Reglamentación sobre reporte obligatorio de incidentes cibernéticos de seguridad en el Estado

Mediante la Resolución MITIC N° 346/2020 se aprueba e implementa el Reglamento de reportes obligatorios de incidentes cibernéticos de seguridad por parte los Organismos y Entidades del Estado (OEE) al Ministerio de Tecnologías de la Información y Comunicación (MITIC).

Este reglamento establece que todo funcionario público debe reportar cualquier posible incidente cibernético de seguridad al Responsable de Seguridad de la Información (RSI), o, en su defecto, al Director de la UETIC de su Institución. Es obligación de éstos reportar todo incidente cibernético de seguridad al CERT-PY enviando un correo electrónico a abuse@cert.gov.py, incluyendo una descripción del mismo, así como también cualquier dato que pueda ayudar a investigar el incidente, según sea el caso (logs, captura de pantalla, explicaciones, captura de tráficos, archivos, etc.).

Establece también las pautas generales de la acción del CERT-PY frente a los reportes recibidos, definiendo el alcance de acción, los niveles y criterios de criticidad, así como también la confidencialidad con la que se manejarán los detalles de los incidentes que le son reportados.

Además, establece los lineamientos que se deben tener en cuenta en cuanto a la gestión comunicacional de un incidente cibernético, debiendo ésta ser realizada de manera coordinada entre la institución afectada, las áreas técnicas, las áreas comunicacionales, así como también el MITIC, de manera a informar de manera clara, certera y transparente, sin comprometer la investigación, conforme a las guías y lineamientos establecidos, velando por los derechos de todas las personas que fueran afectados por el incidente.