La Subsecretaría de Tecnologías de la Información, a través de la Disposición n.° 3/2023, aprobó la Guía de Notificación y Gestión de Incidentes de Ciberseguridad que elaboró el Equipo de Respuesta ante Emergencias Informáticas de Argentina (CERT.ar). Esta Guía está dirigida al Sector Público, los Puntos Focales de Ciberseguridad y para los CERT de la Administración Pública Nacional.

El objetivo de la Guía es establecer una taxonomía común y clasificación sobre los incidentes de seguridad, así como pautas para notificarlos que permitan a los organismos responder de forma rápida, ordenada y eficaz frente a incidentes de ciberseguridad que pudieran afectarlos. Este instrumento fue elaborado sobre la base de guías y documentos internacionales sobre ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST); la Organización Internacional de Estandarización (ISO); la Unión Internacional de Telecomunicaciones (ITU), y la Guía de Mejores Prácticas para la Gestión de Incidentes de la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

Sus secciones más relevantes incluyen:

• Taxonomía y clasificación de un incidente de ciberseguridad:  esta sección define una taxonomía para la clasificación de los incidentes de ciberseguridad que deberán reportarse ante el CERT.ar y busca facilitar el proceso para reportarlos y luego analizarlos, contenerlos y erradicarlos. Los incidentes se clasifican por contenido abusivo; contenido dañino; obtención de información; intrusión; disponibilidad; compromiso de la información; indicio de fraude, activo vulnerable, u otros.
• Notificación de incidentes de ciberseguridad: esta sección detalla el procedimiento que se deberá realizar cuando se necesite reportar algún incidente ante CERT.ar: la información a comunicar; los criterios que se sugieren emplear, y una referencia para asignar niveles de impacto y criticidad según cada caso. A su vez, aclara que los incidentes deberán reportarse dentro de las 48 horas de conocer que ocurrieron o que potencialmente ocurrieron. También brinda información sobre el Traffic Light Protocol o Protocolo de Semaforización de Tráfico que deberá utilizarse para tratar incidentes; además de los tipos de reporte que deberán realizarse y su contenido, y los diferentes estados de seguimiento para los incidentes gestionados.
• Gestión de un incidente de ciberseguridad: esa sección describe las etapas del proceso para gestionar incidentes de seguridad: preparar; identificar; contener; remediar; recuperar, y considerar la actividad luego del incidente. Además, este apartado identifica las acciones y actividades que deberán realizarse en cada una de las etapas.  
• Buenas prácticas para denunciar incidentes de ciberseguridad: esta sección dicta una serie de recomendaciones respecto de la evidencia digital: su definición; sus características, y los principios que la rigen. También se recomienda observar el “Protocolo para la identificación, recolección, procesamiento y presentación de evidencia digital” aprobado por Resolución n.º 232/23 del Ministerio de Seguridad.

Para más información sobre la Guía de Notificación y Gestión de Incidentes de Ciberseguridad consulte aquí.

Por Gustavo L. Morales Oliver, Diego Fernández y Valentina Rocca