BOLETÍN OFICIAL Nº 9 – 20/01/23
RESOLUCION Nº 2697-MPA/2023.-
SAN SALVADOR DE JUJUY, 10 ENE. 2023.-
VISTO:
La necesidad de implementar una Política de Seguridad de la Información, con el fin de proteger adecuadamente los activos tecnológicos esenciales para el desenvolvimiento del Ministerio Público de la Acusación
CONSIDERANDO:
Que mediante la Disposición Nº1/2022 la Dirección Nacional de Ciberseguridad de la Nación aprobó el “Modelo Referencial de Política de Seguridad de la Información” que como Anexo I (IF-202209912113-APN- DNCIB#JGM) forma parte de esa norma.
Que tal como se menciona en los considerandos de esa disposición el uso de las Tecnologías de la Información y la Comunicación es hoy indispensable para todos los organismos del Sector Publico.
Que todas las infraestructuras tecnológicas de información, comunicación y operación de los organismos citados se encuentran expuestas a graves y crecientes riesgos de disrupción, que podrían afectar severamente los servicios que se prestan a toda la población.
Que debido a la especificidad de las competencias y funciones de cada organismo, es necesario que la Política de Seguridad de la Información sea elaborada y puesta en ejecución por el mismo organismo atendiendo a sus propias y particulares necesidades, en el marco de lo establecido por los “REQUISITOS MINIMOS DE SEGURIDAD DE LA INFORMACION”.
Que sin perjuicio de lo antedicho y con el fin de coadyuvar en el proceso de elaboración de las Políticas de Seguridad de la Información del Ministerio Público de la Acusación, resulta pertinente aprobar el “Modelo Referencial de Política de Seguridad de la Información” (Disposición Nº1/22), que deberá ser utilizado por la Secretaría Informática como base para su implementación, debiendo ser el Modelo interpretado como un aporte y una guía en materia de seguridad de la información, debiendo adaptarlo a la realidad, competencias y recursos del organismo.
Que se ha producido en los últimos años un incremento sustancial en el uso de las Tecnologías de la Información y las Comunicaciones en el ámbito del Ministerio Público de la Acusación, al punto de que se han tornado indispensables para el desenvolvimiento de toda la actividad, tanto en lo que se refiere a la gestión interna como a los servicios que prestan a la sociedad.
Que el intenso uso de las Tecnologías de la Información y las Comunicaciones conlleva asimismo un notable aumento de los riesgos y amenazas a los activos de información y a los sistemas esenciales utilizados para brindar de manera eficiente y constante los múltiples servicios que se prestan.
Que las nuevas formas de ataques informáticos y la actividad maliciosa en general avanzan y se modifican en forma vertiginosa, obligando a mantener actualizadas las herramientas, protocolos y marcos normativos, con el fin de proteger adecuadamente la infraestructura, los activos de información y principalmente los datos personales, que son en definitiva un patrimonio de los ciudadanos en su conjunto.
Que resulta necesario avanzar en el proceso de fortalecimiento de la seguridad de la información que reciben, producen y administran, con el fin de dotarlas de las características de confidencialidad, integridad y disponibilidad.
Que por consiguiente, atento al incremento, cantidad y variedad de amenazas y vulnerabilidades que rodean a los activos de información, asimismo, la información puede ser objeto de una amplia gama de usos indebidos, debe preservarse su confidencialidad, integridad y disponibilidad, con el fin de garantizar la prestación continua e ininterrumpida de los diversos servicios prestados.
Que, en este marco, se torna necesario que la Secretaría Informática sea capaz de prevenir que sus sistemas de información se vean afectados, implementando, a tal fin, un Plan de Seguridad.
Que a tales fines es indispensable determinar una serie de requisitos mínimos de seguridad para el tratamiento de los datos y los activos de información que gestionan con el fin de adecuarlos a las buenas prácticas y estándares nacionales e internacionales, que contemple tanto la ampliación y profundización en el uso del espacio digital como la emergencia de las nuevas amenazas y riesgos para la confidencialidad, integridad y disponibilidad de la información.
Que, en consecuencia, a los efectos de facilitar la elaboración y ejecución de los Planes de Seguridad mencionados y elevar los niveles de seguridad, deviene necesario aprobar y adoptar con las modificaciones necesarias atento a los recursos del organismo los “REQUISITOS MINIMOS DE SEGURIDAD DE LA INFORMACION” y establecer todos aquellos recaudos complementarios necesarios.
Que en función de lo expresado es necesario que la Secretaría de Informática asuma la obligación de proteger adecuadamente la información que gestiona, a través de la urgente adopción de medidas preventivas, detectivas y correctivas específicas, destinadas a proteger dicha información y recursos, de conformidad con sus competencias y funciones y en concordancia con los “REQUISITOS MINIMOS DE SEGURIDAD DE LA INFORMACION”.
Por lo expuesto, en uso de las facultades previstas en la Ley Provincial Nro. 5895;
EL FISCAL GENERAL DE LA ACUSACIÓN
RESUELVE:
ARTÍCULO 1º.- Adherir a la Disposición Nº1/2022 de fecha 14/02/2022 dictada por la Dirección Nacional de Ciberseguridad dependiente de la Jefatura de Ministros de la Nación y aprobar el “Modelo Referencial de Política de Seguridad de la Información” que como Anexo I forma parte de la presente (IF-2022-09912113-APNDNCIB#JGM).-
ARTÍCULO 2º.- Disponer que la presente decisión administrativa será de aplicación en el Ministerio Público de la Acusación y a los proveedores que contraten con el organismo, en todo aquello que se encuentre relacionado con las tareas que realicen y en los términos que establezca cada una de ellas, normativa o contractualmente.-
ARTÍCULO 3º.- La Secretaría de Informática deberá elaborar el Plan de Seguridad en el plazo máximo de TREINTA (30) días desde la entrada en vigencia de la presente. Dicho Plan de Seguridad deberá establecer los plazos en que se dará cumplimiento a cada uno de los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN” establecidos en el ANEXO I de la presente.-
ARTÍCULO 4º.- El Plan de Seguridad mencionado en el artículo 3° deberá ser remitidos a la AUDITORIA GENERAL DE GESTIÓN para que emita el dictamen previo correspondiente dentro de un plazo máximo de TREINTA (30) días desde la entrada en vigencia de la presente para que posteriormente sea aprobado por Resolución de Fiscalía General para su entrada en vigencia.-
ARTÍCULO 5º.- ASIGNAR las funciones relativas a la seguridad de los sistemas de información a los Señores DR. RODRIGO FERNÁNDEZ RÍOS y ALEJANDRO ESTEBAN MARAS quienes deberán adoptar las medidas preventivas, detectivas y correctivas destinadas a proteger la información que reciba, genere o gestione el Ministerio Público de la Acusación como asimismo los recursos necesarios a tales fines.-
ARTÍCULO 6º.- Disponer que hasta tanto se apruebe el Plan de Seguridad únicamente tendrán acceso a los servidores los Señores DR. RODRIGO FERNÁNDEZ RÍOS y ALEJANDRO ESTEBAN MARAS en el carácter de Administradores, con su pertinente usuario y contraseña individual, dejando sin efecto todos los permisos otorgados con anterioridad a la fecha. El acceso al servidor de prueba será restringido y se habilitará en forma individual a las personas que conforme al Modelo que se aprueba corresponda, debiendo otorgarse los usuarios y claves con la pertinente registración. Asimismo, deberá restringirse en el plazo de 48 horas (cuarenta y ocho) los acceso al sistema informático conforme a lo dispuesto en el Modelo que se aprueba y restringido bajo la premisa básica de que “Todo está prohibido a menos que se permita expresamente” para a aquellos activos considerados críticos. El acceso a la información se establecerá en base a la “necesidad de saber”, es decir que quienes accedan deben tener un motivo válido para hacerlo en razón de su rol y/o funciones y usando una política de “Mínimo Privilegio”. Estos privilegios se otorgan en forma expresa, son autorizados por los niveles competentes y se gestionan adecuadamente las altas y bajas de las cuentas y permisos de acceso, con revisiones periódicas. Se requiere a los empleados, funcionarios y demás usuarios, el uso responsable de los dispositivos y datos de autenticación otorgados por el organismo para el cumplimiento de sus funciones, que no los compartan y que los mantengan siempre seguros, tanto dentro como fuera del organismo.-
ARTÍCULO 7º.- Regístrese, notifíquese y publíquese en el Boletín Oficial.-
Sergio Enrique Lello Sanchez
Fiscal General