Política de ciberseguridad para toda la ciudad

La Ciudad y el Condado de San Francisco (la Ciudad) se dedican a desarrollar un sólido programa de ciberseguridad para respaldar, mantener y proteger la infraestructura crítica y los sistemas de datos. La siguiente política tiene como objetivo mantener y mejorar los elementos clave de un programa de ciberseguridad para toda la ciudad.

La Política de Ciberseguridad de COIT sienta las bases del Programa de Ciberseguridad de la Ciudad en su conjunto y articula el apoyo de la dirección ejecutiva a esta iniciativa. Las operaciones de ciberseguridad en toda la Ciudad se encuentran en diferentes etapas de implementación. La Política de Ciberseguridad respalda el Programa de Ciberseguridad de la Ciudad, establecido para:

• Protejamos nuestra infraestructura crítica conectada.
• Proteger la información confidencial que se nos confía
• gestionar el riesgo
• mejorar continuamente nuestra capacidad detectar eventos de ciberseguridad
• contener y erradicar las vulnerabilidades, restaurando los recursos de información a un estado seguro y operativo.
• garantizar que el tratamiento de riesgos sea suficiente y esté en consonancia con la criticidad del recurso de información.
• facilitar la toma de conciencia sobre los riesgos para nuestras operaciones en el contexto de la ciberseguridad.

Los requisitos establecidos en esta política se aplican a todos los recursos de información gestionados por o para la Ciudad y el Condado de San Francisco , así como por sus departamentos y comisiones. Los funcionarios electos, empleados, consultores y proveedores que trabajen en nombre de la Ciudad y el Condado de San Francisco están obligados a cumplir con esta política.

La Política de Ciberseguridad de COIT exige que todos los departamentos:

1. Designar un responsable de seguridad de la información departamental (DISO) para coordinar las iniciativas de ciberseguridad. Los departamentos más grandes pueden designar un director de seguridad de la información (CISO) para reconocer el mayor alcance de sus responsabilidades.
2. Adoptar un marco de ciberseguridad como base para desarrollar su programa de ciberseguridad. La ciudad recomienda adoptar el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) como metodología para proteger los recursos de información.
3. Brindar apoyo en la respuesta a incidentes cibernéticos según sea necesario, de conformidad con la Función de Apoyo de Emergencia 18 (ESF-18) del Comando Cibernético Unificado.
4. Realizar y actualizar, al menos anualmente, una evaluación de riesgos de ciberseguridad del Departamentos . Los departamentos que cuenten con personal dedicado a la gestión de riesgos pueden optar por integrar la gestión de riesgos de ciberseguridad en su programa de gestión de riesgos.
5. Desarrollar y actualizar, al menos anualmente, los requisitos de ciberseguridad del Departamentos mitigar; reducir riesgos y cumplir con las normativas legales y reglamentarias en materia de ciberseguridad. El Departamentos desarrollará y adoptará requisitos de ciberseguridad que deberán ser equivalentes o superiores a los requisitos de seguridad de toda la ciudad.
6. Participa en las reuniones del foro de ciberseguridad de toda la ciudad.

La Política de Ciberseguridad exige que todos los departamentos adopten un marco de ciberseguridad para guiar sus operaciones.

Para proteger adecuadamente los recursos de información, los sistemas y los datos deben clasificarse correctamente según su sensibilidad y criticidad para las operaciones. Una metodología basada en riesgos estandariza la arquitectura de seguridad, crea un entendimiento común del riesgo compartido o transferido cuando los sistemas y la infraestructura están conectados, y simplifica la protección de sistemas y datos.

El marco del NIST proporciona cinco elementos para un programa de ciberseguridad:

• Identificar: Desarrollar la comprensión organizacional necesaria para gestionar el riesgo de ciberseguridad para sistemas, activos, datos y capacidades.
• Proteger: Desarrollar e implementar medidas de seguridad adecuadas para garantizar la prestación de servicios de infraestructura.
• Detectar: ​​Desarrollar e implementar actividades apropiadas para identificar la ocurrencia de un incidente de ciberseguridad.
• Responder: Desarrollar e implementar actividades apropiadas para responder a un incidente de ciberseguridad.
• Recuperación: Desarrollar e implementar actividades apropiadas para mantener planes de resistencia y restaurar cualquier capacidad o servicio afectado por un incidente de ciberseguridad.

Los departamentos, en consulta con el Director de Seguridad de la Información de la Ciudad (CCISO), pueden optar por alternativas al Marco de Ciberseguridad del NIST. Sin embargo, todos los departamentos deberán implementar o utilizar los estándares y servicios centrales de su marco respectivo, tales como el control y la gestión de accesos, la evaluación y gestión de riesgos, la sensibilización y la capacitación, y la clasificación de datos.

Según se define en la Publicación Especial 800-30 del NIST, «Guía para la realización de evaluaciones de riesgos», la evaluación de riesgos es el proceso de identificar, estimar y priorizar los riesgos de seguridad de la información. Evaluar el riesgo requiere un análisis minucioso de la información sobre amenazas y vulnerabilidades para determinar en qué medida las circunstancias o los eventos podrían impacto; efecto negativamente a una organización (por ejemplo, los departamentos municipales) y la probabilidad de que tales circunstancias o eventos ocurran.

El objetivo de la evaluación de riesgos es informar a los responsables de la toma de decisiones y respaldar las respuestas ante los riesgos mediante la identificación de:

• amenazas relevantes para [los departamentos]
• vulnerabilidades tanto internas como externas a [los departamentos]
• impacto; efecto (es decir, daño) a [los departamentos] que puede ocurrir dado el potencial de amenazas que explotan vulnerabilidades
• probabilidad de que ocurra un daño

El resultado final es una determinación del riesgo (es decir, normalmente una función del grado de daño y la probabilidad de que se produzca dicho daño).

Para garantizar que sus programas de ciberseguridad cumplan con un marco de ciberseguridad aprobado, que incluye NIST CSF, ISO 2700x y CIS Top 20, y un enfoque basado en riesgos, el Auditor de Servicios Municipales realiza evaluaciones de preparación para medir la implementación.

Las evaluaciones de preparación se ajustan a un marco de ciberseguridad aprobado y permiten a los departamentos determinar sus capacidades actuales en este ámbito, establecer objetivos individuales para alcanzar un estado deseado y elaborar un plan para mejorar y mantener los programas de ciberseguridad. Asimismo, estas evaluaciones ayudan al Departamentos de Tecnología y al Contralor a planificar de forma eficiente y eficaz las actividades de ciberseguridad.

Los departamentos deben desarrollar y actualizar los requisitos de ciberseguridad mitigar; reducir los perfiles de riesgo y cumplir con las normativas legales y reglamentarias en este ámbito. El Director de Seguridad de la Información de la Ciudad elaborará los requisitos básicos de ciberseguridad para abordar el perfil de riesgo de toda la ciudad. Todos los requisitos propuestos serán revisados ​​y aprobados por la Junta de Revisar y Política de Arquitectura (APRB). Tras su aprobación por la APRB, los departamentos deberán desarrollar posteriormente requisitos de ciberseguridad equivalentes o superiores a los requisitos de seguridad de toda la ciudad para abordar los riesgos de Departamentos . La APRB deberá establecer plazos adecuados para la adopción, en función de la complejidad de los requisitos propuestos.

Los requisitos de ciberseguridad que rijan a nivel municipal no prevalecerán sobre los requisitos estatales o federal que puedan aplicarse a determinados departamentos municipales específicos.

Los jefes de Departamentos deberán:

• Fomentar una cultura de concienciación sobre ciberseguridad y el cumplimento conformida de la política de ciberseguridad de la ciudad. Los jefes de Departamentos deben recordar a sus empleados y contratistas las políticas, normas, procedimientos, directrices y mejores prácticas de ciberseguridad de la ciudad.
• En la medida en que los recursos lo permitan, presupuestar y dotar de personal a la función de ciberseguridad para los sistemas adquiridos, operados o contratados por sus departamentos para garantizar que todos los sistemas y los datos que contienen estén protegidos de acuerdo con la categoría/clasificación de los datos y sistemas.
• Designar un Oficial de Seguridad de la Información Departamental (DISO) o un Director de Seguridad de la Información.

El Director de Seguridad de la Información de la Ciudad (CCISO) deberá:

• Establecer y mantener un equipo y una función de seguridad con la capacidad de identificar, proteger, detectar, responder y recuperarse de los ataques contra los recursos de información de la ciudad.
• Desarrollar y mantener un programa centralizado de respuesta a incidentes capaz de abordar las principales brechas en los recursos de información de la ciudad.
• Revisar anualmente el anexo de la Función de Apoyo de Emergencia 18 del Comando Cibernético Unificado y asegúrese de que se actualice según sea necesario.
• Apoyar los simulacros de emergencia cibernética de los departamentos y realizar simulacros periódicos de emergencia de ciberseguridad a nivel municipal con los líderes de la ciudad.
• Asegúrese de que el Departamentos, la Comisión y los Programas Centralizados de Ciberseguridad de Tecnologías de la Información empleen un programa de evaluación y tratamiento basado en riesgos, e informen periódicamente a los líderes de la ciudad sobre el estado del perfil de riesgo residual.
• Desarrollar una metodología de evaluación de riesgos de ciberseguridad y proporcionar capacitación a los DISO sobre cómo realizar dichas evaluaciones.
• Proporcionar orientación; asesoramiento sobre cómo crear la organización de seguridad a nivel Departamentos .
• Asegúrese de que los resultados de la evaluación de riesgos de ciberseguridad de los departamentos estén protegidos adecuadamente y que el acceso esté restringido a un número limitado de personal de ciberseguridad de la ciudad.
• Al menos anualmente, se deberán desarrollar y actualizar los requisitos de ciberseguridad para toda la ciudad con el mitigar; reducir el perfil de riesgo residual de la misma y cumplir con los requisitos legales y reglamentarios en materia de ciberseguridad. Todos los requisitos de ciberseguridad deberán ser aprobados por la Junta de Revisar y Política de Arquitectura (APRB) antes de su entrada en vigor.
• Apoyar a los departamentos en la implementación de los requisitos de ciberseguridad a nivel municipal.
• Brindar apoyo a los responsables de seguridad informática de los Departamentos en sus responsabilidades de ciberseguridad, incluso a través del programa centralizado de respuesta a incidentes, las capacidades de defensa cibernética y un conjunto de herramientas de ciberseguridad para toda la ciudad.
• Organizar reuniones del foro de ciberseguridad en toda la ciudad.

Los responsables de seguridad de la información departamentales (DISO, por sus siglas en inglés) deberán:

• Asegúrese de que los recursos de información estén debidamente protegidos mediante estrategias de tratamiento de riesgos que cumplan con el umbral de riesgo aceptable para la categoría/clasificación del recurso de información.
• Desarrollar las organizaciones de seguridad necesarias en función de los recursos y el presupuesto disponibles.
• Informe al Director de Seguridad de la Información de la Ciudad tan pronto como sea posible cuando ocurra un incidente que comprometa el control, la confidencialidad, la integridad o la disponibilidad de un sistema o datos que contengan información de identificación personal, información protegida por la normativa (como HIPAA o números de la Seguridad Social) y/o datos que no se consideren públicos.
• Participe en las mesas redondas sobre ciberseguridad que se celebran en toda la ciudad.
• Realizar y actualizar, al menos anualmente, las evaluaciones de riesgos de ciberseguridad del Departamentos y compartir los resultados de forma confidencial con el Director de Seguridad de la Información de la ciudad.
• Reúnase anualmente con el Coordinador de Preparación para Desastres del Departamentos para Revisar los resultados de la evaluación de riesgos cibernéticos y actualizar el apéndice cibernético del plan de continuidad de operaciones (COOP) del Departamentos según sea necesario. Los departamentos con funciones dedicadas a la gestión de emergencias deberán Revisar los resultados de las evaluaciones de riesgos de ciberseguridad de su departamento y actualizar sus procedimientos de respuesta a incidentes según corresponda.
• Realice, al menos anualmente, un simulacro de emergencia de ciberseguridad Departamentos con los líderes del Departamentos , los organizaciones asociadas de la ciudad y terceros clave. Los departamentos con funciones específicas de gestión de emergencias pueden optar por incorporar la ciberseguridad como parte de sus simulacros de emergencia Departamentos .
• Desarrollar y actualizar, al menos anualmente, los requisitos de ciberseguridad del Departamentos mitigar; reducir su perfil de riesgo y cumplir con los requisitos legales y reglamentarios en materia de ciberseguridad, y compartir confidencialmente dichos requisitos con el Director de Seguridad de la Información de la Ciudad. Los requisitos del Departamentos deben ser equivalentes o superiores a los requisitos de seguridad de toda la ciudad.
• Cuando sea apropiado, consulte con el Director de Seguridad de la Información de la Ciudad al recopilar los requisitos para los nuevos sistemas de información, a fin de garantizar que el diseño de seguridad se revise minuciosamente antes de su selección e implementación.

Departamento de Manejo de Emergencias

• Active el centro de operaciones de emergencia de la ciudad para coordinar la respuesta a un incidente cibernético de nivel de emergencia, tal como se describe en la Función de Apoyo de Emergencia 18 del Comando Cibernético Unificado.
• Apoyar el simulacro de emergencia de ciberseguridad a nivel municipal para los líderes de la ciudad, en coordinación con el Director de Seguridad de la Información de la ciudad.

Coordinadores de Preparación para Desastres del Departamentos (DPC)

• Capacitar al personal directivo del Departamentos y al personal de respuesta a incidentes de ciberseguridad sobre las funciones y responsabilidades del Departamentos y del Centro de Operaciones de Emergencia.
• Colaborar con la DISO para adoptar los procesos de presentación de informes para la Función de Apoyo de Emergencia 18 del Comando Cibernético Unificado.
• Participar, al menos una vez al año, en el simulacro de emergencia de ciberseguridad del Departamentos .

COIT y la Oficina de Presupuesto del Alcalde deberán:

• En la medida de lo posible, brindar el apoyo y la financiación adecuados a las operaciones de ciberseguridad de la ciudad y del Departamentos , en consonancia con la evaluación de riesgos.

El Director de Datos deberá:

• Colaborar con el Director de Seguridad de la Información de la ciudad para desarrollar y mantener un sistema de clasificación de la información y brindar apoyo a los departamentos en sus esfuerzos de clasificación de datos.

El auditor de servicios municipales deberá:

• Evaluar las medidas de ciberseguridad de la ciudad mediante evaluaciones periódicas de preparación y colaborar en la evaluación de los controles de auditoría de ciberseguridad.
• Revisar, al menos anualmente, los planes de implementación Departamentos para la adopción de requisitos de ciberseguridad a nivel municipal y específicos de cada departamento.
• Realizar pruebas de seguridad en los departamentos, de acuerdo con los requisitos de ciberseguridad de toda la ciudad, para validar que los departamentos implementan eficazmente dichos requisitos.
• Comparta los resultados de estas pruebas con el jefe de Departamentos y, cuando se le solicite, facilite el debate sobre posibles estrategias de reducción de riesgos entre el Departamentos y el CISO de la ciudad.

Los empleados municipales, contratistas y proveedores deberán:

• Cumpla con las prácticas, los requisitos y el acuerdo de uso aceptable en materia de ciberseguridad, e informe de inmediato cualquier incidente a las autoridades competentes.

En la medida en que los recursos lo permitan:

1. Los jefes de Departamentos son responsables de garantizar que los sistemas adquiridos, operados o contratados por su respectivo Departamentos o comisión cumplan con las medidas de seguridad adecuadas exigidas por la categoría/clasificación de riesgo del sistema, además de cualquier requisito reglamentario.
2. Los empleados, consultores y proveedores deberán garantizar que los recursos de información se utilicen, administren y operen de manera adecuada y segura mientras se les otorgue acceso autorizado, de acuerdo con la Política de Uso Aceptable.
   1. El auditor de servicios municipales evaluará los esfuerzos de ciberseguridad de la ciudad y validará la implementación por parte de los departamentos de los requisitos de seguridad aplicables.

No se aprobarán excepciones a esta política.

SEC. 22A.3. Del Código Administrativo de la Ciudad establece: “COIT Revisar y aprobará las recomendaciones del CIO de la Ciudad en materia de estándares, políticas y procedimientos de TIC para permitir el desarrollo, la operación, el mantenimiento y el soporte exitosos de las TIC de la Ciudad”.

• Marco de ciberseguridad del NIST
• Ciberseguridad SF

• Publicación de la serie técnica del NIST