TEXTO PAGINA: 40
40 NORMAS LEGALES Martes 23 de febrero de 2021 / El Peruano CAPÍTULO II SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD (SGSI-C) SUBCAPÍTULO I RÉGIMEN GENERAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD (SGSI-C) Artículo 10. Objetivos y requerimientos del SGSI-C Son objetivos del SGSI-C los siguientes: 1. Identi fi car los activos de información, analizar las amenazas y vulnerabilidades asociadas a estos, y formular programas y medidas que busquen reducir la posibilidad de incidentes en los siguientes aspectos: a) El diseño e implementación de nuevos productos y procesos, proyectos y cambios operativos. b) Las obligaciones de seguridad de la información que se derivan de disposiciones normativas, normas internas y de acuerdos contractuales. c) Las relaciones con terceros, en el sentido más amplio, incluyendo proveedores de servicios y empresas con las que se tiene relaciones de subcontratación. d) Cualquier otra actividad que, a criterio de la empresa, exponga sus activos de información por causa interna o externa. 2. Revisar periódicamente el alcance y la efectividad de los controles mínimos indicados en el artículo 12 de este Reglamento y contar con capacidades de detección, respuesta y recuperación ante incidentes de seguridad de la información. 3. Establecer la relación existente con los planes de emergencia, crisis y de continuidad establecidos según lo previsto en la normativa correspondiente. Artículo 11. Alcance del SGSI-C El alcance del SGSI-C debe incluir las funciones y unidades organizacionales, las ubicaciones físicas existentes, la infraestructura tecnológica y de comunicaciones, así como el perímetro de control asociado a las relaciones con terceros, que estén bajo responsabilidad de la empresa, conforme a las disposiciones establecidas sobre subcontratación en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos. Artículo 12. Medidas mínimas de seguridad de la información a adoptar por las empresas Las empresas deben adoptar las siguientes medidas mínimas de seguridad de información: 1. Seguridad de los recursos humanos:a) Implementar protocolos de seguridad de la información aplicables en el reclutamiento e incorporación del personal, ante cambio de puesto y terminación del vínculo laboral. b) Procesos disciplinarios en caso de incumplimiento de las políticas de seguridad de la información. 2. Controles de acceso físico y lógico:a) Prevenir el acceso no autorizado a la información, así como a los sistemas, equipos e instalaciones mediante los cuales es procesada, transmitida o almacenada, sea de manera presencial o remota. b) Implementar procedimientos de administración de accesos, lo que debe incluir a las cuentas de accesos con privilegios administrativos; asegurando una segregación de funciones para reducir el riesgo de error o fraude, siguiendo los principios de mínimo privilegio y necesidad de conocer. c) Implementar procesos de autenticación para controlar el acceso a los activos de información; en particular, para el acceso a los servicios provistos a usuarios por canales digitales, los procesos de autenticación deben cumplir los requisitos establecidos en el Subcapítulo III del Capítulo II del presente Reglamento. 3. Seguridad en las operaciones:a) Asegurar y prever el funcionamiento continuo de las instalaciones de procesamiento, almacenamiento y transmisión de información. b) Mantener la operación de los sistemas informáticos acorde a procedimientos previamente establecidos. c) Controlar los cambios en el ambiente operativo de sistemas, y mantener segregados los ambientes de desarrollo, pruebas y producción. d) Implementar controles que aseguren la integridad de las transacciones que son ejecutadas en los servicios y sistemas informáticos. e) Restringir la instalación de software en los sistemas operativos y prevenir la explotación de las vulnerabilidades de seguridad de la información. f) Contar con protocolos de respuesta y recuperación ante incidentes de malware; generar y probar copias de respaldo de información, software y elementos que faciliten su restablecimiento. g) De fi nir, implementar y mantener líneas base de con fi guración segura para el uso de dispositivos e implementación de sistemas informáticos. h) Contar con una estrategia de copias de respaldo y procedimientos de restauración de información ante posibles incidentes, de origen interno o externo, que comprometa la disponibilidad de la información para las operaciones y del ambiente productivo del centro de procesamiento de datos. 4. Seguridad en las comunicaciones:a) Implementar y mantener la seguridad de redes de comunicaciones acorde a la información que por ella se trasmite y las amenazas a las que se encuentra expuesta. b) Asegurar que las redes de comunicaciones y servicios de red son gestionados y controlados para proteger la información. c) Segregar los servicios de información disponibles, usuarios y sistemas en las redes de la empresa. d) Implementar protocolos seguros y controles de seguridad para la transferencia de información, dentro de la organización y con partes externas. e) Asegurar que el acceso remoto, el uso de equipos personales en la red de la empresa, dispositivos móviles y la interconexión entre redes propias y de terceros cuente con controles acorde a las amenazas de seguridad existentes. 5. Adquisición, desarrollo y mantenimiento de sistemas: a) Implementar y mantener la seguridad en los servicios y sistemas informáticos acorde a la información que se procese y amenazas a las que se encuentren expuestos. b) Asegurar que se incluyan prácticas de seguridad de la información en la plani fi cación, desarrollo, implementación, operación, soporte y desactivación en las aplicaciones y sistemas informáticos. c) Limitar el acceso a la modi fi cación de librerías de programas fuente y mantener un estricto control de cambios. d) Cuando la plataforma operativa sea cambiada, las aplicaciones críticas deben ser revisadas y probadas para evitar efectos adversos en la seguridad de estas. e) Asegurar que se efectúen pruebas técnicas, funcionales y de seguridad de la información en los sistemas informáticos antes del pase a producción. f) Implementar y veri fi car el cumplimiento de procedimientos que incluyan prácticas de desarrollo seguro de servicios y sistemas informáticos. 6. Gestión de incidentes de ciberseguridad:a) Implementar procedimientos para la gestión de incidentes de ciberseguridad, de acuerdo a lo señalado en el párrafo 8.2 del artículo 8 del presente Reglamento; así