Reglamento de la Ley de Gobierno Digital y otras normas jurídicas de actualidad.

En el Perú, por Decreto Supremo 029-2021-PCM, publicado el 19 de Febrero de 2021, se ha aprobado el Reglamento de la Ley de Gobierno Digital. Asimismo, por Resolución SBS 0504-2021, publicada el 23 de Febrero de 2021, se ha aprobado el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad. Por otra parte, el Decreto Supremo 004-2021-PRODUCE, publicada el 23 de Febrero de 2021, se ha aprobado el Reglamento de la Ley de la Sociedad de Beneficio e Interés Colectivo (Sociedades BIC). Por la importancia y actualidad de estas normas, publicamos esta breve reseña en el presente Blog Juridico Digital.

Reglamento de  la Ley de Gobierno Digital.

El  Reglamento de la Ley de Gobierno Digital tiene por objeto: a Regular las actividades de gobernanza y gestión de las tecnologías digitales en las entidades de la Administración Pública eban materia de Gobierno Digital, que comprende la identidad digital, interoperabilidad, servicios digitales, datos, seguridad digital y arquitectura digital, así como establecer el marco jurídico aplicable al uuso transversal de tecnologías digitales en la digitalización de procesos y prestación de servicios digitales en los tres niveles de gobierno, conforme lo señalado en el Decreto Legislativo Nº 1412, Decreto Legislativo que apruebala Ley de Gobierno Digital, con observancia de los deberes y derecs eshos fundamentales previstos en la Constitución Política del Perú y en los tratados internacionales de derechos humanos y otros tratados internacionales ratificados por el Perú,;. y

b Establecer las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo, y los criterios, condiciones, mecanismos y plazos de implementación de la casilla única electrónica,conforme lo establecido en los numerales 20.4 del artículo 20 y 30.4 del artículo 30 del Texto Único Ordenado dela Ley Nº 27444, Ley del Procedimiento Administrativo General, aprobado mediante Decreto Supremo Nº 004-2019-JUS (en adelante el TUO de la Ley Nº 27444).l

 La materia de Gobierno Digital comprende los ámbitos de tecnologías digitales, identidad digital,interoperabilidad, servicios digitales, datos, seguridad digital y arquitectura digital, los cuales se relacionan entre sí con la finalidad de mejorar la prestación de servicios centrados en los ciudadanos, la gestión interna de las entidades de la Administración Pública y la relación entre éstas en la prestación interadministrativa de servicios públicos de manera segura para fortalecer la confianza y satisfacer las necesidades de los ciudadanos y personas en general en el entorno digital, orientado a la transformación digital del Estado.

La gobernanza digital es el conjunto de roles,estructuras, procesos, herramientas y normas para articular, dirigir, evaluar y supervisar el uso y adopción de las tecnologías digitales y datos en el Estado Peruano y el proceso de transformación digital en el país, de conformidad con el artículo 3 de la Ley. El gobierno digitales el uso estratégico de las tecnologías digitales y datos en la Administración Pública para la creación de valor.

Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad.

El Reglamento, incluye entre otras, las siguientes definiciones: 

a) Activo de información: Información o soporte en que ella reside, que es gestionado de acuerdo con las necesidades de negocios y los requerimientos legales, de manera que puede ser entendida, compartida y usada. Es de valor para la empresa y tiene un ciclo de vida.

b) Amenaza: Evento que puede afectar adversamente la operación de las empresas y sus activos de información, mediante el aprovechamiento de una vulnerabilidad.

c) Autenticación: Para fines de esta norma, es el proceso que permite verificar que una entidad es quien dice ser, para lo cual hace uso de las credenciales que se le asignan. La autenticación puede usar uno, dos o más factores de autenticación independientes, de modo que el uso sin autorización de uno de ellos no compromete la fiabilidad o el acceso a los otros factores.

d) Canal digital: Medio empleado por las empresas para proveer servicios cuyo almacenamiento, procesamiento y transmisión se realiza mediante la representación de datos en bits.

e) Ciberseguridad: Protección de los activos de información mediante la prevención, detección, respuesta y recuperación ante incidentes que afecten su disponibilidad, confidencialidad o integridad en el ciberespacio; el que consiste a su vez en un sistema complejo que no tiene existencia física, en el que interactúan personas, dispositivos y sistemas informáticos.

Son objetivos del Sistema de Gestión de Seguridad de la Información y  Ciberseguridad (SGSI-C) los siguientes:

1. Identificar los activos de información, analizar las amenazas y vulnerabilidades asociadas a estos, y formular programas y medidas que busquen reducir la posibilidad de incidentes en los siguientes aspectos:

a) El diseño e implementación de nuevos productos y procesos, proyectos y cambios operativos.

b) Las obligaciones de seguridad de la información que se derivan de disposiciones normativas, normas internas y de acuerdos contractuales.

c) Las relaciones con terceros, en el sentido más amplio, incluyendo proveedores de servicios y empresas con las que se tiene relaciones de subcontratación.

d) Cualquier otra actividad que, a criterio de la empresa, exponga sus activos de información por causa interna o externa.

2. Revisar periódicamente el alcance y la efectividad de los controles mínimos indicados en el artículo 12 de este Reglamento y contar con capacidades de detección, respuesta y recuperación ante incidentes de seguridad de la información.

3. Establecer la relación existente con los planes de emergencia, crisis y de continuidad establecidos según lo previsto en la normativa correspondiente.

El alcance del SGSI-C debe incluir las funciones y unidades organizacionales, las ubicaciones físicas existentes, la infraestructura tecnológica y de comunicaciones, así como el perímetro de control asociado a las relaciones con terceros, que estén bajo responsabilidad de la empresa, conforme a las disposiciones establecidas sobre subcontratación en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos.

Las empresas deben adoptar las siguientes medidas mínimas de seguridad de información:

I. Seguridad de los recursos humanos:

a) Implementar protocolos de seguridad de la información aplicables en el reclutamiento e incorporación del personal, ante cambio de puesto y terminación del vínculo laboral.

b) Procesos disciplinarios en caso de incumplimiento de las políticas de seguridad de la información.

II. Controles de acceso físico y lógico:

a) Prevenir el acceso no autorizado a la información, así como a los sistemas, equipos e instalaciones mediante los cuales es procesada, transmitida o almacenada, sea de manera presencial o remota.

b) Implementar procedimientos de administración de accesos, lo que debe incluir a las cuentas de accesos con privilegios administrativos; asegurando una segregación de funciones para reducir el riesgo de error o fraude, siguiendo los principios de mínimo privilegio y necesidad de conocer.

c) Implementar procesos de autenticación para controlar el acceso a los activos de información; en particular, para el acceso a los servicios provistos a usuarios por canales digitales, los procesos de autenticación deben cumplir los requisitos establecidos en el Subcapítulo III del Capítulo II del presente Reglamento.

III. Seguridad en las operaciones:

a) Asegurar y prever el funcionamiento continuo de las instalaciones de procesamiento, almacenamiento y transmisión de información.

b) Mantener la operación de los sistemas informáticos acorde a procedimientos previamente establecidos.

c) Controlar los cambios en el ambiente operativo de sistemas, y mantener segregados los ambientes de desarrollo, pruebas y producción.

d) Implementar controles que aseguren la integridad de las transacciones que son ejecutadas en los servicios y sistemas informáticos.

e) Restringir la instalación de software en los sistemas operativos y prevenir la explotación de las vulnerabilidades de seguridad de la información.

f) Contar con protocolos de respuesta y recuperación ante incidentes de malware; generar y probar copias de respaldo de información, software y elementos que faciliten su restablecimiento.

g) Definir, implementar y mantener líneas base de configuración segura para el uso de dispositivos e implementación de sistemas informáticos.

h) Contar con una estrategia de copias de respaldo y procedimientos de restauración de información ante posibles incidentes, de origen interno o externo, que comprometa la disponibilidad de la información para las operaciones y del ambiente productivo del centro de procesamiento de datos.

IV. Seguridad en las comunicaciones:

a) Implementar y mantener la seguridad de redes de comunicaciones acorde a la información que por ella se trasmite y las amenazas a las que se encuentra expuesta.

b) Asegurar que las redes de comunicaciones y servicios de red son gestionados y controlados para proteger la información.

c) Segregar los servicios de información disponibles, usuarios y sistemas en las redes de la empresa.

d) Implementar protocolos seguros y controles de seguridad para la transferencia de información, dentro de la organización y con partes externas.

e) Asegurar que el acceso remoto, el uso de equipos personales en la red de la empresa, dispositivos móviles y la interconexión entre redes propias y de terceros cuente con controles acorde a las amenazas de seguridad existentes.

V. Adquisición, desarrollo y mantenimiento de sistemas:

a) Implementar y mantener la seguridad en los servicios y sistemas informáticos acorde a la información que se procese y amenazas a las que se encuentren expuestos.

b) Asegurar que se incluyan prácticas de seguridad de la información en la planificación, desarrollo, implementación, operación, soporte y desactivación en las aplicaciones y sistemas informáticos.

c) Limitar el acceso a la modificación de librerías de programas fuente y mantener un estricto control de cambios.

d) Cuando la plataforma operativa sea cambiada, las aplicaciones críticas deben ser revisadas y probadas para evitar efectos adversos en la seguridad de estas.

e) Asegurar que se efectúen pruebas técnicas, funcionales y de seguridad de la información en los sistemas informáticos antes del pase a producción.

f) Implementar y verificar el cumplimiento de procedimientos que incluyan prácticas de desarrollo seguro de servicios y sistemas informáticos.

VI. Gestión de incidentes de ciberseguridad:

a) Implementar procedimientos para la gestión de incidentes de ciberseguridad, de acuerdo a lo señalado en el párrafo 8.2 del artículo 8 del presente Reglamento; así también, intercambiar información cuando corresponda, conforme al artículo 16 del presente Reglamento.

b) Implementar una metodología para clasificar los incidentes de ciberseguridad y prever protocolos de respuesta y recuperación.

c) Contar con un servicio de operaciones de seguridad de la información, que incluya capacidades para la detección y respuesta, el monitoreo de comunicaciones en la red interna y el grado de funcionamiento de la infraestructura tecnológica.

d) Contar con acceso a la información de inteligencia de amenazas, vulnerabilidades e incidentes, así como también a bases de conocimiento de técnicas y tácticas utilizadas por los agentes de amenazas.

e) Implementar mecanismos de reporte interno de incidentes de ciberseguridad, de acuerdo con lo señalado en el artículo 8 del presente Reglamento, y a la Superintendencia conforme al artículo 15 del presente Reglamento.

f) Identificar las posibles mejoras para su incorporación a la gestión de incidentes de ciberseguridad, luego de la ocurrencia de estos.

g) Preservar las evidencias que faciliten las investigaciones forenses luego de la ocurrencia de incidentes de seguridad de la información.

VII. Seguridad física y ambiental

a) Implementar controles para evitar el acceso físico no autorizado, daños o interferencias a la información o instalaciones de procesamiento de la empresa.

b) Adoptar medidas para evitar pérdida, daño, robo o compromiso de los activos de información y la interrupción de las operaciones, mediante la protección del equipamiento y dispositivos tomando en cuenta el entorno donde son utilizados.

VIII. Criptografía

a) Utilizar criptografía para asegurar la confidencialidad, autenticidad e integridad de la información, tanto cuando los datos asociados están en almacenamiento y en transmisión.

b) Implementar los procedimientos necesarios para administrar el ciclo de vida de las llaves criptográficas a utilizar.

IX. Gestión de activos de información

a) Identificar los activos de información mediante un inventario, asignar su custodia, establecer lineamientos de uso aceptable de ellos y la devolución al término del acuerdo por el que se proporcionó.

b) Asegurar que el nivel de protección y tratamiento de la información se realice acorde a su clasificación en términos de los requisitos legales, valor, criticidad y sensibilidad a la divulgación o modificación no autorizada.

c) Establecer medidas para evitar la divulgación, modificación, eliminación o destrucción no autorizadas de información, en el uso de dispositivos removibles.

Reglamento de la Ley de la Sociedad de Beneficio e Interés Colectivo (Sociedades BIC)

Este reglamento tiene por objeto establecer las disposiciones reglamentarias de la Ley Nº 31072, Ley de la Sociedad de Beneficio e Interés Colectivo (Sociedades BIC).

 La Sociedad BIC es una persona jurídica, de derecho privado, constituida bajo alguno de los tipos societarios previstos en la Ley General de Sociedades, la cual adquiere la categoría de Sociedad BIC, a partir de su inscripción en el Registro de Personas Jurídicas de la Sunarp, obligándose voluntariamente a generar un impacto positivo y/o reducir un impacto negativo, integrando a su actividad económica la consecución del propósito de beneficio social y ambiental elegido por ésta.

Las Sociedades BIC, sin perjuicio de lo establecido en el artículo 11 de la Ley General de Sociedades, deben incluir en su Estatuto, de forma clara y detallada, el propósito de beneficio que pretende desarrollar, siempre en el marco del cumplimiento de una gestión ambientalmente sostenible, debiendo dirigir su actuación a desarrollar un fin superior al cumplimiento del marco jurídico vigente y de la responsabilidad social empresarial, buscando generar un impacto económico, social y ambiental.

Las Sociedades BIC pueden priorizar actividades de beneficio e interés colectivo que coadyuven al logro de los Objetivos de Desarrollo Sostenible (ODS) de la Agenda 2030 para el Desarrollo Sostenible aprobada por la ONU, o documento que la amplíe, complemente o sustituya. Entre las cuales, entre otras, se encuentran:

a) Reducir la pobreza y pobreza extrema.

b) Reducir la anemia infantil.

c) Mejorar los servicios de salud.

d) Aumentar la cobertura sostenible de servicios de agua y saneamiento.

e) Mejorar la educación.

f) Mejorar la seguridad ciudadana.

g) Promover la transformación digital y uso de tecnologías digitales en la sociedad.

Las Sociedades BIC para fines de cumplimiento de su propósito de beneficio, vinculado con la transformación digital, uso de datos y tecnologías digitales, pueden articular acciones con la Secretaría de Gobierno Digital de la PCM, en su calidad de autoridad técnico-normativa en materia de transformación digital a nivel nacional, conforme el artículo 7 del Decreto de Urgencia Nº 006-2020, Decreto de Urgencia que crea el Sistema Nacional de Transformación Digital.

Comentarios

Los reglamentos reseñados tienen especial relevancia para el desarrollo del Gobierno Digital, Ciberseguridad y Sociedad BIC que promuevan la transformación digital y el uso de las tecnologías digitales en la sociedad. Cordialmente, Dr. Julio Núñez Ponce. Doctor en Derecho. Experto en Derecho y Tecnología. Profesor Universitario. Contactos Académicos: julionunezponce@gmail.com . Contactos profesionales y de consultoría: nunezdigitallaw@gmail.com