Pensiones

Regulador le sube la vara a las AFP y pone en consulta norma sobre ciberseguridad para las gestoras

Las administradoras deberán identificar, revisar y actualizar los riesgos de seguridad de la información y ciberseguridad de sus procesos, por lo menos una vez al año.

Por: Constanza Ramos Taky | Publicado: Martes 15 de septiembre de 2020 a las 12:44 hrs.
  • T+
  • T-
Los equipos disponibles para afiliados, deberán ser protegidos contra fallas de energía. Foto: Agencia Uno
Los equipos disponibles para afiliados, deberán ser protegidos contra fallas de energía. Foto: Agencia Uno

Compartir

Los ciberataques son riesgos que ya son conocidos en las empresas. Sin embargo, a pesar de que se han tomado medidas para prevenirlos, no siempre se logra detenerlos. Prueba de ello, es el ataque informático que sufrió BancoEstado hace dos semanas.

Pero antes de este hecho, a mediados de agosto, la Superintendencia de Pensiones (SP) decidió tomar resguardos y puso en consulta una norma sobre los sistemas de gestión de seguridad y ciberseguridad de las AFP. Las administradoras tienen hasta el 28 de septiembre para enviar comentarios.

El proyecto de normativa establece disposiciones de carácter obligatorio para las AFP, para el control preventivo de los riesgos de seguridad de la información y ciberseguridad. El objetivo es que las administradoras cuenten con un Sistema de Gestión de Seguridad y Ciberseguridad (SGSC), que "permita optimizar los procesos y asegurar la confidencialidad, integridad y disponibilidad de la información, protegiendo los datos de carácter personal y sensibles de los afiliados y usuarios del sistema de pensiones, y así lograr un control preventivo de los riesgos en estas materias", detalla el regulador.

El SGSC que debe establecer cada AFP involucra a toda la organización y contribuye a la gestión de riesgos de la administradora, "considerando la seguridad de la información como un proceso transversal cuyas actividades deben ser gestionadas, controladas y optimizadas, de forma continua en todos los niveles de la entidad", señala el documento.

Dentro de las medidas, se establece que el directorio de cada AFP deberá definir e implementar un plan de tratamiento de riesgos de seguridad de la información y ciberseguridad (SIC), así como el presupuesto requerido para la implementación de nuevos controles.

Además, el directorio deberá determinar una estructura organizacional basada en roles para gestionar la seguridad de la información y ciberseguridad, debiendo definir las funciones y responsabilidades de cada rol.

El equipo de la administradora deberá emitir un informe mensual de cumplimiento de requisitos de sistema de seguridad y ciberseguridad al directorio.

La AFP también deberá identificar, revisar y actualizar los riesgos de seguridad de la información y ciberseguridad de sus procesos, por lo menos una vez al año o cuando se requiera efectuar un cambio significativo.

Cuando se identifique un riesgo, se debe contemplar también la identificación de las amenazas y las vulnerabilidades asociadas a esta. "La identificación del riesgo debe considerar el activo de información o los activos de información que podrían ser afectados por cada amenaza identificada, asimismo, el atributo o los atributos de seguridad de la información y ciberseguridad afectados como la confidencialidad, integridad o disponibilidad de la información, entre otros atributos que la administradora estime necesarios considerar", precisa la SP.

Respecto al nivel de impacto, se debe clasificar si es económico, operativo, reputacional, legal, entre otros.

Las AFP deberán identificar los activos y las instalaciones asociadas a la información y al procesamiento de ésta dentro y fuera de la administradora. Para esto deberán diseñar y mantener un inventario. También se deberá definir una política de respaldo de información y pruebas de restauración, entre otras cosas.

Por otra parte, la gestora debe ser capaz de efectuar acciones que permitan contener de manera efectiva el incidente e, inmediatamente, acciones que permitan erradicarlo y recuperar oportunamente la operación.

Las gestoras también deberán elaborar una Declaración Obligatoria de Controles (DOC), para el SGSC. Es decir, el conjunto de controles que la AFP se compromete y obliga formalmente a implementar.

Los controles mínimos que debe tener la DOC están relacionados con la seguridad de la arquitectura, del personal, la seguridad de las áreas y equipos. También la seguridad de activos y de los accesos y la seguridad de los proveedores, entre otros.

En cuanto a los equipos que están disponibles para los clientes de las AFP, estos deben ser protegidos contra las fallas de energía y otras alteraciones causadas por las interrupciones en los servicios públicos.

Lo más leído