Requisitos mínimos de Seguridad de la Información para Organismos Públicos (AR / DA 641/2021 / Res. 2/2022) ~ Segu-Info

El gobierno publicó en el Boletín Oficial la Decisión Administrativa 641/2021 y Resolución 2/2022 (enero 2022) esta semana los requisitos mínimos de seguridad informática que deberán cumplimentar los organismos del Sector Público Nacional. La idea es que a partir de ciertas medidas generales, puedan proteger los recursos, dispositivos, sistemas y redes del Estados. Entre los objetivos, se detallan: "proteger los derechos de los titulares de datos personales o propietarios de información que es tratada por el Sector Público Nacional", Proteger la información, los datos personales y activos de información propios del conjunto de organismos que componen el Sector Público Nacional, Promover una política pública que enmarque una conducta responsable en materia de seguridad de la información de los organismos que conforman el Sector Público Nacional, sus agentes y funcionarios", entre otros.

"Uno de los requisitos es tener una política de seguridad de la información en base a sus competencias institucionales. Los requisitos incluyen niveles de autorización y controles de acceso de empleados, uso de sistemas criptográficos para proteger la información, seguridad física además de lógica, gestión de incidentes de seguridad que se puedan presentar y capacitación interna a los empleados para el uso de recursos informáticos de la organización, entre otras cuestiones", señala Gustavo Sain, Director Nacional de Ciberseguridad, que se encuentra dentro de la Secretaría de Innovación Pública.

En los últimos tiempos, hubieron ataques que afectaron el normal funcionamiento de distintos organismos. Los más rutilantes fueron los que afectaron los sistemas de la Dirección General de Migraciones y la del Sistema Nacional de Licencias de la Agencia Nacional de Seguridad Vial.

-¿Qué control va a tener dirección sobre el cumplimiento?

-Las políticas de seguridad de la información de los organismos van a tener que estar aprobadas por su autoridad máxima o por quien ésta designe como responsable, debe ser debidamente informada al personal y es de cumplimiento obligatorio tanto para los agentes como para los funcionarios. De acuerdo a la decisión administrativa, en primer lugar todos los organismos centralizados y descentralizados de la Administración Publica Nacional deben nombrar un punto focal e informarlo a la Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Pública para luego elevar, en un plazo no mayor a 90 días de aprobada la norma, su planificación para la instrumentación de una política de seguridad de la información del organismo. Las mismas van a ser auditadas por las autoridades correspondientes. La norma contempla que los requisitos mínimos sean actualizados en un plazo no mayor a un año: queremos que esto sea una política de Estado que exceda nuestra gestión.

-¿Con qué escenario cuenta el Estado actualmente? ¿Cuáles son los ministerios más sensibles y qué se hizo en el último tiempo?

Existen políticas de seguridad de la información actualmente en la mayoría de los organismos, lo que hacen estos requisitos mínimos es elevar el nivel de seguridad de los archivos y bases de datos del estados, formalizarlos en procedimientos y medidas de acción concretas y definir mecanismos de auditoría permanentes para verificar su cumplimiento. Cada organismo tiene la autonomía para poder definir cuál va a ser su política de protección de sus recursos informáticos en materia de seguridad de acuerdo a sus competencias institucionales; la función de la Dirección Nacional de Ciberseguridad es la de elevar los estándares de acuerdo a las necesidades y normalizarlos. Del incremento de ciberdelitos e incidentes informáticos registrados durante la pandemia el sector público no fue el más afectado, sino el sector privado, aunque los organismos de la Administración Pública Nacional no estuvieron exentos de ciberataques que, en su mayoría, fueron mitigados. Por ese motivo en febrero de este año creamos el nuevo CERT.ar, la Centro Nacional de Emergencias Informáticas, donde asistimos a los organismos de la Administración Pública Nacional en la gestión de incidentes y emitimos alertas para que puedan estar atentos a posibles ataques.

-A partir de estos cambios, ¿cuánto tiempo tienen los organismos para actualizar sus sistemas o aggiornarse a la normativa?

-En un plazo de 3 meses deben elevar a la Dirección Nacional de Ciberseguridad un plan de implementación de sus políticas de seguridad de la información. Luego tendrán menos de 9 meses hasta que se auditen los procesos para tener operativos los procesos contemplados en los requisitos mínimos, que no son pocos.

-¿Cuesta mucho conseguir recursos de seguridad informática para que trabajen en el Estado?

-El sector privado está muy atento a los talentos que salen de las universidades para que integren sus equipos de TI o las áreas de administración de sistemas de sus organizaciones, y un aumento de demanda en el mercado que se vio durante la pandemia del COVID-19 a partir de un incremento de uso de TICs hace que ante la necesidad, en la actualidad los sueldos sean altos desde que ingresan, inclusive a los juniors. Pero trabajar en el sector público te da la posibilidad de transformar las cosas a nivel macro para aquellos que les interese el tema, brindar un servicio público. Desde la Dirección Nacional de Ciberseguridad ofrecemos, a partir de este año, nuevos cursos orientados a personal que trabaja en las áreas de informática de los organismos, hasta agentes comunes para incrementar la concientización en el uso seguro y responsable de los recursos informáticos de la organización. En breve se va a iniciar un programa de formación profesional en materia de seguridad informática, de un año de duración, dictado por la Universidad Nacional de La Plata y la Fundación Sadosky, con 50 becas completas para los profesionales del sector de informática de los organismos de la APN.

Fuente: La Nación - Sebastián Davidovsky

2 jul 2021