Guía de ciberseguridad y reglas de notificación de violaciones en Richmond

En Richmond, Virginia, los departamentos municipales coordinan con la ley estatal y las políticas de TI de la ciudad para gestionar la ciberseguridad y la respuesta a violaciones de datos. Esta guía explica cómo se aplican las reglas locales a las agencias de la ciudad, contratistas y empresas que interactúan con sistemas municipales, cómo reportar incidentes y los pasos prácticos para contener y notificar. Cuando la ciudad se apoya en estatutos de Virginia o en políticas de TI publicadas, se proporcionan enlaces y contactos oficiales para que las partes afectadas sigan los plazos y pasos de cumplimiento requeridos.

Sanciones y aplicación

La Ciudad de Richmond aplica la ciberseguridad y la respuesta a violaciones a través de su departamento de Tecnología de la Información y la Oficina del Fiscal de la Ciudad; las obligaciones legales subyacentes también derivan de la ley estatal de Virginia. Las acciones de cumplimiento y los remedios dependen de si el incidente involucra sistemas de la ciudad, datos personales regulados o obligaciones de notificación al consumidor bajo la ley estatal. Para la política oficial de TI y los procedimientos de reporte consulte Technology de la Información de la Ciudad de Richmond^[1]. Para las obligaciones de notificación estatales consulte el recurso del código legislativo de Virginia Código y estatutos de Virginia^[2].

• Multas: las cantidades específicas de multas municipales por violaciones cibernéticas no figuran en la página de políticas de TI citada y no están especificadas en la página índice del código estatal citada.
• Escalada: los rangos para primera, repetida y continuada no se especifican en las páginas citadas; la aplicación suele escalar desde órdenes correctivas hasta acciones administrativas o legales.
• Sanciones no monetarias: órdenes de remediación, medidas cautelares, suspensión o rescisión de contratos y acciones civiles pueden ser utilizadas por el Fiscal de la Ciudad o las autoridades estatales.
• Responsable y quejas: los contactos principales de la ciudad son el departamento de TI de la Ciudad de Richmond y la Oficina del Fiscal de la Ciudad; los procedimientos de reporte de incidentes están en la página de TI de la ciudad.^[1]
• Apelaciones y revisión: las rutas de apelación dependen de la oficina que imponga la medida; los plazos específicos para apelaciones no están especificados en las páginas citadas de la ciudad o del estado.
• Defensas y discreción: las defensas disponibles como excusa razonable, divulgaciones permitidas o excepciones no están publicadas en la página de TI citada y deben evaluarse según los estatutos aplicables y los contratos.

Solicitudes y formularios

La página de TI de la ciudad enumera procedimientos de reporte de incidentes y puntos de contacto; no existe un formulario municipal único publicado para todas las violaciones en la página citada. Para avisos exigidos por el estado, consulte las referencias del Código de Virginia vinculadas arriba.^[2]

Qué hacer inmediatamente tras una posible violación

• Contenga el incidente - aislar los sistemas afectados y preservar registros y evidencias.
• Notifique al departamento de TI de la Ciudad de Richmond y a su supervisor siguiendo los detalles de contacto para incidentes de la ciudad.^[1]
• Documente el evento - horas, registros afectados y acciones tomadas.
• Evalúe las obligaciones de notificación bajo la ley de Virginia y las obligaciones contractuales; los plazos para notificar a consumidores están regidos por estatuto y se hacen referencia en las páginas del código estatal.^[2]

Responsabilidad, contratos y terceros

Los contratos con la ciudad a menudo incluyen cláusulas de ciberseguridad y notificación; los proveedores y contratistas deben seguir los plazos de reporte en sus acuerdos y las reglas de contratación de la ciudad. Cuando se apliquen contratos municipales, contacte a la oficina de contratación y al responsable de incidentes de TI de la ciudad lo antes posible.

Preguntas frecuentes

¿Quién aplica las normas de ciberseguridad para los sistemas de la ciudad?

El departamento de Tecnología de la Información de la Ciudad de Richmond y la Oficina del Fiscal de la Ciudad aplican las políticas de TI; también pueden aplicarse estatutos del estado según los datos involucrados.

¿Existen cantidades específicas de multas por violaciones municipales?

Las cantidades de multas no están especificadas en la página de políticas de TI citada y no están especificadas en la página índice del código estatal citada.

¿Cómo reporto una violación que involucra datos de la ciudad de Richmond?

Reporte inmediatamente al contacto de incidentes de TI de la Ciudad de Richmond indicado en la página oficial de TI y siga las instrucciones de respuesta a incidentes allí.

Cómo hacer

1. Aisle los sistemas afectados y preserve evidencias, incluidos registros y copias de archivos afectados.
2. Notifique al departamento de TI de la Ciudad de Richmond y, si corresponde, a su oficial de contratación o asesor legal.
3. Siga las instrucciones de la ciudad para la contención, revisión forense y comunicaciones a las personas afectadas si la notificación es requerida por la ley estatal.
4. Conserve registros de todas las acciones de respuesta, costos y comunicaciones para auditorías y posibles procesos de apelación.

Puntos clave

• Richmond coordina la respuesta a incidentes a través de su departamento de TI y la Oficina del Fiscal de la Ciudad.
• Las obligaciones de notificación dependen a menudo de los estatutos de Virginia y de cláusulas contractuales; consulte las fuentes oficiales.

Ayuda y soporte / Recursos

• Technology de la Información - Ciudad de Richmond
• Oficina del Fiscal de la Ciudad - Richmond
• Código y estatutos de Virginia
• CISA - Guía federal de ciberseguridad

1. [1] Technology de la Información - Ciudad de Richmond (página oficial de TI)
2. [2] Código legislativo de Virginia - recursos de estatutos