Por la presente, la Superintendencia de Seguros de la Nación aprobó la “Política de Seguridad de la Información” (PSI), por la cual se establecen las líneas de actuación en materia de seguridad de la información que fijan el modo en que el organismo debe gestionar y proteger los datos, los recursos tecnológicos que utiliza y los servicios que brinda. Asimismo, detalla lineamientos respecto a la comunicación de esta política y sobre su implementación.
“La SSN reconoce que la información es un activo que, como otros bienes y servicios requeridos para el cumplimiento de los objetivos del organismo, resulta esencial para el desarrollo de sus actividades y debe, en consecuencia, ser protegida adecuadamente”, explican desde la entidad.
La protección se extiende a todo el ciclo de vida de la información, a todos los formatos en los que se encuentre y soporte que se utilice, con el fin de preservar la confidencialidad, integridad y disponibilidad de la información.
Al respecto, aclaran que a esos fines vienen estableciendo, implementado, monitoreando, revisando y mejorando un conjunto de mecanismos de seguridad o controles que incluyen, entre otros, procesos, políticas, procedimientos, estructuras organizacionales, software y hardware.
“El objeto de estos mecanismos y controles es el de minimizar los riesgos a los que se encuentra expuesta la información, así como asegurar la continuidad de las operaciones del organismo”, agregan.
Bajo ese panorama, los objetivos de la “Política de Seguridad de la Información” (PSI) pasan por orientar y enmarcar las acciones de fortalecimiento del Sistema de Gestión de Seguridad de la Información que lleve adelante la SSN; y a su vez, fomentar el desarrollo de una cultura de seguridad de la información en la organización.
Todo se detalla en Anexo a la presente, donde se explica que la PSI se aplica en todo el ámbito del organismo, a sus recursos y a la totalidad de los procesos.
“Su cumplimiento es obligatorio para la totalidad de los/las funcionarios/as y agentes que integran el organismo, cualquiera sea su modalidad de contratación y las fuentes de financiamiento correspondientes”, se aclara.
Asimismo, la PSI debe ser conocida y cumplida por todas aquellas personas, ya sean internas o externas, vinculadas a la entidad a través de contratos, convenios, acuerdos o algún otro instrumento válido para establecer la relación con terceros, en la medida en que les sea aplicable.
En ese sentido, el incumplimiento de esta política tendrá como resultado la aplicación de sanciones disciplinarias, conforme a la magnitud y característica del aspecto no cumplido, de acuerdo con la normativa aplicable.
En cuanto a la organización de la seguridad de la información, la SSN asignó al Comité de Seguridad de la Información (CSI las funciones de planificación en materia de seguridad de la información y de supervisión de la investigación y monitoreo de los incidentes relativos a la seguridad de la información. La planificación comprende la propuesta de programas, proyectos y metodologías, su monitoreo y evaluación, así como la promoción de la difusión y apoyo a la seguridad de la información dentro del organismo. Es función propia del CSI la elaboración de la PSI, así como su revisión y propuesta de modificatorias.
Respecto a la relación con proveedores, la SSN incluye en los pliegos de bases y condiciones particulares cláusulas vinculadas a la seguridad de la información, de cumplimiento efectivo y obligatorio por parte los contratantes. Estas disposiciones consideran los aspectos pertinentes a la protección de la información y los servicios que se brinden, desde el inicio del proceso contractual hasta su finalización. Los requisitos a incluir son acordes a la criticidad de la información y los servicios, la evaluación de riesgos y el cumplimiento de todas las normas legales y contractuales aplicables.
Finalmente, respecto a la estructura normativa de seguridad de la información, la SSN debe establecer la normativa específica de seguridad de la información necesaria para el cumplimiento de la presente Política, la que se agrupa en tres categorías: Normas referidas a los activos de información y exigencias técnicas; Normas referidas a la gestión de personas; y Normas referidas al cumplimiento.
“La normativa específica de seguridad de la información de la SSN, así como cualquier modificación de la misma, será aprobada por la máxima autoridad del organismo o autoridad competente”, concluyen.