciones del uso responsable de los
recursos de información del ReNaPer.
• implementar los mecanismos
necesarios para la toma de conocimiento por parte de los usuarios, del uso
responsable de los recursos informáticos.
• El Responsable del Area de
Capacitación deberá coordinar las tareas de capacitación de usuarios respecto de
la presente Política de Seguridad.
El Responsable de Sistemas y Seguridad
Informática deberá:
• realizar un seguimiento, documentar y analizar
todos los incidentes de seguridad reportados
• participar en la
confección de los acuerdos o contratos con terceros, en lo referente a la
seguridad de la información propiedad del ReNaPer.
• comunicar todo
incidente de seguridad al Comité de Seguridad de la Información, y a los
Responsables Primarios de la información.
El Comité de Seguridad de la
Información deberá:
• Verificar la existencia de medios y canales
necesarios para que los Responsables de Sistemas y Seguridad Informática manejen
los reportes de incidentes y anomalías de los sistemas.
• Tomar
conocimiento de todo incidente relativo a la seguridad de la información,
efectuar el seguimiento de investigaciones, controlar la evolución e impulsar la
resolución de los mismos.
Es responsabilidad de todo el personal del
ReNaPer informar sobre las vulnerabilidades e incidentes de seguridad que
oportunamente se detecten.
6.4. Administradores de Identificación y
Acceso
6.4.1 Carácter de Administrador
Se considera administrador,
al sujeto autorizado para gestionar los derechos, permisos y restricciones de
acceso a los sistemas y bases de datos de los usuarios de los sistemas
informáticos y aplicaciones del ReNaPer.
6.4.2. Funciones delegadas al
Administrador
El Responsable de Seguridad podrá delegar de forma expresa
y por escrito, cualquiera de las siguientes funciones:
• Llevar a cabo el
Procedimiento de asignación, identificación y autenticación de usuarios, creando
usuarios conforme a los perfiles previamente definidos por el ReNaPer.
•
Conceder, alterar o anular el acceso autorizado a los datos y recursos y
realizar cualquier otra gestión relativa a las cuentas de usuario, tales como
bloqueo, desbloqueo, suspensión o cancelación de la misma, etc. A tal fin, se
define que los identificadores de usuario serán únicos, de modo de identificar a
cada usuario por sus acciones. Los ID tendrán una extensión de OCHO (8)
caracteres y se recomienda no utilizar términos que denoten el perfil que ha
sido asignado. Excepcionalmente, podrá asignarse a la misma persona física
distintos perfiles de usuario, siempre que éste mantenga un correcto orden y
separación de funciones entre ambos perfiles, y acceda al sistema con dos
nombres de usuario y dos contraseñas distintas.
• Verificar que el nivel
de acceso otorgado es adecuado para la función que lleva a cabo el
usuario.
• Cancelar inmediatamente los derechos de acceso de los usuarios
que hayan cambiado sus tareas, se les haya revocado la autorización, o se hayan
desvinculado del Organismo.
• Elaborar y mantener actualizada una
relación de usuarios con acceso autorizado a las aplicaciones y sistemas
informáticos del ReNaPer, con especificación del nivel de acceso, perfil
asignado, nombre de usuario, DNI, nombre y apellido de la persona física con la
que se corresponde el usuario.
• Informar a los usuarios sobre las dudas
que puedan tener en relación al Documento “COMPROMISO DE CONFIDENCIALIDAD,
POLITICA DE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS”.
• Dar curso
a las incidencias relativas a la gestión de usuarios; en su caso, comunicar al
Responsable de Area Informática y/o Responsable Primario de Información que
corresponda, respecto de las infracciones cometidas por los usuarios, para que
se adopten las medidas correctoras específicas o punitivas que
procedan.
• Velar por el cumplimiento de la Política de contraseñas
vigente, en cuanto al mantenimiento de la confidencialidad de las mismas, y su
modificación periódica.
• Limitar el acceso de los usuarios únicamente a
aquellos datos y recursos que precisen para el desarrollo de sus
funciones.
• Limitar el tiempo de acceso de los usuarios en relación a su
jornada de trabajo y finalizar la conexión si este es excedido.
•
Permitir que los usuarios elijan sus contraseñas y recomendar que las cambien
con una periodicidad trimestral.
• Arbitrar mecanismos que eviten mostrar
las contraseñas en pantalla, cuando son ingresadas.
Los Administradores
tienen expresamente prohibido:
• Intentar aumentar el nivel de
privilegios de un usuario en el sistema, cuando ello no sea conteste con las
funciones propias del usuario.
• Intentar descifrar las claves, sistemas
o algoritmos de cifrados de otras reparticiones usando métodos de des
encriptación u otros.
• Intentar acceder sin la debida autorización, a
otras cuentas o a sistemas de equipos o redes conectadas a Internet, a través
del uso no lícito de la contraseña (o cualquier otro medio).
6.5.
Capacitación del Usuario
6.5.1. Objetivo
Garantizar que los
usuarios están al corriente de las amenazas para la información, y que están en
condiciones de respaldar la política de seguridad de la organización en el
transcurso de sus tareas normales.
Los usuarios deben conocer los
procedimientos de seguridad y el correcto uso de los sistemas y servicios
informáticos, a fin de minimizar eventuales riesgos de seguridad.
6.5.2.
Formación y Capacitación en Seguridad de la Información
Los empleados y
personal jerárquico del ReNaPer deberán recibir una capacitación sobre los
aspectos de seguridad de la información del Organismo.
Los contratos y/o
acuerdos con terceras partes u organismos que hacen uso de la información del
ReNaPer deberán contemplar los aspectos de políticas de seguridad relacionados.
En tal sentido, se contemplará una capacitación, cuando corresponda.
Se
considerarán los requerimientos de seguridad, responsabilidades legales, y el
uso correcto de los recursos de información, por ejemplo las estaciones de
trabajo, acceso a servicios, etc.
A tales fines, se implementará un plan
de capacitación, con una revisión anual, realizando las actualizaciones que
correspondan respecto de la tecnología o servicios informáticos vigentes o de
implementación futura.
7. GESTION DE INCIDENCIAS
7.1.
Objetivo
Se entiende por incidencia cualquier anomalía que afecte o pueda
afectar a la seguridad de los sistemas informáticos y/o de los datos alojados en
ellos (su confidencialidad, integridad o disponibilidad).
La gestión de
incidencias tiene por objeto minimizar el daño producido por incidentes de
seguridad de la información, además de monitorear y generar una base de
conocimiento que permita optimizar los procesos, eliminar vulnerabilidades y
amenazas.
Se deben establecer procedimientos y responsabilidades en el
manejo de incidentes relativos a la seguridad de la información, para garantizar
una respuesta rápida, eficaz y sistemática. A modo ejemplificativo y meramente
enunciativo, se señalan distintos tipos de eventos que puedan dar lugar a
incidencias tales como: fallas en los sistemas de información y pérdida del
servicio; corte de suministro o negación de servicio; errores ocasionados por
datos incompletos o inexactos; violaciones de la confidencialidad; código
malicioso e intrusiones; fraude informático; error humano; catástrofes
naturales.
El Organismo establecerá medidas disciplinarias a adoptar con
empleados que perpetren intencionadamente violaciones de la seguridad. Los
contratos y acuerdos con terceras partes deberán contemplar las sanciones que
sufrirán quienes violen la seguridad de la información.
7.2. Comunicación
de incidentes relativos a la seguridad
Los incidentes relativos a la
seguridad serán comunicados a través de canales apropiados, tan pronto como sea
posible.
Los incidentes que afectan la seguridad, advertidos o supuestos,
deben comunicarse indistintamente, al Responsable del Area donde haya sucedido
la incidencia, al Responsable de Seguridad, al Comité de Seguridad y a los
Responsables de la Información, tan pronto como sea posible.
Se
establecerá un procedimiento formal de comunicación y respuesta, en el que se
indicará la acción a emprender cuando se reciba un informe de
incidentes.
Al implementar dicho procedimiento, el Responsable de
Seguridad debe prever que se contemple:
• Informar cuanto antes sobre la
detección de un incidente o violación de seguridad, supuestos o no, al
Responsable de la Información y/o Responsable de Area.
• Indicar los
pasos a seguir para la resolución del incidente, como así mismo para su
posterior investigación, y posible monitoreo.
• Mantener informados al
Comité de Seguridad, al Responsable de Seguridad y al Responsable Primario sobre
las alternativas de resolución del incidente de seguridad.
7.3. Registro
de incidencias
El ReNaPer dispondrá de un Registro Virtual de
Incidencias.
Las incidencias se clasifican en TRES (3) grados de
prioridad, a saber:
• Normal: atenderla cuando se esté libre
•
Alta: atenderla cuando se termine la tarea actual
• Urgente: atenderla
inmediatamente de recibida.
Cada incidencia tendrá una ficha de
seguimiento que incluirá:
• Nº de ticket: el sistema le asigna un número
de identificación único a cada incidencia.
• Estado: a cada incidencia
puede asignársele uno de los siguientes valores de estado: en proceso de
ejecución, terminada y postergada.
• Fecha de reporte: detallando día,
mes, año y hora de entrada al sistema.
• Prioridad: normal, alta o
urgente.
• Sector que reporta: organismo, dirección nacional, repartición
u oficina dependiente del ReNaPer que efectúa el reclamo.
• Usuario que
reporta: persona que realiza la petición de ayuda y/o soporte o notificación de
incidencia.
• Proceso o Servicio: área que se ve afectada por la
incidencia.
• Usuario deriva: usuario con perfil superior a quien se
deriva la incidencia
• Fecha de derivación: detallando día, mes, año y
hora de entrada al sistema.
• Detalle: breve descripción del
problema.
• Equipos afectados:
• Ver: opción de visualización del
“Historial” que permita acceder al seguimiento y movimientos de una incidencia,
si fue derivada, en su caso a quién, en qué fecha y con qué resultado.
•
Atender: el sistema permita indicar mediante los valores de En Proceso,
Postergada y Terminada, el estado de resolución de la incidencia.
•
Derivar: el sistema permita comunicar a otros operadores el conflicto a fin de
dar con su solución, mediante el uso de la opción “Derivar A”. A tal fin,
existirán usuarios con perfil de COORDINADOR, que puedan derivar una consulta a
los técnicos operativos de cada sector para su resolución, como asimismo, emitir
las observaciones y comentarios que estimen pertinentes, los que quedan
asentados en el campos “Observaciones” de la aplicación.
• Editar: el
sistema permitirá a aquellos usuarios con privilegios de COORDINADOR, modificar
la información que consta en alguna de las fichas.
7.4. Procedimiento de
gestión de incidencias
Se instaura por medio de la presente un
procedimiento de actuación ante las incidencias dividido en tres fases:
notificación, gestión y registro; que será conocido por todos los usuarios de
los sistemas y bases de datos del ReNaPer.
• 1ª Fase:
Notificación
Todo usuario que detecte alguna anomalía en los sistemas
informáticos, soportes o equipos informáticos, ficheros, archivos y/o en los
datos contenidos en los mismos, de titularidad del ReNaPer, deberá ponerlo en
conocimiento inmediato al Area de Soporte Técnico, mediante el envió electrónico
de un memo.
Si la comunicación por esta vía no fuese posible, deberá
acudirse a la vía telefónica como medio de notificación supletoria. De resultar
imposible aquello, deberá realizarse a través del medio más rápido y fiable
disponible a fin de mantener la seguridad, confidencialidad y normalidad dentro
del ámbito organizativo y técnico de la dependencia en la que se haya producido
la incidencia.
Los usuarios no podrán, por sí mismos, reparar
vulnerabilidades ni efectuar pruebas de detección.
• 2ª Fase:
Gestión
Identificada el tipo de incidencia, y conforme a la prioridad
asignada, entra en la fase “En Proceso”, donde el área de Soporte del ReNaPer
atenderá la misma, con los resultados posibles siguientes “Postergada”,
“Derivada” o “Terminada”.
Las incidencias “Derivadas” se redirigen para
su resolución a personal distinto del que atendió la misma en primer instancia,
como asimismo a los técnicos internos o externos que realizan las funciones de
gestión de la seguridad y realizar las labores de mantenimiento de los sistemas,
equipos y ficheros.
Los usuarios con perfil de COORDINADOR, podrán
derivar una consulta a los técnicos operativos de cada sector u externos para su
resolución, como asimismo, emitir las observaciones y comentarios que estimen
pertinentes, los que quedan asentados en el campo “Observaciones” de la
aplicación.
Finalizada la incidencia, se adoptarán las medidas necesarias
para que no vuelva a producirse una situación similar en la que pueda peligrar
la integridad de los sistemas, ficheros y datos.
• 3ª Fase:
Registro
En el Registro Virtual de Incidencias constarán todos los datos
relativos a las incidencias ocurridas durante el año en curso; la
responsabilidad del mismo es una competencia exclusiva del Responsable de
Seguridad.
7.5. Comunicación de Anomalías del Software
El
procedimiento de gestión de incidencias servirá a su vez, para la comunicación
de anomalías de software, debiéndose:
• Registrar los síntomas del
problema y los mensajes que aparecen en pantalla.
• Aislar al puesto de
trabajo de la conexión de red. No se deben transferir datos a otro puesto de
trabajo, por ningún medio.
• Alertar sobre la información
afectada.
Los usuarios no están autorizados a desinstalar ni eliminar el
software con supuestas anomalías, siendo ésta una responsabilidad del
Responsable de Seguridad, o de quien él designe.
7.6 Aprendiendo de los
incidentes
La aplicación de gestión de incidentes contará con mecanismos
y procedimientos para cuantificar y monitorear tipo, volumen y costo de los
incidentes de seguridad, como así también, establecer ranking de usuarios con
más solicitudes “Terminadas” por sector; cantidad de solicitudes atendidas por
operador; cantidad de solicitudes de determinado usuario; promedio de duración
de una solicitud; promedio de solicitudes recibidas diarias y promedio
histórico.
Esta información permitirá identificar vulnerabilidades y
amenazas recurrentes o de alto impacto. De la misma se obtiene además, la
necesidad de modificar o agregar controles para limitar frecuencia, daño y costo
de casos futuros, y las posibilidades de revisión a la política de
seguridad.
7.7. Sanciones
Los usuarios que incurran en violación
de las políticas y procedimientos de seguridad de la organización, serán
pasibles de las sanciones establecidas conforme la normativa vigente y aplicable
a la planta permanente, planta transitoria y/o a la modalidad contractual por la
cual se encuentren vinculados al Organismo.
Los acuerdos y/o contratos
y/o convenios con terceras partes deberán prever sanciones para los supuestos de
violación a las Políticas de Seguridad de la Información, aprobadas por el
ReNaPer.
8. CLASIFICACION DE ACTIVOS
Los activos de información se
clasificarán de acuerdo a la sensibilidad y criticidad de los datos que
contienen, o bien de acuerdo a la funcionalidad que cumplen, con el objeto de
determinar su tratamiento y protección.
Ejemplos de activos:
•
Recursos de información: bases de datos y archivos, documentación de sistemas,
manuales de usuario, material de capacitación, procedimientos operativos o de
soporte, planes de continuidad, información archivada, etc.
• Recursos de
software: software de aplicaciones, sistemas operativos, herramientas de
desarrollo, utilitarios, etc.
• Activos físicos: equipamiento informático
(procesadores, monitores, computadoras portátiles, impresoras, módems, puestos
de trabajo (computadoras), servidores, dispositivos de comunicaciones (routers,
switches, PABXs, máquinas de fax, contestadores automáticos), medios magnéticos
(cintas, discos),
• Instalaciones de suministro eléctrico, unidades de
aire acondicionado, mobiliario, lugares de emplazamiento, etc.
Se tendrá
en cuenta que la criticidad y la sensibilidad de determinada información puede
variar con el tiempo, para evitar que una clasificación por exceso se traduzca
en gastos adicionales, innecesarios para el Organismo.
La clasificación
de un ítem de información determinado no es invariable por siempre, ésta puede
cambiar según una Política predeterminada. Hay que definir una cantidad de
categorías suficiente, pero no compleja, a fin de evitar esquemas engorrosos,
antieconómicos o poco prácticos.
La información puede convertirse en
obsoleta y, por lo tanto, es pasible de ser eliminada. En un proceso de
destrucción de información debe mantenerse la confidencialidad hasta último
momento.
8.1. Objetivo
Identificar los activos de información del
ReNaPer y asignar un Responsable Primario para cada uno de ellos; clasificar la
información, señalando su sensibilidad y criticidad; y definir niveles de
protección y medidas de tratamiento especial acordes a su
clasificación.
8.2. Alcance
Esta Política se aplica a todos los
recursos del ReNaPer, y a terceras partes que accedan y/o administren y/o
controlen datos, recursos y sistemas de información del ReNaPer.
8.3.
Responsabilidades
Se debe designar un Responsable Primario para cada
recurso de información. Los Responsables Primarios deben:
• clasificar la
información a su cargo, según un grado de sensibilidad y criticidad;
•
documentar y mantener actualizada la clasificación efectuada;
• definir
permisos de acceso a la información de acuerdo a las funciones de los
integrantes de su área.
Los Responsables Primarios deberán mantener los
controles apropiados sobre la información. La definición e implementación de los
controles será responsabilidad del área informática y en última instancia, del
Comité de Seguridad de la Información.
8.4. Inventario de
activos
Se identificarán los activos importantes asociados a cada sistema
de información, su ubicación y sus Responsables Primarios. El Responsable
Primario deberá elaborar un inventario de la información a su cargo, y
mantenerlo actualizado ante cualquier modificación.
8.5. Clasificación de
la información
La información se clasificará según las características
básicas de confidencialidad, integridad y disponibilidad. Se establecerán
niveles según lo siguiente:
8.5.1. Confidencialidad
Nivel 0 –
Público: Información que puede ser conocida y utilizada sin autorización por
cualquier persona. Los permisos de acceso son:
• Todos los usuarios,
internos o externos al ReNaPer, pueden consultar la información.
• Los
Responsables, o los designados por éstos, podrán modificar el contenido de la
información.
• Los Administradores de servicios tendrán control total
sobre los recursos.
• Los Auditores podrán consultar los registros de
actividades sobre los recursos.
Nivel 1 - Reservada-Uso Interno:
Información que puede ser conocida y utilizada por los usuarios del ReNaPer,
contando con la debida autorización. Su divulgación o uso no autorizados podrían
ocasionar riesgos leves para el Organismo. Los permisos de acceso son:
•
Usuarios autorizados, internos al ReNaPer, pueden consultar la
información.
• Los Responsables, o los designados por éstos, podrán
modificar el contenido de la información.
• Los Administradores de
servicios tendrán control total sobre los recursos.
• Los Auditores
podrán consultar los registros de actividades sobre los recursos.
Nivel 2
- Reservada-Confidencial: Información que sólo puede ser conocida y utilizada
por un grupo restringido de usuarios del ReNaPer, contando con la debida
autorización. Su divulgación o uso no autorizados podría ocasionar riesgos
significativos al Organismo. Los permisos de acceso son:
• Un grupo
restringido de usuarios autorizados, internos al ReNaPer, pueden consultar la
información.
• Los Responsables, o los designados por éstos, podrán
modificar el contenido de la información.
• Los Administradores de
servicios tendrán control total sobre los recursos.
• Los Auditores
podrán consultar los registros de actividades sobre los recursos.
• Los
Responsables, los usuarios y los Administradores deberán firmar un Compromiso de
Confidencialidad de la Información.
8.5.2. Integridad
Nivel 0-No
Clasificado: La información sufre modificaciones, y los datos originales pueden
recuperarse fácilmente. Este proceso no afecta la operatoria del ReNaPer. Los
permisos de acceso son:
• Los Responsables, o los designados por éstos,
podrán modificar el contenido de la información.
• Los Administradores de
servicios tendrán control total sobre los recursos.
• Los Auditores
podrán consultar los registros de actividades sobre los recursos
Nivel
1-Bajo: La información sufre modificaciones no autorizadas, pero los datos
originales pueden recuperarse. Este proceso ocasiona daños leves para el
ReNaPer. Los permisos de acceso son:
• Los Responsables, o los designados
por estos, podrán modificar el contenido de la información.
• Los
Administradores de servicios tendrán control total sobre los
recursos.
Nivel 2-Medio: La información sufre modificaciones no
autorizadas, y es difícil recuperar los datos originales. Este proceso ocasiona
daños significativos para el ReNaPer. Los permisos de acceso son:
• Los
Responsables, o los designados por estos, podrán modificar el contenido de la
información.
• Los Administradores de servicios tendrán control total
sobre los recursos.
Nivel 3-Alto: La información sufre modificaciones no
autorizadas, y no es posible recuperar los datos originales. El proceso ocasiona
daños graves para el ReNaPer. Los permisos de acceso son:
• Los
Responsables, o los designados por estos, podrán modificar el contenido de la
información.
• Los Administradores de servicios tendrán control total
sobre los recursos.
8.5.3. Disponibilidad
• Nivel 0-No
Clasificado: Información cuya inaccesibilidad no afecta la operatoria del
ReNaPer. No requiere resguardo de la información.
• Nivel 1-Bajo:
Información cuya inaccesibilidad durante 15 días o más podría ocasionar daños no
significativos para el ReNaPer. Requiere un resguardo por única vez,
preferiblemente sobre medios ópticos.
• Nivel 2-Medio: Información cuya
inaccesibilidad durante 7 días o más podría ocasionar daños significativos para
el ReNaPer. Requiere un resguardo con frecuencia mensual, preferentemente sobre
medios magnéticos.
• Nivel 3-Alto: Información cuya inaccesibilidad
durante 24 horas o más podría ocasionar daños muy significativos para el
ReNaPer. Requiere frecuencia de resguardo Diario, Semanal y Mensual, sobre
medios magnéticos. El medio de resguardo Mensual se almacenará bajo un tiempo de
retención establecido por cada Responsable (por ejemplo: cinco años, diez años,
etc.).
• Nivel 4-Muy Alto: Información cuya inaccesibilidad durante 4
horas o más podría detener la operatoria normal del ReNaPer. Requiere frecuencia
de resguardo Diario, Semanal y Mensual, y Mensual-Copia, sobre medios
magnéticos. El resguardo Mensual-Copia se almacenará off-site. La frecuencia de
resguardo puede modificarse según el requerimiento de criticidad del sistema
(por ejemplo, efectuar resguardos adicionales cada quince días, y almacenarlos
off-site). Los daños probables pueden ser mensurables (materiales) y no
mensurables (imagen, valor estratégico de la información, obligaciones
contractuales o públicas, disposiciones legales, etc.).
8.5.4. Criticidad
de la información
La información recibirá un valor de nivel, dentro de
las características mencionadas, lo cual permitirá establecer un valor de
criticidad. De acuerdo con los niveles de confidencialidad, integridad y
disponibilidad, la información será tanto más crítica según la siguiente
clasificación:
• Criticidad Baja: niveles asignados son 0 ó 1.
•
Criticidad Media: nivel asignado es 2
• Criticidad Alta niveles asignados
son 3 ó 4.
El nivel de clasificación de la información sólo puede ser
cambiado por el Responsable Primario o por el Responsable de Seguridad. El nivel
de clasificación se modificará cumpliendo con los siguientes requisitos
previos:
• Luego de clasificada la información, el Responsable Primario
identificará los recursos asociados (sistemas, equipamiento, servicios, etc.) y
los perfiles funcionales que deberán tener acceso a la misma.
• El cambio
de clasificación debe hacerse efectivo a partir de una fecha determinada por el
Responsable Primario o el Responsable de Seguridad, con autorización del
primero.
• El cambio de clasificación debe ser comunicado efectivamente a
los usuarios de la información.
8.5. Rotulado de la Información
Se
definirán procedimientos para el rotulado y manejo de información, de acuerdo al
esquema de clasificación definido ut supra. Los procedimientos contemplarán los
recursos de información tanto en formatos físicos como electrónicos e
incorporarán las siguientes actividades de procesamiento de la información:
copia; almacenamiento; transmisión por correo, fax, correo electrónico;
transmisión oral (telefonía fija y móvil, correo de voz, contestadores
automáticos, etc.).
9. SEGURIDAD FISICA Y AMBIENTAL
9.1.
Objetivos
La seguridad física brinda el marco para minimizar riesgos de
daño o interferencia a la información y a las operaciones desarrolladas dentro
de las dependencias del ReNaPer como consecuencia de factores ambientales;
evitar al máximo el riesgo de accesos físicos no autorizados; y minimizar las
interrupciones en la prestación de servicios.
Estas previsiones deben
abarcar la protección física de accesos, la protección ambiental, el transporte,
y la protección de activos; e implementar medidas para proteger la información
manejada por el personal en el ámbito físico de sus labores habituales. Por
último, un alto volumen de información se almacena en formato papel, resultando
necesario establecer pautas de seguridad para su conservación.
9.2.
Alcance
Esta Política se aplica a todos los recursos físicos relativos a
los sistemas de información del ReNaPer, edificios, instalaciones, equipos y
medios de almacenamiento informáticos, cableado, documentación en papel,
dispositivos de comunicación de datos, etc.
9.3. Areas Seguras y de
acceso restringido
9.3.1. Perímetro de Seguridad Física
Un
perímetro de seguridad es una delimitación de acceso, por ej. puerta de acceso
controlado por tarjeta, escritorio u oficina de recepción atendidos por
personas, etc. El emplazamiento y la fortaleza de cada barrera dependerán de los
resultados de una evaluación de riesgos.
Se deben considerar e
implementar los siguientes lineamientos y controles, según corresponda:
•
El perímetro de seguridad estará claramente definido.
• El perímetro de
un edificio o área de procesamiento de información será físicamente sólido. No
deben existir aberturas o áreas donde se produzca una irrupción. Las paredes
externas del área serán de construcción sólida. Las puertas comunicantes con el
exterior gozarán de una protección adecuada contra accesos no autorizados, por
ej., mediante mecanismos de control, vallas, alarmas, cerraduras, etc.
•
Existirá un área de recepción, atendida por personal u otros medios de control
de acceso físico al área o edificio. El ingreso a las distintas áreas y
edificios se limitará exclusivamente al personal autorizado.
• Las
barreras físicas se extenderán, si es necesario, desde el piso (real) hasta el
techo (real), a fin de impedir ingresos no autorizados, contaminación ambiental,
incendio o inundación.
• Las puertas contra incendio de un perímetro de
seguridad tendrán alarma y se cerrarán automáticamente.
• Se mantendrá un
registro de los sitios protegidos, indicando: identificación del edificio y
área, principales elementos a proteger y medidas de protección
física.
9.3.2. Areas Restringidas
Se considera zona de acceso
restringido o área protegida a aquellas instalaciones de procesamiento de
información ubicadas en áreas resguardadas por un perímetro de seguridad, con
controles de acceso apropiados y medidas de protección física contra accesos no
autorizados, daños e intrusiones.
Para la selección y el diseño de un
área protegida deben evaluarse los riesgos de incendio, inundación, explosión, y
otras formas de desastres naturales o provocados por el hombre. También deben
observarse las disposiciones y normas en materia de sanidad y seguridad, las
amenazas a la seguridad que representan los edificios y zonas aledañas, por ej.
por filtración de agua, interferencias, acumulación de residuos, entornos
agresivos, etc.
El Responsable de Seguridad definirá que zonas serán
consideradas como áreas protegidas o de acceso restringido y mantendrá un
listado actualizado, de todas ellas.
Para definir las zonas protegidas,
se atenderá a las siguientes recomendaciones:
• Ubicar a las
instalaciones en lugares inaccesibles para el público.
• La señalización
e indicaciones de las áreas serán mínimos, sin signos obvios que identifiquen la
actividad de procesamiento de información. Pueden requerirse barreras y
perímetros adicionales para controlar el acceso físico entre áreas con
diferentes requerimientos de seguridad, y que estén ubicadas dentro del mismo
perímetro.
• Establecer que puertas y ventanas estén bloqueadas cuando no
haya vigilancia. Considerar la posibilidad de agregar protección externa a las
ventanas, en particular las que se encuentran al nivel del suelo.
•
Implementar sistemas de detección de intrusos (cámaras, detectores de
proximidad, sistemas de vigilancia, etc) ubicados en:
• puertas
exteriores y ventanas accesibles,
• áreas vacías, que deben tener alarmas
activadas en todo momento,
• sala de servidores,
• áreas que se
definan como protegidas,
• recintos con dispositivos de
comunicaciones.
• Los teléfonos internos de los recintos de procesamiento
de información sensible y/o crítica no deben publicarse en guías
telefónicas.
• Materiales peligrosos o combustibles deben almacenarse a
una distancia prudencial del área protegida.
• La existencia de áreas
protegidas, o de las actividades que allí se llevan a cabo será conocida
solamente por el personal cuyas funciones estén relacionadas con dichos
ámbitos.
• Evitar que terceras partes ejecuten trabajos en áreas
protegidas sin supervisión alguna.
• Prohibición de comer, beber y fumar
dentro de las instalaciones de procesamiento de la información,
•
restringir el ingreso de equipos de computación móvil, fotográficos, de vídeo,
audio o cualquier otro tipo de equipamiento que registre información, a menos
que hayan sido formalmente autorizadas por los Responsables Primario, de
Sistemas y de Tecnología y Seguridad.
9.3.3. Controles de acceso
físico
Las áreas protegidas serán limitadas mediante adecuados controles
de acceso, y sólo ingresará a ellas el personal autorizado.
Entre las
medidas de control de acceso físico a adoptarse, deben contemplarse las
siguientes:
• Supervisión de ingreso de terceras partes y personal de
servicio a las áreas protegidas. Fecha y hora de ingreso y egreso deben ser
registrados. El acceso se otorgará cuando existan propósitos específicos y
autorizados, y los permisos serán acotados en el tiempo conforme a los fines
para los que se haya habilitado el permiso de acceso.
• Definir las áreas
donde se opera con información sensible y/o crítica, a fin de establecer
controles de acceso lógico en las instalaciones de procesamiento de
información.
• Validar accesos por medio de controles de autenticación,
(ej. tarjeta y número de identificación personal (PIN), huella biométrica,
etc.).
• Registro de paquetes, envoltorios, cajas cerradas, etc., que
entran o salen de los edificios.
• Se recomienda que el personal informe
sobre la presencia de desconocidos no escoltados o de cualquier persona que no
exhiba una identificación visible.
• Revisar y actualizar cada nueve (9)
meses los derechos de acceso a las áreas protegidas. Los mismos serán
documentados y firmados por el Responsable Primario, en el área protegida de su
dependencia.
• Se controlará que las áreas de Recepción y Distribución de
distintos elementos (equipamiento no crítico, repuestos, insumos, etc.) estén
aisladas de las instalaciones de procesamiento de información sensible y
crítica, a fin de impedir ingreso de ajenos.
• Limitar el ingreso a las
áreas de depósito al personal previamente identificado y autorizado.
•
Diseñar el área de depósito de manera tal que los suministros se descarguen,
evitando que quienes realizan la entrega accedan a otros sectores del
edificio.
• Proteger las puertas exteriores del depósito cuando se abre
la puerta interna.
• Inspeccionar y registrar el material entrante antes
de ser trasladado al depósito.
• Inspeccionar periódicamente áreas
protegidas desocupadas, manteniendo bloqueado su acceso físico.
Los
controles de acceso físico serán determinados por el Area de Prevención y
Control del ReNaPer, junto con el Responsable de Seguridad y los Responsables
Primarios. El Comité de Seguridad verificará la implementación de dichos
controles.
9.4. Seguridad del equipamiento informático
9.4.1.
Objetivo
Impedir pérdidas, daños u accesos no autorizados a los activos
y/o datos del ReNaPer como así también, reducir los riesgos en la interrupción
de los servicios prestados por el Organismo a los ciudadanos.
9.4.2.
Ubicación y protección del equipamiento
El equipamiento se ubicará de
modo de reducir riesgos ambientales, y oportunidades de acceso no autorizado. Se
considerarán los siguientes controles:
• Minimizar el acceso innecesario
a sitios con equipamiento informático instalado.
• Ubicar el ámbito de
proceso y almacenamiento de información en sitios donde exista una adecuada
supervisión de acceso físico.
• Adoptar controles a fin de minimizar
riesgos por las siguientes posibles amenazas: manifestaciones y/o protestas
callejeras, robo, incendio, explosivos, humo, agua (o falta de suministro),
polvo, vibraciones, efectos químicos, interferencia o interrupción en el
suministro de energía eléctrica, radiación electromagnética.
• No comer,
beber ni fumar cerca de las instalaciones de procesamiento de información
crítica.
• monitorear las condiciones ambientales para verificar que no
se comprometa el procesamiento de la información.
• Empleo de métodos de
protección especial para equipos situados en ambientes expuestos a amenazas
ambientales.
• Efectuar análisis de impacto de un eventual desastre en
edificios próximos al Organismo, por ej. incendio, filtración de agua, una
explosión en la calle, corte de energía generalizado, etc.
9.4.3.
Suministro de energía
Las instalaciones de proceso de información crítica
se protegerán de fallas en el suministro de energía u otras anomalías
eléctricas. Se debe contar con un adecuado suministro de energía, de acuerdo con
las especificaciones del fabricante o proveedor de los equipos
informáticos.
Se enumeran las siguientes alternativas para asegurar la
continuidad del suministro de energía:
• bocas de suministro múltiple,
para evitar un único punto de falla
• fuente de energía ininterrumpida
(UPS)
• generadores de respaldo.
Las UPS son recomendables para
asegurar el apagado regulado y sistemático y la ejecución continua del
equipamiento que procesa información critica.
Se implementarán planes de
contingencia que contemplen acciones a emprender ante una falla de la UPS. Los
mismos deben someterse a una inspección periódica, de acuerdo con las
recomendaciones del fabricante o proveedor, a fin de mantener la capacidad
requerida.
Un generador de respaldo se tendrá en cuenta cuando el
procesamiento debe continuar aún en presencia de fallas de suministro
prolongadas.
Los generadores se probarán periódicamente, según
instrucciones del fabricante o proveedor.
Asimismo, se dispondrá de un
adecuado suministro de combustible, a fin de garantizar una provisión de energía
eléctrica por un período prolongado. Se dispondrá, además, de:
•
Interruptores de emergencia, a fin de lograr un corte de energía rápido, en
situaciones de criticidad extrema.
• Sistemas de iluminación de
emergencia, para el caso de cortes en el suministro principal de
energía.
• Protección contra rayos en todos los edificios.
•
Filtros de protección contra rayos en las líneas de comunicaciones
externas.
9.4.4. Seguridad del cableado
Tanto el cableado de
energía eléctrica como el de comunicaciones de datos deben protegerse contra
todo tipo de intercepción o daño. Deben considerarse los siguientes
controles:
• Siempre que sea posible, las líneas de energía eléctrica y
de comunicaciones deben ser subterráneas. En su defecto, se sujetarán a una
adecuada protección alternativa.
• El cableado de red se protegerá contra
intercepciones o daños, por ejemplo mediante el uso de conductos, o evitando
trayectos de afluencia de público.
• Para evitar interferencias, los
cables de energía estarán separados de los de comunicaciones.
• Controles
adicionales a considerar para los sistemas sensibles o críticos: instalación de
conductos blindados, instalación de recintos o cajas con cerradura en los puntos
terminales y de inspección, uso de rutas o medios de transmisión alternativos,
uso de cableado de fibra óptica, inspecciones periódicas para detectar
dispositivos no autorizados conectados a los cables.
9.4.5. Mantenimiento
de equipos
El equipamiento informático se mantendrá en forma adecuada
para asegurar que su disponibilidad e integridad sean permanentes. Las
actividades de mantenimiento en todas sus formas (preventivo, correctivo, etc.)
dependerán del Responsable de Seguridad.
Se deben considerar los
siguientes lineamientos:
• implementar el mantenimiento de equipos según
los intervalos de servicio y especificaciones recomendados por el
proveedor;
• personal autorizado por el Responsable de Seguridad tendrá
responsabilidad exclusiva por el mantenimiento y las reparaciones sobre el
equipamiento;
• registro de todas las fallas y labores de mantenimiento
preventivo;
• controles para el retiro de equipos fuera de la sede del
ReNaPer. Se enumeran algunos de ellos: verificación del estado general del
equipo antes de ser retirado; resguardo o eliminación de información —si se
trata de datos sensibles—, antes de retirar el equipo; verificación y
cumplimiento de condiciones establecidas en contratos de mantenimiento,
garantías y/o pólizas de seguro, para la reparación y traslados de los equipos;
cumplir con el procedimiento indicado para la salida y entra de soportes, para
la verificación de salida o entrada de equipos. Esta notificación debe hacerse
con anticipación, y debe indicar, como mínimo: proveedor, ubicación física
original del equipo, datos de identificación (marca, modelo, Nº de serie, Nº de
inventario).
9.4.6. Seguridad del equipamiento fuera del ámbito de la
organización
El uso de equipamiento informático fuera del ámbito del
ReNaPer será requerido por el Responsable Primario, y autorizado por el
Responsable de Seguridad, según corresponda. La seguridad provista debe ser
equivalente a la suministrada dentro Organismo, para un propósito similar,
teniéndose en cuenta los riesgos de trabajar fuera del mismo. A estos efectos,
no se considera ámbito externo a las Delegaciones u otros edificios donde
funciona el ReNaPer.
El equipamiento incluye: computadoras personales y
portátiles, teléfonos móviles, impresoras, insumos, cámaras, pad de firma,
dispositivos de comunicaciones, cableado, token, papel, formularios, y cualquier
otro equipo u insumo que se utilice como herramienta de trabajo, sea propiedad
del ReNaPer o de un tercero.
Se deberán tener en cuenta los siguientes
lineamientos:
• No dejar los equipos en forma desatendida, sobre todo en
lugares públicos. En un viaje, las computadoras personales se transportarán como
equipaje de mano, en forma discreta, de ser posible.
• Respetar las
instrucciones del fabricante.
• Disponer de una adecuada póliza de
seguro
9.4.7. Baja segura o reutilización de equipamiento.
Todo
equipamiento puede desafectarse o reutilizarse. Para eliminar la información que
se halla en los medios de almacenamiento, deben utilizar métodos seguros, en vez
de utilizar funciones de borrado estándar (ejemplo: formateo de bajo nivel en un
disco, en lugar de borrado de archivos). Para el caso de datos en papel, se
recomienda el uso de máquinas destructoras.
Antes de dar de baja un
dispositivo de almacenamiento —por ej. discos rígidos no removibles—, debe
asegurarse la eliminación segura de datos sensibles y/o software bajo licencia.
Se recomienda realizar análisis de riesgo, para determinar si medios de
almacenamiento dañados que contienen datos sensibles, deben ser destruidos,
reparados o desechados.
9.4.8. Retiro de Activos del ReNaPer
Queda
prohibido retirar equipamiento, información y software del ReNaPer sin la
correspondiente autorización formal.
Asimismo, el equipamiento
informático situado afuera del ReNaPer deberá permanecer bajo estrictas normas
de seguridad tendientes a la preservación de la información almacenada. Deberán
aplicarse estrictas normas de seguridad a todos los recursos situados
físicamente fuera del Organismo (“housing”), así como al equipamiento ajeno que
procese información al Organismo (“hosting”).
9.4.9. Seguridad de los
Medios en Tránsito
A fin de salvaguardar los medios informáticos en
tránsito, deben aplicarse los siguientes controles:
• utilizar medios de
transporte o servicios de mensajería confiables. Los Responsables Primarios
deben contar con una lista de servicios de mensajería, con idoneidad y
experiencia comprobable. El Comité de Seguridad podrá implementar un
procedimiento para requerir y verificar los datos consignados;
•
verificación del embalaje, para proteger al contenido contra eventuales daños
físicos durante el transporte, según especificaciones de los fabricantes o
proveedores de los medios;
• adopción de controles especiales, cuando
resulte necesario, con el fin de proteger la información sensible contra
divulgación o modificación no autorizadas.
10. GESTION DE COMUNICACIONES
Y OPERACIONES
10.1. Objetivo
Garantizar la confidencialidad,
integridad y disponibilidad en la interconexión e interoperabilidad de las
comunicaciones que se establezcan en relación al procesamiento y transmisión de
información del ReNaPer, tanto dentro de la órbita del Organismo como en
relación a terceros.
10.2. Responsabilidades
El Responsable de
Seguridad Informática tendrá a su cargo:
• definir e implementar
procedimientos para el control de cambios a los procesos operativos y los
sistemas informáticos, de manera de no afectar la seguridad de la
información;
• establecer criterios de aprobación para las
actualizaciones, nuevas versiones, o nuevos sistemas informáticos, contemplando
realizar las pruebas necesarias antes de su aprobación definitiva;
•
verificar que los procedimientos de aprobación de software incluyan aspectos de
seguridad para las aplicaciones de gobierno electrónico;
• definir
procedimientos para el manejo de incidentes de seguridad y la administración de
los medios de almacenamiento;
• definir y administrar controles para
prevenir accesos no autorizados y software malicioso;
• definir y
administrar controles para garantizar la seguridad de los datos, los servicios y
los equipos conectados a la red del Organismo;
• concientizar a los
usuarios en materia de seguridad sobre controles de acceso, operación y
administración de los sistemas y cambios;
• implementar los cambios
adecuados a los sistemas y equipamiento, asignando responsabilidades, y
evaluando el posible impacto operativo;
• controlar la realización de
copias de resguardo de información, así como la prueba periódica de su
restauración;
• registrar las actividades realizadas por el personal
operativo, para su posterior revisión;
• implementar procedimientos que
permitan tomar medidas correctivas en el momento de fallas en los procesos de la
información o los sistemas de comunicaciones;
• definir e implementar
procedimientos para administrar medios de almacenamiento, tales como cintas,
discos, medios ópticos, informes impresos, dispositivos móviles, diskettes, etc.
La administración contemplará los casos de resguardo, restauración y/o
eliminación de la información almacenada;
• colaborar en el tratamiento
de incidentes de seguridad de la información, de acuerdo a procedimientos
verificados por el Comité de Seguridad;
• evaluar contratos y acuerdos
con terceros para incorporar servicios relacionados con el soporte y la
seguridad de la información.
Cada Responsable Primario, y el Responsable
de Sistemas, determinarán los requerimientos de proceso, comunicación y/o
transporte de la información de su competencia, de acuerdo los niveles de
sensibilidad, disponibilidad y/o criticidad que se requieran.
10.3.
Procedimientos Operativos de Documentación
Se deben documentar y mantener
los procedimientos en el ambiente de Producción, identificados por su política
de seguridad.
Los procedimientos del ambiente de Producción estarán
plasmados en documentos formales. Los cambios deberán ser autorizados por los
niveles de responsabilidad que correspondan (Responsable de Sistemas,
Responsables Primarios, Unidad de Auditoría Interna, Comité de Seguridad de la
Información, etc).
Los procedimientos especificarán detalladamente cada
tarea, considerando:
• procesamiento y manejo de la información;
•
requerimientos de programación de procesos, interconexión con otros sistemas,
así como tiempos de inicio y finalización de las tareas;
• manejo de
errores u otras condiciones excepcionales que surjan durante la ejecución de
tareas;
• restricciones en el uso de utilitarios de sistema
operativo.
• administración de comunicaciones, así como de ambientes
operativos y de desarrollo de sistemas;
• soporte en caso de dificultades
imprevistas, operativas o técnicas;
• manejo de salida de información,
(por ejemplo: uso de papelería especial, listados de información confidencial,
almacenamiento móvil, publicaciones en Intranet e Internet)];
•
eliminación segura de tareas con salida de información fallida;
•
reinicio y recuperación de los sistemas, en caso de fallas, reinstalaciones o
actualizaciones;
• instalación y mantenimiento del equipamiento de
proceso de la información y de comunicaciones;
• instalación y
mantenimiento de las plataformas de procesamiento de sistemas;
•
programación y ejecución de las tareas en los ambientes de operaciones;
•
monitoreo de los procesos y las comunicaciones;
• inicio y finalización
de la ejecución de los sistemas;
• gestión de servicios;
•
resguardo y restauración de la información;
• gestión de incidentes
informáticos y de comunicaciones, considerando el posible impacto a la seguridad
de los datos.
10.4. Gestión de Procesamiento Externo
En caso de
tercerizar el procesamiento, se acordarán controles con el proveedor del
servicio, los que se incluirán en el contrato vinculante.
Se contemplarán
las siguientes cuestiones específicas:
• tercerizar aquellos trabajos
relacionados con el ambiente de Desarrollo, según las evaluaciones que efectúe
el Responsable de Seguridad (disponibilidad de personal, equipamiento para
desarrollo de sistemas, nivel de sensibilidad de la información, etc.);
•
obtener la aprobación de los Responsables Primarios de las aplicaciones
específicas;
• identificar las implicancias para la continuidad de las
actividades del ReNaPer;
• especificar las normas de seguridad y la
verificación del cumplimiento;
• asignar funciones específicas y
procedimientos para monitorear las actividades de seguridad;
• definir
funciones, procedimientos de comunicación y manejo de incidentes de
seguridad.
10. 5. Planificación y aprobación de Sistemas
10.5.1.
Objetivo
Minimizar el riesgo de fallas en los sistemas. Garantizar la
disponibilidad de capacidad y recursos adecuados, para lo cual se requiere una
planificación y una preparación anticipada. Para ello, se efectuarán
proyecciones para futuros requerimientos de capacidad, a fin de reducir el
riesgo de sobrecarga de los sistemas.
Todo nuevo requerimiento para el
ambiente de Producción deberá establecerse, documentarse y probarse antes que el
nuevo sistema se haya aprobado en el ambiente de Desarrollo.
10.5.2.
Planificación de la capacidad
El Responsable de Sistemas determinará las
necesidades de capacidad de los sistemas productivos, además de proyectar las
futuras demandas, para garantizar un procesamiento adecuado.
Se tomarán
en cuenta:
• nuevos requerimientos informáticos;
• tendencias
actuales y proyectadas en el procesamiento de la información del ReNaPer, para
el período de vida útil de cada componente;
• utilización de los recursos
clave del sistema (procesadores, almacenamiento principal, almacenamiento de
archivos, impresoras, sistemas de comunicaciones etc.).
Las necesidades
deberán ser informadas al Comité de Seguridad y a los responsables Primarios,
con el fin de identificar y evitar potenciales cuellos de botella que se
traduzcan en amenazas a la seguridad o a la continuidad de los
procesos.
10.5.3 Aprobación del sistema
El Responsable de Sistemas
definirá los criterios de aprobación para los sistemas informáticos, sus
actualizaciones y nuevas versiones.
Se deben considerar los siguientes
puntos:
• impacto en el desempeño y requerimientos de capacidad de las
computadoras;
• posibilidad de recuperación ante errores;
• planes
de contingencia, y continuidad operativa del ReNaPer;
• realización de
las pruebas necesarias antes de la aprobación definitiva de los
sistemas;
• impacto de nuevas instalaciones sobre los sistemas existentes
y la seguridad global del Organismo;
• definición de tareas y funciones
para los administradores y usuarios;
• capacitación sobre administración,
operación y/o uso de nuevos sistemas, antes de pasarlos al ambiente de
Pruebas;
• documentación completa.
11. MANTENIMIENTO Y RESGUARDO
DE LA INFORMACION
11.1. Objetivo
Definir un procedimiento de
carácter confidencial, de realización de copias de respaldo y recuperación de
archivos a fin de garantizar la integridad y disponibilidad de los servicios
informáticos y datos con que opera el ReNaPer.
11.2. Alcance del
Resguardo de la Información
El Responsable de Seguridad junto con los
Responsables Primarios, determinarán y documentarán los requerimientos de
resguardo del software y los datos de cada sector, en función de su
criticidad.
Se controlará la realización de dichas copias, así como las
pruebas de restauración. Para ello se contará con instalaciones de resguardo que
garanticen disponibilidad de la información y el software critico del
Organismo.
Recae en el Responsable de Seguridad o en quien éste delegue
para ejecutar sus funciones, la obligación de informar al personal autorizado
sobre la periodicidad con que deben hacerse las copias de seguridad
obligatoriamente y respecto de la confidencialidad en el modo o sistema de
realización de las mismas.
11.3. Controles del Resguardo y Recupero de la
Información
Se definirán procedimientos para el resguardo de la
información, considerando los siguientes aspectos:
• esquema de rotulado
de las copias de resguardo, a fin de contar con toda la información necesaria
para la identificación y la administración del medio de almacenamiento
utilizado;
• tipo y frecuencia de resguardo de información, por ejemplo:
resguardo completo o parcial, frecuencia diaria-semanal-mensual, incremental,
etc.;
• medios de almacenamiento utilizados para las copias de
resguardo;
• destrucción segura de medios dados de baja;
• guarda
de copias de los medios de resguardo dentro del ReNaPer. Para ello, se tendrán
en cuenta los niveles de clasificación de la información, en términos de
disponibilidad y criticidad, a fin de definir la información a ser almacenada en
sitio externo;
• almacenamiento externo de copias de todo el software y
datos esenciales para la operación del Organismo, así como los procedimientos
documentados de restauración;
• niveles de protección física y controles
iguales o mayores que los aplicados al sitio principal, para la información
guardada en un sitio externo;
• prueba periódica de los procedimientos de
restauración, verificando eficacia y cumplimiento dentro del tiempo asignado
para recuperación de datos en los procedimientos operativos.
Se efectuará
un monitoreo de los sistemas de resguardo, de modo que cumplan con los
requerimientos de los planes de continuidad de actividades del
ReNaPer.
11.4. Administración y Seguridad de los Medios de
Almacenamiento
11.4.1. Objetivo
Los medios de almacenamiento y
soporte de información deben protegerse físicamente.
Se deben establecer
procedimientos operativos apropiados para controlar y proteger documentos,
medios de almacenamiento (cintas, CD´s, DVD´s, diskettes, dispositivos de
almacenamiento, etc.) listados impresos, etc., contra daño, robo y acceso no
autorizado.
11.4.2. Administración de medios informáticos
removibles
Se implementarán procedimientos para la administración de
medios de soporte y almacenamiento informático, tales como cintas, CD´s, DVD´s,
diskettes, informes impresos y dispositivos móviles (pen-drives, cámaras
fotográficas digitales, etc.).
11.4.3. Eliminación de Medios de
Información
Se definirán procedimientos para la eliminación segura de
datos en los medios de información respetando la normativa vigente. Cuando ya no
son requeridos, los datos almacenados en medios informáticos deben eliminarse de
manera diligente, para evitar que información sensible sea divulgada a usuarios
ajenos al ReNaPer.
Para los procedimientos de almacenamiento y
eliminación segura deberán considerarse los siguientes elementos:
•
documentos en papel;
• grabaciones de voz o sonido;
• papel
carbónico];
• informes de entrada/salida de personal;
• cintas de
impresora de un solo uso;
• cintas magnéticas de cualquier tipo;
•
discos removibles y/o diskettes;
• medios de almacenamiento óptico en
todos los formatos (Ejemplos, CD-ROM, CD´s regrabables, token, DVD-ROM, DVD´s
regrabables). Se incluyen los medios de distribución de software del fabricante
o proveedor;
• listados de programas, soportados en cualquier medio
(papel, magnético, óptico, etc.);
• datos de prueba, soportados en
cualquier medio (papel, magnético. óptico, etc.)
• documentación de
sistema, soportada en cualquier medio (papel, magnético, óptico, etc.);
•
dispositivos de almacenamiento con memoria flash o similar (pen-drives,
reproductores, cámaras fotográficas digitales, etc).
Cuando un soporte
que ha contenido o contiene datos de carácter personal sea desechado,
previamente debe ser borrada toda la información que contiene mediante un
sistema que no permita ni su aprovechamiento posterior ni la recuperación de los
datos que contenía.
Se puede actuar bajo cualquiera de las dos
opciones:
• Borrado lógico de la información de los soportes, de tal
forma que no se permita el recuperado de la información.
• Destrucción
completa del soporte.
Cuando un soporte que ha contenido o contiene datos
de carácter personal sea reutilizado, previamente debe ser borrada toda la
información mediante un sistema que no permita ni su aprovechamiento posterior
ni la recuperación de los datos que contenía.
Se establecerá un
procedimiento de revisión de soportes, indicando la periodicidad (no inferior a
seis meses) con la que se examinarán las bases de datos, y aquellos archivos que
sean antiguos o no hayan sido modificados en ese plazo y no revistan utilidad,
se quitarán de la red, y quedarán guardados sólo en las copias de
seguridad.
11.5. Resguardo de la Información
11.5.1.
Objetivo
Los datos del ReNaPer se protegerán contra pérdida, destrucción
y/o falsificación.
Sin perjuicio de la clasificación de la información
conforme a lo dispuesto en la presente Política, se tipificará la información
según su uso, por ej. registros contables, base de datos, registros de auditoría
y procedimientos operativos, etc. En cada uno de ellos se indicará el medio de
almacenamiento, (papel, microfichas, medios ópticos, cintas magnéticas, etc.) y
el período de conservación.
En el caso de claves criptográficas asociadas
a archivos cifrados, éstas se mantendrán en forma segura, estando disponibles
para su uso por parte de usuarios autorizados, cuando se
requiera.
11.5.2. Procedimientos de Resguardo y Conservación de
Datos
Se definirán los medios de resguardo, el período en que la
información permanecerá almacenada (período de conservación), y la frecuencia de
resguardo. La definición de los resguardos deberá tener en cuenta la
clasificación de datos que hayan efectuado los Responsables Primarios.
Se
definirán procedimientos de resguardo de la información, teniendo en cuenta la
clasificación y tipo de datos, los sistemas, y los medios de almacenamiento a
utilizar que haya definido previamente. Deberá indicarse, asimismo, una
frecuencia para pruebas de restauración, a fin de garantizar la integridad de la
información resguardada. Se tomarán las siguientes medidas:
•
lineamientos para resguardo, almacenamiento, período de conservación de los
datos del ReNaPer;
• preparar un cronograma de retención identificando
los tipos esenciales de registros y el período durante el cual
conservarse;
• mantener un inventario de programas fuentes de información
clave;
• implementar controles para proteger la información y los
registros esenciales contra pérdida, destrucción y falsificación.
Para
realizar estos procedimientos, podrá tomarse como base la siguiente
tabla:
Tipo de Dato
Sistema de Información
Período de Conservación
Medio de Almacenamiento
Responsable Resguardo
Los procedimientos de almacenamiento y manipulación de medios se
implementarán de acuerdo con las recomendaciones del fabricante. Se deberá
garantizar la capacidad de acceso a los datos (tanto legibilidad de formato como
de medios) durante todo el período de conservación de los datos. Se tendrá en
cuenta, además, una protección contra pérdidas ocasionadas por futuros cambios
tecnológicos.
Los sistemas de almacenamiento garantizarán que los datos
puedan recuperarse en tiempo y forma aceptables para los quienes lo
requieran.
11.6. Intercambio de información y software
11.6.1.
Objetivo
Impedir la pérdida, modificación o uso inadecuado de la
información que se procesa entre Organismos. El intercambio de información y
software entre Organismos debe ser controlado, consecuente con la legislación
aplicable, y bajo acuerdos existentes.
Se establecerán normas y
procedimientos para proteger la información y los medios en tránsito, que serán
formalizados entre el ReNaPer y quienes corresponda, mediante acuerdos de
interconexión y acceso a datos por cuenta de terceros y acuerdos de intercambio
de información, de software, de outsourcing, entre otros.
Se deben
considerar implicancias de seguridad y controles relacionados con el intercambio
de datos, el correo electrónico, y sistemas de acceso vía redes (Internet,
Intranet o similares).
11.6.2. Acuerdos de Intercambio de Información y
Software
Deberá especificarse el grado de sensibilidad de la información
objeto de tratamiento. Se tendrán en cuenta los siguientes aspectos:
•
responsabilidades en el control y la notificación de transmisiones, envío y
recepción;
• normas y procedimientos para notificar emisión, envío y
recepción;
• especificaciones técnicas para la estructura de
transmisión;
• pautas para la identificación del prestador del servicio
de transmisión de datos;
• responsabilidades y obligaciones en caso de
pérdida de información;
• determinación del rotulado de información
clasificada, garantizando la inmediata comprensión de los rótulos, y la
protección adecuada de los datos;
• términos y condiciones de la licencia
bajo la cual se suministra el software de transmisión de datos;
•
propiedad de la información suministrada y condiciones de uso;
• si se
requiere, normativa técnica para grabar y/o leer la información y el
software;
• controles especiales para proteger ítems sensibles, (claves
criptográficas, firma digital, etc.).
11.6.3. Seguridad de la
interoperabilidad y el Gobierno Electrónico
Todas las medidas vinculadas
al Plan de Gobierno Electrónico del ReNaPer se dictarán conforme a lo dispuesto
en los Decretos Nº 103 del 25 de enero de 2001, Nº 378 de 27 del abril de 2005,
Nº 628 del 13 de junio de 2005, Nº 512 del 7 de mayo de 2009, la Decisión
Administrativa 669/2004, la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS DE
LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE
GABINETE DE MINISTROS Nº 6 del 3 de agosto de 2005, la Ley Nº 25.506 de Firma
Digital y el Decreto Reglamentario Nº 2628/2002; Ley Nº 26.343 de Protección de
los Datos Personales y su Decreto Reglamentario Nº 1558/2001.
El
Responsable de Tecnología y Seguridad Informática verificará que las
aplicaciones de interoperabilidad y gobierno electrónico incluyan los siguientes
aspectos:
• Autenticación: nivel de confianza recíproca suficiente sobre
la identidad del usuario y el ReNaPer.
• Autorización: niveles adecuados
para establecer disposiciones, emitir o firmar documentos clave, etc. Deberá
establecerse la forma de comunicarlo a la otra parte de la transacción
electrónica.
• Procesos de oferta y contratación pública: requerimientos
de confidencialidad, integridad, prueba de envío y recepción de documentos clave
y no repudio de contratos.
• Trámites en línea: confidencialidad,
integridad, confirmación de recepción y no repudio de los datos suministrados
con respecto a trámites y presentaciones ante el Estado.
• Verificación:
nivel apropiado de constatación de los datos suministrados por los
usuarios.
• Cierre de la transacción: establecer la forma más adecuada de
finalizar el intercambio, para evitar fraudes.
• Protección a la
duplicación: asegurar que una transacción sólo se realice una vez, a menos que
se especifique lo contrario.
• No repudio: establecer la manera de evitar
que una entidad que haya enviado o recibido información alegue que no la envió o
recibió.
• Responsabilidad: asignación de responsabilidades ante el
riesgo de presentaciones, tramitaciones o transacciones
fraudulentas.
11.6.4. Sistemas de Acceso Público y Semi-Público
Un
sistema de acceso público o semi-público es aquel que procesa o difunde datos
accesibles desde Internet, Intranet u otras redes conectadas a los sistemas del
ReNaPer.
Se tomarán recaudos para proteger la integridad de la
información del ReNaPer ubicada en accesos públicos o semipúblicos, de manera de
prevenir modificaciones no autorizadas o intrusiones.
Como requisito
previo a la publicación de información en dominio público o semi-público, deben
verificarse las autorizaciones formales que correspondan. Los responsables de
dichas autorizaciones estarán claramente definidos.
Los sistemas de
acceso público o semi-público deberán tener en cuenta lo siguiente:
• la
información obtenida y/o publicada debe ajustarse a las leyes y normativas
vigentes, en especial la Ley de Protección de Datos Personales;
• la
información y/o sistemas a publicarse deben haber seguido las etapas de
desarrollo, prueba y producción;
• se protegerá adecuadamente la
información sensible que se publique en los ambientes de Internet o Intranet,
tanto durante los procesos de ingreso de datos como en el posterior
almacenamiento;
• el sistema de publicación debe inhibir accesos no
autorizados a las redes internas u otras a las cuales éste se conecte;
•
el Responsable Primario de los sistemas de publicación designará formalmente al
responsable de la publicación de información en Internet o Intranet;
• se
garantizará la validez y vigencia de la información publicada;
• se
instalarán sistemas de filtrado de acceso a Internet por parte de empleados y
personal jerárquico del ReNaPer.
11.6.5. Seguridad Frente al Acceso por
Parte de Terceros
Cuando exista un requerimiento de acceso a la
información del Organismo por parte de terceros, o bien éstos presten al ReNaPer
un servicio determinado que requiera acceder a los sistemas de información o a
las instalaciones donde se encuentran los recursos, se deberá efectuar una
evaluación de riesgos y una identificación de requerimientos de control
específicos. Se tendrán en cuenta los tipos de acceso (físico o lógico)
implicados, el valor de la información, los controles empleados por la tercera
parte y la incidencia de este acceso en la seguridad de la información del
ReNaPer.
En caso de que las terceras partes accedan a determinada
información del ReNaPer, deberá celebrarse un acuerdo de tratamiento de datos de
carácter personal alojados en bases públicas. El convenio a suscribir deberá
prever la transferencia de información, interconsulta y la eventual cesión de
datos de carácter personal alojados en las bases de datos del ReNaPer. Deberá
acordarse el tipo de acceso a datos por cuenta de terceros y de cesión de datos,
que dé cumplimiento a los principios de tratamiento del dato y obligaciones del
responsable del tratamiento, en particular lo previsto en los artículos 4, 9,
10, 11, 14,15 y 16 de la Ley 25.326; atendiendo especialmente a establecer
taxativamente las finalidades de la cesión, se cumplan las medidas de seguridad
exigidas en relación a la calidad de los datos comprometidos; se pacte
expresamente el destino que se les dará a los datos, registros y los que puedan
originarse con motivo del tratamiento durante la vigencia del acuerdo y una vez
finalizado éste.
Asimismo, deberá establecerse contractualmente el
alcance de responsabilidades y sus límites, en relación al vínculo de
cesionario/ cedente y encargado de tratamiento/ responsable de la base de datos,
respectivamente.
Sin perjuicio de los requerimientos exigidos
anteriormente, en el contrato principal o en anexos complementarios, debe
acordarse:
• sujeción y compliance con la Política de Seguridad del
ReNaPer;
• controles para garantizar la recuperación o destrucción de la
información y los activos al finalizar el contrato, o en un momento convenido
durante la vigencia del mismo;
• niveles de servicio esperados y
aceptables;
• autorización de transferencias de personal, cuando
correspondan;
• derechos de propiedad intelectual y protección de
trabajos realizados en colaboración;
• elaboración y presentación de
informes de notificación e investigación de incidentes y violaciones a la
seguridad; deberá establecerse el formato de presentación de dichos informes, y
del receptor de los mismos por parte del ReNaPer;
• derecho del ReNaPer a
monitorear, auditar, y revocar o impedir la actividad de los terceros;
•
la relación entre proveedores del ReNaPer y subcontratistas de
aquellos.
12. CONTROL DE ACCESO LOGICO
12.1.
Objetivos
Deben implementarse procedimientos formales que controlen la
asignación de derechos de acceso lógico a los sistemas de información y bases de
datos del ReNaPer. Dichos procedimientos estarán claramente documentados y
notificados.
Los procedimientos abarcarán todas las etapas del ciclo de
vida de los accesos de los usuarios de todos los niveles, incluyendo:
•
etapa inicial, otorgamiento de derechos de acceso a nuevos usuarios;
•
etapa intermedia, cambio de derechos de acceso por nuevos requerimientos de
trabajo, desplazamiento a otras áreas del ReNaPer, o porque ya no se
requieren;
• eliminación de los derechos por baja de los
usuarios.
Los principales objetivos perseguidos con el control de acceso
lógico a los sistemas informáticos, aplicaciones y bases de datos del ReNaPer
son los siguientes:
• Implementar seguridad en los accesos por medio de
técnicas de identificación, autenticación y autorización.
• Controlar la
seguridad en la interoperabilidad entre la red del Organismo y otras redes
públicas o privadas.
• Registrar y revisar eventos y/o actividades
críticas llevadas a cabo por los usuarios en los sistemas.
• Concientizar
a los usuarios respecto de su responsabilidad frente a la utilización de
contraseñas y equipos. Para ello se deben tener en cuenta las políticas de
difusión y autorización de la información.
• Garantizar la seguridad de
la información cuando se utiliza computación móvil e instalaciones de trabajo
remoto.
12.2. Responsabilidades
El Responsable de Seguridad tendrá
a su cargo:
• definir normas, procedimientos y configuraciones para la
gestión de accesos a todos los sistemas, bases de datos y servicios de
información del ReNaPer;
• definir las tecnologías de identificación y
autenticación de usuarios adecuadas para la Organización (Ej.: biometría,
verificación de firmas, autenticadores de hardware, etc.);
• definir
pautas de utilización de Internet e Intranet, estableciendo procedimientos
formales para la solicitud y aprobación de accesos;
• implementar los
accesos remotos a la red del ReNaPer, adoptando todas las medidas de seguridad
de la información que correspondan, y cumpliendo con las normas
vigentes;
• monitoreo del uso del equipamiento e instalaciones
informáticas, el uso de computación móvil, y el acceso remoto;
•
implementación de subdivisiones de la red (por ejemplo, mediante Redes LAN
Virtuales), por medio de routers y/o gateways, recomendando los esquemas más
seguros, eficientes y apropiados para la red del ReNaPer;
• definición de
normas y procedimientos de seguridad, así como su implementación en los sistemas
operativos, servicios de red, y sistemas de comunicación (switches, routers,
gateways, etc.). Los procedimientos deberán revisarse y validarse
periódicamente;
• implementar los métodos de autenticación y control de
acceso definidos para los sistemas, bases de datos y servicios;
•
implementar pautas para los controles de acceso, a saber:
•
identificación, autenticación de usuarios y administración de
contraseñas,
• administración de permisos
• utilización de
servicios de red
• identificación y autenticación de nodos
• uso
controlado y restringido de utilitarios del sistema operativo,
•
desconexión de terminales por tiempo muerto de uso,
• limitación del
horario de conexión a la red,
• registro de eventos,
• protección
de las redes, mediante implementación de subredes, limitación de puertos
de
acceso, control de conexiones, control de ruteo de red, etc.
•
controlar la asignación de permisos a usuarios. Se deberán implementar
procedimientos formales para otorgar o bloquear los derechos de acceso a la red
de acuerdo a la correspondiente autorización del Responsable Primario;
•
definir e implementar un proceso formal y periódico de revisión de los permisos
de acceso a la información. Esta tarea se efectuará conjuntamente con los
Responsables Primarios de la Información;
• definir e implementar
registros de auditoría de eventos de los sistemas operativos, los procesos y las
comunicaciones;
• implementar el registro de eventos o actividades de
usuarios de acuerdo a lo definido por los propietarios de la información, así
como la depuración de los mismos;
• concientizar a los usuarios sobre el
uso apropiado de contraseñas y de equipos de trabajo y asistirlos en los
análisis de riesgo a los que se expone tanto a la información como a los
dispositivos informáticos de soporte;
Los Responsables Primarios de la
Información estarán encargados de:
• evaluar los riesgos a los que se
expone la información, con el objeto de determinar los controles de accesos,
autenticación y permisos de uso a implementarse en cada caso;
• autorizar
y solicitar la asignación de los permisos de acceso a los usuarios de su
área;
• autorizar y justificar las solicitudes de acceso a trabajo remoto
por parte del personal a su cargo.
12.3. Política de Control de
Accesos
Las reglas y derechos de accesos de los usuarios deben ser
claramente establecidas. Asimismo, los proveedores de servicios deberán indicar,
en forma precisa, los requerimientos técnico-comerciales que satisfacen a los
controles de acceso aquí establecidos.
Para ello, de forma previa a la
definición de las reglas de control de acceso, será menester identificar los
requerimientos de seguridad de la información relacionada con cada una de las
aplicaciones, de la legislación aplicable y/o las obligaciones contractuales que
emanen de la protección del acceso a datos y servicios.
12.4. Reglas de
control de accesos
Al especificar las reglas de control de acceso, se
debe considerar lo siguiente:
• diferenciar entre reglas obligatorias,
optativas o condicionales;
• establecer reglas sobre la base del mínimo
privilegio requerido para trabajar sobre los sistemas, bases de datos o
servicios;
• establecer reglas sobre la base de la premisa “Todo está
generalmente prohibido a menos que se permita expresamente”, por encima de la
regla “Todo está permitido a menos que se prohíba expresamente”;
•
establecer lineamientos en los cambios automáticos de los rótulos de
información, por medio de aplicativos o sistemas, versus aquellos el usuario
inicia según su criterio;
• controlar cambios en los permisos de usuario,
efectuados automáticamente por el sistema operativo de red, y/o aquellos que
efectúa el administrador;
• definir las reglas que requieren autorización
del Responsable Primario, antes de entrar en vigencia, y aquellas que no la
requieren;
• definir los perfiles de acceso de usuarios comunes a cada
categoría de puestos de trabajo;
• establecer los tipos de conexiones de
red disponibles, administrando los derechos de acceso que correspondan a
ambientes distribuidos.
12.5. Administración de Accesos de
Usuarios
12.5.1. Objetivo
Controlar la asignación de permisos, el
registro inicial de nuevos usuarios, la modificación por requerimientos de
trabajo o desplazamiento de área, la revocación de permisos, eliminación de
acceso y controlar los accesos no autorizados.
12.5.2. Registración de
Usuarios
Se definirá un procedimiento formal de registro de usuarios,
para otorgar y/o revocar el acceso a todos los sistemas, bases de datos y
servicios de información del ReNaPer.
Dicho procedimiento debe
estipular:
• cada Director Provincial, y/o responsable de registro en
representación de terceros (ONGs), remitirá al Responsable de Seguridad un
listado de cuentas de correo autorizadas por él para la creación y gestión de
usuarios dentro de la órbita de su jurisdicción.
• No se crearán usuarios
cuya solicitud provenga de una cuenta de correo electrónico no autorizada en el
listado de emails autorizados.
• La gestión de usuarios se efectuará
conforme a lo solicitado por correo electrónico, previa constatación por el Area
Soporte, que el emisor del correo está incluido en “listado de emails
autorizados a generar usuarios”. El citado listado deberá mantenerse
actualizado, y ser remitido al Responsable de Seguridad por cada Director de
Registro Provincial y de la Ciudad Autónoma de Buenos Aires.
• El uso de
cuentas será de usuario único, activadas mediante número de DNI y huella
biométrica. Cada usuario deberá ser además, geográficamente localizable. Se
podrá detectar a cada persona por sus acciones dentro del sistema.
• Se
evitará, en la medida de lo posible, la existencia de múltiples perfiles de
acceso para un mismo empleado. Asimismo, deberá verificarse, periódicamente, la
existencia de cuentas redundantes.
• Establecer cuentas genéricas o
grupales diferentes para cada uno de los ambientes —desarrollo, prueba y
producción—, donde se encuentre instalado la aplicación.
• Implementar
los permisos de acceso sólo si se verifica que el usuario tiene autorización
formal del Responsable Primario de la Información.
• Verificar que los
permisos de acceso a otorgar sean adecuados para el propósito y función del
usuario, en total coherencia con las presentes Políticas de Seguridad de la
Información del ReNaPer. El Responsable Primario deberá asesorarse sobre los
riesgos a la seguridad que impliquen otorgar accesos indebidos, o pertenecientes
a áreas que no son de su incumbencia.
• El Responsable de Seguridad
deberá mantener un registro formal de todas las personas autorizadas para
utilizar los servicios.
• Requerir que los usuarios notifiquen que
conocen y aceptan los derechos y responsabilidades emanadas de los permisos de
acceso a la información.
• Establecer los mecanismos formales de
comunicación sobre los usuarios que cambian sus tareas, se desvinculan del
ReNaPer, o sufrieron pérdida/robo de credenciales de acceso. Esta es una tarea
conjunta entre los Responsables Primarios, el Responsable de Seguridad y el
Responsable de Recursos Humanos, quien deberá informar de inmediato al
Responsable de Seguridad, para modificar, eliminar o bloquear los permisos de
acceso según el caso.
• Inhabilitar cuentas inactivas por más de 180
días. Se informará al Responsable Primario, quien autorizará a la habilitación
de la cuenta o su baja definitiva,
• Eliminar cuentas inactivas por más
de 365 días,
• Garantizar que cada cuenta de usuario sea utilizada
exclusivamente por el titular de la misma,
• Los contratos de personal,
terceros y/o de servicios deberán contener cláusulas que especifiquen sanciones
ante la violación de los controles de acceso autorizados.
12.6.
Administración de Privilegios
El uso inadecuado de privilegios que
permitan a un usuario pasar por alto los controles de seguridad informáticos es
una causa frecuente de fallas en los sistemas informáticos. Por tanto, se deberá
ejercer un estricto control en la asignación y uso de privilegios, mediante
procedimientos formales de autorización.
Se deben tener en cuenta los
siguientes aspectos:
• identificación de los privilegios asociados a cada
producto: sistema operativo, base de datos y/o aplicativo. Deberán definirse las
categorías de personal a las cuales se asignarán los privilegios;
•
asignar privilegios sobre la base del mínimo permiso necesario y la necesidad de
uso de acuerdo al rol funcional del usuario;
• implementar procedimientos
de autorización y registro de todos los privilegios asignados;
• no
otorgar privilegios sin haber completado el proceso formal de
autorización;
• establecer períodos de vigencia los privilegios
brindados, en base a la utilización que se le dará a los mismos;
•
revocar los permisos al finalizar su uso o los motivos que le dieron
causa;
• desarrollar rutinas del sistema operativo para evitar la
necesidad de otorgar privilegios a los usuarios.
Los Responsables
Primarios de la Información serán los encargados de autorizar y requerir la
asignación de privilegios a los usuarios. El Responsable de Seguridad o quien él
designe supervisará los pedidos.
12.7. Administración de Contraseñas de
Usuario
Las contraseñas constituyen un medio común de validación de la
identidad de un usuario para acceder a un sistema o servicio informático. La
asignación de contraseñas debe controlarse a través de un proceso de
administración formal, mediante el cual debe llevarse a cabo lo
siguiente:
• Los usuarios firmarán una declaración de compromiso de
mantener en secreto las contraseñas de sus cuentas (red, correo, aplicativos,
etc.), que formará parte del compromiso de confidencialidad. Un modelo se
encuentra disponible en el presente como Anexo II.
• El titular de la
cuenta deberá cambiar su contraseña la primera vez que ingrese a los
sistemas.
• Debe evitarse la participación de terceros, tanto en la
generación como en la entrega de las contraseñas. Si se emplea correo
electrónico, se recomienda entregar la contraseña por medio de mensajes
cifrados, con acuse de recibo por parte del usuario.
• En caso que ser
necesario, utilizar tecnologías de autenticación y autorización de usuarios,
como ser verificación de firma digital, uso de autenticadores de hardware (p.
ej.: tarjetas de circuito integrado), biometría (p. ej.: verificación de huellas
dactilares), etc. El Responsable de Seguridad evaluará y propondrá el empleo de
estas herramientas al Comité de Seguridad. En la aplicación Nuevo DNI, se
evaluará la posibilidad de incorporar identificación biométrica del usuario para
validar sus operaciones.
• Configurar los sistemas de tal manera que las
contraseñas tengan una longitud mínima de 8 caracteres alfanuméricos.
•
Bloquear la cuenta cuando el usuario haya efectuado 3 intentos de ingresar con
una contraseña incorrecta.
• Requerir cambios contraseñas trimestrales,
impidiendo que contraseñas antiguas puedan ser reutilizadas.
• Permitir
que los usuarios seleccionen y cambien sus propias contraseñas, en los casos de
ingreso inicial o modificación autorizada.
• Mantener un registro (por
ejemplo: a través del Sistema Operativo) de las contraseñas utilizadas por el
usuario, para evitar la reutilización de las mismas, el cual permanecerá
encriptado.
• Mantener ocultas las contraseñas, cuando se ingresan por
pantalla.
• Los archivos de contraseñas de acceso a las aplicaciones
deben almacenarse en forma separada a los archivos de contraseñas de bases de
datos.
• Se recomienda almacenar las contraseñas en forma cifrada,
utilizando un algoritmo de cifrado unidireccional, hash u otro.
•
Modificar todas las contraseñas predeterminadas por el vendedor, una vez
instalado el software y el hardware (por ejemplo claves de impresoras, hubs,
routers, etc.). De ser posible, debe cambiarse el nombre del usuario
administrador inicial (p. ej.: admin, root, administrador, etc.).
12.8.
Uso de Cuentas con Perfil de Administrador
Existen cuentas de usuario con
las cuales es posible efectuar actividades críticas, como ser instalación y
administración de plataformas, habilitación de servicios, actualización de
software, configuración de componentes informáticos, etc.
Dichas cuentas
tienen el nivel superior de privilegios. No deben ser de uso habitual, y sólo
serán utilizadas ante una necesidad crítica o una tarea que lo requiera. Las
mismas se encontrarán protegidas por contraseñas más robustas que el
procedimiento habitual.
El Responsable de Seguridad definirá
procedimientos para la administración de dichas cuentas. Deberá contemplarse lo
siguiente:
• definir formalmente las causas que justifiquen el uso de
cuentas de administrador, así como los niveles de autorización
requeridos;
• definición de contraseñas seguras;
• de ser posible,
renombrar las cuentas administrativas embebidas en los sistemas
operativos;
• los nombres y las contraseñas de las cuentas críticas se
resguardarán con un alto nivel de seguridad (p. ej.: en archivos
encriptados);
• registrar y revisar todas las actividades que se efectúen
con las cuentas críticas, renovándose las correspondientes contraseñas, de ser
posible, una vez que sean usadas.
12.9. Uso de Contraseñas
Los
usuarios deberán observar prácticas confiables en la selección y uso de
contraseñas, teniendo en cuenta que éstas constituyen el medio de validación de
derechos de acceso a los recursos informáticos, siendo de cumplimiento
obligatorio:
• Mantener las contraseñas en secreto.
• Pedir un
cambio de la contraseña siempre que exista un posible indicio de violación de
las contraseñas o los sistemas.
• Seleccionar contraseñas seguras, que
tengan en cuenta las siguientes recomendaciones: que sean fáciles de recordar
por el titular de la cuenta, que no estén basadas en algún dato que otra persona
pueda adivinar u obtener fácilmente, y que no tengan caracteres idénticos
consecutivos o grupos totalmente numéricos o totalmente alfabéticos.
•
Cambiar las contraseñas cada vez que el sistema se lo solicite.
• Evitar
reutilizar contraseñas viejas.
• cambiar las contraseñas provisorias en
el primer inicio de sesión (“log on”). El sistema operativo podrá obligar al
usuario a este cambio.
• Notificar cualquier incidente relacionado con la
pérdida, robo de las contraseñas.
• En el caso de múltiples servicios o
plataformas, se recomienda el empleo de un sistema de integración de
identidades, con acceso por cuenta única.
12.10. Control de acceso a la
red
12.10.1. Objetivo
Es necesario controlar el acceso a las redes
del ReNaPer, a fin de que los usuarios puedan hacer uso de los servicios, tanto
internos como externos, sin comprometer la seguridad. Atento ello, se sugiere
implementar:
• interfaces adecuadas entre la red del ReNaPer,
delegaciones, CDR, Unidades Móviles de Documentación Rápida, Registros
Provinciales, Cámara Nacional Electoral, Dirección Nacional de Migraciones,
otras Direcciones Nacionales, y las redes públicas o redes con las que se
interconecte de terceros Organismos;
• mecanismos de autenticación
apropiados para usuarios y equipamiento;
• controles de acceso a los
servicios.
12.10.2. Política de utilización de los servicios de
red
Se otorgará acceso a los servicios y recursos de red, siempre y
cuando se efectúe el requerimiento formal por parte del Responsable Primario,
para el personal de su incumbencia, por ante el Responsable de Seguridad o quien
procedimentalmente se designe a tal efecto.
Se dará especial importancia
a aquellas aplicaciones que procesen información crítica, y a usuarios ubicados
en sitios de alto riesgo (por ejemplo: áreas de afluencia de público, oficinas
externas al ámbito de control de seguridad del Organismo, etc.).
Para
ello, se implementarán procedimientos para activar y desactivar conexiones a las
redes. Se considerará:
• identificar los servicios de red y las
conexiones para los cuales se brinda el acceso;
• implementar normas y
procedimientos de autorización, a fin de determinar las personas que harán uso
de los servicios de red;
• establecer controles y procedimientos de
gestión para proteger las conexiones y los servicios.
12.10.3. Camino
Forzado
Previendo las posibles vulnerabilidades que pueden sucederse a
consecuencia del diseño de las redes de comunicaciones, deben limitarse las
opciones de elección de la ruta entre la terminal de usuario y los servicios de
red autorizados, siendo recomendable:
• asignar números telefónicos o
líneas, en forma dedicada;
• establecer que todas las conexiones
autorizadas pasen a través de dispositivos de seguridad específicos (por
ejemplo: conexiones forzadas a firewalls, routers, etc.);
• limitar las
opciones de menú y submenú en los aplicativos, para los usuarios no
administrativos;
• en los puestos de trabajo, limitar los aplicativos y
opciones instalados en el escritorio a los relacionados con las tareas
específicas de cada usuario;
• evitar la navegación ilimitada por la red
por medio de dominios lógicos separados (por ejemplo, redes privadas virtuales
para grupos de usuarios dentro o fuera del ReNaPer);
• imponer el uso de
aplicativos y/o gateways de seguridad específicos para usuarios externos de la
red.
12.10.4. Autenticación de Nodos
Los usuarios remotos deben
cumplir con procedimientos de autenticación, para disminuir el riesgo de accesos
no autorizados mediante conexiones externas a la red de datos del ReNaPer. A tal
fin, los Responsables Primarios y de Sistemas realizarán una evaluación de
riesgos a fin de determinar el mecanismo de autenticación adecuado para cada
caso.
Las conexiones de sistemas remotos deben autenticarse,
particularmente si las mismas provienen de redes externas al control de la
gestión de seguridad del Organismo.
La autenticación de nodos es un medio
alternativo de establecer la identidad de usuarios remotos, cuando éstos desean
acceder a una red segura. La autenticación de usuarios remotos puede llevarse a
cabo utilizando:
• herramientas físicas de autenticación (por ejemplo
llaves de hardware). Para ello, debe implementarse un procedimiento que incluya
una asignación formal de la llave de autenticación a quien lo requiera, un
registro de los poseedores de las herramientas que se actualice periódicamente,
un proceso de recuperación/ devolución de la herramienta al momento de la
desvinculación del personal poseedor de la misma, y un método de revocación de
acceso, en caso de un compromiso a la seguridad.
• protocolos de
autenticación (por ejemplo desafío/respuesta). En este caso, debe implementarse
un procedimiento que incluya el establecimiento de las reglas de autenticación
con el usuario, el establecimiento de un ciclo de vida de las reglas, en miras a
su renovación.
• líneas dedicadas privadas con controles de re-llamada.
En este caso es importante que el proceso produzca una desconexión real del lado
del Organismo, al finalizar la llamada.
• redes privadas
virtuales.
12.10.5. Protección de los puertos de diagnóstico
remoto
Muchas computadoras y sistemas de comunicación poseen una
herramienta de diagnóstico remoto, para uso del soporte técnico. Los puertos de
diagnóstico son un potencial medio de acceso no autorizado, por lo que deben
protegerse, ejerciendo un control seguro sobre los mismos. Algunos mecanismos de
seguridad apropiados pueden ser:
• llaves de seguridad;
•
procedimientos de acceso, establecidos mediante un acuerdo entre el Responsable
de Sistemas y el proveedor del soporte técnico de los recursos
informáticos.
12.10.6. Computación Móvil y Trabajo Remoto
Al
emplear equipos informáticos móviles, se debe tener especial cuidado de no
comprometer la información del Organismo. En esta categoría se incluyen a modo
enunciativo y ejemplificativo no taxativo, todos los dispositivos móviles y/o
removibles, a saber:
• notebooks, laptops o PDA (Asistente Personal
Digital);
• teléfonos celulares, blackberry y sus tarjetas de
memoria;
• dispositivos de almacenamiento removibles, tales como CD’s,
DVD’s, diskettes, cintas, discos, etc.;
• dispositivos de almacenamiento
de conexión de Bus Serie Universal —USB—, tales como: tarjetas de identificación
personal (control de acceso), dispositivos criptográficos, cámaras digitales,
reproductores de archivos mp3, etc.
• otros dispositivos removibles o
portátiles que puedan contener información confidencial, sensible y/o crítica
del Organismo.
Se implementarán procedimientos y medidas de seguridad
adecuadas para el uso de estos dispositivos, abarcando los siguientes
conceptos:
• Acceso a los sistemas de información y servicios del
Organismo a través de dichos dispositivos.
• Técnicas criptográficas a
utilizar para la transmisión de información con alto nivel de
clasificación.
• Mecanismos de resguardo de la información contenida en
los dispositivos.
• Protección contra software malicioso.
•
Procedimientos sobre los cuidados especiales a observar, contemplando las
siguientes recomendaciones: permanecer siempre cerca del dispositivo, no dejar
equipos desatendidos tratándose de equipos valiosos, no llamar la atención,
abstenerse de poner identificaciones del Organismo en el dispositivo, salvo lo
estrictamente necesario, no poner datos de contacto técnico en el dispositivo y
mantener la información clasificada de forma cifrada.
• Procedimientos
para que el portador de los dispositivos reporte rápidamente cualquier incidente
sufrido, de manera de mitigar los riesgos de exposición de los sistemas de
información del Organismo.
El trabajo remoto permite que el personal
trabaje desde un lugar externo al Organismo, mediante una tecnología de
comunicaciones; y será autorizado por el Responsable Primario del área a la cual
pertenezca el usuario solicitante, y el Responsable de Sistemas.
Las
normas y procedimientos establecidos para el trabajo remoto, deben tener en
cuenta los siguientes aspectos:
• La seguridad física existente en el
edificio y el ambiente del sitio de trabajo remoto.
• Los requerimientos
de seguridad de comunicaciones, atendiendo a la sensibilidad de la información a
la que se accederá y la sensibilidad y/o criticidad del sistema al que se
accede, conforme el perfil de acceso que tenga el usuario.
• Las amenazas
de acceso no autorizado a información o recursos por parte de otras personas que
utilizan el lugar, por ejemplo, familia y amigos.
• Cuando corresponda,
bloquear las autorizaciones, y derechos de acceso al finalizar las actividades
de trabajo remoto.
• Cuando corresponda, establecer procedimientos para
la devolución de equipamiento, propiedad del MINISTERIO DEL INTERIOR Y
TRANSPORTE, que haya sido utilizado en las actividades remotas, cuando estas
hayan finalizado. Se deberá asegurar que dicho equipamiento sea reintegrado en
las mismas condiciones en que fue entregado.
• Evitar la
instalación/desinstalación de software no autorizado por el Organismo, desde
lugares remotos.
12.10.7. Subdivisión de Redes
La interconexión de
las oficinas centrales del ReNaPer y Delegaciones del país configura una red de
área extensa (WAN). Esta configuración debe protegerse, para evitar el riesgo de
accesos no autorizados.
Para ello, se definirán los perímetros de
seguridad que sean convenientes. Los mismos se implementarán mediante la
instalación de firewalls o por redes privadas virtuales, para filtrar el
tráfico. Asimismo, puede implementarse una subdivisión en dominios lógicos de
red, que tome en cuenta criterios como:
• requerimientos de seguridad
comunes de grupos usuarios
• mayor o menor exposición de un grupo a
peligros externos, separación física, u otros criterios de aglutinamiento o
separación preexistentes.
El Responsable de Seguridad determinará el
esquema más apropiado, evaluando el costo y el impacto de performance que
ocasione la instalación de routers o gateways adecuados para subdividir la
red.
12.10.8. Control de Ruteo de Red
En las redes, especialmente
aquellas que se extienden fuera de los límites del Organismo, se incorporarán
controles de ruteo, para asegurar que las conexiones informáticas no violen las
políticas de Control de Accesos. Estos controles deben contemplar, como mínimo,
la verificación positiva de direcciones de origen y destino. Otros métodos
pueden ser: autenticación de protocolos de ruteo, ruteo estático, traducción de
direcciones y listas de control de acceso.
12.10.9. Seguridad de los
Servicios de Red
El Responsable de Seguridad definirá los lineamientos
para garantizar la seguridad de los servicios de red del ReNaPer, tanto públicos
como privados. Para ello se tendrán en cuenta las siguientes pautas:
•
instalar y habilitar sólo aquellos servicios que sean efectivamente
utilizados;
• controlar el acceso a los servicios, tanto en el uso como
en la administración;
• verificar las vulnerabilidades que pueda
presentar cada servicio, para configurarlo de manera segura;
•
implementar procedimientos para instalar actualizaciones y parches de seguridad
que publiquen los fabricantes o proveedores de los sistemas en forma
periódica.
Las configuraciones de los servicios deberán documentarse, y
revisarse periódicamente.
12.11. Control de acceso al sistema
operativo
12.11.1. Objetivo
Impedir el acceso no autorizado a
servidores y puestos de trabajo. A tal fin, se utilizarán mecanismos de
seguridad a nivel de sistema operativo, a fin de restringir el acceso a los
recursos de los servidores y puestos de trabajo. Dentro del catálogo de medidas
disponibles, se estima oportuno configurar el sistema operativo de modo que sea
posible:
• identificar y verificar la identidad, además de la terminal o
ubicación de cada usuario autorizado;
• registrar accesos exitosos y
fallidos al sistema;
• suministrar medios de autenticación apropiados. Si
se emplean sistemas de administración de contraseñas, debe asegurarse la calidad
de las mismas;
• restringir los tiempos de duración de sesiones de red,
según corresponda.
12.11.2. Identificación de Puestos de Trabajo y
Servidores
Se efectuará una evaluación de riesgos para determinar un
método de identificación adecuado. De dicha evaluación, se redactará un
procedimiento que indique:
• el método de identificación
utilizado,
• la forma de describir cada equipo en el detalle global de la
red.
12.11.3. Procedimientos de Conexión
El acceso a los servicios
de información sólo será posible a través de un proceso de inicio de sesión
seguro, que permita minimizar la oportunidad de accesos no autorizados. Debe
divulgarse la mínima información posible acerca de los sistemas, a fin de no
proveer asistencia innecesaria a un usuario no autorizado.
En el proceso
de conexión a la red o aplicativos, se deberá implementar lo siguiente:
•
mantener en secreto las claves de acceso,
• desplegar un aviso general
advirtiendo que sólo usuarios autorizados pueden acceder al puesto de trabajo o
un servidor,
• no presentar mensajes de ayuda,
• validar la
información de la conexión sólo al completarse el inicio de sesión,
• si
surge una condición de error, el sistema no debe indicar qué parte de los datos
es correcta o incorrecta.
• limitar el número de reintentos de conexión,
a un límite máximo de cinco (5),
• registrar los intentos de acceso no
exitosos,
• una vez superado el límite permitido para reintentos de
acceso, el equipo debe bloquear temporalmente la conexión a la
red.
12.11.4. Identificación y autenticación de los usuarios
Los
usuarios de los servicios de red del ReNaPer deben tener una única cuenta de
acceso al sistema operativo, cualquiera sea su jerarquía, función o tarea. La
misma debe ser de uso exclusivo por su titular, no debiendo ser transferida bajo
circunstancia alguna. En caso de existir un compromiso de seguridad, las
actividades de la cuenta podrán rastrearse, hasta llegar al individuo
responsable.
Las cuentas personales no deben dar ningún inicio del nivel
de privilegio del usuario. Se recomienda que las mismas se denominen indicando
la primera letra del nombre y el apellido, con un máximo de doce (12)
caracteres.
Para el caso del sistema de correo, se podrán emplear cuentas
genéricas, a compartir con un grupo de usuarios, a fin de cumplir una tarea
específica. Para ello, se requerirá la definición de un responsable de cuenta,
designado por el Responsable Primario de la Información, así como una
justificación para la creación y uso de la misma.
12.11.5. Uso de
Utilitarios de Sistemas Operativos
La mayoría de los sistemas operativos
de las instalaciones informáticas tienen uno o más programas utilitarios
pre-instalados. Estos utilitarios tienen capacidad de pasar por alto controles
de sistemas y aplicaciones. Por ello, se impone que su uso sea limitado. Se
deben considerar los siguientes controles:
• Los utilitarios del sistema
deben ser sólo accesibles a los administradores de los sistemas operativos
instalados en los equipos.
• En los puestos de trabajo, los usuarios
autorizados sólo deben acceder a software de aplicaciones.
• Definir y
documentar los niveles de autorización para utilitarios de sistemas.
• De
ser posible, eliminar o inhabilitar los utilitarios y software de sistema
innecesarios.
12.11.6. Desconexión por Tiempo Muerto en Puestos de
Trabajo
Los Responsables Primarios, en conjunto con el Responsable de
Seguridad, definirán qué puestos de trabajo serán considerados de alto riesgo
(por ejemplo: aquellos con sistemas críticos instalados, y ubicados en zonas de
acceso al público).
Se considerará el apagado de los puestos de trabajo,
luego período definido de inactividad —tiempo muerto—, a fin de evitar el acceso
de personas no autorizadas. La herramienta de desconexión por tiempo muerto
limpiará la pantalla de la terminal y habilitará un protector de pantalla
protegido con contraseña. El lapso por tiempo muerto responderá a los riesgos de
seguridad del área y de la información que se maneje en el puesto de
trabajo.
12.10.7. Limitación del Horario de Conexión
Las
restricciones al horario de conexión suministrarán seguridad adicional a las
aplicaciones, reduciendo las oportunidades para el acceso indebido a los
sistemas. Se recomienda implementar un control de esta índole, especialmente
para aquellos puestos instalados en ubicaciones de alto riesgo (por ejemplo,
áreas de acceso al público, o donde se estén procesando datos sensibles o
críticos). Entre los controles a aplicar, se distinguen:
• Limitar los
tiempos de conexión al horario normal de oficina, teniendo en cuenta que no
existan requerimientos operativos de horas extras o extensión horaria.
•
Documentar debidamente a los usuarios que tienen restricciones horarias, así
como los motivos de autorización.
El Responsable Primario deberá
autorizar las solicitudes de fijación de horario de conexión. Se implementarán
las herramientas necesarias para establecer los límites horarios de
conexión.
12.12. Control de Acceso a las Aplicaciones
12.12.1.
Objetivo
Impedir el acceso no autorizado a la información contenida en
los sistemas de información. Las herramientas de seguridad deben ser utilizadas
para brindar el acceso a los usuarios autorizados. Los sistemas de aplicación
deben:
• controlar el acceso de usuarios a la información y a las
funciones de los sistemas de aplicación, de acuerdo con la política de control
de accesos definida;
• brindar protección contra el acceso no autorizado,
principalmente de utilitarios y software del sistema operativo que tengan
capacidad de pasar por alto los controles de seguridad;
• funcionar sin
la seguridad de otros sistemas con los que se comparten recursos de
información;
• brindar acceso a la información únicamente al Responsable
Primario, y a quienes éste autorice, mediante designación formal. También
ingresará a los sistemas el personal de soporte que esté debidamente
notificado.
12.12.2. Restricción del Acceso a la Información
Los
usuarios de sistemas de aplicación, con inclusión del personal de soporte,
tendrán acceso a la información y a las funciones de los sistemas de aplicación
de conformidad con la política de Control de Accesos definida. Para poder
administrar adecuadamente los requerimientos de limitación de acceso, se
aplicarán los siguientes controles:
• proveer interfaces de control de
accesos a las funciones de los aplicativos;
• el Responsable de Sistemas
implementará, configurará y administrará las interfaces de control de accesos.
Además, deberá establecerse un procedimiento para delegar la administración en
los Responsables Primarios que hagan uso de una aplicación en
particular;
• el Responsable Primario autorizará los requerimientos
formales de acceso a las funciones de cada aplicativo. En caso que el mismo
posea la administración del aplicativo, el Responsable de Seguridad deberá
recibir la documentación formal de los tipos de accesos habilitados;
• el
usuario sólo podrá acceder a aquellas funciones operativas necesarias para su
desempeño cotidiano (principios de menor privilegio y de necesidad de
saber);
• el usuario deberá poseer la documentación necesaria para poder
efectuar las operaciones las que está autorizado;
• deberán controlarse
los derechos de acceso de los usuarios, (por ejemplo, lectura, escritura,
borrado y ejecución);
• las salidas de datos de los sistemas de
aplicación (listados, informes, etc.) sólo contendrán la información específica
requerida por la entrada. Las mismas sólo se enviarán a los puestos y/
impresoras autorizados;
• las salidas de datos deberán revisarse
periódicamente, a fin de detectar y remover información redundante;
•
deberá evitarse la posibilidad de modificación directa de datos almacenados, es
decir, por fuera de las interfaces de acceso. Esta opción tendrá un
justificativo en caso de sistemas en ambientes de desarrollo. De presentarse
excepciones, se informará al Responsable Primario y a la Unidad de Auditoría
Interna, estableciéndose un procedimiento adecuado.
12.12.3. Aislamiento
de Sistemas
Se recomienda proteger a aquellos sistemas que se hallen
expuestos al riesgo de pérdida de datos. Para ello, será necesario disponer de
entornos dedicados o aislados, de manera que sólo se compartan recursos con
sistemas de aplicación confiables. Se estima conveniente aplicar las siguientes
consideraciones:
• Definir claramente la clasificación de un sistema de
aplicación. Esta tarea será llevada a cabo por los Responsable Primario y de
Seguridad o quien él designe.
• Definir la manera en que se compartirán
los recursos de los sistemas.
• Implementar la configuración de los
entornos dedicados, de manera que respondan a los requerimientos de
clasificación definidos para los sistemas allí instalados.
• Considerar
una administración segura de las copias de respaldo de información procesada en
los entornos dedicados.
• Considerar los aspectos de criticidad y
confidencialidad, en la elaboración de planes de continuidad y/o contingencia de
las aplicaciones. Por ejemplo: disponer de equipamiento o instalaciones
alternativas donde restablecer los sistemas, en caso de emergencias, en las
mismas condiciones que las del sitio principal.
12.13. Monitoreo del
Acceso y Uso de los Sistemas
12.13.1. Objetivo
Monitoreo de los
sistemas para comprobar la eficacia de los controles adoptados, recolectar
evidencia relativa a incidencias de seguridad y verificar la conformidad con el
modelo de política de accesos.
Deben contarse con controles de acceso
necesarios, a fin de evitar:
• desactivación de la herramienta de
registro.
• alteración de mensajes registrados.
• edición o
supresión de archivos de registro.
• saturación del almacenamiento de
archivos de registro.
• falla en los registros de los eventos.
•
sobre-escritura de los registros.
La Unidad de Auditoría Interna podrá
acceder a los registros de eventos, a fin de colaborar en el control y efectuar
recomendaciones sobre modificaciones a los aspectos de seguridad. También podrán
evaluar las herramientas de registro, pero no tendrán libre acceso a
ellas.
12.13.2. Monitoreo del Uso de los Sistemas
Se desarrollarán
procedimientos para monitorear el uso de los recursos informáticos, a fin de
garantizar que los usuarios desempeñen actividades autorizadas.
Todos los
usuarios de la red del ReNaPer deben conocer el alcance del uso adecuado de los
recursos. Atento ello, serán advertidos respecto de determinadas actividades que
puedan ser objeto de control y monitoreo.
A título meramente enunciativo,
se estima oportuno incluir dentro del monitoreo de red y sistemas, los
siguientes:
• Accesos, incluyendo: identificación del usuario; fecha y
hora de eventos clave; tipos de eventos; archivos a los que se accede;
utilitarios y programas utilizados.
• Operaciones privilegiadas, tales
como: utilización de cuentas administrativas; inicio y cierre del sistema;
conexión y desconexión de dispositivos de entrada y salida de información;
cambio de fecha/hora; cambios en la configuración de la seguridad; alta de
servicios.
• Intentos de acceso no autorizado, tales como: intentos
fallidos de violación a las políticas de accesos; notificaciones en gateways y
firewalls; alertas de sistemas de detección de intrusiones.
• Alertas o
fallas de sistema, tales como: alertas o mensajes de consola; excepciones de los
sistemas de registro; alarmas de administración de redes y accesos remotos a los
sistemas.
13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
13.1.
Objetivo
Definir las normas y procedimientos que se aplicarán durante el
ciclo de vida de producción de los aplicativos, y sobre la infraestructura de
base en la cual se apoyan.
Implementar controles para evitar riesgos de
maniobras dolosas sobre los sistemas, bases de datos y plataformas de software
de base (por ejemplo, operadores que puedan manipular los datos, atacantes que
puedan comprometer la integridad de los datos, etc.).
13.2.
Alcance
Esta Política se aplica a:
• Todos los sistemas
informáticos, sean propietarios o adquiridos a terceras partes.
•
Sistemas Operativos y/o Software de Base y/o utilitarios que integren los
ambientes administrados donde residan los desarrollos mencionados.
13.3.
Responsabilidades
El Responsable de Seguridad, junto con cada Responsable
Primario definirán los controles a ser implementados en los sistemas
desarrollados internamente o por terceras partes, en función de una evaluación
previa de riesgos.
Se incorporarán, de ser necesario, métodos
criptográficos, en función de la criticidad o la confidencialidad requeridas
para la información. En dicho caso, el Responsable de Sistemas definirá los
métodos de encriptación a ser utilizados.
A tales efectos, se deberá
considerar:
• definir los controles y las medidas de seguridad a ser
incorporadas a los sistemas;
• garantizar el cumplimiento de los
requerimientos de seguridad para el software;
• verificar la seguridad de
las plataformas y bases de datos;
• definir y verificar el cumplimiento
de controles para el desarrollo y mantenimiento de sistemas;
• definir
procedimientos para el control de cambios a los sistemas;
• controlar la
introducción de código maliciosos;
• participar en la definición de las
funciones del personal involucrado en el procesamiento de datos (entradas,
salidas, etc.), junto con los Responsables Primarios de los sistemas que
correspondan;
• definir procedimientos de administración de claves
criptográficas;
• asignar funciones para un Implementador y un
Administrador de programas, dentro del área a su cargo;
• incorporar
aspectos relacionados con el licenciamiento, la calidad del software y la
seguridad de la información en los contratos con terceros por el desarrollo de
software.
13.4. Requerimientos de controles de seguridad
Los
controles de seguridad estarán especificados en los requerimientos de nuevos
sistemas y en las mejoras a los existentes. Las especificaciones tendrán en
cuenta controles automáticos o manuales de apoyo que se deban incorporar al
sistema.
Se considerará lo siguiente:
• Un procedimiento para
incorporar controles de seguridad durante las etapas de análisis y diseño del
sistema. Dicho procedimiento incluirá una etapa de evaluación de riesgos previa
al diseño, para definir especificar y aprobar los requerimientos de seguridad y
controles apropiados, sean éstos manuales o automáticos. En esta tarea
participarán las áreas usuarias. Las áreas involucradas podrán solicitar
certificaciones y evaluaciones independientes para los sistemas a poner en
Producción.
• Evaluación de costo y esfuerzo en los controles requeridos,
debiendo éstos ser proporcionales al valor del bien que se quiere proteger y a
los riesgos sobre las actividades planificadas, entendiendo que todo control es
mucho menos costoso de implementar y mantener si se lo introduce en la etapa de
desarrollo de un sistema.
13.5. Seguridad en los Sistemas de
Aplicación
Para evitar la pérdida, modificación o uso inadecuado de datos
pertenecientes a los sistemas de información, se establecerán controles y
registros, verificando:
• validación de datos de entrada,
•
procesamiento interno,
• autenticación de mensajes y comunicación entre
sistemas,
• validación de datos de salida.
13.5.1. Validación de
Datos de Entrada
Se especificarán controles que aseguren la validación de
los datos ingresados. Dichos controles se ubicarán tan cerca del punto de origen
como sea posible, e incluirán datos permanentes y tablas de parámetros. Los
controles se implantarán en la etapa de desarrollo.
Se considerarán los
siguientes controles:
• secuencia,
• monto límite por operación y
tipo de usuario,
• rango y validez de valores posibles, de acuerdo a
criterios predeterminados,
• paridad,
• comparaciones contra
valores cargados en las tablas de datos,
• controles por oposición, de
forma tal que quien ingrese un dato no pueda autorizarlo y viceversa,
•
entrada dual u otros para detectar los siguientes errores: valores fuera de
rango; caracteres inválidos en campos de datos; datos faltantes o incompletos;
volúmenes de datos que exceden los límites inferior y superior; controles de
datos no autorizados o inconsistentes.
Se especificarán las siguientes
acciones a llevar a cabo:
• revisiones periódicas de contenidos de campos
claves o archivos de datos, indicando quién lo realizará, en qué forma, con qué
método, a quiénes se informa el resultado, etc.,
• alternativas a seguir
frente a errores de validación en un aplicativo,
• definición de
responsabilidades del personal involucrado en los procesos de entrada de
datos.
13.5.2. Controles de Procesamiento Interno
Se incorporarán
controles de validación que permitan minimizar o eliminar riesgos por fallas de
procesamiento o en la detección de errores. Los controles se implantarán en la
etapa de desarrollo.
Se considerarán los siguientes controles:
•
las funciones de agregado y eliminación que realizan cambios en los datos
deberán estar identificadas, dentro de los aplicativos,
• verificar la
ejecución de los aplicativos en el momento adecuado,
• verificar que los
aplicativos se ejecuten en el orden correcto, previniendo la falta de secuencia
o fallas de procesamiento previo,
• verificar la finalización programada
en caso de falla, o la detención del proceso hasta que el problema sea
resuelto.
• revisión periódica de los registros de auditoría, para
detectar anomalías en la ejecución de transacciones,
• validación de
datos generados por el sistema,
• verificación de integridad de datos y
del software,
• control de integridad de registros y
archivos.
13.5.3. Autenticación de Mensajes
Cuando una aplicación
envíe mensajes con información clasificada, se deberán implementar controles
criptográficos.
13.6. Seguridad en el Ambiente de
Producción
13.6.1. Objetivo
Garantizar que las actividades de
soporte de tecnología de la información se lleven a cabo de manera
segura.
13.6.2. Control del software de Producción
La
implementación de software en los sistemas en el ambiente de operaciones será
controlada, a fin de minimizar el riesgo de alteración de datos o sistemas en
dicho ambiente. Se tendrá en cuenta lo siguiente:
• la actualización de
bibliotecas de sistemas en Producción sólo será realizada por el implementador
designado, una vez establecidas las aprobaciones correspondientes;
• de
ser posible, los aplicativos en Producción sólo contendrán código
ejecutable;
• se implementará código ejecutable en Producción sólo
después que se haya aprobado en el entorno de Pruebas. Esto incluye la
aceptación del usuario, y la actualización de las correspondientes bibliotecas
de programas fuente;
• se mantendrá un registro de auditoría de las
actualizaciones a las bibliotecas de programas en el entorno operativo;
•
se mantendrá una copia de resguardo de las versiones previas de software, como
medida de contingencia.
Cuando se trate de software suministrado por
terceras partes, se deberá contar con un contrato de soporte del mismo. El
acceso al entorno de ambiente de Producción por terceras partes sólo se otorgará
con fines de soporte, y con previa aprobación del Responsables Primario y de
Seguridad. Las actividades de los proveedores serán sometidas a
monitoreo.
Toda decisión referida a actualizaciones de software debe
tomar en cuenta la seguridad, cómo nuevas funcionalidades puedan afectar a la
protección de los datos, o qué vulnerabilidades se presentan frente a los
cambios.
Los parches de software deben aplicarse en Producción cuando
contribuyan a mitigar o eliminar debilidades en materia de seguridad, luego de
haber sido verificados y aprobados en el entorno de Pruebas.
13.6.3.
Protección de los datos de prueba del sistema
Los datos del entorno de
Pruebas deben ser protegidos y controlados. Las pruebas de aceptación del
sistema normalmente requieren volúmenes considerables de datos, que serán tan
similares a los datos de Producción como sea posible.
Se debe evitar el
uso de bases de datos operativas, o que contengan información personal. La
información de prueba debe ser despersonalizada, aplicándose los siguientes
controles sobre la misma:
• los procedimientos de control de accesos
serán los mismos para los entornos de Prueba y de Producción.
• tanto el
Responsable Primario como el Responsable de Seguridad deberán autorizar las
copias de datos desde el ambiente de Producción al de Pruebas.
• la
información de Producción que se utiliza en el entorno de Pruebas se eliminará
de este último ambiente, una vez concluidos todas las
verificaciones.
13.6.4. Control de acceso a las bibliotecas de programa
fuente
Se mantendrá un control estricto del acceso a las bibliotecas de
programas fuente, de modo de evitar alteraciones indebidas sobre los
aplicativos. Al respecto se efectúan las siguientes consideraciones:
• En
lo posible, las bibliotecas de programas fuente no deben almacenarse en el
ambiente de Producción.
• Se designará un implementador que administre el
almacenamiento de las bibliotecas de programas, para cada aplicación.
•
La documentación de los aplicativos se almacenará en un entorno seguro.
•
Los aplicativos en desarrollo, mantenimiento o pruebas deben almacenarse en
entornos diferentes al de Producción.
• Sólo el implementador podrá
llevar a cabo la actualización y/o distribución de bibliotecas de programas
fuente, con la autorización del responsable del soporte de cada
aplicación.
• Se mantendrán registros de auditoría de los accesos a las
bibliotecas de programas fuente.
• Se dispondrá de copias de resguardo de
versiones anteriores de los programas fuente, con una clara indicación de las
fechas y horas precisas en las cuales estaban en operaciones.
• Tanto el
mantenimiento como las copias de bibliotecas de programas fuente deben sujetarse
a procedimientos estrictos de control de cambios.
13.7. Seguridad en los
Entornos - Desarrollo Prueba y Producción
13.7.1.
Objetivo
Mantener y controlar la seguridad del software y la información
del sistema de aplicación, en los entornos de Desarrollo y
Prueba.
13.7.2. Procedimientos de control de cambios
A fin de
minimizar riesgos por alteraciones no previstas en los sistemas informáticos,
debe existir un control estricto de la implementación de cambios.
Debe
disponerse de procedimientos para el control de cambios, de manera de garantizar
que no se comprometa la seguridad, que los programadores de soporte sólo accedan
a áreas del sistema que competan a las tareas de actualización, y que existan
aprobaciones formales para cualquier cambio.
A este respecto, se estima
conveniente que los procedimientos de control de cambios incluyan:
• un
registro de los niveles de autorización formales acordados. Toda autorización
debe emitirse antes de implementar los cambios;
• revisar que los cambios
no comprometan controles ni procedimientos de integridad;
• identificar
todo el software, la información, las bases de datos y el hardware que requieran
correcciones;
• garantizar que la implementación se lleve a cabo sin
afectar continuidad de las actividades del ReNaPer;
• garantizar que todo
cambio incluya la actualización de la documentación pertinente;
•
mantener un control de versiones para todas las actualizaciones de
software;
• mantener un registro de auditoría de todos los requerimientos
de cambio.
13.7.3. Revisión técnica de cambios en los sistemas
operativos
Periódicamente es necesario cambiar el sistema operativo de
los servidores, por ejemplo, instalar una versión nueva o parches. En estos
casos, deben revisarse los aplicativos instalados, para garantizar que no se
produzca un impacto adverso en las operaciones o la seguridad.
Debe
contemplarse:
• Revisión de procedimientos de integridad y control de
aplicaciones, para garantizar que estos no resulten comprometidos por los
cambios del sistema operativo.
• Garantizar que los presupuestos de
soporte contemplen las revisiones y pruebas de aplicativos que deban realizarse,
como consecuencia de cambios en el sistema operativo.
• Asegurar una
comunicación oportuna de cambios sobre el sistema operativo, antes de la
implementación.
• Garantizar que se realicen las actualizaciones
adecuadas en los planes de continuidad del ReNaPer.
13.7.4. Restricción
de cambios en los paquetes de software
En la medida de lo posible, los
paquetes de software suministrados por proveedores serán utilizados sin
modificación. Cuando se considere esencial modificar un paquete de software, se
deben tener en cuenta los siguientes puntos:
• Riesgos de compromiso
sobre la integridad de los procesos existentes.
• Obtención de
consentimiento del proveedor, cuando corresponda.
• que el proveedor
suministre los cambios requeridos, como actualizaciones estándar de
programas.
• Impacto que se produciría si el ReNaPer asume el
mantenimiento futuro del software, como resultado de los cambios.
Todos
los cambios deben probarse y documentarse en un ambiente de Pruebas, para luego
trasladarlo al entorno productivo.
13.7.5. Desarrollo externo de
software
Cuando en el desarrollo de software participan terceras partes,
se debe considerar lo siguiente:
• Acuerdos de licencias, propiedad de
códigos y derechos de propiedad intelectual.
• Certificación de la
calidad y precisión del trabajo llevado a cabo y acuerdos de niveles de calidad
aceptados (SLA – Service Legal Agreement).
• Acuerdos de custodia en caso
de quiebra comercial de la tercera parte.
• Derechos de acceso a
auditorías de calidad y precisión del trabajo realizado.
• Requerimientos
contractuales con respecto a la calidad del código.
• Realización de
pruebas, previas a la instalación, para detectar códigos troyanos o canales
ocultos.
13.8. Controles Criptográficos
13.8.1.
Objetivo
Proteger la confidencialidad, autenticidad o integridad de la
información, para sistemas que se consideran críticos.
Las técnicas
criptográficas o de cifrado, se emplearán en base a un análisis de riesgo
efectuado con anterioridad, con el fin de asegurar confidencialidad e integridad
en los sistemas que las requieran.
13.8.2. Tipos de técnicas
criptográficas
Las técnicas criptográficas, o cifrado, son de dos
tipos:
• Técnicas de clave secreta (cifrado simétrico), cuando dos o más
actores comparten la misma clave, que se utiliza para cifrar y descifrar
información transferida entre ellos.
• Técnicas de clave pública (cifrado
asimétrico), cuando cada usuario tiene un par de claves: una clave pública (que
puede ser revelada a cualquier persona) y una clave privada (que se mantiene en
secreto). Existe una correspondencia biunívoca entre ambas claves. La clave
privada se emplea para el cifrado de la información, que sólo puede descifrarse
con la clave pública correspondiente. Las técnicas de clave pública pueden
utilizarse tanto para cifrado como para generar firmas digitales.
Todas
las claves deben protegerse contra modificación, destrucción, y divulgación no
autorizada.
13.8.3. Política de Utilización de Controles
Criptográficos
Los controles criptográficos se emplearán en los
siguientes casos:
• para protección de claves de acceso a sistemas, datos
y servicios.
• para uso de firmas digitales.
• para transmisión de
información clasificada, fuera del ámbito del ReNaPer.
• para resguardo
de información, de acuerdo a la evaluación de riesgos que realicen por el
Responsable de Seguridad y cada Responsable Primario.
Asimismo, se
desarrollarán procedimientos de administración de claves, a fin de recuperar la
información cifrada en caso de pérdidas, compromiso, daño o reemplazo de las
claves.
Los algoritmos y longitudes de clave serán los que a la fecha se
consideran seguros. Se recomienda verificar esta condición periódicamente con el
objeto de efectuar las actualizaciones correspondientes.
13.8.4.
Criptografía
Se llevará a cabo una evaluación de riesgos para identificar
el nivel requerido de protección de los datos. De acuerdo con ello se
considerarán el tipo de algoritmo de cifrado y la longitud de las claves
criptográficas a utilizar.
Se seguirán los estándares de cifrado
asimétrico y de cifrado simétrico vigentes para la PKI Argentina.
13.8.5.
Firma Digital
Para el empleo de firmas y certificados digitales debe
considerarse la legislación vigente, Ley Nº 25.506, el Decreto Nº 2628/02 y
normas complementarias.
Asimismo, cuando sea necesario resolver disputas
acerca de la ocurrencia de un evento u acción relativa a evitar que aquel que
haya originado una transacción electrónica niegue haberla efectuado, se
utilizarán servicios de no repudio.
Además de la administración segura de
las claves secretas y privadas, también debe tenerse en cuenta la protección de
claves públicas, mediante la generación de certificados, recurriendo para ello a
una Autoridad Certificante que ofrezca el nivel de confiabilidad requerido. A
tal fin, el MINISTERIO DEL INTERIOR Y TRANSPORTE se ha constituido como
Autoridad de Registro de la Autoridad Certificante ONTI, permitiendo la
tramitación de certificados digitales para funcionarios dentro de la órbita
competencial del Ministerio y el ReNaPer, con el objetivo de agilizar el proceso
de emisión y renovación de certificados.
14. PLAN DE
CONTINGENCIA
14.1. Objetivos
Minimizar los efectos de
interrupciones en las actividades normales del ReNaPer, sea por resultado de
desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas
u otros hechos. Asimismo, se busca que los procesos críticos estén protegidos,
combinando controles preventivos y acciones de recuperación.
Analizar las
consecuencias de interrupciones en el servicio, tomando medidas para la
prevención de hechos similares en el futuro.
Maximizar la efectividad de
las operaciones de contingencia del Organismo, estableciendo planes que incluyan
al menos las siguientes etapas:
• Notificación/activación: consistente en
la detección y determinación del daño y la activación del plan de
contingencia.
• Reanudación: consistente en la restauración temporal de
los procesos y recuperación de los sistemas originales.
• Recuperación:
consistente en la restauración de las capacidades normales de proceso de los
sistemas.
• Coordinación con personal del Organismo y y/o terceras partes
que participen en las estrategias de planificación de
contingencias.
14.2. Alcance
Esta Política se aplica a todos los
procesos identificados como críticos, dentro del ReNaPer. La continuidad de las
actividades es un proceso crítico que debe involucrar a todos los niveles del
Organismo.
14.3. Responsabilidades
Los Responsables de Seguridad y
Primarios, participarán activamente en la definición, documentación, prueba y
actualización de los planes de contingencia, identificando las amenazas que
puedan ocasionar interrupciones de los procesos y/o las actividades del
Organismo y evaluando riesgos para determinar el impacto de las
interrupciones.
Asimismo, el Comité de la Seguridad de la Información
desarrollará un plan estratégico para determinar el enfoque global con el que se
abordará la continuidad de las actividades del Organismo como así también
elaborará los planes de contingencia necesarios para garantizar la continuidad
de las actividades del ReNaPer.
14.4. Administración de la Continuidad de
Actividades del ReNaPer
El Comité de Seguridad de la Información
coordinará los procesos de administración de continuidad de las actividades del
Organismo frente a interrupciones imprevistas.
Se incluyen las siguientes
funciones:
• Identificar y priorizar los procesos críticos de las
actividades del Organismo.
• Asegurar que todos los usuarios comprendan
los riesgos que el ReNaPer enfrenta, en términos de probabilidad de ocurrencia e
impacto de posibles amenazas.
• Evaluar los efectos que una interrupción
puede tener en la actividad del ReNaPer.
• Elaborar y documentar
estrategias de continuidad de las actividades del Organismo, consecuentes con
los objetivos y prioridades acordados.
• Establecer un cronograma de
pruebas periódicas de los planes de contingencia, proponiendo una asignación de
funciones para su cumplimiento.
• Coordinar actualizaciones periódicas y
modificaciones de los planes y procesos implementados.
• Considerar la
contratación de seguros que intervengan en el proceso de continuidad de las
actividades del Ministerio.
14.5. Continuidad de Actividades y Análisis
de Impacto
El Plan de Continuidad de las Actividades del ReNaPer deberá
contemplar los siguientes puntos:
• Identificar las amenazas que puedan
interrumpir las actividades, por ejemplo, fallas en el equipamiento, comisión de
ilícitos, corte en el suministro de energía eléctrica, inundación e incendio,
desastres naturales, destrucción edilicia, atentados, etc.
• Evaluar los
riesgos, y determinar el impacto de las interrupciones, tanto en magnitud de
daño como en el período de recuperación. La evaluación debe identificar los
recursos críticos, el impacto por cortes de servicio, períodos de caída
aceptables o permitidos. Se deben especificar las prioridades de
recuperación,
• Identificar los controles preventivos, por ejemplo:
sistemas de supresión de fuego, detectores de humo, contenedores resistentes al
calor y al agua para los medios de backup, registros no electrónicos vitales,
etc.
Esta actividad será llevada a cabo con la activa participación de
los Responsables Primarios y el Responsable de Seguridad considerando todos los
procesos y actividades del Organismo, sean informáticos o no.
A partir de
lo anterior, se presentará una propuesta de continuidad de actividades al
Coordinador del Comité de Seguridad, quien la elevará a la Autoridad Máxima del
ReNaPer para su aprobación.
14.6. Implementación de Planes de
Continuidad
La propuesta de continuidad de actividades que se eleve al
Coordinador del Comité de Seguridad de la Información del ReNaPer considerará
los siguientes puntos:
• Análisis de escenarios de contingencia,
definiendo las acciones correctivas a implementar en cada caso.
•
Procedimientos de emergencia para el restablecimiento de servicios en los plazos
requeridos. Se debe dedicar especial atención a los procesos efectuados por
terceras partes, y los contratos vigentes.
• Documentación de metodología
y procedimientos acordados.
• Designación de un administrador de cada
plan de contingencia, por área del Organismo.
• Instrucción al personal
involucrado, sobre los siguientes temas: objetivo del plan, coordinación y
comunicación entre los grupos involucrados en las tareas de emergencia,
procedimientos de divulgación, requisitos de seguridad, responsabilidades
individuales.
• Ensayos y actualización de los planes.
Asimismo,
deben plantearse los recursos que permitan el restablecimiento de los servicios
en plazos aceptables o planificados. Se incluyen: dotación de personal, sitios
alternativos de procesamiento de la información, equipamiento contacto con
fuerzas de seguridad, etc.
14.7. Marco para los Planes de
Continuidad
Los planes de continuidad de las actividades del Organismo se
establecerán dentro de un marco único, a fin de identificar prioridades de
prueba y mantenimiento.
Los procedimientos de emergencia establecidos se
modificarán cuando se identifiquen nuevos requerimientos. Toda modificación será
analizada en el Comité de Seguridad de la Información, para su
aprobación.
El marco para planificar la continuidad tendrá en cuenta los
siguientes puntos:
• evaluar los procesos a seguir antes de ponerlos en
marcha. Por ejemplo, qué eventos determinan si una situación es de contingencia
o no, qué personas estarán involucradas, etc.
• los casos donde exista
una amenaza al personal y/o las funciones del ReNaPer tendrán una preeminencia
sobre el resto. Para ello, deberán disponerse gestiones con autoridades públicas
pertinentes, por ejemplo, policía y bomberos.
• definir las acciones a
emprender para el traslado de actividades críticas a ubicaciones transitorias
alternativas, para restablecer servicios en los plazos requeridos.
•
redactar procedimientos de recuperación para restablecer las operaciones
normales del Organismo.
• efectuar actividades de concientización e
instrucción al personal.
• documentar funciones de los involucrados en la
ejecución de los componentes del plan. Se indicarán las vías de contacto
posibles y alternativas, cuando corresponda.
• definir a un responsable
de declarar el estado de contingencia, y así dar inicio al plan.
14.8.
Ensayo, Mantenimiento y Revisión de los Planes de Continuidad
El Comité
de Seguridad de la Información diseñará un cronograma de pruebas periódicas para
cada plan de contingencia, indicando a los responsables de llevarlas a
cabo.
Se deberá garantizar que los planes de contingencia funcionen ante
un hecho real. Las técnicas de testeo incluirán, por lo menos:
•
discusión de diversos escenarios y medidas para la recuperación las actividades,
utilización de ejemplos de interrupciones, etc.
• simulaciones,
especialmente para entrenar al personal en el desempeño de sus roles.
•
pruebas de eficacia de recuperación de los sistemas informáticos.
•
ensayos completos para medir el grado de eficiencia con que el Organismo, su
personal, el equipamiento, las instalaciones y los procesos pueden afrontar
interrupciones.
Para las operaciones críticas del Organismo se tomarán en
cuenta, además, los siguientes mecanismos:
• de ser posible, realizar
ensayos de recuperación en un sitio alternativo, ejecutando actividades en
paralelo,
• efectuar pruebas de instalaciones y servicios de proveedores,
asegurando que los mismos cumplan con los compromisos contraídos.
Los
resultados de las pruebas serán elevados al Comité de Seguridad de la
Información.
Los Responsables de Revisión verificarán en forma periódica
los planes de continuidad de su incumbencia. Se tendrán en cuenta cambios
de:
• personal.
• direcciones o números telefónicos.
•
estrategia del Organismo.
• ubicación, instalaciones y recursos.
•
legislación.
• contratistas, proveedores y clientes críticos.
•
procesos, nuevos y/o eliminados.
• tecnologías.
• requisitos de
operacionales y de seguridad.
• hardware, software y otros equipos
(tipos, especificaciones, y cantidad).
• requerimientos de los sitios
alternativos.
Todas las modificaciones efectuadas serán propuestas por el
Comité de Seguridad de la Información, para su aprobación por el superior
jerárquico que corresponda.
15. GARANTIA DE CUMPLIMIENTO
15.1.
Objetivos
El diseño, operación, uso y administración de los sistemas de
información están regulados por disposiciones legales y contractuales. A tal
fin, los requisitos normativos y contractuales pertinentes a cada sistema de
información deben estar definidos y documentados.
Revisar la seguridad de
la información, en forma periódica, a efectos de garantizar la adecuada
aplicación de políticas, normas y procedimientos de seguridad, sobre las
plataformas tecnológicas y los sistemas informáticos.
15.2.
Alcance
Esta Política se aplica a los sistemas de información, normas,
procedimientos, documentación, plataformas técnicas del ReNaPer y las auditorías
efectuadas sobre los mismos.
15.3. Responsabilidad
El Responsable
de Seguridad cumplirá las siguientes funciones:
• definir normas y
procedimientos para garantizar el cumplimiento de las restricciones legales al
uso del material protegido por normas de propiedad intelectual y a la
conservación de registros de auditoría.
• verificar periódicamente que
los sistemas de información cumplan la política, normas y procedimientos de
seguridad establecidos.
• definir y documentar claramente todos los
requisitos normativos y contractuales pertinentes para cada sistema de
información.
• colaborar en la implementación de una notificación de buen
uso de los recursos informáticos, incluyendo cláusulas de Confidencialidad sobre
la información del ReNaPer. Dicha notificación debe ser difundida y claramente
comprendida por todos los usuarios del Organismo.
Los Responsables
Primarios velarán por la correcta implementación y cumplimiento de las normas y
procedimientos de seguridad establecidos en la presente Política, dentro de su
área de responsabilidad.
Los usuarios de los sistemas del ReNaPer
conocerán, comprenderán, darán a conocer, cumplirán y harán cumplir la presente
Política y la normativa vigente.
15.4. Cumplimiento de requisitos
legales
15.4.1. Objetivo
Impedir infracciones y violaciones de las
leyes del derecho civil y penal. Cumplir las obligaciones establecidas por
leyes, estatutos, normas, reglamentos, contratos y requisitos de
seguridad.
15.4.2. Identificación de la Legislación Aplicable
Se
establecerán y documentarán claramente todos los requisitos normativos y
contractuales pertinentes para cada sistema de información. Del mismo modo se
definirán y documentarán los controles específicos, las responsabilidades y las
funciones individuales para cumplir con dichos requisitos.
15.4.3.
Derecho de propiedad intelectual
Se implementarán procedimientos
adecuados para garantizar el cumplimiento de las restricciones legales al uso
del material protegido por normas de propiedad intelectual.
El Organismo
sólo podrá autorizar el uso de material de su propiedad, sea éste producido por
el Responsable de Sistemas, o suministrado por un tercero, conforme los términos
y condiciones acordadas, y/o lo dispuesto por la normativa vigente.
La
infracción a estos derechos podría resultar en acciones legales, y derivar en
demandas penales.
Se deberán tener presentes las siguientes
normas:
• Ley de Propiedad Intelectual Nº 11.723: Protege los derechos de
autor de obras científicas, literarias y artísticas, incluyendo programas de
computación fuente y objeto; las compilaciones de datos u otros
materiales.
• Ley de Marcas Nº 22.362: Protege la propiedad de una marca
y la exclusividad de su uso.
• Ley de Patentes de Invención y Modelos de
Utilidad Nº 24.481: Protege el derecho del titular de la patente de invención a
impedir que terceros utilicen su producto o procedimiento.
15.4.4.
Derecho de Propiedad Intelectual del Software
Los productos de software
se suministran normalmente bajo acuerdos de licencia. Estos acuerdos suelen
limitar el uso de los productos al equipamiento específico. Asimismo, la copia
sólo debe limitarse a la creación de un resguardo.
El Responsable de
Sistemas y Seguridad Informática, analizará los términos y condiciones de la
licencia. Se implementarán los siguientes controles:
• normas y
procedimientos para cumplir con el derecho de propiedad intelectual de software,
asegurando el uso legal de los productos de información.
• divulgar las
políticas de adquisición de software y las disposiciones de la Ley de Propiedad
Intelectual, así como notificar la determinación de tomar acciones
disciplinarias contra el personal que las infrinja.
• mantener un
adecuado registro de activos.
• conservar pruebas y evidencias de
propiedad de licencias, discos maestros, manuales, etc.
• implementar
controles para evitar que se exceda el número máximo permitido para las
licencias de uso y verificar que sólo se instalen productos con licencia y
software autorizado.
• elaborar y divulgar un procedimiento relativo a la
eliminación y/o transferencia de software a terceros.
• cumplir con los
términos y condiciones establecidos para obtener software e información desde
redes públicas.
15.4.5. Protección de los Datos del Organismo
Se
deberá tener presente la siguiente normativa:
• Etica en el Ejercicio de
la Función Pública. Ley Nº 25.188: Establece que las personas que se desempeñen
en la función pública deben proteger y conservar la propiedad del Estado, y sólo
emplear sus bienes con los fines autorizados.
• Código de Etica de la
Función Pública: Dispone que el funcionario público debe proteger y conservar
los bienes del Estado. Asimismo se establece que los bienes públicos sólo se
utilicen de acuerdo con los fines autorizados y de manera racional, evitando su
abuso, derroche o desaprovechamiento.
• Código Penal, Artículo 255:
Sanciona a quien sustrajere, ocultare, destruyere o inutilizare objetos
destinados a servir de prueba ante la autoridad competente. Se consideran, entre
otros, a los registros o documentos confiados a la custodia de un funcionario u
otra persona, en el interés del servicio público. Si el culpable fuere el mismo
depositario, sufrirá además inhabilitación especial por doble tiempo.
•
Ley Nº 24.624. Artículo 30: Autoriza el archivo y la conservación, en soporte
electrónico u óptico indeleble, de la documentación financiera, personal y de
control de la Administración Pública Nacional. Se otorga valor jurídico y
probatorio a la documentación existente que se incorpore al Archivo General de
la Administración, mediante la utilización de tecnología que garantice
estabilidad, perdurabilidad, inmutabilidad e inalterabilidad del soporte de
almacenamiento físico.
• Decisión Administrativa Nº 43/96 (B. O.
7-V-1996): Reglamenta el Art. 30 de la Ley 24.624. Determina su ámbito de
aplicación, define conceptos y precisa los requisitos de carácter general,
relacionados con los documentos en particular y con el soporte a utilizar en la
redacción, producción o reproducción de aquéllos.
• Ley de Propiedad
Intelectual Nº 11.723: Protege los derechos de autor de las obras científicas,
literarias y artísticas, incluyendo compilaciones de datos o de otros
materiales.
• Ley Nº 25.506: Establece que la exigencia legal de mantener
documentos, registros o datos, también queda satisfecha con la conservación de
los correspondientes documentos digitales firmados digitalmente, según los
procedimientos que determine la reglamentación, siempre que sean accesibles para
su posterior consulta, y permitan determinar fehacientemente el origen, destino,
fecha y hora de su generación, envío y/o recepción.
15.4.6. Protección de
Datos y Privacidad de datos de carácter personal
Todos los usuarios de
información del ReNaPer deberán conocer las restricciones al tratamiento de los
datos y de la información respecto a la cual tengan conocimiento, con motivo del
ejercicio de sus funciones.
El ReNaPer implementará un COMPROMISO DE
CONFIDENCIALIDAD que será divulgado a todos los usuarios de sistemas de
información y bases de datos del Organismo, que obra al presente como Anexo II.
Mediante este instrumento, el usuario se comprometerá a utilizar la información
solamente para el uso específico al que se ha destinado. También, se obliga a no
comunicar, diseminar o hacer pública información a ninguna persona, firma,
compañía o tercera persona, salvo autorización previa y escrita del Responsable
Primario del activo de que se trate.
Asimismo, se instruirá a los
usuarios del buen uso de los recursos informáticos, quedarán advertidos sobre
que determinadas actividades pueden ser objeto de control y monitoreo.
Se
deberán tener presente las siguientes normas:
• Ley Marco de Regulación
de Empleo Público Nacional. Ley Nº 25.164: Establece que los Funcionarios
Públicos deben observar el deber de fidelidad que se derive de la índole de las
tareas que le fueron asignadas, así como de guardar la discreción
correspondiente o la reserva absoluta, en su caso, de todo asunto del servicio
que así lo requiera.
• Convenio Colectivo de Trabajo General: Dispone que
todos los agentes deben observar el deber de fidelidad que se derive de la
índole de las tareas que le fueran asignadas, así como de guardar la discreción
correspondiente, con respecto a todos los hechos e informaciones de los cuales
tenga conocimiento en el ejercicio o con motivo del ejercicio de sus
funciones.
• Etica en el Ejercicio de la Función Pública. Ley Nº 25.188
(ver Punto 12.4.5): Obliga a todas las personas que se desempeñan en la función
pública se abstenerse de utilizar información adquirida en el cumplimiento de
sus funciones para realizar actividades no relacionadas con sus tareas oficiales
o de permitir su uso en beneficio de intereses privados.
• Código de
Etica de la Función Pública (ver Punto 12.4.5): Establece que el funcionario
público debe abstenerse de difundir toda información que hubiere sido calificada
como reservada o secreta, conforme a las disposiciones vigentes. Tampoco se
podrá en beneficio propio, de terceros o para fines ajenos al servicio,
información de la que tenga conocimiento con motivo o en ocasión del ejercicio
de sus funciones y que no esté destinada al público en general.
•
Protección de Datos Personales. Ley Nº 25.326 (ver Punto 12.4.5): Establece
responsabilidades para aquellas personas que recopilan, procesan y divulgan
información personal y define criterios para procesar datos personales o
cederlos a terceros.
• Confidencialidad. Ley Nº 24.766: Impide la
divulgación a terceros, o su utilización sin previo consentimiento y de manera
contraria a usos comerciales honestos, de información secreta y con valor
comercial que haya sido objeto de medidas razonables para mantenerla
secreta.
• Código Penal: Sanciona a aquel que, teniendo noticias de un
secreto cuya divulgación pueda causar daño, lo revelare sin justa causa (Art.
156), al funcionario público que revelare hechos, actuaciones o documentos que
por la ley deben quedar secretaros (Art. 157), al que revelare secretos
políticos o militares concernientes a la seguridad, a los medios de defensa o a
las relaciones exteriores de la Nación, o al que por imprudencia o negligencia
diere a conocer los secretos mencionados anteriormente, de los que se hallare en
posesión en virtud de su empleo u oficio (Arts. 222 y 223).
• Asimismo,
deberá considerarse lo establecido en el Decreto Nº 1172/03 (B. O. 26-IX-2001),
que regula el acceso a la información pública por parte de los
ciudadanos.
15.4.7. Regulación de Controles para el Uso de Criptografía y
Firma Digital
Al utilizar firmas digitales o electrónicas, se deberá
considerar lo dispuesto por la Ley Nº 25.506 y su decreto reglamentario Decreto
Nº 2628/02 (B. O. 20-XII-2002), que establecen las condiciones bajo las cuales
una firma digital es legalmente válida.
Respecto a la comercialización de
controles criptográficos, nuestro país ha suscripto el acuerdo Wassennar, que
establece un listado de materiales y tecnologías de doble uso, cuya
comercialización puede ser considerada peligrosa.
El Decreto Nº 603/92
(B. O. 23-III-1992) regula el Régimen de Control de las Exportaciones Sensitivas
y de Material Bélico, estableciendo un tratamiento especial para la exportación
de bienes indicados como material bélico.
En caso de transferencia de
información cifrada, o controles criptográficos, a otro país, se requiere
obtener asesoramiento previo. Para ello, se puede consultar a la Dirección
General de Política, de la Secretaría de Asuntos Militares, Ministerio de
Defensa, a fin de saber si el material exportable requiere algún tratamiento
especial.
15.5. Revisiones de la Política de Seguridad
Los
Responsables Primarios, velarán por la correcta implementación y cumplimiento de
las normas y procedimientos de seguridad establecidos, informando al Comité de
Seguridad sobre todo incidente o violación.
El Responsable de Seguridad
realizará revisiones periódicas de todas las áreas del Organismo a efectos de
garantizar el cumplimiento de las políticas, normas y procedimientos de
seguridad de la información. Se revisarán las siguientes áreas:
•
sistemas de información
• proveedores de sistemas
• propietarios
de la información
• usuarios.
Se revisará periódicamente que todos
los sistemas informáticos, cumplan con las políticas, normas y procedimientos de
seguridad. Con ello se garantiza la correcta implementación de los controles de
hardware y software.
La verificación del cumplimiento comprenderá pruebas
de penetración, teniendo como objetivos la detección de vulnerabilidades y la
verificación de la eficacia de los controles de prevención de accesos no
autorizados.
Para las pruebas de penetración se tomarán todos los
recaudos necesarios a fin de no se comprometer la seguridad de los sistemas en
producción.
Las verificaciones de cumplimiento serán realizadas por
personal competente, formalmente autorizado y bajo la supervisión de quien
corresponda.
15.6. Consideraciones de Auditoría de Sistemas
Con
relación a las auditorías, serán de aplicación las Normas de Control Interno
para Tecnologías de Información, aprobadas por la Resolución SIGEN Nº
48/05.
15.7. Sanciones Previstas por Incumplimiento
Se sancionará
administrativamente a todo aquel que viole lo dispuesto en la presente Política
de Seguridad conforme a lo dispuesto por las normas estatutarias, escalafonarias
y convencionales que rigen al personal de la Administración Pública Nacional. En
caso de corresponder, se realizarán las acciones correspondientes ante el o los
Organismos pertinentes.
Las sanciones sólo pueden imponerse mediante un
acto administrativo que así lo disponga cumpliendo las formalidades impuestas
por los preceptos constitucionales, la Ley de Procedimiento Administrativo y
demás normativas específicas aplicables.
Amén de las sanciones
disciplinarias o administrativas, el agente que no da debido cumplimiento a sus
obligaciones puede incurrir también en:
• responsabilidad civil o
patrimonial —cuando ocasiona un daño que debe ser indemnizado— y/o,
•
responsabilidad penal —cuando su conducta constituye un comportamiento
considerado delito por el Código Penal y leyes especiales.
I. OBJETO.-
Con el objetivo de proteger
los recursos de información del Registro Nacional de las Personas, en adelante
el RENAPER, y la tecnología utilizada para la gestión de DNI y Pasaporte, se
establecen y notifican por medio del presente, las medidas de seguridad de
cumplimento obligatorio para
--------------------------------------------------------, DNI
------------------------, en adelante EL USUARIO, en su calidad de usuario
autorizado e interviniente en alguna de las siguientes funciones: toma de
trámite, confección, gestión, fabricación, logística, distribución, tratamiento
y/o cualquier proceso o procedimiento asociado al D.N.I y Pasaporte.
A
los fines del presente COMPROMISO DE CONFIDENCIALIDAD, se considera usuario al
sujeto autorizado para acceder a datos de carácter personal o recursos que
contienen datos de carácter personal del RENAPER, tanto a través del sistema
informático como aquellos datos contenidos en soporte manual.
EL USUARIO,
que en virtud de sus funciones es autorizado para el acceso a bases de datos,
aplicaciones, sistemas informáticos, Internet o Intranet del RENAPER y, que en
general, tendrá acceso o podrá tenerlo a cualquier dato de carácter personal
facilitado por los ciudadanos en cualquier tipo de soporte en el marco del
Sistema NUEVO DNI y Pasaporte, quedará sujeto al control de su actividad por el
RENAPER y estará obligado a cumplir las medidas de seguridad descritas en el
presente clausulado.
El presente clausulado recoge las medidas de
seguridad establecidas en virtud de la Resolución N°…..………. /2013 del Registro
Nacional de las Personas, impuestas formalmente al USUARIO autorizado, con el
fin de asegurar el cumplimiento de la confidencialidad y carácter reservado y
secreto de la información prescripto por el artículo 22 de la Ley Nº 17.671, sus
modificatorias y conexas, así como la integridad, disponibilidad, legalidad y
confiabilidad de la información y de los datos cuando sean tratados por el
suscribiente en el ejercicio de sus funciones; al mismo tiempo que detalla las
obligaciones y responsabilidades que conlleva el cumplimiento del
mismo.
Para la determinación de las citadas medidas de seguridad, han
sido tenidos en cuenta las pautas fijadas en la Decisión Administrativa
669/2004, la Resolución 104/2012/MIyT, la Ley 25.188 de Etica en el ejercicio de
la Función Pública, la Ley 25.164 de Regulación del Empleo Público Nacional, la
Ley 17.671 de Identificación, Registro y Clasificación del Potencial Humano
Nacional, el Convenio Colectivo de Trabajo General, la Ley 25.326 de Protección
de Datos Personales, la norma ISO 17.799, el Modelo de Política de Seguridad de
la Información de la ONTI y el resto de la normativa aplicable
vigente.
II. AMBITO DE APLICACION.-
Se encuentran obligadas al
cumplimiento de las prescripciones legales aquí establecidas, las siguientes
personas:
• Quienes presten servicios, ya sea de forma directa o
indirecta, para el RENAPER, cualquiera que sea la naturaleza de la relación
jurídica que le una con el mismo, incluyendo al personal de empresas de
servicios contratados por el RENAPER, que de algún modo pudieran tener acceso a
información y/o documentación del organismo.
• Toda persona que tenga
acceso a información de las bases de datos y/o documentación del organismo o
acceso al Sistema Nuevo DNI-Nuevo Pasaporte.
• Toda persona que, por la
labor que desempeñe, tenga o pueda tener acceso a las aplicaciones informáticas
del RENAPER y/o a material documentario digital o en formato papel y/o a las
instalaciones o departamentos donde están ubicados los sistemas de información
del RENAPER.
• Toda la planta de personal del organismo, tanto se trate
de funcionarios políticos como técnicos, y sea cual fuere su nivel jerárquico y
su situación de revista.
• Quienes accedan al servicio de Corroboración
de Datos Personales en el marco de la Resolución Nº 1969/05
El RENAPER se
hace responsable de la labor de formar e informar a las personas que, por su
condición de usuarios, se encuentren bajo el ámbito de aplicación del presente,
y se comprometerá a informarles sobre cualquier cambio que se haga al mismo en
el futuro, cuya aplicación no será retroactiva.
III. FUNCIONES Y
OBLIGACIONES DEL USUARIO
1. CONFIDENCIALIDAD DE LA
INFORMACION
Mientras dure la relación laboral o de prestación de
servicios (cualquiera sea la situación de revista), así como una vez se haya
extinguido la misma, EL USUARIO tiene expresamente prohibido comunicar
procedimientos, información alojada en las bases de datos, trabajos encomendados
por su empleador incluidos en las bases de datos y, en general, divulgar
cualquier dato que haya conocido por razón de su trabajo en o para el
RENAPER.
Todos los documentos, independientemente del soporte en el que
se encuentren, que contengan datos de carácter personal relacionadas con las
actividades del RENAPER, son propiedad del mismo; estando obligado EL USUARIO
autorizado a tratar los datos, a devolverlos cuando así le sea solicitado por
RENAPER o con motivo de la extinción del vinculo laboral.
EL USUARIO
queda obligado legalmente al secreto profesional respecto de las actividades que
desarrolla para o en el RENAPER, como así también de los procesos a los que los
datos e información personal de los ciudadanos son sometidos, conservados y
tratados, incluso una vez extinguida la relación laboral o de colaboración que
le une con el RENAPER.
Lo expuesto anteriormente supone que queda
absolutamente prohibido:
• Utilizar, divulgar, manipular o ceder los
datos de los ciudadanos para finalidades diferentes o que excedan de la órbita
de las funciones laborales del usuario.
• Revelar, permitir o facilitar
el acceso a la información contenida en las bases de datos del RENAPER
(automatizadas y en papel), por ningún tipo de medio (telefónico, escrito,
telemático, etc.) a terceras personas ajenas a la misma sin autorización del
titular de dichos datos, así como a otros trabajadores del órgano que, por sus
funciones, no tengan autorizado el acceso a los mismos.
• Recopilar
información acerca de personas que formen parte de las bases de datos del
RENAPER.
• Anotar marginalmente en los sistemas del RENAPER y documentos
emitidos por el RENAPER, observaciones o comentarios acerca de personas, con
excepción de cuando así se lo exija al personal o se desprenda de la naturaleza
de la función que ocupa.
• Manipular, falsear o modificar los datos y/o
el soporte que los contienen (papel o automatizado) de un modo no previsto
conforme al buen saber y entender del trabajador y a lo que se infiere como
consecuencia de las actividades que le son propias.
2. IDENTIFICACION Y
ACCESO
Las contraseñas personales asignadas al USUARIO para su acceso a
las aplicaciones informáticas del Sistema NUEVO DNI y Pasaporte, constituyen uno
de los componentes básicos de la seguridad de los datos.
Debido que las
contraseñas tienen carácter personal, confidencial e intransferible, queda
absolutamente prohibido divulgarla a terceras personas.
Si EL USUARIO
tuviera conocimiento que otra persona conoce su clave y/o contraseña, deberá
cambiarla inmediatamente y ponerlo en conocimiento del RENAPER. En caso de
incumplimiento de esta estas obligaciones, EL USUARIO será el único responsable
de los actos realizados por la persona que utilice su identificador de forma no
autorizada.
Lo expuesto anteriormente supone que está totalmente
prohibido:
• Intentar descifrar las claves, sistemas o algoritmos de
cifrados usando métodos de des encriptación u otros.
• Intentar utilizar
el sistema para acceder a áreas que el usuario tenga restringidas de los
sistemas informáticos del RENAPER
• Intentar acceder sin la debida
autorización, a otras cuentas o a sistemas de equipos o redes conectadas a
Internet, a través del uso no lícito de la contraseña (o cualquier otro
medio).
• El acceso o entrada en los sistemas informáticos utilizando el
código de usuario y contraseña de otro usuario.
Si EL USUARIO debiera
abandonar su puesto de trabajo momentáneamente, deberá cerrar la sesión o
activar protectores de pantalla con contraseña, a los efectos de evitar que
terceros puedan ver el trabajo o continuar con la sesión del USUARIO
habilitada.
EL USUARIO será el único responsable, tanto con respecto al
RENAPER y/o el Ministerio del Interior como con respecto a terceros, en caso de
violación de tales reglas de conducta.
3. USO DE EQUIPOS
INFORMATICOS
El RENAPER, o en su caso, la repartición pública que
corresponda, es propietario u ostenta los derechos de uso de todos los medios e
instrumentos informáticos y de comunicación que pone a disposición del USUARIO,
exclusivamente para el desarrollo de su actividad laboral.
Dichos medios
deberán utilizarse con el cuidado o atención necesarios para evitar su
destrucción, pérdida o deterioro prematuro. No se puede modificar ninguna parte
de los mismos a iniciativa del USUARIO, sin contar con la autorización expresa
del supervisor.
EL USUARIO deberá extremar la precaución cuando haga uso
de equipos informáticos portátiles o los transporte fuera de las instalaciones
del RENAPER, y deberá dar aviso inmediatamente en caso de sustracción, perdida u
otro imponderable.
El RENAPER pone a disposición del USUARIO los medios
informáticos y técnicos adecuados para la realización de sus funciones sólo
mientras dure la relación laboral y con fines estrictamente profesionales. En el
momento de la finalización de la relación laboral, se denegará el acceso a los
equipos informáticos y consiguientemente a los archivos incluidos en los mismos.
En el supuesto de que el ex USUARIO tenga en su poder determinados medios
informáticos propiedad del RENAPER (PC portátil, CD’s, DVD’s, USB´s, token, pad
de firma, cámaras, disco duro externo, etc.), tendrá que devolverlos en el
momento de la finalización de su relación laboral.
4. USO DE INTERNET Y
CORREO ELECTRONICO
La navegación en Internet obedece a fines
estrictamente profesionales, con el propósito de obtener el mejor
aprovechamiento posible de los recursos informáticos.
En vista de ello,
queda expresamente prohibido la descarga de películas, clips, vídeos, música,
imágenes, fotografías, software, etc., en especial aquellos archivos que puedan
infringir la propiedad intelectual y derechos de autor de terceros.
El
ReNaPer podrá bloquear el acceso a aquellos sitios web que no considere acordes
con el perfil del organismo. Sin perjuicio de ello, queda terminantemente
prohibido el acceso a aquellas direcciones de Internet cuyas páginas tengan
contenidos pornográfico, sexual, pedófilo, racista, y en general, el que pueda
resultar ofensivo o atentatorio contra la dignidad humana.
El correo
electrónico o e-mail es también un instrumento de trabajo propiedad del RENAPER
y como tal, su utilización deberá estar relacionada con los cometidos laborales
encomendados, sin que pueda utilizarse como instrumento para el intercambio de
información cuyo contenido sea ajeno a la gestión de DNI. Las comunicaciones
realizadas a través de cuentas oficiales de correo electrónico o e-mail no
pueden considerarse privadas y no son apropiadas para remitir información
personal y/o confidencial.
En el momento de la extinción de la relación
laboral, cualquier acceso a la bandeja de correo electrónico quedará
interrumpido. Los mensajes relacionados con la actividad profesional deberán ser
mantenidos y guardados en el sistema. Antes de comenzar el proceso de
eliminación de mensajes, el USUARIO deberá ponerse en comunicación con su
supervisor para organizar el proceso.
5. USO DE PROGRAMAS, SOFTWARE Y
APLICACIONES INFORMATICAS
EL USUARIO tendrá acceso a los recursos que
necesita en función de su perfil de trabajo.
Los archivos y sistemas
informáticos utilizados para la gestión de confección y trámite de DNI son de
propiedad estatal. Queda prohibida cualquier utilización, copia o reproducción
de los mismos para fines no profesionales, salvo autorización expresa formulada
por escrito.
EL USUARIO será el único responsable, tanto con respecto al
RENAPER y/o el Ministerio del Interior y Transporte como con respecto a
terceros, en caso de violación de tales reglas de conducta.
Se prohíbe
expresamente la utilización de programas para los cuales la administración
pública que se trate no haya obtenido una licencia previa.
La utilización
de archivos o programas de procedencia externa, puede entrañar graves riesgos
para la seguridad del conjunto de los sistemas del RENAPER, por lo que no se
encuentran prohibidas la apertura de cualquier archivo de procedencia
desconocida, la utilización de software no autorizado o ajeno a la gestión de
confección y trámite de DNI, la descarga de archivos de procedencia dudosa desde
internet, y la conexión a la red de RENAPER de equipos no autorizados
expresamente por el organismo.
Cuando se estime necesario para la
protección del patrimonio estatal y del de los demás empleados, para el de los
derechos ajenos, o por motivos relacionados con el funcionamiento del RENAPER,
éste se reserva la facultad de revisar periódicamente, a través de los servicios
técnicos del mismo, el contenido de los discos duros de los ordenadores
utilizados por EL USUARIO en el desempeño de sus funciones, procediendo a la
eliminación de todos aquellos programas y archivos que por parte de los
servicios técnicos del organismo se consideren ajenos a los fines profesionales
en atención a los cuales dichos ordenadores fueron son puestos a disposición del
USUARIO.
Finalizado el vínculo laboral, EL USUARIO deberá dejar intactos
todos los archivos, entregables, informes y documentos que hayan tenido un fin
profesional o productivo.
6. POLITICA DE ESCRITORIOS Y PANTALLAS
LIMPIAS
Por la presente se adopta una política de escritorios, mesas o
espacios de trabajo limpios, para proteger los documentos en papel; y un
criterio de pantallas limpias, que minimice el riesgo de accesos no autorizados
y pérdidas de información, tanto durante el horario de trabajo como fuera del
mismo.
Será obligatorio:
• Almacenar bajo llave, gabinetes o
mobiliario seguro los archivos en papel mientras se encuentran en dominio de un
trabajador, cuando no estén siendo utilizados, especialmente fuera del horario
de trabajo.
• Proteger con cerraduras de seguridad, contraseñas u otros
controles a las computadoras personales, terminales e impresoras asignadas a
funciones críticas cuando no están en uso (ej. Protectores de pantalla con
contraseña).
• Proteger los puntos de recepción y envío de correo postal
y las maquinas de fax.
• Retirar inmediatamente la información sensible
una vez impresa.
El usuario será el único responsable, tanto con respecto
al RENAPER y/o el Ministerio del Interior como con respecto a terceros, en caso
de violación de tales reglas de conducta.
7. REGISTRO DE ACTIVIDAD DEL
USUARIO
La tecnología del Sistema Nuevo DNI y Pasaporte permite disponer
de un registro detallado de la actividad del USUARIO dentro de las aplicaciones
habilitadas, así como de sus accesos a internet. Tal información es almacenada
en los servidores de RENAPER. El RENAPER podrá utilizar la base de datos que se
genere con dicha información correspondiente al USUARIO del Sistema Nuevo DNI y
Pasaporte, como prueba a los efectos de proceder a sanciones o despidos
disciplinarios por incumplimiento de la presente política o disminución de la
dedicación y rendimiento del USUARIO.
8. INCUMPLIMIENTO DE LAS
OBLIGACIONES
El incumplimiento de las obligaciones anteriormente
descritas dará lugar a la imposición de las correspondientes sanciones
disciplinarias por parte del RENAPER o aquella repartición donde el usuario haya
cometido la infracción.
Las sanciones serán las previstas, según
corresponda, en la Ley 25.188 de Etica en el ejercicio de la Función Pública, la
Ley 25.164 de Regulación del Empleo Público Nacional, el Convenio Colectivo de
Trabajo General o la normativa laboral que le sea aplicable al afectado conforme
a lo dispuesto en el Contrato de Trabajo o su situación de revista.
En
cualquier caso, el RENAPER podrá reservarse contra EL USUARIO las acciones
civiles y/o penales que de acuerdo con la legislación vigente procedan, sin
perjuicio de la sanción que pudiera imponerse en el seno de la relación laboral,
si correspondiese.
Se deja constancia de que la violación o
incumplimiento de la obligación de confidencialidad y/o la falsedad de la
información que pudiere brindar EL USUARIO a terceros, podrá dejarlo incurso en
el delito de violación de secreto tipificado en el Artículo 156 del Código Penal
de la Nación; y que la violación de lo estipulado en el presente documento puede
dejarlo incurso en los delitos contra la administración pública tipificados en
el Titulo XI, ss. y cc. del Código Penal de la Nación, siendo facultad del
RENAPER formular la denuncia del caso y constituirse en parte querellante, y/o
requerir el resarcimiento económico de los daños ocasionados y/o el perjuicio
sufrido conforme la Ley 24.766.
9. JURISDICCION APLICABLE
En caso
de controversia, las partes se someten a la jurisdicción de los tribunales
Federales de Capital Federal renunciando a cualquier otro fuero y/o jurisdicción
que pudiera corresponder.
IV. SUSCRIPCION DEL ACTA COMPROMISO DE
CONFIDENCIALIDAD POR PARTE DEL USUARIO
El USUARIO,
--------------------------------------------------------------------, DNI
------------------------------, previa lectura de las cláusulas que componen los
apartados I y II del presente COMPROMISO DE CONFIDENCIALIDAD, GESTION DE LAS
BASES DE DATOS Y TRATAMIENTO DE SISTEMAS INFORMATICOS DEL REGISTRO NACIONAL DE
LAS PERSONAS, aprobado en virtud de la Resolución Nº …..…/2013 del Registro
Nacional de las Personas, en su calidad de usuario autorizado e interviniente en
alguna de las siguientes funciones: toma de trámite, confección, gestión,
fabricación, logística, distribución, tratamiento y/o cualquier proceso o
procedimiento asociado al D.N.I y Pasaporte, acepta expresamente la
responsabilidad y la confidencialidad expresada en el clausulado detallado,
asumiendo el carácter reservado y secreto de la información prescripto por el
artículo 22 de la Ley Nº 17.671, sus modificatorias y conexas.
En prueba
de conformidad con el presente COMPROMISO DE CONFIDENCIALIDAD, GESTION DE LAS
BASES DE DATOS Y TRATAMIENTO DE SISTEMAS INFORMATICOS DEL REGISTRO NACIONAL DE
LAS PERSONAS, se formaliza la presente acta en tres (3) ejemplares de un mismo
tenor y a un solo efecto, en la ciudad de __________________ a los…. días del
mes de..……. de 20….-
I. OBJETO.-
El presente recoge las medidas
de seguridad y de procedimiento establecidas con el fin de asegurar la
confidencialidad, integridad, disponibilidad, legalidad y confiabilidad del
acceso y del uso a información y/o documentación del organismo y del acceso y
del uso del Sistema Nuevo DNI-Nuevo Pasaporte, cuando se gestionen cuentas de
usuario a agentes, funcionarios y trabajadores en ejercicio de sus funciones;
y/o terceros.
II. AMBITO DE APLICACION.-
Se encuentran obligadas
al cumplimiento de las prescripciones legales aquí establecidas, las siguientes
personas:
• Quienes deseen ser dados de alta como usuarios, sin importar
perfil ni privilegios de acceso, en el Sistema Nuevo DNI- Nuevo Pasaporte del
ReNaPer, cualquiera que sea la naturaleza de la relación jurídica que le una con
el mismo.
• Los Directores de los Registros Civiles Provinciales y de la
Ciudad Autónoma de Buenos Aires de la República Argentina, en su calidad de
Responsables, dentro de su órbita competencial, del presente
procedimiento.
El ReNaPer se hace responsable de la labor de formar a
quienes se encuentren bajo el ámbito de aplicación del presente, y se
comprometerá a informarles sobre cualquier cambio que se haga al mismo en el
futuro, cuya aplicación no será retroactiva.
III. CALIDAD DE
USUARIO.-
Se considera usuario, al sujeto autorizado para acceder a
información vinculada y/o al propio Sistema Nuevo DNI- Nuevo Pasaporte, tanto a
través del sistema informático como a aquellos datos contenidos en soporte
manual.
IV. PROCEDIMIENTO DE ALTA DE UN NUEVO USUARIO AL SISTEMA NUEVO
DNI – NUEVO PASAPORTE
• ENVIO DE NOTA POR EL TITULAR DEL REGISTRO
PROVINCIAL O RESPONSABLE DE ORGANISMO Y/O EMPRESA O INSTITUCION QUE SUSCRIBA
ACUERDO DE COLABORACION CON EL RENAPER
Se inicia el procedimiento de
gestión de usuarios del Sistema Nuevo DNI – Nuevo Pasaporte, mediante el envío
formal de una NOTA, cursada al Director Nacional del Registro Nacional de las
Personas:
Director Nacional
Del Registro Nacional de las
Personas
Presidente Perón 664,
Ciudad Autónoma de Buenos
Aires.-
La misma deberá contener fecha cierta y ser suscripta por el
Director del Registro Provincial interesado o el funcionario subrogante, en su
caso.
• CONTENIDO DE LA NOTA
La nota para que proceda
satisfactoriamente el alta de usuarios al Sistema Nuevo DNI- Nuevo Pasaporte,
deberá contener un listado de cuentas de correo electrónico a las que se les ha
asignado la autorización para que desde allí, se gestione el alta, baja y
modificación de usuarios al Sistema del ReNaPer.
Las cuentas de correo
podrán ser institucionales o no, como asimismo podrán ser cuentas de correo de
servicios gratuitos (Yahoo, Gmail, Hotmail, otros).
Ej. “Por la presente
autorizo que la gestión de usuarios al Sistema Nuevo DNI- Nuevo Pasaporte se
efectúe mediante el uso de las cuentas de correo electrónico que se detallan a
continuación:”
Asimismo, deberá contener el compromiso del Director del
Registro Civil Provincial de arbitrar los medios para informar y notificar a los
nuevos usuarios el COMPROMISO DE CONFIDENCIALIDAD, GESTION DE LAS BASES DE DATOS
Y TRATAMIENTO DE SISTEMAS INFORMATICOS DEL REGISTRO NACIONAL DE LAS PERSONAS, el
cual obra como Anexo I de la Política de Seguridad del ReNaPer.
•
REMISION DE LA NOTA AL RESPONSABLE DE SEGURIDAD
Una vez radicada la NOTA
por el ReNaPer, se dará caratula a la misma y se proseguirá con el trámite,
mediante la remisión de la misma al Responsable de Seguridad del
ReNaPer.
Una vez ingresada la citada NOTA al Area de Tecnologías de la
Información del Organismo, si están cumplidas las condiciones de forma, el
Responsable de seguridad referirá la NOTA al Area de Soporte y Gestión de
Usuarios para llevar a cabo la gestión de usuarios objeto de la
presente.
• LISTADO DE CUENTAS DE CORREO AUTORIZADAS
El ReNaPer
llevará actualizada un listado con las cuentas de correo autorizadas por los
Directores de los Registros Provinciales mediante NOTA. El citado listado se
relacionará con la efectiva gestión de altas, bajas y/o modificaciones de
usuarios que han sido tramitadas a través de cada una de esas cuentas de
correo.
Cada Director de Registro Civil Provincial o responsable de
organismo y/o empresa o institución que suscriba acuerdo de colaboración con el
ReNaPer deberá arbitrar los medios para que el listado de cuentas de correo
autorizadas permanezca actualizado, debiendo remitir una NOTA al Director
Nacional del ReNaPer con una periodicidad no inferior a seis (6)
meses.
Asimismo, el ReNaPer se reserva la facultad de controlar que el
presente procedimiento se esté ejecutando de forma correcta en los distintos
Registros Provinciales, organismos y/o empresa o institución, como asimismo
intimarlo a que procedan a su cumplimiento.