Resolución N° 74/021 - Seguridad de la información
UNIDAD REGULADORA DE SERVICIOS DE COMUNICACIONES
Expediente: N° 2020-2-9-0000729
Resolución: N° 074/2021
Acta: N° 021/021
Montevideo, 6 de Mayo de 2021
VISTO: La necesidad de adoptar una Política de Seguridad de la Información en la Unidad Reguladora de Servicios de Comunicaciones (URSEC)
RESULTANDO: I. Que el Decreto 452/009 de 29 de setiembre de 2009 determina la obligación de adoptar una “Política de Seguridad de la Información por parte de las Unidades Ejecutoras de los Incisos 02 al 15 del Presupuesto Nacional los, con el propósito de desarrollar, implantar, mantener y mejorar continuamente un “Sistema de Gestión de Seguridad de la Información”;
II. Que asimismo exhorta a los Servicios Descentralizados, a adoptar las disposiciones establecidas en el citado Decreto.
III. Que el Anexo I de la citada norma reglamentara establece los lineamientos, criterios y objetivos de determinación de la política de referencia, a ser adoptada por los Organismos de la Administración Pública.
IV. Que URSEC, como integrante de la Unidad Ejecutora 001 “Presidencia de la República y Unidades Dependientes”, participó del Sistema de Gestión de Seguridad de la Información de Presidencia de la República hasta la promulgación de la Ley No. 19.889 de 9 de julio de 2020, según Resolución Nº 604/012 y 487/013;
V. Que por Acta Nº 38/013 de 6 de diciembre de 2013 y Acta Nº 43/15 Numeral 2 C de 3 de diciembre de 2015, se dispuso la última integración del Comité de Seguridad de la Información por URSEC
VI. Que por Acta Nº 27/12 de 25 de setiembre de 2012 y Acta Nº 43/15 Numeral 2 C de 3 de diciembre de 2015 se designó el Responsable se Seguridad de la Información de URSEC, titular y suplente.
VII. Que el Comité de Seguridad de la información de la Unidad Ejecutora 001 aprobó diversas políticas y procedimientos;
VIII. Que en virtud de lo dispuesto en el Decreto N° 307/007 de 27 de agosto de 2007, AGESIC tiene potestades de fiscalización en materia de Seguridad de la Información, en los términos dispuestos por el artículo 74 de la Ley N° 18.362 de 6 de octubre de 2008.
CONSIDERANDO: I. Que en cumplimiento a la exhortación del referido Decreto N° 452/009 de 29 de setiembre de 2009, la URSEC deberá adoptar una Política de Seguridad de la Información, considerando como base la “Política de Seguridad de la Información para Organismos de la Administración Pública”, la cual integrará su normativa básica;
II. Que se requiere establecer la integración del Sistema de Gestión de Seguridad de la Información de URSEC y sus cometidos; siendo necesario establecer la integración del Comité de Seguridad de la Información;
IV. Que asimismo corresponde designar el Responsable de Seguridad de la Información;
V. Que es imperioso convalidar las políticas, procedimientos y protocolos de Seguridad de la Información aprobados por el Comité de Seguridad de la Información de Presidencia de la República así como los aprobados por esta Unidad Reguladora;
VI. Que resulta necesario que la Política de Seguridad de la Información, que URSEC adopte a través de la presente Resolución, sea conocida y cumplida por todo su personal, independientemente del cargo que desempeñe y de su situación contractual.
ATENTO: A lo expuesto precedentemente, y a lo dispuesto en el Decreto N° 452/009 de 28 de setiembre de 2009.
LA UNIDAD REGULADORA DE SERVICIOS DE COMUNICACIONES RESUELVE:
1º. Adoptar como Política de Seguridad de la Información de URSEC, la que figura en el ANEXO I que forma parte de la presente Resolución, realizada en base a la “Política de Seguridad de la Información para Organismos de la Administración Pública”.
2º. Establecer que el Sistema de Gestión de Seguridad de la Información de URSEC estará integrado por un Comité de Seguridad de la Información, un Responsable de Seguridad de la Información y un equipo de Seguridad de la información
3º. Designar como integrantes del Comité de Seguridad de la Información a los Directores, Gerentes y Responsable de Seguridad de la información.
4º. Designar a Álvaro Ferreiro como titular compartiendo la alternancia el Ing. Leslie Green y la Cra. Janet Cervi, como Responsables de Seguridad de la Información.
5º. Establecer que el equipo de Seguridad de la Información estará integrado por el Responsable de Seguridad de la Información y un integrante de cada gerencia pudiendo estos requerir la participación de funcionarios especializados.
6º. Asignar como cometidos de los órganos que integran el Sistema de Gestión de Seguridad de la Información de URSEC los que figuran en ANEXO II que forma parte de la presente resolución.
7º. Convalidar todas las políticas, procedimientos y protocolos que se detallan en ANEXO III que forma parte de la presente resolución
8º. Comuníquese a todo el personal para su cumplimiento.
Firmado por: Dra. Mercedes Aramendía, Presidenta Dra. Isabel Maassardjian, Secretaria General
ANEXO I (R. Nº 074/2021) Política de Seguridad de la Información de URSEC
URSEC, reconoce la importancia de identificar y proteger los activos de información que dispone. Para ello, se compromete a desarrollar, implantar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información, que permita evitar la destrucción, divulgación, modificación y utilización no autorizada de toda información. El Comité de Seguridad de la Información, declara el cumplimiento de la normativa y legislación vigente en relación con aspectos de Seguridad de la Información. La Seguridad de la Información, se caracteriza como la preservación de: a) su confidencialidad, asegurando que solo quienes estén autorizados puedan acceder a la información; b) su integridad, asegurando que la información y sus métodos de proceso sean exactos y completos; c) su disponibilidad, asegurando que los usuarios autorizados tengan acceso a la información cuando lo requieran. La Seguridad de la Información, se consigue implantando un conjunto adecuado de controles, tales como políticas, procedimientos, estructuras organizativas, software e infraestructura. Estos controles, deberán ser establecidos para asegurar los objetivos de seguridad de URSEC. Esta Política de Seguridad de la Información, se integrará a la normativa básica, incluyendo su difusión previa, y la instrumentación de las sanciones correspondientes por incumplimiento de la misma, así como de los documentos relacionados a ésta. Es política de URSEC: 1°.-Establecer objetivos anuales con relación a la Seguridad de la Información. 2°.-Desarrollar un proceso de evaluación y tratamiento de riesgos de seguridad, y de acuerdo a su resultado implementar las acciones correctivas y preventivas correspondientes, así como elaborar y actualizar el plan de acción. 3°.-Clasificar y proteger la información de acuerdo a la normativa vigente y a los criterios de valoración en relación a la importancia que posee. 4°.-Cumplir con los requisitos del servicio, legales o reglamentarios y las obligaciones contractuales de seguridad. 5°.-Brindar concientización, a través de la información y permanente actualización en materia de Seguridad de la Información a todo el personal. 6°.-Contar con una política de gestión de incidentes de Seguridad de la Información de acuerdo a los lineamientos establecidos por el CERTuy. 7°.-Establecer que todo el personal es responsable de registrar y reportar las violaciones a la seguridad, confirmadas o sospechadas de acuerdo a los procedimientos correspondientes. 8°.-Establecer los medios necesarios para garantizar la continuidad de las operaciones.
ANEXO II (R Nº 074/2021) Cometidos de los órganos que integran el Sistema de Gestión de Seguridad de la Información de URSEC
1.- Comité de Seguridad de la Información - Sus cometidos son: Promover, difundir y apoyar la seguridad de la información, garantizando que la misma sea parte del proceso de planificación. Definir las estrategias de seguridad de la información Revisar y aprobar los planes, políticas y todo aquello que incremente y mejore la seguridad de la información. Garantizar el cumplimiento de las directivas aprobadas, facilitando los recursos necesarios Establecer y aprobar sus Pautas de Funcionamiento. 2.- Responsable de Seguridad de la Información - Sus cometidos son: Asesorar al Comité de Seguridad de la Información en la toma de decisiones orientadas a fortalecer la seguridad de la información. Velar por el cumplimiento de las directivas aprobadas con el apoyo del Equipo de seguridad Coordinar la planificación, implantación y control del Sistema de Gestión de Seguridad de la Información. Coordinar con el Equipo de Seguridad de la Información, las actividades requeridas para llevar adelante los lineamientos establecidos por el Comité de Seguridad, así como cualquier otra actividad que se considere necesaria para preservar la seguridad de la información. Presentar al Equipo de Seguridad de la Información iniciativas tendientes a la mejora de la Seguridad de la Información. 3.- Equipo de Seguridad de la Información - Sus cometidos son: Apoyar al Responsable de Seguridad de la Información y atender todas las iniciativas y requerimiento que éste presente Promover soluciones y mejoras y colaborar en la torna de decisiones referidas a la Seguridad de la Información Controlar las actividades relacionados con la Seguridad de la Información y monitorear los cambios significativos en la exposición de los activos de información a las principales amenazas. Analizar los incidentes de seguridad y gestionarlos de acuerdo a los lineamientos establecidos. Sugerir los cursos y seminarios de Seguridad de la Información para los usuarios de la URSEC.
ANEXO III (R Nº 074/2021) POLÍTICAS, PROCEDIMIENTOS Y PROTOCOLOS APROBADOS POR EL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN DE PRESIDENCIA DE LA REPÚBLICA Y POR URSEC
