La Agencia de Acceso a la Información Pública aprobó nueva Política de Seguridad de la Información

En el marco de la Decisión Administrativa 641/2021, la Agencia de Acceso a la Información Pública aprobó, a través de la Resolución 211/23, la Política de Seguridad de la Información de la Agencia de Acceso a la Información Pública para fortalecer la seguridad de la información que recibe, produce y administra. La Política se elaboró con la asistencia de la Dirección de Informática e Innovación, y se consideraron los Requisitos Mínimos de Seguridad de la Información para los Organismos del Sector Público Nacional, establecidos en la decisión administrativa. Además, la Política se aplicará en todo su ámbito institucional.

En ella, se establecen las directrices y medidas necesarias para garantizar la protección de los datos y recursos de la Agencia, así como para prevenir y mitigar los riesgos de seguridad de la información. Asimismo, incluye información detallada sobre los aspectos generales, la organización, la clasificación de activos, la seguridad de los recursos humanos, la seguridad física y ambiental, la gestión de accesos y la gestión de incidentes de seguridad.

Por otro lado, describe cómo se establecen las responsabilidades y funciones de los diferentes niveles de la estructura interna de la Agencia y crea un Comité de Control de Seguridad de la Información encargado de controlar, revisar, difundir y promover cambios relativos a la seguridad de la información. También, contiene disposiciones sobre cómo implementar los compromisos de confidencialidad, sobre el acceso de terceras partes a la información y sobre la relación e intercambio de información con grupos o terceros externos.

Como toda política de seguridad de la información, incluye una clasificación de los activos de la información, definiéndolos como todo aquel elemento que contiene o trata información relevante para la agencia, o que su pérdida o degradación pudieran afectar de algún modo a la continuidad de los servicios, incluyendo software, activos físicos, instalaciones físicas, servicios y activos intangibles. Los responsables de cada área son propietarios de la información relacionada con sus funciones y son los encargados de clasificarla por su grado de sensibilidad y criticidad. Para esto, deben considerar la confidencialidad, integridad, criticidad y disponibilidad.

En cuanto a los recursos humanos, la Política aplica a todos los integrantes de la Agencia. El objetivo es mitigar riesgos relacionados con errores humanos, ilícitos, uso inadecuado de instalaciones y recursos y manejo no autorizado de la información.

También, contempla la seguridad física y ambiental y la gestión de accesos. Se busca generar un marco de referencia para custodiar los accesos físicos donde se almacenan los equipos de cómputo críticos e infraestructura y para evitar y disminuir riesgos medioambientales. Asimismo, prevé la administración de permisos y credenciales para el acceso a los sistemas, bases de datos y servicios de información. Esto se debe a que suele recaer en los equipos de sistemas y de seguridad de la información en tanto hay que cumplir con una política de control de accesos, procedimientos de registros de usuarios, gestión de permisos, entre otros.

Otro aspecto fundamental es la gestión de incidentes de seguridad. Para esto, se distribuyen las funciones y responsabilidades y, además, hay un apartado específico para los informes de eventos, vulnerabilidades y comunicación de anomalías que busca regular las acciones que deben tomarse al detectarlos. La gestión de los incidentes está a cargo del área responsable de la seguridad de la información que deberá considerar los tipos de incidentes probables, los canales de comunicación, definir planes de contingencia y llevar un registro de pistas de auditoría y evidencia, entre otras cuestiones.

El control para adquirir, desarrollar y mantener los sistemas recae sobre dos áreas: desarrollo de software y seguridad informática. Estas áreas deberán establecer los requerimientos de seguridad en forma previa a desarrollar o implementar los sistemas y para la entrada y salida de datos junto con las técnicas criptográficas que aseguren la confidencialidad e integridad de la información. La Política también tiene apartados específicos sobre cómo gestionar las operaciones y cómo continuar los servicios en aquellos procesos en los que fallen los sistemas de información.

Finalmente, hay un apartado completo sobre el cumplimiento de la normativa que regula el acceso, la disponibilidad y la protección de la información almacenada y procesada en el ámbito de la Agencia. Allí, establece que su cumplimiento es obligatorio, que las políticas de seguridad de la información se deben revisar periódicamente, se determinan los plazos para guardar la información y recolectar evidencia, entre otros.