Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Centro Ceibal para el Apoyo a la Educación de la Niñez y la Adolescencia - AGESIC

Vigente

Quiénes participan

• Centro Ceibal para el Apoyo a la Educación de la Niñez y la Adolescencia
• AGESIC

Resumen

Acuerdo Específico de Cooperación Interinstitucional a efectos de que AGESIC brinde apoyo a la implementación del Sistema de Gestión de Seguridad de la Información en CENTRO CEIBAL.

Descripción

Acuerdo Específico de Cooperación Interinstitucional para la mejora de la Gestión de Seguridad de la Información entre el Centro Ceibal para el Apoyo a la educación de la Niñez y la Adolescencia y la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento

En la ciudad de Montevideo, el 24 de setiembre de 2020 comparecen, por una parte, el Centro Ceibal para el Apoyo a la Educación de la Niñez y la Adolescencia  (en adelante CENTRO CEIBAL), representado en este acto por la Ing. Fiorella Haim en calidad de Gerente General,  con domicilio en Av. Italia 6201, Edificio Los Ceibos, de Montevideo, correo electrónico fhaim@ceibal.edu.uy; y por otra parte, la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (en adelante AGESIC), representada en este acto por el Dr. Rodrigo Ferrés en su calidad de Miembro titular del Consejo Directivo Honorario, con domicilio en Santiago de Liniers 1324 Piso 4, Torre Ejecutiva Sur, de Montevideo, correo electrónico secretariageneral@agesic.gub.uy, quienes acuerdan:

PRIMERO: Antecedentes. -

1.- La Ley N° 18.046, de 24 de octubre de 2006 en su artículo 55, en la redacción dada por el artículo 118 de la Ley N° 18.712, de 31 de agosto de 2007, estableció entre los cometidos de AGESIC, concebir y desarrollar una política nacional en temas de seguridad de la información, que permitan la prevención, detección y respuesta frente a incidentes que puedan afectar los activos críticos del país.

2.- La Ley Nº 18.362 de 6 de octubre de 2008 en su artículo 73 estableció la creación en AGESIC, del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), con el objetivo de regular la protección de los activos de información críticos del Estado, definiendo sus cometidos. El Decreto Nº 451/009 de 28 de setiembre de 2009 reglamentó su funcionamiento y organización.

Entre sus cometidos estratégicos se encuentra la creación de Centros de Respuesta a Incidentes de Seguridad Informática en sectores específicos, para mejorar la gestión de incidentes a nivel nacional.

3.- Por su parte, la Ley Nº 18.719 de 27 de diciembre de 2010 en su artículo 149 estableció la creación de la Dirección de Seguridad de la Información, que albergaría el CERTuy, con los cometidos de asesorar en la definición de políticas, metodologías y buenas prácticas en seguridad de la información; desarrollando para este fin el Marco de ciberseguridad.

4.- CENTRO CEIBAL es una persona jurídica de derecho público no estatal creada por el artículo 838 de la Ley Nº 18.719 de 27 de diciembre de 2010 que sustituyó el artículo 2º de la Ley Nº 18.640, de 8 de enero de 2010.

5.- Con fecha 15 de diciembre de 2015, las Instituciones comparecientes suscribieron un Acuerdo Específico de Cooperación Interinstitucional con el objetivo de colaborar en la creación y desarrollo de un Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT) en CENTRO CEIBAL, con el propósito de especializarse en actividades de seguridad de la información relativas a CENTRO CEIBAL, sus programas y comunidad objetivo.    

6.- CENTRO CEIBAL se encuentra en proceso de implementar un Sistema de Gestión de Seguridad de la Información (en adelante SGSI) que le permita mejorar su nivel de madurez en cuanto a Seguridad de la Información. Para la implementación de dicho sistema se toma como marco de referencia el Marco de Ciberseguridad elaborado por AGESIC.    

SEGUNDO: Objeto. -

Ambas partes han entendido necesario y conveniente suscribir el presente Acuerdo Específico de Cooperación Interinstitucional a efectos de que AGESIC brinde apoyo a la implementación del SGSI en CENTRO CEIBAL.

TERCERO: Obligaciones específicas de las partes

Son obligaciones específicas de ambas partes:

1. Proporcionarse en forma oportuna, los datos y la información requerida durante la ejecución del presente Acuerdo;
2. Cumplir con las demás obligaciones que se establezcan en cada documento que se suscriba, en relación con la seguridad de la información;
3. Mantener estricta reserva de la información manejada en el proceso, según lo dispuesto por la cláusula cuarta.
4. Disponer de los recursos humanos necesarios para realizar las tareas establecidas en el presente Acuerdo.

Obligaciones específicas de AGESIC:

1. Realizar una revisión del estado actual del CSIRT para conocer la evolución que ha tenido e identificar mejoras al SGSI del CSIRT en CENTRO CEIBAL.
2. Brindar apoyo institucional para el seguimiento y evolución de la Seguridad de la información en CENTRO CEIBAL;
3. Brindar asesoramiento y apoyo en materia de identificación y firma digital conforme a las necesidades planteadas por CENTRO CEIBAL;
4. Brindar oportunidades de formación en aspectos legales vinculados a seguridad de la información a las áreas pertinentes de CENTRO CEIBAL;
5. Colaborar en la implementación de políticas y buenas prácticas de seguridad de la información en CENTRO CEIBAL tomando como base el Marco de ciberseguridad;
6. Coordinar la respuesta a incidentes de seguridad informática;
7. Colaborar con CENTRO CEIBAL en la identificación de los sistemas críticos y sus programas;
8. Poner a disposición los servicios de instalación, soporte y mantenimiento de Web Aplication Firewall (WAF) para CENTRO CEIBAL;
9. Considerar a CENTRO CEIBAL como organismo participante del programa GSOC, cuyos términos y condiciones serán detallados en su correspondiente acuerdo.

Obligaciones específicas de CENTRO CEIBAL:

1. Elaborar un Plan de implementación de un SGSI alineándose al Marco de Ciberseguridad de AGESIC.   
2. Adoptar las mejoras resultantes de los hallazgos de las revisiones del CSIRT;
3. Disponer de los recursos técnicos y económicos en el marco de su presupuesto, necesarios para continuar desarrollado la seguridad de la información en CENTRO CEIBAL con el Marco de ciberseguridad como referencia;
4. Adquirir los servicios de ajuste de WAF y realizar todos los testeos funcionales que se requieran sobre las aplicaciones de CENTRO CEIBAL para un correcto ajuste.
5. Proporcionar al CERTuy información estadística de incidentes de manera periódica;
6. Difundir internamente e implementar las buenas prácticas y políticas de seguridad de la información definidas por Seguridad de la Información en CENTRO CEIBAL;
7.  Brindar al CERTuy la información de monitoreo de sistemas informáticos, cuando este así lo requiera. Coordinar con el CERTuy la respuesta a incidentes de seguridad informática y colaborar con dicho Centro cuando éste así lo solicite;
8. Adoptar y promover dentro de su comunidad objetivo la concientización en materia de seguridad de la información, tomando como base la campaña “Seguro Te Conectás” y demás iniciativas que puedan surgir.    

CUARTO: No divulgación. -

Las partes acuerdan que toda información relacionada con la otra parte, que se genere o que se halle en poder de la otra parte en el marco del presente Acuerdo, no será divulgada o distribuida directa o indirectamente a ningún tercero, sin el previo consentimiento expreso y por escrito de la otra parte, conforme a lo dispuesto por la normativa vigente en la materia.

Las obligaciones mencionadas, se mantendrán mientras dure el vínculo entre las partes, sin perjuicio de la información secreta, reservada o confidencial, conforme a lo dispuesto en la Ley Nº 18.381 de 17 de octubre de 2008 de Acceso a la Información Pública, modificativas y concordantes.

QUINTO: Protección de Datos Personales. -

El tratamiento de datos personales que se realice en el marco de presente Acuerdo se regulará por el marco normativo vigente dado por la Ley Nº 18.331 de 11 de agosto de 2008, artículos 37 a 40 de la Ley N° 19.670, de 15 de octubre de 2018, así como sus Decretos reglamentarios Nº 414/009 de 31 de agosto de 2009 y N° 64/020, de 17 de febrero de 2020, y demás normas modificativas, concordantes y complementarias. En especial, CENTRO CEIBAL deberá designar un delegado de protección de datos de conformidad con lo establecido en el artículo 40 de la Ley N° 19.670.

SEXTO: Seguimiento. -

Para el efectivo cumplimiento de las actividades previstas en este Acuerdo, cada parte designará un responsable a cargo, el cual será considerado interlocutor válido hasta tanto se comunique su cambio o remoción y tendrá como cometidos:

1. Priorizar las actividades necesarias para llevar adelante todos los aspectos establecidos en el presente Acuerdo;
2. Indicar la asignación de los recursos necesarios para el correcto funcionamiento del mismo;
3. Evaluar el logro de los objetivos específicos previstos, disponiendo en su caso, los correctivos necesarios;
4. Informar periódicamente a sus respectivas autoridades sobre el nivel de avance de ejecución del presente Acuerdo;
5. Difundir y comunicar los resultados alcanzados.

SÉPTIMO: Rescisión. -

La rescisión del presente Acuerdo deberá ser dispuesta en forma conjunta por las autoridades de los organismos firmantes.

Esto no afectará de modo alguno los programas o actividades que se encuentren en ejecución, debiéndose fijar en cada caso, en qué fase se detendrán las mismas.

Será motivo de rescisión unilateral el incumplimiento de las obligaciones asumidas por las partes.

OCTAVO: Vigencia. -

El presente Acuerdo tendrá vigencia de 1 (un) año, a partir de su suscripción, renovándose automáticamente por el mismo período.

NOVENO: Domicilios. -

A todos los efectos a que diere lugar este Acuerdo, las partes constituyen domicilios especiales en los correos electrónicos indicados como respectivamente suyos en la comparecencia, considerándose válida toda comunicación, notificación, intimación o similares que se practique a los mismos.

DÉCIMO: Otorgamiento. -

En prueba de conformidad, se firman dos ejemplares de un mismo tenor y contenido, a un mismo efecto, en el lugar y fecha arriba indicados. 

Por CENTRO CEIBAL

Ing. Fiorella Haim

Gerente General

Por AGESIC

Dr. Rodrigo Ferrés

Miembro titular CDH

Objetivos

• Brindar apoyo a la implementación del Sistema de Gestión de Seguridad de la Información en CENTRO CEIBAL.

Período

Fecha comienzo: 16/09/2020

Descargas

• Descargar Acuerdo AGESIC_CEIBAL 16 de setiembre de 2020 (.pdf 184 KB)