Reglamentación sobre reporte Obligatorio de Incidentes Cibernéticos de Seguridad en el Estado

Reportes de Incidentes Cibernéticos

Reglamentación sobre reporte Obligatorio de Incidentes Cibernéticos de Seguridad en el Estado

(Resolución MITIC N° 346/2020)

https://gestordocumental.mitic.gov.py/share/s/dMGkn7e6SauVDesaD9kV0Q

Mediante la Resolución MITIC N° 346/2020 se aprueba e implementa el reglamento de reporte obligatorios de incidentes cibernéticos de seguridad por parte los Organismos y Entidades del Estado (OEE) al Ministerio de Tecnologías de la Información y Comunicación (MITIC), a través del Centro de Respuestas a Incidentes Cibernéticos (CERT-PY), dependiente de la Dirección General de Ciberseguridad y Protección a la Información, reglamentando así el Art. 44 del Decreto 2274/19.

Un incidente cibernético de seguridad es una amenaza inminente a las políticas de seguridad de la información de una Institución, o cualquier hecho que comprometa la seguridad de la información de un sistema (confidencialidad, integridad o disponibilidad).

Este reglamento establece que todo funcionario público debe reportar cualquier posible incidente cibernético de seguridad al Responsable de Seguridad de la Información (RSI), o, en su defecto, al Director de la UETIC de su Institución. Es obligación de éstos reportar todo incidente cibernético de seguridad al CERT-PY enviando un correo electrónico a abuse@cert.gov.py, incluyendo una descripción del mismo, así como también cualquier dato que pueda ayudar a investigar el incidente, según sea el caso (logs, captura de pantalla, explicaciones, captura de tráficos, archivos, etc.).Este reglamento establece además las pautas generales de la acción del CERT-PY frente a los reportes recibidos, definiendo el alcance de acción, los niveles y criterios de criticidad, así como también la confidencialidad con la que se manejarán los detalles de los incidentes que le son reportados.Además, establece los lineamientos que se deben tener en cuenta en cuanto a la gestión comunicacional de un incidente cibernético, debiendo ésta ser realizada de manera coordinada entre la institución afectada, las áreas técnicas, las áreas comunicacionales, así como también el MITIC, de manera a informar de manera clara, certera y transparente, sin comprometer la investigación, conforme a las guías y lineamientos establecidos, velando por los derechos de todas las personas que fueran afectados por el incidente.

¡IMPORTANTE!
El MITIC guardará confidencialidad respecto a los detalles de los incidentes cibernéticos que le hayan sido reportados.