Art. 9
Protección y prevención
En vigor desde 14 dic 2022
Artículo 9
Protección y prevención
1. Con el fin de proteger adecuadamente los sistemas de TIC y con vistas a organizar medidas de respuesta, las entidades financieras realizarán un seguimiento y un control permanentes de la seguridad y el funcionamiento de los sistemas y herramientas de TIC y minimizarán las repercusiones en dichos sistemas del riesgo relacionado con las TIC mediante el despliegue de herramientas, políticas y procedimientos adecuados en materia de seguridad de las TIC.
2. Las entidades financieras diseñarán, adquirirán y aplicarán políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC que tengan por objeto asegurar la resiliencia, la continuidad y la disponibilidad de los sistemas de TIC, en particular aquellos que sustentan funciones esenciales o importantes, así como mantener elevados niveles de disponibilidad, autenticidad, integridad y confidencialidad de los datos, con independencia de que estén en reposo, en uso o en tránsito.
3. A fin de alcanzar los objetivos mencionados en el apartado 2, las entidades financieras utilizarán soluciones y procesos de TIC que sean adecuados de conformidad con el artículo 4. Dichas soluciones y procesos de TIC deberán:
a)
garantizar la seguridad de los medios de transmisión de datos;
b)
minimizar el riesgo de corrupción o pérdida de datos, acceso no autorizado y defectos técnicos que puedan obstaculizar la actividad empresarial;
c)
evitar la falta de disponibilidad, el menoscabo de la autenticidad e integridad, la vulneración de la confidencialidad y la pérdida de datos;
d)
garantizar que los datos estén protegidos de riesgos derivados de su gestión, incluidos los debidos a una mala administración, los relacionados con el tratamiento y los errores humanos.
4. Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las entidades financieras deberán:
a)
elaborar y documentar una política de seguridad de la información que defina normas para proteger la confidencialidad, disponibilidad, integridad o autenticidad de los datos, activos de información y activos de TIC, incluidos los de sus clientes, en su caso;
b)
siguiendo un enfoque basado en el riesgo, establecer una estructura de gestión sólida de redes e infraestructuras utilizando técnicas, métodos y protocolos adecuados que puedan incluir la aplicación de mecanismos automatizados para aislar los activos de información afectados en caso de ciberataques;
c)
aplicar políticas que limiten el acceso físico o lógico a los activos de información y activos de TIC a lo que sea necesario únicamente para funciones y actividades legítimas y aprobadas, y establecer a tal fin un conjunto de políticas, procedimientos y controles que se centren en los derechos de acceso y garanticen una buena administración de estos;
d)
aplicar políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante las que se cifran los datos en función de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC;
e)
aplicar políticas, procedimientos y controles documentados para la gestión de los cambios en las TIC, incluidos los cambios en el software, el hardware, los componentes de firmware, los sistemas o los parámetros de seguridad, que se basen en un enfoque de evaluación de riesgos y formen parte integrante del proceso general de gestión de cambios de la entidad financiera, a fin de garantizar que todos los cambios en los sistemas de TIC se registren, sometan a prueba, evalúen, aprueben, apliquen y verifiquen de forma controlada;
f)
contar con políticas documentadas adecuadas y globales para los parches y actualizaciones.
A efectos del párrafo primero, letra b), las entidades financieras diseñarán la infraestructura de conexión a la red de manera que permita su ruptura o segmentación instantánea con el fin de minimizar y prevenir el contagio, especialmente en los procesos financieros interconectados.
A efectos del párrafo primero, letra e), el proceso de gestión de cambios en las TIC será aprobado por los niveles directivos adecuados y dispondrá de protocolos específicos.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg:2022:2554:oj#art-9