Si bien el tiempo que insume el desarrollo de una Política de Seguridad depende de las características del Organismo (estructura, envergadura del ambiente informático, funciones de sistemas, etc.) se estima que un plazo promedio puede calcularse en 180 días. Cabe aclarar que dicho plazo contempla sólo el desarrollo de la Política y no su implementación.
En los casos en los que el Organismo ya cuenta con una Política y sólo debe adaptarla al Modelo, los plazos pueden acortarse considerablemente.

NO. De ninguna manera se requiere la incorporación de personal. Las funciones relacionadas con la administración de la seguridad de la información pueden ser distribuidas entre el personal y funcionarios actualmente en ejercicio en cada Organismo. En los casos en los que funciones críticas no puedan ser segregadas de acuerdo a lo indicado en el Modelo de Política, se prevé en la misma la implementación de controles adicionales para mitigar el riesgo de la falta de segregación.

Los organismos alcanzados por la norma deberán dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo aprobada por la ONTI, dentro del plazo de CIENTO OCHENTA (180) días hábiles. Este plazo comienza a correr después de los ocho días hábiles, contados desde el día siguiente al de su publicación oficial, la cual tuvo lugar el día 10 de agosto de 2005.

La información manejada por el Organismo es vital para garantizar su correcto funcionamiento. Cualquier violación a la seguridad de la misma, podría afectar su operatoria. Dado que actualmente, el mayor volumen de información es manejado electrónicamente, la seguridad informática tiene como objeto proteger la información que se genera, almacena y transporta en medios electrónicos.

Este concepto es una concepción frecuente pero errónea. Es de vital importancia que todo el personal del Organismo comprenda que la seguridad de la información no sólo se refiere a la seguridad informática, y que, si bien el Área de Informática tiene una gran participación en el proyecto de desarrollo e implementación de una Política de Seguridad de la Información, se trata de un tema que incumbe a todos y por el cual todos deben comprometerse y trabajar.

Actualmente, existen muchos tipos de amenazas a la seguridad de la información. No sólo se efectúan ataques directamente orientados a ciertas entidades, sino que también se utilizan recursos ajenos para la obtención de beneficios personales. Es por ello que no hace falta ser un blanco provechoso para la vista de un atacante, de hecho, una gran parte de los ataques son efectuados mediante la utilización de los recursos de equipos de hogar, los cuales son vulnerables debido a su falta de seguridad, aún cuando estos no manejan información de interés ni de la cual se pueda sacar provecho.

Las estadísticas coinciden que el 80% de los incidentes/fraudes/ataques son efectuados por personal interno, con lo cual, no es suficiente proteger la red de los ataques externos, sino que también se debe asegurar la información para que ningún empleado atente contra su integridad, confidencialidad y disponibilidad.

La seguridad de la información es un proceso contínuo y cíclico, basado en la revisión y mejora constante, ya que el entorno tecnológico es muy dinámico y día a día surgen nuevas vulnerabilidades para ser solucionadas. El hecho de obtener un buen informe de auditoría puede garantizar un esquema seguro al momento de la revisión, pero esto puede cambiar mucho más rápido de lo esperado, aún antes de recibir la próxima auditoría. Por otra parte, no siempre las auditorías son abarcativas, sino que en general se focalizan sólo en ciertos componentes o procesos, con lo cual su resultado satisfactorio no garantiza la seguridad de la información del Organismo.

Los incidentes de seguridad no sólo ocurren en el Area de Sistemas, sino que muchos de ellos se originan en las áreas usuarias. Por ello es necesario implementar un esquema de reporte de incidentes, registro y solución de los mismos, de manera que todo el personal pueda identificar un incidente de seguridad y comunicarlo en tiempo y forma.

No es necesario incorporar a personal especialmente capacitado en seguridad de la información para el proyecto, dado que existen Organismos especializados dispuestos a brindar asesoramiento en la materia al personal existente, por ejemplo ArCERT, Equipo de Firmas Digitales, entre otros.

El desarrollo e implementación de la Política de Seguridad debe ser tratado como un proyecto más del Organismo, con lo cual, debe involucrar una planificación, una asignación de recursos y un control y seguimiento de su curso. Se debe involucrar a personal de diferentes áreas del Organismo, y su prioridad debe ser alta en relación a las actividades diarias desempeñadas por el personal asignado.

No es necesario que se desafecte al personal de sus tareas en forma completa, para abocarlo al desarrollo e implementación de una Política de Seguridad de la Información. Lo aconsejable es destinar un porcentaje del tiempo del personal seleccionado para dicho fin, aunque se trate de empleados dedicados a atender tareas críticas del Organismo, ya que la seguridad de la información es un tópico comparable a muchos otros en orden de criticidad e importancia.

La definición e implementación de una Política de Seguridad de la Información debe ser una disposición tomada por la máxima autoridad del Organismo, con una adecuada conciencia de lo que ello implica. De esta forma, se evitarán muchos inconvenientes de relaciones humanas propios de un proceso de cambio o innovación.
Asimismo, se recomienda la conformación de un Comité de Seguridad donde se encuentren representadas todas las direcciones del Organismo, de forma que existe equidad para la toma de decisiones y coordinación del proyecto.

La DA 669/2004 establece que las máximas autoridades del Organismo deberán conformar un Comité de Seguridad integrado por representantes de las Direcciones Nacionales o Generales o equivalentes del Organismo, con lo cual se involucra a todas sus dependencias sustantivas.
Adicionalmente establece que las máximas autoridades deberán asignar las funciones relativas a la seguridad de sus sistemas de información a un funcionario de su planta.

Los Organismos incluidos en el alcance obligatorio de la DA 669/2004 son aquellos sobre los que la Jefatura de Gabinete de Ministros tiene ingerencia. De todos modos, así como se invita a los Gobiernos Provinciales, Municipales, al Gobierno de la Ciudad Autónoma de Buenos Aires y a los Poderes Legislativo y Judicial de la Nación a adherirse a la misma, estos Organismos pueden adherir al uso de la misma.

Con respecto al proceso de redacción o adecuación de la Política de Seguridad, la conformación del Comité de Seguridad y la asignación de responsabilidades en materia de seguridad, la DA 669/2004 establece que:
“ La asignación de funciones relativas a la seguridad informática y la integración del Comité de Seguridad de la Información, establecidas en los artículos 5° y 2° de la presente medida, respectivamente, no deberá implicar erogaciones presupuestarias adicionales.”

Posteriormente, y una vez que el Organismo apruebe sus Políticas, podrá definir la asignación o no de presupuesto para el proceso de desarrollo e implementación de los procedimientos derivados de dicha Política de Seguridad.

Para la implementación de la Política, el Modelo de Política propuesto por la ONTI establece que:
“ A fin de asegurar la implementación de las medidas de seguridad comprendidas en esta Política, el Organismo identificará los recursos necesarios e indicará formalmente las partidas presupuestarias correspondientes, como anexo a la presente Política. Lo expresado anteriormente no implicará necesariamente la asignación de partidas presupuestarias adicionales.”

La DA establece que su cumplimiento no debe generar erogaciones adicionales. En este sentido, los aspectos a cumplir son:
- Conformar el Comité de Seguridad
- Asignar responsabilidades en materia de seguridad
- Redactar una Política de Seguridad o adecuar la existente al Modelo

Esto se establece dado que:
- El Comité debe ser formado por personas miembros del Organismo, cuyas funciones no deben alterarse, salvo para incorporar las actividades que se demanden para cumplir con la DA, por lo que no se requiere personal adicional
- La asignación de responsabilidades es propuesta por el Comité y aprobada por la máxima autoridad del Organismo, lo cual tampoco debe generar erogaciones, ya que dichas responsabilidades en materia de seguridad informática deben recaer en personal que ya conforma la planta
- Existe un Modelo de Política de Seguridad, sobre el cual los Organismos deben basarse para redactar/adecuar sus políticas. Esto representa un ahorro muy relevante de tiempo y esfuerzo, por lo que esta tarea debe poder efectuarse en el plazo indicado (180 días) con los recursos (personal) existentes a la fecha.

No, de todos modos el Modelo de Política será revisado por la ONTI periódicamente con el objeto de mantenerlo acorde al estándar ISO/IRAM 17799, a las reglamentaciones locales y a cualquier modificación en las condiciones actuales bajo las que ha sido redactado, que ameriten su adecuación.
Sin embargo, el Modelo propuesto sí establece que se debe definir el período de revisión de la Política en cada Organismo.

Definitivamente. Una Política de Seguridad presenta un nivel alto de definición de pautas en cuanto a la seguridad de la información. Dichas pautas deben luego ser implementadas a través de normas y procedimientos más detallados.
La DA 669/2004 reglamenta la redacción/adecuación de una Política de Seguridad de la Información por parte de cada Organismo, lo cual debe ejecutarse como primera medida. Luego cada Organismo deberá avocarse a la redacción de normas y procedimientos específicos, en una etapa posterior. Esto último no se encuentra contemplado en la DA 669/2004.

Se estima que el Modelo de Política de Seguridad de la Información será aprobado durante el mes de abril del corriente.

El artículo 8vo. de la DA 669/04 faculta al Subsecretario de la Gestión Pública para aprobar la Política de Seguridad Modelo y para dictar las normas aclaratorias y complementarias de la dicha medida. El mismo artículo estblece que podrá delegar las citadas facultades en el Director Nacional de la Oficina Nacional de Tecnologias de Información.

La Política de Seguridad de la Información aprobada por cada Organismo deberá contemplar todos los aspectos tratados en el Modelo de Política de de Seguridad. Si bien es probable que algunos temas sean más aplicables que otros a la realidad de un Organismo, en mayor o menor medida todos los tópicos deberán ser analizados y de ser aplicables, incluidos en la política.

Efectivamente, el Modelo propuesto trata la seguridad de la información, más allá del soporte que la contenga: medios electrónicos (bases de datos, archivos, mails, etc.) y no electrónicos (expedientes, papeles, etc.).

Si bien el Modelo de Política de Seguridad de la ONTI se basa en el estándar ISO/IRAM 17799, esto NO implica que se requiera que los Organismos se certifiquen en ningún estándar.
Lo que se busca es elevar los niveles de seguridad mediante la definición y cumplimento de políticas de seguridad. La decisión de obtener una certificación de cualquier naturaleza se considera privativa de cada organismo en función de sus responsabilidades y acciones que le fueran asignadas.

No. La Política de Seguridad de la Información de cada Organismo debe encuadrarse en el Modelo aprobado a tal efecto. La ONTI efectuará revisiones periódicas del Modelo de Política y propondrá modificaciones y actualizaciones a su texto.
Adicionalmente, es importante aclarar que, si bien el Modelo se basa en el estándar ISO/IRAM 17799, NO se requiere la certificación por parte de los Organismos de ninguna norma ni estándar, siendo ésta una decisión privativa de cada entidad.

El Modelo de Política presenta una serie de controles de seguridad a ser implementados con el objeto de mitigar o eliminar los riesgos que atentan contra la seguridad de la información. El Modelo de Política, a fin de proporcionar una acabada protección, no solo debe abarcar lo relativo a la información en sí, sino que también debe referirse a aquellos aspectos que se encuentran estrechamente vinculados, como ser los programas de computación. En tal sentido, y a fin de evitar que el organismo incurra en responsabilidad civil y/o penal como resultado de haber instalado software y no contar con la correspondiente licencia, se justifica la inclusión de un apartado que informe acerca de la existencia de la Ley de Propiedad Intelectual, plenamente vigente independientemente del dictado de esta polìtica, y de sus disposiciones más relevantes.

Existe un sitio dedicado a políticas de seguridad www.arcert.gov.ar/politica en el cual se publica información relacionada con la DA 669/2004 y el Modelo de Política de Seguridad. Asimismo, se utilizan listas de correo electrónico de distintos grupos para difusión de dicha información (Lista de seguridad de Arcert, Foro de Responsables Informáticos, etc).
Adicionalmente, la ONTI ha organizado charlas de Presentación de la DA 669/2004, dictadas en el mes de marzo del corriente, destinadas a la difusión de dicha DA. A futuro, y de considerarse necesario, dichas charlas podrán repetirse.
Posteriormente, se prevé el dictado de cursos de apoyo para la redacción / adecuación de la Política de Seguridad en cada Organismo.

La ONTI a través de ArCERT ha estado trabajando desde el año 2004 en la concientización de los integrantes de los Organismos (más allá del Área Informática) a través de cursos de “Sensibilización en Seguridad Informática” y de “Formación de Formadores”.
Existe un sitio dedicado a políticas de seguridad www.arcert.gov.ar/politica en el cual se publica información relacionada con la DA 669/2004 y el Modelo de Política de Seguridad. Asimismo, se utilizan listas de correo electrónico de distintos grupos para difusión de dicha información (Lista de seguridad de Arcert, Foro de Responsables Informáticos, etc).
Finalmente, se prevé intensificar las tareas de difusión de la DA 669/2004 en otras áreas, como ser las de Legales, Recursos Humanos, etc..

ArCERT ha dictado durante el año 2004 los cursos de “Formador de Formadores” y “Sensibilización en Seguridad Informática” dedicados a concienciar a todos los niveles sobre la seguridad de la información.

La Decisión Administrativa 669/2004 establece un plazo de 180 días (hábiles) luego de aprobado el Modelo de Política de Seguridad de la Información para que cada Organismo apruebe la redacción o adecuación de su Política de Seguridad de la Información.

Si bien esto no se menciona en la DA 669/2004, el Modelo de Política establece que cada Organismo deberá determinar las sanciones a ser aplicadas por el incumplimiento de las obligaciones que se deducen de la Política.

La sanción por incumplimiento de la DA 669/2004 es la misma que para el incumplimiento de cualquier otra Decisión Administrativa.

No necesariamente. Un Organismo puede:
a) Dictar una única Política de Seguridad de la Información que sea de cumplimiento obligatorio por todas las dependencias bajo su incumbencia, o
b) Dictar una política de alto nivel, que contenga lineamientos generales para todo el Organismo (administración central y sus dependencias), sobre cuya base luego cada división dicte sus propias Políticas de Seguridad de la Información independientes (siempre alineadas a la política global del Organismo), o
c) Dictar una Política de Seguridad de la Información para el Organismo y para algunas de sus dependencias, y requerir al resto de ellas que redacten sus propias políticas (alineadas a la política global del Organismo)

La elección de cualquiera de estas alternativas debe ser evaluada por cada Organismo, siempre cuidando que se cubra la totalidad de sus recursos de información.
En todos los casos, las Políticas de Seguridad de la Información que se desarrollen deben adecuarse al Modelo que oportunamente se apruebe.

No necesariamente. La evaluación que debe hacer un Organismo, no debería estar centrada exclusivamente en el tamaño, sino en la hetereogeneidad de las funciones asignadas a cada dependencia. Un Organismo pequeño en cantidad de empleados, por ejemplo) puede tener dependencias muy hetereogéneas en cuanto a las necesidades de sus Políticas, por ejemplo, algunos administrarán información confidencial y otros tal vez no. Algunos compartirán el mismo edificio, por lo tanto algunas cuestiones de seguridad ambiental deberán ser consensuadas, mientras que en dos edificios distintos puede haber requerimientos distintos, por ejemplo, de atención al público.
En general es recomendable que ante una marcada variedad de actividades y de requerimientos de seguridad, las Políticas sean redactadas por cada dependencia. Esto no quita la posibilidad de implementar la opción b) de la respuesta anterior, donde el Organismo dicta lineamientos generales (una política global de alto nivel) y luego cada dependencia dicta su propia política.
Otro punto a tener en cuenta, es que además luego de dictar la Política, a posteriori se deberán redactar o adecuar los procedimientos específicos de cada actividad relacionada con los sistemas de información. En este
sentido, en el caso de que exista una Política para todo el Organismo, se deberá evaluar si es posible redactarlos en forma única para todas las dependencias, o si cada una tiene particularidades distintas y por ende la necesidad de Políticas específicas.

El Comité de Seguridad está conformado por representantes de cada Dirección.
Ahora bien, desde un punto de vista práctico, los objetivos del Comité de Seguridad tienen una relación muy directa con los contenidos y las áreas involucradas en la redacción de la Política, tal como coordinar el proceso de administración de la continuidad de la operatoria de los sistemas, tomar conocimiento y supervisar la investigación y el monitoreo de los incidentes relativos a la seguridad, etc. (Ver Art. 4° Funciones del Comité de Seguridad de la Decisión Administrativa).
Es por ello que resulta conveniente crear un Comité de Seguridad por cada Política de Seguridad que se redacte. Por ejemplo, utilizando la opción b) de la pregunta “E.1” sería conveniente crear:
- un Comité general, formado por representantes de las autoridades de cada dependencia de un Organismo
- un Comité en cada dependencia, conformado por representantes de cada área de la dependencia.

Es función de cada Organismo y su Comité de Seguridad evaluar los escenarios posibles y proponer a las máximas autoridades la mejor estrategia a seguir en materia de seguridad de la información, la cual deberá reflejar las características de cada entidad.

En un principio, el cumplimiento de la DA 669/2004 no debe implicar la necesidad de incorporar personal adicional, esto es, para la conformación del Comité, la asignación de funciones en materia de seguridad de la información, y la redacción/adecuación de la Política de Seguridad de la Información (ver pregunta A.4).
En lo que respecta a la implementación de los procedimientos de seguridad relativos a dicha política, cada Organismo deberá evaluar la posibilidad de incorporar personal en la medida que sea factible y necesario. De todos modos, es importante resaltar que si bien el Modelo de Política propuesta establece la necesidad de segregar funciones incompatibles, otorga la posibilidad de implementar controles para mitigar los riesgos en aquellos ambientes donde la segregación no es factible, por ejemplo, por falta de recursos humanos.

La Política de Seguridad de la Información de cada Organismo debe ser propuesta por el Comité de Seguridad a su máxima autoridad y aprobada por ésta, de acuerdo a lo dispuesto por la DA 669/2004 en la definición de funciones de dicho Comité:
“ Revisar y proponer a la máxima autoridad del organismo para su aprobación, la Política y las responsabilidades generales en materia de seguridad de la información.”

En el capítulo “Seguridad del Personal” del Modelo de Política propuesto se establece la necesidad de comunicar al personal la existencia de una Política así como la lectura, comprensión y adhesión formal de estos a la misma. Existen diversos mecanismos de difusión que pueden ser adoptados para ello, como ser publicación de la Política en la red o en una Intranet, la distribución de copias de la Política, etc.. Cada Organismo evaluará y determinará el mecanismo que crea mejor para ello, siempre teniendo en cuenta que probablemente haya fragmentos de la Política con cierto grado de confidencialidad que no deban ser distribuidos libremente a todo el personal.

El Comité de Seguridad debe estar conformado por representantes de las Direcciones Nacionales o Generales o equivalentes del Organismo.
En la opción b) de la respuesta a la pregunta “E.1”, donde un organismo decide dictar una política para cada dependencia, podría conformarse:
- un Comité general, formado por representantes de las autoridades de cada dependencia de un Organismo
- un Comité en cada dependencia, conformado por representantes de cada área de la dependencia.

La DA 669/2004 establece las funciones que deberá cumplir el Comité de Seguridad aunque no especifica cuál debe ser su funcionamiento. Es conveniente que esto sea definido internamente por cada comité, de forma de acordar procedimientos que puedan ser cumplidos por todos sus miembros, como ser, régimen de reuniones, metodologías de control, planes de acción, distribución de tareas, etc..

Las funciones del Comité de Seguridad se definen en la DA 669/2004. La dinámica de su funcionamiento corre por cuenta de cada Organismo.

No existe una cantidad preestablecida de integrantes del Comité de Seguridad. Esto dependerá de la estructura del Organismo. El Comité de Seguridad será formado por representantes de las Direcciones o áreas del Organismo.

Los integrantes del Comité de Seguridad NO dedican todo su tiempo a dicha tarea, sino que siguen cumpliendo con sus funciones y además dedican parte de su tiempo a las tareas que le competen por ser parte del Comité.

Se están desarrollando modelos de procedimientos (y demás documentación, como ser, Acuerdo de Confidencialidad) los cuales serán puestos a disposición de los Organismos con el objeto de ayudarlos en la redacción de los mismos. Cabe aclarar que dichos modelos no tienen el nivel de obligatoriedad otorgado a la redacción o adecuación de la Política de Seguridad de cada organismo, sino que son de uso opcional.

Si bien la ONTI tiene competencias en la Administración Pública Nacional y en la medida que sea posible en función de la disponibilidad de recursos, se ofrecerá apoyo al resto de los Organismos.
De hecho representantes de algunos de estos Organismos estuvieron presentes en las charlas efectuadas por la ONTI para la Presentación de la DA 669/2004.

Próximamente se habilitará en el sitio de políticas de ArCERT, www.arcert.gov.ar/politica , una sección privada de acceso exclusivo para los Organismos, en la cual se pondrán a disposición los modelos mencionados. Cuando esto se encuentre disponible se informará a los organismos a través de las listas de difusión habitualmente utilizadas por ArCERT. No obstante, se recomienda acceder periódicamente al mencionado sitio para estar al tanto de las novedades.

Se ha planificado el dictado de cursos de apoyo a los Organismos en el desarrollo/adecuación de sus Políticas de Seguridad. Uno de los temas a tratar serán ejemplos de mejores prácticas para el abordaje de las tareas que demanda el cumplimiento de la DA 669/2004.

ArCERT dicta cursos relacionados con seguridad informática en diferentes entornos (ej.: Firewalls, redes, aplicaciones Web), en los cuales se proporcionan pautas para mejorar los niveles de seguridad de los ambientes informáticos en los Organismos.
Asimismo, en el sitio de ArCERT, www.arcert.gov.ar existe una sección de “Lecturas recomendadas” donde se sugieren diferentes documentos, algunos de ellos relacionados con mejores prácticas para asegurar diversos ambientes informáticos.
Finalmente, se prevé poner a disposición de los organismos, a través del sitio de políticas www.arcert.gov.ar/politica , una serie de documentos destinados a facilitar la implementación de sus políticas (ej.: procedimientos modelo, modelo de acuerdo de confidencialidad, etc.).

Dado que la DA 669/2004 no tiene por objetivo que los Organismos certifiquen en ninguna norma, la ONTI no prevé brindar asistencia en este sentido. El objetivo de la DA es elevar los niveles de seguridad de los Organismos a través del desarrollo de Políticas de Seguridad de la Información y no supone ni requiere ningún tipo de certificación.

No, la DA 669/2004 no establece acciones respecto de la auditoría de la Política de Seguridad ni sus procedimientos, ya que estas atribuciones ya se encuentran previstas por Ley.
De todos modos, el Modelo de Política propuesto hace referencia a la auditoría de la Política y su cumplimiento, con el siguiente texto:
“ La Unidad de Auditoría Interna o en su defecto quien sea designado por el Comité de Seguridad de la Información será responsable de realizar revisiones independientes sobre la vigencia y el cumplimiento de la presente Política.”

SIGEN ha participado desde el comienzo del proyecto, con la redacción y revisión del Modelo de Política de Seguridad propuesto. Por otro lado, de acuerdo a lo señalado por funcionarios de dicha Sindicatura durante las charlas informativas, se encuentra coordinando con las UAIs una metodología de revisión a ser instaurada luego de cumplidos los 180 días de plazo establecidos por la DA 669/2004 para la redacción / adecuación de las Políticas de Seguridad por parte de los Organismos.

Esto corresponde a una etapa posterior a la contemplada por la DA 669/2004. Oportunamente y luego de efectuada la revisión de cumplimiento de la DA 669/2004, de acuerdo a lo indicado por funcionarios de la SIGEN, dicho organismo de contralor establecerá las pautas de control del cumplimiento de la Política de Seguridad en cada Organismo.

Los agentes que no dan debido cumplimiento a sus obligaciones incurren en responsabilidad, la cual puede ser de distinta índole: disciplinaria o administrativa, civil o patrimonial y penal. Estas responsabilidades no son excluyentes y un mismo hecho puede generar más de una responsabilidad, y por lo tanto, más de una sanción.
Todo aquel que viole lo dispuesto en la presente Política de Seguridad será sancionado administrativamente conforme a lo dispuesto por las normas estatutarias, escalafonarias y convencionales que rigen al personal del organismo en cuestión.
Amén de las sanciones disciplinarias o administrativas, el agente que no da debido cumplimiento a sus obligaciones pueden incurrir también en responsabilidad civil o patrimonial -cuando ocasiona un daño a la Administración Pública que debe ser indemnizado- y/o en responsabilidad penal -cuando su conducta constituye un comportamiento considerado delito por el Código Penal y leyes especiales.

La asignación de responsabilidades en materia de seguridad de la información debe ser progresiva, en función a que se vaya creando el ambiente adecuado para su cumplimiento. Por otro lado, dicho cumplimiento debe ser analizado a la luz de la disponibilidad de los recursos necesarios para implementar los procedimientos necesarios para cada situación.
Por ejemplo, no deberían asignarse las funciones de “Participar en el tratamiento de los incidentes de seguridad, de acuerdo a los procedimientos establecidos.” hasta tanto dichos procedimientos no se encuentren redactados e implementados.

A lo largo de todo el Modelo de Política de Seguridad se establecen las funciones de cada uno de los “actores” que participan en el mismo, entre los cuales se encuentra el Responsable de Seguridad Informática. Estas funciones pueden recaer en uno o más agentes, de acuerdo a la situación particular de cada organismo.

Agrupando todas estas funciones, podemos resumir lo siguiente:
- Asistir al personal del Organismo en materia de seguridad de la información y coordinar la interacción con Organismos especializados.
- Asistir a los usuarios que corresponda en el análisis de riesgos a los que se expone la información del Organismo y los componentes del ambiente informático que sirven de soporte a la misma.
- Definir las medidas de seguridad lógica, física y ambiental para el control de acceso, el procesamiento y el resguardo de la información, en función al análisis de riesgos efectuado y a la clasificación obtenida por la misma, y controlar su implementación.
- Promover que la utilización de los recursos de la tecnología de información contemple los requerimientos de seguridad establecidos según la criticidad de la información que procesan.
- Efectuar el seguimiento, documentación y análisis de los incidentes de seguridad reportados así como su comunicación al Comité de Seguridad de la Información, a los propietarios de la información y a ArCERT - Coordinación de Emergencias en Redes Teleinformáticas.
- Establecer criterios de aprobación para nuevos sistemas de información, actualizaciones y nuevas versiones que incluyan aspectos de seguridad, contemplando la realización de las pruebas necesarias.
- Controlar los mecanismos de distribución y difusión de información dentro del Organismo.
- Definir y documentar normas y procedimientos para: el control de cambios a procesos operativos, sistemas e instalaciones de procesamiento de información de manera que no afecten la seguridad de la información; el manejo de incidentes de seguridad; la administración de los medios de almacenamiento; la gestión de accesos a todos los sistemas, bases de datos y servicios de información multiusuario; las revisiones de accesos otorgados; el monitoreo del uso de las instalaciones de procesamiento de la información; la solicitud y aprobación de accesos a Internet; el uso de computación móvil, trabajo remoto y reportes de incidentes relacionados; la respuesta a la activación de alarmas silenciosas; la concientización de usuarios en materia de seguridad; la administración de claves; la verificación de la seguridad de las plataformas y bases de datos que soportan e interactúan con los sistemas; el control de código malicioso; la definición de las responsabilidades del personal involucrado en el proceso de entrada de datos; el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual; la conservación de registros; la revisión de registros de actividades; entre otros mencionados en la Política de Seguridad de la Información del Organismo.
- Definir y documentar una norma clara con respecto al uso de recursos como ser el correo electrónico e Internet.
- Controlar la asignación de privilegios a usuarios.
- Autorizar el trabajo remoto del personal, en los casos en que se verifique que son adoptadas todas las medidas establecidas en materia de seguridad de la información.
- Autorizar el acceso a los servicios y recursos de red y a Internet de los usuarios.
- Definir y documentar controles para la detección y prevención del acceso no autorizado, la protección contra software malicioso y para garantizar la seguridad de los datos y los servicios conectados en las redes del Organismo.
- Analizar y sugerir medidas a ser implementadas para efectivizar los controles sobre las actividades de usuarios en los diferentes ambientes, sistemas, servicios, etc..
- Asistir en la definición de eventos y actividades a ser registradas en los diferentes ambientes de procesamiento.
- Participar en la definición de estándares de seguridad a implementar en el ambiente informático (ej.: sistemas operativos, servicios de red, “enrutadores” o “gateways”, etc.) y validarlos periódicamente.
- Evaluar los contratos y acuerdos con terceros para garantizar la incorporación de consideraciones relativas a la seguridad de la información afectada, así como de los productos o servicios prestados.
- Participar activamente en la definición, documentación, prueba y actualización de los planes de contingencia.
- Verificar el cumplimiento de las disposiciones sobre seguridad de la información indicadas en la Política de Seguridad de la Información.
- Coordinar las revisiones de Auditoría y garantizar la seguridad y el control de las herramientas utilizadas para las revisiones.

Cabe aclarar que se ha desarrollado un documento donde se concentran las responsabilidades y funciones de cada uno de los “actores” del Modelo, el cual próximamente será puesto a disposición de los Organismo, junto con otra documentación de utilidad (ej. procedimientos modelo).

En el Modelo de Política intervienen una serie de “actores” cada uno de los cuales posee una serie de funciones que deben explicitarse y asignarse de acuerdo a la situación de cada organismo sobre la base de lo planteado en el Modelo. Estos son:
- Máxima autoridad del Organismo
- Comité de Seguridad de la Información
- Coordinador del Comité de Seguridad de la Información
- Responsable de Seguridad Informática
- Propietario de la Información
- Responsable de unidad organizativa
- Responsable del Área Informática
- Unidad de Auditoría Interna
- Responsable del Área Legal
- Responsable del Área de RRHH
- Responsable del Área de Administración
- Todo el personal del organismo

No. El Comité de Seguridad propone la asignación de responsabilidades y funciones a la máxima autoridad, la cual analiza y aprueba dicha asignación en el caso de que se encuentre de acuerdo con la misma.

La asignación de funciones al personal de un Organismo a partir de la aprobación de la Política de cada Organismo deberá determinarse en función de la realidad de cada dependencia. Ese sugiere que el criterio para dicha asignación debe focalizarse en primera instancia en las competencias del personal.

No. La DA establece que tanto las Políticas de Seguridad, como la asignación de funciones y eventualmente en el futuro, todos o parte de los procedimientos de seguridad a implementar, son propuestos por el Comité de Seguridad a la máxima autoridad y de considerarlo apropiado, aprobados por dicho funcionario.

Si bien no se ha definido un perfil requerido para el Responsable de Seguridad Informática, mediante el análisis de sus funciones (ver pregunta J.1) se podrá establecer cuáles deben ser sus competencias, conocimiento, experiencia, habilidades y cualidades.

No se especifica en la DA 669/2004 ni en el Modelo de Política quién debe ser el depositario del rol de Responsable de Seguridad Informática. Las funciones de dicho responsable pueden recaer inclusive en más de una persona. Esto dependerá de la realidad de cada Organismo en cuanto a su estructura, el perfil del personal, etc..

A partir de la puesta en vigencia de la DA 669/2004, las auditorías pueden comenzar las tareas de evaluación de su implementación por parte del organismo.

Las UAIs no son responsables por la redacción/adecuación de la Política de Seguridad. No obstante, aquellas UAIs que realicen auditorías sobre la elaboración de dicha política, podrán efectuar recomendaciones respecto de su confección.

Los responsables de las auditorías: la UAI (unidad de auditoría interna), SIGEN y/o AGN.

Sí, la revisión de la elaboración, implementación y ejecución posterior de la Política, así como de los procedimientos de seguridad asociados a la misma, formarán parte de los planes de auditoria de las UAIs y de los organismos de control.