Ciberseguridad y notificación de violaciones en Fresno

Los sistemas de la ciudad de Fresno, California deben proteger los datos de residentes y empresas y cumplir las obligaciones legales de notificación de violaciones. Este artículo resume las responsabilidades municipales aplicables, los roles de las oficinas de la ciudad en respuesta a incidentes, los pasos de cumplimiento comunes para proveedores y personal, y cómo puede reportar el público las sospechas de violaciones.

Ámbito y normas aplicables

El departamento de Servicios de Tecnología de la Información de la Ciudad de Fresno establece requisitos técnicos y procedimentales de seguridad para los sistemas municipales; el departamento publica políticas e información de contacto en su sitio oficial Information Technology Services^[1]. El código municipal de la ciudad rige los registros, el acceso público y algunas obligaciones de manejo de datos; el texto detallado de las ordenanzas aparece en el repositorio del código municipal Fresno Municipal Code^[2].

Estándares y controles mínimos

Los sistemas gestionados por la ciudad normalmente requieren control de acceso basado en roles, cifrado de datos sensibles en tránsito y en reposo cuando sea factible, actualizaciones regulares, registro (logging) y retención, y procedimientos de respuesta a incidentes. Los proveedores y contratistas que acceden a sistemas de la ciudad normalmente deben cumplir con los estándares de seguridad de la ciudad como condición del contrato; revise las cláusulas de adquisiciones o del contrato de TI para obligaciones específicas.

Sanciones y aplicación

La aplicación de las obligaciones de ciberseguridad y notificación de violaciones para sistemas municipales la lleva a cabo el departamento responsable de la ciudad y, cuando proceda, mediante recursos contractuales. Las multas monetarias específicas y sanciones estatutarias por violaciones de ciberseguridad no siempre se publican en las páginas citadas de la ciudad y pueden depender de los términos del contrato o de la ley superior.

• Multas: no especificado en la página citada; consulte los términos del contrato o el texto de la ordenanza para sanciones monetarias.^[2]
• Escalamiento: los procedimientos para infracciones iniciales, repetidas o continuas no están especificados en la página citada.
• Sanciones no monetarias: órdenes administrativas, planes de acción correctiva, suspensión de acceso, terminación de contratos o remisión a acción penal o civil.
• Organismo aplicador: Servicios de Tecnología de la Información de la Ciudad de Fresno y el departamento administrador del sistema afectado; la información de contacto para quejas e incidentes está disponible en la página del departamento de TI.^[1]
• Recursos y revisiones: las vías de apelación dependen de la oficina aplicadora y del contrato u ordenanza aplicable; los plazos para apelaciones no están especificados en la página citada.

Solicitudes y formularios

La página de TI de la ciudad lista puntos de contacto para reportar incidentes de seguridad; no se publicó en las páginas citadas un formulario municipal estandarizado de "notificación de violación". Para solicitudes de registros o asuntos de registros públicos, vea los enlaces de la Secretaría de la Ciudad y del código municipal abajo.^[2]

Informes, inspecciones y vías de queja

Reporte sospechas de violaciones o divulgaciones no autorizadas a los Servicios de Tecnología de la Información de la Ciudad de Fresno a través de la página de contacto del departamento de TI o el departamento administrador del sistema afectado. La oficina de TI coordina las investigaciones y puede derivar asuntos al asesor legal o a las autoridades policiales.

• Reportar incidente: contacte a Servicios de Tecnología de la Información por medio de la página oficial de contacto de TI.^[1]
• Investigación: el equipo de seguridad de TI documenta el incidente, preserva registros y evidencia, y ejecuta el plan de respuesta a incidentes.
• Solicitudes de registros públicos: envíelas a la Secretaría de la Ciudad cuando se busquen registros sobre un incidente.

Violaciones comunes

• Acceso no autorizado a sistemas de la ciudad (uso indebido de credenciales).
• Falta de cifrado o protección de información personal sensible.
• Incumplimiento por parte de proveedores de cláusulas de seguridad del contrato.

FAQ

¿Quién debe notificar a la ciudad tras una violación?

El propietario del sistema o el proveedor contratado debe notificar al contacto de seguridad de TI de la Ciudad de Fresno lo antes posible tras el descubrimiento.

¿Publica la ciudad multas monetarias por violaciones de ciberseguridad?

Las páginas municipales citadas no especifican multas monetarias por violaciones de ciberseguridad; la aplicación suele seguir el contrato u otra ley.

¿Cómo puede un residente reportar el uso indebido de sus datos?

Los residentes deben contactar a la oficina de TI de la Ciudad de Fresno o al departamento pertinente en el sitio web de la ciudad y pueden presentar solicitudes de registros públicos ante la Secretaría de la Ciudad.

How-To

1. Identificar y contener el incidente: desconecte los sistemas afectados y asegure las copias de seguridad.
2. Preservar evidencia: no altere marcas de tiempo del sistema ni elimine registros.
3. Notificar a Servicios de Tecnología de la Información de la Ciudad de Fresno inmediatamente y siga sus instrucciones de respuesta a incidentes.^[1]
4. Si procede, prepare notificaciones requeridas por contrato o por ley superior y coordine los mensajes con el asesor legal de la ciudad.

Puntos clave

• Reporte incidentes con prontitud al TI de la ciudad para permitir una respuesta efectiva.
• Los proveedores deben cumplir las disposiciones de seguridad contractuales y preservar la evidencia.

Ayuda y recursos

• City of Fresno Information Technology Services
• City of Fresno City Clerk
• Fresno Municipal Code (repositorio del código)

1. [1] City of Fresno Information Technology Services
2. [2] Fresno Municipal Code - Code of Ordinances