Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• GI.3-1: los incidentes de seguridad informática se reportan al CERTuy y/o al equipo de respuesta que corresponda de acuerdo a los criterios establecidos por éste.
• GI.3-2: los incidentes de seguridad que involucre datos personales son reportados a la Unidad Reguladora y de Control de Datos Personales (URCDP), conforme a los plazos y requisitos establecidos por la normativa vigente.
• GI.3-3: los incidentes de seguridad que pueda corresponder a un delito son denunciados ante la Unidad de cibercrimen.

Nivel 2

• GI.3-4: se lleva un registro de las comunicaciones realizadas ante incidentes, incluyendo hora, contenido y destinatarios.

Nivel 3

• GI.3-5: se ha documentado un procedimiento formal de comunicación de incidentes.

Nivel 4

• GI.3-6: el procedimiento de comunicación de incidentes se revisa regularmente y se ajusta ante cambios regulatorios, lecciones aprendidas o recomendaciones del CERTuy.
• GI.3-7: se realizan simulacros de reporte de incidentes para validar la efectividad del canal de comunicación y los tiempos de reacción.
• GI.3-8: se auditan periódicamente los canales, mecanismos y procedimientos de notificación establecidos para incidentes de seguridad.

Se deben definir los canales de gestión de incidentes de seguridad de la información internamente en la organización.

El RSI o quien este determine debe ser el punto de contacto ante incidentes detectados o sospechados. Eventualmente, el RSI podría designar a alguien para que cumpla este rol.

Es recomendable definir procedimientos para un adecuado reporte de los incidentes que aplique a la organización y sus proveedores, indicando claramente responsables, el orden de los pasos, puntos de contacto y las herramientas a utilizar.

Siempre debe contactarse al CERTuy por las vías de comunicación publicadas en su sitio Web: www.cert.uy.

Las entidades obligadas deben comunicar la ocurrencia de incidentes de ciberseguridad al CERTuy en un plazo de 24 (veinticuatro) horas de conocido el incidente, según lo establecido en el artículo 10 del decreto 66/025. 

Unidad de cibercrimen (Ministerio del interior - Policía Nacional)
Si se identifica un incidente que pueda corresponder a un delito, se debe presentar una denuncia ante la Unidad de cibercrimen para iniciar la investigación judicial correspondiente.

Datos de contacto de la Unidad de Cibercrimen (Dirección de Investigaciones de la Policía Nacional)

• Dirección: Carlos Quijano 1316, Montevideo
• Correo electrónico: dipn-cibercrimen@minterior.gub.uy
  Tel: 2030-4625

Quien realice la denuncia penal debe tener poder de representación del organismo. 

Unidad de Regulación y Control de Datos Personales (URCDP)
Si se sospecha o confirma que los datos personales están afectados, el incidente debe reportarse a la URCDP dentro de las 72 horas, según lo establecido en el artículo 4 del decreto 64/020.
Acceda a la información sobre el proceso de reclamo ante la URCDP.

Sí un incidente de seguridad afectará o pudiera afectar a los intereses financieros de los usuarios de sus servicios de pago, el proveedor de servicios de pago les informará.

Se le debe notificar al BCU conforme la normativa vigente.

• Política de gestión de incidentes de seguridad de la información.
• Procedimiento para el reporte de incidentes de seguridad de la información.
• Lista de incidentes de seguridad de la información reportados al CERTuy o equipo de respuesta correspondiente con detalle de seguimiento, fecha y hora de registro.
• Registro de comunicaciones realizadas ante incidentes durante el período auditado.
• Registro o actas de simulacros de notificación de incidentes.
• Auditorías internas o revisiones periódicas realizadas sobre los canales, mecanismos y procedimientos de comunicación definidos.

Ley N° 20.327

Decreto 64/020

Decreto 66/025