GI 3 Informar de forma completa e inmediata un potencial incidente de SI al CERTuy o equipo de respuesta externo. | Agesic

Pasar al contenido principal

Junio, Mes del Ambiente: cuidar el ambiente es cuidar la vida

GI 3 Informar de forma completa e inmediata un potencial incidente de SI al CERTuy o equipo de respuesta externo.

Requisito GI.3	Informar de forma completa e inmediata la existencia de un potencial incidente de seguridad informática al CERTuy o equipo de respuesta externo correspondiente.
Objetivo	Asegurar que los incidentes de seguridad de la información se reportan a las personas adecuadas y en forma consistente de acuerdo a la política de gestión de incidentes. Determinar si es un incidente de seguridad informática a reportar al CERTuy o equipo de respuestas externo.
Alcance	Cualquier organización
Referencia ISO 27001	N/A
Guía de implementación	Se deben definir los canales de gestión de incidentes de seguridad de la información internamente en la organización. El RSI o quien este determine debe ser el punto de contacto ante incidentes detectados o sospechados. Eventualmente, el RSI podría designar a alguien para que cumpla este rol. Es recomendable definir procedimientos para un adecuado reporte de los incidentes que aplique a la organización y sus proveedores, indicando claramente responsables, el orden de los pasos, puntos de contacto y las herramientas a utilizar.
Administración Central	Siempre debe contactarse al CERTuy por las vías de comunicación publicadas en su sitio Web: www.cert.uy. Informar de forma completa e inmediata la existencia de un potencial incidente de seguridad informática al CERTuy.
Instituciones de salud	En función a lo establecido en el Compromiso de Uso de la Red Salud, V. Obligaciones del Usuario, punto c) Obligación de reportar incidentes: “Los Usuarios deberán reportar ante Agesic cualquier incidente que represente un riesgo directo o indirecto a la Red Salud o cualquiera de sus componentes”. La dirección de correo para reportar incidentes de seguridad de la información para instituciones de Salud es: hcen@salud.uy, salvo que se establezca otro mecanismo.
Guía de evidencia para auditoría	Política de gestión de incidentes de seguridad de la información. Procedimiento para el reporte de incidentes de seguridad de la información. Lista de incidentes de seguridad de la información reportados al CERTuy o equipo de respuesta correspondiente con detalle de seguimiento, fecha y hora de registro.
Normativa asociada	Decreto 451/009 Decreto 452/009

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay