Modelo De Políticas De Seguridad De Información

Modelo de Política de

Seguridad de la Información

para Organismos

de la Administración Pública

Nacional

Seguridad de la Información

La seguridad de la información se entiende como la preservación de las siguientes

características:

• Confidencialidad: se garantiza que la información sea accesible sólo a aquellas

personas autorizadas a tener acceso a la misma.

• Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de

procesamiento.

• Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la

información y a los recursos relacionados con la misma, toda vez que lo requieran.

Adicionalmente, deberán considerarse los conceptos de:

• Autenticidad: busca asegurar la validez de la información en tiempo, forma y

distribución. Asimismo, se garantiza el origen de la información, validando el emisor

para evitar suplantación de identidades.

• Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados

para su control posterior.

• Protección a la duplicación: consiste en asegurar que una transacción sólo se realiza

una vez, a menos que se especifique lo contrario. Impedir que se grabe una

transacción para luego reproducirla, con el objeto de simular múltiples peticiones del

mismo remitente original.

• No repudio: se refiere a evitar que una entidad que haya enviado o recibido

información alegue ante terceros que no la envió o recibió.

• Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o

disposiciones a las que está sujeto el Organismo.

• Confiabilidad de la Información: es decir, que la información generada sea adecuada

para sustentar la toma de decisiones y la ejecución de las misiones y funciones.

A los efectos de una correcta interpretación de la presente Política, se realizan las siguientes

definiciones

• Información: Se refiere a toda comunicación o representación de conocimiento como

datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas,

cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en

papel, en pantallas de computadoras, audiovisual u otro.

• Sistema de Información: Se refiere a un conjunto independiente de recursos de

información organizados para la recopilación, procesamiento, mantenimiento,

transmisión y difusión de información según determinados procedimientos, tanto

automatizados como manuales.

• Tecnología de la Información: Se refiere al hardware y software operados por el

Organismo o por un tercero que procese información en su nombre, para llevar a cabo

una función propia del Organismo, sin tener en cuenta la tecnología utilizada, ya se

trate de computación de datos, telecomunicaciones u otro tipo.

2.2. Evaluación de Riesgos

Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades

relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad

de que ocurran y su potencial impacto en la operatoria del Organismo.

2.3. Administración de Riesgos

Se entiende por administración de riesgos al proceso de identificación, control y minimización o

eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar a la

información. Dicho proceso es cíclico y debe llevarse a cabo en forma periódica.

2.4. Comité de Seguridad de la Información

El Comité de Seguridad de la Información, es un cuerpo integrado por representantes de todas

las áreas sustantivas del

...