Políticas de seguridad

En esta página se delinean algunas de las políticas de seguridad adoptadas por la Subsecretaría de Informática para el desarrollo de software, la configuración equipos y para el despliegue y administración de servicios.

Debido a la variedad y complejidad de hardware y software utilizado en distintos organismos, es posible que no sea viable implementar alguna de ellas. Por ese motivo, éste documento no pretende ser de carácter normativo. Sin embargo, se recomienda enfáticamente apegarse a él en la medida de lo posible, con las adaptaciones que correspondan.

Recursos informáticos de la provincia

  • La Subsecretaría de Informática es responsable por la seguridad y administración de los sistemas alojados en el data center provincial:
    • La Subsecretaría de Informática debe estar involucrada o ser notificada de cualquier desarrollo nuevo que quiera desplegarse en el data center provincial.
    • La Subsecretaría de Informática se reserva el derecho a reducir y/o interrumpir el uso de los recursos informáticos de la provincia a cualquier organismo y/o agente que no cumpliese con lo estipulado.
    • La Subsecretaría de Informática puede negar el despliegue de cualquier sistema que no sea adecúe a las políticas de seguridad establecidas en este documento. Por este motivo, se recomienda involucrar al área de seguridad de la Subsecretaría de Informática en etapas tempranas del desarrollo para evitar problemas futuros.
  • Todos los entes a cargo de un sistema desplegado en el data center provincial deben:
    • Designar un responsable para comunicaciones importantes y/o urgentes
    • Implementar mecanismos de seguridad que se adecúen a las políticas establecidas en este documento.
    • Implementar correcciones o modificaciones de seguridad, diseño y/o desarrollo dentro de un plazo razonable. La Subsecretaría de Informática se reserva el derecho a restringir el servicio en caso de no recibir respuesta.
    • Notificar a la Subsecretaría de Informática en caso cualquier incidente de seguridad.
    • Notificar a la Subsecretaría de Informática sobre cualquier modificación y/o actualización al sistema.

Permisos

  • Los agentes deben tener el mínimo acceso necesario para llevar a cabo sus funciones.
    • Las personas con acceso a bases de datos deben manipular únicamente aquellos objetos y funcionalidades pertinentes a su aplicación.
    • El usuario final de cualquier sistema debe tener el perfil de menor acceso que les permita llevar a cabo sus tareas.
    • Los roles de administración deben estar reservados a personal de seguridad y/o informático que lo requiera para gestionar los recursos.

Responsabilidad en el uso de recursos

  • Los agentes son responsables de utilizar los recursos a los que tengan acceso de forma apropiada y con fines únicamente laborales.
  • Los agentes deben cuidar los materiales y dispositivos que les sean otorgados para el cumplimiento de sus funciones.
  • Se considera uso inapropiado:
    • El acceso a recursos externos que no tuvieran relación con el servicio prestado. Por ejemplo: sitios pornográficos, sitios de piratería, redes sociales, cuentas personales, etc.
    • El uso de dispositivos para fines particulares. Esto incluye, pero no se limita a: llamadas no laborales, almacenamiento de fotos y/o documentos de índole personal y suscripción a servicios personales con cuentas oficiales.
    • El uso de dispositivos en ambientes en los que puedan ser dañados o extraviados.
  • Los agentes tienen la responsabilidad de resguardar la confidencialidad e integridad de todos los datos privados y sensibles que manipulen en el servicio de sus funciones. El mal uso dichos datos está sujeto a ramificaciones legales.
    • Todos los datos personales y sensibles almacenados en los sistemas de la provincia están protegidos por la Ley N° 25.326 de Protección de los Datos Personales.
    • El uso inapropiado de los datos en el sistema y la interacción con fines maliciosos quedan sujetos a las sanciones establecidas por la Ley 26.388 de Delito informático.

Usuarios

  • Los nombres de usuario deben estar asociados a personas reales.
    • Deben evitarse usuarios compartidos vinculados al área, a menos que sea absolutamente necesario. En dichos casos, se debe designar una persona responsable por las credenciales de acceso.
    • Es posible crear usuarios asociados a usos particulares para uso automatizados en sistemas. Se considerará que el área responsable por el sistema estará a cargo de dichas credenciales, siendo la autoridad quien se haga responsable por malos usos.
  • La solicitud de usuarios se debe realizar única y exclusivamente a través de canales oficiales:
    • Sistema de tickets
      • Desde correo electrónico oficial
      • Desde correo electrónico (no oficial) verificado vía nota y/o en persona.
    • Canales de chat oficiales
    • Nota firmada dirigida a la Subsecretaría de Informática
    • IMPORTANTE: Cualquier pedido proveniente desde canales no oficiales será rechazado.
  • Cuando un agente es dado de baja, se debe notificar inmediatamente a las áreas de informática para que se dé de baja el usuario en cualquier sistema al que tuviese acceso.

Credenciales de acceso

  • Las credenciales son únicas y personales. No deben compartirse entre distintos agentes. En caso de compartir o perder las credenciales, el agente asociado será responsable por cualquier mal uso de las mismas.
  • Cuando sea posible, se debe utilizar autentificación por llave pública.
  • Cuando sea posible, firmar correos con PGP para validar identidad de la persona enviada.
  • Utilizar cifrado para enviar cualquier tipo de datos privados y/o sensibles. Esto abarca desde archivos protegidos por contraseña hasta correos cifrados con PGP.
  • Se recomienda el uso de gestores de contraseñas (Password Manager) para utilizar claves seguras y guardarlas en forma cifrada.
  • Es más importante elegir una contraseña segura y resguardarla adecuadamente que exigir un cambio periódico.

Actualización

  • Debe evitarse el uso de librerías huérfanas, esto es, aquellas que hayan sido abandonadas por sus desarrolladores y ya no reciban actualizaciones de ningún tipo.
  • Todos los sistemas deben actualizarse regularmente, incluyendo proyecto base y dependencia.
    • La actualización de un proyecto base abarca tanto el código cómo la documentación asociada.
    • La actualización de dependencias incluye adecuación del código para reemplazar librerías huérfanas o deprecadas.
  • Los nuevos sistemas (adquiridos o desarrollados) deben ser compatibles con versiones de software que tengan mantenimiento y actualizaciones de seguridad.
  • Los desarrolladores, técnicos de soporte y administradores deben estar suscriptos a listas de correo de seguridad de cada tecnología utilizada.
    • Los responsables del sistema deben estar al día con los cambios en funcionalidades y vulnerabilidades encontradas.
    • Se debe establecer un plan para actualizar inmediatamente en caso de que haya parches de seguridad urgentes.

Cifrado

  • Todos los canales de comunicación deben ser seguros. Esto es porque se asume que la infraestructura subyacente es insegura para contemplar el peor de los casos.
    • Se considerará seguro un canal cuando envíe información de forma cifrada.
    • Se considerará inseguro todo canal que envíe información en texto simple.
  • El acceso a servicios y el intercambio de datos entre sistemas debe realizarse a través de canales seguros.
  • Cuando sea posible, utilizar cifrado en reposo (para guardar información en un dispositivo de forma encriptada).
    • Para respaldos se deberán guardar los datos y las claves de cifrado por separado.

Contacto

Ante cualquier consulta, duda o recomendación sobre las políticas de seguridad, pueden comunicarse con el Equipo de Respuesta a Incidentes de Seguridad Informática de la Provincia de Santa Cruz (CSIRT-SC) a csirt@santacruz.gob.ar.