Reglas de ciberseguridad para contratistas de Nashville - Guía

Nashville, Tennessee contratistas que se conectan o administran sistemas de la ciudad deben cumplir requisitos específicos de ciberseguridad antes de obtener acceso. Esta guía resume las expectativas a nivel municipal, vías de enforcement, violaciones comunes y pasos prácticos que los contratistas deben seguir para mantener el cumplimiento con las políticas y los términos de contratación de Metro. Para detalles técnicos y de política consulte las páginas de seguridad de la Office of Information Technology^[1].

Resumen de requisitos de ciberseguridad para contratistas

Normalmente se exige que los contratistas implementen controles para protección de datos, gestión de accesos, gestión de vulnerabilidades y reporte de incidentes como parte de los términos del contrato o anexos técnicos. Los requisitos pueden aparecer en la solicitud, en el lenguaje del contrato o en un anexo de seguridad para proveedores. Las obligaciones clave suelen incluir segmentación de red, autenticación multifactor para accesos privilegiados, cifrado de datos sensibles en tránsito y en reposo, y aplicación de parches de forma oportuna.

Sanciones y enforcement

La Metro Office of Information Technology y la oficina de adquisiciones de la ciudad aplican las obligaciones de ciberseguridad de los contratistas; las multas monetarias específicas vinculadas únicamente al incumplimiento de ciberseguridad no se publican de forma habitual en las páginas de política de la agencia y por lo tanto no están especificadas en la página citada^[2]. El enforcement suele seguir los recursos contractuales y de adquisiciones.

• Multas monetarias: no están especificadas en la página citada; los recursos generalmente se rigen por los términos del contrato y las normas de adquisiciones.
• Recursos contractuales: suspensión del trabajo, retención de pagos, terminación por incumplimiento del contrato.
• Sanciones no monetarias: revocación de acceso, remediación dirigida, requisitos de auditoría y acciones judiciales cuando proceda.
• Vías de inspección y queja: reporte incidentes al contacto de seguridad de OIT de Metro y siga los plazos de reporte del contrato.
• Apelaciones/revisiones: aplican los procedimientos de disputa contractual y las protestas de adquisiciones; los plazos se rigen por las normas de adquisiciones y no están especificados en la página citada.

Solicitudes y formularios

Muchas obligaciones de ciberseguridad se aplican mediante documentos contractuales en lugar de formularios independientes de la ciudad. Para registro de proveedores y adquisiciones, los contratistas deben seguir los procedimientos de la oficina de compras; los formularios de evaluación de seguridad del proveedor específicos pueden adjuntarse a las solicitudes o emitirse durante la incorporación y no están consolidados en una única página pública en el sitio de adquisiciones citado^[2].

Violaciones comunes

• Mala gestión de credenciales que lleva a accesos no autorizados.
• No aplicar parches en sistemas del contratista que interactúan con activos de la ciudad.
• No seguir los controles de cifrado o manejo de datos requeridos en el contrato.
• Reporte tardío de incidentes o remediación incompleta tras un evento de seguridad.

Pasos de acción para contratistas

• Solicite el anexo de seguridad del proveedor durante la fase de oferta o contratación y revise los controles requeridos.
• Complete las evaluaciones o declaraciones de seguridad solicitadas por la ciudad antes de obtener acceso a sistemas.
• Presupueste los costos de remediación y reporte como parte de la planificación de cumplimiento del contrato.
• Establezca un contacto de respuesta a incidentes y siga los plazos de reporte establecidos por la ciudad.

Preguntas frecuentes

¿Quién aplica la ciberseguridad de los contratistas para los sistemas de la ciudad de Nashville?

La Metro Office of Information Technology en coordinación con la oficina de adquisiciones aplica los requisitos contractuales de ciberseguridad.

¿Existen multas publicadas específicamente para violaciones de ciberseguridad de contratistas?

Las multas monetarias específicas no se publican en las páginas citadas de adquisiciones o OIT y por lo tanto no están especificadas en la página citada.

¿Cómo reporto un incidente de seguridad que afecta sistemas de la ciudad?

Siga las instrucciones de reporte de incidentes en su contrato y notifique inmediatamente al contacto de seguridad de la Office of Information Technology; vea las páginas de seguridad de la ciudad para detalles de contacto^[1].

Cómo hacer

1. Revise la solicitud e identifique cualquier anexo de seguridad o requisitos técnicos adjuntos.
2. Complete las evaluaciones o declaraciones de seguridad solicitadas antes de obtener acceso al sistema.
3. Implemente controles técnicos requeridos como MFA, cifrado y gestión de parches.
4. Documente configuraciones y evidencias de cumplimiento para auditorías o inspecciones de la ciudad.
5. Si ocurre un incidente, siga los pasos de reporte del contrato y notifique de inmediato al contacto de seguridad de Metro OIT.

Puntos clave

• Los requisitos de ciberseguridad suelen ser contractuales y exigibles mediante recursos de adquisiciones.
• Evaluación y documentación proactiva reducen retrasos en la incorporación y riesgos de enforcement.

Ayuda y recursos

• Office of Information Technology - Information Security
• Metro Finance - Purchasing
• Contacto y reporte de incidentes de OIT

1. [1] Office of Information Technology - Information Security
2. [2] Metro Finance - Purchasing