Gestión de riesgos de la información y cumplimiento normativo en la provincia de Neuquén

La provincia de Neuquén expuso su experiencia en seguridad de la información en el espacio de buenas prácticas federales de la Comisión de Infraestructura Tecnológica y Ciberseguridad del CoFeFuP


Las acciones que conforman el Plan de Trabajo 2021 de Comisión de Infraestructura Tecnológica y Ciberseguridad del CoFeFuP comprenden la observación, el estudio y el intercambio de información y prácticas de uso vinculadas a la protección de las infraestructuras críticas de la información y a la generación de capacidades de prevención, detección, defensa, respuesta y recupero ante incidentes de seguridad informática de los sectores públicos nacional y provinciales.

En ese sentido, en el eje ciberseguridad sus principales asuntos de intereses son: el diseño de políticas de ciberseguridad; la elaboración de planes, programas y proyectos con perspectiva federal; la articulación de proyectos con las diferentes áreas de los estados provinciales; la generación de capacidades de detección, defensa, respuesta y recupero ante incidentes cibernéticos y de seguridad informática; la promoción de planes, programas y proyectos de innovación tecnológica en la materia y los planes de capacitación y formación específicos tanto del orden nacional como provincial.

Para complementar desde la práctica cada uno de estos acercamientos teóricos, el grupo incorpora en sus reuniones la exposición -por sus propios protagonistas o hacedores- de documentos, normativas y prácticas profesionales o institucionales que contribuyan a la mejora de la calidad de los servicios a la ciudadanía y al fortalecimiento de las capacidades de gestión.

En ese marco, a mediados del mes de julio, la Dirección Nacional de Ciberseguridad, que conduce Gustavo Saín, realizó una exhaustiva ponencia sobre los Requisitos mínimos de la seguridad para organismos del Sector Público”, contenidos en el Decisión Administrativa 641/2021 y el 29 de julio – por videoconferencia y a modo de complemento - la comisión realizó un encuentro para asistir a la presentación de una práctica provincial exitosa: “Gestión de riesgos de la información y cumplimiento normativo en la provincia de Neuquén", por parte de Víctor Figueroa, Director de Ciberseguridad de la Oficina Provincial de Tecnologías de la Información.

Gestión de riesgos de la información y cumplimiento normativo en la provincia de Neuquén

“Vengo a narrarles lo más detalladamente que pueda un modelo de gestión de riesgos, que -aunque valioso y de muy buenos resultados en mi provincia- no tiene otra pretensión que ésa, la de ser un modelo, una guía, un acompañamiento, una forma de hacer las cosas, que no promueve ninguna herramienta y cuyo éxito no está garantizado con sólo su replicación en otras jurisdicciones”, aclaró Víctor Figueroa al inicio de su exhaustiva exposición.

El "Programa de asistencia en implementación de sistemas de gestión de la seguridad de la información para organismos de la Administración Pública Provincial de Neuquén" persigue tres objetivos:

  • Contribuir al mejoramiento de las capacidades de protección de la Ciberseguridad del Estado Provincial a través de un abordaje amplio basado en la Seguridad de la Información.
  • Brindar asistencia activa a los organismos de la Administración Pública Provincial en la implementación de Sistemas de Gestión de Seguridad de la Información, basados en la Política de Seguridad de la Información para la Administración Pública Provincial, sancionada según Decreto 2223/2008.
  • Proveer una Plataforma de Análisis y Gestión de Riesgos y Cumplimiento Normativo, denominada eMARISMA, como herramienta de soporte para el cumplimiento de los objetivos planteados.

Comisión de Infraestructura Tecnológica y Ciberseguridad

Con anclaje en estas tres finalidades, el Director de Ciberseguridad Neuquino trazó un detalladísimo panorama del funcionamiento del programa, que abordó desde múltiples perspectivas temas como: política de seguridad de la información para la administración pública local, mapeo de dominios, organización de la seguridad, comités de seguridad de la información, responsables de seguridad informática, definición y alcances de las políticas, análisis de riesgo, gestión de riego, selección de controles a implementar, declaración de aplicabilidad y revisión del sistema y fases iniciales de implementación.

Además, expuso las principales características de la herramienta eMARISMA – que es una solución de software para gestión de riesgos y cumplimiento normativo, que implementa la metodología de análisis de riesgos basada en modelos asociativos inteligentes - y cerró su presentación compartiendo, entre otras, estas conclusiones de la experiencia:

  • En el ámbito de la Administración Pública es fundamental acompañar a los organismos en los procesos de cumplimiento de normativas relacionadas a Seguridad de la Información.
  • Se deben diseñar estrategias que contemplen tanto el asesoramiento como la provisión de herramientas que permitan guiar la implementación de los requisitos de seguridad.
  • La herramienta de gestión de riesgo y cumplimiento normativo permite dinamizar la implementación de los sistemas de gestión de seguridad de la información.
  • Genera una comunidad de sistemas de gestión de seguridad de la información que permite alertar y anticipar medidas en función de los cambios en los escenarios de riesgos. Ver presentación

Siguió a la exposición una ronda de preguntas, opiniones, sugerencias –de la que participaron todas las delegaciones- que fue muy útil para fijar conceptos, despejar dudas, aportar miradas territoriales y construir conocimiento grupal.

Dante Moreno, Coordinador de la Comisión de Infraestructura Tecnológica y Ciberseguridad del CoFeFuP, felicitó al expositor, agradeció el apoyo de las provincias a la iniciativa, señaló la importancia de disponer de un espacio para las experiencias provinciales en los encuentros del grupo y se comprometió a establecer lazos institucionales con la Universidad de Castilla la Mancha, que es una de las desarrolladoras de la herramienta.

Finalmente, Vanesa Arrúa, Coordinadora General del CoFeFuP, agradeció “la generosidad” del expositor y la asistencia de las representaciones provinciales y enmarcó la jornada “en el contexto general del accionar de la Secretaría de Gestión y Empleo Público de la Nación, que conduce Ana Castellani, que no solo alienta y apoya este tipo de encuentros sino que genera las condiciones institucionales para que el aporte de las provincias enriquezca la construcción de las políticas nacionales.”

La asistencia fue numerosa, participativa, colaborativa y decisiva para validar la jornada y el trabajo conjunto. Asistieron delegaciones: Buenos Aires, Chaco, Córdoba, Entre Ríos, La Pampa, Neuquén, Río Negro, San Juan, San Luis, Santa Cruz, Santa Fe, Santiago del Estero, Tierra del Fuego y Tucumán. El moderador del encuentro fue Juan Pablo Volonté, Coordinador Técnico del Grupo de Trabajo.