Back to top
La presente Base Normativa se encuentra en estado de revisión.
Los usuarios convienen en exonerar de responsabilidad a la Intendencia de Montevideo, División Asesoría Jurídica, Equipo Técnico de Actualización Normativa e Información Jurídica, por todo tipo de daño o perjuicio, directo o indirecto que eventualmente puedan sufrir especialmente los derivados de involuntarias inexactitudes, falta de información o datos imperfectos de cualquier naturaleza, contenidos en los archivos de dicha base.

Digesto Departamental
Relación Funcional
De la relación funcional
Reglamentaria
Del Sistema de Gestión de la Seguridad de la Información
De la política sobre ciberseguridad

Volumen III Relación Funcional

Libro III
De la relación funcional
Parte Reglamentaria
Título  Único
Nota:

Por Res. IM Nº 4716/24 de 6/11/2024 se aprobó el texto del Convenio entre esta Intendencia y la Asociación de Empleados y Obreros Municipales (ADEOM), estableciendo en su cláusula segunda un régimen especial de jornadas de trabajo aplicable al personal perteneciente al escalafón obrero y jefaturas obreras del Servicio Mantenimiento Vial que se adhiera, por un plazo de 1 (un) año, sin perjuicio de la realización de una instancia de seguimiento cumplidos los 6 (seis) meses.

Por Res.IM Nº 0441/23 de 19/01/2023 se aprobó un régimen de trabajo especial para el Servicio Central de Locomoción, que comienza a regir a partir del 1º de enero de 2023 y que extenderá su vigencia por el término de 1 (un) año.  Por Res.IM Nº 973/24 de 27/02/2024 se prorrogó la vigencia del citado régimen hasta el 31/12/2024.

Capítulo XVIII.3
Del Sistema de Gestión de la Seguridad de la Información
Sección X
De la política sobre ciberseguridad

Se establece que los sistemas informáticos y la información producida o gestionada por la Intendencia de Montevideo, deberá estar alojada en centros de datos seguros, situados en el territorio nacional, exceptuándose aquéllos que mediante un análisis, se determine un riesgo bajo o nulo para la organización. En este último caso se deberá contar con la aprobación previa de la Dirección General del Departamento de Desarrollo Sostenible e Inteligente quien podrá, en casos excepcionales y por motivos debidamente fundados, elevar las actuaciones para resolución de la Intendencia, sin perjuicio de lo estipulado en la Ley de Protección de Datos Personales.

FuenteObservaciones
num. 2
num. 1
num. 11

Cuando el uso de servicios de nube involucre datos personales que puedan implicar una transferencia internacional, deberá tenerse en cuenta el uso de territorios adecuados según lo definido por la Unidad Reguladora y de Control de Datos Personales (URCDP). De otra forma se deberá acreditar ante la mencionada Unidad que se cuenta con el consentimiento de los titulares de los datos, o con cláusulas contractuales que aseguren la protección de los datos.

FuenteObservaciones
num.2
num. 2
num. 11

Los análisis de riesgos, tanto en materia de ciberseguridad como de protección de datos personales, corresponde que sean realizados en la interna de la organización, por los equipos de Tecnología de la Información (TI), Seguridad, Legal, y en caso de estar asignado, quien desempeña el rol de delegado de protección de datos (regulado por la Resolución de la URCDP N°32/020).

FuenteObservaciones
num.2
num. 3
num. 11

Aquellas tecnologías que utilicen información gestionada por la Intendencia de Montevideo que pueda alojarse o enviarse, aun de forma temporal, fuera de territorio nacional, debe transferirse preferentemente de forma cifrada.  En caso que trate información clasificada como reservada, confidencial o secreta, debe transferirse y almacenarse de forma cifrada

FuenteObservaciones
num.2
num. 4
num. 11

La información generada en canales abiertos de difusión o comunicación con la ciudadanía no estará comprendida en los numerales anteriores.

FuenteObservaciones
num.2
num. 5
num. 11

Los portales web y las direcciones de correo electrónico utilizarán únicamente los dominios de internet asignados oficialmente a la Intendencia de Montevideo, o alguno de sus subdominios.

FuenteObservaciones
num.2
num. 6
num. 11

Para la comunicación entre los clientes de correo y los servidores de correo de la institución se utilizarán protocolos de comunicación cifrada, utilizando un certificado de seguridad válido.

FuenteObservaciones
num.2
num. 7
num. 11

Se utilizarán preferentemente canales de comunicación cifrados para la comunicación entre servidores de transferencia de correo.

FuenteObservaciones
num. 8
num. 11
num.2

Cuando la información enviada en los mensajes de correo se considere de carácter reservado, se recomienda utilizar cifrado a nivel de mensaje, que permita que únicamente el destinatario del mismo pueda leerlo.

FuenteObservaciones
num.2
num. 9
num. 11

Definiciones: a) Centro de datos seguro: El Decreto del Poder ejecutivo 92/014 de 7 de abril de 2014 en su anexo III define los "Lineamientos para la implementación y uso de centros de datos seguros"

b) Canales abiertos de difusión: Se trata de canales de distribución de contenido digital, como ser, redes sociales, blogs, publicidad, mensajería instantánea.

c) Riesgo bajo: El impacto y la probabilidad de ocurrencia es muy baja o prácticamente nula, se requiere unicamente tomar medidas de prevención.

d) Cifrado: Mecanismo de protección de acceso y transferencia de la información mediante algoritmos
criptográficos. (Numeral 4 de la Resolución N.º 4286/20, de 7 de diciembre de 2020 incorporado en el
artículo R.418.48 del Volumen III del Digesto Departamental).

e) Territorio adecuado: La URCDP establece los territorios adecuados y en consecuencia apropiados para las transferencias internacionales, no requiriendo en este caso autorizaciones especiales por parte de la URCDP, aunque sí el cumplimiento de algunos requisitos formales como la inscripción de la base de datos, entre otros.

f) Territorio no adecuado: En caso de que la transferencia se realice a un territorio no adecuado, se
deberá acreditar ante la URCDP que se cuenta con consentimiento de los titulares de los datos, o con
cláusulas contractuales que aseguren la protección de los datos, u otras hipótesis previstas en el artículo 23 de la Ley N° 18.331, de fecha 11 de agosto de 2008.

FuenteObservaciones
num.2
num. 10
num. 11

Determinar la siguiente política de uso de dispositivos móviles, cuyo propósito es la protección de los mismos, incluyendo la información contenida, las cuentas de usuario y los accesos configurados, de forma de garantizar la seguridad de la información en dichos dispositivos.

a) Política:

i. Se debe mantener un inventario de los dispositivos móviles corporativos asignados con información del hardware, software, responsable del equipo y uso que se da al dispositivo.

ii. El mantenimiento de los dispositivos será responsabilidad del área de Asistencia Técnica.

iii. El usuario no podrá hacer cambios en el hardware, software o modificar la configuración.

iv. Deberá protegerse el acceso a la BIOS mediante contraseña (siempre que sea posible).

v. En caso de que el dispositivo cuente con software de localización activado, se comunicará al usuario el cual deberá expresamente aceptar esta condición.

b) Responsabilidad del usuario:

i. Los equipos y medios que contengan datos con información clasificada, no deben dejarse desatendidos en sitios públicos.

ii. Durante viajes, las computadoras portátiles deben, cuando sea posible, transportarse como equipaje de mano.

iii. En caso de que las computadoras portátiles contengan información clasificada, la misma deberá estar cifrada.

iv. El usuario será responsable de asegurar el cumplimiento del punto anterior, pudiendo solicitar ayuda a la Mesa de Servicios sobre las medidas a tomar.

v. No deberá conectarse a redes inalámbricas no confiables o desconocidas para transmitir información clasificada.

vi. La información institucional que no sea estrictamente necesaria para el desarrollo de las tareas del usuario no debe almacenarse en el dispositivo.

vii. Previo a su utilización el usuario deberá consultar a la Mesa de Servicios, para que se controle el correcto funcionamiento del software de seguridad del equipo y cuente con las actualizaciones correspondientes al sistema instalado.

viii. En caso de devolución del dispositivo, la información debe ser eliminada de forma segura o solicitar su eliminación al técnico responsable.

ix. En caso de robo o pérdida del equipo, sospecha de infección por software malicioso o cualquier incidente de seguridad, se debe comunicar a la brevedad posible con la Mesa de Servicios.

c) Dispositivos externos a la organización:

i. Aquellos dispositivos que no pertenezcan a la organización podrán únicamente conectarse a la red de acceso público para invitados.

ii. Para conectarse a la red de datos interna de la Intendencia de Montevideo, deben aplicarse los controles correspondientes, dando cumplimiento a la "Política de protección de puestos de trabajo" además de requerir la autorización expresa de Seguridad Informática.

d)Roles y responsabilidades:

i. Todos los usuarios son responsables de minimizar el riesgo y proteger los dispositivos según lo establecido anteriormente.

ii. El área de Seguridad Informática es responsable de asegurar el cumplimiento.

iii. Es responsabilidad de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes, la correcta implementación de esta política.

FuenteObservaciones
num. 1

Determinar la siguiente política de control de acceso remoto, cuyo propósito es establecer los requerimientos mínimos para el acceso de forma remota a servicios informáticos de la red interna.

a) Política:

i. Esta política aplica a funcionarios y terceras partes relacionadas con la Intendencia de Montevideo.

ii. Los mecanismos que permitan dichos accesos deberán ser aprobados por Seguridad Informativa antes de ser utilizados.

iii. Deberá utilizarse una conexión VPN o mecanismo equivalente, con cifrado de datos mediante protocolos seguros que no presenten vulnerabilidades publicadas.

iv. La Dirección de cada Servicio de la Intendencia de Montevideo debe autorizar esta modalidad de acceso únicamente a los usuarios que lo requieran para desempeñar sus funciones.

v. Todo permiso de acceso debe estar estrictamente aprobado y quedar registrado.

vi. Preferentemente deberá establecerse un segundo factor de autenticación adicional al estándar de usuario/contraseña.

b) Empresas o usuarios externos a la organización:

i. El acceso físico o lógico a la infraestructura y aplicaciones únicamente se debe dar a los proveedores para propósitos de soporte, cuando sea necesario, y con aprobación previa.

ii. Previo al acceso será requerimiento la firma de un Compromiso de confidencialidad y responsabilidad sobre actuaciones realizadas con el usuario o conexiones establecidas.

iii. Deberán otorgarse únicamente los accesos mínimos requeridos para el desarrollo de sus actividades.

iv. Los usuarios definidos deberán tener una fecha de caducidad que esté determinada en el contrato establecido con la Intendencia de Montevideo o en su defecto deberá ser de un año corriente a la fecha de autorización, fecha en la cual caducará el permiso de acceso.

v. Cualquier actividad anómala detectada en el transcurso de la conexión remota establecida con la Intendencia de Montevideo, podrá determinar el bloqueo del usuario o la empresa en su conjunto, referente al acceso remoto.

vi. Las actividades deben ser supervisadas o monitoreadas adecuadamente.

vii. Deberán establecerse acuerdos de nivel de servicio (SLA) para aquellos casos que el soporte sea sobre los componentes críticos de la infraestructura.

c) Definiciones:

Acceso Remoto: conexión a los servicios informáticos de la Intendencia de Montevideo desde una ubicación remota a través de una Red Pública.

Segundo factor de autenticación: mecanismo utilizado para verificar que un usuario es quien dice ser combinando dos componentes diferentes, como ser contraseña y un mensaje o código obtenido desde un dispositivo móvil.

d) Roles y responsabilidades:

i. Todos los usuarios son responsables de minimizar el riesgo y proteger los dispositivos según lo establecido anteriormente.

ii. El área de Seguridad Informática es responsable de asegurar su cumplimiento.

iii. Es responsabilidad de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes, la correcta implementación de esta política.

FuenteObservaciones
num. 2

Determinar la siguiente política de medios de almacenamiento y dispositivos extraíbles, cuyo propósito es la protección de la información contenida y el acceso adecuado como forma de garantizar la seguridad de la información en dichos dispositivos.

a) Dispositivos fuera de la organización:

i. Los dispositivos que contengan información y sean retirados de su entorno habitual, no deben dejarse desatendidos en sitio públicos.

ii. Durante viajes deben transportarse como equipaje de mano.

En caso de requerirse almacenar información clasificada como reservada, confidencial o secreta deberá protegerse debidamente cifrado y deberá informarse en caso de ocurrir algún incidente (robo, pérdida, virus, etc).

iii. Los equipos que sean utilizados fuera del lugar de trabajo, deben contar con un seguro  que cubra al menos los casos de robo.

b) Dispositivos de almacenamiento extraíbles:

i. Los medios de almacenamiento portables, removibles o medios extraídos del equipamiento, temporal o permanentemente, que contengan información institucional, deben permanecer en un lugar seguro y bajo acceso restringido garantizando su protección ante agentes externos (robo, incendio, inundaciones, magnetismo).

ii. Los medios de almacenamiento utilizados para copias de respaldos, deben permanecer en una ubicación diferente a las instalaciones donde se encuentran disponibles los datos, aquellos que contengan información clasificada deben estar protegidos contra acceso no autorizado durante el transporte y preferentemente en forma cifrada. El sitio donde se resguarden deben contar con los controles de seguridad física y medioambiental apropiados.

c) Reutilización o destrucción de medios:

i. Se debe revisar todo equipamiento que contenga medios de almacenamiento para asegurar que los datos y software licenciado haya sido removido antes de su reutilización o eliminación.

ii. Los medios utilizados para almacenar la información o las copias de respaldos destinadas a darse de baja, deberán ser destruidos o en su defecto eliminar la información contenida de forma segura, utilizando procedimientos que garanticen que no sea posible la recuperación, como ser: destrucción física del dispositivo, desmagnetización  o sobre-escritura, según aplique en cada caso.

d) Definiciones:

i. Dispositivos de almacenamiento extraíble: Se trata de dispositivos que contienen información y permiten una transferencia rápida de la información, como ser, memorias, USB, discos portátiles, tarjetas de memoria, CDs, cintas de respaldo, etc.

ii. Cifrado: mecanismo de protección de acceso y transferencia de la información mediante algoritmos criptográficos (ver Política de uso de criptografía y control criptográfico).

e) Roles y responsabilidades:

i. El área de Seguridad Informática es responsable de asegurar su cumplimiento.

ii. Es responsabilidad de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes, la correcta implementación de esta política.

FuenteObservaciones
num.3

Determinar la siguiente política de uso de criptografía y control criptográfico, cuyo propósito es proteger el acceso a la información personal o aquella clasificada como reservada, secreta o confidencial, mediante el cifrado tanto de la información almacenada como en tránsito.

a)Política:

i. Aplica a los datos contenidos en bases de datos, documentos electrónicos, correos electrónicos, respaldos en medios magnéticos, dispositivos extraíbles, dispositivos móviles, información almacenada en la nube, credenciales de acceso y la transferencia de los mismos.

ii. Deberán aplicarse herramientas criptográficas que cifren dicha información haciéndola ilegible a los que no dispongan de la clave de cifrado, de forma de garantizar la confidencialidad e integridad de la misma.

iii. Deberá utilizarse firma digital reconocida para garantizar la autenticidad y asegurar el no repudio en aquellos documentos o correos electrónicos que así lo requieran.

iv. Deberá utilizarse certificados de dominio para garantizar la seguridad en la transferencia de información en los servicios publicados en internet e intranet. Dichos certificados deberán estar avalados por las entidades de certificación internacional de forma de que puedan verificarse mediante los navegadores o aplicaciones que interactúan con los mismos.

v. La información intercambiada con servicios de terceras partes que pueda contener credenciales de usuario, información personal o clasificada como reservada, confidencial o secreta, deberá transferirse utilizando canales seguros o cifrando los datos contenidos.

vi. En todos los casos se deben utilizar algoritmos y herramientas de cifrado robustos basados en estándares internacionales, que se encuentren vigentes, sin reportes de problemas de seguridad, de carácter abierto y de especificación pública (conocidos y evaluados ampliamente). Se recomienda además el uso de sistemas de cifrado asimétrico en detrimento de los sistemas de cifrado simétrico.

b) Definiciones:

i. Nube: término que se utiliza para describir una red mundial de servidores y servicios diseñados para almacenar, administrar datos, ejecutar aplicaciones o entregar contenido. Puede implementarse como nube pública, que comparte recursos y ofrece servicios a través de internet; una nube privada, que no se comparte y ofrece servicios a través de una red interna privada, una nube híbrida, que comparte servicios entre nubes públicas y privadas;: una nube comunitaria, que comparte recursos entre organizaciones, como instituciones gubernamentales.

ii. Firma digital o Firma Electrónica Avanzada: tiene idéntica validez y eficacia que la firma autógrafa consignada en documento público o en documento privado con firmas certificadas, por lo que no requiere acuerdo previo para su uso. Además, provee garantías de Integridad, Autenticidad y No repudio sobre los documentos intercambiados, de acuerdo a lo establecido en la Ley Nº 18.600 del 21 de setiembre de 2009.

iii. Cifrado: mecanismo de protección de acceso y transferencia de la información mediante algoritmos criptográficos.

c) Roles y responsabilidades:

i. El área de Seguridad Informática es responsable de asegurar su cumplimiento.

ii. Es responsabilidad de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes, la correcta implementación de esta política.

FuenteObservaciones
num. 4

Establecer que el alcance de estas políticas aplica a todos los usuarios de recursos informáticos de la Intendencia de Montevideo, tanto a funcionarios independientemente de su relación contractual, así como a proveedores y usuarios de terceras partes.

FuenteObservaciones
num. 5

Establecer que estas Políticas deberán ser revisadas cuando ocurran cambios significativos (técnicos, normativo, negocio) o al menos cada tres años para evaluar su implantación y modificadas cuando así se requiera, a efectos de eficaz cumplimiento se sus objetivos.

FuenteObservaciones
num. 6