TEXTO PAGINA: 54
54 NORMAS LEGALES Viernes 29 de marzo de 2019 / El Peruano que afectan a los procesos intrínsecos del negocio de la institución así como también posibilitan cambios en el desarrollo de sus operaciones. Por lo que, resulta fundamental regular estándares mínimos de gestión de la ciberseguridad aplicables a las Entidades a las que la SMV otorga autorización de funcionamiento, y brindar pautas para el procesamiento de datos en la nube, con la fi nalidad de que sean desarrollados de manera adecuada; Que, debe destacarse que, en relación con la subcontratación de procesamiento de datos en el exterior, la entidad supervisada, para la adecuada gestión de riesgos de esta actividad puede, entre otros aspectos, tener en cuenta criterios como la estabilidad política y seguridad de las jurisdicciones donde actuará el proveedor del servicio de procesamiento de datos subcontratado, sin perjuicio de su obligación de velar por que los riesgos que identi fi que permanezcan dentro de unos límites aceptables y proporcionales a la actividad de procesamiento de datos que la Entidad externalizará fuera del país; Que, el Proyecto fue difundido en consulta ciudadana a través del Portal del Mercado de Valores de la SMV por el plazo de treinta (30) días hábiles, conforme lo dispuso la Resolución SMV N° 032-2018-SMV/01, publicada el 30 de noviembre de 2018 en el Diario O fi cial El Peruano; y, Estando a lo dispuesto por el literal a) del artículo 1° y el literal b) del artículo 5° de la Ley Orgánica de la SMV; el segundo párrafo del artículo 8° de la Ley del Mercado de Valores, Decreto Legislativo N° 861 y sus modi fi catorias; el numeral 2 del artículo 9 del Reglamento de Organización y Funciones de la SMV, aprobado por Decreto Supremo Nº 216-2011-EF; así como a lo acordado por el Directorio de la SMV en su sesión del 22 de marzo de 2019; SE RESUELVE: Artículo 1°.- Modi fi car los artículos 2 y 3 del título i disposiciones generales del Reglamento de Gestión del Riesgo Operacional, aprobado mediante Resolución SMV N° 027-2016-SMV/01, de acuerdo con el siguiente texto: “Artículo 2.- DEFINICIONES Para la aplicación y/o implementación de lo establecido en el presente Reglamento se considerarán las siguientes defi niciones: a) Activo: Cualquier elemento que tenga valor para un individuo, una entidad o un gobierno. b) Activo virtual: Representación de un activo en el Ciberespacio. c) Base de datos de eventos de pérdida (BDEP): La base de datos de eventos de pérdida por riesgo operacional a la que hace referencia el artículo 8° del presente Reglamento. d) Cambio Signi fi cativo: Todo aquel cambio en el ambiente operativo, informático o de negocios que tenga una in fl uencia signi fi cativa en el per fi l de riesgo de una Entidad. e) Pe-CERT: Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú. f) CSIRT (Computer Security Incident Response Team): Equipo responsable del desarrollo de medidas preventivas y de respuesta ante incidentes informáticos. g) Ciberamenaza o amenaza cibernética: Aparición de una situación potencial o actual que pudiera convertirse en un ciberataque. h) Ciberataque o ataque cibernético: Acción criminal organizada o premeditada de uno o más agentes que usan los servicios o aplicaciones del ciberespacio o son el objetivo de la misma o donde el ciberespacio es fuente o herramienta de comisión de un crimen. i) Ciberespacio: Entorno complejo resultante de la interacción de personas, software y servicios en Internet a través de dispositivos tecnológicos conectados a dicha red, el cual no existe en ninguna forma física. j) Ciberseguridad: Condición de estar protegido en contra de consecuencias físicas, sociales, fi nancieras, emocionales, ocupacionales, psicológicas, educacionales o de otro tipo que resultan del fallo, daño, error, accidentes, perjuicios o cualquier otro evento en el Ciberespacio que se pueda considerar no deseable. k) Con fi dencialidad: La información debe mantenerse en reserva, pudiendo ser accesible únicamente a aquellos usuarios que se encuentren debidamente autorizados, capacitados y supervisados. l) Disponibilidad: La información debe ser accesible a los usuarios autorizados cuando sea requerida. m) Evento de pérdida por Riesgo Operacional: El evento que conduce a una o varias pérdidas, cuyo origen corresponde al riesgo operacional. En el presente Reglamento se utilizarán indistintamente los términos “evento de pérdida por riesgo operacional” y “evento de pérdida” con el mismo signi fi cado. n) Indicadores Clave de Riesgo: Métrica que provee información acerca del nivel de exposición de la Entidad a un riesgo operacional especí fi co en un momento dado. o) Interrupción del negocio: Evento que genera la interrupción total o de parte importante de una o más líneas de negocio o sus procesos de soporte por treinta (30) minutos continuos o más. p) Pérdida: Es un impacto negativo en los resultados o en el patrimonio de la Entidad. q) Incidente de seguridad de información: Evento asociado a una posible falla en la política de seguridad, una falla en los controles, o una situación previamente desconocida relevante para la seguridad, que tiene una probabilidad signi fi cativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. r) Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. s) Integridad: La información debe ser completa, exacta y veraz. t) Insourcing: Modalidad de gestión mediante la cual una Entidad vuelve a desarrollar un proceso que anteriormente fue subcontratado. u) Nube Comunitaria: Infraestructura de nube disponible para el uso exclusivo de una comunidad especí fi ca de entidades, incluido el caso de varias entidades de un mismo grupo. v) Nube Híbrida: Infraestructura de nube compuesta por dos o más infraestructuras de nube distintas. w) Nube Privada: Infraestructura de nube disponible para el uso exclusivo de una sola entidad. x) Nube Pública: Infraestructura de nube disponible para el uso abierto del público en general. y) Periodo máximo tolerable de interrupción: Es el periodo, determinado por la Entidad, luego del cual la viabilidad de la Entidad sería afectada seriamente, si un producto o servicio en particular no es reanudado. z) Proveedor principal: Es aquel que, de interrumpir sus operaciones, afectaría de manera importante la continuidad del negocio de la Entidad. Además de aquellos con los que se tiene una subcontratación signi fi cativa, deben considerarse a los proveedores de servicios públicos como: telecomunicaciones, energía, entre otros. aa) Reglamento: El Reglamento de Gestión del Riesgo Operacional. bb) Reglamento de GIR: El Reglamento de Gestión Integral de Riesgos, aprobado por Resolución SMV N° 037-2015-SMV/01. cc) Servicios en la nube: Servicios prestados usando computación en la nube, es decir, un modelo que permite el acceso de red ubicuo, conveniente y bajo demanda, a un conjunto compartido de recursos informáticos confi gurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden suministrar y desplegar rápidamente, requiriendo un esfuerzo de gestión o una interacción con el proveedor del servicio mínimos. dd) SIEM (Security Information and Event Management): Sistema de información que proporciona análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones, dispositivos de seguridad y los elementos de red. Suelen ser sistemas de centralización de logs. ee) Subcontratación: Modalidad de gestión mediante la cual una Entidad contrata a un tercero para que este desarrolle un proceso que podría ser realizado por la Entidad contratante.