La Dirección Nacional de Ciberseguridad de Argentina publicó a través del boletín oficial un documento titulado Modelo Referencial de Política de Seguridad de la Información. El mismo detalla los lineamientos aprobados que deberán seguir los organismos del sector público al momento de implementar una Política de Seguridad como parte de sus obligaciones para proteger los activos tecnológicos fundamentales para el correcto funcionamiento del organismo.
El documento es un marco de referencia sobre el que deberá trabajar cada organismo que integra la Administración Nacional de acuerdo a las particularidades y necesidades establecidas según los Requisitos Mínimos de Seguridad de la Información.
Tal como explica el documento, la política de seguridad define la postura que una organización espera de parte de sus empleados, autoridades y terceros que tengan acceso a datos o recursos para proteger dicha información.
Asimismo, este modelo establece que dicha política de seguridad deberá ser aprobada por las máximas autoridades del organismo y deberá ser notificada y difundida a todo el personal y a cualquier tercero involucrado. Por otra parte, la misma deberá ser cumplida por todos los agentes y funcionarios y deberá ser revisada y actualizada anualmente. Será utilizada como base para establecer normas, procedimientos y lineamientos de acuerdo a los procesos de cada organismo, su plataforma tecnológica y demás recursos disponibles.
Los puntos clave que según este modelo deberá contemplar una política de seguridad son:
- Un organismo o área responsable de la seguridad de la información que coordinará y velará por el cumplimiento de la política.
- Seguridad de la información de los recursos humanos. Es decir, capacitar y concientizar a los empleados y funcionarios.
- Gestión de activos dentro del organismo. Esto incluye hardware, software, dispositivos de comunicación, dispositivos de apoyo, así como de la propia información y los datos.
- Autenticación, autorización y control de acceso. Este punto está vinculado con la gestión de privilegios para administrar adecuadamente el acceso a la información para que se tenga acceso a lo necesario para desempeñar las funciones.
- Uso de herramientas criptográficas para proteger la información que manipula el organismo, sobre todo cuando se transmite hacia y desde afuera.
- Implementación de medidas de seguridad y monitoreo con relación al acceso físico a la información.
- Seguridad operativa
- Seguridad de las comunicaciones. La política debe establecer las medidas necesarias para proteger la información que se comparte a través de sus redes informáticas para minimizar los riesgos.
- Adquisición de sistemas, desarrollo y mantenimiento de sistemas de información.
- Relación con proveedores
- Gestión de incidentes de seguridad. Lo cual habla de la importancia de establecer medidas para prevenir, detectar, gestionar y resolver un incidente de seguridad que afecte a la información.
- Aspectos de seguridad para la continuidad de la gestión. Esto significa realizar análisis de impacto, establecer formas de recuperación para garantizar la continuidad, sobre todo en el caso de información o servicios críticos.
- Cumplimiento
Las políticas de seguridad contribuyen a crear entornos en los que se apliquen prácticas de seguridad que han dado buenos resultados en distintas industrias. Los organismos gubernamentales son blancos comunes de ataques de ransomware y de otras amenazas informáticas, sobre todo por el valor de la información que manejan. En los últimos años el sector público en Argentina fue víctima de algunos incidentes de seguridad que se hicieron públicos. En 2021 por ejemplo, el Registro Nacional de las Personas (Renaper) fue víctima del uso indebido de una clave perteneciente a un organismo público que permitió que un actor malicioso robara de la base de datos del organismo información privada de los ciudadanos y luego la ofreció en foros de hacking, como números de documento, domicilio, número de trámite, fechas de nacimiento y hasta números de teléfono. Por otra parte, la banda detrás del ransomware Everest publicó en noviembre de 2021 que tenía para la venta accesos a sistemas de organismos gubernamentales de Argentina.
En este contexto, el hecho de que el sector público cuente con políticas de seguridad acordes para asegurar la confidencialidad, disponibilidad e integridad de la información significa un gran paso.