Reglas de ciberseguridad para contratistas de Brooklyn - Contratos municipales

Tecnología y Datos New York 4 minutos de lectura · publicado febrero 02, 2026 Flag of New York

Esta guía explica los requisitos de ciberseguridad que deben cumplir los contratistas al prestar servicios a agencias municipales en Brooklyn, Nueva York. Cubre quiénes están en el alcance, los controles mínimos técnicos y administrativos comunes, cómo las agencias inspeccionan y hacen cumplir el cumplimiento, sanciones típicas y pasos prácticos para la presentación, notificación de incidentes y apelaciones. Úsela como punto de partida para la planificación contractual y la preparación del proveedor; confirme las cláusulas específicas del contrato y cualquier Anexo de Seguridad o Privacidad emitido por la agencia antes de firmar.

Alcance y quién debe cumplir

Los requisitos contractuales se aplican a proveedores, subcontratistas, consultores y cualquier tercero que acceda a datos, sistemas, redes de la ciudad o preste servicios en nombre de una agencia municipal de Brooklyn. Los requisitos suelen cubrir acceso a datos no públicos, servicios en la nube, integraciones de sistemas informáticos y instalaciones o mantenimiento in situ. La agencia contratante determina la aplicabilidad específica en cada licitación y adjudicación.

Revise su contrato adjudicado y cualquier Anexo de Seguridad para conocer la aplicabilidad exacta.

Controles mínimos (típicos)

Las agencias generalmente esperan una línea base de controles administrativos, técnicos y físicos. El lenguaje del contrato a menudo exige el cumplimiento de normas de seguridad de la agencia o de la ciudad y obligaciones de notificación de incidentes.

  • Control de accesos y privilegio mínimo para cuentas y credenciales de servicio.
  • Inventario de sistemas y flujos de datos que procesan datos de la ciudad.
  • Plan de protección de datos o seguridad por escrito y cualquier Anexo de Seguridad requerido.
  • Gestión de parches y configuración segura para sistemas y dispositivos.
  • Cifrado en tránsito y en reposo para datos sensibles o restringidos.
  • Procedimientos de detección de incidentes, notificación y remediación en tiempo.
  • Contacto de seguridad designado y ruta de escalamiento para el contrato.
Los controles mínimos varían según la agencia y el valor del contrato; siempre consulte los documentos de adjudicación.

Sanciones y aplicación

La aplicación y los remedios por incumplimiento de ciberseguridad suelen ser establecidos por la agencia contratante y pueden estar complementados por normas de adquisiciones de la ciudad. Las cantidades específicas de multas, sanciones diarias o calendarios de tarifas no están especificadas en las páginas generales citadas en Recursos; los términos del contrato o las normas de la agencia indicarán sanciones monetarias si las hubiera. Los remedios comunes incluyen periodos de subsanación, suspensión de pagos, terminación del contrato e indemnizaciones contractuales.

  • Multas monetarias: no especificadas en las páginas citadas; consulte el lenguaje del contrato para conocer los montos.
  • Escalada: aviso inicial, periodo de subsanación y luego sanciones o terminación; los plazos específicos no están especificados en las páginas citadas.
  • Sanciones no monetarias: órdenes de corrección por escrito, suspensión del cumplimiento, terminación del contrato y obligación de remediar vulnerabilidades.
  • Organismo que aplica: la agencia contratante con supervisión y revisión técnica a menudo por el Departamento de Tecnología de la Información y Telecomunicaciones o la oficina de seguridad designada.
  • Inspecciones y quejas: las agencias inspeccionan el cumplimiento durante la ejecución; informe incidentes al contacto de seguridad de la agencia y siga los requisitos de notificación del contrato.
  • Apelaciones/revisión: los procedimientos de protesta y apelación siguen las normas de adquisiciones de la agencia contratante; los plazos específicos no están especificados en las páginas citadas.
  • Defensas/discrecionalidad: las agencias pueden aceptar una excusa razonable, una variación aprobada o un plan de remediación a su discreción; los detalles dependen de la agencia y las disposiciones del contrato.
Si un contrato hace referencia a un Anexo de Seguridad, sus remedios suelen prevalecer y pueden incluir la terminación por causa.

Solicitudes y formularios

Algunas agencias exigen la presentación de un Anexo de Seguridad, un Plan de Seguridad del Sistema o una declaración del proveedor; los nombres y números exactos de formularios no se publican en las páginas generales citadas en Recursos y aparecerán en licitaciones individuales o documentos de adjudicación. Si se requiere un formulario específico, la licitación o el contrato proporcionarán el formulario, el método de presentación, la tarifa (si la hubiera) y la fecha límite.

Acciones: cómo deben cumplir los contratistas

  • Revise las cláusulas de seguridad del contrato y cualquier Anexo de Seguridad antes de aceptar la adjudicación.
  • Prepare un Plan de Seguridad del Sistema conciso y asigne un punto de contacto de seguridad.
  • Aplique controles técnicos básicos: MFA, parcheo, cifrado, registro y escaneo de vulnerabilidades.
  • Establezca procesos de respuesta a incidentes y capacite al personal sobre los plazos de notificación de incumplimientos exigidos por el contrato.
  • Si se le notifica un incumplimiento, siga las instrucciones de subsanación rápidamente y documente los pasos de remediación.
Documente las decisiones y cambios; la evidencia escrita de remediación reduce el riesgo de terminación.

Preguntas frecuentes

¿Todos los contratistas que trabajan en Brooklyn deben cumplir los requisitos de ciberseguridad de la ciudad?
No necesariamente; los requisitos se aplican cuando un contrato o la agencia especifican acceso a datos, sistemas o redes de la ciudad. Confirme los documentos de licitación y adjudicación para determinar la aplicabilidad.
¿Qué pasa si mi subcontratista tiene una seguridad más débil?
Los contratistas principales suelen ser responsables del cumplimiento de los subcontratistas en muchos acuerdos; exija cláusulas de transmisión y verifique los controles del subcontratista.
¿Cómo informo de un incidente de ciberseguridad que afecta datos de la ciudad?
Siga los procedimientos de notificación de incidentes en su contrato e informe a la agencia contratante de inmediato; si hay un Anexo de Seguridad adjunto, siga sus plazos.

Cómo hacer

  1. Identifique las cláusulas del contrato: localice cualquier Anexo de Seguridad o requisitos de manejo de datos en la licitación o el contrato.
  2. Mapee los datos: liste los tipos de datos de la ciudad a los que accederá, almacenará o transmitirá y clasifique la sensibilidad.
  3. Implemente controles: aplique MFA, cifrado, parcheo, registro y revisiones de acceso proporcionales al riesgo.
  4. Prepare la documentación: Plan de Seguridad del Sistema, plan de respuesta a incidentes y declaraciones del proveedor requeridas por la agencia.
  5. Notifique: si ocurre un incidente, notifique a la agencia según los plazos del contrato y coopere con cualquier investigación.
  6. Remedie y apela: atienda las acciones correctivas con prontitud; use los procedimientos de protesta o apelación de la agencia si disputa la aplicación.

Puntos clave

  • Lea siempre la licitación y el Anexo de Seguridad para conocer las obligaciones exactas.
  • Documente las decisiones de seguridad y los pasos de remediación para reducir el riesgo de sanciones.

Ayuda y soporte / Recursos

Categorías

Gobernanza y Administración General Seguridad Pública Salud Pública y Bienestar Uso de Suelo y Zonificación Vivienda y Normas de Construcción Transporte Protección Ambiental Parques y Espacios Públicos Negocios y Protección al Consumidor Tributación y Finanzas Trabajo y Empleo Educación Derechos Civiles y Equidad Elecciones y Financiamiento de Campañas Eventos y Usos Especiales Señalización y Publicidad Servicios Públicos e Infraestructura Tecnología y Datos