Guía de Implementación del Marco de Ciberseguridad 5.0

OR.3 Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta

Requisito OR.3Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta.
ObjetivosContribuir con las buenas prácticas de gestión dentro de la organización definiendo un procedimiento documentado de contacto con autoridades (internas y externas), vinculadas a regulación y cumplimiento en materia de seguridad de la información y ciberseguridad, particularmente, las que deban ser contactadas antes un incidente de ciberseguridad.
Controles

Nivel 1

  • OR.3-1: está designado un punto de contacto oficial para incidentes de ciberseguridad.
  • OR.3-2: se han identificado los contactos de autoridades ante aspectos de ciberseguridad.

Nivel 2

  • OR.3-3: el punto de contacto oficial es conocido por todo el personal.

Nivel 3

  • OR.3-4: los contactos con las autoridades, CSIRT y otros actores externos relevantes están documentados. 

Nivel 4

  • OR.3-5: se revisan y actualizan periódicamente los contactos.
Guía de implementación

Procedimiento o plan de comunicación
Se debe definir el procedimiento o plan de comunicación con autoridades tanto internas como externas en el caso de detectarse un incidente de seguridad de la información o eventos anómalos (confirmados o sospechados). El RSI o quien éste determine, debe ser el punto de contacto ante incidentes de seguridad de la información.
Además, deben indicarse los medios por los cuales se puede o debe realizar el contacto; cómo se dejará constancia de las comunicaciones realizadas y cómo se realizará el seguimiento de cada incidente. 
La lista de contactos debe ser revisada a intervalos regulares para garantizar su adecuación. 
El procedimiento o plan debe contar con los pasos a seguir e identificar los contactos a los cuales informar.

Relacionamiento con autoridades y equipos de respuesta ante incidentes
Dicho procedimiento debe indicar cómo contactar con el equipo de respuestas ante incidentes de seguridad o a referentes con capacidad de articular soluciones, dependiendo del caso.

Dicho procedimiento debe definir específicamente cómo, y ante qué casos, contactar al CERTuy (responsables, canales de comunicación, difusión del procedimiento) así como con URCDP, el Ministerio del Interior u otras autoridades; este procedimiento deberá basarse en las guías y normativa asociada vigente.  
Es recomendable que el RSI mantenga contacto con CERTuy, foros y otros grupos especializados para estar atento al surgimiento de nuevas amenazas y vulnerabilidades.

Instituciones de saludAnte incidentes de seguridad que afecten o puedan afectar a la infraestructura de HCEN (por ejemplo, incidentes en sistemas que procesan o almacenan información de salud) o sus sistemas circundantes (por ejemplo, servidores DNS, Firewalls, Correo, etc.), deben reportarse siempre al CERTuy o equipo de respuesta que corresponda. 
Instituciones Emisoras de Dinero Electrónico (IEDE)Los incidentes deben ser comunicados al BCU conforme normativa vigente.
Guía de evidencia para auditoría
  • Comunicación formal con autoridades (correo, expediente, nota, etc.)
  • Lista de contactos
  • Designación del contacto ante para incidentes de ciberseguridad.
Normativa asociadaLey 20.212, art. 78
Decreto 66/025, art. 8 literial i, 10, 11

Etiquetas