Guía de Implementación del Marco de Ciberseguridad 5.0

SC.6 Establecer acuerdos de no divulgación

Requisito SC.6Establecer acuerdos de no divulgación
ObjetivoProteger la información de la organización.
Controles

Nivel 1

  • SC.6-1: los nuevos proveedores de servicios deben firmar acuerdos de confidencialidad o no divulgación (NDA) antes del inicio de la relación contractual.
  • SC.6-2: todo nuevo personal incorporado debe estar cubierto por cláusulas confidencialidad y no divulgación, ya sea en acuerdos, estatuto o normativa interna.

Nivel 2

  • SC.6-3: la obligación de confidencialidad y no divulgación se extiende a todo el personal de la organización, independientemente de su rol o tipo de contratación.
  • SC.6-4: todos los proveedores que deban acceder a información confidencial de la organización deben tener firmado un acuerdo de no divulgación.

Nivel 3

  • SC.6-5: se detallan en los acuerdos de no divulgación las responsabilidades y sanciones por incumplimiento.

Nivel 4

  • SC.6-6: se revisan los acuerdos de no divulgación de forma periódica para verificar pertinencia en relación a los objetivos de negocio.
  • SC.6-7: el resultado de las revisiones se comunica al RSI y demás partes interesadas.
Guía de implementación

Protección de datos
Se debe proteger la información la organización de acuerdo con lo establecido en la Ley de Protección de datos personales y acción de habeas data, y Ley de Derecho de acceso a la información pública y sus respectivos decretos reglamentarios.

Definición de acuerdos de no divulgación
Se deben definir acuerdos de no divulgación para el personal y proveedores, sin perjuicio de definir acuerdos específicos para otras circunstancias que la organización requiera.

Para la elaboración de los acuerdos, debe tomarse en cuenta al menos los siguientes puntos:

  • Definición de la información que debe ser protegida, como, por ejemplo, la información confidencial.
  • Duración del acuerdo de no divulgación y qué acciones se deben llevar a cabo cuando finaliza un acuerdo.
  • Responsabilidades y acciones de las partes que firman el acuerdo para evitar la divulgación no autorizada de la información que se pretende proteger.

Revisión de los acuerdos
Los acuerdos deben revisarse periódicamente y cuando surgen cambios que influyan en los requisitos anteriormente mencionados.

En particular, dentro de la administración pública, los funcionarios públicos tienen contemplada esta obligación dentro de la ley 19.823, no obstante, el resto de los colaboradores con otras relaciones contractuales deberán firmar algún acuerdo de no divulgación que podrá estar reflejado (típicamente) en un acuerdo como tal, o en cláusulas de confidencialidad (u otras) dentro del contrato.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)Los empleados y subcontratados que hayan tenido conocimiento y acceso a datos reservados deberán suscribir acuerdos de confidencialidad.
Guía de evidencia para auditoría
  • Plantillas de Acuerdos de no divulgación (para personal y/o proveedores).
  • Copias de acuerdos firmados con el personal (selección de muestra aleatoria para el período auditado).
  • Copias de acuerdos firmados con proveedores (selección de muestra aleatoria para el período auditado).
  • Procedimiento para la revisión de los acuerdos de no divulgación.
  • Evidencia de la revisión periódica del contenido de los acuerdos.
Normativa asociada Ley N° 18.381: Derecho de acceso a la información pública.
Ley N° 18.331: Protección de datos personales, acción de habeas data.
Ley N° 19.823: Declaración de interés general del código de ética en la función pública

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay