Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Política y procedimiento de acceso remoto

Se debe definir una política de acceso remoto donde se establezcan los requisitos necesarios de seguridad de las comunicaciones definiendo los motivos para el acceso remoto y el tipo de información a la que se accederá teniendo en cuenta su clasificación. Se debe contar con un procedimiento asociado a la política que indique al menos cómo es el procedimiento para la solicitud del acceso remoto.

Mecanismos de autenticación y comunicaciones

Se deben utilizar comunicaciones y mecanismos de autenticación seguros.

Medidas de seguridad para el acceso remoto

• Se debe definir desde qué equipos se podrá acceder remotamente y qué medidas de seguridad tienen que tener dichos equipos, por ejemplo, protección contra software malicioso, últimos parches de actualización del sistema operativo, etc. 
• Se debe evaluar la posibilidad de implementar el doble factor de autenticación para realizar conexiones remotas.
• Se debe contar con una lista blanca de todos los recursos disponibles accesibles de forma remota.

Usuarios autorizados a acceder de forma remota

Se debe determinar qué usuarios pueden acceder y autorizarlos; en qué momento, por cuanto tiempo y a qué recursos. Los usuarios deben ser nominados, evitando el uso de cuentas genéricas.

Revisión periódica de los accesos remotos

También se debe definir un procedimiento de revisión periódica de las cuentas de usuario con privilegios de acceso remoto y validar la necesidad de mantener dichos accesos. 

Protección de datos personales

Se debe tener especial cuidado en aspectos como la comunicación y/o transferencia internacional de datos, teniendo en cuenta la normativa local de protección de datos (Ley 18.331).

Controles relacionados a proveedores de equipamiento médico
Se debe contar con controles tendientes a mitigar el riesgo relacionado al acceso remoto de los proveedores de equipamiento médico que requieren acceder por temas de mantenimiento. 

Protección de datos personales

A nivel general, en el caso de los accesos remotos, se debe prestar especial cuidado en el intercambio transfronterizo de datos, particularmente la transmisión de información personal y de salud de los usuarios (historias clínicas) fuera de la jurisdicción nacional. Se debe tomar en cuenta lo dispuesto en la ley 18.331 “Protección de datos personales y acción de habeas data”, artículo 23 “Datos transferidos internacionalmente”, donde se prohíbe la transferencia de datos personales de cualquier tipo con países u organismos internacionales que no proporcionen niveles de protección adecuados de acuerdo a los estándares del Derecho Internacional o Regional en la materia. Asimismo, en el punto A del mismo artículo se menciona que es posible realizar la transferencia internacional de datos si el interesado ha dado su consentimiento inequívocamente a la transferencia prevista.
La resolución 17/009 de la URCDP, indica cuáles son los países adecuados que básicamente son los que Europa reconoce como tales. En el caso de EEUU, al momento de la creación de la resolución regía el Puerto Seguro en materia de protección de datos, calidad que se otorga por empresas. Para cada transferencia a EEUU se debería revisar a qué empresa se transfieren los datos (actualmente Privacy Shield). 

Mecanismos de seguridad para el acceso remoto

Se deberán utilizar mecanismos seguros para el acceso remoto, que garanticen la privacidad, confidencialidad e integridad de la información.
El acceso remoto debería contar con mecanismos de activación y desactivación para realizar las tareas que sean necesarias con un plazo establecido. En aquellos casos para los que no sea posible contar con un plazo establecido, se deberá justificar el uso continuo de conexiones remotas.

• Política de acceso remoto.
• Mecanismos de autenticación para la conexión remota documentados en la política.
• Procedimiento de altas, bajas y modificaciones de acceso remoto.
• Procedimiento de revisión de usuarios con acceso remoto. 
• Listado de servidores críticos que permiten acceso remoto.
• Listado con la identificación de los usuarios habilitados para acceder remotamente a sistemas críticos.