AFP trabajan en políticas de ciberseguridad tras solicitud del regulador

Tras el incidente de ciberseguridad que afectó el año pasado a Banco de Chile, la Superintendencia de Pensiones (SP) está desarrollando un plan de trabajo en este aspecto con las AFP.

El procedimiento está siendo fiscalizado una vez al año para analizar la situación en que se encuentra cada administradora.

Al respecto, el superintendente de pensiones, Osvaldo Macías, explica que a comienzos del año pasado y fines del antepasado, efectuaron una auditoría completa de ciberseguridad a todas las AFP.“Las administradoras están en una etapa intermedia, ni tan débiles ni tan fuertes”, sostiene.

Macías detalla que realizaron un taller cerrado en la Superintendencia sólo para las administradoras, “donde les mostramos los resultados de las auditorías, destacando las fortalezas y debilidades de cada AFP. Luego les dijimos a las administradoras que nos presentarán un plan de trabajo para fortalecer sus sistemas”, aclara.

La SP ha venido realizando un proceso de control desde 2017 y en agosto del año pasado, fiscalizó 32 agencias de las administradoras.

En esa oportunidad, se analizaron los controles de seguridad con foco en la autentificación del afiliado. También se fiscalizaron los protocolos de seguridad en entrega de clave de acceso y seguridad.

Además, se analizaron los controles de seguridad especialmente en la autentificación de la realización de traspasos en agencia y vendedores.

Según lo señalado por la SP, también efectuaron un seguimiento permanente de riesgos de seguridad en el proceso comercial y una fiscalización de la seguridad de los sitios web.

En cuanto a la seguridad de la información, el regulador considera el compromiso del directorio con la seguridad de la información, el rol de la administración y la participación de las áreas de gestión de riesgo y de auditoría.

Mientras que en materia de ciberseguridad, la SP identifica las instancias de gobierno corporativo implementadas para el control de la ciberseguridad y la evaluación de una estructura base de ciberseguridad.

Políticas de las AFP

DF le consultó a las seis administradoras que actualmente operan en el sistema de pensiones, por sus políticas en materia de ciberseguridad, sin embargo, todas declinaron en responder, excepto AFP Capital.

Desde la administradora ligada a Sura, señalan que desde hace varios años cuentan con una política de seguridad de la información.

“Se ha trabajado y revisado constantemente buscando mejoras para nuestros afiliados basados en la norma internacional ISO 27.001, desde el tratamiento de sus transacciones, hasta la confidencialidad que requieren nuestras operaciones y los datos de nuestros clientes”, precisan.

Por otra parte, desde el año pasado, sumaron el tema de ciberseguridad. Esta, tiene por objetivo establecer los lineamientos en materia de seguridad de la información (SI) y Ciberseguridad (CS), “para preservar la privacidad, confidencialidad, integridad y disponibilidad de la información en AFP Capital”, indican.

Bajo estos antecedentes, la administradora ha implementado cambios tecnológicos y culturales, tales como, contar con un gobierno específico de SI y CS que sea periódico y transversal a las otras áreas de la compañía; gestión de activos de información con mirada de ciberseguridad; fortalecer la robustez de los accesos a aplicativos y a la información sensible de sus clientes.

Desde el resto de la industria reconocen el trabajo realizado en base a las solicitudes del regulador, las cuales se habrían intensificado el año pasado, a partir del ciberataque sufrido por Banco de Chile el año pasado.