Nuestro objetivo es proteger los recursos de información de la DIME y la tecnología utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Asegurar la implementación de las medidas de seguridad comprendidas en esta Política.
Alcance:
Esta Política se aplica en todo el ámbito de la DIME, a sus recursos y a la totalidad de los procesos, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.
Responsabilidades:
Debe ser conocida y cumplida por toda la planta de personal de la DIME, tanto se trate de funcionarios políticos como técnicos, y sea cual fuere su nivel jerárquico y su situación de revista. Todos son responsables de la implementación de esta Política de Seguridad de la Información dentro de sus áreas de responsabilidad, así como del cumplimiento de la misma por parte de su equipo de trabajo.
Por la pertenencia de la DIME al Ministerio de Economía, es fundamental alinear su accionar con la ONTI (Oficina Nacional de Tecnología de Información), siguiendo las normas IRAM – ISO 27.002, a fin de contar con un marco de referencia internacional reconocido.
Es imprescindible la protección de la información, asegurando la confidencialidad, integridad y disponibilidad, principios básicos de la seguridad de la información.
La Política de Seguridad de la Información comprende:
Organización de la Seguridad
Gestionar la definición y mantenimiento de la política y planes de seguridad de la información en organismos dependientes del Ministerio de Economía y controlar su implementación.
Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del organismo.
Clasificación y Control de Activos
• Garantizar que los activos de información reciban un apropiado nivel de protección.
• Identificar a los propietarios de la información existente en el Ministerio.
• Clasificar la información para señalar su sensibilidad y criticidad.
• Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.
Seguridad del Personal
• Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo no autorizado de la información.
• Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de Seguridad de la información, y se encuentren capacitados para respaldar la Política de la Seguridad del Ministerio en el desarrollo de sus tareas normales.
• Establecer Acuerdos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.
• Establecer las herramientas necesarias para promover la comunicación de las debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.
Seguridad Física y Ambiental
• Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información del organismo.
• Proteger el equipamiento de procesamiento de información crítica del organismo ubicándolas en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. Asimismo, contemplar la protección del mismo en su traslado y permanencia fuera de las áreas protegidas, por motivos de mantenimiento u otros.
• Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático que alberga la información del organismo.
• Implementar medidas para proteger la información gestionada por el personal en las oficinas en el marco normal de sus labores habituales.
• Suministrar protección proporcional a los riesgos identificados.
Control de Accesos
• Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.
• Implementar seguridad en los accesos de usuarios por medio de técnicas de identificación y autenticación.
• Controlar la seguridad en la conexión entre la red del Ministerio y otras redes públicas o privadas.
• Concienciar a los usuarios respecto a su responsabilidad frente a la utilización de contraseñas y equipos.
• Garantizar la seguridad de la información cunado se utiliza computación móvil e instalaciones de trabajo remoto.
• Garantizar la revalidación periódica de los accesos de los usuarios
• Asegurar las condiciones de acceso al equipamiento informático y a los datos contenidos en ellos a través de la utilización de usuarios sensitivos capaces de realizar tareas criticas, previniendo accesos no autorizados.
Mantenimiento de Sistemas Informáticos
• Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en los cuales éstos se apoyan.
Legalidad del Software
Notificar a los usuarios de los recursos informático, acerca de la prohibición de instalar software no autorizado ni debidamente licenciado en los dispositivos de la organización.
Backup
Asegurar el respaldo de los datos, información y sistemas ante un eventual desastre, garantizando la continuidad de los procesos minimizando el periodo de interrupción de procesamiento, conforme a los recursos disponibles de la organización.
Seguridad de Comunicación de Datos
Garantizar la confidencialidad, integridad y disponibilidad de los datos transmitidos por medio de conexión remota, previniendo que personal no autorizado o ajeno a la organización pueda acceder a los mismos.
Utilización del Correo
Definir e informar las tareas para las cuales se encuentra autorizado el uso del correo del Organismo.
Acceso a Internet
Establecer las condiciones de acceso y uso de internet en lo que respecta a los recursos propios de la Organización.
Desarrollo y Adquisición de Software
Asegurar que los componentes aplicativos desarrollados o adquiridos por la Organización cumplan con las normas de seguridad necesaria.
Cumplimiento
• Garantizar que los sistemas informáticos cumplen con las Políticas y estándares de seguridad del organismo.
• Revisar la seguridad de los sistemas de información con periodicidad a efectos de garantizar la adecuada aplicación de las Políticas y estándares de seguridad, sobre las plataformas tecnológicas y los sistemas de información.
• Determinar los plazos para el mantenimiento de información y para la recolección de evidencias del Ministerio