TEXTO PAGINA: 55
55 NORMAS LEGALES Viernes 29 de marzo de 2019 El Peruano / ff) Subcontratación en cadena: Es aquella subcontratación donde el proveedor, a su vez, subcontrata partes del servicio a otros proveedores. gg) Subcontratación signi fi cativa: Es aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo a la Entidad, al afectar sus ingresos, solvencia o continuidad del negocio de manera importante. hh) Tiempo objetivo de recuperación: Es el tiempo establecido por la Entidad para reanudar un proceso, en caso de ocurrencia de un evento de interrupción de operaciones. Es menor al periodo máximo tolerable de interrupción. Asimismo, serán de aplicación las de fi niciones contenidas en el Reglamento GIR. En adelante, los términos antes mencionados podrán emplearse en forma singular o plural, sin que ello implique un cambio en su signi fi cado. Salvo mención en contrario, la referencia a artículos determinados debe entenderse efectuada a los correspondientes del presente Reglamento. Artículo 3.- FINALIDAD El presente Reglamento establece lineamientos, criterios y parámetros generales mínimos que la Entidad debe observar en el diseño, desarrollo y aplicación de su gestión del riesgo operacional, de acuerdo con la naturaleza y proporcionalidad del negocio, la cual debe considerar el tamaño de la entidad, el volumen de transacciones y la complejidad de las operaciones que realiza. Como parte de una adecuada gestión del riesgo operacional, las Entidades deben implementar un sistema de gestión de seguridad de la información y gestión de la continuidad del negocio”. Artículo 2°.- Modi fi car el título iii gestión de la seguridad de la información y los artículos 9, 10 y 11 del Reglamento de Gestión del Riesgo Operacional, aprobado mediante Resolución SMV N° 027-2016-SMV/01, de acuerdo con el siguiente texto: “TÍTULO III GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD Artículo 9.- SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN La Entidad debe implementar un sistema de gestión de seguridad de la información que permita garantizar la integridad, la con fi dencialidad y disponibilidad de la información, así como gestionar efectivamente sus riesgos, incluyendo los de ciberseguridad, mediante la adecuada combinación de políticas, procedimientos, controles, estructura organizacional y herramientas informáticas especializadas. Para ello, deberá como mínimo realizar las siguientes actividades: a) De fi nición de una política de seguridad de la información que incluya los aspectos de ciberseguridad, y que sea aprobada por el Directorio u órgano equivalente. b) De fi nición e implementación de una metodología de gestión de seguridad de la información, que incluya los aspectos de ciberseguridad, conforme a lo establecido en el artículo 7 del Reglamento, y que guarde consistencia con la gestión integral de riesgos de la Entidad. c) Mantenimiento de registros adecuados que permitan verifi car el cumplimiento de las normas, estándares, políticas, procedimientos y otros de fi nidos por la Entidad, así como mantener una su fi ciente evidencia de auditoría. Artículo 10.- FUNCIÓN DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD La Entidad debe contar con una estructura organizacional que le permita implementar y mantener el sistema de gestión de la seguridad de información, para lo cual deberá: a) Establecer, mantener y difundir las políticas y procedimientos de seguridad de la información y ciberseguridad. b) Asignar y distribuir claramente los roles y responsabilidades. c) Identi fi car, evaluar y tratar los riesgos de seguridad de la información y ciberseguridad, de acuerdo con lo establecido en el literal b del artículo 9 del presente Reglamento. d) Determinar todos los controles que son necesarios para implementar la(s) opción(es) elegida(s) de tratamiento de riesgos de seguridad de la información y ciberseguridad. e) Desarrollar actividades de concientización y entrenamiento en seguridad de la información y ciberseguridad, para mantenerlos actualizados sobre las nuevas ciberamenazas, tanto al interior de la entidad como frente a usuarios y terceros que esta considere relevantes. f) Evaluar de forma continua los eventos asociados a una posible falla en la política de seguridad, en los controles o una situación previamente desconocida relevante para la seguridad y recomendar acciones apropiadas. g) Desarrollar planes de comunicación para determinar responsabilidades en la toma de decisiones, así como las políticas y procedimientos para divulgar potenciales vulnerabilidades; h) Dirigir y promover que el personal contribuya a la efectividad del sistema de gestión de seguridad de la información; y, i) Reportar al Directorio u órgano equivalente o al Comité de Riesgos, según su organización, sobre el desempeño del sistema de gestión de la seguridad de la información con la periodicidad que determine la Entidad, la que no podrá ser mayor a 6 meses. Artículo 11.- CONTROLES DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD Las entidades deberán implementar, de acuerdo con su tamaño, volumen de transacciones y complejidad de sus operaciones, los siguientes controles como parte de la gestión de la seguridad de la información y ciberseguridad: 1. Control de acceso:a) Procedimientos formales para la concesión, administración de derechos y per fi les, así como la revocación de usuarios. b) Revisiones periódicas sobre los derechos concedidos a los usuarios. c) Los usuarios deben contar con una identi fi cación para su uso personal, de tal manera que las posibles responsabilidades puedan ser seguidas e identi fi cadas. d) Controles especiales sobre utilidades del sistema y herramientas de auditoría. e) Seguimiento sobre el acceso y uso de los sistemas para detectar actividades no autorizadas. f) Controles especiales sobre usuarios remotos y computación móvil. 2. Seguridad de los recursos humanos:a) De fi nición de roles y responsabilidades establecidos sobre la seguridad de la información y ciberseguridad. b) Veri fi cación de antecedentes (penales, judiciales, crediticios, etc.), de acuerdo con la clasi fi cación de información a la que tendrá acceso. c) Concientización y entrenamiento sobre los nuevos y emergentes riesgos. d) Procesos disciplinarios en caso de incumplimiento de las políticas de seguridad de la información. e) Procedimientos de fi nidos en caso de cese del personal, que incluyan aspectos como la revocación de los derechos de acceso y la devolución de activos. 3. Seguridad física y ambiental: a) Controles para evitar el acceso físico no autorizado, daños o interferencias a los locales y a la información de la Entidad. b) Controles para prevenir pérdidas, daños o robos de los activos, incluyendo la protección de los equipos frente a amenazas físicas y ambientales.