TEXTO PAGINA: 56
56 NORMAS LEGALES Viernes 29 de marzo de 2019 / El Peruano 4. Gestión de activos: a) Realizar y mantener un inventario de activos y asignar responsabilidades respecto a la protección de estos activos. Deben considerarse en este inventario aquellos activos virtuales relativos a la presencia de la entidad en el ciberespacio. b) Realizar una clasi fi cación de los activos, en función del tipo de información que contienen o procesan y en el valor que poseen para el negocio, indicando el nivel de riesgo existente para la Entidad, así como las medidas apropiadas de control que deben asociarse a las clasi fi caciones. 5. Administración de las operaciones y comunicaciones: a) Procedimientos documentados para la operación de los sistemas. b) Control sobre los cambios en el ambiente operativo, que incluye cambios en los sistemas de información, las instalaciones de procesamiento y los procedimientos. c) Separación de funciones para reducir el riesgo de error o fraude. d) Separación de los ambientes de desarrollo, pruebas y producción. e) Controles para proteger los datos en tránsito y en reposo. f) Implementar herramientas o servicios que permitan hacer correlación de eventos que puedan alertar sobre incidentes de seguridad, tal como un SIEM. g) Monitoreo del servicio brindado por terceros.h) Con fi gurar los servidores, incluyendo los sistemas operativos subyacentes, de acuerdo a una guía de confi guración de seguridad base. i) Ejecutar controles anti software malicioso (como spyware o malware) en el servidor. j) Administración de la capacidad de procesamiento.k) Controles preventivos y de detección sobre el uso de software de procedencia dudosa, virus y otros similares. l) Seguridad sobre las redes, medios de almacenamiento y documentación de sistemas. m) Seguridad sobre el intercambio de la información, incluido el correo electrónico. n) Seguridad sobre canales electrónicos.o) Mantenimiento de registros de auditoría y monitoreo del uso de los sistemas. p) De acuerdo con la estructura, canales de atención, volumen transaccional y número de clientes, monitorear diferentes fuentes de información tales como sitios web, blogs y redes sociales, con el propósito de identi fi car posibles ataques cibernéticos contra la Entidad. 6. Adquisición, desarrollo y mantenimiento de sistemas informáticos: Para la administración de la seguridad en la adquisición, desarrollo y mantenimiento de sistemas informáticos, se debe tomar en cuenta, entre otros, los siguientes criterios: a) Incluir en el análisis de requerimientos para nuevos sistemas o mejoras a los sistemas actuales, controles sobre el ingreso de información, el procesamiento y la información de salida. b) Aplicar técnicas de encriptación sobre la información crítica que debe ser protegida. c) De fi nir controles sobre la implementación de aplicaciones antes del ingreso a producción. d) Controlar el acceso a las librerías de programas fuente. e) Mantener un estricto y formal control de cambios, que será debidamente apoyado por sistemas informáticos en el caso de ambientes complejos o con alto número de cambios. f) Asegurar el scripting de las interfaces web para evitar ataques de XSS. g) Implementar el manejo de sesiones para las aplicaciones web con acceso a información sensible y/o relevante para el negocio. h) Controlar el manejo de las entradas de datos para prevenir ataques de inyección SQL.i) Realizar revisiones de código fuente para los servicios provistos en el ciberespacio. j) Controlar las vulnerabilidades técnicas existentes en los sistemas de la Entidad. 7. Procedimientos de respaldo:a) Procedimientos de respaldos regulares y validados con la periodicidad que determine la Entidad. Estos procedimientos deben incluir las medidas necesarias para asegurar que la información esencial pueda ser recuperada en caso de falla en los medios o luego de un desastre. Estas medidas serán coherentes con la estrategia de continuidad de negocios de la Entidad. b) Conservar la información de respaldo y los procedimientos de restauración en una ubicación, que evite exponerlos ante posibles eventos que comprometan la operación del centro principal de procesamiento. 8. Gestión de incidentes de seguridad de información: Para asegurar que los incidentes y vulnerabilidades de seguridad sean controlados de manera oportuna, la Entidad deberá considerar los siguientes aspectos: a) Procedimientos formales para el reporte de incidentes de seguridad de la información y las vulnerabilidades asociadas con los sistemas de información. b) Procedimientos establecidos para dar una respuesta adecuada a los incidentes y vulnerabilidades de seguridad reportadas. c) Establecer los procedimientos para reportar, cuando se considere pertinente, al CSIRT nacional (Pe-CERT o quien haga sus veces respecto de las entidades privadas), directamente o a través de CSIRT sectoriales, de ser el caso, los ataques cibernéticos que requieran de su gestión. 9. Cumplimiento normativo:La Entidad deberá asegurar que los requerimientos legales, contractuales, o de regulación sean cumplidos y, cuando corresponda, incorporados en la lógica interna de las aplicaciones informáticas. 10. Privacidad de la información:La Entidad debe adoptar medidas que aseguren razonablemente la privacidad de la información que reciben de sus clientes y usuarios de servicios, conforme a la regulación vigente sobre la materia”. Artículo 3°.- Modi fi car el artículo 16 e incorporarlo al título v otras disposiciones del Reglamento de Gestión del Riesgo Operacional, aprobado mediante Resolución SMV N° 027-2016-SMV/01, de acuerdo con el siguiente texto: “TITULO V OTRAS DISPOSICIONES Artículo 16.- CAMBIOS SIGNIFICATIVOS Se consideran cambios signi fi cativos de manera enunciativa, más no limitativa, a los siguientes: a) Prestación de nuevos servicios y productos, modi fi caciones importantes y/o cese en la prestación de los mismos. b) Cambios de la infraestructura tecnológica que soportan los principales productos y/o servicios. c) Nuevos canales de atención y/o modi fi caciones importantes de los mismos. d) Fusiones, adquisiciones y/o cualquier reorganización societaria. e) Cambio de o fi cina principal. f) Subcontrataciones signi fi cativas, insourcing de actividades signi fi cativas y/o modi fi caciones en los mismos, u otro cambio relevante en procesos. Esta lista podrá ser ampliada mediante Resolución del Superintendente del Mercado de Valores.