La Superintendencia de Pensiones (SP) publicó para consulta un proyecto de norma de carácter general (NT N° 388) mediante la cual se proponen disposiciones de carácter obligatorio para que las administradoras de fondos de pensiones (AFP) implementen un Sistema de Gestión de Seguridad y Ciberseguridad. Este tiene como objetivo que cada entidad cuente con un […]
La Superintendencia de Pensiones (SP) publicó para consulta un proyecto de norma de carácter general (NT N° 388) mediante la cual se proponen disposiciones de carácter obligatorio para que las administradoras de fondos de pensiones (AFP) implementen un Sistema de Gestión de Seguridad y Ciberseguridad.
Este tiene como objetivo que cada entidad cuente con un esquema de trabajo que permita optimizar los procesos y asegurar la confidencialidad, integridad y disponibilidad de la información que mantienen. Además, publicó un proyecto de norma equivalente para la Administradora de Fondos de Cesantía (AFC, en la NT N° 387).
Con estas iniciativas, la autoridad busca que sus regulados garanticen la correcta protección de los datos sensibles y de carácter personal de los afiliados y usuarios del sistema de pensiones y del seguro de cesantía, generando un control preventivo de los riesgos de seguridad de la información y ciberseguridad.
Las NT N° 387 y NT N° 388 fueron publicadas en el sitio web de la Superintendencia, www.spensiones.cl, y tienen como plazo máximo para recibir comentarios el 28 de septiembre próximo.
En ellas se establecen que el Sistema de Gestión de Seguridad y Ciberseguridad de cada AFP y AFC deberá involucrar a toda la organización y contribuir a la gestión de riesgos de la entidad, considerando el ámbito de seguridad de la información como un proceso transversal.
De esta manera, dicho sistema deberá cautelar que las actividades en esta materia deberán ser gestionadas, controladas y optimizadas de forma continua en todos los niveles de la entidad, con una participación activa del directorio. Asimismo, el Sistema de Gestión deberá ser complementado y mejorado con controles específicos que mitiguen los riesgos de ciberseguridad.
La nueva norma propuesta establece estándares mínimos, basados en buenas prácticas, y controles que las AFP y la AFC deben contemplar en su Sistema de Gestión de Seguridad y Ciberseguridad, los cuales complementan la regulación sobre gestión de riesgo vigente que aplica la SP a sus regulados.
En uno de los casos se descubrió que hubo aplicaciones maliciosas de Android que se filtraron en Google Play para plantar malware en dispositivos Android. En el otro, una campaña fraudulenta ofrecía zapatillas gratis, pero en realidad entregaron una botnet a los teléfonos víctima.