Está en la página 1de 150
de Ruzeon Cot Se ANA vod a POLITIGA DE SEGURI ANEXO I DAD MNalNlol\oGo Version 1.0 DE LA INFORMACION 2013 - Ao el Bientenario de i Asombleo Genero Constituyente de 1813" SY ANAC 794 NS cose CONTENIDOS 1 INTRODUCCION — 2. DEFINICIONES—- 2.1, SEGURIDAD OE LA INFORMACION ~ 2.2. INFORMACION 2.3. Dato 2.4, CLASIFICACION OE LA INFORMACION: 2.4.1, Datos Sensibles ~ 2.4.2. Datos Criticos 2.5, SISTEMA OE INFORMACION ——- 2.6. TECNOLOGIA DE LA INFORMACION — 2.7. RECURSOS INFORMATICOS——- 2.8, RECURSOS INFORMATICOS PERSONALES 2.9, EVALUACION DE RiesGos——- 2.10. ADMINISTRACION DE RIESGOS: 2.11. INCIDENT DE SEGURIDAD ~ 2.42. Usuaaio 3. AMBITO DE APLICACION: 13.1. ALCANCE DE LA POLITICA OF SEGURIDAD DE LA ANAC =ne————~ 2.2, Amaro FUNCIONAL 3.3. AmiTo PERSONAL 4, ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION ——— 4.1. CoMITE 0 SEGURIOAD DE LA INFORMACION 4.2. RESPONSABLES PRIRAARIOS DE LA INFORMACION ———~ 4.3, COOROINACION DEL COMITE DE SEGURIDAD DE LA INFORMACION. ~ 4.3.1. Organizacién de la Seguridad- 4.3.2. Organigrama ~ DSYC- 4.3.3. DSYC- ANAC. Searegacién de Funciones 4.3.4, Glosario de Funciones 4.4, DESIONACION DEL RESPOWSABLE DEL AREA DE SISTEMAS INFORMATICOS— 4S. DESIGNACION OF ReSPONSABLE DEL AREA DE TECNOLOGIA Y SEGURIDAD INFORMATICA 4.6. RESPONSABLE DFL AREA DE RECURSOS HUMANOS 4,7. RESPONSABLE DEL AREA DE CAPACITACION ~ 4.8, RESPONSABLE DEL AREA DE SEGURIDAD FISICA. 4.9, RESPONSABLE DE UNIDAD DE AUDITORIA INTERN: 4.10. ASIGNACION DE FUNCIONES Y RESPONSABILIDADES DE LOS RESPONSABLES ‘4.10.1. Responsabilidades del Coordinador del Comité de Seguridad de la Informacién ~ 4.10.2. Responsabilidades del Comité de Seguridad de la Informacién- 4.10.3. Responsabilidades de los Responsables Primarios de Informacién. 4.10.4. Responsabilidades del Area de Desarrollo y Sistemas informéticos 4.10.5. Responsabilidades del Area de Tecnologia y Seguridad informatica ANAC ~ Politica de Seguridad de la Informacién Vi - 09/09/2013 Posing N82 de 148 h } We ANAC okt WN sousere 4.10.6. Responsabilidades del Administrador de Backup —- 4.11, SePARACION De FUNCIONES 4.11.1. Separacion entre Instolaciones de Desarrollo, Prueba y Produccién ~ 4.11.2. Esquema tedrico de segregacién de los entornos de Prueba, — 4.11.2.1, Ambiente de Desareollo 4,11.2.2. Ambiente de Pruebas — 4.11.23, Ambiente de Produccién 5. FUNCIONES Y OBLIGACIONES DEL PERSONAL ¥/O USUARIOS -~ 5.1. CARACTER OE USUARIO ~ 5.2. CONFIDENCIALDAD DE LA INFORMACICR 5.3, loENTiFicACiONY Cuaves 0& AccESO 5.4, UmUZAcin O€ EQUIPOS INFORMATICOS ~ 5.5, UTIUZACION DF INTERNET Y CORREO ELECTRONICO- 5.6, UTIUZACION DE PROGRAMAS, SOFTWARE ¥ APLICACIONES INFORMATICAS. 5.7. POLITICA DE ESCRITORIOS Y PANTALLAS IMPIAS 6.3, RESPONSABILIDADES — 6.4. ADMINISTRADORES DE IDENTIFICACION Y ACCESO A SISTEMAS INFORMATICOS 6.4.1 Cardcter de Administrador 6.4.2. Notificacién de Responsobilidad y Buen Uso de los Recursos de Informacién por Administradores~ 46 6.4.3. Notificacién de Responsabilidad y Buen Uso de los Recursos de Informacién por Usuarios 45 6.5, CAPACITACION DEL USUARIO 6.5.1. Objetivo: 6.5.2, Formacién y Capacitacién en Seguridad de la Informacién- 7. GESTION DE INCIDENCIAS ~ 7.1. OBserwo 7.2. COMUNICACION DE INCIDENTES RELATIVOS A LA SEGURIDAD. 7.3, SOBRE EL REGISTRO DE INCIDENCIAS Y CLASIFICACION— 7.4, LINEAMIENTOS PARA LA GESTION DE INCIDENCIAS 7-5. COMUNICACIGN DE VULNERABILIDADES DE SEGURIDAD 7.8. COMUNICACION DE ANOMALIAS DEL SOFTWaRe 7.7 APRENDIENDO DE LOS INCIDENTES~ 7.8. SANCIONES. 8, CLASIFICACION DE ACTIVOS ——- 8.4, InvenTARio DE ACTIVOS: ANAC ~ Poltca de Seguridad de la Informacién V1 ~ 03/09/2013 Poaing NP 3.6 148 2013 Aho de Bicentenorio de la Asomblea General Consituyente de 3832" a ANAC 194 Dh QS suse Co ANEXO I 8.5. CLASIFICACION DE LA INFORMACION: 8.5.1. Confidencialidad- 8.5.2. integridad: 8.5.3. Disponibilidad: 8.5.4. Criticidad de la informaciét 8.6. ROTULADO OF LA INFORMACION -———~ 8.7. ACTIVOS DE INFORMACION NOTICABLE/ LIBERACION OF INFORMACION AL COMIN PUBLICO. 8.7.1 Produccién 8.7.2 Resquardo ‘9, SEGURIDAD FISICA Y AMBIENTAL-——————-— 9.1. Onsenivos-- 9.2. AtcaNce-— 9.3. AREAS SEGURAS Y DF ACCESO RESTRINGIOO 9.3.1. Perimetro de Seguridad Fisica —~ 9.3.2. Controles de acceso fisico 9.3.3. Proteccién de Oficinas, despachos e instalaciones 9.6, SEGURIDAD DEL EQUIPAMIENTO TECRICD, INFORMATICO Y DE COMUNICACIONES 9.6.1. Suministro de energia- 9.6.2. Seguridad de! cableado— 9.6.3. Ubicacién y proteccién del equipamiento informético y coplas de seguridad. 9.6.4. Mantenimiento de equipos 9.6.5, Seguridad del equipamiento fuera del dmbita de lo organizocién- 9.6.6. Baja segura o reutilizacién de equipomiento. 9.6.7. Retiro de Activos de lo ANAC- 9.6.8. Seguridad de los Medios en Trénsito ~ 9.6.9 Politicas de Escritorios y Pantallas Limpias 10. GESTION DE COMUNICACIONES Y OPERACIONES-——~ 10.1. Osten 10.2. RESFONSABIUDADES 10.3, PROCEDIMIENTOS OPERATIVOS DE DOCUMENTACION- 10.4. Gesmi6w be PROCESAMIENTO EXTERNO 10. 5. PLANIFICACION Y APROBACION DE SISTEMAS 105.1. Objetivo 10.5.2, Planificacién de la copacidad ~ 10.5.3 Aprobacién del sistema—~ 11, MANTENIMIENTO Y RESGUARDO DE LA INFORMACION. 11.1. Oaierv 11.2. ALCANCE DEL RESGUARDO DE LA INFORMACION——~ 111.3, CONTROLES DEL RESGUARDO Y RECUPERO DE LA INFORMACION —~ 111.4, ADMINISTRACION v SEGURIDAD DE LOS MIEDIOS 0 ALMACENAMIENTO- 11.4.1, Objetivo 11.4.2. Administracién de medios informaticos removibles ANAC - Politica de Seguridad de le Informacién V1 - 09/08/2013, Paving NEdde 148 2013- Ao del Bicentenario dea Asomblea General Consetuyonte Hen &% ANAC GS suse ne 11.4.3, Eliminacién de Medios de Informacion 11.5. RESGUARDO DE LA INFORMACION DE LA ANAC. 11.5.1. Objetivo: 11.5.2, Procedimientos de Resguardo y Conservacién de Datos— 11.6. InTERcAMBIO DE INFORMACION ¥ SOFTWARE 11.6.1. Objetivo 11.6.2, Acuerdos de Intercambio de Informacién y Software 11.6.3, Seguridad de la interoperabilidad y el Gobierno Electrénico 11.64. Sistemas de Acceso Pilblico y Semipiiblico- 11.6.5, Seguridad Frente al Acceso por Parte de Terceros 12. CONTROL DE ACCESO LOGICO- 12.1. Owserivos — 12.2, ResPoNsaswioaoes 112.3. Pouinica Dé CONTROL OF ACCESOS: 12.4, REGLAS DE CONTROL DE ACCESOS 12.5. ADMINISTRACION DE ACCESOS DE USUARIOS ~ 12.5.1. Objetive 125.2, Registraci6n de Usuarios ~ 12.6. ADMINISTRACION De PRIVLEGIOS. 12.7. AoMinisTRACION DE CONTRASEFIAS DE USUARIO 12.8. Uso DE CUENTAS CoN PERFIL DE ADMINISTRADOR ~ 12.9. Uso be ContRasenas-- 12,10. CONTROL DE ACCESO A LaRED: 12.10.1. Objetivo ~ 12.10.2. Politica de utilizacién de los servicios de red 12.10.3. Camino Forzado———- 12.10.4. Autenticacién de Nodos~ 12.105. Proteccién de los puertos de diagnéstico remoto: 12.10.6. Computacién Mévil y Trabajo Remoto——- 12,10.7. Subdivision de Redes 12.108. Control de Ruteo de Red 12.10.9, Seguridad de los Servicios de Red 12.41. CONTROL DE ACCESO AL SISTEMA OPERATIVO- 12.1.1. Objetivo 12.11.2.Identificacién de Puestos de Trabajo y Servidores 12.11.3. Procedimientos de Conexién: 12.1.4. Identificacién y autenticacién de los usuarios ~ 12.115, Uso de Utiltarios de Sistemas Operativas 12.1.6, Desconexién por Tiempo Muerto en Puestos de Trabajo 12.10.7. Limitacién del Horario de Conexién—————— 12.12. CONTROL OF ACCESO A LAS APLICACIONES 1212.1. Objetivo — 12.12.2. Restricclén del Acceso a la Informacisn 12.2.3, Aislomiento de Sistemas t ANAC ~ Politica de Segueidad de Jo Informacién V1 - 09/09/2013 Paina NES de 148 2013- SYZ ANAC 194 GSS ce rescen ent Wo del Bicentenoro dela Asombleo General Consttuygrt de 1813 12.43. MoNiTOREO DEL ACCESO Y USO bE LOS SISTEMAS 12.13.1. Objetivo -~ 7 12.13.2. Monitoreo del Uso de los Sistemas 13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS— 13.1. Oniervo. 13.2. ALcance 13.3. ResPOWSABILIDADES ~ 113.4, REQUERIMIENTOS DE CONTROLES OE SEGURIDAD: 13.5. SEGURIDAD EN LOS SISTEMAS DE APLICACION: 13.5.1. Validacién de Datos de Entrada: 13.5.2, Controles de Procesamiento Interno—~ 13.5.3. Autenticacién de Mensajes 13.5.4, Validacién de Datos de Salida-———- 13.6. SEGURIDAD EN EL AMBIENTE OF PRODUCCION 13.6.1. Objetivo . 13.6.2. Control del software de Produccién 13.6.3, Proteccién de los datos de prueba del sistema. 13.6.4, Control de acceso a las bibliotecas de programa fuente ~ 13,7. SEGURIDAD EN Los ENTORNOS - DESARROLLO PRUEBA Y PRODUCCION 13.7.1. Objetivo’ 13.7.2, Procedimientos de control de cambios — 13.7.3, Revisin técnica de cmbios en los sistemas operativos- 13.7.4, Restriccién de cambios en los paquetes de software. 13.7.5, Desarrollo externo de software: 13.8, ConTROLES CriPTOGRAFICOS 13.8.1. Objetivo 13.8.2. Tipos de técnicas criptogréficas ——-——~ 13.8.3, Politica de Utilizacién de Controles Criptograficos 13.84, Criptografia : 13.8.5. Firma Digital ~ 14, PLAN DE CONTINGENCIA -—~ 14.1. Oaierwvos 14.2. ALCANCE 14.3. RESPONSABILDADES ~ 114.4, ADMINISTRACION DE LA CONTINUIDAD DE ACTIVIDADES OF LA ANAC. 14,5, CoNTINUIDAD DE ACTIVIDADES Y ANAUSIS DE IMPACTO 14.6, InPLEMENTACION DE PLANES DE CONTINUIDAD— 14.7. MARCO PARA LOS PLANES DE ConTINUIDAD- 114.8, ENSAYO, MANTENIMIENTO Y REVISION DE LOS PLANES DE CONTINUIDAD—~ 15. GARANTIA DE CUMPLIMIENTO ——--———~ 15.1, Operwos 15.2. ALCANCE: ANAC ~ Politica de Seguridad de la Informacion V1 - 09/09/2013 Peaina NPE de 128 S’ANAC 724 as demon ext ANEXO I 133 Ba Be 134 134 135 136 137 139 139 a1 141 15.3. RESPONSABILDAD~ 15.4. CUMPLInHENTO DE REQUISITOS LEGALES- 15.4.1. Objetivo ~ = 15.4.2. Identificacién de la Legislacién Aplicable 15.4.3, Derecho de propiedad intelectual- 15.4.4, Derecho de Propiedad intelectual del Software: 15.4.5, Proteccién de los Datos del Organismo ~ 15.46, Proteccién de Datos y Privacidad de datos de cardcter personal 15.47, Regulaci6n de Controles para el Uso de Criptogrofia y Firma Digital 15.5. REVISIONES 0€ Lx PoLITICA O& SEGURIDAD 15.6. CONSIDERACIONES OF AUOITORIA DE SISTEMAS 15.7. SANCIONES PREVISTAS POR INCUMPLIMIENTO ERROR! MARCADOR NO DEFINIDO. ANEXO | 142 ACUERDO DE CONFIDENCIALIDAD Y MANEJO DE LA INFORMACION ~ AGENTES ANAC ANAC - Politica de Seguridad de la Informacién V1 - 09/09/2013 Pocing Ne7 de 148 2013- Aho de Bicentenario dela Asombiea GenerolConstituyente de 1833 SY’ANAC 7°4 GN sacar ANEXO I 1. INTRODUCCION El presente documento, Politica de Seguridad de la Informacién de la ADMINISTRACION NACIONAL DE AVIACION CIVIL (en adelante PSI) tiene por objeto proteger los activos de informacién de la ADMINISTRACION NACIONAL DE AVIACION CIVIL (en adelante ANAC), sus archivos documentales oldgrafos o digitales, sistemas informaticos, bases de datos, la informacion alli alojada y la tecnologia utilizada para su procesamiento asi como la informacion producida en su seno y destinada al dominio publico. Mucha bibliografia define las politicas de seguridad como los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema informatico, las responsabilidades y derechos tanto de usuarios como administradores, describe lo que se va a proteger y de lo que se esta tratando de protéger; éstos documentos son solo el primer paso en la construccién arquitecturas de seguridad efectivas y son considerados como parte fundamental de cualquier esquema de seguridad eficiente, no obstante es necesario ampliar este concepto primario al abordarse la seguridad de la informacién, incluyendo todas aquellas otras formas de tratamiento de datos y documentacién olégrafa, aun aquella desestructurada y sistematica, Gestionar la seguridad de {a informacién requiere la implementacion de un complejo conjunto de controles, que incluye politicas, practicas, procedimientos, estructuras organicoffuncionales y funciones de hardware y de software entre otros, de modo que los medios técnicos queden respaldados dentro de una gestion planificada en materia de seguridad bajo un concepto de integralidad en el tratamiento de la informacién, que atienda tanto a vulnerabilidades y fallas internas como asimismo a las posibles amenazas externas, sean deliberadas 0 accidentales, tales como intrusiones, ataques fisicos y légicos e incidencias varias. Aunado a un marco referencial basado en normas que establezcan los criterios y medidas basicas que deben aplicarse a los activos de informacin dentro de la Administracién Publica Nacional esta Politica recoge las medidas de seguridad establecidas con el fin de asegurar la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de los sistemas de informacién y de los datos, cuando sean tratados por agentes, funcionarios, trabajadores en el ejercicio de sus funciones, y aquellos prestadores de servicios y/o reparticiones publicas que la ANAC requiera para acometer sus objetivos, asi como los usuarios finales de informacién producida en la ANAC y destinada al_publico en general, Como marco normative general para la determinacién las citadas medidas de seguridad, han sido tenidas en cuenta las pautas fijadas en los Decretos N° 103 del 25 de enero de 2001, N° 378 de 27 del abril de 2005, N° 512 del 7 de mayo de 2009, la Ley N° 19.549 de Procedimiento administrative y su Decreto reglamentario 1.759 del 27 de Arbril de 1972 (T.0. 1991), la Ley N° 24.156 de Administracion Financiera y la Ley N° 24.624 de conservacién de documentacién en la APN, la Ley 25.506 de firma digital y su decreto reglamentario (la Ley N° 25.326 de Proteccién de Datos Personales y su decreto reglamentario N° 1.558/2001, la Ley N° 11.723 de Propiedad intelectual, la Ley N° 25.188 de Etica en el ejercicio de la Funcién Publica y el Decreto 1.172 de fecha 3 de diciembre del ANAC ~ Politica de Seguridad de la Informacién V1 - 09/09/2013 Pocing NEB de 148 2013 -Afo del Bientenaro de i Asombleo Genero Consttuyente de 1813" Se ANAC 794 as ucancr ANEXO I 2003 de acceso a la informacién publica, la Ley N° 25.164 de Regulacién del Empleo Publico Nacional, la norma intemacional ISO/IEC 27.001, el Manual Cobit 4.1, la Decisién ‘Administrativa N° 669/2004 y la Disposicion de la OFICINA NACIONAL DE TECNOLOGIAS. DE LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS N° 6 de 10 de agosto de 2005, Ia Resolucion N° 48 del 5 de Mayo del 2005 Sigen, asi como el Decreto N° 1.70 de fecha 29 de noviembre del 2007, entre otras. 2. DEFINICIONES Alos efectos de este documento se aplican las siguientes definiciones: 2.1. Seguridad de la Informacion La seguridad de la informacion se entiende como la preservacién de las siguientes caracteristicas: + Confidencialidad: se garantiza que la informacion sea accesible sélo a aquellas personas autorizadas a tener acceso a la misma. + Integridad: se salvaguarda la exactitud y totalidad de la informacion y los métodos de procesamiento. + Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacién y a los recursos relacionados con la misma, toda vez que lo requieran. + Autenticidad: busca asegurar la validez de la informacién en tiempo, forma y distribucién. Asimismo, se garantiza el origen de la informacion, validando el emisor para evitar suplantacién de identidades. + Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior. + Proteccién a la duplicacién. consiste en asegurar que una transaccién solo se realiza una vez, a menos que se especifique lo contrario. + No repudio: consiste en implementar mecanismos que evite que un emisor niegue haber enviado informacién efectivamente emitida, ser susceptible de verificacién ante terceros. ANAC ~ Police de Seguridad de la Informacién V1 - 09/09/2013 Panina Ne9de 148 2013 -Afo de Bicentenorio dela Asamblea General Consttuyente de 1813” S’2ANAC 794 GN sor ANEXO1 + Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que esta sujeta la Administracion Nacional de Aviacién Civil, asi como la Administracién Publica Nacional y sus entes descentralizados. * Confiabilidad de la Informacion: la informacién generada sera adecuada para sustentar tomas de decisiones y la implementaci6n de funciones y objetivos organizacionales. * Privilegio: Para los sistemas multiusuario 0 de red, indica una caracteristica o servicio que permite a un usuario pasar por alto determinados controles de seguridad de los sistemas y recursos de informacion 2.2. Informacion Es todo conocimiento que puede representarse y transmitirse en formas textuales, numéricas, graficas, cartogréficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, medios audiovisuales, telefonia u otros. Se considera que la informacién es el activo mas importante de toda organizacion 2.3. Dato Unidad de la informacién. 2.4. Clasificacién de la Informacién 2.4.1, Datos Sensibles Datos sensibles personales: refieren a origen racial o étnico, ideologia, creencias religiosas, politicas 0 filosoficas, afiliacién sindical, salud o vida sexual, y se les aplican hormas més estrictas para su tratamiento. Datos sensibles organizacionales: refieren a temas propios de una organizacién, cuya difusién publica aumentaria el riesgo de amenazas a la informacién. 2.4.2. Datos Criticos Informacion cuya indisponibllidad puede afectar el normal funcionamiento de una organizacion ANAC ~ Poltica de Seguridad de la informacion Vi - 09/09/2013, 2013 Af de Bicentenario dela Asombiea General Consttuyente de 2813 S"2ANAC 194 WS Suse 2.5. Sistema de Informacion Conjunto independiente de recursos de informacién organizados para la recopilacién, Procesamiento, mantenimiento, transmisién y difusién de informacién segtin determinados procedimientos, tanto automatizados como manuales. 2.6. Tecnologia de la Informacion Hardware y software operados por la ANAC o por un tercero que procese informacién en su nombre, para llevar a cabo una funcién propia del Organismo. Comprende la tecnologia que permite generar informacién basada en procesos computacionales, de telecomunicaciones, de impresién en papel por algun medio especifico © cualquier otro tipo. 2.7. Recursos Informaticos Para cumplimentar los objetivos impuestos, la’ ANAC pone a disposicién de los usuarios una serie de recursos informaticos de su propiedad. Son recursos informaticos todos aquellos componentes de hardware, software y tecnologia relacionadas, cuyo objetivo es el de generar, archivar, procesar o transmitir informacion. Cuando varios miembros de un area de la organizacién necesitan hacer trabajos en comtin, los administradores implementan accesos compartidos en servidores de red, para las personas indicadas. De esa manera, la informacién estard disponible a través de la red de datos de la Organizacion. Tipicamente, se comparten archivos, impresoras, accesos a bases de datos, accesos a Internet o Intranet, accesos a datos a través de aplicativos, ete. 2.8. Recursos Informaticos Personales Se trata de elementos informaticos, de propiedad de los usuarios, que se hallan a disposicién de la ANAC. Se trata de computadoras personales, computadoras portatiles, impresoras, hardware especial, dispositivos méviles, software y/o aplicaciones, dispositivos ANAC - Police de Segurided de la informacién Vi ~ 09/08/2013 Paina N23 de 148 2013 Ato et Bicentenario de a Asambleo Genera Constituyente de 1813" S’Z ANAC 724 WN sooo de almacenamiento, etc. La utilizacién indebida de estos recursos en el ambito de la Organizacién puede poner en riesgo a la informacion 2.9. Evaluacién de Riesgos Se entiende por evaluacién de riesgos a la evaluacion de las amenazas y vulnerabilidades relativas a la informacion y a las instalaciones de procesamiento de la misma, la probabilidad que ocurran y su potencial impacto en la operatoria del Organismo. 2.10. Administracién de Riesgos Es el proceso de identificacion, control, minimizacién © eliminacién de los riesgos de seguridad que afectan a la informacién, dentro de un costo aceptable. Este proceso es ciclico y debe llevarse a cabo en forma periddica, 2.11. Incidente de Seguridad Se denomina incidente de seguridad a todo evento que pueda comprometer a la seguridad de los datos, afectando la confidencialidad, la integridad, la disponibilidad, la legalidad y la confiabilidad de la informaci6n. 2.12. Usuario Se denomina usuario a una persona fisica u Organismo, que utiliza los recursos informaticos que el ANAC pone a su disposicién. Un usuario que requiera el acceso a un recurso informatico debera poseer una cuenta que los acredite frente al mismo, llamada cuenta de acceso. Los usuarios de la informacién y de los sistemas informaticos de la ANAC pueden ser: + personal jerarquico perteneciente a la ANAC, + agentes de la ANAC, bajo sus diversas formas de contratacién, + personal que guarde alguna relacién con la ANAC, + terceras partes, no pertenecientes al Organismo, y que acceden a datos o sistemas dela ANAC, ANAC ~ Poltica de Segurided de le Informacién V2 - 09/09/2013 ovina N©12de 148 2013- Ao de! Bicentenario deo Asamblea General Consent de 1823° SYANAC 794 HS coer ANEXO! * organismos que acceden a datos sistemas de la ANAC, en virtud de acuerdos o contratos, 3. AMBITO DE APLICACION 3.1. Aleance de Ia Politica de Seguridad de la ANAC La presente Politica de Seguridad de la Informacién se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la informacién, los sistemas informaticos y el ambiente tecnolégico de la ADMINISTRACION NACIONAL DE AVIACION CIVIL. La Politica de Seguridad de la Informacién debe ser conocida y cumplida por todo el personal de la ANAC, sean funcionarios politicos 0 técnicos, y dentro de cualquier nivel jerarquico o situacién vinculante, ya sea que desempefien sus funciones en el edificio central, direcciones regionales 0 aeropuertos. A tal fin, debe ser comunicada a todos los usuarios de la ANAC, de manera pertinente, accesible y comprensible La presente Politica también alcanza a todos aquellas personas fisicas o juridicas que, ain sin pertenecer a la ANAC, hacen uso, en calidad de usuario, de los sistemas informaticos y/o de la informacion disponible. A fin de asegurar la implementacién de las medidas de seguridad comprendidas en esta Politica, la ANAC identtificara los recursos necesarios e indicara formalmente las partidas presupuestarias correspondiente. Lo expresado anteriormente no implicard necesariamente la asignaci6n de partidas presupuestarias adicionales. Por medio de la presente, se establece formalmente un ambito de gestion, el Comité de Seguridad de la Informacién, para efectuar tareas tales como: proponer la aprobacién de la Politica a la maxima autoridad, coordinar su implementacién, asignar funciones y responsabilidades, administrar la seguridad de la informacién dentro de la ANAC y garantizar la aplicacion de medidas de seguridad adecuadas en los accesos de terceros a la informacion del Organismo. ANAC - Politica de Seguridad de la informacién V1 - 09/09/2013, Poaina NP 13.de 148 2013 Ao de Bcertenovio deo Asarblea General Consituyente e833 SYZANAC 194 AS suse 3.2. Ambito Funcional La Politica alcanza a todo el ambito de la ANAC, a sus recursos y a la totalidad de los procesos (sean manuales o digitales), y es de aplicacién unica y exclusiva ala ANAC, a las. regionales y aeropuertos, a las oficinas que el organismo posee en territorio o jurisdiccion argentina y a aquellas reparticiones publicas o agentes en quienes la ANAC delegue la realizacién de cualquier funcién dentro del marco de sus competencias especificas y delegacas, en todo Io inherente al gobierno politico interno, a la seguridad interior y all ejercicio pleno de los principios y garantias constitucionales, asegurando y preservando el régimen republicano, representativo y federal. La ANAC despliega el estado de ultima responsable de los sistemas de informacién y bases de datos que gestionen todas las direcciones regionales y aerddromos del pais, direcciones nacionales y generales, unidades, como asi también es titular de los sistemas y bases de datos propias y exclusivas para el ejercicio de funciones centralizadas 3.3. Ambito Personal Se encuentran obligadas al cumplimiento de las prescripciones legales aqui establecidas. las siguientes: * Quienes presten servicios para la ANAC, ya sea de forma directa o indirecta, y se trate de persona fisica o juridica, publica o privada, u organismo, cualquiera que sea la naturaleza de la relacién juridica que fe una con la misma + Toda entidad o persona fisica 0 juridica, publica 0 privada que, por la labor que desemperie, tenga o pueda tener acceso directo y/o remoto a las instalaciones o departamentos donde estan ubicados los sistemas de informacion a través de los cuales se tratan datos de caracter personal de la ANAC. + Toda la planta de personal de! organismo, tanto se trate de funcionarios politicos ‘como técnicos, y sea cual fuere su nivel jerarquico y su situacién de revista LA ANAC se hace responsable de la labor de formar e informar a quienes, por su condicién de usuarios, se encuentren bajo el ambito de aplicacién del presente. ANAC - Politica de Segurided de la informacisn V1 - 09/09/2012 Poaino N°14 de 148 2013 Ano del Bicentenario de lo Asomblea Genero Cnsttuyente de 1813” SY ANAC 19: aN Qs vse" eG Asimismo, e| Coordinador del Comité de Seguridad de la Informacion, el Responsable de ‘Seguridad Informatica, los Responsables de Area, los Administradores y Usuarios, seran instruidos para cumplir con las funciones que les sean encomendadas en este documento & informados de las responsabilidades que su cargo les atribuye. 4. ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION 4.1, Comité de Seguridad de la Informacion Se crea el Comité de Seguridad de Ia Informacién, dentro del ambito de la ANAC, siendo sus funciones las estipuladas en la Resolucién ANAC N° 402/2013, con fundamento en lo dispuesto en el articulo 4 de la Decisién Administrativa de Jefatura de Gabinete N° 669/04. El Comité de Seguridad de la Informacin, es un cuerpo integrado por representantes de todas las areas sustantivas de la ANAC, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad EI Comité de Seguridad de la Informacién revisara la presente Politica a efectos de manteneria actualizada por lo menos una vez en cada ejercicio fiscal y toda vez que hechos basados en evidencia objetiva recopilada a través del sistemia de seguimiento de incidencias amerite urgentemente su adecuacién; De esta manera se asegurara su vigencia y nivel de eficacia en funcién de la métrica de desempefio y el registro de incidentes. EI Comité de Seguridad de la informacién del Organismo: * propone a la maxima autoridad de la ANAC la Politica de Seguridad de la Informacion y las funciones generales en materia de seguridad de la informacion, + monitorea cambios significativos en los riesgos y amenazas que afectan a los recursos. de informacién frente a la Politica de Seguridad de la Informacién, + supervisa la investigacién y monitoreo de incidentes relativos a la seguridad, + aprueba las iniciativas que incrementen la seguridad de la informacién, de acuerdo con las competencias y responsabilidades asignadas a cada area, ANAC - Police de Seguridad de la Informaciin V1 - 09/09/2013, Pagina NES de 148 208 Ao ccna nea eR SYANAC 794 i La 7] \ ee a ease S ANEXO * acuerda y aprueba metodologias y procesos especificos relativos a la seguridad de la informacién, + garantiza que la seguridad sea parte de un proceso de planificacién de la informacién, * evallia y coordina la implementacién de controles especificos de seguridad de la informacién para nuevos sistemas o servicios, * promueve la difusién y apoyo a la seguridad de la informacion dentro del Organismo frente a interrupciones imprevistas. A través de la Resolucién ANAC N°402/2013 se ha incorporado dentro del Comité de la Seguridad de la Informacién de la ANAC, a Directores Nacionales o Generales, Jefes de Unidad, Directores equivalentes, responsables de Unidades Organizativas de otras areas de la ANAC como el C.|.P.E y de las Direcciones Regionales, o quienes ellos designen. Contant od elon ANAC - Poltica de Segurided de ls informacién V1 ~ 09/09/2013 Pavine O36 de 108 2013- Alo det Bicentenri de a Asamblee Genera Constituent de 1813 SYZ ANAC 794 ayy Since ee ANEXO I 4.2. Responsables Primarios de la Informacion * Autoridad Maxima: Aprueba esta Politica, asi como sus modificaciones, + Directores Nacionales 0 Generales, Directores 0 equivalentes, jefes responsables de Unidades Organizativas, tanto se trate de autoridades politicas o personal técnico y sea cual fuere su nivel jerarquico: Son responsables como oficiales de seguridad, de la implementacién y de! cumplimiento de la Politica de Seguridad de la Informacién dentro de sus areas de responsabilidad. Son responsables de: + inventariar y clasificar la informacién segtin un nivel de sensibilidad y criticidad, + documentar y mantener actualizada la clasificacién indicada en el punto anterior, + definir los usuarios que tendran permisos de acceso a la informacion, de acuerdo con sus funciones y competencia. Se determina que, cada, Director Nacionales 0 General, responsables de Unidades Organizativas 0 Unidades equivalentes, con uso y manejo de la informacién pertinente a su rea, seran los responsables primarios de la informacién alli producida. El responsable primario puede delegar la administracion de sus funciones a personal idéneo a su cargo, conservando la responsabilidad del cumplimiento de las mismas. Asimismo puede entregar en custodia la informacién, digital u olografa situacién que obliga solidariamente al custodio al cumplimiento de los principios de confiablidad, disponibilidad, confidencialidad de la informacién recibida La delegacién de la administracién de la informacion por parte de los responsables primarios seré documentada y proporcionada al la Coordinacién del comité de seguridad de la informacién, mediante un listado formal de Autorizaciones que se confeccionara y obrara ‘como Anexo Reglamentario del presente. Todo cambio que se realice sobre el personal afectado a las tareas inherentes a esta politica debe ser comunicado y formalizado la Coordinacién del comité de seguridad de la informacién por los responsables primarios, indicando los reemplazos necesarios para cumplir los objetivos y lineamientos que el ejercicio de esta politica impone. ANAC ~ Poltiea de Sequrided de la Informacién Vi - 09/09/2013 Pecina NP17de 148 2013 -Afo de Bicertenario dela Asombleo General Constuyente Ge 1813 SY ANAC 194 WS suse ANEXOI 4.3. Coordinacién del Comité de Seguridad de la Informacion. En virtud de la Resolucién ANAC N° 402/2013, se asignan las funciones relativas a la coordinacién del Comite de Seguridad al responsable de la Direccién de Sistemas y Comunicaciones de la ANAC (DSYC), en adelante el Coordinador del Comité de Seguridad de la Informacién, quien impulsard la implementacién y cumplimiento de la presente Politica con asistencia de una mesa de gestidn de la seguridad de la informacién. 4.3.1. Organizacion de la Sequridad De acuerdo con lo ordenado mediante el Decreto 258/2003, la Decisién Administrativa N° 18/2002 y N° 669/2004, los Decretos 378/05 y 512/09 y la Disposicién 6/2005 de la Oficina Nacional de Tecnologias de Informacién (ONT!) dependiente la Subsecretaria de Gestion Publica de la Jefatura de Ministros, y el CobiT 4.1; la ANAC, a efectos de adecuar su organizacién funcional conforme a la normativa imperante en materia de seguridad de la informacion y promover la mayor segregacién de funciones e incompatibilidades dentro de la arquitectura organizacional de su competencia, organiza el mapa de funciones y responsabilidades en materia de seguridad de la informacion. 4.3.2. Organigrama ~ DSYC El organigrama de la DSYC brinda un esquema de control de gobierno de las tecnologias de la informacién (TI), consistente con las mejores practicas y estandares de TI aceptados para la administracion publica nacional e independiente de tecnologias especificas. Mediante el uso de las tecnologias, la DSYC optimiza sus potencialidades en los proyectos desarrollados por el organismo, como asi también en su relacién con otros organismos del estado con proyeccién a toda la comunidad aerondutica, logrando que toda la estrategia TI se oriente hacia los objetivos, metas y misién del organismo y politicas de estado con aplicacién en la materia, siendo uno de los principales esfuerzos de la DSYC que las estructuras organizacionales migren hacia un modelo tecnolégico colaborativo que facilite la implementacién de estrategias y metas, se minimicen riesgos complejos como la seguridad de redes y la privacidad; y se haga posible, entre otros aspectos, medir el desempefio de los recursos de TI, los procesos de TI implementados y el avance en la concientizacién dentro del personal, sobre las politicas de seguridad de la informacién ANAC - Politico de Seguridad de la Informaciin Vi - 09/09/2013 Paina NEB de 148 2013- Af de! Bicentenario dea Asombiee Genera Consttuyente de 1813 SZ ANAC 194 kee El gobierno de la seguridad de la informacién y TI incumbe a una variedad de participes (tanto internos, representados en la DSYC, como asimismo ajenos al ANAC pero que prestan servicios para él) que atienden a necesidades especificas, distinguiéndose entre quienes ejecutan la toma de decisiones en cuanto a las inversiones en TI mas convenientes: quienes deciden sobre los requerimientos técnicos de la tecnologia que se utiliza: los usuarios de la misma; quienes participan intema y externamente dando apoyo profesional, administrando la organizacién y procesos de TI; desarrollando TI u operando servicios. quienes asumen responsabilidades de control/riesgo; quienes realizan funciones de cumplimiento y reaseguro 0 continuidad de las operaciones. 4.3.3. DSYC - ANAC. Segregacién de Funciones El organigrama de la DSYC se define en funcién a las distintas tareas que ejecuta cada una de las areas bajo su dependencia, prestando especial atencién a las incompatibilidades existentes entre las funciones de un sector especifico, con respecto a las actividades desempefiadas por otros. Para el supuesto que, debido a la estructura de recursos humanos que componen la DSYC, no pueda segregarse alguna de las funciones antes citadas, y se acumulen en un sector varias actividades, se compensara mediante la implementacién de controles por oposicién de intereses. EI resguardo documental de las medidas adoptadas a tales efectos, se conservarén por un plazo no inferior a dos (2) afios para su posterior revisin por la Unidad de Auditoria Interna de la ANAC. El mapa de segregacién de funciones e incompatibilidades propuesto, siguiendo el organigrama de la DSYC de la ANAC, se divide en Cuatro areas a efectos de la organizacién de gobierno de TI, a saber: Direccién, Area de Soporte, Area de Tecnologia y Seguridad Informatica y Area de Sistemas y Desarrollo En el cuadro, donde se indica la interseccién de dos funciones mediante la sigla “NO”, se refiere a que la DSYC deberé tomar medidas en la segregacién de tareas, a efectos de evitar su concentracién. Cuando la interseccién de dos funciones se referencia con la sigla implica que preferentemente estas tareas.no deberian recaer en un mismo sector, y en el caso que las mismas estuviesen concentradas, deberdn evidenciarse claras medidas de control compensatorio. ANAC - Poltca de Seguridad de la Informocion Vi ~ 09/09/2013, Paging M8194 148 SY ANAC 734 7] ANEXO I 43.4. Glosario de Funciones *PROGRAMACION: disefio y desarrollo de aplicaciones de software. CONTROL DE CALIDAD: prueba y homologacién de software para la puesta en produccién. *ADMINISTRADOR DE BACKUP Y OTROS: custodia, guarda y mantenimiento de datos y software almacenados en distintos medios y soportes. *ADMINISTRADOR DE BASES DE DATOS: define y da mantenimiento a la estructura de los datos de las aplicaciones que utilizan los software. -ADMINISTRADOR DE REDES: administra y controla la red local. *ADMINISTRADOR DE TELECOMUNICACIONES: administra y controla la red WAN. ‘ADMINISTRADOR DE SISTEMAS OPERATIVOS: mantenimiento y puesta en produccién de software de sistemas aplicativos. + MESA DE AYUDA / SOPORTE: respuesta y asesoramiento a usuarios, ANAC - Politica de Segurded de la Informacién Vi ~ 08/09/2013, Pagina N=20 de 148 2013 Afo del Bicentencro de a Asomblea General Consttuyente de 3813” SY%ANAC 7954 Wy soe sUSUARIO: quien usa los sistemas aplicativos, -ADMINISTRADOR DE PERFILES: quien define la relacién entre los perfiles de usuarios conforme las funciones que estos pueden realizar. -ARQUITECTO DE POLITICAS Y PERFILES DE ACCESO: disefio de normas internas en seguridad de la informacion, perfiles de usuario y perfiles de acceso a la informacion. *MONITOREO DE SEGURIDAD DE LA INFORMACION: seguimiento del cumplimiento de normas y del tratamiento de los activos. 4.4, Designacion del Responsable del Area de Sistemas Informaticos Las funciones relativas a la Seguridad Informatica sobre micro-informatica de la ANAC se encuentran a cargo del Jefe de Area soporte de la DSYC - ANAC. 4.5. Designacién del Responsable del Area de Tecnologia y Seguridad Informatica. Las funciones relativas a seguridad inform: de las tecnologias, redes y comunicaciones relativas a la ANAC se encuentran a cargo del Jefe de area tecnologia y ‘Seguridad de la DSYC - ANAC. 4.6. Responsable del Area de Recursos Humanos Cumple la funcion de: + Notificar a todo el personal las obligaciones respecto del cumplimiento de la Politica de Seguridad de la Informacién, y de todas las normas, procedimientos y practicas que de ella surjan, + Comunicar la presente Politica a todo el personal, asi como de los cambios que en ella se produzcan, ANAC ~ Politica de Seguridad de la Informacién V1 - 09/08/2013 Pacing N21 de 148 2013 Af del Bientenario dela Asomblea General Consttiyene de 1813 S"RANAC 705 = ( ayy Pts aaa 23.) ANEXO | * Implementar la suscripcidn a los compromisos de confidencialidad y notificaciones de responsabilidad que se dicten, para el tratamiento de la informacion. 4.7. Responsable del Area de Capacitacion Cumple la funcién de: “Generar y coordinar tareas de capacitacién continua en materia de seguridad; “Asistir al personal de la ANAC en materia de ‘seguridad de la informacion. 4.8. Responsable del Area de Seguridad Fisica Cumple la funcion de: * cubrir los requerimientos ambientales que permitan que los recursos informaticos de la ‘ANAC funcionen en forma segura. Esta tarea deberd ser ejecutada en conjunto con el Responsable de tecnologia y Seguridad Informatica, * definir e implementar tareas de mantenimiento preventivo planificado y correctivo de edificios, oficinas y todas las instalaciones donde estén ubicados los equipos de Procesamiento de la informacién, y donde se almacene o archive informacion, sea ésta en formato papel u otros. En la definicion de las tareas participaran el Responsable de tecnologia y Seguridad Informatica, y los Responsables de primarios de la Informacion, atender las tareas relativas a la seguridad y controles de acceso fisico al ambito de la ANAC. 4.9. Responsable de Unidad de Auditoria Interna Las funciones relativas a la auditoria en materia de seguridad informatica relativas al ANAC se desarrollan mediante la Unidad de Auditoria Interna de la ANAC. La Unidad de Auditoria Interna podra realizar revisiones independientes sobre la vigencia y el cumplimiento de la presente Politica, 4.10. Asignacion de Funciones y Responsabilidades de los Responsables ANAC Poltca de Segurided de lo Informacién V1 ~ 03/03/2013, 2013 Ao de Bicentenario de la Asomblea General Consituyente de 1823" Sz ANAC 794 QPS soso "ANEXO I 4.10.1. Responsabilidades de! Coordinador del Comité de Seguridad de la Informacién El Coordinador de! Comité de Seguridad de la Informacién tendra a su cargo: + impulsar la implementacion de la presente Politica + convocar a las asambleas ordinarias y extraordinarias que se celebren con motivo de la implementacion de la presente Politica y sus procedimientos, incidencias y optimizaciones, las que se celebrarén con una periodicidad minima trimestral + monitoreo de seguridad de la informacién, mediante el seguimiento de! cumplimiento de normas y del tratamiento de los activos. + Efectuar el registro y seguimiento de incidentes de seguridad hasta su cierre o solucién definitiva como insumo basico para la revision de la presente politica 4.10.2. Responsabilidades del Comité de Seguridad de la Informacion El Comité de Seguridad de la Informacion tendré a su cargo: + gestionar la aprobacién de la presente Politica, ante la maxima autoridad del organismo + efectuar periddicas revisiones de la presente Politica y gestionar la aprobacién de las modificaciones que se efectuien, + seguimiento de las actividades relativas a la seguridad de la informacién, dentro de cada nde incidentes, supervision de la investigacion e area: andlisis de riesgos, supervi informes, implementacion de controles, administracion de la continuidad, ete. + impulsar procesos de concientizaci6n de los usuarios de la ANAC. * proponer la asignacién de funciones, 4.10.3, Responsabilidades de los Responsables Primarios de Informacién Los Responsables Primarios de Informacién como "Oficiales de Seguridad de la Informacién’ tendran a su cargo: + Proceso de Autorizacién de Acceso a Recursos Informaticos. ANAC - Politica de Segurided de la Informocién V1 ~ 09/08/2013, ‘Poaing N#23de 148 2013-Afo del icertenario de la zombiea Genera Constugine ce 1813 SY ANAC 794 QP soso ANEXO I El acceso a los recursos informaticos, nuevos o existentes, serd autorizado por los responsables de las Unidades Organizativas involucradas, considerando su propésito y uso e implementado bajo evidencia objetiva del requerimiento y autorizacion por el Responsable de Seguridad y Tecnologia. Con ello, se garantiza el cumplimiento de las Politicas y requerimientos de seguridad pertinentes. Debe garantizarse una adecuada compatibilidad entre todos los componentes informaticos del Organismo (hardware, software, aplicativos, dispositives de comunicaciones, dispositivos de almacenamiento, etc.) a efectos de garantizar la disponibilidad de informacién. También sera obligacién de los responsables primarios de la informacion comunicar cualquier modificacién 0 necesidad de destruccién de los privilegios oportunamente solicitados y entregados. + Utilizacién de Recursos Informaticos Personales. Dado que recursos personales de los usuarios pueden representar una amenaza para la informacién de la ANAC, su utilizacién debera ser autorizada por el Responsable Primario del sector correspondiente, y evaluada en cada caso por el Responsable de Tecnologia y Seguridad. Se aprobara el uso de un recurso personal solo en casos muy excepcionales y asegurando que éste no aporte riesgos a la informacion del Organismo. * Utilizacion de Recursos Informaticos Portatiles propiedad del organismo. En virlud de las amenazas y peligros que conlleva la utilizacién de recursos informaticos portatiles del propiedad del organismo en entornos no seguros cada usuario con recursos de este tipo asignados por cargo patrimonial seré absolutamente responsable de las incidencias que pudiera ocasionar su utilizacién dentro de las redes de la organizacién debiendo comunicar cualquier comportamiento anémalo inmediatamente a la DSyC. 4.10.4. Responsabilidades del Area de Desarrollo y Sistemas Informaticos El Responsable del Area de Desarrollo y Sistemas Informaticos de la ANAC, tiene a su cargo las siguientes funciones. ANAC - Poltica de Segurided de la Informacién V1 ~ 09/09/2013 Posing We24 de 148 2013 Ao del Bicentenarso de lo Asombiea Genero Consttuyentée 1823 SY2 ANAC 794 MN & ANEXO | * controlar los requerimientos de seguridad de la informacién establecidos para la operacién, administracién y comunicacién de las bases de datos, de los sistemas y los recursos de tecnologia de la ANAC, + verificar la aplicacién por parte de usuarios de las medidas de seguridad necesarias para proteger la informacién de la ANAC, + controlar las tareas de desarrollo y mantenimiento, siguiendo una metodologia apropiada para el ciclo de vida de los sistemas, contemplando la inclusién de medidas de seguridad en los sistemas en todas las fases, + atender las tareas relativas a la seguridad de los sistemas de informacién de la ANAC, entre otras, que en la fase de pruebas de los sistemas de informacion, éstas no sé efectiien con datos personales reales. + supervisar todos los aspectos inherentes a su area de competencia tratados en la presente Politica. + disefiar, desarrollar mantener y poner en produccién software de aplicacién. + probar y homologar software para la puesta en produccién + definir y mantener la estructura de los datos que utilizan las distintas aplicaciones de software. Para llevar correctamente la muttiplicidad de actuaciones encomendadas, el Responsable del Area de Desarrollo y Sistemas podra delegar en quien/es considere, la ejecucién de parte 0 de la totalidad de cualquiera de las tareas a su cargo, debiendo constar el alcance de su autorizaci6n y quienes resulten autorizados en La Politica, mediante la constancia formal asentada en un Listado de Delegacién de Autorizaciones que obrara como Anexo Reglamentario de la Presente, Ademés, el Responsable de Desarrollo y Sistemas registrara las actividades realizadas en los aplicativos en Producci6n. Se incluirdn los siguientes controles, segun corresponda: + Tiempo de uso de los sistemas, ANAC - Politica de Segurided de la Informacion V1 ~ 09/09/2013, Poving NO25 de 148 2013 Ato det Bicentenari dea Asamblea Genero Constituent de.1813 SYANAC 794 T, & WQS 2 ae ANEXO I + Errores en los sistemas y medidas correctivas tomadas, + Intentos de acceso a sistemas, recursos e informacion critica o confidencial, + Tipos de archivos almacenadbs en los servidores, + Ejecucién de operaciones criticas, + Control de cambios a informacién critica. La Unidad de Auditoria Interna contrastara los registros de actividades del personal y de los procedimientos de! ambiente de Produccién. Dentro de la drbita de funciones asignadas, el Responsable de Sistemas o quien él designe, comunicara a quien corresponda sobre la aparicidn de fallas, asi como las medidas correctivas a adoptar. Las fallas de los sistemas informaticos reportadas por los usuarios se registraran en el sistema de gestién de incidentes. (0.5. Responsabilidades del Area de Tecnologia y Seguridad informatica EI Responsable del Area de Tecnologia y Seguridad Informatica de la ANAC, tiene a su cargo las siguientes funciones: + incluir en los contratos con los distintos proveedores de servicios y tecnologia, o de bienes y servicios que afecten directa o indirectamente a los activos de informacién la obligatoriedad del cumplimiento de la Politica de Seguridad de la Informacién y de todas las normas, procedimientos y practicas relacionadas. + definir, coordinar y supervisar los procesos de Autorizacién e implementacién de Acceso a Recursos Informéticos, gestion de perfiles de acceso a aplicaciones y sistemas informaticos y Utlizacion de Recursos Informaticos Personales —ver punto 4.10.3 — + asistir en la toma de decisiones que involucren a la seguridad, pudiendo recurrirse al asesoramiento de terceros. ANAC ~ Poltico de Segurided de la Informaciin V2 ~ 09/08/2013, Padina E26 de 148 2013 - Ao et Bicentenario de la Asambleo Gener Constituyente de 1813° ww ANAC 194 QS casa * constituirse en enlace entre la ANAC y otros organismos a efectos de intercambiar expetiencias y obtener asesoramiento para el mejorar practicas y controles de seguridad. (CICTE, Ar-CERT, Direccién Nacional de Proteccién de Datos Personales, etc.) + analizar los perfiles de acceso y riesgos de accesos internos y de terceras partes a la informacién del Organismo para optimizar procesos. + administrar y controlar las redes locales y WAN. + coordinar la mesa de ayuda/soporte que da respuesta y asesoramiento a usuarios. + definir normas internas y procedimientos en seguridad de la informacién. + coordinar los sistemas de gestién de calidad de los servicios prestados por la ANAC mediante aplicaciones de software. * velar por el cumplimiento de la Politica de contrasefias vigente, en cuanto al mantenimiento de la confidencialidad de las mismas, y su modificacién periddica. * velar por la aplicacién de medidas de control del acceso fisico a los locales donde se encuentren ubicados los sistemas de informacién. Asimismo, el Responsable de Tecnologia y Seguridad informatica debe implementar controles para garantizar la seguridad de los datos y la proteccién contra el acceso no autorizado a los servicios conectados. Se debe considerar lo siguiente. + Las funciones de operacién, soporte y administracion de las redes y servidores estaran separadas de las correspondientes a operaciones y soporte de los puestos de trabajo. + Procedimientos y responsabilidades para la administracién del acceso remoto a las redes de la ANAC, asi como el acceso remoto a puestos de trabajo dentro de las mencionadas redes, + Controles especiales para proteger datos y sistemas de la ANAC que circulan o se conectan hacia redes ajenas, ANAC - Police de Seguridad de Ia Informacién V1 - 09/09/2012 Poaina we27 de 248 2013- Ao del Bicentenario de la Asomblea General Constuyente de 1822 S% ANAC hs VN cose ANEXO | + Actividades de supervision tanto para optimizar los servicios de redes como para garantizar que los controles se aplican uniformemente en toda la infraestructura de procesamiento de datos. Dentro de la orbita de funciones asignadas, el Responsable de Tecnologia y seguridad o quien él designe, comunicara sobre la aparicién de fallas como un incidente si afectara la disponibilidad, confidencialidad o integridad de la informacion en custodia, asi como las medidas correctivas a adoptar. Las fallas de los sistemas informaticos reportadas por los usuarios se registraran en el sistema de gestién de incidentes por los oficiales de seguridad y serén seguidos y evaluados por los coordinadores de gestion de seguridad de la informacion 4.10.6. Responsabilidades del Administrador de Backup EI Responsable de las copias de resguardo y backup de la ANAC, tiene a su cargo las. siguientes funciones: + Ejecucion de los procedimientos de realizacién de copias de respaldo y recuperacion de datos, en cumplimiento de la periodicidad establecida para ello. + Mantenimiento de un Registro de entrada y salida de soportes informdticos, y la aplicacién de un Sistema que permita identificar, inventariar y almacenar en lugar seguro los soportes informaticos que contienen datos de caracter personal. Asimismo, debera ‘comprobar que se imposibilita la recuperacién indebida de la informacién almacenada en soportes informaticos que vayan a salir fuera de los locales en que se encuentre ubicado el fichero. + Corroboracién de la aplicacién referido a las medidas de seguridad indicadas en la presente Politica cuando un soporte vaya a ser desechado o reutilizado, 4.11. Separacién de funciones Una concentracién de tareas puede aumentar el riesgo de modificaciones no autorizadas, © mal uso de Ia informacién y los servicios, debido a la concentracién de tareas. Por ello, se debe implementar una separacién de funciones, tareas y areas de responsabilidad. ANAC ~ Politica de Seguridad de le informacion v1 - 09/05/2013 Peaine 28de 148 2013 Aho de Bicentenario del Asomblea General Consttuyente de 1813 SB ANAC 1094 ays aivucee ca ANEXO | En caso que sea dificil tal separacién, se tendran en cuenta controles, como el monitoreo de actividades, pistas de auditoria y la supervision, por parte de los Responsables. En este caso, el Responsable Primario que corresponda enviar una justificacion formal al Comité de Seguridad, el que decidira las acciones a tomar. Se implementaran controles tales como: * Monitoreo de actividades. + Registros de auditoria y control periddico de los mismos. + Supervision por parte de la Unidad de Auditoria Interna. Esta actividad sera independiente al area que genera las actividades auditadas. 4.11.1. Separacion entre Instalaciones de Desarrollo, Prueba y Produccin Se debe definir correctamente la identificacion de roles y actividades involucradas en los ambientes de Desarrollo, Prueba y Produccién pues la ausencia de segregacién entre las mismas puede ocasionar problemas en el ambiente de Produccién, como la modificacién no deseada de archivos, sistemas 0 datos. Atento ello, debe verificarse un nivel de separacion adecuado entre los ambientes y funciones de Produccién, Prueba y Desarrollo, a fin de prevenir problemas operativos (ver cuadro de compatibilidades y segregacion de funciones Punto 4.3.4.) Seguin el entorno, debe atenderse, entre otras, 2 las siguientes vulnerabilidades + En entorno de Prueba, una instalacién identificada y estable permite llevar a cabo pruebas significativas, impidiendo accesos inadecuados por parte del personal de Desarrollo. + En ambiente de Produccién, una alteracién no autorizada de datos posibilitaria la generacién de fraude. La introduccién de lineas de cédigo no autorizado 0 probado faciltaria el funcionamiento de programas maliciosos, causando serios problemas operativos y amenazas a la confidencialidad de la informacién, ademas de consecuencias sociales y legales. ANAC ~ Politica de Seguridad de la informacién V1 ~ 08/08/2013 Pooina N#29.de 148 a’ ANAC GN ose ANEXO | + Para reducir el riesgo de cambios accidentales 0 accesos no autorizados, deben definirse las reglas para la transferencia de software desde el ambiente de Desarrollo al de Pruebas, y posteriormente del ambiente de Pruebas al de Produccién, A fin de efectuar una correcta separacién de las actividades desarrolladas en cada entorno, se estima conveniente establecer lo siguiente: + los ambientes de Desarrollo, Prueba y Produccién estaran separados de forma fisica, y el software de cada ambiente se ejecutara en diferentes procesadores, dominios y/o directorios, y las actividades de cada ambiente deben estar claramente establecidas. Si no es posible una segregacién fisica de ambientes, se implementaran controles para la separacién ldgica de funciones en cada uno de los ambientes + los sistemas en Produccién no deben acceder a compiladores, editores u otros utilitarios de Desarrollo, a menos que se lo requiera para su funcionamiento. + los sistemas de Prueba y Produccién tendran distintos esquemas de autenticacién y perfiles de usuario. + un usuario que deba acceder tanto a los ambientes de Prueba y Produccién, lo hara con cuentas de usuario distintas + cada uno de los ambientes de procesamiento debe tener un Responsable Primario de la informacién. + el personal de desarrollo no podré tener acceso a los ambientes de Prueba o de Produccion. De requerirse tal contingencia, el Responsable de Sistemas establecera un procedimiento para la autorizacién, documentacién y registro de dichos accesos. + Toda aplicacién generada en el sector de Desarrollo, o adquirida a un proveedor, es migrada en algtin momento a un ambiente de Produccién, para su acceso por parte de los usuarios. Los controles de esta transferencia deben ser rigurosos, para asegurar que no se instalen programas fraudulentos y se causen serios problemas operativos. + Es conveniente implementar un aplicativo que administre versiones y transfiera programas entre los ambientes, contando con un registro de control. ANAC ~ Polltica de Seguridad de la Informacién V1 - 09/09/2013 Paine N830de 148 £2013 Ao del Bicentenario dela Asomblea General Consttuyente de 1813 Se ANAC 194 ; Qe Sa A 4.11.2. Esquema tedrico de seqregacién de los entornos de Prueba, Produccién y Desarrollo En el presente acapite se presenta un modelo compuesto por tres ambientes. Este esquema se flexibilizara para adaptarlo a las caracteristicas, equipos y capacidades instaladas en la ANAC 4.11.21, Ambiente de Desarrollo En este ambiente se desarrollan los programas fuentes y se almacena la informacién relacionada con el andlisis y disefio de los sistemas EI desarrollador tiene total dominio sobre el ambiente. Un sistema registra el control de versiones. Se designa a un Administrador de programas fuentes, quien gestionara el versionado de los aplicativos en Desarrollo. El desarrollador realiza las pruebas con los datos existentes en las bases de Desarrollo. Cuando el desarrollador considera que el programa esta terminado, se implementa el pase al ambiente de Pruebas. En tal operacién se debe incluir toda la documentacién necesaria (requerimientos de instalacién, librerias, estructura de carpetas y permisos, diccionario de la base de datos, scripts, etc.) 4.11.22. Ambiente de Pruebas En este ambiente se testean los programas fuente desarrollados, en condiciones que simulan un ambiente de Produccién. Por ende, el ambiente de Pruebas tendra las mismas caracteristicas que el de Produccién (sistema operativo, software de base, etc.) El implementador de este ambiente, 0 testeador, recibe el programa y la documentacién enviada por el desarrollador. Se efectia una prueba general con un lote de datos establecido a tal efecto —valores extremos, datos de la base de pruebas, etc— La actividad sera efectuada, de ser posible, junto al usuario final Los desarrolladores, o los proveedores de los aplicativos, no deben acceder a datos de Produccién utilizados para testing en el ambiente de Prueba, salvo casos de excepcién debidamente justificados. ANAC ~ Police de Seguridad de la Informaciin V1 ~ 09/08/2013, Pacing W231 de 148 2013 Afi del Bicentenari de la Asombiea Genero Cnsttuyent de 1812 S% ANAC 7194 HP cose ANEXO I Se aprueba el sistema en el ambiente de Pruebas cuando: + no se detectan errores de ejecucién, + no se afecta el funcionamiento ni la performance del sistema operative y demas componentes del ambiente, + los resultados de las rutinas de seguridad son se corresponden con las especificaciones, + se considera que la documentacién presentada es completa. En caso de aprobacién, se remite el programa fuente al sector de Produccion, por medio de un sistema de control de versionado. Asimismo, se entrega toda la documentacién necesaria (caracteristicas de instalacion, librerias, estructura de carpetas y permisos diccionario de la base de datos, scripts, etc.). En caso de desaprobaci6n, se devuelve el programa al desarrollador, junto con un detalle de las observaciones. 4.11.23, Ambiente de Produccién En este ambiente se ejecutan los procesos y datos productivos. Las implementaciones ern realizadas por un administrador de ambientes, o implementador. Los programas fuente aprobados se almacenan en un repositorio de fuentes de produccién, mediante un sistema de control de versiones. El control de versiones indicara los datos del programador, fecha, hora y tamafio de los programas fuente, objeto, librerias, modelo de datos de las bases, parametros, etc. EI implementador instala el sistema tomandoio desde el ambiente de Pruebas, asegurando una correspondencia univoca entre ambientes. Los procedimientos de instalacion alcanzaran, ademas, a todos los elementos que formen parte del sistema Toda modificacién al software de base (Sistema Operativo, motores de bases de datos, productos middleware, etc.) debe seguir pasos idénticos. ANAC - Politica de Segurided de la Informaciin Vi ~ 09/09/2013, Paoina NE32de 148 2013 Ao del Bicentonario dela Asomblea Genero Consttuyent.de1813 S*’ZANAC 794 PS cose Ni personal de Desarrollo, ni el proveedor de los aplicativos deben tener acceso al ambiente de Produccién, salvo casos de excepcién debidamente justificados. El Responsable Primario de la Informacion debe autorizar todos los accesos a Produccién. EI Responsable de Desarrollo y Sistemas implementara los accesos autorizados sobre la aplicacién. Asimismo, efectuara monitoreo de los trabajos realizados, elevando informes al Responsable Primario y al Comité de Seguridad, toda vez que corresponda o le sea solicitado, 5. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O USUARIOS 5.1. Caracter de usuario Se considera usuario, al sujeto autorizado para acceder a los sistemas informaticos y/o a quien se le ha asignado una cuenta de correo electronico ylo al autorizado a acceder a bases de datos, sistemas, aplicaciones o cualquier recurso informético de titularidad de la ANAC, como asi también a quienes accedan a datos contenidos en soporte manual 0 no automatizados. Quien mantenga una relacién de cardcter laboral bajo cualquier modalidad de contratacién con la ANAC y tenga autorizado el acceso a las bases de datos o los sistemas informaticos, Internet o Intranet y, en general, a cualquier dato alojado en cualquier tipo de soporte, quedard sujeto al control de su actividad por los Responsables de Seguridad Informatica designados por la ANAC y obligado a cumplir las medidas de seguridad aqui dispuestas. La ANAC arbitrara los medios necesarios para garantizar el efectivo conocimiento por los usuarios sobre los derechos y obligaciones que les asisten, y se compromete a informarles sobre cualquier cambio que se haga al mismo en el futuro, cuya aplicacién no_serd retroactiva. Asimismo, cada usuario firmaré un acuerdo de confidencialidad y tratamiento de la informacién, por el cual se compromete a guardar el secreto y la confidencialidad de los datos de caracter personal que trata con motivo de sus funciones y a cumplir con lo ANAC - Politica de Segurded de la Informacién V1 - 09/08/2013 Paving Ne33 de 168 i 2013 Ato del Bicentenario de la Asomblea General Consttuyente de 4823" SV ANAC NS sos es ANEXOI dispuesto en La Politica en materia de seguridad informatica. Un ejemplar del COMPROMISO DE CONFIDENCIALIDAD, POLITICA DE ACCESO A BASES DE DATOS Y SISTEMAS INFORMATICOS obraré como Anexo Reglamentario de la Presente. 5.2. Confidencialidad de la informacion Mientras dure la relacién laboral 0 de prestacién de servicios (cualquiera sea la situacion de revista), asi como una vez se haya extinguido la misma, los usuarios tienen expresamente prohibido comunicar procedimientos, informacién alojada en las bases de datos, trabajos encomendados por su empleador incluidos en las bases de datos y, en general, divulgar cualquier dato que hayan conocido por razén de su trabajo en la ANAC. Todos los documentos, independientemente de! soporte en el que se encuentren, relacionados con las actividades de la ANAC, son propiedad de la misma; estando obligado todo trabajador 0 autorizado a tratar los datos, a devolverlos cuando asi le sea solicitado por la ANAC 0 con motivo de la extincién del vinculo laboral. Todo usuario autorizado al acceso o tratamiento de datos de cardcter personal de titularidad de la ANAC, queda obligado legalmente al secreto profesional respecto de los, mismos como asi también de los procesos a los que estos datos son sometidos, conservados y tratados, incluso una vez extinguida la relacién laboral o de colaboraci6n que le une con la ANAC. Lo expuesto anteriormente supone que queda absolutamente prohibido: + La utilizacién, divulgacién 0 cesién de los datos de ciudadanos para finalidades diferentes o que excedan de la orbita de las funciones laborales del usuario + Revelar, permitir 0 facilitar el acceso a la informacién contenida en las bases de datos de la ANAC (automatizadas y en papel), por ningiin tipo de medio (telefénico, escrito, telematico, etc.) a terceras personas ajenas a la misma sin autorizacién del titular de dichos datos, asi como a otros trabajadores del érgano que, por sus funciones, no tengan autorizado el acceso a los mismos. + Recopilar cualquier tipo de informacién acerca de personas fisicas y juridicas que formen parte de las bases de datos de la ANAC. ANAC Politica de Segurided de le Informaciin V1 ~ 09/09/2013, Pagina NP2S de 142