OR.3 Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta | Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Pasar al contenido principal

OR.3 Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta

Requisito OR.3	Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta.
Objetivos	Contribuir con las buenas prácticas de gestión dentro de la organización definiendo un procedimiento documentado de contacto con autoridades (internas y externas), vinculadas a regulación y cumplimiento en materia de seguridad de la información y ciberseguridad, particularmente, las que deban ser contactadas antes un incidente de ciberseguridad.
Controles	Nivel 1 OR.3-1: está designado un punto de contacto oficial para incidentes de ciberseguridad. OR.3-2: se han identificado los contactos de autoridades ante aspectos de ciberseguridad. Nivel 2 OR.3-3: el punto de contacto oficial es conocido por todo el personal. Nivel 3 OR.3-4: los contactos con las autoridades, CSIRT y otros actores externos relevantes están documentados. Nivel 4 OR.3-5: se revisan y actualizan periódicamente los contactos.
Guía de implementación	Procedimiento o plan de comunicación Se debe definir el procedimiento o plan de comunicación con autoridades tanto internas como externas en el caso de detectarse un incidente de seguridad de la información o eventos anómalos (confirmados o sospechados). El RSI o quien éste determine, debe ser el punto de contacto ante incidentes de seguridad de la información. Además, deben indicarse los medios por los cuales se puede o debe realizar el contacto; cómo se dejará constancia de las comunicaciones realizadas y cómo se realizará el seguimiento de cada incidente. La lista de contactos debe ser revisada a intervalos regulares para garantizar su adecuación. El procedimiento o plan debe contar con los pasos a seguir e identificar los contactos a los cuales informar. Relacionamiento con autoridades y equipos de respuesta ante incidentes Dicho procedimiento debe indicar cómo contactar con el equipo de respuestas ante incidentes de seguridad o a referentes con capacidad de articular soluciones, dependiendo del caso. Dicho procedimiento debe definir específicamente cómo, y ante qué casos, contactar al CERTuy (responsables, canales de comunicación, difusión del procedimiento) así como con URCDP, el Ministerio del Interior u otras autoridades; este procedimiento deberá basarse en las guías y normativa asociada vigente. Es recomendable que el RSI mantenga contacto con CERTuy, foros y otros grupos especializados para estar atento al surgimiento de nuevas amenazas y vulnerabilidades.
Instituciones de salud	Ante incidentes de seguridad que afecten o puedan afectar a la infraestructura de HCEN (por ejemplo, incidentes en sistemas que procesan o almacenan información de salud) o sus sistemas circundantes (por ejemplo, servidores DNS, Firewalls, Correo, etc.), deben reportarse siempre al CERTuy o equipo de respuesta que corresponda.
Instituciones Emisoras de Dinero Electrónico (IEDE)	Los incidentes deben ser comunicados al BCU conforme normativa vigente.
Guía de evidencia para auditoría	Comunicación formal con autoridades (correo, expediente, nota, etc.) Lista de contactos Designación del contacto ante para incidentes de ciberseguridad.
Normativa asociada	Ley 20.212, art. 78 Decreto 66/025, art. 8 literial i, 10, 11

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay