Resolución 15/2024, de 31 de mayo de 2024

Resolución 15/2024, de 5 de junio de 2024, de la Secretaría de Innovación Ciencia y Tecnología: Aprueba Lineamientos para el uso seguro de herramientas digitales.(Publicado 7 de junio de 2024)

JEFATURA DE GABINETE DE MINISTROS

SECRETARÍA DE INNOVACIÓN, CIENCIA Y TECNOLOGÍA

Resolución 15/2024

RESOL-2024-15-APN-SICYT#JGM

Ciudad de Buenos Aires, 05/06/2024

VISTO el Expediente N° EX-2024-56764451- -APN-SSTI#JGM, las Leyes de Ministerios N.° 22.520 (texto ordenado por Decreto N° 438 del 12 de marzo de 1992) y sus modificatorias, N° 25.326 de Protección de los Datos Personales y N° 27.078 de Tecnologías de la Información y las Comunicaciones, el Decreto N° 50 del 20 de diciembre del 2019 y sus modificatorios, la Decisión Administrativa N° 641 del 25 de junio de 2021, la Disposición N° 1 del 2 de octubre de 2023 de la Oficina Nacional de Tecnologías de Información, y

CONSIDERANDO:

Que, a través del Decreto N° 50 del 19 de diciembre de 2019 y sus modificatorios, se aprobó el Organigrama de Aplicación de la Administración Nacional centralizada hasta nivel de Subsecretaría para cumplir con las responsabilidades que le son propias, estableciendo, asimismo, sus objetivos y los ámbitos jurisdiccionales en los que actuarán los organismos desconcentrados y descentralizados.

Que, mediante el citado decreto, se creó la SECRETARÍA DE INNOVACIÓN, CIENCIA Y TECNOLOGÍA, la cual tiene entre sus objetivos: “Diseñar, proponer y coordinar las políticas de innovación administrativa y tecnológica del Sector Público Nacional en sus distintas áreas y determinar los lineamientos estratégicos y la propuesta de las normas reglamentarias en la materia; Intervenir en la definición de estrategias y estándares sobre tecnologías de la información, comunicaciones asociadas y otros sistemas electrónicos de tratamiento de información de la Administración Pública Nacional; Diseñar, coordinar e implementar la incorporación y mejoramiento de los procesos, tecnologías, infraestructura informática y sistemas y tecnologías de gestión del Sector Público Nacional; Entender en la ciberseguridad y protección de infraestructuras críticas de información y comunicaciones asociadas del Sector Público Nacional y de los servicios de información y comunicaciones definidos en el artículo 1° de la Ley N° 27.078”.

Que, mediante la Decisión Administrativa N° 641 del 25 de junio de 2021, se aprobaron los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, de aplicación a las entidades y jurisdicciones del Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias, así como a los proveedores que contraten con esas entidades y jurisdicciones, encomendando a la ex SECRETARÍA DE INNOVACIÓN PÚBLICA la revisión y actualización periódica de los mismos como así también el dictado de las normas complementarias y aclaratorias de la medida.

Que, al realizar un cotejo con los objetivos asignados a la ex SECRETARÍA DE INNOVACIÓN PÚBLICA y los que corresponden a la SECRETARÍA DE INNOVACIÓN, CIENCIA Y TECNOLOGÍA, en cuanto a los términos de la presente medida, se entiende que esta última es su continuadora.

Que, con el fin de asegurar la confidencialidad, integridad y disponibilidad resulta necesario avanzar en el proceso de fortalecimiento de la seguridad de la información que se recibe, produce y administra en las entidades y jurisdicciones del Sector Público Nacional comprendidas en el artículo 8° de la Ley N° 24.156 y sus modificatorias.

Que, en tal sentido, cabe resaltar que la confidencialidad es un conjunto de reglas que restringe y limita el acceso a la información; la integridad es la garantía de que la información es confiable y precisa; y la disponibilidad es una garantía de acceso seguro a la información por parte de personas autorizadas.

Que, a través de la evaluación de estos tres elementos, es posible evaluar la política de seguridad de la información de una organización.

Que, con las herramientas digitales, sean estas gratuitas o de pago, no se puede garantizar que los correos y los datos almacenados sean completamente seguros, ni tampoco es posible derivar los contenidos (cuerpo y adjuntos) hacia otra herramienta más avanzada e independiente, para el análisis y detección de amenazas.

Que, asimismo, la utilización de dichas herramientas puede implicar la recopilación de información del Estado y de los ciudadanos, lo que podría vulnerar la privacidad de los datos y exponerlos a riesgos inherentes, como la interceptación y los ataques cibernéticos.

Que, en tal sentido, la salvaguarda y gestión efectiva de la información inherente a las redes de cada jurisdicción y entidad del Sector Público Nacional es una necesidad primordial y urgente, tanto en el ámbito interno de la organización como en aquel que involucra la transferencia de datos fuera de sus plataformas, razón que justifica adoptar una perspectiva sistémica para proteger los activos de información y minimizar los riesgos de acceso segregando los accesos a servicios de información, usuarios y sistemas en las redes, de acuerdo a su criticidad y nivel de riesgo.

Que, en este contexto, y dada la velocidad del avance tecnológico y las renovadas amenazas que pueden impactar los recursos de información del Estado, dicha revisión se torna fundamental a los fines de mantener un nivel adecuado de protección de la información de la Administración Pública.

Que, en virtud de ello, se dictan los presentes lineamientos, a fin de ampliar y actualizar la versión de los requisitos mínimos de seguridad de la información que refleje e incorpore los últimos avances en materia de ciberseguridad.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA LEGAL de la SECRETARÍA DE COORDINACIÓN LEGAL Y ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención de su competencia.

Que la presente medida se dicta en ejercicio de las atribuciones conferidas por la Ley de Ministerios N° 22.520 (texto ordenado por Decreto N° 438 del 12 de marzo de 1992) y sus modificatorias, el Decreto N° 50 del 19 de diciembre de 2019 y sus modificatorios y la Decisión Administrativa N° 641 del 25 de junio de 2021.

Por ello,

EL SECRETARIO DE INNOVACIÓN, CIENCIA Y TECNOLOGÍA DE LA JEFATURA DE GABINETE DE MINISTROS

RESUELVE:

ARTÍCULO 1°.- Apruébanse los “LINEAMIENTOS PARA EL USO DE HERRAMIENTAS DIGITALES” que como Anexo N° IF-2024-57335981-APN-DNCIB#JGM forma parte integrante de la presente medida.

ARTÍCULO 2°.- Establécese que los “LINEAMIENTOS PARA EL USO DE HERRAMIENTAS DIGITALES” aprobadas en la presente medida serán de aplicación para todas las jurisdicciones y entidades del Sector Público Nacional comprendidas en el artículo 8° de la Ley N° 24.156 y sus modificatorias, de conformidad con lo estipulado en la Decisión Administrativa N° 641 del 25 de junio de 2021.

ARTÍCULO 3°.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

Alejandro José Cosentino

ANEXO.- LINEAMIENTOS PARA EL USO DE HERRAMIENTAS DIGITALES

1. INTRODUCCIÓN

Los organismos del Sector Público Nacional son algunos de los principales receptores y productores de información de nuestro país. La información puede ser hoy en día objeto de una amplia gama de peligros, amenazas y usos indebidos e ilícitos, debiéndose, por lo tanto, extremar las medidas tendientes a la preservación de su confidencialidad, integridad y disponibilidad.

La presente Resolución, tiene por objeto proteger los derechos y libertades individuales de las personas al tiempo de contribuir a la efectiva prestación continua e ininterrumpida de los diversos servicios ofrecidos por las diferentes entidades y jurisdicciones y, al mismo tiempo, propender a su correcta y mejor gestión interna. En un contexto de transversalidad, en el uso de las tecnologías para la vida social, económica, política y cultural de las personas, la seguridad de la información cumple un rol fundamental.

Consiguientemente, todos los agentes públicos, cualquiera sea el nivel jerárquico y la modalidad de contratación, tienen la obligación de dar tratamiento y hacer un uso responsable, seguro y cuidado de los datos que utilizan en sus labores habituales, adoptando todas las medidas a su alcance para protegerlos.

Por su parte, los responsables de los activos de la información deben atender y diligenciar los recursos necesarios para asegurar el cumplimiento de los objetivos relativos a la ciberseguridad en el ámbito de su jurisdicción. Los datos gestionados en los organismos deben ser protegidos tanto dentro como fuera del ámbito institucional, con independencia del formato y del soporte en el que estén contenidos y si los mismos están siendo objeto de tratamiento electrónico, se encuentran almacenados o están siendo transmitidos. Es por ello, que corresponde a cada organismo determinar sus políticas, normas específicas, procedimientos y guías que, sobre la base de los siguientes lineamientos, sean aplicables a los procesos específicos que desarrollen. Va de suyo, las pautas de tratamiento deben surgir a partir de un análisis de los riesgos para los procesos que lleven adelante.

2. PRINCIPIOS

Se entenderán como principio de seguridad de la información, la preservación de confidencialidad, integridad y disponibilidad de la información y de los activos de información del Sector Público Nacional utilizados en su gestión.

3. ALCANCE

Los lineamientos establecidos en el presente Anexo se extienden para todos los organismos del Sector Público Nacional alcanzados por la Decisión Administrativa N° 641/2021 y para todos los agentes y funcionarios que en ellos se desempeñen, quienes, con independencia de su nivel jerárquico, deberán conocerlas, entenderlas y cumplirlas, en la medida que les corresponda según su función.

4. LINEAMIENTOS

i. CORREO ELECTRÓNICO, TRABAJO COLABORATIVO EN LÍNEA, MENSAJERÍA INSTANTÁNEA Y ALMACENAMIENTO.

Se recomienda cursara través de las herramientas propias del Estado y/o aquellas que hubieran sido contratadas como servicio a terceros de manera oficial por el área pertinente de cada jurisdicción y notificadas a todo el personal, toda vez que se involucre información producida, comunicada, gestionada o almacenada por el Estado:

a. Las comunicaciones a través de correo electrónico.

b. La creación y/o edición de documentos en forma colaborativa.

c. El intercambio de mensajería instantánea

d. El almacenamiento de datos, perfiles, configuraciones, archivos que se encuentren adjuntos en los correos electrónicos, documentos creados colaborativamente y/o incluidos en servicios de mensajería

ii. CONEXIÓN A RED PARA EQUIPOS INVITADOS.

En los casos en que se requiera conectar equipos personales (notebooks, tabletas, etc.) en forma directa a la LAN de un edificio público, se recomienda crear canales seguros tales como VLAN especiales dedicadas a la conexión de equipos invitados con acceso limitado. En los casos en los que la infraestructura lo permita, se podrá configurar un portal cautivo que solicite el registro de los datos personales previo al acceso a la VLAN de invitados.

iii. CONEXIÓN A RED PARA EQUIPOS AUTORIZADOS

El acceso completo a la VLAN por parte de personal autorizado con equipo propio, se recomienda concederlo sólo a aquellos equipos que cumplan con requisitos mínimos de seguridad siendo estos definidos por cada organismo, considerando la versión vigente de los Estándares Tecnológicos de la Administración Pública y la DA 641/2021 o modificatorias y complementarias.

iv. ACCESO REMOTO.

Para el acceso a sistemas internos del organismo en forma remota, se recomienda implementar una solución VPN (red privada virtual) y la correspondiente instalación del cliente VPN en el equipo invitado.

v. CONTROL DE USUARIOS Y PRIVILEGIOS.

Las gestiones de altas y bajas de cuentas de usuario y privilegios se recomienda realizarlas de manera adecuada y oportuna, en coordinación con todas las áreas involucradas, incluyendo las direcciones de recursos humanos. Asimismo, se recomienda realizar en todo momento un seguimiento detallado sobre las cuentas con privilegios especiales, y revisar periódicamente todos los permisos de acceso a los sistemas y a la infraestructura de procesamiento. También se recomienda evitar el uso de cuentas genéricas de usuario tales como “soporte”, “administrador”, etc. de modo que el responsable de la configuración, acceso o perfil esté debidamente identificado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.