Normas de ciberseguridad y reglas de notificación de violaciones para agencias de Salem

Las agencias de Salem, Oregon deben seguir las políticas municipales y las obligaciones estatales de notificación de violaciones para proteger los datos de los residentes y responder rápidamente a incidentes. Esta guía resume las expectativas de tecnologías de la información de la Ciudad de Salem para los departamentos, el marco estatal de notificación que aplica a las violaciones municipales y pasos prácticos para contención, reporte y apelaciones. Está dirigida a personal municipal, jefes de departamento y contratistas que manejan datos personales o administran sistemas en red. Cuando la ciudad o el estado no detallen sanciones o formularios específicos en la página citada, la guía indica "not specified on the cited page" y señala la oficina encargada para los siguientes pasos.

Quiénes aplica

Todos los departamentos de la Ciudad de Salem, oficinas electas, proveedores contratados que procesen datos personales en poder de la ciudad y cualquier sistema conectado a las redes de la ciudad. Para políticas y contactos de TI de la Ciudad de Salem, consulte el departamento de Tecnología de la Información de la ciudad Information Technology^[1].

Resumen de normas

• Evaluación de riesgos e inventario de activos: los departamentos deben identificar datos sensibles y sistemas críticos.
• Controles técnicos: segmentación de red, gestión de parches y MFA cuando sea posible.
• Controles de acceso y principio de privilegio mínimo para personal y contratistas.
• Cláusulas contractuales que exigen normas de seguridad del proveedor y notificación de violaciones a la ciudad.

Sanciones y aplicación

La responsabilidad de aplicación corresponde a la administración de la Ciudad de Salem y al departamento de Tecnología de la Información para el cumplimiento de políticas internas; las obligaciones estatales de notificación las administra el Departamento de Justicia de Oregón. El Departamento de Justicia de Oregón proporciona orientación oficial sobre las obligaciones de notificación de violaciones para entidades que operan en Oregón Oregon DOJ - Data Breach Notification^[2].

• Multas: los montos específicos por violaciones de la política de ciberseguridad municipal no están especificados en la página citada de la ciudad; las leyes estatales y mecanismos de aplicación se describen en la página del DOJ de Oregón, pero los importes municipales específicos no están especificados en las páginas citadas.
• Escalada: el procedimiento para infracciones primeras, repetidas o continuas no está especificado en la página citada; se espera que los departamentos sigan procesos disciplinarios y de acción correctiva internos.
• Sanciones no monetarias: órdenes de cesar el uso de sistemas, suspensión del acceso a la red, terminación de contratos y remisión a autoridades civiles o penales cuando proceda.
• Inspección y vías de denuncia: informe incidentes al departamento de Tecnología de la Información de la Ciudad de Salem y a la dirección del departamento; las quejas sobre cumplimiento pueden presentarse mediante los contactos municipales que figuran más abajo.
• Apelaciones y revisión: las apelaciones siguen los procedimientos administrativos de la oficina que aplica o los procesos de reclamación de RR. HH.; los plazos para apelar no están especificados en la página citada.
• Defensas y discreción: mitigación, pasos razonables documentados, dependencia de exenciones aprobadas y evidencia de remediación oportuna pueden ser tenidos en cuenta.

Solicitudes y formularios

La Ciudad de Salem no publica un único "formulario de notificación de violación" en la página de TI citada; los departamentos deben seguir los flujos internos de informe de incidentes y notificar al departamento de Tecnología de la Información. Para la orientación del nivel estatal sobre notificación requerida a consumidores, consulte la página del DOJ de Oregón citada arriba.

Pasos de acción para una posible violación

1. Identificar: confirme acceso no autorizado y categorías de datos afectadas.
2. Contener: aislar sistemas y prevenir más accesos.
3. Notificar: informar a TI de la ciudad y al asesor legal; seguir los plazos estatales de notificación si procede.
4. Remediar: eliminar vulnerabilidades, actualizar credenciales y restaurar servicios.
5. Revisar: realizar una revisión posterior al incidente y actualizar políticas y capacitación.

FAQ

¿Quién aplica las normas de ciberseguridad de Salem?

El departamento de Tecnología de la Información de la Ciudad de Salem aplica las políticas de TI municipales; las obligaciones de notificación estatales las supervisa el Departamento de Justicia de Oregón.

¿Debo notificar a los residentes después de una violación?

Posiblemente. Las normas estatales de notificación de violaciones de Oregón determinan cuándo se requiere notificar a consumidores; consulte la orientación del DOJ de Oregón y coordine con TI de la Ciudad de Salem.

¿Dónde reporto un incidente sospechado?

Reporte incidentes a su jefe de departamento y al contacto de ayuda o de incidentes del departamento de Tecnología de la Información de la Ciudad de Salem que figura en Recursos.

How-To

1. Identificar: confirme el acceso no autorizado y los datos afectados.
2. Contener: aislar sistemas comprometidos.
3. Notificar: informar a TI municipal y al asesor legal.
4. Remediar: corregir vulnerabilidades y restaurar servicios.
5. Revisar: actualizar políticas y capacitación.

Recursos y ayuda

• City of Salem - Information Technology
• City of Salem - Planning Services
• Oregon Department of Justice - Data Breach Notification

1. [1] City of Salem - Information Technology
2. [2] Oregon Department of Justice - Data Breach Notification