La provincia de Catamarca firmó un acuerdo de adhesión a los Requisitos Mínimos de Seguridad de la Información para el Sector Público Nacional, establecidos en base a estándares definidos por la Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Pública, para elevar los niveles de seguridad de la información de los organismos estatales, los principales receptores y productores de datos del país.

Por tal motivo, la secretaria de Modernización del Estado de Catamarca, Romina Argañaraz, firmó un acta acuerdo con el director Nacional de Ciberseguridad, Gustavo Saín, en el que ambas partes se comprometen a colaborar y cooperar en la temática, a fin de generar canales de asesoramiento y asistencia técnica, para que Catamarca pueda adoptar, aplicar y monitorear de forma eficiente los lineamientos de seguridad de la información contenidos en los Requisitos Mínimos.

“La Secretaría de Modernización ha incorporado a la agenda gubernamental la problemática de los delitos informáticos para la elaboración de políticas públicas en materia de ciberseguridad. Por eso, firmamos con la Dirección Nacional de Ciberseguridad un convenio de adhesión a requisitos mínimos para la elaboración de políticas de seguridad de la información”, expresó la secretaria Argañaraz.

La firma del convenio se produjo en el marco del Artículo 10 de la Decisión Administrativa N° 641/2021 de la Dirección Nacional de Ciberseguridad, en el que se invita a los gobiernos provinciales, municipales, al de la Ciudad de Buenos Aires y a los Poderes Legislativos y Judicial de la Nación a adherir a la normativa.

“El Gobierno nacional invita al resto de las provincias y también a las organizaciones de todo tipo a adherir a la norma para elevar los estándares mínimos de seguridad de sus sistemas informáticos, en un contexto donde el valor de la información ciudadana -en cuanto a su almacenamiento y transmisión- resulta condicionante para la protección de los datos personales de los ciudadanos”, dijo Sain.

El acta se firmó el martes 7 de septiembre, en el Cine Teatro Catamarca, ubicado en la capital provincial, durante el desarrollo de dos jornadas de ciberseguridad, tituladas “Ciberdelito y Ciberseguridad: hacia un ciberespacio más seguro”, organizadas conjuntamente entre la secretaría y la dirección mencionadas.

De esta manera, Catamarca se transformó en la primera provincia del país en adherir a la medida, que apunta a promover una política pública que enmarque una conducta responsable en materia de seguridad de la información en los organismos estatales, sus agentes y funcionarios.

Tras el acto, Martín Olmos, subsecretario de Tecnologías de la Información y las Comunicaciones, expresó su satisfacción por la firma del compromiso y señaló que se trata de “un paso fundamental para elevar así la seguridad de la información de los organismos estatales catamarqueños”.

Qué son los Requisitos Mínimos de Seguridad de la Información

Los Requisitos Mínimos de Seguridad de la Información constituyen una serie de normas destinadas a elevar los estándares de seguridad de la información, tanto para el tratamiento de los datos y los activos de información que gestionan las entidades y jurisdicciones estatales, como para facilitar la elaboración y ejecución de los planes de seguridad preventivos que aquellas deben aprobar. Su aplicación incluye a las entidades y jurisdicciones del Sector Público Nacional y a los proveedores que éstas contraten.

En cuanto a los organismos del Sector Público Nacional, los mismos deberán desarrollar una política de seguridad de la Información sobre la base de una evaluación de los riesgos que pudieran afectarlos. Esa política deberá ser aprobada por las máximas autoridades del organismo o por el funcionario designado para tal función. También deberá ser notificada y difundida a todo el personal y a aquellos terceros involucrados, cuando resulte pertinente y en los aspectos que corresponda. Además, una vez aprobada, deberá ser informada a la Dirección Nacional de Ciberseguridad.

Por tal motivo, deberán realizar lo siguiente:

-Identificar las debilidades en los procesos de gestión de información del organismo, de manera de adoptar las medidas que prevengan la ocurrencia de incidentes de seguridad.

-Contar con procedimientos de gestión de incidentes de seguridad documentados, aprobados y adecuadamente comunicados, de acuerdo a las áreas funcionales que considere necesarias.

-Adoptar una estrategia clara de priorización y escalamiento, que incluya la comunicación a las áreas involucradas, autoridades y a las áreas técnicas.

-Instruir a los agentes para la prevención, detección y reporte de incidentes de seguridad, según las responsabilidades correspondientes.

-Notificar a la Dirección Nacional de Ciberseguridad de la ocurrencia de incidentes de seguridad, en un plazo no superior a las 48 horas de su detección.

Asimismo, la Decisión explica que los organismos deben adoptar una perspectiva sistémica para proteger sus activos de información, dentro de la cual el personal debe ser considerado “un recurso central”. También destaca que “deben establecer una política de respeto de los derechos individuales de los empleados y resguardar su privacidad”.

Para cumplir con lo indicado, será necesario lo siguiente:

-Realizar e implementar planes de concientización en el uso seguro y responsable de los activos de información, que incluyan capacitaciones periódicas destinadas a todos los agentes y funcionarios del organismo, diseñados para cada tipo de público y con distintas temáticas.

-Establecer la obligatoriedad de la suscripción de actas o compromisos respecto a la seguridad de la información para todos los empleados del organismo.

-Establecer claramente los requerimientos de seguridad de la información, que incluya niveles de acceso a la información para cada perfil de trabajo.

-Requerir a los agentes y funcionarios, cuando el organismo lo considere necesario, de acuerdo a sus competencias, la firma de un acuerdo de confidencialidad.

-Incorporar dentro de los procesos disciplinarios cualquier violación a las políticas de seguridad del organismo.

Con respecto a la confidencialidad, integridad, autenticidad y/o no repudio de la información del organismo, la norma indica que deben ser protegidos mediante técnicas de cifrado, tanto los datos almacenados como los transmitidos. Para implementar lo indicado, se debe requerir el cifrado de cualquier dispositivo del organismo que contenga información considerada crítica, y también cuando involucre datos personales que se lleven fuera de la institución. Además, explica que se deben proteger adecuadamente los dispositivos y las claves criptográficas durante todo su ciclo de vida. Entre otros puntos, también menciona que habrá que utilizar certificados digitales en todos los sitios de Internet del organismo.