Inicio Modelo de la Política Estructura del Modelo
Estructura del Modelo
 
En septiembre de 2003 la ONTI convocó a especialistas en seguridad informática de diversos organismos públicos, con el fin de conocer sus opiniones respecto a una estrategia de seguridad informática para la Administración Pública. Entre dichos especialistas se encontraban representantes de la SIGEN, la AGN, la AFIP, la ANSeS, la Dirección de Protección de Datos Personales del Minsterio de Justicia, Seguridad Interior y Derechos Humanos, CITEFA, etc. En dicha reunión se convino como primer paso propiciar el dictado por parte de los organismos de políticas y procedimientos de seguridad, para lo cual se conformó un grupo de trabajo con el objeto de formular un modelo de Política de Seguridad de la Información que sirviera de base para la elaboración de las políticas correspondientes en cada organismo. El trabajo se finalizó en abril de 2004 y fue sometido a las autoridades nacionales para su aprobación.
 
El Modelo de Política de Seguridad de la Información se compone de 12 capítulos, los 3 primeros de introducción y los 9 restantes de contenidos de las distintas áreas abordadas. A continuación encontrará los objetivos correspondientes a los objetivos de contenido:
 

Organización de la Seguridad
  Clasificación y Control de Activos
  Seguridad del Personal
  Seguridad Física y Ambiental
  Gestión de Comunicaciones y Operaciones
  Control de Accesos
  Desarrollo y Mantenimiento de Sistemas
  Administración de la Continuidad de las Actividades del Organismo
  Cumplimiento
   
El desarrollo del Modelo de Política de Seguridad de la Información ha sido basado en la norma ISO/IRAM 17799.
 
Organización de la Seguridad
Objetivo  
Administrar la seguridad de la información dentro del Organismo y establecer un marco gerencial para iniciar y controlar su implementación, así como para la distribución de funciones y responsabilidades.

Fomentar la consulta y cooperación con Organismos especializados para la obtención de asesoría en materia de seguridad de la información.

Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del Organismo.
 
   
Clasificación y Control de Activos
Objetivo  

Garantizar que los activos de información reciban un apropiado nivel de protección.

Designar a los propietarios de la información existente en el Organismo.

Clasificar la información para señalar su sensibilidad y criticidad.

Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.

 
   
Seguridad del Personal
Objetivo  

Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo no autorizado de la información.

Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal, incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad del Organismo en el transcurso de sus tareas normales.

Establecer Acuerdos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.

Establecer las herramientas necesarias para promover la comunicación de debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

 
   
Seguridad Física y Ambiental
Objetivo  

Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información del Organismo.

Proteger el equipamiento de procesamiento de información crítica del Organismo ubicándolas en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. Asimismo, contemplar la protección del mismo en su traslado y permanencia fuera de las áreas protegidas, por motivos de mantenimiento u otros.

Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático que alberga la información del Organismo.

Implementar medidas para proteger la información manejada por el personal en las oficinas en el marco normal de sus labores habituales.

Proporcionar protección proporcional a los riesgos identificados.

  
   
Gestión de Operaciones y Comunicaciones
Objetivo  
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones.

Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.		  
   
Control de Accesos
Objetivo  

Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.

Implementar seguridad en los accesos de usuarios por medio de técnicas de identificación y autenticación.

Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas.

Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.

Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.

 
   
Desarrollo y Mantenimiento de Sistemas
Objetivo  

Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en los cuales éstos se apoyan.

Definir los métodos de protección de información crítica.

  
   
Administración de la Continuidad de las Actividades del Organismo
Objetivo  

Minimizar los efectos de las posibles interrupciones de las actividades normales del Organismo (sean éstas resultado de desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u otros hechos) y proteger los procesos críticos mediante una combinación de controles preventivos y acciones de recuperación.

Analizar las consecuencias de la interrupción del servicio y tomar las medidas correspondientes para la prevención de hechos similares en el futuro.

Maximizar la efectividad de las operaciones de contingencia del Organismo con el establecimiento de planes que incluyan al menos las siguientes etapas:

  • Notificación / Activación : Consistente en la detección y determinación del daño y la activación del plan.
  • Reanudación : Consistente en la restauración temporal de las operaciones y recuperación del daño producido al sistema original.
  • Recuperación : Consistente en la restauración de las capacidades de proceso del sistema a las condiciones de operación normales.

Asegurar la coordinación con el personal del Organismo y los contactos externos que participarán en las estrategias de planificación de contingencias. Asignar responsabilidades para cada actividad definida.

 
   
Cumplimiento
Objetivo  

Cumplir con las disposiciones legales, normativas y contractuales a fin de evitar sanciones administrativas y legales al Organismo y/o al empleado.

Garantizar que los sistemas cumplan con las Políticas y estándares de seguridad del Organismo.

Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de las Políticas y estándares de seguridad, sobre las plataformas tecnológicas y los sistemas de información.

Optimizar la eficacia del proceso de auditoría de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

Garantizar la existencia de controles que protejan los sistemas en producción y las herramientas de auditoría en el transcurso de las auditorías de sistemas.

Determinar los plazos para el mantenimiento de información y para la recolección de evidencia del Organismo.