Administración Federal de Ingresos Públicos

2021 - AÑO DE HOMENAJE AL PREMIO NOBEL DE MEDICINA DR. CÉSAR MILSTEIN

ANEXO

Número: IF-2021-01475568-AFIP-SGDADVCOAD#SDGCTI

CIUDAD DE BUENOS AIRES

Viernes 26 de Noviembre de 2021

Referencia: Política de Seguridad de la Información de la Administración Federal de Ingresos Públicos.

Disposición N° 29/19 (AFIP). Su sustitución. ANEXO

ANEXO (artículo 1°)

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

A - ESTRUCTURA

La Política de Seguridad de la Información de la AFIP consta de:

1. Una Política General, que comprende las siguientes cuestiones:

1.1. Declaración institucional.

1.2. Objetivos.

1.3. Alcance.

1.4. Marco regulatorio.

1.5. Lineamientos generales para la seguridad de la información y la organización.

2. Las Políticas Específicas para cada materia, que serán dictadas por la Dirección de Seguridad de la
Información conforme lo dispuesto por el artículo 3° de la presente norma.

B - CONTENIDO DE LA POLÍTICA GENERAL

I. DECLARACIÓN INSTITUCIONAL

La presente política describe los objetivos, alcance y principios básicos y obligatorios tendientes a preservar
la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información de la AFIP.

El compromiso y apoyo de los niveles jerárquicos resultan fundamentales para concientizar y formar al
personal, evaluar los riesgos, obtener un compromiso de mejora continua, actualizar controles, establecer
políticas y normas, entre otras cosas.

Es responsabilidad de las jefaturas de todas las unidades de estructura, informar a todo el personal a su
cargo, cualquiera fuere su situación de revista, acerca del contenido de estas políticas, normas y
procedimientos relacionados, instruyendo la obligatoriedad de su cumplimiento, reconocimiento y
aceptación formal.

Los recursos de información son activos propios de este Organismo, que sólo pueden ser empleados para
propósitos oficiales, aprobados por sus autoridades, y de ningún modo para beneficio personal.

II. OBJETIVOS

1. Proteger la información de la AFIP es responsabilidad de todos sus miembros, quienes comparten el

interés de prevenir que la información sea mal utilizada, perdida o deteriorada, ya sea en forma intencional
o accidental.

2. Utilizar los medios puestos a disposición para prevenir el indebido acceso o la divulgación de los
recursos de información del Organismo.

3. Resguardar los activos de información de la AFIP. El intento de acceso o el uso de la información más
allá del nivel autorizado, está prohibido.

III. ALCANCE

Se aplica a todos los agentes de la AFIP, cualquiera sea su situación de revista, y al personal externo que
efectúe tareas e interactúe con los recursos informáticos del Organismo que se encuentren alcanzados por
estas políticas, es decir, todos son responsables de contribuir al logro y mantenimiento de estos objetivos en
su desempeño cotidiano. Se incluyen en la presente los contratos o acuerdos de tercerización de servicios.

Asimismo, las instrucciones, normas y procedimientos de seguridad de la información deben basarse en los
principios desarrollados en esta norma.

IV. MARCO REGULATORIO

Decisión Administrativa N° 641 del 25 de junio de 2021.

V. LINEAMIENTOS GENERALES

1 Seguridad de la información.

1.1. Objetivos.

1.1.1 Proteger la información del Organismo y los recursos utilizados para su procesamiento, frente a
amenazas, internas o externas, deliberadas o accidentales, con el fin de preservar la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.

1.1.2. Asegurar la implementación de las medidas de seguridad comprendidas en esta política, identificando
los recursos y las partidas presupuestarias correspondientes, sin que ello implique necesariamente la
asignación de partidas adicionales.

1.1.3. Mantener la Política de Seguridad de la Información del Organismo actualizada, a efectos de

asegurar su vigencia y nivel de eficacia.

1.2. Alcance.

Esta política se aplica en todo el ámbito del Organismo, a los activos de información y a la totalidad de los
procesos, ya sean internos o externos vinculados a la AFIP a través de contratos o acuerdos con terceros.

1.3. Responsabilidad.
1.3.1. Todos los agentes de la AFIP, cualquiera sea su situación de revista, y el personal externo que efectúe
tareas e interactúe con los recursos informáticos o con información del Organismo, deberán cumplir con la
Política de Seguridad de la Información dentro de sus áreas de competencia.

1.3.2. Los responsables de garantizar la seguridad de los recursos informáticos de la AFIP son todos
aquellos agentes a los cuales se les asignen dichos roles, de acuerdo con lo definido en:

1.3.2.1. Las misiones y funciones de la AFIP.

1.3.2.2. La Política de Seguridad de la Información.

1.3.2.3. Las instrucciones, normas y procedimientos particulares en materia de seguridad de la información,

incluyendo las responsabilidades específicas por la utilización de Firma Digital.

1.3.2.4. Toda disposición complementaria con relación a la materia emanada de las áreas competentes.

1.4. Política.

La responsabilidad sobre los recursos informáticos de la AFIP recaerá sobre todos los roles, destacándose
las siguientes:

1.4.1. Comité de Seguridad de la Información -Disposiciones N° 42 (AFIP) del 14 de febrero de 2011 y N°

111 (AFIP) del 2 de mayo de 2018 y su modificatoria-: cuerpo integrado por las principales autoridades del
Organismo, destinado a garantizar el apoyo a las iniciativas en materia de seguridad de la información, que
tiene a su cargo -principalmente- las siguientes funciones y responsabilidades:

1.4.1.1. Proponer a la Administración Federal las modificaciones que considere conveniente aplicar a la
Política de Seguridad de la Información vigente en el Organismo y monitorear su cumplimiento.

1.4.1.2. Impulsar el dictado de las normas que estime pertinentes para incrementar, adaptar o mejorar el
nivel de seguridad de la información del Organismo.

1.4.1.3. Definir las acciones necesarias en materia de seguridad de la información en aquellos casos cuyas
características excepcionales ameriten su intervención.

1.4.1.4. Asesorar a la Administración Federal sobre cualquier situación que directa o indirectamente afecte
sustancialmente el cumplimiento de las políticas de seguridad de la información.

1.4.1.5. Promover la planificación estratégica para garantizar la continuidad de la operatoria de los sistemas
de información del Organismo ante interrupciones críticas, contemplando los aspectos preventivos y de
recuperación, mediante el monitoreo de cambios en los riesgos y de los incidentes más significativos que
afectan a los recursos de información frente a las amenazas más importantes.

1.4.1.6. Procurar la difusión y el apoyo a la seguridad de la información dentro del Organismo.

1.4.2. Responsables de Sistemas de Gestión de Identidades y Accesos: entienden en la definición de los

sistemas y herramientas utilizados para la gestión de identidades y accesos, tanto de usuarios nominales
como de aplicaciones.

1.4.3. Custodios de Hardware: son las áreas que poseen patrimonialmente equipamiento informático.

1.4.4. Responsables de la Administración de Hardware y Software de Base: son los responsables de la

instalación, configuración y mantenimiento del hardware y software de base.

1.4.5. Desarrolladores de Sistemas: entienden en el desarrollo, análisis técnico, diseño, parametrización,

programación y pruebas técnicas de los productos digitales de la AFIP.

1.4.6. Analistas de Sistemas: entienden en el relevamiento, análisis de los requerimientos y pruebas

funcionales de los productos digitales de la AFIP.

1.4.7. Operadores de Mesa de Ayuda: son los responsables de recibir y solucionar en forma primaria los
eventuales inconvenientes relacionados con los recursos informáticos de la AFIP, tanto para usuarios
internos o externos a ella.

Pueden reportar incidentes a las áreas encargadas de los testeos funcionales de sistemas en el ámbito de la
Subdirección General de Sistemas y Telecomunicaciones, a la Dirección de Operaciones, o bien, a aquellas
áreas de la AFIP que homologuen sistemas, según corresponda.

1.4.8. Operadores de Sistemas: son los encargados de la operación de los equipos de procesamiento
instalados en los centros de cómputos.

1.4.9. Propietarios de la Información: son los responsables de la definición de políticas y procedimientos

funcionales y operativos para la administración de la información en el ámbito de su competencia.

1.4.10. Propietarios de Sistemas: entienden en la definición de las necesidades a ser cubiertas con el
desarrollo o implementación de los productos digitales en la AFIP. Asimismo, definen los roles que
acceden a la información de los sistemas, establecen los lotes de datos de prueba que servirán durante el
ciclo de desarrollo, prueba y homologación de los sistemas que soliciten y autorizar la implementación de
los cambios.

1.4.11. Responsables de Control de Calidad de los Sistemas: entienden en las actividades de control de
calidad, seguridad e implementación de todos los sistemas desarrollados y/o homologados que deban ser
implementados o ejecutados en el ambiente productivo. Asimismo, realizan el resguardo y documentación
de las diferentes versiones de todos los sistemas puestos en producción.

1.4.12. Responsables de Comunicaciones: proveen y controlan la totalidad de los servicios de transporte de

voz, datos e imágenes necesarios para el normal funcionamiento del Organismo, utilizando las tecnologías
de comunicación apropiadas para el cumplimiento de los niveles de servicios requeridos por las áreas
usuarias de esta Administración Federal.

1.4.13. Responsables de Monitoreo y Evaluación de la Seguridad de la Información: analizan la

información para identificar, rastrear, predecir y contrarrestar las capacidades, intenciones y actividades de
los atacantes, ofreciendo cursos de acción en base al contexto del Organismo que mejoren la toma de
decisiones.

Proveen la prevención continua, detección de ataques, explotación de vulnerabilidades y demás incidentes,

contra la red, equipos, sistemas y bases de datos del Organismo.

1.4.14. Responsables de la Protección de la Infraestructura de Tecnologías de la Información: entienden en

la definición, supervisión y coordinación de controles de seguridad sobre la infraestructura tecnológica,
aplicaciones y bases de datos del Organismo.

1.4.15. Responsables de Sistemas y Telecomunicaciones: asisten a la máxima autoridad de la

Administración Federal en todo lo relativo al diseño, desarrollo, operación, administración, comunicación y
coordinación de los sistemas informáticos, así como la adquisición de los bienes o servicios informáticos y
de telecomunicaciones requeridos para la operación de los sistemas de la AFIP, en concordancia con las
políticas, planes, programas y criterios dictados por el Organismo.

1.4.16. Responsables del Gobierno de Datos: entienden en la implementación del marco normativo que
regula la seguridad de la información del Organismo, monitoreando su proceso de mejora continua e
impulsando acciones tendientes a conocer y mejorar el cumplimiento de las políticas, estándares,
procedimientos y demás regulaciones de seguridad de información que correspondan.

1.4.17. Responsables de la Arquitectura de los Sistemas: entienden en la definición de la arquitectura de

sistemas y el marco tecnológico de desarrollo de aplicaciones, la plataforma de desarrollo del software de
base, las arquitecturas de integración con sistemas externos al Organismo y los repositorios de datos de uso
transaccional.

1.4.18. Responsables de Metodologías, Estándares y Procedimientos de los Sistemas: entienden en la

definición de la metodología, estándares y procedimientos de desarrollo de productos de software.

1.4.19. Responsables de Soluciones Tecnológicas: entienden en la definición de las especificaciones

técnicas, análisis y selección de soluciones tecnológicas a implementar en el Organismo.

1.4.20. Responsables de Presupuesto y Finanzas: asignan el presupuesto del Organismo, las partidas de
recursos financieros que se aprueben, para atender las demandas en materia de seguridad de la información,
que permitan dar cumplimiento a la presente política y sus normativas, instrucciones o procedimientos
complementarios, atendiendo con la rapidez y diligencia que requieren las implementaciones en la materia.

1.4.21. Responsables de Operaciones Informáticas: encargados de efectuar el correcto procesamiento

informático -en tiempo y forma- de los datos del Organismo, controlar el correcto destino de sus salidas y
su protección física y lógica, en el marco de los niveles de calidad y eficiencia requeridos por el usuario y
conforme a las mejores prácticas y reglas del área de tecnologías informáticas.

Efectúan las actividades de soporte técnico necesarias para asegurar la correcta instalación y el óptimo y
continuo funcionamiento del hardware, el software de base y las bases de datos de la AFIP, garantizando
mantener los sistemas actualizados y al día en materia de seguridad.

1.4.22. Responsables de Recursos Humanos: encargados de notificar al personal que ingresa al Organismo,
de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todas las
normas, procedimientos y prácticas asociadas a la temática.

Asimismo, notifican los cambios que se produzcan en la actual política, como también los procedimientos,
normativas e instrucciones asociadas, la implementación de la suscripción al compromiso de
responsabilidad para el uso de sistemas informáticos en el ámbito de la AFIP y las tareas de capacitación
continua en materia de seguridad.

1.4.23. Responsables Jurídicos Legales: verifican el cumplimiento de la presente política en la gestión de

todos los contratos, acuerdos u otra documentación del Organismo con sus empleados y con terceros.

1.4.24. Responsables de Gestión de Riesgos de la Seguridad de la Información: entienden en la

identificación, análisis y evaluación de riesgos relacionados a la seguridad de la información y la
infraestructura del Organismo, ofreciendo cursos de acción y coordinando su ejecución con las áreas
intervinientes.

1.4.25. Responsables de la Seguridad de la Información: asisten a la máxima autoridad de la

Administración Federal en la supervisión y coordinación de la definición y ejecución de los programas,
políticas y controles de seguridad de la información, planificando y administrando los recursos necesarios
para minimizar los riesgos sobre la confidencialidad, integridad y disponibilidad de los activos de
información, de acuerdo a los objetivos del Organismo.

1.4.26. Responsables de Continuidad de los Servicios de Tecnologías de la Información: asisten en la

definición del plan de continuidad de servicios de tecnología en materia de seguridad de la información.

1.4.27. Responsables de la Seguridad Física: entienden en la implementación de controles de seguridad que

permiten el resguardo físico de las personas y de los activos de información del Organismo.

1.4.28. Unidad de Auditoría Interna: entiende en la ejecución del Plan Anual de Auditoría, mediante la
evaluación del sistema de control interno y de gestión, respecto de los procesos de soporte en materia de
tecnología de la información, promoviendo la observancia de las normas sobre ética y ejercicio de la
función pública.

2. Organización.

2.1. Objetivos.

2.1.1. Administrar la seguridad de la información dentro del Organismo y establecer un marco gerencial
para gestionar y controlar su implementación, así como para la distribución de funciones y
responsabilidades.

2.1.2. Garantizar la aplicación de medidas de seguridad adecuadas para los accesos de usuarios a la
información del Organismo.

2.1.3. Fomentar la consulta y cooperación con organizaciones especializadas para la obtención de asesoría
en materia de seguridad de la información.

2.2. Alcance.

Se aplica a todos los recursos del Organismo y a todas sus relaciones con terceros que impliquen el acceso
a sus activos de información y/o a la administración y control de sus sistemas de información.

2.3. Responsabilidad.

2.3.1. Los Responsables de la Seguridad de la Información asistirán al personal del Organismo en materia
de seguridad de la información.

2.3.2. Los Responsables de Monitoreo y Evaluación de Seguridad de la Información estarán encargados del
análisis de información para identificar, rastrear, predecir y contrarrestar las capacidades, intenciones y
actividades de los atacantes, ofreciendo cursos de acción en base al contexto del Organismo que mejoren la
toma de decisiones.

Asimismo, proveerán la prevención continua, detección y protección contra ataques, explotación de

vulnerabilidades y demás incidentes en tiempo real, contra la red, equipos, sistemas y bases de datos del
Organismo.

2.3.3. Los Responsables de las Unidades Organizativas cumplirán la función de autorizar la incorporación
de nuevos recursos de procesamiento de información a las áreas de su incumbencia.

2.3.4. Los Responsables Jurídicos Legales definirán, implementarán y revisarán regularmente los acuerdos
de confidencialidad y/o de no divulgación para la protección de la información del Organismo.

2.4. Política.

2.4.1. Acuerdos de confidencialidad. En la confección de los acuerdos, se debe incluir la responsabilidad

por todas las operaciones que queden registradas bajo el código de usuario asignado y por el uso y
distribución de la información a la que se accede, además de notificarse de las obligaciones y
recomendaciones que estarán especificadas en el mencionado acuerdo.

Dichos acuerdos deben responder a los requerimientos de confidencialidad y no divulgación de la

información obrante en el Organismo, los cuales serán revisados periódicamente. Asimismo, deben cumplir
con toda legislación y normativa vigente, y celebrarse tanto con el personal del Organismo como con
terceros.

2.4.2. Contratos con terceros. Se revisarán los contratos que se efectúen con terceros, teniendo en cuenta la
necesidad de dar cumplimiento a la presente Política de Seguridad de la Información, como también a las
normativas complementarias vigentes.

C - ENUMERACIÓN DE LAS POLÍTICAS ESPECÍFICAS

De los lineamientos generales de la presente, se desprenden las restantes políticas de seguridad de la

información que constituyen, definen y complementan a la política general en materias específicas,
determinándose los objetivos perseguidos, alcance, roles de las áreas responsables y políticas a cumplir, las
que serán desarrolladas mediante la disposición a dictarse por parte de la Dirección de Seguridad de la
Información.

Las políticas específicas son las que se indican a continuación:

1. Política de Evaluación y Tratamiento de Riesgos.

2. Política de Seguridad de los recursos humanos.

3. Política de Gestión de Activos.

4. Política de Gestión de Accesos.

5. Política de Criptografía.

6. Política de Seguridad Física y Ambiental.

7. Política de Seguridad en las Operaciones.

8. Política de Seguridad en las Comunicaciones.

9. Política de Adquisición, Desarrollo y Mantenimiento de Sistemas.

10. Política de Relación con Proveedores.

11. Política de Gestión de Incidentes de Seguridad y Vulnerabilidades.

12. Política de Gestión de la Continuidad.

13. Política de Cumplimiento.

Digitally signed by GDE AFIP

DN: cn=GDE AFIP, c=AR, o=ADMINISTRACION FEDERAL DE INGRESOS PUBLICOS, ou=SUBDIRECCION
GENERAL DE COORDINACION TECNICO INSTITUCIONAL, serialNumber=CUIT 33693450239
Date: 2021.11.26 09:19:07 -03'00'

GOICOCHEA, JULIAN
Empleado Administrativo
Sección Gestión de Documentación de Autoridades Superiores (DI GEDO)
Administración Federal de Ingresos Públicos

Digitally signed by GDE AFIP

DN: cn=GDE AFIP, c=AR, o=ADMINISTRACION FEDERAL
DE INGRESOS PUBLICOS, ou=SUBDIRECCION
GENERAL DE COORDINACION TECNICO
INSTITUCIONAL, serialNumber=CUIT 33693450239
Date: 2021.11.26 09:19:09 -03'00'