RESOLUCION, Nº 014-2019-SMV/01, ORGANISMOS TECNICOS ESPECIALIZADOS, SUPERINTENDENCIA DEL MERCADO DE VALORES - Modifican Reglamento de Gestión del Riesgo Operacional, aprobado mediante Res. N° 027-2016-SMV/01-RESOLUCION-Nº 014-2019-SMV/01
| Emisor | SUPERINTENDENCIA DEL MERCADO DE VALORES |
| Fecha de la disposición | 26 de Marzo de 2019 |
Lima, 26 de marzo de 2019
VISTOS:
El Expediente Nº 2018039905 y los Informes Conjuntos N° 1356-2018-SMV/06/12/13 y N° 281-2019-SMV/06/12/13 del 23 de noviembre del 2018 y 20 de marzo de 2019, respectivamente, ambos emitidos por la Oficina de Asesoría Jurídica, la Superintendencia Adjunta de Riesgos y la Superintendencia Adjunta de Investigación y Desarrollo; así como el Proyecto de Modificación del Reglamento de Gestión del Riesgo Operacional (en adelante, el Proyecto);
CONSIDERANDO:
Que, conforme a lo dispuesto en el literal a) del artículo 1° del Texto Único Concordado de la Ley Orgánica de la Superintendencia del Mercado de Valores – SMV (en adelante, la Ley Orgánica de la SMV), aprobado mediante Decreto Ley Nº 26126 y sus modificatorias, la SMV está facultada para dictar las normas legales que regulen materias del mercado de valores;
Que, de acuerdo con el literal b) del artículo 5° de la precitada norma, el Directorio de la SMV tiene por atribución aprobar la normativa del mercado de valores, así como aquella a la que deben sujetarse las personas naturales y jurídicas sometidas a su supervisión;
Que, el artículo 16-B de la Ley del Mercado de Valores - LMV, aprobada por Decreto Legislativo N° 861, establece que las personas jurídicas autorizadas por la SMV deberán constituir un Sistema de Administración de Riesgos de acuerdo con las normas que establezca la SMV;
Que, el 20 de diciembre de 2015, se publicó en el Diario Oficial El Peruano el Reglamento de Gestión Integral de Riesgos, aprobado mediante Resolución SMV N° 037-2015-SMV/01, el cual establece criterios mínimos para que las Entidades a las que la SMV otorga autorización de funcionamiento desarrollen de manera adecuada su gestión integral de riesgos;
Que, el 15 de septiembre del 2016 se aprobó el Reglamento de Gestión del Riesgo Operacional mediante Resolución SMV N° 027-2016-SMV/01, con la finalidad de establecer disposiciones que regulen con mayor especificidad y de manera independiente diversos aspectos asociados al riesgo operacional, como parte de la gestión de los riesgos inherentes a los que se encuentran expuestas dichas Entidades;
Que, como parte del proceso de implementación de la supervisión basada en riesgos en la SMV, es preciso que se realicen ciertas modificaciones para proporcionar lineamientos para el registro de eventos de pérdida por riesgo operacional, fijar requerimientos para la identificación y evaluación del impacto de cambios significativos en la Entidad, así como proporcionar lineamientos para monitorear adecuadamente los servicios subcontratados e incorporar la obligación de reporte de indicadores de riesgo operacional; con la finalidad de garantizar el correcto desarrollo de las operaciones por parte de las Entidades supervisadas por la SMV y contribuir a mejorar los procesos de supervisión extra-situ e in-situ;
Que, la evolución de la industria financiera, particularmente la incorporación de las tecnologías de la información en la forma de generar, procesar y administrar sus activos de información; involucran nuevos riesgos que afectan a los procesos intrínsecos del negocio de la institución así como también posibilitan cambios en el desarrollo de sus operaciones. Por lo que, resulta fundamental regular estándares mínimos de gestión de la ciberseguridad aplicables a las Entidades a las que la SMV otorga autorización de funcionamiento, y brindar pautas para el procesamiento de datos en la nube, con la finalidad de que sean desarrollados de manera adecuada;
Que, debe destacarse que, en relación con la subcontratación de procesamiento de datos en el exterior, la entidad supervisada, para la adecuada gestión de riesgos de esta actividad puede, entre otros aspectos, tener en cuenta criterios como la estabilidad política y seguridad de las jurisdicciones donde actuará el proveedor del servicio de procesamiento de datos subcontratado, sin perjuicio de su obligación de velar por que los riesgos que identifique permanezcan dentro de unos límites aceptables y proporcionales a la actividad de procesamiento de datos que la Entidad externalizará fuera del país;
Que, el Proyecto fue difundido en consulta ciudadana a través del Portal del Mercado de Valores de la SMV por el plazo de treinta (30) días hábiles, conforme lo dispuso la Resolución SMV N° 032-2018-SMV/01, publicada el 30 de noviembre de 2018 en el Diario Oficial El Peruano; y,
Estando a lo dispuesto por el literal a) del artículo 1° y el literal b) del artículo 5° de la Ley Orgánica de la SMV; el segundo párrafo del artículo 8° de la Ley del Mercado de Valores, Decreto Legislativo N° 861 y sus modificatorias; el numeral 2 del artículo 9 del Reglamento de Organización y Funciones de la SMV, aprobado por Decreto Supremo Nº 216-2011-EF; así como a lo acordado por el Directorio de la SMV en su sesión del 22 de marzo de 2019;
SE RESUELVE:
Artículo 2.- DEFINICIONES
Para la aplicación y/o implementación de lo establecido en el presente Reglamento se considerarán las siguientes definiciones:
a) Activo: Cualquier elemento que tenga valor para un individuo, una entidad o un gobierno.
b) Activo virtual: Representación de un activo en el Ciberespacio.
c) Base de datos de eventos de pérdida (BDEP): La base de datos de eventos de pérdida por riesgo operacional a la que hace referencia el artículo 8° del presente Reglamento.
d) Cambio Significativo: Todo aquel cambio en el ambiente operativo, informático o de negocios que tenga una influencia significativa en el perfil de riesgo de una Entidad.
e) Pe-CERT: Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú.
f) CSIRT (Computer Security Incident Response Team): Equipo responsable del desarrollo de medidas preventivas y de respuesta ante incidentes informáticos.
g) Ciberamenaza o amenaza cibernética: Aparición de una situación potencial o actual que pudiera convertirse en un ciberataque.
h) Ciberataque o ataque cibernético: Acción criminal organizada o premeditada de uno o más agentes que usan los servicios o aplicaciones del ciberespacio o son el objetivo de la misma o donde el ciberespacio es fuente o herramienta de comisión de un crimen.
i) Ciberespacio: Entorno complejo resultante de la interacción de personas, software y servicios en Internet a través de dispositivos tecnológicos conectados a dicha red, el cual no existe en ninguna forma física.
j) Ciberseguridad: Condición de estar protegido en contra de consecuencias físicas, sociales, financieras, emocionales, ocupacionales, psicológicas, educacionales o de otro tipo que resultan del fallo, daño, error, accidentes, perjuicios o cualquier otro evento en el Ciberespacio que se pueda considerar no deseable.
k) Confidencialidad: La información debe mantenerse en reserva, pudiendo ser accesible únicamente a aquellos usuarios que se encuentren debidamente autorizados, capacitados y supervisados.
l) Disponibilidad: La información debe ser accesible a los usuarios autorizados cuando sea requerida.
m) Evento de pérdida por Riesgo Operacional: El evento que conduce a una o varias pérdidas, cuyo origen corresponde al riesgo operacional. En el presente Reglamento se utilizarán indistintamente los términos “evento de pérdida por riesgo...
Para continuar leyendo
Solicita tu prueba