Requisitos de ciberseguridad de la ciudad de Oakland - Guía de ordenanza

Oakland, California exige que los departamentos municipales, proveedores y contratistas sigan prácticas de ciberseguridad de la ciudad para proteger los datos y servicios públicos. Esta guía resume cómo alinearse con los requisitos de la ciudad de Oakland, quién los hace cumplir, pasos comunes de cumplimiento y cómo informar incidentes. Se basa en recursos oficiales de la Ciudad de Oakland y en el código municipal para identificar responsabilidades y rutas procesales para informes y apelaciones.

Descripción general de las expectativas de ciberseguridad de la ciudad

La administración municipal de Oakland espera que los departamentos y las partes contratadas implementen controles de seguridad razonables, mantengan planes de respuesta a incidentes y cooperen con auditorías e investigaciones de la ciudad. El Departamento de Tecnología de la Información de la Ciudad de Oakland publica orientación y es el contacto operativo principal para asuntos técnicos: Information Technology Department^[1]. Las ordenanzas municipales consolidadas están disponibles a través del editor de códigos designado por la ciudad para requisitos legales y disposiciones de adquisiciones: Oakland Municipal Code^[2].

Acciones clave de cumplimiento

• Identificar y clasificar los datos y sistemas que almacenan o transmiten información sensible.
• Implementar controles de acceso, cifrado en tránsito y en reposo, y autenticación multifactor cuando sea necesario.
• Aplicar parcheo regular y gestión de vulnerabilidades en sistemas municipales y servicios alojados por contratistas.
• Incluir requisitos de seguridad de la información y cronogramas de notificación de brechas en contratos y órdenes de compra de la ciudad.
• Capacitar al personal y a los contratistas sobre phishing, ingeniería social y procedimientos de reporte de incidentes.

Sanciones y cumplimiento

Las multas monetarias específicas o los calendarios de sanciones legales por fallos de ciberseguridad no se listan de forma rutinaria en las páginas públicas municipales para seguridad de la información; cuando existan multas o sanciones civiles detalladas, aparecen en secciones de ordenanza aplicables o en los términos de los contratos y deben consultarse en el código municipal y en los documentos contractuales. Para la búsqueda del código y recursos legales use el recurso del código municipal designado por la ciudad: Oakland Municipal Code^[2]. Para la coordinación operativa y de cumplimiento contacte al Departamento de Tecnología de la Información: Information Technology Department^[1].

• Importes de las multas: no especificado en la página citada.
• Escalado (primera/reincidencia/ofensas continuas): no especificado en la página citada.
• Sanciones no monetarias: órdenes correctivas, remedios contractuales, medidas cautelares y remisión a la Oficina del Abogado de la Ciudad para acción civil cuando proceda.
• Entes aplicadores: el Departamento de Tecnología de la Información de la Ciudad de Oakland para asuntos operativos, las divisiones de contratación para cumplimiento de proveedores y la Oficina del Abogado de la Ciudad para acciones legales.
• Inspecciones y quejas: informe incidentes o posibles vulneraciones a través de los canales de informe de la ciudad y los contactos del Departamento de TI; consulte la página oficial de informes para opciones de envío: Report a Problem^[3].

Solicitudes y formularios

No existe un formulario público único de "ciberseguridad" para cumplimiento general; los formularios específicos de adquisición o contrato establecen obligaciones de seguridad para proveedores y contratistas y están disponibles con cada licitación o a través de la oficina de contrataciones. Si necesita reportar un incidente o presentar documentación, use la página de informes de la ciudad o contacte directamente al Departamento de Tecnología de la Información: Information Technology Department^[1]. Si aplica una sección de ordenanza o un calendario de tarifas, se indicará en el código municipal o en los documentos de licitación relevantes: Oakland Municipal Code^[2].

Notificación, apelaciones y revisión

Para reportar un incidente o una posible violación, siga el canal de reporte de incidentes de la ciudad o las instrucciones de la oficina de contratación si el asunto involucra un contrato con un proveedor. Los plazos para apelaciones o revisiones administrativas de acciones de cumplimiento dependen de la ordenanza aplicable o de los términos contractuales; esos plazos se especifican donde se describe la autoridad de aplicación en el código municipal o en el contrato. Si no se indica un periodo de apelación en la página citada, no está especificado en la página citada y debe solicitar la citación a la oficina competente cuando reciba una notificación.

• Informar el incidente: use la página de informes de la ciudad y notifique al Departamento de Tecnología de la Información de inmediato.
• Rutas de apelación/revisión: regidas por la ordenanza o términos contractuales; los plazos varían y deben solicitarse por escrito a la oficina que aplica la sanción - no especificado en la página citada.
• Defensas/discreción: la ciudad puede considerar medidas mitigantes documentadas, respuestas de emergencia y exenciones o variaciones aprobadas si están disponibles en las cláusulas contractuales.

Violaciones comunes

• No aplicar parches a vulnerabilidades conocidas en sistemas municipales o servicios hospedados por contratistas.
• Requisitos contractuales de seguridad inadecuados para proveedores externos.
• Control de acceso insuficiente o falta de autenticación multifactor en cuentas sensibles.
• Notificación demorada de brechas a la ciudad y a las partes afectadas en contra de obligaciones contractuales o políticas.

How-To

1. Inventariar todos los sistemas, almacenes de datos y servicios de terceros que manejan datos de la ciudad.
2. Evaluar riesgos y mapear los flujos de datos para identificar dónde se requieren controles.
3. Implementar controles básicos: parcheo, MFA, cifrado, registros y copias de seguridad.
4. Actualizar contratos y documentos de adquisición para incluir cláusulas de seguridad de la información y de notificación de brechas.
5. Establecer o probar un plan de respuesta a incidentes e informar incidentes puntualmente al canal de la ciudad.

FAQ

¿Quién hace cumplir los requisitos de ciberseguridad para los sistemas de la ciudad?

El Departamento de Tecnología de la Información de la Ciudad de Oakland, la oficina de contrataciones y la Oficina del Abogado de la Ciudad coordinan la aplicación según si el asunto es operativo o contractual; informe incidentes a través de la página de informes de la ciudad.

¿Hay multas publicadas por brechas de ciberseguridad?

Las multas monetarias específicas por brechas de ciberseguridad no figuran en las páginas generales; consulte las cláusulas contractuales o el código municipal para las sanciones aplicables—si no aparecen, no están especificadas en la página citada.

¿Cómo demuestran cumplimiento los proveedores?

Los proveedores suelen presentar cuestionarios de seguridad, certificaciones, evidencia de controles y compromisos contractuales de respuesta a incidentes como parte de los procesos de adquisición y contratación.

Conclusiones clave

• Comience con un inventario y controles documentados para reducir el riesgo de aplicación.
• Incluya cláusulas claras de seguridad y cronogramas de notificación en los contratos.

Ayuda y soporte / Recursos

• City of Oakland Information Technology Department
• Oakland Municipal Code (Municode)
• Report a Problem - City of Oakland
• City Attorney, City of Oakland

1. [1] City of Oakland Information Technology Department
2. [2] Oakland Municipal Code - Code of Ordinances
3. [3] Report a Problem - City of Oakland