Requisitos mínimos de seguridad de la información para organismos del Sector Público Nacional

La Dirección Nacional de Ciberseguridad expuso en el CoFeFuP este documento, que promueve una conducta responsable en materia de ciberseguridad en organismos del Estado


La Comisión de Infraestructura Tecnológica y Ciberseguiridad de CoFeFuP incorpora a sus habituales encuentros de trabajo la exposición y el análisis de documentos, normativas y prácticas profesionales que contribuyan a la mejora de la calidad de los servicios a la ciudadanía y al fortalecimiento de las capacidades de gestión.

En el marco de ese comportamiento institucional, el 15 de julio por videoconferencia realizó un encuentro en el que la Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Pública compartió los contenidos del nuevo portal web de CERT.ar y los del documento “Requisitos mínimos de seguridad de la información para organismos del Sector Público”, contenidos en la Declaración Administrativa 641/2021, firmada por el Jefe de Gabinete de Ministros, Santiago Cafiero, y por el Ministro del Interior, Eduardo De Pedro, y publicada en el Boletín Oficial el 25 de junio.

Delegaciones de Buenos Aires, Catamarca, Chaco, Ciudad Autónoma de Buenos Aires, Entre Ríos, La Pampa, Mendoza, Misiones, Neuquén, San Juan, San Luis, Santa Cruz, Santa Fe, Santiago del Estero, Tierra del Fuego y Tucumán asistieron al encuentro.

El Director Nacional de Ciberseguridad, Gustavo Sain, realizó la apertura de la actividad y presentó los temas y las exposiciones: agradeció la participación, ofreció su colaboración a las provincias, trazó un recorrido del trabajo realizado por el organismo e invitó a construir una cultura de seguridad de la información que “En el marco del respeto de los derechos individuales y el resguardo de la privacidad, evidencie el compromiso e interés de quienes componen el Sector Público por brindar protección a las infraestructuras críticas de información, generando y mejorando las capacidades de prevención, detección, respuesta y recupero ante incidentes de seguridad informática”.

Posteriormente, el Director de Prevención en Seguridad de Sistemas y Redes Informáticas, Abel Decaroli compartió los contenidos del nuevo portal web del Equipo de Respuesta ante Emergencias Informáticas nacional (CERT, por su sigla en inglés), que se encarga de la gestión técnico-administrativa de los incidentes de seguridad informática en el Sector Público Nacional. Destacó dos aspectos de los contenidos de la nueva herramienta de comunicación: (1) El espacio de publicaciones, donde se puede encontrar un conjunto de textos, guías, buenas prácticas y recomendaciones orientados a la prevención y gestión de incidentes informáticos y (2) el sector de reporte de accidente, que contiene el formulario de reporte público de un accidente o posible ciberataque.

Comisión de Infraestructura Tecnológica y Ciberseguridad

A continuación, Patricia Prandini, asesora experta de la Dirección Nacional de Ciberseguridad, realizó una pormenorizada exposición de los “Requisitos mínimos de seguridad de la información para organismos del Sector Público”en la que abordó todos los aspectos de la norma: finalidad, antecedentes normativos, objetivos general y específicos, principios, recomendaciones y directrices. Ver presentación

La elaboración de un documento de este tipo se fundamenta en que el intenso uso de las Tecnologías de la Información y las Comunicaciones conlleva asimismo un notable aumento de los riesgos y amenazas a los activos de información y a los sistemas esenciales utilizados para brindar de manera eficiente y constante los múltiples servicios que desde el Sector Público Nacional se prestan. Su objetivo general es establecer lineamientos generales y mínimos para los organismos del Sector Público Nacional con el fin de proteger los activos de información frente a riesgos internos o externos, que pudieran afectarlos, para así preservar su confidencialidad, integridad y disponibilidad.

También son interesantes los objetivos particulares de la norma:

  • Proteger los derechos de los titulares de datos personales o propietarios de información.
  • Preservar la información, los datos personales y activos de información propios de organismos del Sector Público Nacional.
  • Promover una conducta responsable en materia de seguridad de la información para los agentes y funcionarios del Sector Público Nacional.
  • Evidenciar el compromiso e interés de quienes componen el Sector Público Nacional en pos del desarrollo de una cultura de ciberseguridad.

Es importante destacar que en su artículo 10° el documento invita a los Gobiernos Provinciales, de la Ciudad Autónoma de Buenos Aires y Municipales a adherir a sus contenidos.

Cerró la jornada un segmento de análisis y reflexión en el que las representaciones provinciales precisaron conceptos, resolvieron dudas, acercaron consideraciones y expresaron sugerencias. Básicamente, coincidieron en señalar la calidad del texto y la pertinencia de evaluar en el seno de la comisión la adhesión de las provincias. También, marcaron muy especialmente el déficit que representa para el Estado, en todos sus niveles, la imposibilidad de sostener y consolidar equipos de trabajo especializados. Además, subrayaron la necesidad de incrementar la oferta de capacitaciones específicas para las provincias en el marco del Plan Federal de Capacitación y la conveniencia de crear asociaciones estratégicas que favorezcan la formación y la construcción paulatina de una cultura de la ciberseguridad. Por último, el representante de Neuquén ofreció compartir con otras jurisdicciones el software que utiliza en el área de gestión de seguridad de la información; para avanzar en esa línea, la comisión organizará en breve una nueva jornada de trabajo en la que se invitará a la provincia a exponer el caso.

Vanesa Arrúa Coordinadora General del CoFeFuP, Dante Moreno, Coordinador de su Comisión de Infraestructura Tecnológica y Ciberseguridad y Juan Pablo Volonté, su Coordinador Técnico, también valoraron como muy positiva la experiencia y agradecieron el apoyo de las provincias, de la Ciudad Autónoma de Buenos Aires y de la Dirección Nacional de Ciberseguridad.