Reglas y cumplimiento de ciberseguridad para contratistas en Arlington

En Arlington, Texas, los contratistas que manejan sistemas, datos o redes de la ciudad deben cumplir las expectativas de TI de la ciudad y las normas de seguridad en las contrataciones. Esta guía explica qué oficinas municipales establecen las expectativas de ciberseguridad, cómo funcionan la aplicación y las apelaciones, y los pasos prácticos que los contratistas deben tomar para cumplir con los estándares de la Ciudad de Arlington y los términos de los contratos. Revise el lenguaje del contrato, las obligaciones de notificación de incidentes y los requisitos de incorporación de proveedores antes de presentar una oferta o durante la negociación para evitar sanciones o retrasos. ^[1]

Penalties & Enforcement

La responsabilidad primaria de la Ciudad de Arlington para la aplicación de la ciberseguridad de los contratistas se comparte entre el departamento de Tecnología de la Información para los requisitos técnicos y la división de Compras para el cumplimiento contractual. Cuando la ciudad publica sanciones o multas específicas en las páginas de adquisiciones o TI, se citan abajo; cuando no se publican, el texto indica que la cantidad no está especificada en la página citada.

• Multas: las cantidades por violaciones de ciberseguridad no están especificadas en las páginas citadas de adquisiciones o TI; consulte las fuentes de Compras y TI para los remedios contractuales y las cláusulas de incumplimiento.^[2]
• Escalada: la ciudad normalmente aplica remedios mediante incumplimiento contractual, plazos para subsanación y terminación por incumplimientos repetidos o continuos; los calendarios específicos de escalada no están especificados en las páginas citadas.^[2]
• Sanciones no monetarias: órdenes de remediación, suspensión o terminación de contratos, retención de pagos y remisión a acciones legales o tribunales se mencionan como posibles remedios contractuales; los procedimientos específicos no están especificados en las páginas citadas.^[2]
• Aplicador y quejas: el cumplimiento técnico y la investigación de incidentes son dirigidos por el departamento de Tecnología de la Información de la Ciudad de Arlington; la aplicación de adquisiciones es responsabilidad de la división de Compras. Use los contactos oficiales del departamento y los portales de proveedores para reportar incidentes o incumplimientos contractuales.^[1]

Applications & Forms

La ciudad publica registro de proveedores e instrucciones de licitación en las páginas de Compras. No existe un "formulario de ciberseguridad" específico publicado públicamente en las páginas citadas; se espera que los oferentes cumplan los requisitos de TI/seguridad referenciados en las solicitudes o documentos contractuales. Para la incorporación de proveedores y las instrucciones de respuesta a licitaciones, consulte el portal de Compras.^[2]

Required Controls and Common Violations

Arlington espera que los contratistas con acceso a sistemas o datos de la ciudad implementen salvaguardas técnicas y administrativas razonables en contratos y operaciones. Cuando la ciudad remite a orientaciones estatales más amplias, los contratistas deben alinearse con esos estándares también.^[3]

• Control de acceso y privilegio mínimo para cuentas con acceso a sistemas de la ciudad.
• Gestión de parches y configuración segura de dispositivos que se conectan a las redes de la ciudad.
• Cláusulas contractuales que exigen la notificación de incidentes a la Ciudad dentro de plazos especificados.
• Manejo inadecuado de datos (almacenamiento o transmisión de datos sensibles de la ciudad sin cifrar).

How-To

1. Revise las cláusulas de la licitación y del contrato, anotando los estándares requeridos, los plazos de notificación y las entregas.
2. Mapee los flujos de datos de la ciudad e identifique los sistemas que serán accedidos o que almacenarán datos de la ciudad.
3. Implemente controles técnicos: gestión de acceso, cifrado, registro y parcheo para cumplir o superar los requisitos indicados.
4. Prepare un plan de respuesta a incidentes alineado con los requisitos de notificación del contrato y entréguelo al contacto designado de la ciudad cuando se solicite.
5. Si surgen problemas, siga el proceso de subsanación del contrato, responda a las órdenes de remediación de la ciudad con prontitud y documente las acciones correctivas.

FAQ

¿Qué estándares de ciberseguridad deben seguir los contratistas?

Los contratistas deben seguir los requisitos de seguridad indicados en su licitación o contrato con la Ciudad de Arlington y la orientación técnica emitida por el departamento de Tecnología de la Información; cuando la ciudad hace referencia a estándares estatales, los contratistas deben cumplir esos estándares también.^[1]

¿Quién aplica la ciberseguridad de los contratistas en la ciudad?

El departamento de Tecnología de la Información maneja el cumplimiento técnico y la investigación de incidentes; la división de Compras aplica los remedios contractuales, incluida la suspensión o terminación por incumplimientos.^[2]

¿Existen multas publicadas por brechas de ciberseguridad?

Las cantidades específicas de multas por violaciones de ciberseguridad no están especificadas en las páginas citadas de adquisiciones o TI; los remedios suelen ser contractuales e incluir la terminación y daños.

Key Takeaways

• Revise las cláusulas de seguridad del contrato con antelación y documente los pasos de cumplimiento.
• Implemente privilegio mínimo, cifrado, registro y parcheo para los sistemas que manejan datos de la ciudad.
• Use los contactos oficiales de la ciudad para reportar incidentes y siga los procedimientos de subsanación contractuales.

Help and Support / Resources

• City of Arlington Information Technology
• City of Arlington Purchasing Division
• City of Arlington Code of Ordinances

1. [1] City of Arlington Information Technology
2. [2] City of Arlington Purchasing Division
3. [3] Texas Department of Information Resources - Cybersecurity initiatives