TEXTO PAGINA: 80
Pág. 218446 NORMAS LEGALES Lima, jueves 28 de febrero de 2002 c. Selección de controles y objetivos de control para reducir, eliminar o evitar los riesgos identificados, indican- do las razones de su inclusión o exclusión. d. Plan de implementación de los controles y procedi- mientos de revisión periódicos. e. Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las normas, estándares, políti- cas, procedimientos y otros definidos por la empresa, así como mantener pistas adecuadas de auditoría. Las empresas bancarias y las empresas de operacio- nes múltiples que accedan al módulo 3 de operaciones a que se refiere el Artículo 290º de la Ley General deberán contar con una función de seguridad a dedicación exclusi- va. Subcontratación (outsourcing) Artículo 6º.- La empresa es responsable y debe verificar que se mantengan las características de seguridad de la in- formación contempladas en la presente norma, incluso cuan- do ciertas funciones o procesos críticos puedan ser objeto de una subcontratación. Para ello se tendrá en cuenta lo dis- puesto en la Primera Disposición Final y Transitoria del Re- glamento. Asimismo, la empresa debe asegurarse y verificar que el proveedor del servicio sea capaz de aislar el procesa- miento y la información objeto de la subcontratación, en todo momento y bajo cualquier circunstancia. En caso que las empresas deseen realizar su procesa- miento principal en el exterior, requerirán de la autoriza- ción previa y expresa de esta Superintendencia. Las em- presas que a la fecha de vigencia de la presente norma se encontrasen en la situación antes señalada, deberán soli- citar la autorización correspondiente. Para la evaluación de estas autorizaciones, las empresas deberán presentar documentación que sustente lo siguiente: a) La forma en que la empresa asegurará el cumpli- miento de la presente circular y la Primera Disposición Fi- nal y Transitoria del Reglamento. b) La empresa, así como los representantes de quie- nes brindarán el servicio de procesamiento en el exterior, deberán asegurar adecuado acceso a la información con fines de supervisión, en tiempos razonables y a solo re- querimiento. Aspectos de la seguridad de información Artículo 7º.- Para la administración de la seguridad de la información, las empresas deberán tomar en considera- ción los siguientes aspectos: 7.1 Seguridad lógica Las empresas deben definir una política para el control de accesos, que incluya los criterios para la concesión y administración de los accesos a los sistemas de informa- ción, redes y sistemas operativos, así como los derechos y atributos que se confieren. Entre otros aspectos, debe contemplarse lo siguiente: a) Procedimientos formales para la concesión, admi- nistración de derechos y perfiles, así como la revocación de usuarios. Revisiones periódicas deben efectuarse so- bre los derechos concedidos a los usuarios. b) Los usuarios deben contar con una identificación para su uso personal, de tal manera que las posibles responsa- bilidades puedan ser seguidas e identificadas. c) Controles especiales sobre utilidades del sistema y herramientas de auditoría. d) Seguimiento sobre el acceso y uso de los sistemas y otras instalaciones físicas, para detectar actividades no autorizadas. e) Usuarios remotos y computación móvil. 7.2 Seguridad de personal Las empresas deben definir procedimientos para redu- cir los riesgos asociados al error humano, robo, fraude o mal uso de activos, vinculados al riesgo de tecnología de información. Al establecer estos procedimientos, deberá tomarse en consideración, entre otros aspectos, la defini- ción de roles y responsabilidades establecidos sobre la seguridad de información, verificación de antecedentes, políticas de rotación y vacaciones, y entrenamiento. 7.3 Seguridad física y ambiental Las empresas deben definir controles físicos al acce- so, daño o interceptación de información. El alcance inclui-rá las instalaciones físicas, áreas de trabajo, equipamien- to, cableado, entre otros bienes físicos susceptibles a ries- gos de seguridad. Se definirán medidas adicionales para las áreas de traba- jo con necesidades especiales de seguridad, como los cen- tros de procesamiento, entre otras zonas en que se maneje información que requiera de alto nivel de protección. 7.4 Clasificación de seguridad Las empresas deben realizar un inventario periódico de activos asociados a la tecnología de información que tenga por objetivo proveer la base para una posterior clasificación de seguridad de dichos activos. Esta clasificación debe indi- car el nivel de riesgo existente para la empresa en caso de falla sobre la seguridad, así como las medidas apropiadas de control que deben asociarse a las clasificaciones. Administración de las operaciones y comunicacio- nes Artículo 8º.- Las empresas deben establecer medidas de administración de las operaciones y comunicaciones que entre otros aspectos contendrán lo siguiente: - Control sobre los cambios en el ambiente operativo, que incluye cambios en los sistemas de información, las instalaciones de procesamiento y los procedimientos. - Control sobre los cambios del ambiente de desarrollo al de producción. - Separación de funciones para reducir el riesgo de error o fraude. - Separación del ambiente de producción y el de desa- rrollo. - Controles preventivos y de detección sobre el uso de software de procedencia dudosa, virus y otros similares. - Seguridad sobre las redes, medios de almacenamien- to y documentación de sistemas. - Seguridad sobre correo electrónico. - Seguridad sobre banca electrónica. Desarrollo y mantenimiento de sistemas informáti- cos - Requerimientos de seguridad Artículo 9º.- Para la administración de la seguridad en el desarrollo y mantenimiento de sistemas informáticos, se debe tomar en cuenta, entre otros, los siguientes criterios: a) Incluir en el análisis de requerimientos para nuevos sistemas o mejoras a los sistemas actuales, controles so- bre el ingreso de información, el procesamiento y la infor- mación de salida. b) Aplicar técnicas de encriptación sobre la informa- ción crítica que debe ser protegida. c) Definir controles sobre la implementación de aplica- ciones antes del ingreso a producción. d) Controlar el acceso a las librerías de programas fuen- te . e) Mantener un estricto y formal control de cambios, que será debidamente apoyado por sistemas informáticos en el caso de ambientes complejos o con alto número de cambios. Procedimientos de respaldo Artículo 10º.- Las empresas deben establecer proce- dimientos de respaldo regulares y periódicamente valida- dos. Estos procedimientos deben incluir las medidas ne- cesarias para asegurar que la información esencial pueda ser recuperada en caso de falla en los medios o luego de un desastre. Estas medidas serán coherentes con lo re- querido en el Plan de Continuidad. La empresa debe conservar la información de respaldo y los procedimientos de restauración en una ubicación re- mota, a suficiente distancia para no verse comprometida ante un daño en el centro principal de procesamiento. Planeamiento para la continuidad de negocios Artículo 11º.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio, deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que tendrá como objetivo asegurar un nivel aceptable de operatividad de los procesos críticos, ante fallas mayores internas o externas. Criterios para el diseño e implementación del Plan de Continuidad de Negocios Artículo 12º.- Para el desarrollo del PCN se debe rea- lizar previamente una evaluación de riesgos asociados a