Requisitos de ciberseguridad para contratistas en Los Ángeles

Los Ángeles, California exige que los contratistas que acceden a sistemas de la ciudad o manejan datos de la ciudad cumplan con controles de ciberseguridad documentados en sus contratos de adquisición. Las autoridades contratantes y la Information Technology Agency (ITA) establecen requisitos básicos en contratos y anexos; los contratistas deben revisar el lenguaje del contrato, los anexos de seguridad y las normas específicas de la agencia antes de presentar ofertas o firmar.^[1][2]

Alcance y quién debe cumplir

Las obligaciones de ciberseguridad del contratista normalmente se aplican cuando un contratista: accede a redes de la ciudad, almacena o procesa datos controlados por la ciudad, integra software con sistemas de la ciudad o presta servicios gestionados. Las responsabilidades se establecen en el contrato ejecutado y en cualquier anexo de seguridad de la información incorporado; los detalles operativos pueden variar según el departamento y el tipo de contrato.

Expectativas técnicas mínimas

• Uso de autenticación robusta y acceso con privilegio mínimo para cuentas de la ciudad.
• Gestión de parches y remediación oportuna de vulnerabilidades.
• Controles de manejo de datos y cifrado para datos de la ciudad en reposo y en tránsito.
• Notificación de incidentes al personal de la ciudad dentro de los plazos establecidos en el contrato.
• Seguridad de la cadena de suministro y controles para subcontratistas que acceden a datos de la ciudad.

Sanciones y ejecución

La ejecución normalmente la gestionan los recursos contractuales del departamento contratante y la supervisión técnica de la Information Technology Agency (ITA). Las sanciones civiles o administrativas específicas relacionadas con requisitos de ciberseguridad no están consolidadas en una sección única del código municipal en las páginas citadas; los importes de multas no se especifican en las páginas citadas.^[1][2]

• Multas monetarias: no especificadas en la página citada.
• Escalamiento: aviso inicial, periodo de subsanación y luego sanciones contractuales o terminación — los periodos exactos no se especifican en la página citada.
• Sanciones no monetarias: órdenes de suspensión, suspensión de acceso, terminación de contrato y reclamaciones por daños.
• Inspección y cumplimiento: ITA y el departamento contratante pueden auditar el cumplimiento y exigir evidencia.
• Notificación/denuncia: presentar al departamento contratante y a los contactos de ITA según lo indicado en el contrato.

Solicitudes y formularios

No hay un formulario único de ciberseguridad publicado en las páginas citadas; las obligaciones de ciberseguridad suelen transmitirse como cláusulas contractuales, anexos o apéndices de seguridad de la información incorporados en los documentos de adquisición. Los contratistas deben revisar los documentos de la licitación y el contrato ejecutado para ver si se requieren presentaciones como atestaciones de cumplimiento o evidencia de controles.^[1]

Violaciones comunes

• No reportar un incidente de seguridad dentro de los plazos del contrato.
• Mala gestión de parches o vulnerabilidades críticas sin remediar.
• Divulgación no autorizada o manejo inadecuado de datos de la ciudad.
• Permitir que subcontratistas accedan a sistemas de la ciudad sin los controles requeridos.

Pasos prácticos para contratistas

• Revise las cláusulas de seguridad del contrato y los anexos incorporados antes de firmar.
• Documente los controles técnicos, planes de respuesta a incidentes y registros de auditoría para su presentación si se solicita.
• Presupueste los costes de cumplimiento como pruebas de penetración, cifrado y monitorización.
• Establezca un punto de contacto para avisos de la ciudad y comunicaciones de incidentes.

Preguntas frecuentes

¿Se necesita una certificación de ciberseguridad para optar a contratos de la ciudad?

No existe una certificación única exigida en todas las licitaciones; los requisitos varían por contrato y se definen en los documentos de la licitación y del contrato.

¿Quién hace cumplir las cláusulas de ciberseguridad en los contratos de la ciudad?

La ejecución la gestiona típicamente el departamento contratante en coordinación con la Information Technology Agency (ITA); ITA puede realizar revisiones técnicas y auditorías.

¿Cómo informo de una posible violación que afecte a datos de la ciudad?

Siga las instrucciones de notificación de incidentes en su contrato y notifique inmediatamente al departamento contratante y a los contactos de seguridad de ITA.

Cómo hacerlo

1. Identifique las cláusulas y anexos del contrato que hacen referencia a la seguridad de la información y al manejo de datos.
2. Mapee los flujos de datos de la ciudad y documente dónde se almacenan, procesan o transmiten los datos de la ciudad.
3. Implemente controles mínimos: gestión de accesos, cifrado, parches y registro.
4. Prepare un plan de respuesta a incidentes alineado con los plazos de notificación del contrato y pruébelo.
5. Mantenga evidencia de cumplimiento y esté preparado para presentar atestaciones o registros si se solicitan.

Conclusiones clave

• Consulte el lenguaje del contrato para conocer las obligaciones exactas de ciberseguridad antes de presentar una oferta.
• Prepare registros y evidencia; las agencias de la ciudad pueden auditar el cumplimiento.

Ayuda y soporte / Recursos

• Information Technology Agency (ITA) - Los Ángeles
• Bureau of Contract Administration - City of Los Angeles
• Código municipal de Los Ángeles (biblioteca oficial)

1. [1] Information Technology Agency - City of Los Angeles
2. [2] Bureau of Contract Administration - City of Los Angeles