Resolución N° 59/010 - 29/09/2010 - CDH
Montevideo, 29 de setiembre de 2010
VISTO: la “Política de Seguridad de la Información para Organismos de la Administración Pública” aprobada por el Decreto del Poder Ejecutivo Nº 452/009 de 28 de setiembre de 2009, el proyecto de “Política de Gestión de Incidentes de Seguridad de la Información” y el proyecto de “Política de Gestión del Riesgo de Seguridad de la Información”;
RESULTANDO:
I) que dichas Políticas obedecen a la necesidad de impulsar un Sistema de Gestión de Seguridad de la Información, plasmada en el Decreto del Poder Ejecutivo Nº 452/009 de 28 de setiembre de 2009;
II) que, conforme a lo establecido en el art. 73 de la ley Nº 18.362 de 6 de octubre de 2008, el CERTuy, creado en el ámbito de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), tiene el cometido de regular la protección de los activos de información críticos del Estado, difundir las mejores prácticas en el tema, centralizar, coordinar la respuesta a incidentes informáticos y realizar las tareas preventivas que correspondan;
III) que, asimismo, AGESIC es el órgano competente a nivel nacional en materia de promoción del establecimiento de seguridades que hagan confiable el uso de las tecnologías de la información y permitan la prevención, detección y respuesta frente a incidentes que puedan afectar los actos críticos del país (art. 55 de la ley Nº 18.046 de 24 de octubre de 2005, con la redacción dada por el art. 118 de la ley Nº 18.172 de 31 de agosto de 2007);
CONSIDERANDO:
I) que se deben disponer medidas para garantizar la confianza y seguridad de los sistemas y de la información en poder de los organismos públicos;
II) que, con el fin de proteger los activos de la información y minimizar el impacto en los servicios causados por vulnerabilidades o incidentes de seguridad, se debe proveer una efectiva gestión de los mismos;
III) que el art. 1º del Decreto Nº 452/009 establece que “Las Unidades Ejecutoras de los Incisos 02 al 15 del Presupuesto Nacional deberán adoptar en forma obligatoria una Política de Seguridad de la Información, tomando como base la Política de Seguridad de la Información para Organismos de la Administración Pública”;
IV) que, asimismo, el referido Decreto Nº 452/009 establece el deber de estos organismos de contar con una política de gestión de incidentes de seguridad de la información y de desarrollar un proceso de evaluación y tratamiento de riesgos de seguridad y de acuerdo a sus resultados implementar las acciones correctivas y preventivas correspondientes, así como elaborar y actualizar un plan de acción;
V) que, en su mérito, procede adoptar la “Política de Seguridad de la Información para Organismos de la Administración Pública” y aprobar la “Política de Gestión de Incidentes de Seguridad de la Información” y la “Política de Gestión del Riesgo de Seguridad de la Información”;
VI) que, en virtud de las potestades de fiscalización atribuidas a AGESIC en la materia (art. 74 de la ley Nº 18.362 de 6 de octubre de 2008 y Decreto Nº 307/007 de 27 de agosto de 2007), corresponderá controlar la efectiva implementación de estas Políticas por parte de los organismos de la Administración Pública;
ATENTO: a lo precedentemente expuesto y a lo preceptuado en las disposiciones citadas;
EL CONSEJO DIRECTIVO HONORARIO DE AGESIC
RESUELVE:
1º.- Adóptase como Política de Seguridad de la Información de AGESIC a la “Política de Seguridad de la Información para Organismos de la Administración Pública” aprobada por Decreto del Poder Ejecutivo Nº 452/009 de 28 de setiembre de 2009.
2º.- Apruébase la “Política de Gestión de Incidentes de Seguridad de la Información” y la “Política de Gestión del Riesgo de Seguridad de la Información”, que se incorporan a la presente Resolución como Anexos 1 y 2, respectivamente.
3º.- Desígnase como Responsable de Seguridad de la Información a A/S, A/M Mauro D. Ríos, quien se encargará de la guía, implementación y el mantenimiento del Sistema de Gestión de Seguridad de la Información.
4º.- Comuníquese a todo el personal y publíquese en el sitio web institucional para su conocimiento y demás efectos.
Firmado por:
Ing. Jorge Abín, Ing. José Clastornik, Ing. Víctor Villar.