Como dice el dicho, hay que “tomar el toro por las astas”, lo que implica ser proactivos y anticiparse a potenciales problemas. El mercado financiero viene estando en la mira de ataques cibernéticos, con la SSN y la CNV como recientes damnificados, y eso obliga a los organismos del Estado a fortalecer sus protocolos de seguridad informática.
En esa tónica, este miércoles 14/6/23, se publicó en el Boletín Oficial la presente norma, por la cual se aprueba la denominada “Política de Seguridad de la Información de la Superintendencia de Riesgos del Trabajo”.
Hay que aclarar que el organismo que regula a las ART ya contaba con un marco de seguridad informática desde el año 2009 (Res. SRT 231/09), con políticas que apuntaban a reducir los riesgos de destrucción, acceso no permitido y violación de la confidencialidad de la información de la SRT, sea accidental o deliberada.
Tras ello, en 2021, la Jefatura de Gabinete de Ministros aprobó los “Requisitos Mínimos de Seguridad de la Información para los Organismos del Sector Público Nacional”, estableciendo los lineamientos generales y requisitos mínimos para los organismos del Sector Público Nacional. Allí, se obligaba a los entes públicos a implementar un “Plan de Seguridad” con diferentes requisitos mínimos.
Eso llevó a la SRT a elaborar un “Plan de Seguridad de la Información”, el cual fue elevado a la Dirección Nacional de Ciberseguridad a fines de ese año. En ese contexto, la presente Resolución avanza en la adecuación y actualización de la Política de Seguridad vigente.
“El incremento del uso de las tecnologías de información y comunicación en el ámbito laboral del Sector Público Nacional, torna indispensable el conocimiento y cumplimiento obligatorio de las Políticas de Seguridad por parte de todos agentes del organismo, como así también de los terceros que interactúen con la SRT cuando dicha interacción implique acceso a datos, recursos, sistemas de información aplicativos informáticos, normas, procedimientos, documentación y/o plataformas técnicas de la SRT –sean de desarrollo propio o adquiridos de terceros-, así como también toda la infraestructura de la red tecnológica, dispositivos que estén conectados o involucrados en el tratamiento de la información del organismo”, se explica en los fundamentos de la norma.
Ante ello, esta norma incluye ni más ni menos que 14 anexos, generando políticas y pautas mínimas para lo que hace a:
- Aspectos Organizativos de la Seguridad;
- Seguridad Informática de los Recursos Humanos;
- Gestión de Activos;
- Autenticación, Autorización y Control de Accesos;
- Uso de herramientas Criptográficas;
- Seguridad Física y Ambiental;
- Seguridad Operativa;
- Seguridad en las Comunicaciones;
- Adquisición, Desarrollo y Mantenimiento de Sistemas;
- Relación con Proveedores;
- Gestión de Incidentes de Seguridad;
- Aspectos de Seguridad para la Continuidad de la Gestión; y
- Cumplimiento.
Vale aclarar que todas las pautas son de orden interno, y no incluye exigencias de seguridad informática a aplicar por las ART.
