En virtud de lo publicado el día 28 de Junio de 2021 en el Boletín Oficial, para todo responsable de sistemas, infraestructura y/o seguridad de la información realicé un breve resumen de los puntos que son importantes a tener en cuenta para su debido cumplimiento. Esto alcanza a todos los organismos comprendidos en el Art. 8 de la Ley 24.156 del Servicio y/o Administración Pública Nacional.

PERSONAL ALCANZADO

  • Los agentes públicos, cualquiera sea el nivel jerárquico y la modalidad de contratación, tienen la obligación de dar tratamiento y hacer un uso responsable, seguro y cuidado de los datos que utilizan en sus labores habituales, adoptando todas las medidas a su alcance para protegerlos.

DETERMINACIÓN DE NORMATIVAS INTERNAS

  • Los organismos determinarán sus políticas, normas específicas, procedimientos y guías que, sobre la base de los siguientes requisitos mínimos, sean aplicables a los procesos específicos que desarrollen. Este conjunto de normas debe surgir a partir de un análisis de los riesgos para los procesos que lleven adelante.

BASE ISO 27001 Y OTRAS

  • Se entenderán como principios de seguridad de la información a la preservación de confidencialidad, integridad y disponibilidad de la información y de los activos de información del Sector Público Nacional.

REVISIÓN, AUDITORÍA E INSPECCIÓN

  • Cada 12 meses, a través de la Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Pública dependiente de Jefatura de Gabinete de Ministros.

DLP

  • Los responsables de los activos de la información deben atender y diligenciar los recursos necesarios para asegurar el cumplimiento de los objetivos de la presente en el ámbito de su jurisdicción. En tal sentido, los datos gestionados en los organismos deben ser protegidos tanto dentro como fuera del ámbito institucional, con independencia del formato y del soporte en el que estén contenidos y si los mismos están siendo objeto de tratamiento electrónico, se encuentran almacenados o están siendo transmitidos.

 POLÍTICAS DE SEGURIDAD DE INFORMACIÓN

  • Aprobada por máxima autoridad.
  • Difundida a todo el organismo
  • Cumplida por todos los agentes.
  • Actualizada cada año máximo.
  • Enviada a la Dirección Nacional de Ciberseguridad cuando esté aprobada por máxima autoridad del organismo.

 ORGANIZACIÓN

  • Tiene que existir un área, con legajo, cargos, roles y datos de contacto informados a la Dirección Nacional de Ciberseguridad.
  • No depender de Sistemas o TI.
  • Ayudar a la máxima autoridad a difundir la importancia del cuidado de la información.
  • Establecer responsabilidades y sanciones para el incumplimiento tanto para personal, contratados y/o proveedores.
  • Establecer mecanismos de seguridad para trabajo remoto, computadoras, dispositivos móviles.

CONCIENTIZACIÓN

  • Realizar campañas constantes a todo el personal.
  • Establecer la obligatoriedad de compromisos de seguridad, responsabilidades y aclarar que exceden la vigencia de la duración del contrato.
  • Promover buenas prácticas de desarrollo para quienes tengan desarrolladores.
  • Establecer niveles de acceso (por dueños de datos) a la información-
  • Evaluar agentes durante la relación laboral.
  • Incluir sanciones disciplinarias para quienes no cumplan esto.

 GESTIÓN DE ACTIVOS

  • Clasificación.
  • Inventariado.
  • En el caso de finalizar relación laboral exigir devolución y destrucción segura.

 AUTENTICACIÓN y CONTROL DE ACCESOS

  • Auditoría constante de todos los ABM de la organización.
  • Seguimiento detallado de las cuentas con permisos elevados y/o privilegios.
  • Prohibición y sanción explícita para quienes compartan datos de autenticación.
  • Limitar accesos a repositorios de código fuente.

 USO DE HERRAMIENTAS CRIPTOGRÁFICAS

  • Cifrado obligatorio de dispositivos del organismo.
  • Proteger claves durante su ciclo de vida.
  • Uso obligatorio de SSL en todos los sitios de INTERNET del organismo.

SEGURIDAD FÍSICA Y AMBIENTAL

  • Análisis de riesgos por escrito.
  • Controles físicos para ingreso y egreso.
  • Registro de ubicación física de activos críticos.
  • Medidas de seguridad para el equipamiento que ingresa o sale del organismo.
  • Escritorios despejados en las oficinas.
  • Adoptar medidas para evitar la pérdida, daño o robo de activos de la información e interrupción de las operaciones.
  • Adoptar medidas de seguridad para el equipamiento que deba salir del organismo.
  • Obtener equipamiento para contribuir a la disponibilidad e integración continua de la información.

SEGURIDAD OPERATIVA

  • Establecer responsabilidades y procedimientos para la gestión y operación.
  • Revisión constante de todo desde el lado de la seguridad de la información.
  • Minimizar riesgos de accesos en entornos productivos, separando de todo otro tipo de entorno (desarrollo, qa, testing, etc).
  • Monitoreo continuo y alertas
  • Proteger equipamiento ante infecciones maliciosas.
  • Backups: control, separación lógica y física, pruebas de restauración de las copias de seguridad constantes con registro de efectividad y quienes fueron los que realizaron la tarea, fechas, y ubicación física de la copia.
  • Registro de eventos de seguridad.
  • Control estricto de integridad en entornos productivos.
  • Registro de vulnerabilidades detectadas y recomendaciones.
  • Revisar a operadores y administradores de plataformas.

 SEGURIDAD EN COMUNICACIONES

  • Segregar grupos de servicios de información, usuarios y sistemas en las redes. Roles, Permisos, Firewall, VLANs, etc.
  • Proteger el flujo de información desde y hacia otros organismos, incluso por email. Esto es logs, DLP. Firewalls.
  • Uso obligatorio de las cuentas de email del organismo, e informar riesgos y sanciones a quienes no lo cumplan.
  • Cláusulas y acuerdos de confidencialidad para todo tipo de acuerdo suscripto.

DESARROLLO, ADQUISICIÓN Y MANTENIMIENTO DE SISTEMAS

  • Desarrollo seguro desde el primer día.
  • Si es tercerizado debe estar incluido en el acuerdo suscripto.
  • Controles cruzados de seguridad por oposición.
  • Protección de datos reales, utilizando enmascarado en las bases de datos y resguardo de accesos a bases productivas.
  • Utilizar protocolos de seguridad técnicos que eviten la divulgación, duplicidad o alteración de los datos.
  • Proteger a las aplicaciones web sobre internet contra cualquier tipo de ciberdelito.

RELACIÓN CON PROVEEDORES

  • Establecer todo lo que refiera a seguridad, divulgación y protección de desarrollo seguro desde el pliego de manera obligatoria.
  • Todo el personal relacionado con la contratación y seguridad debe revisar periódicamente este cumplimiento.
  • Incluir cláusulas de niveles de servicio (SLA) y tiempos de respuesta para mantener disponibilidad.

GESTIÓN DE INCIDENTES

  • Gestionar la prevención de los mismos.
  • Contar con procedimientos, documentados, aprobados y comunicados. Playbooks de crisis.
  • Estrategia de escalamiento y comunicación a autoridades, y otras áreas.
  • Educar e instruir a los agentes a reportar incidentes de seguridad.
  • Notificar a la dirección nacional de Ciberseguridad en un plazo no superior a 48 hs.
  • Recopilar evidencia para medidas administrativas y/o judiciales, resguardando cadena de custodia.
  • Si el incidente afectó activos o comprometió información de datos personales y/o terceros se deberá hacer pública la situación.

 CONTINUIDAD DE GESTIÓN

  • Identificar servicios esenciales para evitar que un evento impida la continuidad.
  • Establecer, documentar, mantener procesos y procedimientos de control.
  • Implementar mecanismos de disponibilidad de la información crítica para procesamiento en situaciones adversas.

CUMPLIMIENTO OBLIGATORIO

  • Organismos deben poseer disposiciones legales, normativas y contractuales para evitar sanciones legales y/o administrativas como también los empleados son pasibles de responsabilidades civiles y/o penales por el incumplimiento.
  • Cumplimentar en su totalidad la Ley de Datos Personales 25.326 como sus normas reglamentarias y complementarias.
  • Revisar periódicamente las políticas y normas de seguridad de cada organismo.
  • Supervisar el cumplimiento de estos contenidos en la legislación aplicable.
  • Adoptar medidas correctivas que surjan de auditorías de todo tipo sea del propio organismo, organismos competentes o terceros habilitados.

Publicado en LinkedIn por Marcos Mansueti – CISO @ INSSJP (PAMI). Autor del libro “Paranoia Digital”. CEO y Fundador de @ Sueños Digitales Argentina IT Services & Solutions