Administración de los Servicios de Salud del Estado (ASSE) - AGESIC
Vigente
Resumen
Acuerdo Específico de Cooperación Interinstitucional. Tiene como objetivo fortalecer las capacidades de ASSE vinculadas al Gobierno Digital, en particular con relación a la Ciberseguridad, y generar y difundir conocimientos y habilidades en materia de Ciberseguridad.
Descripción
Acuerdo Específico de Cooperación Interinstitucional en materia de seguridad de la información entre la Administración de los Servicios de Salud del Estado y la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento
En la ciudad de Montevideo, a los 20 días del mes de diciembre de 2018 comparecen, por una parte, la Administración de los Servicios de Salud del Estado (en adelante ASSE), representada en este acto por el Dr. Marcos Carámbula y la Dra. Marlene Sica, en sus calidades de Presidente y Vicepresidenta respectivamente, con domicilio en Avenida Luis Alberto de Herrera 3326 de esta ciudad; y por otra parte, la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (en adelante AGESIC), representada en este acto por su Director Ejecutivo, Ing. José Clastornik, con domicilio en Santiago de Liniers 1324 piso 4 (Torre Ejecutiva Sur) de esta ciudad, quienes acuerdan:
PRIMERO: Antecedentes.-
1.- En el día de la fecha las Instituciones comparecientes suscribieron un Convenio Marco de Cooperación Interinstitucional, con el objetivo de establecer un ámbito de actuación conjunta en actividades de interés común para ambas partes, así como para los intereses superiores del Estado. En ese sentido, acordaron que las diversas áreas de colaboración serían objeto de Acuerdos Específicos complementarios.
2.- AGESIC tiene la misión de liderar la estrategia de implementación del Gobierno Digital del país, como base de un Estado eficiente y centrado en el ciudadano, e impulsar la Sociedad de la Información y del Conocimiento como una nueva forma de ciudadanía, promoviendo la inclusión y la apropiación a través del buen uso de las Tecnologías de la Información y de las Comunicaciones (TIC).
3.- Entre sus cometidos se encuentra el aportar soluciones informáticas innovadoras para mejorar los servicios y la calidad de atención que se brinda a la sociedad; coordinar y/o participar en proyectos específicos asociados al Gobierno Digital coadyuvando en su implementación; definir las políticas, metodologías y buenas prácticas en Seguridad de la Información; dictar normas técnicas relativas al control de gestión y a la realización de auditorías en materia tecnológica; y asesorar dentro del área de su competencia en los procesos de trasformación del Estado; entre otros.
4.- En particular, la Ley N” 18.362, de 6 de octubre de 2008, en su artículo 73 estableció la creación en AGESIC del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), con el objetivo de regular la protección de los activos de información críticos del Estado; coordinar con los responsables de la seguridad de la información de los organismos estatales para la prevención, detección, manejo y recopilación de información sobre incidentes de seguridad informática, la colaboración y propuesta de normas destinadas a aumentar los niveles de seguridad en los recursos y sistemas relacionados con las TIC en el Estado; la creación de Centros de Respuesta a Incidentes de Seguridad Informática en sectores específicos para mejorar la gestión de incidentes a nivel nacional, entre otros.
5.- ASSE viene trabajando en varios aspectos relacionados a la transformación digital, hacia la gestión interna y hacia la comunidad, entre ellos Gobierno Digital, Ciudadanía Digital, Capacitaciones, Gobierno Abierto, Tecnologías e Innovación; teniendo entre sus metas la implementación de políticas de seguridad, divulgación y sensibilización de buenas prácticas para la utilización segura de Internet y de dispositivos digitales, así como la elaboración de planes anuales de seguridad de la información.
SEGUNDO: Objeto.-
En el marco de las competencias anteriormente mencionadas, ambas partes han entendido necesario y conveniente suscribir el presente Acuerdo Específico de Cooperación Interinstitucional a efectos de fortalecer las capacidades de ASSE vinculadas al Gobierno Digital, en particular con relación a la Ciberseguridad, y generar y difundir conocimientos y habilidades en materia de Ciberseguridad.
TERCERO: Obligaciones específicas de las partes.-
Son obligaciones específicas de ambas partes:
a) Proporcionarse en forma oportuna, los datos y la información requerida durante el desarrollo del presente Acuerdo.
b) Cumplir con las demás obligaciones que se establezcan en cada documento que se suscriba.
c) Difundir internamente este Acuerdo, en particular lo dispuesto en la cláusula Quinta.
Son obligaciones específicas de AGESIC:
d) Poner a disposición los servicios de instalación de Web Application Firewall (WAF).
e) Correlacionar los eventos recibidos del WAF 24x7.
f) Realizar una auditoría externa inicial, tomando como marco de referencia el Marco de Ciberseguridad.
g) Colaborar con la sensibilización en temas de seguridad de la información, brindando materiales, charlas y talleres.
h) Realizar el escaneo de vulnerabilidades de los portales que se entiendan críticos para ASSE en acuerdo con AGESIC.
Son obligaciones específicas de ASSE:
i) Auditar en base al Marco de Ciberseguridad al menos un hospital que se entienda relevante para el ecosistema de salud.
j) Encargarse del ajuste de los WAF instalados.
k) Adoptar e implementar las principales políticas de seguridad de la información.
l) Designar un Responsable de seguridad de la información.
m) Elaborar un Plan de acción anual en base a los resultados de la auditoría externa.
n) Adherir a la campaña “Seguro te Conectás” y cumplir el rol de replicador de la misma en centros de salud y en todo lugar que se entienda de interés.
o) Remediar las vulnerabilidades identificadas por el escaneo de portal/es.
p) Reportar los incidentes de seguridad informática al Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy).
CUARTO: No Divulgación.-
Las partes acuerdan que toda información relacionada con la otra parte, así como aquella a la que se accediera o se generará en el marco del presente Acuerdo, no será divulgada o distribuida directa o indirectamente a ningún tercero, sin el previo consentimiento expreso y por escrito de la otra parte, conforme a lo dispuesto por la normativa vigente en la materia.
Las obligaciones de divulgación asumidas, se mantendrán mientras dure el vínculo entre las partes, sin perjuicio de la información secreta, reservada o confidencial, conforme a lo dispuesto en la Ley N” 18.381 de 17 de octubre de 2008 de “Acceso a la Información Pública”, modificativas y concordantes.
QUINTO: Protección de datos personales.-
El tratamiento de datos personales que se realice en el marco de presente Acuerdo se regulará por el marco normativo vigente dado por las Leyes N° 18.331, de 11 de agosto de 2008 y N° 18.335, de 15 de agosto de 2008, así como sus Decretos reglamentarios N° 414/009, de 31 de agosto de 2009 y N° 274/010, de 08 de setiembre de 2010, y demás normas modificativas, concordantes y complementarias.
SEXTO: Seguimiento.-
Para el efectivo cumplimiento de las actividades previstas en este Acuerdo, cada parte designará un referente que será considerado interlocutor válido hasta tanto se comunique su cambio o remoción, y tendrá como cometidos:
a) Priorizar las actividades necesarias para llevar adelante todos los aspectos establecidos en el presente Acuerdo.
b) Indicar la asignación de los recursos necesarios para el correcto funcionamiento del mismo.
c) Evaluar el logro de los objetivos específicos previstos, disponiendo en su caso, los correctivos necesarios.
d) Informar periódicamente a sus respectivas autoridades en cuanto al nivel de avance de ejecución del Acuerdo.
e) Difundir y comunicar los resultados alcanzados.
SEPTIMO: Vigencia.-
El presente Acuerdo entrará en vigencia a partir de su suscripción, por el plazo de un año, renovándose automáticamente por plazos anuales, hasta tanto se manifieste lo contrario por cualquiera de las partes.
OCTAVO: Rescisión.-
Las Partes podrán rescindir el presente de común acuerdo, notificando dicha circunstancia con una antelación no inferior a los 60 (sesenta) días corridos, en la forma y por los medios previstos en la cláusula siguiente.
Esto no afectará de modo alguno los programas o actividades que se encuentren en ejecución, debiéndose fijar en cada caso en qué fase se detendrán las mismas. Asimismo, será motivo de rescisión unilateral de pleno derecho y sin necesidad de intimación judicial, el incumplimiento de las obligaciones estipuladas en este Acuerdo.
NOVENO: Domicilios y comunicaciones entre las partes.-
Las partes fijan como domicilios especiales a todos los efectos, los indicados como respectivamente suyos en la comparecencia, considerándose válida toda comunicación, notificación, intimación o similares que se practiquen mediante telegrama colacionado u otro medio fehaciente.
DÉCIMO: Otorgamiento.-
En prueba de conformidad, se firman dos ejemplares de un mismo tenor y contenido, a un mismo efecto, en el lugar y fecha arriba indicados.
Por ASSE
Dr. Marcos Carámbula
Presidente
Dra. Marlene Sica
Vicepresidenta
Por AGESIC
Ing. José Clastornik
Director Ejecutivo
Objetivos
- Fortalecer las capacidades de ASSE vinculadas al Gobierno Digital, en particular con relación a la Ciberseguridad, y generar y difundir conocimientos y habilidades en materia de Ciberseguridad.
Período
Fecha comienzo: 20/12/2018