Norma Legal Oficial del día 28 de febrero del año 2020 (28/02/2020)
Si desea descargar el documento entero como pdf click aquí.
TEXTO DE LA PÁGINA 91
El Peruano / Viernes 28 de febrero de 2020
NORMAS LEGALES
91
servicios priorizados a que hace referencia el literal c) del párrafo 7.2 del Artículo 7. 8.2 Dichas estrategias de continuidad deben ser aprobadas por el directorio y deben considerar lo siguiente: a) La factibilidad técnica, los TORs y los recursos necesarios para su implementación; b) Un análisis de escenarios que incluya la falla o indisponibilidad de los bienes o servicios brindados por terceros; c) Contar con más de un centro de procesamiento de datos con perfiles de riesgo distintos, de modo que posibles eventos de interrupción no los afecten de manera simultánea; d) La información de las operaciones de los productos pasivos, en caso aplique, deben respaldarse, al menos, dos veces al día; e) Las instalaciones destinadas a la recuperación de los procesos que soportan los productos y servicios priorizados deben cumplir con las políticas y los protocolos de seguridad establecidos por la empresa; f) Contar con un análisis realizado por un tercero independiente y especializado, en donde se analice si los centros de procesamiento de datos se verán o no afectados por un mismo evento de interrupción, considerando la ubicación geográfica, el suelo, la infraestructura y la accesibilidad de cada centro; g) El análisis a que se hace referencia en el anterior literal f) debe actualizarse periódicamente o ante cambios en alguna de las características señaladas; y, h) Los resultados del análisis dispuesto en el literal f) junto a las propuestas de actividades requeridas para cumplir con lo indicado en el literal c) anterior, deben ser presentados al directorio. Artículo 9. Implementación de la estrategia de continuidad 9.1 La empresa debe implementar las estrategias de continuidad aprobadas. Para este fin, debe desarrollar planes de gestión de crisis, de continuidad de los productos y servicios priorizados, de recuperación de los servicios de tecnología de información, y de emergencia. 9.2 El plan de gestión de crisis describe la estructura organizativa y los procedimientos aplicables en situación de crisis, incluyendo lo siguiente: a) Criterios de activación y desactivación; b) Conformación del comité de crisis de nivel estratégico; c) Lineamientos para la toma de decisiones; d) Roles y responsabilidades durante la crisis; e) Esquema de comunicación entre los miembros del comité de crisis; y, f) Lineamientos para la comunicación con aquellas personas naturales o jurídicas y entes jurídicos, que pudieran verse afectados por la interrupción de las actividades de la empresa. 9.3 El plan de continuidad de los productos y servicios priorizados describe los aspectos necesarios para el despliegue de las estrategias que permitan asegurar la continuidad en la entrega de dichos productos y servicios, y debe incluir lo siguiente: a) Criterios de activación y desactivación; b) Roles y responsabilidades de los involucrados; y, c) Descripción de los procedimientos y recursos necesarios para recuperar los productos y servicios; y, d) Descripción de los procedimientos y recursos necesarios para realizar el retorno a la operación normal. de los productos y servicios. 9.4 El plan de recuperación de los servicios de tecnología de información (TI) describe los aspectos necesarios para el despliegue de las estrategias aprobadas para recuperar los servicios de TI. Dicho plan debe contemplar los siguientes aspectos: a) Criterios de activación y desactivación; b) Conformación del equipo a cargo de la recuperación de los servicios de TI, los cuales deben incluir a los proveedores que soporten dichos servicios de TI;
c) Roles y responsabilidades; d) Descripción de los procedimientos y recursos necesarios para recuperar los servicios de TI; y e) Descripción de los procedimientos y recursos necesarios para realizar el retorno a la operación normal de los servicios de TI. 9.5 El plan de emergencia describe los aspectos necesarios para salvaguardar la integridad física del personal y público en general en las instalaciones de la empresa. Artículo 10. Plan de pruebas 10.1 Las pruebas de continuidad deben asegurar el cumplimiento de los objetivos de la gestión de la continuidad del negocio. 10.2 La empresa debe planificar y ejecutar anualmente pruebas de los planes de gestión de crisis, de la continuidad del negocio, de recuperación de los servicios de tecnología de información, y de emergencia. 10.3 En caso de contar con múltiples estrategias para asegurar la continuidad de los productos y servicios priorizados, la empresa debe probar todas ellas en un periodo no mayor a tres años. 10.4 La empresa debe elaborar informes sobre la ejecución de pruebas que incluyan la siguiente información: objetivos y metas de la prueba; características, alcance y escenario; resultados obtenidos y oportunidades de mejora; y, planes de acción a implementar. 10.5 La Superintendencia puede establecer escenarios específicos a considerar para las pruebas a ejecutarse en un determinado periodo. Artículo 11. Capacitación y cultura organizacional La empresa debe asegurar el conocimiento necesario y el compromiso con la gestión de la continuidad del negocio en todos los niveles de la organización. Para ello, la empresa debe considerar los siguientes aspectos: a) Diseñar e implementar programas de capacitación dirigidos a los diferentes niveles organizacionales, de acuerdo a las funciones y responsabilidades asignadas dentro del sistema de gestión de la continuidad del negocio; y, b) Diseñar y ejecutar actividades que integren la gestión de la continuidad del negocio a la cultura organizacional de la empresa. Artículo 12. Revisión y actualización La empresa debe revisar el sistema de gestión de la continuidad del negocio periódicamente o ante nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático. Para dicho efecto, debe establecer políticas para su revisión periódica y lineamientos que permitan identificar situaciones que ameriten su actualización. SUBCAPÍTULO II SISTEMA SIMPLIFICADO DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Artículo 13. Sistema simplificado de gestión de la continuidad del negocio El sistema simplificado de gestión de la continuidad del negocio debe considerar lo siguiente: 1. Entendimiento de la organización.- La empresa debe priorizar los productos y servicios, y definir los TOR. Los resultados de dichas actividades deben ser aprobados por el comité de riesgos e informados al directorio. 2. Diseño de la estrategia de continuidad.- El directorio debe aprobar las estrategias que permitan asegurar la continuidad en la entrega de los productos y servicios priorizados. En el caso de la recuperación de servicios de TI, la empresa debe implementar un centro de procesamiento de datos alterno que soporte los productos y servicios priorizados. 3. Implementación de la estrategia de continuidad.Las estrategias aprobadas deben ser documentadas en planes que permitan su despliegue. Dichos planes deben considerar los siguientes aspectos: