Normas de ciberseguridad y reglas de notificación de violaciones en Santa Monica

Santa Monica, California exige que los departamentos municipales y los contratistas sigan normas y reglas de notificación para incidentes de ciberseguridad y violaciones de datos. Este artículo explica las políticas municipales aplicables, cómo la notificación de brechas interactúa con la ley de California, las vías de cumplimiento y pasos prácticos para oficinas de la ciudad, proveedores y negocios locales para cumplir y reportar incidentes.

Ámbito y autoridades aplicables

Las obligaciones locales de ciberseguridad para entidades de Santa Monica derivan de las políticas de la ciudad y del Código Municipal de Santa Monica, junto con las disposiciones estatales aplicables sobre seguridad y notificación de brechas. Cuando se aplican disposiciones específicas del código municipal, los departamentos municipales supervisan la aplicación; la ley estatal de notificación de brechas rige los avisos requeridos a las personas afectadas y a las agencias. Para una referencia consolidada del código municipal consulte el índice del código de Santa Monica Santa Monica Municipal Code^[1]. Para las disposiciones estatales sobre notificación de brechas consulte la sección 1798.29 del Código Civil de California Cal. Civ. Code §1798.29^[2].

Normas y controles mínimos

Los departamentos de la ciudad suelen adoptar controles técnicos y administrativos básicos para los sistemas municipales, que cubren controles de acceso, cifrado para datos sensibles, gestión de parches y requisitos de seguridad para proveedores. Los contratistas que manejan datos de la ciudad generalmente deben seguir la política de seguridad de la información de la ciudad y cualquier anexo de seguridad específico del contrato. Cuando el código municipal no especifica normas técnicas, los departamentos dependen de directivas administrativas o políticas del departamento de TI; los detalles pueden publicarse en las páginas de Tecnología de la Información o de Gestión de Riesgos de la Ciudad.

Sanciones y aplicación

La aplicación por incumplimiento de ciberseguridad o de los requisitos de seguridad en contratos municipales la administra el departamento responsable de la ciudad, típicamente el City Attorney o Risk Management en coordinación con Tecnología de la Información. Cuando una brecha obliga a notificaciones estatales, la falta de notificación puede exponer a la entidad a sanciones estatales y responsabilidad civil.

• Multas: las sanciones monetarias no están listadas de forma uniforme en el código municipal de Santa Monica para brechas de ciberseguridad; las cantidades están no especificadas en la página citada para multas administrativas y deben confirmarse con el departamento encargado.^[1]
• Escalada: los rangos para primera, repetida y continuada infracción no están especificados en la página citada; la escalación normalmente sigue audiencias administrativas o remediaciones contractuales según la política departamental.^[1]
• Sanciones no monetarias: las acciones posibles incluyen órdenes de cese de trabajo, terminación de contratos, directivas de remediación, auditorías obligatorias y remisión a procesos civiles o penales.
• Aplicador y denuncias: las denuncias y reportes de incidentes se canalizan al equipo de TI/seguridad de la ciudad, Risk Management y al City Attorney; consulte las páginas de contacto oficiales en Recursos para el envío.
• Apelaciones y revisión: las rutas de apelación generalmente proceden por audiencias administrativas o procedimientos de protesta de contratos; los plazos específicos para apelaciones o solicitudes de revisión están no especificados en la página citada y deben confirmarse con el departamento aplicable.^[1]
• Defensas y discreción: las defensas pueden incluir cumplimiento con prácticas estándar de la industria, dependencia de variaciones aprobadas o excepciones por emergencia, y mitigación implementada de forma pronta; defensas estatutarias específicas se encuentran en la ley estatal cuando corresponda.^[2]

Violaciones comunes

• Falta de cifrado de datos personales en reposo o en tránsito.
• Notificación tardía a las personas y agencias afectadas.
• Incumplimiento por parte de contratistas de controles de seguridad requeridos en contratos de la ciudad.

Solicitudes y formularios

Los formularios específicos de la ciudad para reportar incidentes de ciberseguridad o presentar reclamaciones bajo procesos municipales son administrados por los departamentos correspondientes. Si no se requiere un formulario o no existe un formulario publicado, las páginas oficiales indican que la notificación se realiza vía el contacto del departamento o un portal o correo de incidentes; los nombres y números de formulario específicos no están especificados en la página citada y deben solicitarse al departamento de TI o a Risk Management.^[1]

Respuesta y pasos de notificación

Cuando se sospecha una brecha que afecta información personal, las entidades deben: contener inmediatamente, preservar registros y evidencia, notificar a equipos internos y legales, evaluar los datos afectados y preparar notificaciones para personas y agencias según lo exija la ley y la política de la ciudad.

• Contención: aislar sistemas afectados y preservar evidencia forense.
• Documentación: registrar cronologías, decisiones y acciones remediales.
• Notificación: preparar los avisos requeridos a las personas afectadas; seguir los plazos de California cuando la ley estatal aplique.^[2]
• Reporte a la ciudad: contactar a TI de la Ciudad, Risk Management y al City Attorney según corresponda.

Preguntas frecuentes

¿Quién debe reportar una brecha de datos a las autoridades de Santa Monica?

Los departamentos de la ciudad, los contratistas que manejan datos de la ciudad y las empresas que operan bajo contratos municipales deben reportar las brechas a TI de la Ciudad o a Risk Management y cumplir cualquier requisito contractual de reporte. También pueden aplicar reglas estatales de notificación.

¿Con qué rapidez deben notificarse las personas afectadas?

El plazo de notificación a individuos sigue la ley de California; consulte los estatutos estatales y al City Attorney para la aplicación a incidentes municipales.

¿Existen importes de sanciones específicas de la ciudad por brechas?

El código municipal y las páginas publicadas de la ciudad no enumeran importes uniformes de sanciones por brechas de ciberseguridad; las cantidades no están especificadas en la página citada y la aplicación corresponde a departamentos y a remedios contractuales.

Cómo

1. Identifique y contenga los sistemas afectados; preserve registros y evidencia.
2. Notifique al liderazgo interno, a TI de la Ciudad, a Risk Management y al City Attorney según corresponda.
3. Evalúe los datos afectados para determinar si aplica la ley estatal de notificación de brechas de California.
4. Prepare y envíe los avisos requeridos a las personas y agencias afectadas; documente la entrega.
5. Remedie vulnerabilidades, realice una revisión posterior, y actualice controles y contratos de seguridad.

Puntos clave

• Coordine inmediatamente con TI de la Ciudad, Risk Management y el City Attorney tras un incidente.
• Las sanciones monetarias y procedimientos de escalación no están publicados de forma uniforme y deben confirmarse con el departamento aplicador.
• Mantenga registros detallados y evidencia para apoyar notificaciones y cualquier apelación.

Ayuda y recursos

• City Attorney, City of Santa Monica
• Departamento de Tecnología de la Información, Ciudad de Santa Monica
• Risk Management, Ciudad de Santa Monica
• Departamento de Policía de Santa Monica

1. [1] Santa Monica Municipal Code - library.municode.com
2. [2] California Civil Code section 1798.29 - leginfo.legislature.ca.gov