En el marco de la Decisión Administrativa N.º 641/2021, el 31 de octubre de 2023 la Agencia de Acceso a la Información Pública (en adelante «la Agencia») aprobó, a través de la Resolución N.º 211/23, la «Política de Seguridad de la Información de la Agencia de Acceso a la Información Pública» (en adelante, «la Política») con el objetivo de fortalecer la seguridad de la información que recibe, produce y administra. La Política fue elaborada con la asistencia de la Dirección de Informática e Innovación, teniendo en cuenta los Requisitos Mínimos de Seguridad de la Información para los Organismos del Sector Público Nacional, establecidos en la decisión administrativa mencionada, y aplica a todo su ámbito institucional.
La Política establece las directrices y medidas necesarias para garantizar la protección de los datos y recursos de la Agencia, así como para prevenir y mitigar los riesgos de seguridad de la información. Asimismo, contiene información detallada sobre los aspectos generales, la organización, la clasificación de activos, la seguridad de los recursos humanos, la seguridad física y ambiental, la gestión de accesos y la gestión de incidentes de seguridad.
Además, describe cómo se establecen las responsabilidades y funciones de los diferentes niveles de la estructura interna de la Agencia y crea un Comité de Control de Seguridad de la Información encargado de controlar, revisar, difundir y promover cambios relativos a la seguridad de la información. También, contiene disposiciones relativas a la implementación de compromisos de la confidencialidad y al acceso de terceras partes a la información, como así también a la relación e intercambio de información con grupos o terceros externos.
Como toda política de seguridad de la información, contiene una clasificación de los activos de la información, definiéndolos como todo aquel elemento que contiene o trata información relevante para la agencia, o que su pérdida o degradación pudieran afectar de algún modo a la continuidad de los servicios, incluyendo software, activos físicos, instalaciones físicas, servicios y activos intangibles. Los responsables de cada área son propietarios de la información relacionada con sus funciones y son los encargados de clasificar la información por su grado de sensibilidad y criticidad, teniendo en cuenta la confidencialidad, integridad, necesidad fundamental y disponibilidad.
La Política también contempla la seguridad física y ambiental, así como la gestión de accesos, con el fin de generar un marco de referencia para custodiar los accesos físicos donde se encuentran almacenados los equipos de cómputo críticos e infraestructura, como así también evitar y disminuir riesgos medioambientales.
Otro aspecto relevante es la gestión de incidentes de seguridad, que involucra distribución de funciones y responsabilidades, así como un apartado específico para los informes de eventos, vulnerabilidades y comunicación de anomalías, destinados a regular las acciones que deben tomarse ante su detección.
El control sobre la adquisición, desarrollo y mantenimiento de sistemas recae sobre dos áreas: desarrollo de software y seguridad informática.
Finalmente, la Política dedica un apartado completo al cumplimiento de la normativa que regula el acceso, la disponibilidad y la protección de la información almacenada y procesada en el ámbito de la Agencia. Establece la obligatoriedad de su cumplimiento, la revisión periódica de las políticas de seguridad de la información, la determinación de los plazos para la guarda de información y recolección de evidencia, entre otros aspectos.En síntesis, la Política proporciona un marco integral para garantizar la protección y gestión efectiva de los recursos de la Agencia y constituye otro antecedente relevante para tener en cuenta, emitido por el organismo encargado de velar por el derecho de acceso a la información pública, promover medidas de transparencia activa y, además, por autoridad de aplicación de la Ley de Protección de Datos Personales N.º 25.326 de la República Argentina.