Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Seguridad

Introducción

La seguridad de la información es un pilar fundamental en la prestación de servicios digitales. Garantizar la protección de los activos de información asociados a los servicios digitales es esencial para preservar la confidencialidad, integridad y disponibilidad de los datos, así como para generar confianza en la ciudadanía.

Este documento establece los requisitos de seguridad aplicables a los servicios digitales en línea, los cuales están alineados con el Marco de Ciberseguridad del Uruguay. Dicho marco, basado en el Cybersecurity Framework (CSF) del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST), ha sido adaptado a la realidad nacional con el objetivo de fortalecer la resiliencia digital y la gestión de riesgos en el ecosistema de servicios digitales.

Cada requisito de seguridad aquí definido corresponde a un principio establecido en el Marco de Ciberseguridad del Uruguay y ha sido diseñado considerando los activos específicos involucrados en la prestación de servicios digitales en línea. De esta manera, se asegura una implementación coherente de medidas de protección, mitigación de amenazas y cumplimiento normativo en el ámbito de la transformación digital del Estado.

Objetivos

El presente documento tiene como objetivo definir los requisitos para los servicios digitales de acuerdo con el Marco de Ciberseguridad del Uruguay, asegurando la incorporación de mejores prácticas internacionales y el cumplimiento de la normativa nacional en materia de seguridad de la información. Para ello, se consideran los siguientes marcos normativos y regulatorios:

• Decreto N° 66/025 y Decreto N° 92/014, que establecen disposiciones sobre la seguridad de la información en organismos del Estado.
• Ley N° 20.212, artículos 78 y 79, que refuerzan la obligación de implementar medidas de seguridad en el ámbito digital.

El cumplimiento de estos requisitos permite adoptar un enfoque integral de gestión de riesgos, contribuyendo a la reducción de amenazas de ciberseguridad que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. Asimismo, proporciona un marco de referencia para la implementación de controles que refuercen la resiliencia digital y la protección de los servicios en línea frente a incidentes de seguridad.

Glosario

Acceder al glosario del Marco de Ciberseguridad

Requisitos que cumplir

Los siguientes requisitos establecen lineamientos para la gestión segura de los servicios digitales en línea. Su aplicación permite reducir vulnerabilidades, fortalecer la confianza en los servicios digitales y asegurar el cumplimiento de normativas vigentes en materia de seguridad y privacidad.

1. Identificación de activos asociados al servicio digital. Es esencial mantener un inventario actualizado de todos los activos de información relacionados con los servicios digitales en línea, detallando su ubicación y designando un responsable para cada uno. ​ 

   Acceder a GA.1 Identificar formalmente los activos de la organización junto con la definición de su responsable.

2. Evaluación de riesgos. Se deben identificar y analizar los riesgos asociados al uso y despliegue de cada servicio digital, incluyendo aquellos derivados de servicios proporcionados por terceros vinculados al mismo.​ 

   Acceder a GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.

3. Desarrollo seguro. Los activos de información deben ser desarrollados siguiendo prácticas de seguridad reconocidas, como las establecidas en el OWASP Top 10. Es fundamental integrar requisitos de seguridad de la información durante todo el ciclo de vida de los proyectos de desarrollo o adquisición de software. ​

   Acceder a AD.1 Incluir requisitos de seguridad de la información durante todo el ciclo de vida de los proyectos de desarrollo o adquisiciones de software.

4. Gestión de accesos lógicos. Los activos de información asociados a los servicios digitales en línea deben estar integrados en los procesos de gestión de accesos del organismo, aplicando el principio de menor privilegio y políticas de contraseñas robustas. Además, los servicios digitales en línea deben permitir la autenticación mediante Usuario gub.uy, facilitando un acceso unificado y seguro a los servicios digitales del Estado.​

   Acceder a CA.1 Gestionar el acceso lógico.

   Acceder a CA.2 Revisar los privilegios de acceso lógico.

5. Protección de datos. Es imprescindible utilizar canales seguros para la ejecución de las herramientas y el intercambio de datos, garantizando la confidencialidad e integridad de la información transmitida. ​

   Acceder a SC.14 Mantener la seguridad de la información durante su intercambio dentro o fuera de la organización.

   Acceder a SC.15 Todo sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (Web Application Firewall – WAF).

6. Gestión de cambios. Todos los cambios implementados en los activos de información relacionados con los servicios digitales en línea deben ser gestionados y documentados adecuadamente, asegurando un registro claro de las modificaciones realizadas. ​

   Acceder a SO.2 Gestionar formalmente los cambios.

   Acceder a SO.6 Respaldar la información y realizar pruebas de restauración periódicas.

7. Configuración de línea base. Mantener una configuración estándar y segura de los sistemas de información permite realizar una gestión de cambios efectiva y coherente con las políticas de seguridad establecidas. ​

   Acceder a SO.2 Gestionar formalmente los cambios.

   Acceder a RP.2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios.

8. Gestión de la capacidad. Los activos de información de los servicios digitales en línea deben ser considerados en los planes de gestión de capacidad, asegurando que los recursos sean suficientes para atender la demanda y mantener un rendimiento óptimo. ​

   Acceder a SO.3 Gestionar la capacidad de los servicios y recursos que se encuentran operativos

9. Acuerdos de nivel de servicio (SLA). Es crucial establecer acuerdos de nivel de servicio con los proveedores, considerando que los activos de información relacionados con los servicios digitales son críticos. Estos acuerdos deben definir claramente las expectativas y garantizar una respuesta acorde a la calidad y tiempos requeridos por las operaciones.​

           Acceder a RP.1 Definir acuerdos de niveles de servicio (SLA) con los proveedores de servicios críticos.

10. Respaldos. Los activos de información asociados a los servicios digitales en línea deben incluirse en los planes de respaldo y pruebas de recuperación, asegurando la disponibilidad y continuidad del servicio en caso de incidentes. ​

     Acceder a SO.6 Respaldar la información y realizar pruebas de restauración periódicas.

11. Gestión de la instalación de software. Las herramientas de software relacionadas con los servicios digitales en línea deben seguir procedimientos y pautas establecidos para la instalación de software, garantizando su correcta implementación y funcionamiento. ​

    Acceder a SO.8 Gestionar la instalación de software.

12. Escaneo y gestión de vulnerabilidades. Las herramientas de software utilizadas en el desarrollo, mantenimiento y evolución de los servicios digitales en línea deben estar incluidas en el plan de escaneo de vulnerabilidades del organismo. Es necesario planificar la gestión de vulnerabilidades y la aplicación de parches de seguridad de manera oportuna.​

    Acceder a SO.1 Gestionar las vulnerabilidades técnicas.

    Acceder a CN.3 Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades.

13. Plan de recuperación. Se deben definir mecanismos de recuperación para los servicios digitales que puedan verse afectados por incidentes de seguridad, permitiendo restablecer su operatividad en el menor tiempo posible.​

    Acceder a CO.4 Planificar la continuidad de las operaciones y recuperación ante desastres.

    Acceder a CO.5 Definir las ventanas de tiempo soportadas para la continuidad de las operaciones.

14. Gestión de incidentes de seguridad. Es fundamental designar un responsable para la gestión de incidentes de seguridad relacionados con los servicios digitales. Las guías o instructivos para el manejo de incidentes deben incluir procedimientos específicos para los servicios digitales en línea y sus activos de información asociados. Además, estos activos deben integrarse en el monitoreo de eventos de los sistemas. 

    Acceder a GI.2 Contar con mecanismos que permitan evaluar los eventos de seguridad de la información y decidir si se clasifican como incidentes de seguridad de la información.

    Acceder a GI.3 Informar de forma completa e inmediata la existencia de un potencial incidente de seguridad informática al CERTuy o equipo de respuesta externo correspondiente.

    Acceder a GI.4 Registrar y reportar las violaciones a la seguridad de la información, confirmadas o sospechadas de acuerdo a los procedimientos correspondientes.

    Acceder a GI.5 Responder ante incidentes de seguridad de la información.

Al implementar estas prácticas, se fortalece la seguridad y eficiencia de los servicios digitales en línea, mejorando la confianza de los usuarios en los servicios digitales del Estado uruguayo.

Otras recomendaciones

Es importante mencionar que, si bien se han cubierto varios aspectos claves, una evaluación de riesgos eficaz, puede determinar otros requisitos a aplicar. 

Referencias a normativas 

Marco de Ciberseguridad del Uruguay

Decreto N°66/025

Decreto N°92/014

Ley N°20212 art.78

Ley N°20212 art.79

Ejemplos y casos prácticos

Para el caso del requisito "Identificación de activos asociados al servicio digital", debe verificarse que los activos asociados al servicio digital se encuentren en el inventario de activos de información. Si la organización cuenta con un inventario de activos, pero en él no figuran los activos relativos al servicio digital en línea, la evaluación deberá ser "No cumple".

Para calificar un requisito como "Cumple" deben existir elementos concretos que prueben cumplimiento. Siguiendo con el ejemplo anterior "Identificación de activos asociados al servicio digital", el cumplimiento se da cuando en el inventario de activos efectivamente se encuentran los activos del servicio digital (software de desarrollo, bases de datos, servidores donde se encuentran instalados el software y la base, etc.) identificados, clasificados y con responsable asignado. Si no se encuentran, y hay en marcha un plan de acción para integrarlos, en el momento de la evaluación no se está cumpliendo con el requisito. El resultado será "No cumple" y en las observaciones se podrá hacer referencia al plan de acción en marcha y el tiempo estimado de finalización.

Te invitamos a revisar los documentos adicionales para obtener una comprensión más detallada de estos requisitos.

Guía de implementación: detalla los requisitos que Agesic entiende necesarios implementar para lograr fortalecer la gestión de seguridad de la información, en alineación con la normativa vigente y mejores prácticas internacionales en la materia.

Guías sobre el Marco de ciberseguridad del Uruguay: material de referencia que apoyan a las organizaciones en la implementación de los requisitos del Marco de Ciberseguridad.

Acceder a más información sobre las capacitaciones para acercar y profundizar en la comprensión e implementación del Marco de Ciberseguridad

Por consultas comunicarse con: gestion.auditoria@agesic.gub.uy