Norma Legal Oficial del día 18 de septiembre del año 2016 (18/09/2016)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 14
599464
NORMAS LEGALES
Domingo 18 de setiembre de 2016 /
El Peruano
Para lograr sus objetivos la Entidad deberá determinar a los responsables, los planes de acción, los recursos que requerirán, cuándo estará completado y cómo evaluará los resultados. 3. Soporte a) Recursos: La Entidad debe determinar y proporcionar los recursos necesarios para establecer, implementar, mantener y mejorar continuamente el sistema de gestión de la continuidad del negocio. b) Competencia: Es necesario determinar las competencias necesarias de las personas que trabajan en la Entidad que inciden el desempeño del sistema de seguridad de la información, asegurando su competencia y, cuando corresponda, tomar acciones para adquirir capacidades necesarias y evaluar la efectividad de las acciones tomadas, manteniendo la información documentada como evidencia de dichas competencias. c) Sensibilización: El personal que trabaja en la Entidad debe estar al tanto de la política de gestión de continuidad del negocio, la contribución de la eficacia del sistema de gestión de continuidad del negocio, las implicaciones de no cumplir con los requerimientos de la gestión de continuidad del negocio y el rol del personal durante un evento de interrupción de operaciones. d) Comunicación: La Entidad deberá determinar la necesidad de la comunicación interna y externa sobre el sistema de gestión de continuidad del negocio hacia las partes interesadas y empleados dentro de la organización, asegurando la disponibilidad de los medios de comunicación durante un evento de interrupción de operaciones. 4. Información documentada El sistema de gestión de la continuidad del negocio de la Entidad debe incluir la información documentada de los aspectos requeridos en el presente Reglamento y toda aquella información que considere pertinente para la gestión de la continuidad del negocio y debe contar con controles para asegurar su disponibilidad y uso apropiado, así como estar debidamente protegida. 5. Determinación y selección de la estrategia de continuidad Las estrategias de continuidad permitirán mantener las actividades y procesos del negocio luego de ocurrido un evento de interrupción de operaciones basadas en el análisis del impacto del negocio, la evaluación de riesgos, requerimientos legales y regulatorios aplicables y acorde con su nivel de apetito por el riesgo, para lo cual deben desarrollarse, como mínimo, las siguientes actividades: a) Evaluación y selección de estrategias de continuidad por proceso: La Entidad debe destinar los recursos requeridos para seleccionar y priorizar las estrategias que permitirán mantener la continuidad de los procesos que soportan los principales productos y servicios de la Entidad, dentro del tiempo objetivo de recuperación, definido para cada proceso. Las estrategias de continuidad deben tomar en cuenta los siguientes aspectos no limitativos, según sea aplicable para cada proceso: - Seguridad del personal. - Habilidades y conocimientos asociados al proceso. - Instalaciones alternas de trabajo. - Infraestructura alterna de tecnología de información que soporte el proceso. - Seguridad de la información. - Equipamiento necesario para el proceso. b) Evaluación y selección de estrategias de servicios críticos provistos por parte de terceros: La Entidad deberá realizar evaluaciones de las capacidades de recuperación ante la caída de actividades significativas subcontratadas. La Entidad deberá considerar medidas preventivas que permitan reducir la probabilidad de ocurrencia de daños, reducir el tiempo de recuperación y limitar el impacto hacia productos y servicios claves para la organización.
6. Desarrollo e implementación de los procedimientos de continuidad del negocio Se deben desarrollar los planes de respuesta ante los eventos analizados en las fases previas, e implementar un modelo de respuesta que permita cubrir los eventos inesperados y proveer los recursos necesarios, acorde con la estrategia seleccionada, para enfrentar con éxito un evento de interrupción de operaciones. Para este fin, las Entidades deberán implementar: a) Organización para el reporte de incidentes: La Entidad deberá establecer, documentar e implementar procedimientos y una estructura de respuesta ante incidentes realizada por el personal con la responsabilidad, autoridad y competencia para gestionar el incidente y comunicar a las partes interesadas. En caso de ocurrencia de eventos de interrupción significativa de operaciones, esta deberá ser comunicada a la SMV al día siguiente hábil. Dicha comunicación incluirá una descripción general del evento ocurrido. Se entenderá como evento de interrupción significativa de operaciones lo siguiente: i. El menor entre cualquier evento que implique la suspensión de la atención a los clientes por un tiempo mayor al tiempo objetivo de recuperación establecido por la Entidad o cuatro (4) horas de interrupción; y/o ii. Todo evento que implique activar el Plan de Gestión de Crisis establecido en el presente Reglamento. b) Protocolos de comunicación interna y externa: Deberán establecer, implementar y mantener procedimientos para detectar, monitorear, comunicar internamente, documentar y responder a las partes interesadas. c) Plan de Gestión de Crisis: Consiste en preparar a la Entidad para enfrentar la fase aguda de un evento de interrupción de operaciones, incluso de aquellos no esperados. Debe incluir los siguientes aspectos: - Propósito y alcance. - Roles y responsabilidades. - Criterios de invocación y activación. - Responsable de su actualización. - Planes de acción. - Comunicaciones con el personal, familiares y contactos de emergencia. - Comunicación con los grupos de interés. - Establecimiento de un centro de cómputo (considerar al menos un sitio principal, y uno alterno). d) Plan de Continuidad del Negocio: Tiene como objetivo dotar a la Entidad de la capacidad de mantener o, de ser el caso, recuperar los principales procesos de negocio dentro de los parámetros previamente establecidos. Debe documentar y considerar, como mínimo, los siguientes aspectos: - Propósito, alcance y objetivos. - Roles y responsabilidades. - Criterios de invocación y activación. - Responsable de su actualización. - Requerimientos y procedimientos de comunicación en respuesta al incidente. - Planes de acción para reanudar los procesos conforme a la estrategia y periodos predeterminados. - Requerimiento de recursos. - Información vital y cómo acceder a ella (incluye información de clientes, contratos, pólizas de seguro, entre otros). - Plan de emergencia, que permita salvaguardar la integridad física del personal. - Plan de recuperación de servicios de tecnología de información, que permita restaurar los servicios de tecnología de información dentro de los parámetros establecidos, con la posterior recuperación de las condiciones previas a su ocurrencia. 7. Pruebas y actualización El plan de continuidad del negocio deberá ser probado cuando menos una vez al año y deberá asegurar la