GI.3 Informar de forma completa e inmediata a las partes interesadas
Requisito GI.3 | Informar de forma completa e inmediata a las partes interesadas |
---|---|
Objetivo | Asegurar que los incidentes de seguridad de la información se reportan a las personas adecuadas y en forma consistente de acuerdo a la política de gestión de incidentes. Determinar si es un incidente de seguridad informática a reportar al CERTuy o equipo de respuestas externo. Asimismo, identificar si se debe reportar a otras partes interesadas como organismos reguladores, propietarios de datos, clientes, u entidades, conforme lo establezca la normativa vigente o las políticas internas de la organización. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Se deben definir los canales de gestión de incidentes de seguridad de la información internamente en la organización. El RSI o quien este determine debe ser el punto de contacto ante incidentes detectados o sospechados. Eventualmente, el RSI podría designar a alguien para que cumpla este rol. Es recomendable definir procedimientos para un adecuado reporte de los incidentes que aplique a la organización y sus proveedores, indicando claramente responsables, el orden de los pasos, puntos de contacto y las herramientas a utilizar. Siempre debe contactarse al CERTuy por las vías de comunicación publicadas en su sitio Web: www.cert.uy. Las entidades obligadas deben comunicar la ocurrencia de incidentes de ciberseguridad al CERTuy en un plazo de 24 (veinticuatro) horas de conocido el incidente, según lo establecido en el artículo 10 del decreto 66/025. Unidad de cibercrimen (Ministerio del interior - Policía Nacional) Datos de contacto de la Unidad de Cibercrimen (Dirección de Investigaciones de la Policía Nacional)
Quien realice la denuncia penal debe tener poder de representación del organismo. Unidad de Regulación y Control de Datos Personales (URCDP) |
Instituciones de salud | En función a lo establecido en el Compromiso de Uso de la Red Salud, V. Obligaciones del Usuario, punto c) Obligación de reportar incidentes: “Los Usuarios deberán reportar ante Agesic cualquier incidente que represente un riesgo directo o indirecto a la Red Salud o cualquiera de sus componentes”. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | Sí un incidente de seguridad afectará o pudiera afectar a los intereses financieros de los usuarios de sus servicios de pago, el proveedor de servicios de pago les informará. Se le debe notificar al BCU conforme la normativa vigente. |
Guía de evidencia para auditoría |
|
Normativa asociada |