LEGISLACION Volver >
Decreto 08/2021 - Administración Pública. Plan Integral de Ciberseguridad. Implementación. Objetivos. Procedimientos. Autoridad de aplicación. Alcances. Sector Público provincial. Activos de la información provincial. Protección. Resguardo de la documentación generada, transmitida y almacenada. Adhesión. Invitación a los Poderes Legislativo, Judicial y Municipios. Poder Ejecutivo.
Citar: elDial.com - CC6C87
Copyright 2024 - elDial.com - editorial albrematica - Tucumán 1440 (1050) - Ciudad Autónoma de Buenos Aires - Argentina
Texto Completo
Decreto
8/2021
(BO del
28/01/2021).
VISTO el
expediente EX-2020-25889325-GDEBA-DSTAMJGM, mediante el cual se
propicia la
creación e implementación del “Plan Integral de Ciberseguridad” en el
ámbito de
la provincia de Buenos Aires, y
CONSIDERANDO:
Que
Que el artículo 20 de la mencionada Ley
determina las competencias del Ministerio de Jefatura de Gabinete de
Ministros,
entre las que se encuentran las de asistir al Gobernador en la
coordinación con
los diferentes ministerios y demás organismos; entender en la
coordinación
general, planificación y seguimiento de la gestión de gobierno;
coordinar la
planificación estratégica del Plan General de Acción de Gobierno y los
planes
operativos y las políticas para transparentar y asegurar la eficiencia
de
Que, en ese marco, el Decreto N° 31/2020 aprobó
la estructura orgánico-funcional del Ministerio de Jefatura de Gabinete
de
Ministros, estableciendo entre las acciones de
Que el ciberespacio plantea renovadas
oportunidades a la sociedad e importantes desafíos en cuanto a su
protección y
seguridad, lo que implica, asimismo, un incremento en las
ciberamenazas,
evidenciando el peligro al que se exponen las infraestructuras
tecnológicas y
los activos de información de un Estado,
motivo por el cual
la ciberseguridad ha dejado de ser un tema circunscripto al ámbito
técnico,
pasando a ser parte de la política pública de
Que por ello deviene necesaria la aprobación
del “Plan Integral de
Ciberseguridad”, a
fin de implementar políticas de gestión y medidas de control tendientes
a la
minimización de riesgos de seguridad de la información, desarrollando
acciones
de identificación, protección, detección, respuesta y recuperación
frente a las
ciberamenazas;
Que ha tomado intervención Asesoría
General de Gobierno;
Que la presente medida se dicta en uso de las
atribuciones conferidas por los artículos 8 y 11 de
Por ello,
EL GOBERNADOR DE
DECRETA
ARTÍCULO 1°. Aprobar
el “Plan Integral de Ciberseguridad de la provincia de Buenos Aires”,
el que
tendrá como objetivo la protección de los activos de la información
provincial
y el resguardo de la documentación generada, transmitida y almacenada
por
ARTÍCULO 2°. El
Plan aprobado por el artículo precedente es parte de un sistema que
alcanzará a
todo el Sector Público Provincial, y estará conformado por una Unidad
Ejecutora, integrada con carácter ad
honorem por uno o más representantes
de
ARTÍCULO 3°. Constituir,
en el ámbito de
ARTÍCULO 4°. Crear
un Comité de Ciberseguridad que actuará en la órbita de cada
Jurisdicción,
presidido y coordinado por el Consejo Consultivo, encargado de mantener
e
informar acerca de los indicadores definidos, situaciones emergentes e
informes
periódicos, como así también de
los resultados de
eventuales medidas o acciones recomendadas en el marco del
Plan aprobado
por el artículo 1°.
ARTÍCULO 5°. Designar
autoridad rectora del presente
decreto al
Ministerio de Jefatura de Gabinete de Ministros, a través de
ARTÍCULO 6°. Invitar
a los Poderes Legislativo y Judicial y a los Municipios de la provincia
de
Buenos Aires a adherir al “Plan Integral de Ciberseguridad de
ARTÍCULO 7º. Autorizar
a
ARTÍCULO 8°. El
presente decreto será refrendado por el Ministro Secretario en el
Departamento
de Jefatura de Gabinete de Ministros.
ARTÍCULO 9°. Registrar,
comunicar, publicar, dar al Boletín Oficial y al SINDMA.
Cumplido,
archivar.
Carlos Alberto
Bianco Axel
Kicillof
Ministro de
Jefatura Gobernador
de Gabinete de Ministros
ANEXO I
PLAN INTEGRAL DE CIBERSEGURIDAD
I.Glosario
Activo de Información: todo aquello que genere,
procese, almacene y transmita información, que tenga valor para una
organización, y por lo tanto deba protegerse, incluido, pero no
limitado a:
hardware, software, información almacenada en cualquier tipo de medio,
personas, reputación e imagen, entre otros.
Ciberamenazas: causa potencial de un incidente,
que puede afectar a
Ciberdelincuencia: cualquier tipo de actividad
en la que se utilice el ciberespacio y cuya consecuencia final recaiga
en un
hecho considerado como ilícito.
Ciberdelitos: conductas ilegales realizadas en
el ciberespacio a través de dispositivos electrónicos y redes
informáticasc,
omo medio o fin.
Ciberespacio: un dominio global dentro del
entorno de la información, compuesto por una infraestructura de redes
interdependientes, que incluye Internet, redes de telecomunicaciones
y
sistemas de información.
Ciberincidente: evento cibernético que pone en
peligro
Ciberresiliencia: capacidad de una organización
de continuar llevando a cabo su misión anticipando y
adaptándose a
ciberamenazas y otros cambios relevantes en el entorno, y resistiendo,
conteniendo y recuperándose rápidamente de ciberincidentes.
Ciberseguridad: es un conjunto de herramientas,
políticas, directrices, enfoque de gestión de riesgos, procesos,
acciones,
formaciones, prácticas idóneas, aseguramiento y tecnologías que pueden
utilizarse para proteger la disponibilidad, integridad y
confidencialidad de
los activos de información.
Evento cibernético: ocurrencia observable en un
sistema de información.
Infraestructura Crítica: aquella que resulta
indispensable para el adecuado funcionamiento de los servicios
esenciales de la
sociedad, la salud, la seguridad, la defensa, el bienestar social, la
economía
y el funcionamiento efectivo del Estado, cuya destrucción o
perturbación, total
o parcial, los afecte y/o impacte significativamente.
Sistema de información: conjunto de
aplicaciones, servicios, activos de tecnología de la información u
otros
componentes de manejo de información.
TIC: tecnologías de información y comunicación.
II. Introducción.
Es indiscutible que Internet ha evolucionado
desde un lugar de intercambio de información a un espacio de
comunicación e interacción
para la economía, el trabajo, la cultura, la educación y el
entretenimiento,
tanto en el ámbito público como en el privado. Con el afán de hacer
accesibles
y asequibles los beneficios derivados del uso de Internet y de las
tecnologías
de
El uso de las TIC trae consigo desafíos
permanentes, no solo en lo que se refiere a sus cambios tecnológicos,
sino
también respecto del aumento del riesgo de delitos informáticos.
La confidencialidad, la integridad, la
disponibilidad y la privacidad de la información se ven amenazadas por
la
rápida evolución de las ciberamenazas: el fraude electrónico, el robo y
la
destrucción de la información y la interrupción de los servicios, entre
otros.
La revolución que ha vivido el denominado
ciberespacio no solo ha traído consigo avances a la humanidad, sino que
también
está causando un aumento en las ciberamenazas. A ello se suma el
peligro al que
están expuestas las infraestructuras tecnológicas y activos de
información de
un Estado, el cual puede verse seriamente colapsado por un
ciberataque.
Por ello es que
Los gobiernos han definido políticas e han
implementado estrategias para el acceso digital a los recursos del
Estado por
parte de otros organismos públicos, privados, funcionarios y ciudadanía
en
general. Se debe destacar también que las políticas anteriormente
mencionadas
deben ser objeto de evaluación y actualización constantes, a fin de
garantizar
un ciberespacio libre, abierto, seguro y resiliente.
En este escenario, resulta imprescindible
contar con políticas de gestión y controles para la minimización de
riesgos de
seguridad de la información, que se enfoquen especialmente en la
protección de
los activos de información, considerando la seguridad desde el diseño,
con
reglas especiales para la adquisición y operación de soluciones
tecnológicas.
Las características de los delitos
informáticos, tales como el costo reducido de los ataques y su
facilidad de
ejecución, pueden causar graves dificultades en la seguridad de la
información
de
El avance de la tecnología debe estar soportado
por un plan de Ciberseguridad, a los
efectos de generar las capacidades y
habilidades necesarias, buscando garantizar una buena gestión en la
materia.
Una estrategia de Ciberseguridad es una
expresión de la visión, los objetivos de alto nivel, los principios y
las
prioridades que orientan a abordar
Su finalidad es brindar un contexto seguro para
el aprovechamiento por parte de las organizaciones públicas y privadas,
desarrollando acciones de identificación, protección, detección,
respuesta y
recuperación frente a las ciberamenazas.
El Estado debe implementar un conjunto de
políticas de seguridad de la información, las cuales son declaraciones
de alto
nivel donde se plasman la intención, las expectativas y la dirección de
un buen
Gobierno de Seguridad de
Proteger los activos provinciales de la
información es proteger los datos personales de la ciudadanía,
resguardar
apropiadamente la documentación generada, transmitida y almacenada por
Hay datos relacionados con el Estado cuya
naturaleza determinan su característica estratégica para el desarrollo
económico y productivo. Pero aquellos relacionados con infraestructuras
críticas (IC) merecen un tratamiento adecuado: su administración
inadecuada no
solo pone en peligro a la industria sino también a toda actividad de la
ciudadanía, tal como el sistema de salud, el educativo, la provisión de
agua,
de electricidad, de gas, transporte, seguridad, TIC, financiero,
administración
pública y servicios imprescindibles de consumo, entre otros.
Establecer este Plan define una taxonomía común
y los mecanismos para:
1. Describir la situación actual de
Ciberseguridad.
2. Describir los objetivos estratégicos en
materia de Ciberseguridad.
3. Establecer e implementar controles de
ciberseguidad alineados a objetivos de este Plan.
4. Identificar y priorizar oportunidades de
mejora mediante un proceso continuo y repetible.
5. Monitorear el estado hacia la meta.
6. Comunicar acerca de los riesgos de
Ciberseguridad a las partes involucradas.
III. Gobernanza y Gestión de
Riesgos
Se define como Gobernanza al “…arte o manera de
gobernar que se propone como objetivo el logro de un desarrollo
económico,
social e institucional duradero, promoviendo un sano equilibrio entre
el
Estado, la sociedad civil y el mercado de la economía…”.
Gobernanza de la seguridad de la información es
la forma mediante la cual quienes gobiernan la organización proveen la
dirección general y el control de actividades que afectan la seguridad
de la
información de la organización. Proporciona dirección estratégica,
garantiza
que se alcancen los objetivos, maneja riesgos y usa responsabilidad de
recursos
de la organización, y supervisa el éxito o fracaso del programa de
seguridad de
la organización. Es un subconjunto de la gobernanza institucional.
Un Plan de estas características debe enfocarse
a garantizar razonablemente el funcionamiento institucional desde la
gestión de
los riesgos, administrando adecuadamente los recursos del Estado
Provincial.
Dentro de una organización hay distintas áreas
de gobernanza que deben trabajar en forma integrada. Los objetivos de
la
gobernanza de la seguridad de la información no pueden definirse sin
tener en cuenta
los objetivos de las otras gobernanzas.
La gestión de riesgos de seguridad de la
información es el proceso continuo de identificación,
evaluación y
tratamiento del riesgo. Las
organizaciones deben
conocer la probabilidad de que ocurra un evento y los posibles
impactos
resultantes. En base a ello, se puede determinar el
nivel aceptable
de riesgo de acuerdo a sus objetivos, su tolerancia, y priorizar las
actividades de Ciberseguridad.
La gestión de riesgos de seguridad de la
información involucra la identificación de los activos de información,
determinar su valor y su criticidad, y proponer medidas de protección
que sean
justificables económicamente.
IV. Objetivos
1.- Promover acciones que garanticen la
confidencialidad, integridad, disponibilidad y privacidad de los
activos de
información.
2.- Mejorar y generar nuevas instancias de
comunicación, coordinación y cooperación entre los organismos que
integran
3.- Desarrollar procesos de análisis y de
gestión que permitan identificar las vulnerabilidades,
amenazas y riesgos
en el uso, procesamiento, almacenamiento y transmisión de la
información, junto
a la generación de las capacidades para la prevención y la recuperación
ante
incidentes cibernéticos.
4.- Identificar y priorizar las inversiones y
recursos en materia de Ciberseguridad, con el objetivo de disponer de
un
proceso efectivo, eficiente y armónico, que permita identificar,
proteger,
detectar, responder y recuperar ante incidentes cibernéticos.
5.- Promover soluciones de Ciberseguridad que
permitan maximizar la robustez, resiliencia y continuidad de las
operaciones
frente a incidentes cibernéticos.
6.- Generar acciones de cultura y compromiso
con
V. Ámbito de Aplicación
El ámbito de aplicación del presente Plan
comprende a todas las reparticiones del Gobierno de
VI. Alcance:
Los dominios sobre los que tiene alcance el
plan son:
1.- Cultura, concientización, capacitación y
formación
La necesidad de educar y concientizar en la
materia lleva al reforzamiento de este pilar estratégico, cuyos
objetivos son
el desarrollo de una cultura de Ciberseguridad, el desarrollo de
procesos de
sensibilización e información a los ciudadanos y la formación de
recursos
humanos en materia de Ciberseguridad.
Para que la implementación del “Plan Integral
de Ciberseguridad” sea sostenible a largo plazo es de gran importancia
que se
sensibilice y capacite a los ciudadanos sobre la importancia del uso
seguro y
responsable de las TIC. Por medio de la concientización ciudadana, se
puede
afectar positivamente el comportamiento, desarrollando una comprensión
amplia
sobre la ciberseguridad en toda la sociedad. El cambio se logra a
través de la
incorporación progresiva de buenas prácticas de Ciberseguridad, hasta
que la
misma se vuelva un hábito diario de los individuos, de las empresas y
del
gobierno.
Se deben
promover campañas de sensibilización pública que aumenten el
conocimiento sobre
buenas prácticas de ciberseguridad y comportamiento seguro en el
ciberespacio.
Además, es importante elaborar proyectos de sensibilización enfocados
en grupos
específicos, a fin de que los mensajes sean más efectivos.
La falta de
profesionales capacitados en Ciberseguridad es una preocupación a nivel
mundial. Es un perfil que requiere de una capacitación constante y
experiencia
en el campo, es por ello que se debe garantizar la disponibilidad de
personal
entrenado en Ciberseguridad, en todos los sectores,
Organismos y Áreas de
Gobierno y en particular en aquellos especializados en el tratamiento y
gestión
de incidentes cibernéticos.
2.- Definición, identificación y protección de
los activos de información
Todos los
activos de información tienen que identificarse claramente y ser
localizables.
Debe definirse quién tiene su propiedad. Se debe identificar,
documentar
e implementar reglas para su uso aceptable y un adecuado nivel de
protección.
Estos
activos tienen que clasificarse en función a su valor, requerimientos
legales,
sensibilidad y criticidad para la organización. Además, se deben
determinar las
medidas de protección adecuadas.
3.- Capacidad de prevención, detección y
respuesta ante incidentes
Para el logro de lo planteado se debe cumplir
con:
Diseñar e implementar medidas técnicas
tendientes a prevenir, gestionar y superar los riesgos cuando estos se
detectan, a fin de proteger los activos de información.
Implementar mecanismos estandarizados de
reporte, gestión y recuperación de incidentes cibernéticos.
Fortalecer al Equipo de Respuesta frente a
Incidencias de Seguridad Informática de
Fomentar la creación de equipos de respuesta a
incidentes cibernéticos en los organismos dependientes del Gobierno de
Mejorar las capacidades operativas y
herramientas de los equipos de respuesta a incidentes,
incorporando
capacidades de detección, herramientas y procesos de intercambio de
información, inteligencia de amenazas, entre otras.
4.- Definición, detección y protección de
Infraestructuras Críticas
En el contexto de las Infraestructuras Críticas
se hace necesario analizar, definir, implementar y revisar las cinco
funciones
continuas y concurrentes: identificación, protección,
detección,
respuesta y recuperación.
Se debe determinar qué se considera crítico y
qué variables intervienen para determinar el impacto. Es una tarea
inicial que
requiere una identificación previa de los activos de información.
5.- Investigación de ciberdelitos y cibercrimen
El desarrollo de las TIC y el avance en su uso
por parte de toda la sociedad han tenido un reflejo en la delincuencia
y
criminalidad, aprovechando estas últimas las tecnologías, ya sea como
objeto
y/o medio para cometer delitos tradicionales. Estos cambios en la
delincuencia
han convertido a la ciberdelincuencia en un reto significativo y
merecedor de
una respuesta adecuada por parte del Estado.
Por lo dicho anteriormente resulta fundamental
destacar la necesidad de la definición y difusión de protocolos y
cooperación
con los organismos especialistas en la materia en los casos de
detección de un
posible ciberdelito.
6.- Establecimiento de alianzas de cooperación
y colaboración
Se deberá potenciar la relación con otras
organizaciones relacionadas con
7.- Cumplimiento de requerimientos externos e
internos
Se debe fomentar la generación de un conjunto
de normas y políticas de Ciberseguridad para entidades provinciales y
operadores de infraestructuras esenciales. Dichas políticas deberán
abarcar los
requisitos de gobernanza, operacionales y técnicos, definirán las
funciones y
responsabilidades de las partes interesadas y establecerán mecanismos
específicos a los efectos de promover la confianza y la seguridad en el
ciberespacio.
Estas políticas deberán tener lineamientos
relacionados con la ciberseguridad en las etapas de adquisición o
desarrollo de
software, definir programas de intercambio de información, coordinar la
divulgación de vulnerabilidades, especificar criterios de seguridad,
exigir la
respuesta y notificación
de incidentes de Ciberseguridad.
ANEXO II
UNIDAD ESTRATÉGICA: ACCIONES
1. Aprobar
2. Aprobar la definición para la protección de
las infraestructuras críticas y sistemas de información.
3. Impulsar el dictado de un marco
normativo complementario al presente en materia de Ciberseguridad.
4. Fijar los lineamientos y criterios para la
definición, identificación y protección de las infraestructuras
críticas
provinciales.
5. Participar en el desarrollo de acciones
inherentes a
6. Definir los lineamientos para la gestión del
riesgo.
7. Impulsar las iniciativas que se propongan en
el marco del Plan Integral de Ciberseguridad.
8. Recibir y evaluar los reportes acerca de la
efectividad y operación del Plan en el marco de las prioridades del
Gobierno.
9. Comunicar los motivos y acciones en el marco
de este Plan a la ciudadanía.
10. Comunicar a los involucrados externos a los
organismos de gobierno, como las organizaciones civiles sin fines de
lucro que
con ellos interactúen, los motivos y
acciones en el marco de
este Plan.
11. Impulsar y promover la cultura en materia
de Ciberseguridad
12. Asignar roles y responsabilidades a fin de
cumplimentar los objetivos propuestos a través del presente en materia
de
Ciberseguridad.
UNIDAD EJECUTORA ACCIONES:
1. Aprobar
las
principales
iniciativas y
recomendaciones
para
incrementar
2. Acordar y aprobar metodologías y
procesos específicos relativos a
3. Proveer nuevos proyectos de
Ciberseguridad para su aprobación.
4. Asegurar la efectividad de las actividades
de gestión de
5. Tomar conocimiento sobre cambios en el
contexto legal o regulatorio y su impacto en el
Plan.
6. Seleccionar métricas adecuadas y reportes
que permitan facilitar información oportuna desde la perspectiva del
Plan.
7. Proveer información a la unidad Estratégica
acerca de los resultados de las actuaciones.
8. Acordar con los organismos el mantenimiento
de indicadores establecidos para monitorear, auditar e identificar
oportunidades de mejora, a fin de determinar la incidencia en los
objetivos de
gobierno de la administración adecuada de la seguridad de los sistemas
de
información.
9. Alertar a
10.Comunicar las prioridades del Plan a
11. Verificar el cumplimiento y generar los
informes relacionados con el
avance del Plan Integral
de Ciberseguridad.
CONSEJO CONSULTIVO ACCIONES:
1. Proponer a la unidad estratégica, la
estrategia y la política de Ciberseguridad.
2. Proponer un conjunto de políticas de
seguridad de la información.
3. Promover la participación activa de los
Organismos mediante la obligación de reportar los incidentes de
Ciberseguridad
dentro de las 24 horas de ocurridos los mismos.
4. Velar por el cumplimiento de los objetivos
de Ciberseguridad.
5.Participar en todas las reuniones convocadas.
6. Designar uno o más referentes en materia de
Ciberseguridad de cada organismo, y asegurar su
participación en el
consejo consultivo, en los grupos de trabajo de Ciberseguridad o
seguridad de
la información.
ANEXO III
GRUPO DE TRABAJO DE CIBERSEGURIDAD
FUNCIONES:
1. Monitorear cambios significativos en los
riesgos que afectan a
2. Tomar conocimiento y supervisar la
investigación y el monitoreo de los incidentes relativos a la seguridad.
3. Proponer las principales iniciativas para
incrementar
4. Proponer metodologías y procesos específicos
relativos a
5. Evaluar y coordinar la implementación de
controles específicos de Ciberseguridad.
6. Coordinar la gestión de continuidad de
negocio para garantizar niveles aceptables de continuidad operacional
frente a
un incidente de Ciberseguridad.
En dicho marco, le corresponderá a
1. Generar informes de un estado de situación
en materia de Ciberseguridad de
2. Proponer a
3. Proponer acciones relativas a la protección
de los activos de información.
4. Identificar obligaciones regulatorias
prioritarias relacionadas con los sistemas de información y
comunicarlas a
5. Diseñar un conjunto de controles para
la gestión de
6. Acompañar durante todo el proceso de
implementación de los controles de Ciberseguridad.
7. Proponer un plan de capacitación, formación
y concientización en materia de Ciberseguridad.
8. Informar el estado de avance de la
implementación de los controles de Ciberseguridad.
9. Gestionar en conjunto con las áreas
intervinientes los incidentes cibernéticos, durante todo su ciclo de
vida.
10. Informar a
11. Diseñar métricas e indicadores para
monitorear, auditar e identificar oportunidades de mejora.
12. Alertar a
13. Organizar las campañas de
concientización.
Citar: elDial.com - CC6C87
Copyright 2024 - elDial.com - editorial albrematica - Tucumán 1440 (1050) - Ciudad Autónoma de Buenos Aires - Argentina
¿PROBASTE NUESTROS SERVICIOS?
Formá parte de elDial.com y obtené acceso a novedades jurídicas, nuevos fallos y sentencias, miles de modelos de escritos, doctrinas y legislación actualizada. Además, con tu suscripción accedes a muchos beneficios y descuentos en las mejores editoriales, libros y cursos.