Guía de Implementación del Marco de Ciberseguridad 5.0

GI.3 Informar de forma completa e inmediata a las partes interesadas

Requisito GI.3Informar de forma completa e inmediata a las partes interesadas
ObjetivoAsegurar que los incidentes de seguridad de la información se reportan a las personas adecuadas y en forma consistente de acuerdo a la política de gestión de incidentes. Determinar si es un incidente de seguridad informática a reportar al CERTuy o equipo de respuestas externo. Asimismo, identificar si se debe reportar a otras partes interesadas como organismos reguladores, propietarios de datos, clientes, u entidades, conforme lo establezca la normativa vigente o las políticas internas de la organización.
Controles

Nivel 1

  • GI.3-1: los incidentes de seguridad informática se reportan al CERTuy y/o al equipo de respuesta que corresponda de acuerdo a los criterios establecidos por éste.
  • GI.3-2: los incidentes de seguridad que involucre datos personales son reportados a la Unidad Reguladora y de Control de Datos Personales (URCDP), conforme a los plazos y requisitos establecidos por la normativa vigente.
  • GI.3-3: los incidentes de seguridad que pueda corresponder a un delito son denunciados ante la Unidad de cibercrimen.

Nivel 2

  • GI.3-4: se lleva un registro de las comunicaciones realizadas ante incidentes, incluyendo hora, contenido y destinatarios.

Nivel 3

  • GI.3-5: se ha documentado un procedimiento formal de comunicación de incidentes.

Nivel 4

  • GI.3-6: el procedimiento de comunicación de incidentes se revisa regularmente y se ajusta ante cambios regulatorios, lecciones aprendidas o recomendaciones del CERTuy.
  • GI.3-7: se realizan simulacros de reporte de incidentes para validar la efectividad del canal de comunicación y los tiempos de reacción.
  • GI.3-8: se auditan periódicamente los canales, mecanismos y procedimientos de notificación establecidos para incidentes de seguridad.
Guía de implementación

Se deben definir los canales de gestión de incidentes de seguridad de la información internamente en la organización.

El RSI o quien este determine debe ser el punto de contacto ante incidentes detectados o sospechados. Eventualmente, el RSI podría designar a alguien para que cumpla este rol.

Es recomendable definir procedimientos para un adecuado reporte de los incidentes que aplique a la organización y sus proveedores, indicando claramente responsables, el orden de los pasos, puntos de contacto y las herramientas a utilizar.

Siempre debe contactarse al CERTuy por las vías de comunicación publicadas en su sitio Web: www.cert.uy.

Las entidades obligadas deben comunicar la ocurrencia de incidentes de ciberseguridad al CERTuy en un plazo de 24 (veinticuatro) horas de conocido el incidente, según lo establecido en el artículo 10 del decreto 66/025

Unidad de cibercrimen (Ministerio del interior - Policía Nacional)
Si se identifica un incidente que pueda corresponder a un delito, se debe presentar una denuncia ante la Unidad de cibercrimen para iniciar la investigación judicial correspondiente.

Datos de contacto de la Unidad de Cibercrimen (Dirección de Investigaciones de la Policía Nacional)

Quien realice la denuncia penal debe tener poder de representación del organismo. 

Unidad de Regulación y Control de Datos Personales (URCDP)
Si se sospecha o confirma que los datos personales están afectados, el incidente debe reportarse a la URCDP dentro de las 72 horas, según lo establecido en el artículo 4 del decreto 64/020.
Acceda a la información sobre el proceso de reclamo ante la URCDP.

Instituciones de saludEn función a lo establecido en el Compromiso de Uso de la Red Salud, V. Obligaciones del Usuario, punto c) Obligación de reportar incidentes: “Los Usuarios deberán reportar ante Agesic cualquier incidente que represente un riesgo directo o indirecto a la Red Salud o cualquiera de sus componentes”.
Instituciones Emisoras de Dinero Electrónico (IEDE)

Sí un incidente de seguridad afectará o pudiera afectar a los intereses financieros de los usuarios de sus servicios de pago, el proveedor de servicios de pago les informará.

Se le debe notificar al BCU conforme la normativa vigente.

Guía de evidencia para auditoría 
  • Política de gestión de incidentes de seguridad de la información.
  • Procedimiento para el reporte de incidentes de seguridad de la información.
  • Lista de incidentes de seguridad de la información reportados al CERTuy o equipo de respuesta correspondiente con detalle de seguimiento, fecha y hora de registro.
  • Registro de comunicaciones realizadas ante incidentes durante el período auditado.
  • Registro o actas de simulacros de notificación de incidentes.
  • Auditorías internas o revisiones periódicas realizadas sobre los canales, mecanismos y procedimientos de comunicación definidos.
Normativa asociada

Ley N° 20.327

Decreto 64/020

Decreto 66/025 

Etiquetas