GI 3 Informar de forma completa e inmediata un potencial incidente de SI al CERTuy o equipo de respuesta externo.
Requisito GI.3 | Informar de forma completa e inmediata la existencia de un potencial incidente de seguridad informática al CERTuy o equipo de respuesta externo correspondiente. |
Objetivo | Asegurar que los incidentes de seguridad de la información se reportan a las personas adecuadas y en forma consistente de acuerdo a la política de gestión de incidentes. Determinar si es un incidente de seguridad informática a reportar al CERTuy o equipo de respuestas externo. |
Alcance | Cualquier organización |
Referencia ISO 27001 | N/A |
Guía de implementación | Se deben definir los canales de gestión de incidentes de seguridad de la información internamente en la organización. El RSI o quien este determine debe ser el punto de contacto ante incidentes detectados o sospechados. Eventualmente, el RSI podría designar a alguien para que cumpla este rol. Es recomendable definir procedimientos para un adecuado reporte de los incidentes que aplique a la organización y sus proveedores, indicando claramente responsables, el orden de los pasos, puntos de contacto y las herramientas a utilizar. |
Administración Central | Siempre debe contactarse al CERTuy por las vías de comunicación publicadas en su sitio Web: www.cert.uy. Informar de forma completa e inmediata la existencia de un potencial incidente de seguridad informática al CERTuy. |
Instituciones de salud | En función a lo establecido en el Compromiso de Uso de la Red Salud, V. Obligaciones del Usuario, punto c) Obligación de reportar incidentes: “Los Usuarios deberán reportar ante Agesic cualquier incidente que represente un riesgo directo o indirecto a la Red Salud o cualquiera de sus componentes”. La dirección de correo para reportar incidentes de seguridad de la información para instituciones de Salud es: hcen@salud.uy, salvo que se establezca otro mecanismo. |
Guía de evidencia para auditoría |
|
Normativa asociada | Decreto 451/009 Decreto 452/009 |