Requisitos mínimos para una política de seguridad de la información en la Administración Pública Nacional
La semana pasada, el Director Nacional de Ciberseguridad Gustavo Sain anunció el desarrollo de los 'Requisitos mínimos para las políticas de seguridad de la información de los organismos de la APN' que fueron elevados a las autoridades competentes para su pronta aprobación. Desde Fundación Vía Libre contribuimos a la tarea de formular estos requisitos porque entendemos que es urgente una política apropiada de protección y custodia de los activos digitales en poder del estado, en particular, cuando se trata de infraestructuras críticas y de datos personales de la ciudadanía.
En numerosas ocasiones en este mismo espacio y en otros ámbitos donde participamos activamente, hemos criticado con énfasis la negligencia del Estado a la hora de custodiar datos personales de la ciudadanía. Recordamos en forma permanente que los datos de todos los habitantes de la Nación que el Estado administra no le pertenecen y que es su obligación y responsabilidad la protección de los mismos.
Hace años venimos dando vueltas con el tema. Sin ir mas lejos, siendo Jefe de Gabinete de Ministros, quien hoy es Presidente de la Nación, el Dr. Alberto Fernández, estampó su firma a la Resolución 669/2004 'Política de Seguridad de la Información' que establecía que el Sector Público Nacional debería dictar o adecuar sus políticas de seguridad, conformár comités de seguridad de la información y generar políticas claras en la materia, incluyendo metodologías y procesos relativos a la seguridad, evaluaciones y asegurar la continuidad de esas políticas.
Mucha agua ha corrido bajo este puente en el Estado Argentino, pero lo cierto es que a pesar de algunas declaraciones rimbombantes a lo largo de los años, la infraestructura de seguridad de la información en la Administración Pública está lejos de cumplir con estándares mínimos apropiados.
Hemos hablado varias veces ya sobre la necesidad de tener una política, protocolos de acción, equipos sólidos desde lo técnico pero también desde lo político que permitan dar cuenta de la importancia que tiene la seguridad de la información en poder del estado. Dotar al área de Ciberseguridad de recursos apropiados y muy especialmente de respaldo político que le permita fijar una línea de acción que sea adoptada, respetada y promovida como política de Estado en toda la administración pública.
Basado en la Decisión Administrativa 669/04, se elevó a las autoridades el proyecto de requisitos mínimos de una política de seguridad de la información para los organismos públicos. El objetivo es establecer lineamientos generales, mínimos y de cumplimiento obligatorio para los organismos del sector a fin de proteger los activos de información frente a los riesgos que pudieran comprometer la seguridad de los mismos, proteger la confidencialidad, integridad y disponibilidad de los datos.
En este sentido, es indispensable proteger los derechos de los titulares de los datos personales que administra y trata el sector público, la información y los datos del conjunto de organismos del estado y promover una política responsable y rigurosa en materia de seguridad de la información.
Parece una obviedad, pero está lejos de serlo en un Estado en el que las áreas que se ocupan de esta tarea carecen del presupuesto suficiente y la entidad administrativa necesaria para cubrir un área fundamental de los estados modernos. No es nuestra voluntad compararnos aquí con las áreas equivalentes en países como Francia, Alemania o Nueva Zelanda. Antes de romper en llanto, es menester reconocer las limitaciones vigentes y activar de forma urgente los mecanismos posibles para la construcción, adopción e implementación de una política real en la materia. Una política real no se queda en declaraciones, sino que invierte en formación, establece presupuestos apropiados, ejerce autoridad sobre el campo y fija lineamientos de riguroso cumplimiento.
Desde Vía Libre entendemos que esta tarea es urgente, mucho más que ponerse a desarrollar una base de datos de salud centralizada o seguir atajando crisis como la generada por el ataque a la base de datos de Migraciones hace pocos meses.
La protección de los datos de la ciudadanía es una obligación del Estado y el avance en estas políticas es apenas el primer paso que celebramos con énfasis y esperamos pronto sea aprobado por las autoridades del área competente.
Otro tema abierto en las últimas horas es la urgente definición de quién asumirá el cargo de Director Nacional de Acceso a la Información Pública que el Dr. Eduardo Bertoni deja vacante a partir del 1 de enero del próximo año. Una vez más, repetimos que es necesario revisar la arquitectura institucional a cargo de la protección de datos personales para dotarla de las capacidades necesarias para el cumplimiento de la misión de proteger los datos de la ciudadanía, tanto frente al sector público como al privado.
Ambos temas requieren respuestas apropiadas en el corto plazo. Desde Fundación Vía Libre asumimos una vez más el compromiso de acompañar el debate y la construcción de políticas públicas para la defensa de los derechos y la protección de los datos de la ciudadanía en poder del Estado.
Beatriz Busaniche
Fundación Vía Libre
