Buenas Prácticas en la Gestión de Información y Ciberseguridad en AFP

By /

La Superintendencia de Pensiones (SP) de Chile ha impulsado un marco de buenas prácticas para las Administradoras de Fondos de Pensiones (AFP) y la Administradora de Fondos de Cesantía (AFC), con el objetivo de fortalecer la seguridad de la información y la ciberseguridad. Este nuevo marco, que entró en vigencia el 1 de julio de 2021, busca garantizar la protección de los datos personales, sensibles y críticos de los afiliados, así como optimizar la gestión de riesgos y la eficiencia operacional dentro del sistema previsional.

Esquema de las buenas prácticas en la gestión de seguridad de la información en AFP

Gobierno de la Seguridad de la Información y Ciberseguridad

Es fundamental que las Administradoras establezcan un gobierno robusto de la seguridad de la información y ciberseguridad para satisfacer las necesidades de las partes interesadas y contribuir al logro de los objetivos del Sistema de Pensiones. Esto implica tomar decisiones que influyan directamente en la gestión de la seguridad de la información y ciberseguridad.

Identificación de Partes Interesadas y Requisitos

  • La Administradora debe identificar las partes interesadas que son afectadas por la gestión de la seguridad de la información y ciberseguridad.
  • El Directorio debe definir una política de seguridad de la información y ciberseguridad que oriente el cumplimiento de los requisitos de las partes interesadas.
  • La Administradora debe establecer: cómo, cuándo, dónde, a quién y a través de qué medios se entrega la información de las necesidades o requisitos de seguridad de la información y ciberseguridad a las partes interesadas.
  • Asimismo, la Administradora debe elaborar la información establecida en la matriz de comunicaciones y asegurar que estas sean efectuadas en la forma, oportunidad y medios establecidos.

Gestión de Riesgos y Eventos

La gestión de riesgos es un pilar central para mitigar las amenazas a la seguridad de la información.

  • Los dueños de los procesos deben identificar, revisar y actualizar los riesgos de seguridad de la información y ciberseguridad de los procesos de la Administradora por lo menos una vez al año o cuando se requiera efectuar un cambio significativo.
  • Se debe estimar el nivel de riesgo residual combinando la probabilidad y el nivel del impacto.
  • Para ello, se debe incluir la "Justificación de obligatoriedad de cada control", es decir, el fundamento por el cual la Administradora se compromete o no a implementar un control de seguridad de la información y ciberseguridad.

Gestión de Incidentes de Seguridad

Una respuesta eficaz ante los incidentes de seguridad es crucial para minimizar el impacto y asegurar la continuidad operativa.

  • Los eventos se deben analizar para comprender los objetivos y los métodos de ataque empleados.
  • Los incidentes deben calificarse para determinar su impacto mediante umbrales de significancia, considerando el alcance del daño y el tiempo de duración del incidente, entre otros criterios adecuados.
  • La Administradora debe efectuar acciones que permitan contener de manera efectiva el incidente e inmediatamente acciones que permitan erradicar el incidente y recuperar oportunamente la operación, entendiéndose que la contención es evitar que el incidente siga produciendo daños.
  • Para ejecutar las acciones de contención, erradicación y/o recuperación es recomendable que se conformen comités o mesas de trabajo que ayuden a la toma de decisiones.
  • Se espera que la Administradora emplee una técnica o método para identificar la causa raíz del incidente.
  • Se considera una buena práctica que la Administradora realice análisis forense cuando las consecuencias del incidente así lo ameriten, de acuerdo con la metodología adoptada para este tipo de análisis.
  • Se espera que la Administradora evalúe si, una vez finalizado el incidente, se genera una Acción Correctiva u Oportunidad de Mejora.

Auditoría y Mejora Continua

La auditoría es un elemento clave para asegurar el cumplimiento y la mejora constante del sistema.

  • La Administradora debe definir el perfil del profesional que auditará la seguridad de la información y ciberseguridad. Asimismo, debe verificar que quien audite cumpla con dicho perfil, tanto para auditorías internas como externas.
  • Una vez planificadas las actividades para atender las acciones correctivas y oportunidades de mejora solicitadas post auditoría, la Administración del área auditada debe elaborar un plan de acción que consolide las acciones correctivas y oportunidades de mejora.
  • Se considera una buena práctica que en la ejecución de los procesos del Sistema de Gestión de Seguridad y Ciberseguridad se generen registros de información que permitan mejorar las actividades del sistema de gestión.
  • Para la administración del Sistema de Gestión de Seguridad y Ciberseguridad se considera buena práctica que la Administradora desarrolle un programa de verificación de procesos a cargo de roles responsables, los cuales controlen que las actividades que son parte de los procesos se cumplan, genere registros de las actividades de verificación y acuerde acciones correctivas necesarias para el mantenimiento del Sistema de Gestión.

SEGURIDAD CIBERNÉTICA EN EL SECTOR FINANCIERO ► aprende en 2 minutos💸parte 6

Arquitectura y Controles de Seguridad

Arquitectura de Seguridad

  • La Administradora debe desarrollar la arquitectura objetivo de seguridad de la información y ciberseguridad para permitir que los componentes lógicos, físicos y aplicaciones, correspondan con los requisitos legales, normativos y contractuales.
  • La Administradora debe analizar los componentes basándose en las brechas identificadas entre la línea base de la arquitectura de seguridad de la información y ciberseguridad y la arquitectura objetivo.

Recursos Humanos y Responsabilidades

  • La seguridad de la información y ciberseguridad deben estar incluidas en los procesos de recursos humanos desde la contratación hasta el término del vínculo contractual.

Seguridad Física

  • La Administradora debe diseñar, determinar y utilizar los perímetros de seguridad y aplicar mecanismos de control físico de ingreso para proteger las áreas que contienen o procesan información de carácter personal, sensible y crítica.
  • La Administradora debe diseñar y aplicar procedimientos de control para el trabajo en zonas seguras, de acceso, distribución, carga y descarga.
  • Los equipos deben ser ubicados y protegidos de tal forma que se reduzcan los riesgos resultantes de amenazas a la seguridad de la información y ciberseguridad, peligros del medio ambiente y oportunidades de acceso no autorizado físico o digital.
  • El equipo, la información o el software no puede ser retirado de su lugar sin previa autorización, verificación de inventario y registro respectivo de salida; en caso de retiro aprobado se deben aplicar medidas para los activos utilizados fuera de las instalaciones, tomando en cuenta los diferentes riesgos de seguridad de la información y ciberseguridad al trabajar fuera de las instalaciones de la Administradora.

Uso de Activos y Control de Acceso

  • Se espera que la Administradora documente e implemente las reglas para el uso aceptable de los activos y las instalaciones de procesamiento de la información.
  • La Administradora debe establecer, documentar y revisar la política de control del acceso en base a los requisitos del Sistema de Gestión de Seguridad de la Información y Ciberseguridad.
  • La Administradora debe controlar la asignación de la información de credenciales de usuarios mediante un proceso de gestión formal.
  • La Administradora debe implementar un mecanismo que contemple el ciclo de vida de las credenciales, la autorización, emisión, verificación, revocación de los derechos de acceso y credenciales o privilegios a todos los tipos de usuarios en todos los servicios.
  • La Administradora debe restringir y controlar la asignación, así como el uso de los derechos de acceso privilegiado.

Gestión Técnica de la Seguridad

  • Se debería elaborar, conservar y revisar regularmente los registros acerca de actividades del usuario, operador y administrador, considerando los accesos, excepciones, fallas y eventos de seguridad de la información y ciberseguridad.
  • La Administradora debe disponer y mantener una capacidad adecuada de recursos de cómputo y de procesamiento para la disponibilidad de los servicios de tecnología de la información y comunicaciones.
  • Las vulnerabilidades de seguridad de la información y ciberseguridad deben ser gestionadas por la Administradora mediante un plan, que comprenda el análisis y comprobación de las vulnerabilidades, las pruebas de intrusión de ser el caso y la investigación y evaluación de remediaciones.
  • Asimismo, la gestión debe incluir la revisión periódica de parches de seguridad en los servicios de Tecnologías de Información y Comunicaciones.
  • La Administradora debe determinar los tipos de dispositivos permitidos (incluye los medios extraíbles) que sirvan de soporte a los procesos.
  • La Administradora debe implementar mecanismos de control para la detección, prevención, eliminación y cuarentena de "malware" o código malicioso.
  • La Administradora debe definir una política de respaldo de información y pruebas de restauración.
  • Se debe administrar, controlar y proteger la integridad de las redes, sistemas y las aplicaciones que soportan los procesos de la Administradora.
  • La Administradora debe implementar políticas, procedimientos y controles formales para la transferencia de información a través del uso de todo tipo de equipos de comunicación; para lo cual se deben emplear mecanismos de transferencia segura de la información del Sistema de Pensiones entre la Administradora y terceros.

Relaciones con Proveedores y Recuperación de Desastres

  • La Administradora debe identificar, establecer, evaluar, gestionar y acordar los mecanismos de gestión del riesgo de la cadena de suministro de seguridad de la información y ciberseguridad.
  • La Administradora debe establecer, documentar, implementar y mantener procedimientos y controles para asegurar el nivel necesario de recuperación de los servicios críticos de tecnología de la información y comunicaciones considerando los requisitos de resiliencia tecnológica, seguridad de la información y ciberseguridad.
  • La Administradora debe garantizar la propiedad intelectual, la privacidad y la protección de la información de carácter personal, sensible y crítica.
  • La Administradora debe establecer un programa de revisión de cumplimiento de controles y ejecutar la revisión de la política y procedimientos de seguridad de la información y ciberseguridad.

Un Nuevo Código de Ética y Compendio de Buenas Prácticas en la Industria AFP de Chile

Los presidentes de todas las Administradoras de Fondos de Pensiones (AFP) en Chile han revisado y trabajado en un nuevo Código de Ética y Compendio de Buenas Prácticas de la Industria, con el objetivo de regir, facilitar y promover las relaciones entre las administradoras y de estas con sus afiliados. Este manual, elaborado durante ocho meses, aborda temas críticos dada la crisis actual que vive la industria.

Información al Afiliado

La Superintendencia de Pensiones (SP) ha enfatizado la importancia de que las AFP provean información veraz, suficiente y oportuna a sus afiliados. El artículo 10° del manual estipula que toda información entregada al público deberá ser susceptible de comprobación sobre bases técnicas objetivas, para no inducir a error o confusión sobre su real contenido, forma o cualquier otro atributo relevante que dificulte su adecuada comprensión.

Prácticas Comerciales y Publicidad

El superintendente de Pensiones, Osvaldo Macías, ha señalado que muchos cotizantes se cambian de AFP influenciados por agentes de ventas, no siempre por razones justificadas. El artículo 12° del código establece que las gestoras deberán velar porque sus trabajadores, especialmente vendedores y captadores, cumplan con requisitos de buena reputación, calificación profesional, lealtad y corrección en su actuar, absteniéndose de atentar contra el prestigio de la competencia. Además, el código determina que las administradoras deberán capacitar a sus trabajadores, subrayando la gravedad de ofrecer o prometer pagos o beneficios económicos para obtener traspasos de clientes. También se prohíbe la oferta de otros productos o servicios de consumo o ahorro distintos de los permitidos a la AFP, y se exige un servicio diligente, especialmente en el trato a los afiliados y en las materias de promoción de productos y publicitarias.

Solución de Controversias y Reclamos

El cuarto capítulo del Código busca abordar los conflictos más recurrentes. Las AFP en disputa deberán intentar resolver de manera directa y discreta los conflictos entre ellas. Si en 30 días no se resuelve, la desavenencia se solucionará con la designación de uno o dos "árbitros", cuya resolución es vinculante para las partes. El árbitro deberá ser un profesional de reconocido prestigio o un ex director/gerente general de una administradora que haya cesado hace más de dos años en el cargo. Si no hay acuerdo en su nombramiento, el directorio del gremio lo determinará.

Defensor del Afiliado

El manual explicita que "toda AFP deberá responder consultas y reclamos de sus afiliados en forma oportuna y veraz y velar porque ellos sean debidamente satisfechos de acuerdo a un comportamiento diligente y con sujeción a la normativa aplicable". Adicionalmente, se creará la figura del defensor del afiliado, quien deberá representar y defender el interés del reclamante hasta la completa y debida respuesta a su reclamo. El defensor será remunerado y deberá presentar un reporte anual de su cometido.

Institucionalización de la Transparencia y Seguridad

En tres capítulos, el gremio busca potenciar la transparencia de forma activa. La nueva norma, que comenzó a regir el 1 de julio de 2021, busca principalmente resguardar aquellos datos de carácter personal y considerados como sensibles por la legislación chilena. Para esto, establece que tanto las AFP como la AFC deberán implementar un Sistema de Gestión de Seguridad y Ciberseguridad que deberá involucrar a toda la organización. Este marco también contribuye a la gestión de riesgos de las AFP y la AFC, considerando la Seguridad de la Información como un proceso transversal cuyas actividades deben ser gestionadas, controladas y optimizadas de forma continua en todos sus niveles.

AFP PlanVital: Un Caso de Éxito en la Gestión Judicial Automatizada

AFP PlanVital, una de las principales administradoras de fondos de pensiones en Chile, enfrentaba el complejo desafío de gestionar una creciente carga de procedimientos judiciales derivados del incumplimiento de obligaciones previsionales por parte de los empleadores. Este escenario exigía una alta capacidad operativa y un nivel de precisión y control difíciles de alcanzar con las herramientas tradicionales, generando sobrecarga administrativa, dificultades en la trazabilidad y dependencia de tareas manuales con riesgo de errores y de incumplimientos normativos.

Gráfico comparativo de eficiencia antes y después de la automatización en AFP PlanVital

Solución Implementada y su Impacto

Para enfrentar este escenario, AFP PlanVital implementó una solución tecnológica basada en la integración de CaseTracking y su herramienta Te2eus. Esta colaboración con el Poder Judicial y otros actores clave permitió diseñar un flujo automatizado de presentación de demandas, adaptado a los requerimientos legales y operativos de la compañía. Esto posibilitó realizar interposiciones masivas de manera eficiente, con control total sobre los estados procesales, las notificaciones y las consignaciones.

Además, la plataforma fue configurada para generar automáticamente los reportes exigidos por la normativa vigente, como la NCG 247 y el artículo 19 del D.L. N° 3.500, asegurando cumplimiento oportuno y trazabilidad completa. Así, la compañía logró cumplir con los aspectos normativos requeridos, evitando posibles sanciones y multas por falta de trazabilidad.

Beneficios Clave:

  • Eficiencia operacional exponencial: Un solo abogado pudo presentar y gestionar más de 10.000 demandas.
  • Reducción drástica en los tiempos de gestión: El tiempo para interponer una cartera completa pasó de tres meses a solo diez días.
  • Cumplimiento normativo automatizado: Reportes regulatorios como la NCG 247 y el artículo 19 inciso 14 del D.L. 3.500 son generados en menos de una hora.
  • Impulso procesal que superó las buenas prácticas: El 50% de la cartera avanzó en el primer mes, y cerca del 100% en tres meses, superando ampliamente los estándares definidos por la Superintendencia de Pensiones, que establecía una buena práctica del 30% en el primer mes y evitar el archivo en los seis meses posteriores.
  • Trazabilidad completa: La presentación de demandas mediante Te2eus permite visibilidad end-to-end sobre la cartera de cobranza. Adicionalmente, el seguimiento mediante CaseTracking entrega información fidedigna y oportuna.
  • Notificaciones oportunas: Gracias a la automatización, se obtiene acceso inmediato a información sobre el rol y tribunal de las causas, permitiendo informar a las partes (afiliados y empleadores) en menos de 15 días, agilizando la gestión y cumpliendo con la normativa.

tags: #buenas #practicas #en #la #afp

Publicaciones populares:

  • Muertes y violaciones en Sename
  • Transición a nóminas electrónicas
  • Tratamiento con Ansiolíticos y Antidepresivos para la Tercera Edad
  • Conoce el proceso para obtener tu Credencial USACH
  • Asignación de Cargos SENADIS