Por la pertenencia de la DIME al Ministerio de Economía, es fundamental alinear su accionar con el ArCERT, siguiendo las normas IRAM – ISO 27.002, a fin de contar con un marco de referencia internacional reconocido.
Es imprescindible la protección de la información, asegurando la confidencialidad, integridad y disponibilidad, principios básicos de la seguridad de la información.
La Política de Seguridad de la Información comprende:
Organización de la Seguridad
- Gestionar la definición y mantenimiento de la política y planes de seguridad de la información en organismos dependientes del Ministerio de Economía y controlar su implementación.
- Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del organismo.
Clasificación y Control de Activos
- Garantizar que los activos de información reciban un apropiado nivel de protección.
- Identificar a los propietarios de la información existente en el Ministerio.
- Clasificar la información para señalar su sensibilidad y criticidad.
- Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.
Seguridad del Personal
- Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo no autorizado de la información.
- Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de Seguridad de la información, y se encuentren capacitados para respaldar la Política de la Seguridad del Ministerio de Economía en el desarrollo de sus tareas normales.
- Establecer Acuerdos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.
- Establecer las herramientas necesarias para promover la comunicación de las debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia
Seguridad Física y Ambiental
- Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información del organismo.
- Proteger el equipamiento de procesamiento de información crítica del organismo ubicándolas en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. Asimismo, contemplar la protección del mismo en su traslado y permanencia fuera de las áreas protegidas, por motivos de mantenimiento u otros.
- Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático que alberga la información del organismo.
- Implementar medidas para proteger la información gestionada por el personal en las oficinas en el marco normal de sus labores habituales.
- Suministrar protección proporcional a los riesgos identificados.
Control de Accesos
- Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.
- Implementar seguridad en los accesos de usuarios por medio de técnicas de identificación y autenticación.
- Controlar la seguridad en la conexión entre la red del Ministerio y otras redes públicas o privadas.
- Concienciar a los usuarios respecto a su responsabilidad frente a la utilización de contraseñas y equipos.
- Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.
- Garantizar la revalidación periódica de los accesos de los usuarios.
- Asegurar las condiciones de acceso al equipamiento informático y a los datos contenidos en ellos a través de la utilización de usuarios sensitivos capaces de realizar tareas criticas, previniendo accesos no autorizados
Legalidad del software
- Notificar a los usuarios de los recursos informático, acerca de la prohibición de instalar software no autorizado ni debidamente licenciado en los dispositivos de la organización.
Backup
- Asegurar el respaldo de los datos, información y sistemas ante un eventual desastre, garantizando la continuidad de los procesos minimizando el periodo de interrupción de procesamiento, conforme a los recursos disponibles de la organización.
Seguridad de comunicación de datos
- Garantizar la confidencialidad, integridad y disponibilidad de los datos transmitidos por medio de conexión remota, previniendo que personal no autorizado o ajeno a la organización pueda acceder a los mismos.
Utilización del correo
- Definir e informar las tareas para las cuales se encuentra autorizado el uso del correo del Organismo.
Acceso a Internet
- Establecer las condiciones de acceso y uso de internet en lo que respecta a los recursos propios de la Organización.
- Desarrollo y Adquisición de Software
- Asegurar que los componentes aplicativos desarrollados o adquiridos por la Organización cumplan con las normas de seguridad necesaria.
Cumplimiento
- Garantizar que los sistemas informáticos cumplen con las Políticas y estándares de seguridad del organismo.
- Revisar la seguridad de los sistemas de información con periodicidad a efectos de garantizar la adecuada aplicación de las Políticas y estándares de seguridad, sobre las plataformas tecnológicas y los sistemas de información.
- Determinar los plazos para el mantenimiento de información y para la recolección de evidencias del Minist