Requisitos de ciberseguridad de la ciudad de Aurora para sistemas TI

Aurora, Colorado opera sistemas TI municipales que deben cumplir con las expectativas de ciberseguridad para proteger datos públicos, servicios y continuidad. Esta guía resume el enfoque de la Ciudad de Aurora sobre políticas, reporte de incidentes y vías de cumplimiento para sistemas TI propiedad de la ciudad y contratados. Para estándares técnicos, uso aceptable y contacto del departamento de TI, consulte los recursos de Tecnología de la Información de la Ciudad de Aurora ^[1].

Alcance y aplicabilidad

Esta orientación se aplica a: departamentos y empleados de la ciudad que operan sistemas propiedad de Aurora; contratistas y proveedores que ofrecen servicios alojados o gestionan datos de la ciudad; y proyectos que se integran con redes municipales. Cubre control de acceso, parcheo, registro, cifrado cuando sea aplicable y coordinación de respuesta a incidentes con TI municipal y el personal del City Clerk.

Requisitos técnicos clave

• Control de acceso y cuentas con privilegios mínimos para usuarios y cuentas de servicio.
• Registro de auditoría y retención suficiente para apoyar la investigación de incidentes y solicitudes de registros públicos.
• Gestión de parches basada en riesgos y programas de remediación de vulnerabilidades.
• Clasificación de datos y estándares de cifrado para conjuntos de datos sensibles o protegidos.
• Perfiles de configuración segura para servidores, endpoints y servicios en la nube.

Sanciones y ejecución

Aurora aplica el cumplimiento mediante revisión administrativa y remedios departamentales; las multas monetarias específicas o sanciones por día no están especificadas en las páginas citadas. Para procedimientos relacionados con registros, notificación de incidentes o políticas administrativas, contacte a las oficinas del City Clerk y de TI ^[2].

• Cantidad de multas: no especificado en la página citada.
• Escalada: primeras, repetidas y continuas infracciones no especificadas en la página citada.
• Sanciones no monetarias: órdenes administrativas, planes de acción correctiva, suspensión de acceso a la red, terminación de contratos y remisión a tribunales cuando proceda.
• Ejecutor: departamento de Tecnología de la Información de la Ciudad de Aurora en coordinación con el City Clerk y el departamento afectado.
• Apelaciones/revisión: rutas de revisión y plazos no especificados en la página citada.
• Defensas/discreción: permisos documentados, variaciones aprobadas o planes de mitigación documentados pueden ser considerados; los detalles no están publicados en la página citada.

Solicitudes y formularios

• Solicitudes de registros públicos: procedimientos del City Clerk y formulario para acceder a registros y registros de auditoría.
• Reporte de incidentes: remitir incidentes de seguridad al contacto de respuesta a incidentes de TI de la Ciudad de Aurora; no se especifica un formulario formal en la página citada.
• Tarifas: cualquier tarifa por registros o procesamiento se publica con el City Clerk o el departamento pertinente; las tarifas específicas por incumplimiento de ciberseguridad no están especificadas en la página citada.

Pasos de cumplimiento para departamentos y proveedores

• Inventariar sistemas y datos de la ciudad, luego clasificar por sensibilidad.
• Aplicar perfiles de configuración segura y parchear vulnerabilidades críticas rápidamente.
• Implementar registro, monitorización de alertas y retención de registros conforme a la guía del City Clerk.
• Coordinar contratos y requisitos de seguridad con Adquisiciones y TI municipal antes de incorporar proveedores.
• Reportar incidentes inmediatamente al contacto de incidentes de TI de la Ciudad de Aurora y seguir los pasos de remediación indicados.

Preguntas frecuentes

¿Quién aplica las normas de ciberseguridad para los sistemas TI de la ciudad de Aurora?

El departamento de Tecnología de la Información de la Ciudad de Aurora, en coordinación con el City Clerk y el departamento afectado, aplica políticas y procedimientos de respuesta a incidentes.

¿Cómo informo un incidente de seguridad sospechado?

Informe incidentes al contacto de incidentes de TI de la Ciudad de Aurora según la guía departamental; si el incidente implica acceso o divulgación de registros, notifique también al City Clerk.

¿Existen multas publicadas por incumplimiento?

Las cantidades específicas de multas y los programas de escalación no están especificados en las páginas citadas; los departamentos emplean remedios administrativos y ejecución contractual según corresponda.

Cómo hacerlo

1. Identifique al responsable del sistema o conjunto de datos dentro de su departamento y notifique a TI de la Ciudad sobre cambios planificados.
2. Clasifique los datos y aplique cifrado y controles de acceso según la sensibilidad.
3. Programe y documente el parcheo y la remediación de vulnerabilidades para todos los sistemas gestionados.
4. Active el registro centralizado y conserve los registros para investigaciones o solicitudes de registros.
5. Si ocurre un incidente, siga el procedimiento de reporte de incidentes de TI de la Ciudad de Aurora y coopere con la remediación y revisión.

Puntos clave

• Coordine con TI de la Ciudad de Aurora desde el inicio para adquisiciones e integraciones.
• Mantenga registros y retención para apoyar investigaciones y obligaciones de registros públicos.
• Aplique gestión de parches y configuraciones base de forma consistente.

Ayuda y soporte / Recursos

• City of Aurora - Information Technology
• City of Aurora - City Clerk Public Records
• City of Aurora - Community Development / Procurement

1. [1] City of Aurora - Information Technology
2. [2] City of Aurora - City Clerk Public Records