Determinar la siguiente Política de Gestión de Incidentes de la Seguridad de la Información, a los efectos de establecer los procedimientos a seguir para asegurar que las debilidades y eventos de seguridad de la información asociados a sistemas de información de la Intendencia de Montevideo, sean comunicados para permitir tomar acciones correctivas a tiempo
a) Política:
a.1) Notificación de eventos de seguridad de la información
I) Los eventos de seguridad de la información deben ser notificados a la Mesa de Servicios tan pronto como sea posible. Mesa de Servicios deberá notificar al Área de Seguridad Informática, en caso de confirmar o sospechar que sea un evento de seguridad de la información.
II) Alternativamente se recibirán consultas a través de la dirección de correo: seguridad.informatica@imm.gub.uy,
III) Todo funcionario, proveedor, usuario de terceras partes y personal contratado, debe ser puesto en conocimiento de los puntos de contacto establecido en I) y II), así como también deben ser informados de su obligación de comunicar estos eventos.
IV) Se debe notificar a aquellos que reportaron eventos de seguridad, del resultado obtenido una vez procesado el reporte y cerrado el evento.
V) El comportamiento correcto a llevar a cabo por aquellos que reportan un posible evento de seguridad de la información, consiste en observar todos los detalles importantes, reportar inmediatamente el mismo y no realizar ninguna acción.
VI) Frente a la sospecha de una vulnerabilidad de un sistema o equipamiento, la misma no debe ser probada, sino que tal sospecha debe ser comunicada a los puntos de contacto definidos en I) y II), a los efectos que se investigue y mitigue dicha vulnerabilidad. La no observación de este punto podría conducir a fallas del sistema que deriven en responsabilidades para la persona que probó la vulnerabilidad.
VII) El formato de registro de incidentes definido por el Área de Seguridad Informática, será utilizado a la hora de registrar estos eventos. El Área de Seguridad Informática debe documentar los incidentes de seguridad.
a.2) Responsabilidad y procedimientos
I) El Área de Seguridad Informática establecerá, y la Dirección del Departamento de Desarrollo Sostenible e Inteligente aprobará, los procedimientos a seguir para la gestión de diversos tipos de incidentes de seguridad de la información.
Las acciones para contener, mitigar o detener el impacto pueden implicar pérdida temporal, parcial o total de servicios afectados debido a desconexión de equipos, servicios o red de datos, hasta el normal restablecimiento de los mismos.
Se establecerán controles que permitan evitar incidentes de seguridad, los mismos podrán generar bloqueo de accesos, usuarios, equipos, sitios o servicios que puedan causar un perjuicio por tratarse de contenido malicioso, comportamientos anómalos, actividades extrañas, accesos sospechosos, o actividades que puedan provocar fallas temporales, lentitud de servicios o consumo excesivo de ancho de banda de los enlaces de comunicaciones. Estas acciones serán informadas al usuario, grupo, Directores y Mesa de Servicio.
Toda la actividad desde y hacia internet deberá pasar a través de los controles establecidos de seguridad, como ser Firewalls, Antivirus, Sistemas de Protección de Intrusos (IPS), Protección de aplicaciones, etc. Además, se podrá analizar todo el tráfico cifrado a excepción de sitios bancarios, salud o de privacidad personal, a los efectos de proteger los sistemas de ataques o infecciones a los sistemas de información.
II) Estos procedimientos, además de incluir los planes de contingencia normales, deben también cubrir los siguientes puntos:
- Análisis e identificación de la causa del incidente.
- Contención.
- Planificación e implementación de la acción correctiva para prevenir la repetición del evento.
- Comunicación con aquellos afectados por o implicados en la recuperación del incidente.
- Reporte del evento a la autoridad apropiada.
III) Se deben procurar recoger pistas de auditoría y evidencia pertinente de forma apropiada para que sea útil, para:
- Análisis interno del problema.
- Uso como evidencia forense en lo referente a una violación potencial de un contrato o de un requisito regulador o legal.
IV) Las acciones para la recuperación de las violaciones de seguridad y la corrección de las fallas del sistema deben estar cuidadosa y formalmente controladas; los procedimientos deben asegurar que:
- Solamente al personal claramente identificado y autorizado se le permite el acceso a los sistemas en producción y a sus datos.
- Son documentadas detalladamente todas las medidas de urgencia tomadas.
- Las mismas se reportarán a la Dirección del Departamento de Desarrollo Sostenible e Inteligente y se repasarán de una manera ordenada.
- La integridad de los sistemas y de los controles se verificarán lo antes posible.
V) Los objetivos para la gestión de incidentes de seguridad de la información serán acordados con la Dirección del Departamento de Desarrollo Sostenible e Inteligente, de forma que los responsables de la gestión de los mismos entiendan las prioridades de la Organización para manejar incidentes de seguridad de la información.
a.3) Análisis de los incidentes de seguridad
I) Una vez cerrado el incidente se debe proceder a la valoración de los mismos, estimando requerimientos y gastos asociados al incidente.
II) Se debe establecer la posibilidad de que el mismo se repita, así como implementar las medidas correctivas necesarias que disminuyan la posibilidad de ocurrencia futura o mitiguen su impacto.
III) A la luz de la experiencia ganada se deben evaluar los procedimientos en un marco de mejora continua.
b) Definiciones:
Evento de seguridad informática: ocurrencia identificada de un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información, la falla de una medida de seguridad o una situación previamente desconocida que pueda ser relevante para la seguridad (Ref. Decreto de fecha 28 de setiembre de 2009 - Regulación del Centro Nacional de Respuesta e Incidencias de Seguridad Informática).(*)
Incidente de seguridad informática: violación o amenaza inminente de violación a una política de seguridad de la información implícita o explícita, así como un hecho que comprometa la seguridad de un sistema (confidencialidad, integridad, disponibilidad). (Ref. Decreto de fecha 28 de setiembre de 2009 - Regulación del Centro Nacional de Respuesta e Incidencias de Seguridad Informática).(*)
c)Roles y responsabilidades
I) Todos los usuarios de recursos informáticos de la Intendencia de Montevideo deben adherirse a esta política.
II) El área de Seguridad Informática es responsable de asegurar su cumplimiento.
III) Es responsabilidad de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes, la correcta implementación de esta política.