Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Banco Central del Uruguay (BCU) - AGESIC

No Vigente

Resumen

Acuerdo Específico de Cooperación Interinstitucional. Tiene como objetivo fortalecer las capacidades del BCU vinculadas al Gobierno Digital, en particular con relación a la ciberseguridad, y generar y difundir conocimientos y habilidades en materia de ciberseguridad entre las instituciones supervisadas y reguladas.

Descripción

ACUERDO ESPECÍFICO DE COOPERACIÓN INTERINSTITUCIONAL
ENTRE
EL BANCO CENTRAL DEL URUGUAY
Y
LA AGENCIA PARA EL DESARROLLO DEL GOBIERNO DE GESTIÓN ELECTRÓNICA Y LA SOCIEDAD DE LA INFORMACIÓN Y DEL CONOCIMIENTO

En la ciudad de Montevideo, a los 10 días del mes de setiembre de 2018 comparecen, por una parte, el Banco Central del Uruguay (en adelante BCU), representado en este acto por su Gerente del área Tecnología de la Información Sr. José Luis Chulián y el Gerente del área de Seguridad e Infraestructura A/P Bruno D´Amado, con domicilio en Avda. Juan P. Fabini 777 de esta ciudad; y por otra parte, la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (en adelante AGESIC), representada en este acto por su Director Ejecutivo, Ing. José Clastornik, con domicilio en Liniers 1324 piso 4 (Torre Ejecutiva Sur) de esta ciudad, quienes acuerdan:

PRIMERA: Antecedentes.

1.- Con fecha 04 de junio de 2013 las Instituciones comparecientes suscribieron un Convenio Marco de Cooperación Interinstitucional, con el objetivo de establecer un ámbito de actuación conjunta en actividades de interés común para ambas partes, así como para los intereses superiores del Estado, relacionados con la transformación tecnológica y digital de éste. En ese sentido, acordaron que las diversas áreas de colaboración, serían objeto de Acuerdos Específicos complementarios.
2.- Agesic tiene la misión de liderar la estrategia de implementación del Gobierno Digital del país, como base de un Estado eficiente y centrado en el ciudadano, e impulsar la Sociedad de la Información y del Conocimiento como una nueva forma de ciudadanía, promoviendo la inclusión y la apropiación a través del buen uso de las Tecnologías de la Información y de las Comunicaciones (TIC).
3.- Entre sus cometidos se encuentra el aportar soluciones informáticas innovadoras para mejorar los servicios y la calidad de atención que se brinda a la sociedad; coordinar y/o participar en proyectos específicos asociados al Gobierno Digital coadyuvando en su implementación; definir las políticas, metodologías y buenas prácticas en Seguridad de la Información; dictar normas técnicas relativas al control de gestión y a la realización de auditorías en materia tecnológica; y asesorar dentro del área de su competencia en los procesos de trasformación del Estado; entre otros.
4.- En particular, la Ley N° 18.362, de 6 de octubre de 2008, en su artículo 73 estableció la creación en Agesic, del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), con el objetivo de regular la protección de los activos de información críticos del Estado; coordinar con los responsables de la seguridad de la información de los organismos estatales para la prevención, detección, manejo y recopilación de información sobre incidentes de seguridad informática, la colaboración y propuesta de normas destinadas a aumentar los niveles de seguridad en los recursos y sistemas relacionados con las TIC en el Estado; la creación de Centros de Respuesta a Incidentes de Seguridad Informática en sectores específicos para mejorar la gestión de incidentes a nivel nacional, entre otros.
5.- El BCU viene llevando adelante un proceso de mejora en aspectos de seguridad de la información y en tal sentido para el año 2018 ha incorporado en su plan anual la meta de mejora M15 que contiene distintas actividades tendientes a lograr tal objetivo.
En ese contexto entiende conveniente la realización de una auditoría externa de ciberseguridad que permita conocer el nivel de madurez de la seguridad de información según las mejores prácticas en la materia, para lo cual se ha considerado apropiado tomar como marco de referencia de ciberseguridad, el diseñado AGESIC.

SEGUNDA: Objeto.

En el marco de las competencias anteriormente mencionadas, ambas partes han entendido necesario y conveniente suscribir el presente acuerdo específico de cooperación interinstitucional a efectos de fortalecer las capacidades del BCU vinculadas al Gobierno Digital, en particular con relación a la ciberseguridad, y generar y difundir conocimientos y habilidades en materia de ciberseguridad entre las instituciones supervisadas y reguladas. Para ello se han establecido distintas actividades para ambas partes, las cuales se detallan en la claúsula TERCERA.

TERCERA: Obligaciones específicas de las partes.

Son obligaciones específicas de ambas partes:

a. Proporcionarse en forma oportuna, los datos y la información requerida durante el desarrollo del presente Acuerdo.
b. Difundir internamente este Acuerdo, en particular lo dispuesto en la cláusula Quinta.

Son obligaciones específicas de AGESIC:

c. Realizar, a su cargo, una auditoría externa inicial, tomando como marco de referencia el Marco de Ciberseguridad, el cual se adjunta como ANEXO al presente acuerdo. La auditoría será realizada y terminada dentro de los 60 días posteriores a la fecha de suscripción del presente Convenio.
d. Asesorar al BCU en materia de ciberseguridad.
e. Asistir a BCU para optimizar el proceso de envío y procesamiento de información.
f. Monitorear 24x7 los eventos generados por la información procesada, notificando oportunamente, conforme a procedimientos y plazos a establecer con BCU, los eventos de seguridad detectados.
g. Otorgar al BCU estadísticas nacionales de incidentes en el sector financiero.

Son obligaciones específicas del BCU:

h. Adoptar el Marco de ciberseguridad como herramienta para la generación de buenas prácticas en seguridad de la información.
i. Difundir entre las instituciones integrantes del sistema financiero la adopción de buenas prácticas en ciberseguridad, tomando como documento base el Marco de Ciberseguridad.
j. Colaborar en la adaptación del modelo de madurez del Marco de Ciberseguridad para el sector financiero.
k. Asumir los costos asociados al licenciamiento de software SIEM que se requiera para dar cumplimiento a las obligaciones de este convenio, tanto para sistemas del BCU como los de AGESIC.
l. Disponer de los recursos, humanos y materiales, para el despliegue, implementación y soporte de la solución de colección y procesamiento de eventos de ciberseguridad antes mencionados.

CUARTA: Transferencia.

A fin de posibilitar el cumplimiento de los objetivos previstos en el presente Acuerdo y de implementar las diversas actividades contempladas y/o derivadas del mismo, el BCU se compromete a facilitar a AGESIC el uso de sus licencias del Software SIEM, para ser usadas a nombre del BCU, exclusivamente para el objeto del presente convenio y obligándose a cumplir los términos de uso de las licencias que correspondan. Asimismo AGESIC se obliga a no usarlas más en caso de ocurrir la rescisión acorde a la cláusula Novena.

QUINTA: No Divulgación.

Las partes acuerdan que toda información relacionada con la otra parte, así como aquella a la que se accediera o se generara en el marco del presente Acuerdo, no será divulgada o distribuida directa o indirectamente a ningún tercero, sin el previo consentimiento expreso y por escrito de la otra parte, conforme a lo dispuesto por la normativa vigente en la materia.

Resulta aplicable a los efectos del presente Convenio la normativa respecto a la obligación de reserva propia de la materia bancocentralista (artículo 23 de la Ley N° 16696) así como la obligación de secreto exigida por el artículo 25 del decreto-ley 15.322.

Las obligaciones de divulgación asumidas se mantendrán mientras dure el vínculo entre las partes, sin perjuicio de la información secreta, reservada o confidencial, conforme a lo dispuesto en la Ley N° 18.381 de 17 de octubre de 2008 de “Acceso a la Información Pública”, modificativas y concordantes.

SEXTA: Protección de datos personales.

El tratamiento de datos personales que se realice en el marco de presente Acuerdo se regulará por el marco normativo vigente dado por la Ley Nº 18.331 de 11 de agosto de 2008, así como su Decreto reglamentario Nº 414/009 de 31 de agosto de 2009 y demás normas modificativas, concordantes y complementarias.

SÉPTIMA: Seguimiento.

Para el efectivo cumplimiento de las actividades previstas en este Acuerdo, cada parte designará un referente que será considerado interlocutor válido hasta tanto se comunique su cambio o remoción, y tendrá como cometidos:

a. Priorizar las actividades necesarias para llevar adelante todos los aspectos establecidos en el presente Acuerdo.
b. Indicar la asignación de los recursos necesarios para el correcto funcionamiento del mismo.
c. Evaluar el logro de los objetivos específicos previstos, disponiendo en su caso, los correctivos necesarios.
d. Informar periódicamente a sus respectivas autoridades en cuanto al nivel de avance de ejecución del acuerdo.
e. Difundir y comunicar los resultados alcanzados.

OCTAVA: Vigencia.

Este acuerdo entrará en vigencia en el momento de su suscripción por parte de los comparecientes y vencerá el 31 de diciembre de 2019. El mismo se prorrogará automáticamente por períodos de un año, si no hay comunicación en contrario de alguna de las partes.

NOVENA: Rescisión.

Cualquiera de las dos partes podrá rescindir unilateralmente el presente acuerdo, sin expresión de causa y en cualquier circunstancia, debiendo notificar su voluntad a la otra parte, con una antelación previa no inferior a los 60 (sesenta) días corridos, en la forma y por los medios previstos en la cláusula siguiente.
Esto no afectará de modo alguno los programas o actividades que se encuentren en ejecución, debiéndose fijar, en lo posible de común acuerdo, y en cada caso en qué fase se detendrán las mismas.

DECIMA: Domicilios.

Las partes fijan como domicilios especiales a todos los efectos, los indicados como respectivamente suyos en la comparecencia, considerándose válida toda comunicación, notificación, intimación o similares que se practiquen mediante telegrama colacionado u otro medio fehaciente.

DÉCIMA PRIMERA: Otorgamiento.

En prueba de conformidad, se firman dos ejemplares de un mismo tenor y contenido, a un mismo efecto, en el lugar y fecha arriba indicados.

Por Banco Central del Uruguay
Sr. José Luis Chulián
Gerente de Tecnología de la Información
A/P Bruno D´Amado
Gerente de Seguridad e Infraestructura

Por AGESIC
Ing. José Clastornik
Director Ejecutivo

Período

Fecha comienzo: 19/04/2024