Estándares municipales de ciberseguridad y auditoría de IA para proveedores de Reno

Reno, Nevada exige que los proveedores que contratan con la ciudad cumplan normas básicas de ciberseguridad y auditoría de inteligencia artificial (IA) para proteger los sistemas municipales y los datos de los residentes. Esta guía resume cómo se aplican esas normas a los contratos, las oficinas responsables, las vías de cumplimiento y sanción, las infracciones comunes y los pasos prácticos que deben seguir los proveedores al licitar o ejecutar contratos de la ciudad. Se basa en la orientación de la División de Compras y del Departamento de Tecnología de la Información de la Ciudad de Reno y dirige a los proveedores a formularios y contactos necesarios para registrarse, presentar planes de seguridad y responder a auditorías.

Alcance y requisitos

Los contratos municipales incluyen cada vez más cláusulas de ciberseguridad y derechos de auditoría relacionados con IA. Los requisitos suelen cubrir el manejo seguro de datos, notificación de incidentes, gestión de vulnerabilidades, cifrado cuando proceda, verificaciones de antecedentes para accesos privilegiados y derechos de la ciudad para revisar la gobernanza y resultados de modelos de IA. Las normas técnicas y los formatos de informe exactos los establece o referencia la División de Compras de la Ciudad de Reno y el Departamento de Tecnología de la Información, que gestionan la adquisición y la seguridad informática municipal respectivamente.^[1][2]

Sanciones y ejecución

La ejecución la llevan a cabo los funcionarios de contratación en la División de Compras y cuenta con el apoyo técnico del Departamento de Tecnología de la Información. Las medidas pueden incluir recursos contractuales, suspensión o rescisión del contrato, exigencia de remediación de vulnerabilidades y derivación a acciones legales. Las multas monetarias específicas vinculadas a infracciones de ciberseguridad o auditoría de IA no están especificadas en las páginas citadas; los proveedores deben suponer que se aplicarán recursos contractuales y reclamaciones por daños según lo dispuesto en el contrato.^[1]

• Multas monetarias: no están especificadas en la página citada; pueden aplicarse daños contractuales o cláusulas de daños liquidados según el contrato.^[1]
• Escalada contractual: primera instancia remediación; la reincidencia puede conducir a suspensión o rescisión; los pasos exactos no están especificados en la página citada.^[1]
• Sanciones no monetarias: órdenes de corrección, remediación obligatoria, suspensión de trabajo, rescisión del contrato y posible inhabilitación para contrataciones futuras.
• Responsables y reporte: la División de Compras gestiona el cumplimiento y las quejas; Tecnología de la Información gestiona evaluaciones técnicas y coordinación de respuesta a incidentes.^[1][2]
• Apelaciones y revisión: los procedimientos de protesta y apelación para decisiones de contratación siguen las normas de la División de Compras; los plazos y procedimientos se establecen en documentos de adquisición o en las disposiciones del contrato y no están completamente especificados en las páginas citadas.^[1]

Solicitudes y formularios

Los proveedores deben completar cualquier registro de proveedor y formularios específicos de contratación que exija la División de Compras; los anexos técnicos de seguridad o adendas pueden ser necesarios en determinadas licitaciones. Si existen formularios de evaluación de ciberseguridad o documentación de IA, se publicarán con la licitación o los proporcionará la División de Compras.^[1]

• Formulario de registro de proveedor: consulte la página de la División de Compras para el proceso actual y los documentos requeridos.^[1]
• Plan de seguridad del sistema (SSP): si se solicita en la licitación, envíelo por el método indicado en la RFP o el contrato; tarifa: no especificada en la página citada.^[1]

Proceso de cumplimiento y auditoría

Cuando se autoriza una auditoría, la ciudad normalmente notificará al proveedor sobre el alcance, los plazos y la evidencia requerida. Las auditorías pueden incluir revisión de documentación, entrevistas y escaneos técnicos de vulnerabilidades coordinados con el proveedor y el personal de TI. Los proveedores deben conservar registros, mantener historial de cambios y proporcionar artefactos que demuestren el cumplimiento de las obligaciones contractuales de seguridad. El Departamento de Tecnología de la Información coordina técnicamente; los procedimientos exactos de auditoría se fijan caso por caso y no están completamente publicados en las páginas citadas.^[2]

Infracciones comunes

• No informar un incidente de seguridad dentro del plazo contractual.
• Cifrado insuficiente o transferencias inseguras de datos protegidos.
• Controles de acceso inadecuados o mala gestión de cuentas privilegiadas.
• No remediar vulnerabilidades conocidas en los plazos acordados.

Pasos de acción para proveedores

• Regístrese como proveedor y revise los documentos de la licitación antes de ofertar.^[1]
• Prepare un SSP y un resumen de respuesta a incidentes conforme a buenas prácticas del sector.
• Responda a las solicitudes de auditoría puntualmente y conserve los registros y registros solicitados.
• Contacte a Compras para interpretación del contrato y a TI para dudas técnicas al inicio del proceso de adquisición.^[1][2]

Preguntas frecuentes

¿Qué oficina de la ciudad establece los requisitos de ciberseguridad para proveedores?

La División de Compras de la Ciudad de Reno establece los términos del contrato; el Departamento de Tecnología de la Información maneja la coordinación técnica y las auditorías.^[1][2]

¿Se publican multas monetarias por violaciones de ciberseguridad en contratos municipales?

Las multas monetarias específicas no están especificadas en las páginas citadas; los recursos contractuales y las reclamaciones por daños son los mecanismos habituales de aplicación.^[1]

¿Qué debe incluir una presentación para auditoría de IA?

Incluya propósito del modelo, fuentes de datos, controles de gobernanza, evaluaciones de impacto y resultados de pruebas; los campos exactos serán listados en la licitación o proporcionados por la División de Compras cuando se requiera una auditoría de IA.^[1]

Cómo hacerlo

1. Revise la licitación e identifique cualquier cláusula de ciberseguridad o auditoría de IA.
2. Regístrese como proveedor con la Ciudad de Reno y confirme los portales de presentación.
3. Prepare un Plan de Seguridad del Sistema y un resumen de respuesta a incidentes alineados con buenas prácticas.
4. Envíe los anexos de seguridad con la propuesta y conserve copias firmadas del contrato.
5. Si es auditado, responda dentro del plazo indicado, proporcione la evidencia solicitada y remedié los hallazgos con prontitud.
6. Si no está de acuerdo con una sanción, siga el proceso de protesta y apelación de la adquisición establecido en el contrato o la licitación.

Puntos clave

• Integre un SSP y un plan de respuesta a incidentes en cada propuesta.
• Coordine pronto con Compras y TI para aclarar expectativas de auditoría.
• Conserve registros y evidencias para agilizar auditorías y reducir el riesgo de escalada.

Ayuda y apoyo / Recursos

• División de Compras de la Ciudad de Reno - Proveedores y adquisiciones
• Departamento de Tecnología de la Información de la Ciudad de Reno
• Desarrollo Comunitario / Edificación y Seguridad

1. [1] City of Reno - Purchasing Division: vendor and procurement information
2. [2] City of Reno - Information Technology Department