Super de Pensiones licita estudio sobre ciberseguridad en las AFP para futura norma
Se definirá un modelo de gestión de la seguridad de la información y los estándares de evaluación para el regulador.
- T+
- T-
Tras el incidente de ciberseguridad que afectó el año pasado a Banco de Chile, las luces de alerta sobre el resguardo de la información se encendieron en Chile. Así, algunas entidades tanto públicas como privadas han comenzado a trabajar en esto.
La Superintendencia de Pensiones (SP) está desarrollando un plan de trabajo en este aspecto y en ese contexto, abrió una licitación pública para elaborar un Estudio de Seguridad de la Información aplicable a AFP y la Administradora del Fondo de Cesantía (AFC) con el objeto de que sea incluido en una normativa sobre la materia que emitirá el regulador.
La autoridad destinó $ 51,5 millones para la empresa que gane la licitación, la que deberá entregar tres informes al regulador.
El primero es un modelo de Gestión de la Seguridad y Ciberseguridad para las AFP y AFC; el segundo, la definición de los estándares de evaluación del Modelo de Gestión de Seguridad y Ciberseguridad y el tercer informe, corresponderá al resultado de la primera evaluación de Seguridad y Ciberseguridad.
Detalles de la consultoría
El modelo de Gestión de la Seguridad y Ciberseguridad exigido por la SP deberá “estar sustentado en los mejores marcos de control y buenas prácticas nacionales y/o internacionales aplicables a la Gestión de Riesgo de la Seguridad y la Ciberseguridad, los cuales deberán estar identificados por el adjudicatario y su inclusión debidamente justificada”, señala la licitación.
Para esto el regulador estableció algunos puntos mínimos que debe tener el estudio tales como: gobernanza, estándares y controles de la Seguridad y Ciberseguridad. También se definirán la base de dispositivos y herramientas de Ciberseguridad y el rol de la gestión de Riesgo y Auditoría en la Gestión del Riesgo de Seguridad y Ciberseguridad.
En el segundo informe deberá incluir la identificación de las actividades de control que debería considerar la SP para efectuar una evaluación de la Seguridad y Ciberseguridad en las AFP y la AFC. En particular, la empresa consultora que gane la licitación deberá definir y detallar las pruebas de auditoría que se requieran aplicar o los procedimientos de evaluación atingentes, la identificación de herramientas que se podrían aplicar para evaluación de la Ciberseguridad, papeles de trabajo para realizar la evaluación y la definición de una matriz de evaluación que sea a su vez, un elemento de realización del trabajo de evaluación y la base para la emisión de reportes finales de evaluación.
Este producto debe abordar: estándares de evaluación, detección de brechas, y la determinación de los riesgos a los que se expone una entidad evaluada, entre varios aspectos.
En el último estudio, el regulador “espera que el consultor sea un guía y supervisor del equipo de trabajo de la Superintendencia en la primera aplicación del modelo de Estándares de Evaluación definido, que realice la transferencia metodológica, apoye en la interpretación de los resultados, en la utilización de los papeles de trabajo o herramientas definidas para realizar la evaluación y en el informe final con los resultados de la aplicación del modelo”.
En la etapa final, el consultor realizará una presentación al superintendente para mostrar los resultados finales de la consultoría, considerando los tres informes y las observaciones que se consideren relevantes, una vez que haya finalizado su trabajo.
La propuesta técnica, la económica y los antecedentes administrativos se pueden presentar hasta el 7 de mayo.