COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE

Buenos Aires, 19/12/2016

VISTO el Expediente N° S02:0133388/2016 del Registro de la COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE, y

CONSIDERANDO:

Que mediante el artículo 1° de la Decisión Administrativa N° 669 del 20 de diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS se estableció el deber de dictar o adecuar las políticas de seguridad de la información por parte de los organismos del Sector Público Nacional comprendidos en los incisos a) y c) del artículo 8° de la Ley N° 24.156 y sus modificatorias, entre los cuales se encuentra comprendida esta COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE, de conformidad a la Política de Seguridad Modelo a dictarse a tales efectos.

Que a tales efectos la precitada norma previó la conformación de un COMITÉ DE SEGURIDAD DE LA INFORMACIÓN por parte de cada uno de los organismos alcanzados, como así también su integración, coordinación y funciones, tal las prescripciones de los artículos 2°, 3° y 4° de la norma citada.

Que la Disposición N° 3 del 27 de agosto de 2013 de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN de la JEFATURA DE GABINETE DE MINISTROS aprobó la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO” como base para la elaboración de las respectivas políticas a dictarse por cada organismo, según su propia realidad, particularidades, operatoria y recursos, precisándose las funciones del Comité de Seguridad de la Información y de su coordinador, entre otras cuestiones.

Que la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO” dictada prescribe que el control de la seguridad de la información se debe implementar desde los niveles gerenciales del conjunto de la organización.

Que asimismo también prescribe que la máxima autoridad del organismo debe aprobar la política de seguridad de la información, revisar los beneficios de su implementación, y evidenciar su compromiso asignando roles y reconociendo responsabilidades explícitas.

Que la información es un recurso que como el resto de los activos tiene valor para cualquier organización, y por consiguiente debe ser debidamente protegido.

Que la seguridad de la información es un proceso destinado a la protección de los activos de la organización de una amplia gama de amenazas destinado a preservar la continuidad de los sistemas de información y de las operaciones, que permite minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos.

Que la seguridad de la información resulta esencial para garantizar la confidencialidad, integridad y la disponibilidad de la información, con el objeto de prevenir cualquier divulgación no autorizada, reflejar en forma fiel y exacta la totalidad de la información de cada transacción de origen y evitar interrupciones o colapsos que puedan provocar la pérdida de los datos y/o afecten la continuidad de las operaciones.

Que la seguridad de la información se logra implementando adecuados controles incluyendo el dictado de políticas y el diseño de procesos, procedimientos, la definición de estructuras organizacionales, de funciones de software y hardware, todo ello en conjunción con otros procesos de gestión del organismo.

Que el Comité se concibe como el único canal para realizar propuestas a la máxima autoridad relativas a la política de seguridad de la información, el diseño de procedimientos y de sistemas de prevención de riesgos, a fin de asegurar la homogeneidad y unicidad de criterios y objetivos en la materia, y garantizar el compromiso de los responsables principales de la organización en el apoyo y difusión dentro del organismo.

Que el COMITÉ DE SEGURIDAD DE LA INFORMACIÓN tal como lo determina la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO”, debe garantizar el apoyo a la DIRECCIÓN EJECUTIVA en relación a las iniciativas de seguridad, el desarrollo de las mismas y su mantenimiento en el tiempo.

Que de acuerdo con la “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN MODELO” corresponde practicar auditorias periódicas sobre los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas, y realizar revisiones independientes sobre la vigencia y el cumplimiento de las políticas fijadas.

Que de acuerdo con lo establecido por la Resolución N° 48/2005 de la SINDICATURA GENERAL DE LA NACIÓN, las unidades de auditoria internas definidas en la Ley N° 24.156 deben contemplar la ejecución de auditorías de sistemas para efectuar revisiones objetivas de los controles informáticos.

Que consecuentemente, resulta oportuna la integración del COMITÉ DE SEGURIDAD DE LA INFORMACIÓN, con la representación de todas las áreas principales de esta COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE.

Que es conveniente asimismo, establecer el reglamento de funcionamiento del mencionado Comité.

Que la GERENCIA DE ASUNTOS JURÍDICOS de la COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE ha tomado la intervención que le compete.

Que la presente resolución se dicta en uso de las facultades conferidas por el Estatuto de la COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE, aprobado por Decreto N° 1388 de fecha 29 de noviembre de 1996, modificado por su similar N° 1661 de fecha 12 de agosto de 2015 (B.O. 20/8/2015), el Decreto N° 118 de fecha 12 de enero de 2016 (B.O. 13/1/2016) y la Decisión Administrativa N° 669 del 20 de diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS.

Por ello,

EL DIRECTOR EJECUTIVO
DE LA COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE
RESUELVE:

ARTÍCULO 1° — Conformar el COMITÉ DE SEGURIDAD DE LA INFORMACIÓN en el ámbito de la COMISIÓN NACIONAL DE REGULACIÓN DEL TRANSPORTE, de acuerdo con lo establecido en la Decisión Administrativa N° 669 de fecha 20 de diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS.

ARTÍCULO 2° — El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN estará integrado por el Subdirector Ejecutivo, los titulares de todas las Gerencias del Organismo, los titulares de la Subgerencia de Informática y de la Subgerencia de Fiscalización y por el titular de la Unidad de Auditoria Interna, todos ellos con carácter de miembros permanentes.

ARTÍCULO 3° — El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN contará con un Coordinador designado por la máxima autoridad, que será responsable de gestionar la coordinación de las acciones que llevará a cabo el Comité, y de impulsar la implementación y el cumplimiento de la política de seguridad.

ARTÍCULO 4° — La titularidad del COMITÉ DE SEGURIDAD DE LA INFORMACIÓN será ejercida por la máxima autoridad del Organismo quien contará con el apoyo del Coordinador designado según el artículo anterior.

ARTÍCULO 5° — Serán funciones del COMITÉ DE SEGURIDAD DE LA INFORMACIÓN: a) Revisar y proponer a la máxima autoridad del Organismo para su aprobación, la Política de Seguridad de la Información y las funciones generales en materia de seguridad de la información; b) Monitorear cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes; c) Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad; d) Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo a las competencias y responsabilidades asignadas a cada área; e) Acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información; f) Garantizar que la seguridad sea parte del proceso de planificación informática del Organismo; g) Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios; h) Promover la difusión y apoyo a la seguridad de la información dentro del Organismo; i) Coordinar el proceso de administración de la continuidad de la operatoria de los sistemas de tratamiento de la información del Organismo frente a interrupciones imprevistas.

ARTÍCULO 6° — Los miembros del COMITÉ DE SEGURIDAD DE LA INFORMACIÓN, deberán designar representantes que los reemplacen en caso de ausencia, y asignar dentro de sus ámbitos de responsabilidad la programación, ejecución y seguimiento de las acciones derivadas del cumplimiento de la Política de Seguridad que se apruebe.

ARTÍCULO 7° — La Unidad de Auditoria Interna será el responsable de realizar revisiones independientes sobre la vigencia y el cumplimiento de la Política de Seguridad de la Información.

ARTÍCULO 8° — El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN sesionará en reuniones de carácter ordinario o extraordinario, siendo responsabilidad del Coordinador la elaboración del temario y su difusión, aprobado por el Titular. Las reuniones ordinarias, se realizarán en forma mensual. Las reuniones extraordinarias se efectuarán a requerimiento de cualquiera de los miembros del Comité de Seguridad de la Información. El COMITÉ DE SEGURIDAD DE LA INFORMACIÓN sesionará con la presencia de su Titular, o quien éste designe en su reemplazo, y un representante de la Unidad de Auditoria Interna. La convocatoria y el temario serán distribuidos a los miembros con un mínimo de cinco (5) días hábiles de antelación a la reunión, con la descripción del asunto a tratar, propuesta o antecedentes. Al término de cada reunión, el Coordinador deberá confeccionar un informe donde se describirán los temas tratados, sus riesgos y amenazas, la evaluación de las medidas y recomendaciones adoptadas y detallará los miembros presentes. La misma se distribuirá a los miembros del COMITÉ DE SEGURIDAD DE LA INFORMACIÓN dentro de los tres (3) días hábiles posteriores a la reunión.

ARTÍCULO 9° — Notifíquese a los titulares de todas las Gerencias del Organismo, a los titulares de la Subgerencia de Informática y de la Subgerencia de Fiscalización y al titular de la Unidad de Auditoria Interna, para su conocimiento.

ARTÍCULO 10. — Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese. — Ing. ROBERTO DOMECQ, Director Ejecutivo, Comisión Nacional de Regulación del Transporte.

e. 22/12/2016 N° 97374/16 v. 22/12/2016