Acuerdo Específico entre la Comisión Técnica Mixta de Salto Grande y AGESIC
Vigente
Quiénes participan
- Comisión Técnica Mixta de Salto Grande
- AGESIC
Resumen
Acuerdo Específico de Cooperación Interinstitucional. Tiene como objetivo fortalecer las capacidades de la Comisión Técnica Mixta de Salto Grande vinculadas al Gobierno Digital, en particular con relación a la seguridad de la información, así como generar y difundir conocimientos y habilidades en la materia.
Descripción
Acuerdo Específico de Cooperación Interinstitucional en materia de Seguridad de la Información entre la Comisión Técnica Mixta de Salto Grande y la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento
Comparecen, por una parte, la Comisión Técnica Mixta de Salto Grande (en adelante, la CTMSG), con sede en la Ciudad Autónoma de Buenos Aires - República Argentina, con domicilio en la calle Av. Leandro N. Alem 449, pisos 7º y 8º y constituyendo domicilio a los efectos de este Acuerdo en la calle Convención Nº 1343, piso 10, de la ciudad de Montevideo, República Oriental del Uruguay, representada en este acto por sus Gerentes Generales, Ing. Javier Murguia y Gabriel Sardi, respectivamente, conforme las facultades otorgadas por la Resolución CTM N° 266/2023, de fecha 5 de diciembre de 2023; y por la otra parte, la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (en adelante, AGESIC), representada en este acto por su Director Ejecutivo, Hebert Paguas, con domicilio en la calle Santiago de Liniers 1324, piso 4 (Torre Ejecutiva Sur) de esta ciudad, quienes acuerdan:
PRIMERA: Antecedentes.-
1.- AGESIC tiene la misión de liderar la estrategia de implementación del Gobierno Digital e impulsar la Sociedad de la Información y del Conocimiento, a través del buen uso de las Tecnologías de la Información y de las Comunicaciones (TIC).
2.- Entre sus cometidos se encuentra el de aportar soluciones informáticas innovadoras para mejorar los servicios y la calidad de atención que se brinda a la sociedad; coordinar y/o participar en proyectos específicos asociados al Gobierno Digital coadyuvando en su implementación; definir las políticas, metodologías y buenas prácticas en Seguridad de la Información; dictar normas técnicas relativas al control de gestión y a la realización de auditorías en materia tecnológica; y asesorar dentro del área de su competencia en los procesos de transformación del Estado.
3.- Particularmente, en el ámbito de AGESIC, dependiendo del área de Seguridad de la Información, funciona el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), creado oportunamente con el objetivo de regular la protección de los activos de información críticos del Estado; coordinar con los responsables de la seguridad de la información de los organismos estatales para la prevención, detección, manejo y recopilación de información sobre incidentes de seguridad informática; proponer las normas destinadas a aumentar los niveles de seguridad en los recursos y sistemas relacionados con las TICs en el Estado; así como para la creación de Centros de Respuesta a Incidentes de Seguridad Informática en sectores específicos para mejorar la gestión de incidentes a nivel nacional, entre otros aspectos.
4.- La CTMSG es un Organismo Binacional, creado por la República Argentina y la República Oriental del Uruguay con el fin de realizar lo necesario para el aprovechamiento de los rápidos del Río Uruguay en la zona de Salto Grande. Desde su creación, tuvo a su cargo los estudios y proyectos respectivos y, posteriormente, la construcción y puesta en servicio y explotación del Complejo Hidroeléctrico de Salto Grande, que comprende, entre otros, los cometidos de generación, transmisión, regulación e interconexión de energía eléctrica en la región.
5.- Dicha Comisión, en el marco de su “Política de Seguridad de la Información” y de la implementación de una coordinación de seguridad informática, viene estableciendo contactos con los organismos específicos de los Estados parte que lo conforman, a fin de llevar adelante las estrategias de Gobierno Electrónico y Seguridad de la Información. Dicha gestión tuvo como objetivo relevar las normativas de los gobiernos relativas a Seguridad de la Información y Ciberseguridad en Infraestructuras Críticas, así como también las herramientas y programas de apoyo existentes para el fortalecimiento de las instituciones estatales en la materia.
6.- Por otra parte, en el marco de las acciones que propician sus normas fundacionales, la CTMSG viene desarrollando servicios de base tecnológica tales como la aplicación móvil que permite recibir alertas ante una creciente, el sitio web institucional, así como la publicación de información hidrológica y de generación, que se encuentran a disposición de las comunidades locales y partes interesadas.
Los referidos servicios, entre otros, al estar publicados en Internet, se encuentran expuestos en forma permanente a las ciberamenazas, razón por la cual deben ser monitorizados todas las horas de todos los días del año (24x7), para asegurar su disponibilidad, integridad y confidencialidad.
7.- En el sentido referido precedentemente, la CTMSG ha implementado diversas medidas con el fin de mitigar los riesgos de Ciberamenazas asociados, siendo la más reciente la implementación de un Cortafuegos de Aplicaciones Web o WAF, por sus siglas en inglés.
8.- Al respecto, AGESIC ofrece la posibilidad de concentrar los eventos de seguridad generados en el WAF del Organismo en el Centro de Operaciones de Seguridad de la Agencia (SOC 24X7), donde serán procesados y correlacionados con otras fuentes de inteligencia de amenazas, generando las comunicaciones correspondientes al personal de la CTMSG, permitiendo así una respuesta temprana ante potenciales incidentes.
9.- Las tratativas y comunicaciones referidas motivan el Acuerdo de colaboración entre CTMSG y AGESIC, que se instrumenta a través del presente documento.
SEGUNDA: Objeto.
En el marco de las competencias anteriormente mencionadas, ambas partes han entendido necesario y conveniente suscribir el presente Acuerdo de Cooperación Interinstitucional a efectos de fortalecer las capacidades de la CTMSG vinculadas al Gobierno Digital, en particular con relación a la seguridad de la información, así como generar y difundir conocimientos y habilidades en la materia.
TERCERA: Obligaciones específicas de las partes.
1) Son obligaciones específicas de ambas partes:
a. Proporcionarse en forma oportuna y de acuerdo con su normativa, los datos y la información requerida durante el desarrollo del presente Acuerdo.
b. Cumplir con las demás obligaciones que se establezcan en cada documento que se suscriba.
c. Difundir internamente el contenido del presente Acuerdo.
d. Disponer de los recursos humanos necesarios para realizar las tareas establecidas en el presente Acuerdo.
2) Son obligaciones específicas de AGESIC:
a. Realizar una auditoría inicial relativa al sistema de ciberseguridad de la organización, usando como referencia el Marco de Ciberseguridad de Uruguay, cuyo alcance acordarán previamente las partes en cumplimiento de sus normas.
b. Colaborar con la sensibilización y el desarrollo de conocimiento en temas de seguridad de la información, a través del aporte de materiales, charlas y talleres.
c. Realizar el escaneo de vulnerabilidades de los portales que la CTMSG entienda críticos.
d. Asesorar en la materia de acuerdo con sus cometidos y colaborar con el desarrollo de estrategias de ciberseguridad.
e. Asesorar en el uso e implementación de la firma digital y la identidad digital.
f. Colaborar con el despliegue de un nodo GSOC en la CTMSG y proveer servicios de monitoreo GSOC una vez que el nodo esté en funcionamiento y el alcance definido.
g. Proveer servicios de respuesta a incidentes de ciberseguridad.
Los servicios comprometidos en este Acuerdo quedan sujetos a la disponibilidad de recursos de AGESIC.
3) Son obligaciones específicas de la CTMSG:
a. Desplegar WAF y adquirir, de acuerdo con su normativa, los servicios de ajuste de WAF para eliminar los denominados falsos positivos, hasta lograr establecerlo en modo bloqueo.
b. Adherir al programa GSOC y adquirir la infraestructura necesaria para el despliegue de un nodo GSOC, y centralizar pistas de auditoría o eventos en el SOC del CERTuy, con el objetivo de proteger los activos de información críticos del Organismo.
c. Elaborar un Plan de acción anual con base en los resultados de la auditoría de la Agencia.
d. Adherir, en el marco de sus competencias y toda vez que ello resulte pertinente en consideración de su particular naturaleza jurídica, a la campaña “Seguro te Conectas”, coadyuvando como replicador en las instancias de difusión que se realicen y en todo lugar que se entienda de interés.
e. Remediar en un plazo de 3 (tres) meses las vulnerabilidades criticas identificadas por el servicio de análisis respectivo, así como los hallazgos de las auditorías y demás instancias asociadas al presente Acuerdo que se entiendan pertinentes.
f. Reportar los incidentes de seguridad informática al Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy), sin perjuicio de otros reportes que correspondan.
g. Realizar Auditorías periódicas de seguimiento al menos cada 2 (dos) años utilizando como marco de referencia el Marco de Ciberseguridad Uruguay y enviar a AGESIC un resumen ejecutivo de los resultados, en el formato que se establezca de mutuo acuerdo, en un plazo de 30 (treinta) días corridos de finalizada.
CUARTA: No Divulgación.
Las partes acuerdan que toda información relacionada con la otra parte, así como aquella a la que se accediera o se genere en el marco del presente Acuerdo, no será divulgada o distribuida directa o indirectamente a ningún tercero, sin el previo consentimiento expreso y por escrito de la otra parte, conforme a lo dispuesto por la normativa vigente en la materia.
Las obligaciones de no divulgación asumidas se mantendrán durante la vigencia del presente, sin perjuicio de las normas sobre información secreta, reservada o confidencial que pudieren ser aplicables a las partes, en orden a su naturaleza jurídica.
QUINTA: Seguimiento.
Para el efectivo cumplimiento de las actividades previstas en este Acuerdo, cada parte designará un referente que será considerado interlocutor válido hasta tanto se comunique su cambio o remoción, el que tendrá a su cargo los siguientes cometidos:
a. Priorizar las actividades necesarias para llevar adelante todos los aspectos establecidos en el presente Acuerdo.
b. Proponer la asignación de los recursos necesarios para el correcto funcionamiento de las acciones que se propician a través del presente.
c. Evaluar el logro de los objetivos específicos previstos y proponer, en su caso, los correctivos necesarios.
d. Informar periódicamente a sus respectivas autoridades en cuanto al nivel de avance de ejecución del Acuerdo.
e. Difundir y comunicar los resultados alcanzados.
SEXTA: Vigencia.
El presente Acuerdo entrará en vigencia a partir de su suscripción, por el plazo de un año, renovándose automáticamente por plazos anuales, hasta tanto se manifieste lo contrario por cualquiera de las partes, con (30) treinta días de anticipación al vencimiento respectivo.
SÉPTIMA: Rescisión.
Las partes podrán rescindir el presente de común acuerdo, notificando dicha circunstancia con una antelación no inferior a los 60 (sesenta) días corridos, en la forma y por los medios previstos en la cláusula siguiente.
Esto no afectará de modo alguno los programas o actividades que se encuentren en ejecución, debiéndose fijar en cada caso de qué manera se finalizarán las mismas.
Asimismo, será motivo de rescisión unilateral de pleno derecho y sin necesidad de intimación alguna, el incumplimiento de las obligaciones estipuladas en este Acuerdo.
OCTAVA: Domicilios y comunicaciones entre las partes.
Las partes fijan como domicilios especiales a todos los efectos, los indicados respectivamente en la comparecencia, considerándose válida toda comunicación, notificación, intimación o similares que se practiquen mediante telegrama colacionado u otro medio fehaciente.
NOVENA: Jurisdicción y competencia.
Las partes asumen el compromiso de tentar preceptivamente la conciliación, ante las divergencias que pudieran suscitarse en la ejecución del presente Acuerdo. Sin perjuicio de ello, convienen la jurisdicción y competencia del Tribunal Arbitral Internacional de Salto Grande (TAISG) como fuero exclusivo y excluyente, para dirimir cualquier controversia que se suscite entre ellas.
DÉCIMA: Otorgamiento.
En prueba de conformidad, se firman dos ejemplares de un mismo tenor y contenido, a un mismo efecto, haciéndolo el representante de AGESIC en la ciudad de Montevideo, el día 19 de marzo de dos mil veinticuatro y los representantes de la Comisión Técnica Mixta de Salto en la ciudad de Salto el día 5 de marzo de dos mil veinticuatro.
Por CTMSG
Ing. Javier Murguia
Gerente General
Ing. Gabriel Sardi
Gerente General
Por AGESIC
Sr. Hebert Paguas
Director Ejecutivo
Objetivos
- Fortalecer las capacidades de la Comisión Técnica Mixta de Salto Grande vinculadas al Gobierno Digital, en particular con relación a la seguridad de la información, así como generar y difundir conocimientos y habilidades en la materia.
Período
Fecha de inicio: 19/03/2024