TEXTO PAGINA: 41
41 NORMAS LEGALES Martes 23 de febrero de 2021 El Peruano / también, intercambiar información cuando corresponda, conforme al artículo 16 del presente Reglamento. b) Implementar una metodología para clasi fi car los incidentes de ciberseguridad y prever protocolos de respuesta y recuperación. c) Contar con un servicio de operaciones de seguridad de la información, que incluya capacidades para la detección y respuesta, el monitoreo de comunicaciones en la red interna y el grado de funcionamiento de la infraestructura tecnológica. d) Contar con acceso a la información de inteligencia de amenazas, vulnerabilidades e incidentes, así como también a bases de conocimiento de técnicas y tácticas utilizadas por los agentes de amenazas. e) Implementar mecanismos de reporte interno de incidentes de ciberseguridad, de acuerdo con lo señalado en el artículo 8 del presente Reglamento, y a la Superintendencia conforme al artículo 15 del presente Reglamento. f) Identi fi car las posibles mejoras para su incorporación a la gestión de incidentes de ciberseguridad, luego de la ocurrencia de estos. g) Preservar las evidencias que faciliten las investigaciones forenses luego de la ocurrencia de incidentes de seguridad de la información. 7. Seguridad física y ambientala) Implementar controles para evitar el acceso físico no autorizado, daños o interferencias a la información o instalaciones de procesamiento de la empresa. b) Adoptar medidas para evitar pérdida, daño, robo o compromiso de los activos de información y la interrupción de las operaciones, mediante la protección del equipamiento y dispositivos tomando en cuenta el entorno donde son utilizados. 8. Criptografíaa) Utilizar criptografía para asegurar la con fi dencialidad, autenticidad e integridad de la información, tanto cuando los datos asociados están en almacenamiento y en transmisión. b) Implementar los procedimientos necesarios para administrar el ciclo de vida de las llaves criptográ fi cas a utilizar. 9. Gestión de activos de informacióna) Identi fi car los activos de información mediante un inventario, asignar su custodia, establecer lineamientos de uso aceptable de ellos y la devolución al término del acuerdo por el que se proporcionó. b) Asegurar que el nivel de protección y tratamiento de la información se realice acorde a su clasi fi cación en términos de los requisitos legales, valor, criticidad y sensibilidad a la divulgación o modi fi cación no autorizada. c) Establecer medidas para evitar la divulgación, modi fi cación, eliminación o destrucción no autorizadas de información, en el uso de dispositivos removibles. Artículo 13. Actividades plani fi cadas En el marco del Plan estratégico del SGSI-C, la empresa debe mantener planes operativos, por lo menos para los siguientes fi nes: a) Identi fi car los activos de información, clasi fi carlos, analizar las amenazas y vulnerabilidades asociadas a estos, y tomar medidas de tratamiento correspondientes. b) Someter el SGSI-C a evaluaciones, revisiones y pruebas periódicas para determinar su efectividad, mediante servicios internos y externos, y en función al nivel de complejidad y amenazas sobre los activos de información asociados. En función a los resultados que obtenga, debe incorporar las mejoras o adoptar los correctivos. c) Atender las necesidades de capacitación y difusión, según corresponda a los roles y funciones en la organización, en materia de seguridad de la información y ciberseguridad para asegurar la efectividad del SGSI-C. d) Desarrollar el programa de ciberseguridad, conforme al Subcapítulo II del Capítulo II del presente Reglamento.e) Revisar periódicamente, y actualizar cuando corresponda, las políticas de seguridad de la información que se establezcan para implementar los requerimientos establecidos en el artículo 12 del presente Reglamento. SUBCAPÍTULO II CIBERSEGURIDAD Artículo 14. Programa de ciberseguridad14.1 Toda empresa que cuente con presencia en el ciberespacio debe mantener, con carácter permanente, un programa de ciberseguridad (PG-C) aplicable a las operaciones, procesos y otros activos de información asociados. 14.2 El PG-C debe prever un diagnóstico y un plan de mejora sobre sus capacidades de ciberseguridad, para lo cual debe seleccionar un marco de referencia internacional sobre la materia, que le permita cuando menos lo siguiente: a) Identi fi cación de los activos de información. b) Protección frente a las amenazas a los activos de información. c) Detección de incidentes de ciberseguridad.d) Respuesta con medidas que reduzcan el impacto de los incidentes. e) Recuperación de las capacidades o servicios tecnológicos que pudieran ser afectados. Artículo 15. Reporte de incidentes de ciberseguridad signi fi cativos 15.1 La empresa debe reportar a la Superintendencia, en cuanto advierta la ocurrencia de un incidente de ciberseguridad que presente un impacto adverso signi fi cativo veri fi cado o presumible de: a) Pérdida o hurto de información de la empresa o de clientes. b) Fraude interno o externo.c) Impacto negativo en la imagen y reputación de la empresa. d) Interrupción de operaciones. 15.2 La empresa debe efectuar un análisis forense para determinar las causas del incidente y tomar las medidas para su gestión. El informe resultante de dicho análisis debe estar a disposición de la Superintendencia, el que debe tener un contenido ejecutivo y también con el detalle técnico correspondiente. 15.3 La Superintendencia, mediante norma de carácter general, establece el contenido mínimo, formato y protocolos adicionales a utilizar en dicho reporte. Artículo 16. Intercambio de información de ciberseguridad 16.1 La empresa debe hacer los arreglos necesarios para contar con información que le permita tomar acción oportuna frente a las amenazas de ciberseguridad y para el tratamiento de las vulnerabilidades. 16.2 Al intercambiar información relativa a ciberseguridad, la empresa puede suscribir acuerdos con otras empresas del sector o con terceros que resulten relevantes, de forma bipartita, colectiva o gremial, para lo cual de fi nirán los criterios pertinentes. 16.3 Mediante norma de carácter general, la Superintendencia puede establecer requerimientos especí fi cos para que se incorporen en el intercambio de información de ciberseguridad. SUBCAPÍTULO III AUTENTICACIÓN Artículo 17. Implementación de los procesos autenticación 17.1 La empresa debe implementar procesos de autenticación, conforme a la de fi nición establecida en