Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Administración Nacional de Combustibles, Alcohol y Portland (ANCAP) - AGESIC

No Vigente

Resumen

Acuerdo Específico de Cooperación Interinstitucional. Tiene por objetivo colaborar en la creación y desarrollo de un Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT por sus siglas en inglés) y un Centro de Operaciones de Ciberseguridad (SOC por sus siglas en inglés) en ANCAP.

Descripción

ACUERDO ESPECÍFICO DE COOPERACIÓN INTERINSTITUCIONAL PARA LA CREACIÓN Y GESTIÓN DE UN CENTRO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA
ENTRE
LA ADMINISTRACIÓN NACIONAL DE COMBUSTIBLES, ALCOHOL Y PÓRTLAND
Y
LA AGENCIA PARA EL DESARROLLO DEL GOBIERNO DE GESTIÓN ELECTRÓNICA Y LA SOCIEDAD DE LA INFORMACIÓN Y DEL CONOCIMIENTO

En la ciudad de Montevideo, a los 13 días del mes de noviembre de 2017 comparecen, por una parte, la Administración Nacional de Combustibles, Alcohol y Portland (en adelante ANCAP), representada en este acto por su Secretario General, Dr. Miguel Angel Tato Corbo, con domicilio en Paysandú sin número esquina Avenida del Libertador Brigadier General Lavalleja, de esta ciudad; y por otra parte, la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (en adelante AGESIC), representada en este acto por su Director Ejecutivo, Ing. José Clastornik, con domicilio en Liniers 1324 piso 4 (Torre Ejecutiva Sur) de esta ciudad, quienes acuerdan:

PRIMERO: Antecedentes

1. Con fecha 21 de junio de 2017 , las Instituciones comparecientes suscribieron un Convenio Marco de Cooperación Interinstitucional, con el objetivo de establecer un ámbito de actuación conjunta en actividades de interés común para ambas partes, relacionados con la transformación tecnológica y digital del Estado, así como para los intereses superiores de éste. En ese sentido, acordaron que las diversas áreas de colaboración, serían objeto de acuerdos específicos complementarios.
2. La Ley Nº 18.362, de 6 de octubre de 2008, en su artículo 73 estableció la creación en AGESIC, del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), con el objetivo de regular la protección de los activos de información críticos del Estado, estableciendo sus cometidos. Asimismo, el Decreto Nº 451/009, de 28 de setiembre de 2009, reglamentó su funcionamiento y organización.
Entre sus cometidos estratégicos se encuentra la creación de Centros de Respuesta a Incidentes de Seguridad Informática en sectores específicos, para mejorar la gestión de incidentes a nivel nacional.
3. ANCAP cuenta con un equipo de seguridad de la información dependiente de la Secretaría General, que tiene los cometidos de desarrollar un Sistema de Gestión de Seguridad de la Información, gestionar la seguridad con un enfoque multidisciplinario, preventivo y de mejora continua, procurando la alineación con los objetivos estratégicos de la organización; y un equipo de seguridad informática dependiente de la Gerencia de TI, cuyos cometidos consisten en gestionar la seguridad informática en los componentes tecnológicos de los servicios que brinda la gerencia, incluyendo la adquisición y administración de tecnologías, para mitigar los riesgos y asegurar el cumplimiento de las políticas de seguridad de la Información; así como la gestión integral de riesgos de TI. Se considera necesario además desarrollar un equipo que provea servicios transversales de respuesta a incidentes de seguridad de manera eficiente.

SEGUNDO: Objeto

En virtud de los antecedentes antes mencionados, ambas partes han entendido necesario y conveniente suscribir el presente acuerdo específico de cooperación interinstitucional a efectos de colaborar en la creación y desarrollo de un Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT por sus siglas en inglés) y un Centro de Operaciones de Ciberseguridad (SOC por sus siglas en inglés) en ANCAP, con el propósito de especializarse en actividades de seguridad de la información relativas a dicha Institución, sus programas y comunidad objetivo.

TERCERO: Obligaciones Específicas de las Partes

Son obligaciones específicas de ambas partes:

a) Proporcionarse en forma oportuna, los datos y la información requerida durante la ejecución del presente Acuerdo;
b) Cumplir con las demás obligaciones que se establezcan en cada documento que se suscriba en relación con la seguridad de la información;
c) Mantener estricta reserva de la información manejada en el proceso y adherirse a un Compromiso de No Divulgación entre las partes (Anexo).

Obligaciones específicas de ANCAP:

a) Disponer de los recursos humanos necesarios para realizar las tareas establecidas en el presente Acuerdo;
b) Disponer de los recursos técnicos y económicos necesarios para crear y gestionar el Centro de Respuesta a Incidentes de Seguridad Informática en ANCAP así como su Centro de Operaciones de Ciberseguridad. Esta obligación implica que se deberá disponer de oficinas adecuadas para los equipos de trabajo, adquirir la infraestructura tecnológica necesaria, disponer de contratos de servicios de soporte, operación y asesoramiento especializado en la materia, entre otros.
c) Coordinar con AGESIC la respuesta a incidentes de seguridad informática;
d) Colaborar con AGESIC y con el CERTuy con la información de monitoreo de sistemas informáticos y toda otra información que se entienda necesaria, cuando éstas así lo requieran para el tratamiento de incidentes de seguridad de competencia de dichos organismos.
e) Adoptar medidas de seguridad consistentes con las mejores prácticas en la materia para proteger sus activos de información;
f) Proporcionar a AGESIC información estadística de seguridad de la información;
g) Crear un comité específico que sesione de manera periódica.
h) Participar de las mesas de trabajo de CSIRTs coordinadas por AGESIC.
i) Colaborar con el CERTuy en la respuesta a incidentes, cuando éste así lo solicite;
j) Realizar actividades de capacitación y difusión en ANCAP;
k) Desarrollar capacidades técnicas y operáticas en ciberseguridad de sistemas industriales.

Obligaciones específicas de AGESIC:

a) Brindar apoyo institucional para la creación y desarrollo del CSIRT y del SOC Centro de Respuesta a Incidentes de Seguridad Informática en ANCAP, así como en la elaboración de la misión y visión de los mismos;
b) Brindar capacitación técnica a los especialistas del CSIRT/SOC de ANCAP;
c) Asesorar a ANCAP en la adquisición de las tecnologías de ciberseguridad que corresponda a los efectos de una eficiente implantación del CSIRT/SOC;
d) Regular la protección de los sistemas de información críticos del Estado, definiendo los puntos de colaboración con ANCAP;
e) Colaborar en la implementación de políticas y buenas prácticas de seguridad de la información en ANCAP;
f) Colaborar con ANCAP en la identificación de sus sistemas críticos y sus programas;
g) Colaborar con la capacitación, difusión y sensibilización respecto de las actividades y objetivos del CSIRT/SOC.

CUARTO: Seguimiento.-

Para el efectivo cumplimiento de las actividades previstas en este Acuerdo, cada parte designará un responsable a cargo, el cual será considerado interlocutor válido hasta tanto se comunique su cambio o remoción y tendrá como cometidos:

a) Priorizar las actividades necesarias para llevar adelante todos los aspectos establecidos en el presente Acuerdo;
b) Indicar la asignación de los recursos necesarios para el correcto funcionamiento del mismo;
c) Evaluar el logro de los objetivos específicos previstos, disponiendo en su caso, los correctivos necesarios;
d) Informar periódicamente a sus respectivas autoridades sobre el nivel de avance de ejecución del presente Acuerdo;
e) Difundir y comunicar los resultados alcanzados.

QUINTO: Vigencia.-

El presente Acuerdo tendrá vigencia de dos años, a partir de la suscripción del mismo.

SEXTO: Rescisión.-

La rescisión del presente Acuerdo podrá ser dispuesta en forma unilateral por las partes, quienes deberán notificar dicha circunstancia con una antelación no inferior a los 30 (treinta) días corridos, en la forma y por los medios previstos en la cláusula siguiente.
Esto no afectará de modo alguno los programas o actividades que se encuentren en ejecución, debiéndose fijar en cada caso, en qué fase se detendrán las mismas.
Será motivo de rescisión unilateral el incumplimiento de las obligaciones asumidas por las partes.

SÉPTIMO: Domicilios.-

A todos los efectos a que diere lugar este Acuerdo, las partes constituyen domicilios especiales en los indicados como respectivamente suyos en la comparecencia, considerándose válida toda comunicación, notificación, intimación o similares que se practiquen mediante telegrama colacionado u otro medio fehaciente.

OCTAVO: Otorgamiento.-

En prueba de conformidad, se firman dos ejemplares de un mismo tenor y contenido, a un mismo efecto, en el lugar y fecha arriba indicados.

Por ANCAP
Dr. Miguel Ángel Tato Corbo
Secretario General

Por AGESIC
Ing. José Clastornik
Director Ejecutivo

COMPROMISO DE NO DIVULGACIÓN

En la ciudad de Montevideo, a los 13 días del mes de noviembre de 2017, comparecen, por una parte, la Administración Nacional de Combustibles, Alcohol y Portland (en adelante, ANCAP), representado en este acto por su Secretario General, Dr. Miguel Angel Tato Corbo, con domicilio para todos sus efectos en esta ciudad en la calle Paysandú sin número esquina Avenida del Libertador Brigadier General Lavalleja; y por otra parte, la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), representada en este acto por su Director Ejecutivo, Ing. José Clastornik, con domicilio en Liniers 1324 piso 4 (Torre Ejecutiva Sur) de esta ciudad, quienes declaran que asumen el presente Compromiso de no divulgación, que se regirá, en general, por la normativa vigente y en particular por las estipulaciones que siguen:

PRIMERO: Obligaciones de las partes

Los firmantes se comprometen:

1. a no divulgar, y mantener estricta reserva en observancia con lo dispuesto en la normativa legal vigente, de la información, documentos, contratos, propuestas y material de la otra parte, así como de sus entidades desconcentradas y/o dependientes, que se confieran por escrito o se reciban verbalmente en virtud de su vinculación en el marco del Acuerdo Específico de Cooperación Interinstitucional para la creación y gestión de un Centro de Respuesta a Incidentes de Seguridad Informática suscripto entre las comparecientes con fecha 13 de noviembre de 2017.
2. a adoptar medidas de seguridad razonables y prudentes para proteger la información que sea secreta, reservada o confidencial, de conformidad al régimen legal en la materia, incluyendo sin limitarse a ello, las disposiciones de seguridad que AGESIC determine.

SEGUNDO: Alcance de la obligación del presente Acuerdo

La obligación de no divulgación comprenderá la información de carácter deliberativo, comercial, financiera, contractual, técnica o de cualquier otra naturaleza reservada o privilegiada de la que uno de los firmantes tenga conocimiento en virtud de su vinculación con la otra parte, alcanzando las ideas y desarrollos comprendidos en los proyectos que se elaboren, incluyendo los elementos de análisis, evaluación y comparación, estrategias, planes futuros, documentación (cualquiera sea su forma de registro), así como toda otra información que por el hecho de ser divulgada pueda provocar cualquier tipo de daño, perjuicio o desventaja para la otra parte.
Asimismo, se comprometen a advertir a su personal –ya sea dependiente o contratado- y a toda persona a la que se revele la información comprendida en el presente Compromiso, con la debida autorización, de la obligación de no divulgación asumida y de los términos de este documento.

TERCERO: Vigencia

Las obligaciones de no divulgación asumidas en el presente Compromiso se mantendrán mientras dure el vínculo entre las partes, y persistirán aún después de terminado el mismo, por un período de dos años contados a partir de la fecha cierta de tal desvinculación, sin perjuicio de la información secreta, reservada o confidencial, que mantendrá su respectiva naturaleza conforme a lo dispuesto en la Ley N° 18.381 de 17 de octubre de 2008 de Acceso a la Información Pública.

CUARTO: Sanción por incumplimiento

En caso de incumplimiento de las obligaciones que se asumen por este documento, las partes quedan plenamente facultadas para adoptar las medidas que por derecho correspondan.

QUINTO: Régimen legal

Todo lo no previsto en el presente Compromiso, se regulará por lo dispuesto en las Leyes Nos. 17.060, de 23 de diciembre de 1998 y 18.381, de 17 de octubre de 2008 y los Decretos reglamentarios Nos. 30/003, de 23 de enero de 2003, 452/009 de 28 de setiembre de 2009, y 232/010 de 2 de agosto de 2010 respectivamente, y demás normas concordantes y complementarias.
En señal de conformidad se suscriben dos ejemplares del mismo tenor, en el lugar y fecha antes señalados.

Por ANCAP
Dr. Miguel Ángel Tato Corbo
Secretario General

Por AGESIC
Ing. José Clastornik
Director Ejecutivo

Período

Fecha comienzo: 24/04/2024