| Política de la Seguridad de la Información |
| |
Por la pertenencia de la DIME al Ministerio de Economía, es fundamental alinear su accionar con el ArCERT, siguiendo las normas IRAM – ISO 27.002, a fin de contar con un marco de referencia internacional reconocido.
Es imprescindible la protección de la información, asegurando la confidencialidad, integridad y disponibilidad, principios básicos de la seguridad de la información.
La Política de Seguridad de la Información comprende: |
| |
| |
| Organización de la Seguridad |
| |
Gestionar la seguridad de la información dentro del Ministerio y establecer un marco gerencial para iniciar y controlar su implementación y definición de responsabilidades, autoridad y funciones.
Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del organismo. |
| |
|
| |
| Clasificación y Control de Activos |
| |
• Garantizar que los activos de información reciban un apropiado nivel de protección.
• Identificar a los propietarios de la información existente en el Ministerio.
• Clasificar la información para señalar su sensibilidad y criticidad.
• Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación. |
| |
|
| |
| Seguridad del Personal |
| |
• Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo no autorizado de la información.
• Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de Seguridad de la información, y se encuentren capacitados para respaldar la Política de la Seguridad del Ministerio en el desarrollo de sus tareas normales.
• Establecer Acuerdos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.
• Establecer las herramientas necesarias para promover la comunicación de las debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia. |
| |
|
| |
| Seguridad Física y Ambiental |
| |
• Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información del organismo.
• Proteger el equipamiento de procesamiento de información crítica del organismo ubicándolas en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. Asimismo, contemplar la protección del mismo en su traslado y permanencia fuera de las áreas protegidas, por motivos de mantenimiento u otros.
• Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático que alberga la información del organismo.
• Implementar medidas para proteger la información gestionada por el personal en las oficinas en el marco normal de sus labores habituales.
• Suministrar protección proporcional a los riesgos identificados. |
| |
|
| |
| Control de Accesos |
| |
• Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.
• Implementar seguridad en los accesos de usuarios por medio de técnicas de identificación y autenticación.
• Controlar la seguridad en la conexión entre la red del Ministerio y otras redes públicas o privadas.
• Concienciar a los usuarios respecto a su responsabilidad frente a la utilización de contraseñas y equipos.
• Garantizar la seguridad de la información cunado se utiliza computación móvil e instalaciones de trabajo remoto. |
| |
|
| |
| Mantenimiento de Sistemas Informáticos |
| |
| • Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en los cuales éstos se apoyan. |
| |
|
| |
| Cumplimiento |
| |
• Garantizar que los sistemas informáticos cumplen con las Políticas y estándares de seguridad del organismo.
• Revisar la seguridad de los sistemas de información con periodicidad a efectos de garantizar la adecuada aplicación de las Políticas y estándares de seguridad, sobre las plataformas tecnológicas y los sistemas de información.
• Determinar los plazos para el mantenimiento de información y para la recolección de evidencias del Ministerio |
| |
