La Resolución completa la podes encontrar en
http://www.diarioelaccionista.com.ar/

PARTE IV - Final

SECCIÓN XI
MONITOREO.

ARTÍCULO 81.- La Dirección debe promover un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluida la comunicación sobre debilidades, eventos de seguridad y su temprana detección; manteniendo una actividad proactiva mediante un adecuado monitoreo de las condiciones de seguridad que permitan montar contramedidas oportunas y apropiadas ante los incidentes.

RESPONSABILIDADES Y PROCEDIMIENTOS.

ARTÍCULO 82.- Se deben establecer las responsabilidades y los procedimientos para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.

PRESENTACIÓN DE INFORMES SOBRE LOS EVENTOS DE SEGURIDAD DE LA INFORMACIÓN.

ARTÍCULO 83.- Los eventos de seguridad de la información se deben informar a través de los canales apropiados, tan pronto como sea posible.

PRESENTACIÓN DE INFORMES SOBRE LAS VULNERABILIDADES DE SEGURIDAD DE LA INFORMACIÓN.

ARTÍCULO 84.- Se debe requerir a los empleados y contratistas usuarios de los sistemas de información de la organización, que informen cualquier vulnerabilidad de seguridad de la información observada o sospechada en sistemas o servicios. Se deben realizar análisis exhaustivos para determinar la naturaleza y extensión de los incidentes así como el daño infligido. Mientras la investigación está en curso, se deben tomar medidas inmediatas para contener la situación con el objetivo de prevenir daños adicionales y comenzar los esfuerzos de recuperación para restaurar las operaciones basadas en su planificación de respuesta.

EVALUACIÓN Y DECISIÓN SOBRE LOS EVENTOS DE SEGURIDAD DE LA INFORMACIÓN.

ARTÍCULO 85.- Se deben evaluar los eventos de seguridad de la información y decidir si se los debe clasificar como incidentes de seguridad de la información y asegurar la recolección de información para el proceso de investigación forense.

RESPUESTA A LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.

ARTÍCULO 86.- Se debe responder a los incidentes de seguridad de la información de acuerdo con procedimientos documentados.
Al registrar los incidentes, se deben documentar como mínimo:
• Equipo, usuario, servicio o aplicación afectada
• Ubicación física, horario y día
• Síntomas detectados
• Acciones realizadas
• Cualquier otra información que se considere de relevancia

APRENDIZAJE A PARTIR DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.

ARTÍCULO 87.- Se debe utilizar el conocimiento obtenido del análisis y resolución de los incidentes de seguridad de la información para reducir la probabilidad o el impacto de incidentes futuros. Debe asegurarse de que todo el personal, ya sea permanente o temporal, reciba capacitación para desarrollar y mantener una conciencia apropiada y las competencias necesarias para detectar y abordar los riesgos de seguridad.

RECOLECCIÓN DE LA EVIDENCIA.

ARTÍCULO 88.- La organización debe definir y aplicar procedimientos para la identificación, recolección, adquisición y preservación de la información que se pueda utilizar como evidencia y debe tener la capacidad de asistir o llevar a cabo investigaciones forenses de incidentes cibernéticos y establecer políticas de registro relevantes que incluyan los tipos de evidencias que se deben mantener y sus períodos de retención.

SECCIÓN XII
GESTIÓN DE CONTINUIDAD DEL NEGOCIO.
GESTIÓN DE LA CONTINUIDAD.

ARTÍCULO 89.- Se debe incorporar la continuidad del negocio como parte de los sistemas de gestión de la organización.
El Directorio/Comité es el responsable de aprobar la identificación, la valorización, la gestión y el control de los riesgos relacionados con la continuidad del negocio. Debe asegurar la existencia y la provisión de los recursos necesarios para la creación, mantenimiento y prueba de un plan de recuperación del procesamiento de información automática.
La CMI debe asegurarse de que:
a) Se defina una estructura de gestión del Plan de Continuidad del Negocio acorde con el detalle de sus funciones y responsabilidades relacionadas con esta gestión.
b) Se identificarán las diferentes tipologías de incidentes que alcanzará a la infraestructura de la CMI.
c) Se identifique el personal de respuesta a incidentes con la responsabilidad necesaria, autoridad y competencia para gestionar un incidente y mantener la seguridad de la información;
d) los planes de procedimientos documentados, respuesta y recuperación sean desarrollados y aprobados, que detallen cómo la organización gestionará un evento perjudicial y mantendrá su seguridad de la información a un nivel predeterminado.
De acuerdo con los requisitos de continuidad seguridad de la información, la organización debe establecer, documentar, implementar y mantener controles de seguridad de la información dentro de los procesos de continuidad de negocio o de recuperación de desastres.
Se deben identificar toda la legislación aplicable a su organización con el fin de cumplir con los requisitos para la CMI.

PLANIFICACIÓN DE LA CONTINUIDAD DEL NEGOCIO.

ARTÍCULO 90.- La continuidad del procesamiento de datos automático, que en definitiva posibilita la continuidad de los negocios, deberá evidenciar que se han identificado los eventos que puedan ocasionar interrupciones en sus procesos críticos.
Es responsabilidad del Comité/Directorio aprobar la evaluación de riesgos para determinar el impacto de distintos eventos, tanto en términos de magnitud de daño como del período de recuperación y la vuelta a la normalidad.
Estas actividades deben llevarse a cabo con la activa participación de los propietarios de los procesos y recursos de negocio. La evaluación considerará todos los procesos de negocio alcanzados por esta norma y no se limitará sólo a las instalaciones de procesamiento de la información, sino también a todos los recursos relacionados.
Los resultados de la evaluación deben ser el soporte para la selección de mecanismos alternativos de recuperación y adopción de medidas preventivas para la confección del plan de recuperación y vuelta a la normalidad del procesamiento de datos.

IMPLEMENTACIÓN DE PLAN DE CONTINGENCIA.
ARTÍCULO 91.- Las instalaciones alternativas de procesamiento de datos deben atender los requisitos mínimos establecidos por estas normas, pudiendo ser propias o de terceros.
El equipamiento de las instalaciones de procesamiento alternativo debe contemplar la capacidad de administración y gestión de todos los procesos de negocios clasificados como críticos para asegurar mantener la actividad mínima definida por la CMI.
La instalación alternativa debe prever la existencia de equipamiento destinado a las telecomunicaciones para acceder al servicio mínimo que brinda.
En caso de un siniestro o suceso contingente que torne inoperantes las instalaciones principales, la localización de las instalaciones alternativas deberá ser tal que no sean alcanzadas por el mismo evento. Además, deberán tornarse totalmente operacionales en condiciones idénticas, en una ventana de tiempo tal que no afecte la operación.
La selección de la localización antes mencionada deberá estar soportada por la evidencia documental de la existencia de un análisis de riesgo de eventos simultáneos, que están fehacientemente expresados en el mismo.

IMPLEMENTACIÓN DE LA CONTINUIDAD DEL NEGOCIO.

ARTÍCULO 92 - Se debe evidenciar la existencia de un procedimiento escrito, aprobado formalmente, para atender a la continuidad del procesamiento actividades vinculadas, en el caso que se presenten contingencias o emergencias.
El documento deberá basarse en el mismo análisis de riesgo efectuado para determinar la localización de las instalaciones alternativas de procesamiento de datos, enunciando todos los posibles escenarios que harían que el plan entrará en funcionamiento.
El mismo deberá, como mínimo, contener lo siguiente:
• Procedimientos de emergencia que describan las acciones a emprender una vez ocurrido un incidente. Estos deben incluir disposiciones con respecto a la gestión de vínculos eficaces a establecer con las autoridades públicas pertinentes, por ej.: entes reguladores, policía, bomberos y otras autoridades.
• Los datos de contacto del personal clave.
• Las aplicaciones críticas y su prioridad con respecto a los tiempos de recuperación y regreso a la operación normal.
• El detalle de los proveedores de servicios involucrados en las acciones de contingencia / emergencia.
• La información logística de la localización de recursos claves, incluyendo: ubicación de las instalaciones alternativas, de los resguardos de datos, de los sistemas operativos, de las aplicaciones, los archivos de datos, los manuales de operación y documentación de programas / sistemas / usuarios.

PRUEBA DEL PLAN DE CONTINUIDAD.

ARTÍCULO 93.- El plan de continuidad de procesamiento de datos debe ser probado periódicamente, como mínimo una vez al año. Las pruebas deben permitir asegurar la operatoria integral de todos los sistemas automatizados críticos a efectos de verificar que el plan está actualizado y es eficaz. Las pruebas también deben garantizar que todos los miembros del equipo de recuperación y demás personal relevante estén al corriente del plan mencionado.
Deberá evidenciarse la existencia de un cronograma formal de pruebas que indicará cómo debe probarse cada elemento del plan, y la fecha en la cual cada una de las pruebas deberá ser efectuada.
En las pruebas deben participar las áreas usuarias de los procesos de negocio, quienes deben verificar los resultados de las mismas. Se deberá documentar formalmente su satisfacción con el resultado de la prueba como medio para asegurar la continuidad de los procesos de negocio en caso de que ocurra una contingencia. La auditoría interna de la entidad también deberá conformar la satisfacción por el resultado de las mismas a tal efecto.
El informe realizado por las áreas usuarias y de auditoría interna deberá ser tomado en conocimiento por el Comité/Directorio.

VERIFICACIÓN, REVISIÓN Y VALORACIÓN DE LA CONTINUIDAD DEL NEGOCIO.

ARTÍCULO 94.- Los cambios organizativos, técnicos, de procedimiento y de procesos, ya sea en un contexto operacional o de continuidad, pueden conducir a cambios en los requisitos de continuidad seguridad de la información. En tales casos, la continuidad de los procesos, procedimientos y controles para la seguridad de la información debe ser revisada en contra de estos requisitos que han cambiado.
Las organizaciones deben verificar su información de gestión de la continuidad para la revisión de la validez y eficacia de las medidas de continuidad de seguridad de la información, cuando los sistemas de información, procesos de seguridad de la información, procedimientos y controles o procedimientos de gestión de recuperación de gestión / desastre de continuidad de negocio y soluciones cambian.

REDUNDANCIAS.

ARTÍCULO 95.- Las organizaciones deben identificar los requisitos para la disponibilidad de los sistemas de información. Cuando la disponibilidad no puede ser garantizada mediante la arquitectura de los sistemas existentes, componentes o arquitecturas redundantes deben ser considerados.
Los sistemas de información redundantes deben ser probados para asegurar la conmutación por error de un componente a otro según lo previsto.

SECCIÓN XIII
RELACIÓN CON OTRAS PARTES INTERESADAS.
ECOSISTEMA.

ARTÍCULO 96.- Las partes interesadas (mercados, proveedores de servicio y cualquier otra organización asociada) conforman un ecosistema, con sistemas interconectados y objetivos en común. Con esta premisa, los objetivos de negocio de cada una de las partes deben estar alineados a poder cumplir con los tiempos de recuperación establecidos para el ecosistema en conjunto.

CANAL DE CONTACTO.

ARTÍCULO 97.- Las partes interesadas deben definir un canal de contacto que permita comunicar de forma fehaciente e inmediata cualquier mensaje que las mismas consideren de relevancia.

DOCUMENTACIÓN DE INTERCONEXIONES.

ARTÍCULO 98.- Las partes interesadas deben identificar e inventariar todos los componentes, servicios y sistemas asociados a la plataforma de interconexión. Este inventario debe ser revisado y actualizado al menos una vez por año, o cada vez que la organización lo considere necesario.

IDENTIFICACIÓN DE RIESGOS.

ARTÍCULO 99.- Las partes interesadas deben identificar los riesgos inherentes asociados a cada uno de los componentes que componen el inventario mencionado en el artículo anterior, o que puedan derivar de incidentes ocurridos en plataformas externas.

PRUEBAS CONJUNTAS.

ARTÍCULO 100.- Se deben realizar pruebas en conjunto, y si existiera conflicto de intereses, el ente regulador debe intervenir para arbitrar, supervisar o dar consistencia a los objetivos buscados.

AMBIENTE DE PRUEBAS.

ARTÍCULO 101.- Las partes interesadas deberán tener disponibles ambientes de pruebas funcionalmente equivalentes a los ambientes productivos, que permitan validar el correcto funcionamiento de eventuales cambios en forma previa a la puesta en producción de los mismos.

CONTROL DE CAMBIOS.

ARTÍCULO 102.- En caso de que se planifique o detecte un cambio en las plataformas y servicios de uso compartido o asociadas a la interconexión, la organización responsable debe enviar un aviso a todo el ecosistema en tiempo y forma, a fin de permitirle al resto de las entidades realizar las adecuaciones y pruebas necesarias, utilizando el canal de contacto definido.

ACUERDOS DE INTERCAMBIO DE INFORMACIÓN.

ARTÍCULO 103.- Todo sistema o servicio que represente una plataforma de interconexión debe estar respaldado por un acuerdo de intercambio de información que contemple las acciones a tomar en caso de incidentes que atenten contra la confidencialidad, integridad o disponibilidad de la información afectada.

DETECCIÓN DE VULNERABILIDADES.

ARTÍCULO 104.- En el caso de que alguna de las partes interesadas detecte una amenaza o situación que pueda afectar a la integridad, disponibilidad o confidencialidad de la información en la plataforma de interconexión, deberá dar un aviso al ente regulador, utilizando el canal de contacto establecido anteriormente.

RESPUESTAS ANTE INCIDENTES.

ARTÍCULO 105.- En caso de ocurrencia de incidentes, las partes interesadas involucradas deben colaborar solidariamente brindando información que pueda servir para tareas forenses.

SINCRONIZACIÓN DE RELOJES.

ARTÍCULO 106.- Se debe definir un servicio de sincronización de relojes, utilizando servidores NTP reconocidos en el mercado, a fin de lograr la sincronización exacta de todos tiempos y relojes críticos utilizados para la interconexión”.
ARTÍCULO 3°.- La presente Resolución General entrará en vigencia a partir del día siguiente al de su publicación en el Boletín Oficial de la República Argentina.
ARTÍCULO 4°.- Regístrese, comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial, incorpórese al sitio web del Organismo en www.cnv.gob.ar, agréguese al texto de las NORMAS (N.T. 2013 y mod.) y archívese. — Patricia Noemi Boedo, Vicepresidenta. — Carlos Martin Hourbeigt, Director. — Martin Jose Gavito, Director.
e. 29/08/2017 N° 62164/17 v. 29/08/2017
Fecha de publicación en Boletín Oficial 29/08/2017