Finalmente, después de varios meses de intenso trabajo, salió publicada en el Boletín Oficial de la República Argentina la Decisión Administrativa 641/2021 DECAD-2021-641-APN-JGM – Requisitos mínimos de Seguridad de la Información para Organismos Públicos que genera obligaciones en materia de seguridad de la Información esencial para el funcionamiento del Estado.
Desde Fundación Vía Libre entendemos que este es un paso fundamental hacia la construcción de una política de protección de los activos digitales en poder del Estado Argentino, lo que involucra no sólo las infraestructuras críticas, sino también datos e información vinculados con la ciudadanía. Este paso es indispensable más no suficiente, ya que debe ser la base de una política de Estado que trascienda las administraciones y genere una cultura de seguridad de la información apropiada para todas las reparticiones involucradas. Sin un cambio cultural en ese sentido, la política no habrá sigo suficiente.
Algunos antecedentes
Los intentos de construir una política de seguridad de la información para los organismos de la Administración Pública tiene varios años y vaivenes. Ya en el año 2004 y con la firma de quien entonces fuera Jefe de Gabinete de Ministros y hoy Presidente, Alberto Fernández, se estableció que los organismos del Sector Público Nacional debían dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo. A lo largo de los años hubo diversas versiones de esas políticas de seguridad Modelo diseñadas por la entonces ONTI, pero el diagnóstico presente es que hace falta una actualización y una estrategia integral para llevara a cabo.
En el actual organigrama se asigna a la Secretaría de Innovación Pública de la Jefatura de Gabinete de Ministros la responsabilidad de ‘entender en la ciberseguridad y protección de infraestructuras críticas de información y comunicaciones asociadas del Sector Público Nacional y de los servicios de información y comunicaciones definidos en el artículo primero de la Ley Nº 27.078′.
Es así que a partir de 2019 se creó el Comité de Ciberseguridad a cargo de la elaboración de la Estrategia Nacional de Ciberseguridad. En ese mismo año se aprobó la definición de Infraestructuras Críticas y de Infraestructuras Críticas de Información y se enumeraron los criterios para su identificación y la determinación de los sectores alcanzados.
En este marco se considera Infraestructuras Críticas a aquellas que resultan indispensables para el adecuado funcionamiento de los servicios esenciales de la sociedad, la salud, la seguridad, la defensa, el bienestar’ social, la economía y el funcionamiento efectivo del Estado, cuya destrucción o perturbación, total o parcial, los afecte y/o impacte significativamente.’
La resolución publicada hoy considera que ‘la información puede ser objeto de una amplia gama de usos indebidos, debiéndose preservar su confidencialidad, integridad y disponibilidad, con el fin de garantizar la prestación continua e ininterrumpida de los diversos servicios prestados por el Sector Público Nacional.’ Nos gustaría sumar a este objetivo el hecho de que el Estado administra información de la ciudadanía, incluyendo información sensible como datos de salud, en particular en la actual coyuntura de pandemia de Covid 19. Por esta razón, la preservación de la confidencialidad, la integridad y la seguridad de los datos es esencial para que el Estado resguarde a su vez los derechos fundamentales de la ciudadanía.
¿Por qué es central una política rigurosa y sostenida de Seguridad de la Información en el Estado?
En el actual contexto, con los procesos de transformación digital en marcha, es indispensable contar con una serie de requisitos mínimos para el tratamiento de datos e información que gestionan las entidades públicas, en particular aquellas que tramitan expedientes vinculados con datos personales de la ciudadanía. Pero además, es fundamental la protección y una estrategia de seguridad de todas aquellas áreas del estado que se consideran críticas tal como ya hemos definido. La protección de la confidencialidad, la integridad y la disponibilidad de la información es esencial, pero a su vez, también es clave que la ciudadanía pueda confiar en que su información en manos del estado está debidamente resguardada. Esto, lamentablemente, está lejos de ser una realidad en el actual contexto.
De ahí la urgencia en la elaboración e implementación de los planes de seguridad de la información enmarcados en esta política para elevar los niveles de seguridad de los sistemas de información y acelerar la adopción de los requisitos mínimos de seguridad de la información aprobados en esta decisión administrativa. Cada oficina pública debe asumir la responsabilidad que le toca y cumplir con la obligación de proteger adecuadamente la información que gestiona.
Entendemos desde Vía Libre que esa tarea es esencial y urgente, y por esa razón mantenemos comunicación y cooperación permanente con las autoridades del área y ofrecemos nuestro acompañamiento a las políticas en tanto estas apunten al interés común de proteger los activos informacionales del Estado y resguardar la seguridad e integridad de los datos de la ciudadanía. Es fundamental que estas políticas se traduzcan en una gestión responsable y que no queden exclusivamente en los papeles. Para esto hace falta inversión, formación y compromiso con la gestión en el mediano y largo plazo.
Compartimos entonces esta Decisión Administrativa que esperamos sea un primer paso hacia la construcción de una política de largo plazo de seguridad de la información en manos del Estado Nacional.