El Gobierno de Mendoza envió a la Legislatura el proyecto de ley contra el ciberdelito que había anunciado semanas atrás. Esta norma crea un sistema seguridad informática con obligaciones para todos los poderes del Estado y servicios públicos esenciales, incorpora un plan de gestión de riesgos y habilita la colaboración de especialistas y hackers éticos para detectar vulnerabilidades.
- Sitio Andino >
- Política >
El Gobierno de Mendoza presentó un proyecto contra el ciberdelito: plan de gestión de riesgos y hacker éticos
El Gobierno de Mendoza envió a la Legislatura el proyecto de Ley de Ciberseguridad para proteger los datos en todos los poderes del Estado.
Este jueves llegó a la Cámara de Senadores el texto de la iniciativa con la que el Ejecutivo busca "transformar lo que Mendoza ya viene haciendo en una política de Estado, con continuidad, reglas claras, responsabilidades definidas, herramientas modernas, cooperación regional e internacional, protección de datos, participación de especialistas y capacidad de respuesta":
La propuesta fue presentada por la ministra de Seguridad y Justicia, Mercedes Rus; el subsecretario de Tecnología Aplicada a la Seguridad, Leandro Biskupovich; y el subsecretario de Justicia, Juan Carlos Jaliff.
Qué dice el proyecto del Gobierno contra el ciberdelito
Esta Ley de Ciberseguridad que será debatida en la Legislatura establece un marco legal para organizar la política provincial en la materia y fija los presupuestos mínimos que deberán cumplir los organismos públicos para proteger los sistemas digitales del Estado y reducir el riesgo frente a ciberataques.
A su vez, la iniciativa incorpora criterios de control de daños para evitar que un incidente se propague a otros organismos, promueve la coordinación entre todas las dependencias del Estado y establece que cada organismo será responsable de la seguridad de sus propios datos, activos y servicios digitales. Además, obliga a actualizar periódicamente el sistema para adaptarlo a la evolución tecnológica y a las nuevas amenazas.
Uno de los principales puntos del proyecto es la creación del Comité de Conducción Estratégica de Ciberseguridad (CCEC), que tendrá funciones estratégicas, normativas y de supervisión institucional. Estará integrado por representantes de las áreas tecnológicas de los ministerios provinciales o por los funcionarios que designe el Poder Ejecutivo y podrá convocar una mesa técnica interinstitucional.
El CCEC será el organismo encargado de elaborar y supervisar el Plan Provincial de Ciberseguridad, definir los estándares y requisitos obligatorios que deberán cumplir los organismos públicos, clasificar la criticidad de los activos e infraestructura digital y fijar las prioridades de implementación según el nivel de riesgo. Además, fiscalizará el cumplimiento de la política provincial, recepcionará reportes sobre vulnerabilidades detectadas en los sistemas, entre otras funciones. Ante incumplimiento, se prevé sanciones.
Qué deberá incluir el Plan Provincial de Ciberseguridad
El Plan Provincial de Ciberseguridad establecerá los estándares, guías, lineamientos técnicos y requisitos mínimos de ciberseguridad de cumplimiento obligatorio para los organismos que queden alcanzados por el mismo. Estos deberán incluir:
- Requisitos mínimos de seguridad
- Procedimientos de gestión de incidentes
- Criterios de clasificación de criticidad
- Lineamientos de continuidad y recuperación
- Controles de cumplimiento
- Criterios de reporte
- Requisitos aplicables a proveedores
- Condiciones de integración segura con plataformas provinciales
- Criterios de aceptación y tratamiento del riesgo
- Obligaciones diferenciadas para Infraestructura Digital Crítica Provincial
- Condiciones mínimas de operación de capacidades SOC y CSIRT
Cómo se implementará este sistema contra el ciberdelito
El proyecto establece una separación entre las funciones de control y las de ejecución. En ese sentido, dispone que la fiscalización técnica y el control del Plan Provincial de Ciberseguridad deberán mantenerse funcionalmente separados de la ejecución operativa.
La iniciativa también impone obligaciones específicas para los organismos responsables de la infraestructura digital crítica. Estas dependencias deberán implementar medidas reforzadas de ciberseguridad, continuidad operativa, recuperación ante desastres, monitoreo permanente, gestión de vulnerabilidades, control de accesos, registro de eventos y respuesta ante incidentes. Además, estarán obligadas a documentar las acciones de seguridad realizadas, participar en auditorías, revisiones y simulacros periódicos, y designar un responsable institucional que actúe como nexo con el CCEC y la Autoridad de Ejecución Operativa.
Otro de los ejes del proyecto es la incorporación de un régimen de gobierno de datos. Todos los organismos alcanzados deberán adoptar medidas para preservar la confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad, calidad, legalidad y uso legítimo de la información bajo su responsabilidad. Asimismo, cualquier acceso, intercambio, transferencia o exportación de datos deberá responder a una finalidad institucional legítima, contar con autorización previa, quedar registrado de manera auditable y respetar criterios de proporcionalidad, seguridad y confidencialidad.
Qué dice el proyecto sobre posibles incidentes
En caso de incidentes críticos de ciberseguridad, se podrán aplicar medidas inmediatas de contención conforme a los protocolos establecidos. A su vez, prevé la creación de un esquema escalonado para el reporte de casos, que incluirá una alerta temprana, una actualización inicial, un informe final y un seguimiento posterior cuando el incidente continúe activo o genere efectos diferidos.
La propuesta también crea el Registro Provincial de Incidentes de Ciberseguridad, que será administrado por la Autoridad de Ejecución Operativa bajo la fiscalización técnica del CCEC, para centralizar la información sobre ataques y vulnerabilidades.