Resolución Nº 642/10

Resolución N° 642/10	Nro de Expediente: 6003-000217-10
PLANIFICACION	Fecha de Aprobación: 22/2/2010

Tema:
VARIOS

Resumen:
Determinar la política de Gestión de Incidentes de la Seguridad de la Información, a los efectos de establecer los procedimientos a seguir para asegurar que las debilidades y eventos de seguridad de la información asociados a sistemas de información de la Intendencia Municipal de Montevideo (IMM), sean comunicados para permitir tomar acciones correctivas a tiempo.-

Montevideo, 22 de Febrero de 2010.-

VISTO: las presentes actuaciones iniciadas por la División Tecnologías de la Información, relacionadas con la importancia de identificar y proteger los activos de información de la Intendencia Municipal de Montevideo; RESULTANDO: que es objetivo de la Organización garantizar la continuidad de las principales operaciones y minimizar el impacto provocado por incidentes de seguridad, así como garantizar que la información distribuida o producida por la Organización mantenga su integridad y confidencialidad de forma apropiada y que la misma se encuentre disponible siempre que sea necesaria; CONSIDERANDO: 1º) que la Dirección de la División Tecnología de la Información, a fin de lograr estos cometidos, se ha abocado al desarrollo, implantación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información; 2º) que se deberán establecer los procedimientos a los efectos de asegurar que las debilidades y eventos de seguridad de la información asociados a sistemas de información de la Intendencia Municipal de Montevideo, sean comunicados para tomar acciones correctivas en tiempo y forma; 3º) que el Director General del Departamento de Planificación se manifiesta de conformidad a lo informado, estimando procedente el dictado de Resolución al respecto; EL INTENDENTE MUNICIPAL DE MONTEVIDEO RESUELVE: 1º. Determinar la siguiente política de Gestión de Incidentes de la Seguridad de la Información, a los efectos de establecer los procedimientos a seguir para asegurar que las debilidades y eventos de seguridad de la información asociados a sistemas de información de la Intendencia Municipal de Montevideo (IMM), sean comunicados para permitir tomar acciones correctivas a tiempo. a) Política: a.1) Reportes de eventos de seguridad de la información I) Los eventos de seguridad de la información deben ser reportados a Mesa de Ayuda tan pronto como sea posible. Mesa de Ayuda deberá notificar al Área de Seguridad Informática, en caso de confirmar o sospechar que sea un evento de seguridad de la información. II) Alternativamente se recibirán consultas a través de la dirección de correo: seguridad.informática@imm.gub.uy. III) Todo funcionario, proveedor, usuario de terceras partes y personal contratado, debe ser puesto en conocimiento de los puntos de contacto establecidos en I) y II), así como también deben ser informados de su obligación de comunicar estos eventos. IV) Se debe notificar a aquellos que reportaron eventos de seguridad, del resultado obtenido una vez procesado el reporte y cerrado el evento. V) El comportamiento correcto a llevar a cabo por aquellos que reportan un posible evento de seguridad de la información, consiste en observar todos los detalles importantes, reportar inmediatamente el mismo y no realizar nunguna acción. VI) Frente a la sospecha de una vulnerabilidad de un sistema o equipamiento, la misma no debe ser probada, sino que tal sospecha debe ser comunicada a los puntos de contacto definidos en I) y II), a los efectos de que se investigue y mitigue dicha vulnerabilidad. La no observación de este punto podría conducir a fallas del sistema que deriven en responsabilidades para la persona que probó la vulnerabilidad. VII) El formato de registro de incidentes definido por el Área de Seguridad Informática, será el utilizado a la hora de registrar estos eventos. El Área de Seguridad Informática debe documentar los incidentes de seguridad. a.2) Responsabilidad y procedimientos I) El Área de Seguridad Informática establecerá, y la Dirección de la División Tecnología de la Información aprobará, los procedimientos a seguir para la gestión de diversos tipos de incidentes de seguridad de la información. II) Estos procedimientos, además de incluír los planes de contingencia normales, deben también cubrir los siguientes puntos: * Análisis e identificación de la causa del incidente. * Contención. * Planificación e implementación de la acción correctiva para prevenir la repetición del evento. * Comunicación con aquellos afectados por o implicados en la recuperación del incidente. * Reporte del evento a la autoridad apropiada. III) Se deben procurar recoger pistas de auditoría y evidencia pertinente de forma apropiada para que sea útil, para: * análisis interno del problema; * uso como evidencia forense en lo referente a una violación potencial de un contrato o de un requisito regulador o legal. IV) Las acciones para la recuperación de las violaciones de la seguridad y la corrección de las fallas del sistema deben estar cuidadosa y formalmente controladas; los procedimientos deben asegurar que: * solamente al personal claramente identificado y autorizado se le permite el acceso a los sistemas en producción y a sus datos; * son documentadas detalladamente todas las medidas de urgencia tomadas; * las mismas se reportarán a la Dirección de la División Tecnología de la Información y se repasarán de una manera ordenada; * la integridad de los sistemas y de los controles se verificarán lo antes posible. V) Los objetivos para la gestión de incidentes de seguridad de la información serán acordados con la Dirección de la División Tecnología de la Información, de forma que los responsables de la gestión de los mismos entiendan las prioridades de la Organización para manejar incidentes de seguridad de la información. a.3) Análisis de los incidentes de seguridad I) Una vez cerrado el incidente se debe proceder a la valoración de los mismos, estimando requerimientos y gastos asociados al incidente. II) Se debe establecer la posibilidad de que el mismo se repita, así como implementar las medidas correctivas necesarias que disminuyan la posibilidad de ocurrencia futura o mitiguen su impacto. III) A la luz de la experiencia ganada se deben revaluar los procedimientos en un marco de mejora continua. b) Roles y responsabilidades b.1) Todos los usuarios de recursos informáticos de la IMM deben adherirse a esta política. b.2) El Área de Seguridad Informática será responsable de garantizar el cumplimiento e implementación de esta política. c) Definiciones c.1) Evento de seguridad informática: ocurrencia identificada de un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información, la falla de una medida de seguridad o una situación previamente desconocida que pueda ser relevante para la seguridad (Ref. Decreto de fecha 28 de setiembre de 2009 - Regulación del Centro Nacional de Respuesta e Incidencias de Seguridad Informática). c.2) Incidente de seguridad informática: violación o amenaza inminente de violación a una política de seguridad de la información implícita o explícita, así como un hecho que comprometa la seguridad de un sistema (confidencialidad, integridad, disponibilidad). (Ref. Decreto de fecha 28 de setiembre de 2009 - Regulación del Centro Nacional de Respuesta e Incidencias de Seguridad Informática).- 2º. Establecer que el acance de esta política aplica a todos los usuarios de recursos informáticos de la Intendencia Municipal de Montevideo, tanto a funcionarios independientemente de su relación contractual, así como a proveedores y usuarios de terceras partes.- 3º Revisar anualmente la Política de Gestión de Incidentes de la Seguridad de la Información, a los efectos de evaluar su implantación y su eventual modificación para el eficaz cumplimiento de sus objetivos.- 4º. Encomendar a la Asesoría Jurídica, la realización de los procedimientos pertinentes a los efectos de su incorporación al Digesto Municipal.- 5º. Comuníquese a Secretaría General; a Asesoría Jurídica; a todos los Departamentos y pase a la División Tecnología de la Información.-

RICARDO EHRLICH, Intendente Municipal.-
ALEJANDRO ZAVALA, Secretario General.-