TEXTO PAGINA: 44
44 NORMAS LEGALES Martes 23 de febrero de 2021 / El Peruano SUBCAPÍTULO V RÉGIMEN SIMPLIFICADO DEL SGSI-C Artículo 26. Sistema simpli fi cado de gestión de seguridad de la información 26.1 El régimen simpli fi cado de gestión de seguridad de la información requiere la plani fi cación y ejecución de las siguientes actividades mínimas, cuya periodicidad por lo menos debe ser anual: a) Identi fi car con las unidades de negocio y de apoyo, cuál es la información de mayor importancia, por las obligaciones normativas o contractuales existentes, y por la necesidad de operar. b) Identi fi car los dispositivos que se conectan a la red interna y todo software que se encuentre instalado en la infraestructura tecnológica, y asegurar que se encuentren acorde a una con fi guración segura previamente establecida. c) Identi fi car las cuentas de usuario con permisos de acceso habilitados y en particular las que poseen privilegios administrativos con posibilidad de adicionar software a la infraestructura, y mantener el principio de mínimos privilegios otorgados. d) Implementar y mantener una línea base de seguridad en sistemas operativos y aplicaciones utilizadas, incluidos los correspondientes a dispositivos móviles, estaciones de trabajo, servidores y dispositivos de comunicaciones. Identi fi car y evaluar la habilitación de las funciones de seguridad integradas en los sistemas operativos. e) Priorizar y gestionar las vulnerabilidades de seguridad identi fi cadas, para cuya identi fi cación oportuna debe contar con los servicios de información necesarios. f) Desarrollar una campaña de orientación para la adopción de prácticas seguras dirigida a los empleados, plana gerencial y de dirección. 26.2 En caso la empresa provea alguna de las operaciones indicadas en el artículo 19 del presente Reglamento por canal digital, en lo que corresponda a su implementación, debe cumplir con las disposiciones establecidas en el Subcapítulo III del Capítulo II del presente Reglamento. 26.3 En caso utilice servicios signi fi cativos provistos por terceros, en lo que corresponda a su implementación, la empresa debe cumplir con las disposiciones establecidas en el Subcapítulo IV del Capítulo II del presente Reglamento. 26.4 La empresa debe mantener un programa de ciberseguridad, conforme al Subcapítulo II del Capítulo II del presente Reglamento, con un alcance que por lo menos incluya los servicios indicados en los párrafos 26.2 y 26.3 del artículo 26 del presente Reglamento. SUBCAPÍTULO VI RÉGIMEN REFORZADO DEL SGSI-C Artículo 27. Requerimientos adicionales para empresa con concentración de mercado 27.1 El directorio debe designar a un director como responsable de velar por la efectividad del sistema de gestión de seguridad de la información, lo que incluye el desarrollo del plan estratégico del SGSI-C. 27.2 La empresa debe someter periódicamente a una evaluación independiente del alcance y la efectividad del SGSI-C; dicha evaluación podrá ser realizada por la unidad de auditoría interna u otro equipo que cumpla el requisito de independencia, siempre que posea experiencia previa y certi fi caciones internacionales que demuestren la preparación técnica necesaria. DISPOSICIONES COMPLEMENTARIAS FINALES Primera.- La empresa puede contar con un marco para la gestión de los riesgos asociados a la seguridad de la información, que debe ser integrado en lo que corresponda en la gestión del riesgo operacional, conforme a los lineamientos establecidos en el artículo 22° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos. Segunda.- Los informes a los que se re fi eren los literales g) y h) del artículo 12°, y el artículo 27° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos deben incluir la evaluación de los riesgos asociados a la seguridad de la información. Tercera.- En caso de eventos que afecten la continuidad operativa y que tengan como causa probable un incidente de seguridad de la información, es aplicable lo señalado en el artículo 15 del Reglamento para la Gestión de la Continuidad del Negocio, aprobado por la Resolución SBS Nº 877-2020, sobre reporte de eventos de interrupción signi fi cativa. Cuarta.- La aplicación del presente Reglamento se extiende a las empresas corredoras de seguros del segmento 1, según segmentación establecida en el artículo 36 del Reglamento para la Supervisión y Control de los Corredores y Auxiliares de Seguros aprobado por la Resolución SBS N° 809-2019, a dichas empresas les es exigible el párrafo 26.1 del artículo 26, Subcapítulo V, Capítulo II, del presente Reglamento. Artículo Segundo.- Modi fi car el Reglamento de Auditoría Interna, aprobado por la Resolución SBS N° 11699-2008 y sus modi fi catorias, conforme a lo siguiente: En el Anexo “Actividades Programadas”, sustituir el numeral 3 de la Sección I, el numeral 1 de la Sección II, el numeral 1 de la Sección III, el numeral 2 de la Sección IV, el numeral 3 de la Sección V y el numeral 1 de la Sección VI, conforme a los siguientes textos: “I. EMPRESAS SEÑALADAS EN LOS LITERALES A, B Y C DEL ARTÍCULO 16° DE LA LEY GENERAL (EXCEPTO LAS EMPRESAS AFIANZADORAS Y DE GARANTÍAS), BANCO DE LA NACIÓN, BANCO AGROPECUARIO, FONDO MIVIVIENDA Y CORPORACIÓN FINANCIERA DE DESARROLLO (COFIDE) (….)3) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad; (….)” “II. EMPRESAS DE SEGUROS Y/O DE REASEGUROS: 1) Evaluación de la gestión de los riesgos distintos a los riegos técnicos de seguros, que incluyen riesgo operacional, de mercado, de crédito, entre otros, y de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad; (...)” “III. EMPRESAS DE SERVICIOS COMPLEMENTARIOS Y CONEXOS 1) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad. (...)” “IV. EMPRESAS AFIANZADORAS Y DE GARANTÍAS (…)2) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre seguridad de la información y Ciberseguridad. (...)” “V. DERRAMAS Y CAJAS DE PENSIONES 3) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de