Requisitos mínimos de seguridad de la información para organismos del Sector Público Nacional

A través de la Decisión Administrativa 641/2021, se promueve una conducta responsable en materia de ciberseguridad en organismos del Estado.


La Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Pública creó una serie de requisitos mínimos de seguridad de la información para organismos del Sector Público Nacional, los principales receptores y productores de información del país. La medida apunta a promover una política pública que enmarque una conducta responsable en materia de seguridad de la información en los organismos estatales, sus agentes y funcionarios.

“Debido a que la información puede ser hoy en día objeto de una amplia gama de peligros, amenazas y usos indebidos e ilícitos, se pretende extremar las medidas tendientes a la preservación de su confidencialidad, integridad y disponibilidad”, se detalla en la Decisión Administrativa 641/2021, publicada en el Boletín Oficial.

“Con esta medida, buscamos proteger los derechos de los titulares de datos personales y los activos de información propios del sector público”, señaló la secretaria de Innovación Pública, Micaela Sánchez Malcolm.

Por su parte, el director nacional de Ciberseguridad, Gustavo Sain remarcó: “Pretendemos además demostrar el compromiso e interés de quienes componen el Sector Público Nacional en pos del desarrollo de una cultura de ciberseguridad”.

Para cumplir con esta medida, los organismos deben desarrollar una política de seguridad de la Información sobre la base de una evaluación de los riesgos que pudieran afectarlos. Dicha política debe ser aprobada por las máximas autoridades del organismo o por el funcionario a quien se le ha delegado la función. También debe ser notificada y difundida a todo el personal y a aquellos terceros involucrados cuando resulte pertinente y en los aspectos que corresponda. Además, una vez aprobada, debe ser informada a la Dirección Nacional de Ciberseguridad.

Por lo pronto, cada organismo tiene que adoptar las medidas necesarias para prevenir, detectar, gestionar, resolver y reportar los incidentes de seguridad que puedan afectar sus activos de información. En ese contexto, deben tomar una serie de acciones:

  • Identificar las debilidades en los procesos de gestión de información del organismo, de manera de adoptar las medidas que prevengan la ocurrencia de incidentes de seguridad.
  • Contar con procedimientos de gestión de incidentes de seguridad documentados, aprobados y adecuadamente comunicados, de acuerdo a las áreas funcionales que considere necesarias.
  • Adoptar una estrategia clara de priorización y escalamiento, que incluya la comunicación a las áreas involucradas, autoridades y a las áreas técnicas.
  • Instruir a los agentes para la prevención, detección y reporte de incidentes de seguridad, según las responsabilidades correspondientes.
  • Notificar a la Dirección Nacional de Ciberseguridad de la ocurrencia de incidentes de seguridad, en un plazo no superior a las 48 horas de su detección.

Asimismo, en la Decisión se explica que los organismos deben adoptar una perspectiva sistémica para proteger sus activos de información, dentro de la cual el personal debe ser considerado “un recurso central”. También destaca que “deben establecer una política de respeto de los derechos individuales de los empleados y resguardar su privacidad”. Para cumplir con lo indicado, será necesario lo siguiente:

  • Realizar e implementar planes de concientización en el uso seguro y responsable de los activos de información, que incluyan capacitaciones periódicas destinadas a todos los agentes y funcionarios del organismo, diseñándolos para cada tipo de público y con distintas temáticas.
  • Establecer la obligatoriedad de la suscripción de actas o compromisos respecto a la seguridad de la información para todos los empleados del organismo,
  • Establecer claramente los requerimientos de seguridad de la información, que incluya niveles de acceso a la información para cada perfil de trabajo.
  • Requerir a los agentes y funcionarios, cuando el organismo lo considere necesario, de acuerdo a sus competencias, la firma de un acuerdo de confidencialidad.
  • Incorporar dentro de los procesos disciplinarios cualquier violación a las políticas de seguridad del organismo.

Por otra parte, la norma explica que los activos de información del organismo deberán ser gestionados y protegidos en forma efectiva y clasificados según el grado de criticidad para el organismo desde la perspectiva de su confidencialidad, integridad y disponibilidad. Para ello se requiere clasificar los activos de información en línea con el tipo y la importancia de la información que gestionan para el organismo. También se precisa hacer un inventario actualizado en el que se detallen los datos necesarios para conocer la ubicación, el propietario y las responsabilidades correspondientes de cada activo.