La reciente Decisión Administrativa 641/2021 tiene como objetivo general establecer los lineamientos generales y mínimos para los organismos del Sector Público Nacional comprendidos en el inciso a) del artículo 8 de la Ley 24156 y para los terceros que contraten con ellos, con el fin de proteger los activos de información frente a riesgos internos o externos que pudieran afectarlos, para así preservar su confidencialidad, integridad y disponibilidad.
En primer lugar, la Decisión establece que los organismos deben desarrollar una Política de Seguridad de la Información compatible con la responsabilidad primaria y las acciones de su competencia, sobre la base de una evaluación de los riesgos que pudieran afectarlos. Dicha política debe ser:
- Aprobada por las máximas autoridades del organismo o por el funcionario a quien se le ha delegado la función.
- Notificada y difundida a todo el personal y a aquellos terceros involucrados cuando resulte pertinente y en los aspectos que corresponda.
- Cumplida por todos los agentes y funcionarios del organismo.
- Revisada y eventualmente actualizada, con una periodicidad no superior a 12 meses.
- Utilizada como base para establecer un conjunto de normas, procedimientos, lineamientos y guías acordes a los procesos que se llevan adelante en el organismo, su plataforma tecnológica y demás recursos de los que disponga.
- Informada a la Dirección Nacional de Ciberseguridad una vez aprobada.
Asimismo, las entidades deberán aprobar sus políticas de seguridad en el plazo máximo de 90 días desde la entrada en vigencia de la decisión y deberán establecer los plazos en que se dará cumplimiento a cada uno de los “Requisitos mínimos de seguridad de la información para los organismos del Sector Público Nacional”, establecidos en el ANEXO I de la Decisión.
Los requisitos mínimos disponen que los organismos deben adoptar una perspectiva sistémica para proteger sus activos de información. Para ello dispone una serie de obligaciones, entre las cuales se encuentran:
- Asignar a un área del organismo con competencia en la materia las responsabilidades relativas a la seguridad de la información.
- Realizar e implementar planes de concientización en el uso seguro y responsable de los activos de información, que incluyan capacitaciones periódicas destinadas a todos los agentes y funcionarios del organismo.
- Establecer los requerimientos de seguridad de la información, que incluya niveles de acceso a la información para cada perfil de trabajo.
- Garantizar la confidencialidad, integridad, autenticidad y/o no repudio de la información del organismo debe ser protegida mediante técnicas de cifrado, tanto si los datos se encuentran almacenados como si fueron transmitidos.
- Establecer la obligatoriedad de la suscripción de actas o compromisos respecto a la seguridad de la información para todos los empleados del organismo.
- Requerir a los agentes y funcionarios, cuando el organismo lo considere necesario, de acuerdo con sus competencias, la firma de un acuerdo de confidencialidad.
- Incorporar dentro de los procesos disciplinarios cualquier violación a las políticas de seguridad del organismo.
Con respecto a los incidentes de seguridad, los organismos deben adoptar las medidas necesarias para prevenir, detectar, gestionar, resolver y reportar los incidentes de seguridad que puedan afectar sus activos de información. Para ello deben:
- Identificar las debilidades en los procesos de gestión de información del organismo, de manera de adoptar las medidas que prevengan la ocurrencia de incidentes de seguridad.
- Contar con procedimientos de gestión de incidentes de seguridad documentados, aprobados y adecuadamente comunicados, de acuerdo con las áreas funcionales que considere necesarias.
- Adoptar una estrategia clara de priorización y escalamiento, que incluya la comunicación a las áreas involucradas, autoridades y a las áreas técnicas.
- Instruir a los agentes para la prevención, detección y reporte de incidentes de seguridad, según las responsabilidades correspondientes.
- Notificar a la Dirección Nacional de Ciberseguridad de la ocurrencia de incidentes de seguridad, en un plazo no superior a 48 horas de su detección.
- Recopilar la evidencia necesaria para adoptar medidas administrativas o judiciales posteriores, de corresponder, resguardando la cadena de custodia.
- En el caso en que el incidente de seguridad hubiere afectado activos de información y hubiere comprometido información y/o datos personales de terceros, se deberá informar públicamente tal ocurrencia.
Por Gustavo P. Giay, Diego Fernández, Sebastian Filipich y Josefina Barbero
Artículos
Barreiro
opinión
ver todosAlfaro Abogados
PASSBA
Bragard
Kabas & Martorell