La Superintendencia de Pensiones (SP) emitió una nueva norma de carácter general que establece una serie de disposiciones basadas en marcos de buenas prácticas en materia de gestión de seguridad y ciberseguridad.

Lo anterior, con el objetivo de que tanto las administradoras de fondos de pensiones (AFP) como la Administradora de Fondos de Cesantía (AFC) cuenten con esquemas de trabajo que les permitan optimizar los procesos y, a la vez, “proteger la confidencialidad, integridad y disponibilidad de la información de sus usuarios”, indicó el regulador.

La nueva norma busca principalmente resguardar aquellos datos de carácter personal y considerados como sensibles por parte de la legislación chilena; y comenzará a regir el 1 de julio de 2021.

Para esto, establece que tanto las AFP como la AFC deberán implementar un Sistema de Gestión de Seguridad y Ciberseguridad que deberá involucrar a toda la organización.

“Por esta razón, la norma también establece obligaciones para el directorio de cada entidad, el que debe aprobar y revisar anualmente la política de seguridad de la información y ciberseguridad”, explicó la Superintendencia.

Reporte trimestral y estándares mínimos

Asimismo, el nuevo marco también contribuye a la gestión de riesgos de las AFP y la AFC, considerando la Seguridad de la Información como un proceso transversal y cuyas actividades deben ser gestionadas, controladas y optimizadas de forma continua en todos sus niveles.

Para dar cumplimiento a la normativa, las administradoras deberán remitir trimestralmente un estado de avance respecto de la implementación de lo requerido por la Superintendencia.

Dado que la regulación de la Superintendencia de Pensiones establece estándares mínimos de buenas prácticas, “es necesario que todos sus regulados complementen y mejoren el Sistema de Gestión con controles específicos que mitiguen los riesgos en materia de Ciberseguridad”.

“Con este fin se deberá establecer una estructura de procesos, considerando los objetivos, roles, infraestructura y tecnología de los niveles estratégico, táctico y operacional de la administradora”, agregó la SP.

Cabe señalar que si bien esta norma de carácter general regirá a contar del 1 de julio próximo, las instrucciones referidas a la gestión de incidentes de seguridad de la información y ciberseguridad, gestión del conocimiento y administración del Sistema de Gestión de Seguridad y Ciberseguridad, comenzarán a regir el 3 de enero de 2022.