Gestión integral de la

ciberseguridad

Marco normativo de la
ciberseguridad
Resolución 1523/2019

JEFATURA DE GABINETE DE MINISTROS

DEFINICION DE INFRAESTRUCTURAS CRITICAS
Fecha de sanción 12-09-2019
Publicada en el Boletín Nacional del 18-Sep-2019
 Apruébese la definición de Infraestructuras Críticas y de
Infraestructuras Críticas de Información, la enumeración de los
criterios de identificación y la determinación de los sectores
alcanzados, que como Anexo I (IF-2019-78452510-APN-
SGM#JGM) forma parte de la presente medida.

Apruébese el Glosario de Términos de Ciberseguridad, que como

Anexo II (IF-2019-78455467-APN-SGM#JGM) forma parte de la
presente medida.
 Delégase en el Director Nacional de Ciberseguridad de la
SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA
DE GABINETE DE MINISTROS, la revisión y actualización periódica
del Glosario aprobado en el artículo 2° de la presente medida.
Las Infraestructuras Críticas son aquellas que resultan
indispensables para el adecuado funcionamiento de los servicios
esenciales de la sociedad, la salud, la seguridad, la defensa, el
bienestar social, la economía y el funcionamiento efectivo del
Estado, cuya destrucción o perturbación, total o parcial, los
afecte y/o impacte significativamente.

Las Infraestructuras Críticas de Información son las tecnologías

de información, operación y comunicación, así como la
información asociada, que resultan vitales para el
funcionamiento o la seguridad de las Infraestructuras Críticas.
 IMPACTO EN LA VIDA IMPACTO ECONÓMICO IMPACTO EN EL MEDIO IMPACTO EN EL IMPACTO PUBLICO O IMPACTO EN EL IMPACTO EN LA IMPACTO EN
HUMANA Existe impacto AMBIENTE EJERCICIO DE LOS SOCIAL: EJERCICIO DE LAS SOBERANIA NACIONAL: MANTENIMIENTO DE
Existe impacto para la económico para el país, Existe impacto en el DERECHOS HUMANOS Existe impacto público FUNCIONES DEL Existe impacto sobre la LA INTEGRIDAD
vida humana, en en aquellos casos en los medio ambiente Y DE LAS LIBERTADES o social, en aquellos ESTADO: soberanía nacional, TERRITORIAL
aquellos casos en los cuales debido a la cuando debido a la INDIVIDUALES casos en que debido a Existe impacto en el cuando mediante la NACIONAL:
cuales debido a la afectación de un afectación de un Existe impacto en la afectación de un ejercicio de las afectación de un Existe impacto en el
afectación de un sistema informático se sistema informático se ejercicio de derechos sistema informático se funciones del Estado, sistema informático se mantenimiento de la
sistema informático, se genere daño o afecte negativamente o humanos o de las produzcan cuando debido a la cuestione o restrinja el integridad territorial
genere riesgo de amenaza de daño, dañe gravemente el libertades individuales acontecimientos afectación de un poder del Estado nacional, cuando
pérdida de vida o grave grave, a la estructura espacio en el que se en aquellos casos en susceptibles de sistema informático, se Nacional en el ámbito mediante la afectación
amenaza a la salud e productiva y/o desarrolla la vida de los que mediante cualquier provocar grave afecte de manera del territorio de de un sistema
integridad física de las financiera del país seres vivos. acción desarrollada conmoción en una sustancial el normal nacional. informático, se
personas. mediante un sistema parte significativa de la desempeño de los vulneren las fronteras
informático, se restrinja población. órganos de los poderes territoriales, marítimas
o coarte Ejecutivo, Legislativo o o espaciales de la
indebidamente de Judicial nación.
manera colectiva, el
pleno ejercicio de los
derechos consagrados
en los Tratados
Internacionales, la
Constitución Nacional o
las leyes.
 Salud Químico

Energía Hídrico

Tecnologías de
Información y
Comunicaciones

Transportes Alimentación

Finanzas Nuclear

Espacio

Estado
 Amenaza: circunstancia desfavorable que puede ocurrir y que
cuando sucede tiene consecuencias negativas sobre los activos
provocando su indisponibilidad, funcionamiento incorrecto o
pérdida de valor. Una amenaza puede tener causas
naturales, ser accidental o intencionada (CCN, 2015, pág. 57).

Análisis de riesgos: es un proceso que comprende la identificación de activos

de información, sus vulnerabilidades y las amenazas a los que se encuentran
expuestos, así como la probabilidad de ocurrencia y el impacto de las mismas,
a fin de determinar los controles adecuados para tratar el riesgo (CCN, 2015,
pág. 19). Permite comprender la naturaleza del riesgo y determinar el nivel de
riesgo.
Ciberamenaza: amenaza a los sistemas y servicios presentes en
el ciberespacio o alcanzables a través de éste (CCN, 2015, pág.
202).

Ciberataque: acción producida en el ciberespacio que

compromete la disponibilidad, integridad y confidencialidad de la
información mediante el acceso no autorizado, la modificación,
degradación o destrucción de los sistemas de información y
telecomunicaciones o las infraestructuras que los soportan.
(CCN, 2015, pág. 203)
Ciberespacio: es el ambiente complejo que resulta de la
interacción de personas, software, y servicios en internet por
medio de dispositivos y redes conectadas. No posee existencia
física sino que es un dominio virtual que engloba todos los
sistemas TICs (CCN, 2015, pág. 208).

Ciberseguridad: es la preservación de la confidencialidad,

integridad y disponibilidad de la información en el ciberespacio.
Confidencialidad: es la propiedad de la información por la que se
garantiza que está accesible únicamente a personal autorizado a
acceder a dicha información (INCIBE, pág. 17).

Disponibilidad: se trata de la capacidad de un servicio, un

sistema o una información de ser accesible y utilizable por los
usuarios o procesos autorizados cuando éstos lo requieran
(INCIBE, pág. 21).
Denegación de servicio o DoS: un conjunto de técnicas que
tienen por objetivo dejar un servidor inoperativo. Mediante este
tipo de ataques se busca sobrecargar un servidor y de esta forma
impedir que los usuarios legítimos puedan utilizar los servicios
por prestados por él. El ataque consiste en saturar con peticiones
de servicio al servidor provocando su colapso (INCIBE, pág. 20).

Denegación de servicio distribuida o DDoS: ataque de

denegación de servicio que se realiza utilizando múltiples puntos
de ataque simultáneamente (CCN, 2015, pág. 363).
Evaluación del riesgo: proceso de comparación de los resultados
del análisis del riesgo con los criterios de riesgo para determinar
si el riesgo y/o magnitud son aceptables o tolerables. Ayuda a la
toma de decisiones sobre el tratamiento del riesgo.

Incidente: una ocurrencia que real o potencialmente resulte en

una consecuencia adversa o amenaza para un sistema de
información o la información que el sistema procesa, almacena o
transmite y que puede requerir una acción de respuesta para
mitigar las consecuencias (NICCS, 2018).
Integridad: propiedad de la información por la que se garantiza
la exactitud de los datos transportados o almacenados
asegurando que no se ha producido su alteración, pérdida o
destrucción, ya sea de forma accidental o intencionada, por
errores de software o hardware o por condiciones
medioambientales (INCIBE, pág. 25.).

Matriz de riesgo: herramienta que permite presentar

conjuntamente varios riesgos de forma que quede clara su
importancia (CCN, 2015, pág. 586).
Resiliencia: capacidad de un sistema o red para recuperarse de
forma automática de una interrupción.

Riesgo: potencial de que una amenaza específica explote las

debilidades de un activo o grupo de activos para ocasionar
pérdida y/o daño a los activos. Por lo general se mide por medio
de una combinación del impacto y la probabilidad de ocurrencia
(CCN, 2015, pág. 756)
SECTOR PÚBLICO NACIONAL

Decisión Administrativa 641/2021

DECAD-2021-641-APN-JGM - Requisitos mínimos de Seguridad

de la Información para Organismos.
II. OBJETIVOS
Objetivo general
Establecer los lineamientos generales y mínimos para los organismos del Sector Público Nacional
comprendidos en el inciso a) del artículo 8º de la Ley No 24.156, con el fin de proteger los activos de
información, frente a riesgos internos o externos, que pudieran afectarlos, para así preservar su
confidencialidad, integridad y disponibilidad.

Objetivos específicos
Proteger los derechos de los titulares de datos personales o propietarios de información que es tratada por
el Sector Público Nacional.

Proteger la información, los datos personales y activos de información propios del conjunto de organismos
que componen el Sector Público Nacional.

Promover una política pública que enmarque una conducta responsable en materia de seguridad de la
información de los organismos que conforman el Sector Público Nacional, sus agentes y funcionarios.

Evidenciar el compromiso e interés de quienes componen el Sector Público Nacional en pos del desarrollo de
una cultura de ciberseguridad.
JEFATURA DE GABINETE DE MINISTROS
ESTRATEGIA NACIONAL DE CIBERSEGURIDAD - APROBACION
Fecha de sanción 24-05-2019
Publicada en el Boletín Nacional del 28-Mayo-2019

RESPETO POR LOS DERECHOS Y LIBERTADES INDIVIDUALES: La

protección de las personas en materia de ciberseguridad debe
contemplar el respeto por los derechos y libertades individuales
consagrados en la CONSTITUCIÓN NACIONAL y en los Tratados
Internacionales en los cuales la REPÚBLICA ARGENTINA sea
parte.
LIDERAZGO, CONSTRUCCIÓN DE CAPACIDADES Y FORTALECIMIENTO FEDERAL: En materia
de ciberseguridad el Estado Nacional debe asumir el liderazgo y construir capacidades de
detección, prevención y respuesta a incidentes cibernéticos, en coordinación con los
estados provinciales, la CIUDAD AUTÓNOMA DE BUENOS AIRES, los municipios, el sector
privado, el sector académico y la sociedad civil, con una adecuada articulación de las
competencias y recursos involucrados.

INTEGRACIÓN INTERNACIONAL: El carácter transfronterizo de

las amenazas requiere de la cooperación global y regional. El
Estado Nacional debe unir sus fuerzas con otros actores
internacionales generando todas las posibles sinergias, con el
fin de resolver esta problemática.
CULTURA DE CIBERSEGURIDAD Y RESPONSABILIDAD COMPARTIDA: La
masividad y capilaridad del fenómeno digital conlleva a la necesidad de que
las organizaciones públicas y privadas, académicas, la sociedad civil y la
ciudadanía, deban asumir las correspondientes responsabilidades para
garantizar un Ciberespacio seguro. El Estado Nacional debe promover la
generación de una cultura de ciberseguridad.

FORTALECIMIENTO DEL DESARROLLO SOCIOECONÓMICO: Atento que la

ciberseguridad es indispensable para potenciar las posibilidades que brinda
el Ciberespacio para el progreso económico y social de la Nación, el Estado
Nacional debe establecer los instrumentos necesarios para alcanzar un
entorno ciberseguro.
 Concientización del
uso seguro del
Ciberespacio.

Protección de las Capacitación y

Infraestructuras educación en el uso
Críticas Nacionales de seguro del
Información. Ciberespacio.

Cooperación Desarrollo del marco

Internacional. normativo.

Fortalecimiento de
Fomento de la
capacidades de
industria de la
prevención, detección
ciberseguridad.
y respuesta.

Protección y
recuperación de los
sistemas de
información del Sector
Público.
 Pornografía infantil por internet u otros medios electrónicos (articulo N° 128 C.P.);
 Violación, apoderamiento y desvío de comunicación electrónica (articulo N° 153, párrafo
1º C.P.);
 Intercepción o captación de comunicaciones electrónicas o telecomunicaciones (artículo
N° 153, párrafo 2º C.P.);
 Acceso a un sistema o dato informático (artículo N° 153 bis C.P.);
 Publicación de una comunicación electrónica (artículo N° 155 C.P.);
 Acceso a un banco de datos personales (artículo N° 157 bis, párrafo 1º C.P.);
 Revelación de información registrada en un banco de datos personales (artículo N° 157
bis, párrafo 2º C.P.);
 Inserción de datos falsos en un archivo de datos personales (artículo N° 157 bis, párrafo
2º C.P.); anteriormente regulado en el artículo N° 117 bis, párrafo 1º, incorporado por la
Ley de Hábeas Data;
 Fraude informático (artículo N° 173, inciso 16 C.P.);
 Daño o sabotaje informático (artículos N° 183 y 184, incisos 5º y 6º C.P.).
A los fines de la presente ley se entiende por:

— Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.

— Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual.

— Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento,
electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.

— Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento,
modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de
comunicaciones, consultas, interconexiones o transferencias.

— Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de
datos.

— Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado.

— Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del
tratamiento al que se refiere la presente ley.

— Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través
de conexión con los mismos.

— Disociación de datos: Todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable.
ARTICULO 9° — (Seguridad de los datos).

1. El responsable o usuario del archivo de datos debe adoptar las medidas

técnicas y organizativas que resulten necesarias para garantizar la seguridad y
confidencialidad de los datos personales, de modo de evitar su adulteración,
pérdida, consulta o tratamiento no autorizado, y que permitan detectar
desviaciones, intencionales o no, de información, ya sea que los riesgos
provengan de la acción humana o del medio técnico utilizado.

2. Queda prohibido registrar datos personales en archivos, registros o bancos

que no reúnan condiciones técnicas de integridad y seguridad.
ARTICULO 12. — (Transferencia internacional).

1. Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que
no proporcionen niveles de protección adecuados.

2. La prohibición no regirá en los siguientes supuestos:

a) Colaboración judicial internacional;

b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en
tanto se realice en los términos del inciso e) del artículo anterior;

c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte
aplicable;

d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea
parte;

e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el
crimen organizado, el terrorismo y el narcotráfico.
 C IA
E N
Gestión integral de la A SIST
A
ciberseguridad E Y L
A S
C L
E N
IÓ N
A C
IP
T IC
A R
A P
L
PO
R Marco normativo de la
A S
A C I ciberseguridad
G R