NORMA DE CARACTER

GENERAL N° 72
Santiago, 16 de Diciembre de 2020

MATERIA

MODIFICA EL LIBRO V SOBRE ASPECTOS ADMINISTRATIVOS Y

OPERACIONALES DE LA ADMINISTRADORA DE FONDOS DE CESANTÍA,
DEL COMPENDIO DE NORMAS DEL SEGURO DE CESANTÍA.

IDENTIFICACIÓN INTERNA: NC-DDN-20-5

OSVALDO MACÍAS MUÑOZ

SUPERINTENDENTE DE PENSIONES

Verifique documento en https://www.spensiones.cl/apps/certificados/vOficio.php

Superintendencia de Pensiones
NC-DDN-20-5
 NORMA DE CARACTER GENERAL N°

REF.: MODIFICA EL LIBRO V SOBRE ASPECTOS

ADMINISTRATIVOS Y OPERACIONALES DE
LA ADMINISTRADORA DE FONDOS DE
CESANTÍA, DEL COMPENDIO DE NORMAS
DEL SEGURO DE CESANTÍA.
_________________________________

Santiago,

En uso de las facultades legales que confiere la ley a esta Superintendencia, en

particular lo dispuesto en el número 3 del artículo 94 del D.L. N° 3.500, de 1980, en el artículo
47 número 6 de la Ley N° 20.255 y en el artículo 35 de la Ley N° 19.728, se introducen las
modificaciones contenidas en la presente Norma de Carácter General al Libro V del Compendio
de Normas del Seguro de Cesantía.

I. Agrégase en el Libro V. Aspectos Administrativos y Operacionales de la Administradora

de Fondos De Cesantía, el siguiente Título VII. Sistema de Gestión de Seguridad y
Ciberseguridad de la Sociedad Administradora de Fondos de Cesantía, nuevo:

“TÍTULO VII

Sistema de Gestión de Seguridad y Ciberseguridad de la Administradora de Fondos de

Cesantía

Capítulo I. Aspectos Generales

En el presente Título, se establecen disposiciones basadas en marcos de buenas prácticas,

que la Administradora de Fondos de Cesantía, en adelante “la Administradora”, debe
considerar para contar con un Sistema de Gestión de Seguridad y Ciberseguridad,
gestionado y resiliente que permita optimizar los procesos y asegurar la confidencialidad,
integridad y disponibilidad de la información, protegiendo los datos de carácter personal y
sensibles de los afiliados y usuarios del Seguro de Cesantía, con el objeto de lograr un
control preventivo de los riesgos en estas materias.

Esta norma considera buenas prácticas sobre la seguridad y ciberseguridad de la

información, asimismo establece controles específicos que la Administradora deberá
implementar para reforzar las estructuras de control de seguridad y ciberseguridad.
 2

Lo anterior, complementa el alcance de la evaluación del mitigador transversal referido a

la seguridad de la información, de la Resolución N° 153, que contiene el Modelo de
Supervisión Basada en Riesgo de la Superintendencia de Pensiones, de fecha 23 de
octubre de 2019, o la que la reemplace. Asimismo, los estándares de buenas prácticas y
los controles incluidos en el Sistema de Gestión de Seguridad y Ciberseguridad definidos
en esta norma complementan las normas de Gestión de Riesgo vigentes y serán
considerados como estándares de evaluación de la Administradora.

La gestión de la seguridad y ciberseguridad es una tarea que comprende a toda la

organización y, por lo tanto, para establecer un Sistema de Gestión de la Seguridad y
Ciberseguridad, que mitigue los riesgos de disponibilidad, confidencialidad e integridad,
se debe establecer una estructura de procesos, considerando los objetivos, roles,
infraestructura y tecnología de los niveles estratégico, táctico y operacional, de la
Administradora.

En tal sentido, será considerado como elemento necesario para un adecuado sistema de
gestión, que la alta dirección de la Administradora cumpla un rol esencial dentro del
gobierno de la seguridad de la información y ciberseguridad, promoviendo la mejora
continua y el liderazgo requerido para que los controles de seguridad y ciberseguridad se
establezcan en la organización.

El Sistema de Gestión de Seguridad y Ciberseguridad considera la seguridad de la

información como un proceso transversal cuyas actividades deben ser gestionadas,
controladas y optimizadas de forma continua en todos los niveles de la entidad. Asimismo,
el sistema de gestión, se perfecciona con la incorporación de controles específicos
tendientes a mitigar los riesgos de ciberseguridad.

En Anexo de este Título se incluyen definiciones de los conceptos utilizados en la presente

normativa.

Elementos Generales de Gestión

1. El alcance de la gestión de riesgo de seguridad de la información para la

Administradora se define en la Resolución N° 153, del 23 de octubre de 2019, o en la
que la modifique o reemplace, en donde se considera el riesgo Inherente
Operacional y Tecnológico como: la contingencia de que los afiliados, beneficiarios o
usuarios no puedan acceder en tiempo y forma a los servicios, beneficios o a una
adecuada rentabilidad y seguridad de los fondos, o que enfrenten problemas
derivados de la pérdida de información personal, debido a fallas o insuficiencias de
procesos, personas, sistemas o por eventos externos. Se refiere tanto a las
operaciones realizadas con medios de la entidad fiscalizada como a las contratadas
con proveedores externos a ella. Incluye la pérdida de información sensible y otras
contingencias generadas por fallas en las tecnologías de información y
comunicaciones.

Superintendencia de Pensiones
 3

2. La gobernanza de la seguridad de la información y ciberseguridad es responsabilidad

del Directorio. La Administración de la entidad, es responsable de alinear las
operaciones diarias con los mandatos estratégicos, aprobados por el Directorio,
siendo aplicable a todas las áreas de la entidad.

3. La Administración debe establecer una estructura organizacional adecuada para

mitigar el riesgo de seguridad de la información y ciberseguridad. Para ello, deberá
establecer formalmente actividades de control, líneas de reporte adecuadas y la
participación de las áreas de Gestión de Riesgo y Auditoría como mitigadores
transversales de este riesgo.

4. Los lineamientos, alcance y límites de la gestión de riesgos de seguridad de la

información y ciberseguridad, deben estar contenidos en una política de la
Administradora aprobada por el Directorio. Al respecto, el alcance del proceso de la
administración de riesgo de seguridad de la información y ciberseguridad debe ser
definido considerando todos los activos de información.

5. La política de seguridad de la información y ciberseguridad debe ser revisada

anualmente y actualizada siempre que ocurran cambios en los procesos de la
Administradora que afecten la seguridad. Debe ser aprobada por el Directorio y en
la Administradora de tal forma de garantizar su idoneidad, adecuación y efectividad
continua.
-
6. Respecto de los riesgos de seguridad de la información y ciberseguridad, la
Administradora debe mantener un ambiente de control y una estructura
organizacional que, cumpliendo con las definiciones estratégicas relacionadas con la
seguridad, sean apropiados a sus operaciones y sus riesgos.

7. Este enfoque de gestión de la seguridad de la información y ciberseguridad además

de ser adecuado al ambiente de la organización debe estar alineado con la
administración de riesgos. De esta forma, los esfuerzos de seguridad deben estar
direccionados a los riesgos, de una manera efectiva y oportuna, donde y cuando se
necesiten.

8. La administración del riesgo de seguridad de la información y ciberseguridad debe

ser una parte integral de las actividades de administración de seguridad y debería
ser aplicada tanto en la implementación como en la operación del Sistema de
Gestión de Seguridad y Ciberseguridad.

9. La administración de riesgo de seguridad de la información y ciberseguridad debe

ser un proceso continuo. El proceso debe evaluar en forma permanente el contexto
externo e interno de la Administradora de tal forma de poder prospectar los riesgos
y abordarlos con un enfoque preventivo. Asimismo, la Administradora deberá contar
con instancias para evaluar y tratar los riesgos en forma oportuna, usando un plan

Superintendencia de Pensiones
 4

de tratamiento de riesgos para implementar recomendaciones y decisiones que se

adopten.

10. El análisis del contexto externo e interno de la administración de riesgo de

seguridad de la información y ciberseguridad involucra establecer los criterios
necesarios para la administración de riesgos de seguridad de la información, definir
alcance y límites y establecer la organización apropiada para la operación de la
administración de riesgos de seguridad de la información y ciberseguridad.

11. El proceso de administración de riesgo de seguridad de la información y

ciberseguridad debe ser aplicado a la organización de manera integral a todas las
áreas que forman parte de la estructura organizacional de la entidad, incluyendo los
servicios externalizados. Debe también considerarse el riesgo de seguridad de la
información cuando se está diseñando o rediseñando un proceso y cuando se
desarrollan sistemas de información.

12. El proceso de administración de riesgo de seguridad de la información y

ciberseguridad debe ser un proceso iterativo de evaluación de riesgos e
implementación de acciones de tratamiento de riesgos.

13. Los resultados de la evaluación de los riesgos de seguridad de la información y

ciberseguridad y las decisiones que se adopten respecto de su tratamiento, deben
ser oportunamente comunicados al Directorio, al personal involucrado y a las partes
interesadas. Estas materias deberán ser tratadas en la sesión de Directorio más
próxima. El detalle de los resultados del proceso de administración de riesgo de
seguridad de la información debe ser documentado. Esta base de conocimiento
debe ser utilizada para determinar acciones preventivas.

14. El Directorio debe requerir periódicamente información sobre los resultados e

indicadores del Sistema de Gestión de Seguridad y Ciberseguridad.

Capítulo II. Modelo de Gestión de Seguridad de la Información y Ciberseguridad

El Sistema de Gestión de Seguridad y Ciberseguridad definido en la presente norma

integra, en un modelo de gestión, los criterios que se han establecido en el Capítulo I y
está conformado por el grupo de procesos que permiten gestionar la seguridad de la
información y ciberseguridad en la Administradora.

La gestión de seguridad es responsabilidad de toda la organización, desde el Directorio, la

Administración, los niveles Tácticos y Operacionales.

Superintendencia de Pensiones
 5

Sistema de Gestión de Seguridad y Ciberseguridad

A continuación, se definen los componentes del Sistema de Gestión de Seguridad y

Ciberseguridad, incluyendo para los Procesos Estratégicos, Procesos Tácticos, Procesos
Operacionales, los objetivos de control y las buenas prácticas aplicables, como asimismo
los requisitos mínimos de cumplimiento tendientes a establecer un Sistema de Gestión de
Seguridad y Ciberseguridad en la Administradora, que promueva estructuras de control y
gestión periódica con participación de las tres líneas de defensa, promoviendo también la
retroalimentación oportuna y la mejora continua.

Además, se define un grupo de controles técnicos y sus objetivos, los que refuerzan el
Sistema de Gestión de Seguridad y Ciberseguridad.

A. Procesos Estratégicos

1. Cumplimiento de requisitos de las partes interesadas

A través de este proceso la Administradora debe analizar el contexto e

identificar las partes interesadas, es decir, aquellas partes que son afectadas
por la gestión de la seguridad de la información y ciberseguridad.

El Directorio de la Administradora, los afiliados y la Superintendencia de

Pensiones son integrantes de las partes interesadas.

Una vez identificadas las partes interesadas se deben inventariar las

necesidades de seguridad de la información y ciberseguridad de cada una de
ellas, considerando como mínimo estos tres tipos de requisitos: legales y
normativos, contractuales y de negocio.

Posteriormente, las necesidades deben ser analizadas y utilizadas como base

para definir los objetivos de seguridad de la información y ciberseguridad.

Finalmente, se debe revisar de forma periódica que las necesidades de las

partes interesadas sean adecuadas y pertinentes para su debido
cumplimiento.

Estándares y buenas prácticas:

a) Analizar el contexto externo e interno.

Se considera buena práctica que el Directorio sea informado del

contexto externo e interno, desde una perspectiva de seguridad de la
información y ciberseguridad.

Superintendencia de Pensiones
 6

El contexto externo debe considerar, aspectos políticos, económicos,

sociales, tecnológicos, legales, ambientales y sanitarios, entre otros.

El contexto interno debe considerar, aspectos administrativos, de

comercialización, de recursos humanos, operacionales, financieros, de
investigación e innovación, culturales y tecnológicos, entre otros.

b) Identificar las partes interesadas.

La Administradora debe identificar las partes interesadas que son

afectadas por la gestión de la seguridad de la información y
ciberseguridad. La identificación de las partes interesadas debe ser el
resultado del análisis de contexto y posteriormente, debe ser informado
al Directorio para que los objetivos de seguridad de la información y
ciberseguridad, formen parte del plan estratégico organizacional.

c) Inventariar las necesidades de las partes interesadas en seguridad de la

información y ciberseguridad (SIC).

La Administración debe explicitar y registrar las necesidades de las

partes interesadas, considerando al menos aspectos legales y
normativos, contractuales y de negocio.

d) Revisar el cumplimiento de las necesidades de las partes interesadas.

La Administración debe verificar que las necesidades de las partes

interesadas sean gestionadas de acuerdo con los objetivos del Sistema
de Gestión de la Seguridad de la Información y Ciberseguridad.

2. Gobernanza de la seguridad de la información y ciberseguridad

El gobierno de la seguridad de la información y ciberseguridad de la

Administradora debe asegurar que las necesidades de las partes interesadas
se satisfagan, contribuyendo al mismo tiempo al logro de los objetivos del
Seguro de Cesantía. Asimismo, toma decisiones que influyan en la gestión de
la seguridad de la información y ciberseguridad. Para ello, establece una
política y objetivos de seguridad de la información, proporciona los recursos
financieros, establece una estructura organizacional y aprueba los planes de
tratamiento de riesgos, así como los criterios y niveles de aceptación de
riesgos.

Estándares:

a) Definir el alcance en seguridad de la información y ciberseguridad.

Superintendencia de Pensiones
 7

El Directorio debe definir los límites y aplicabilidad del Sistema de

Gestión de Seguridad y Ciberseguridad en la Administradora.

b) Definir una política y objetivos de seguridad de la información y

ciberseguridad.

El Directorio debe definir una política de seguridad de la información y

ciberseguridad que oriente el cumplimiento de los requisitos de las
partes interesadas. Asimismo, se deben definir objetivos que permitan
medir el cumplimiento de la política y alineada con la estrategia de la
Administradora.

Esta política debe ser concisa, precisa y explícita en cuanto a su

enunciado, de tal forma que sea viable su difusión al personal de la
Administradora y personas externas que presten servicios directamente
a la Administradora, a través de medios de comunicación adecuados.

c) Definir estructura organizacional para el Sistema de Gestión de

Seguridad y Ciberseguridad.

El Directorio debe establecer una estructura organizacional basada en

roles para gestionar la seguridad de la información y ciberseguridad,
debiendo definir además las funciones y responsabilidades de cada rol.

La estructura debe comprender los siguientes roles: Directorio, comité

de riesgos, comité de seguridad de la información y ciberseguridad,
comité de gestión de incidentes de seguridad de la información y
ciberseguridad (SIC), oficial o responsable o coordinador de seguridad
de la información y/o ciberseguridad, dueños de procesos , propietarios
de riesgos de seguridad de la información y ciberseguridad (SIC),
custodios de activos de información, entre otros, que se consideren
pertinentes para una adecuada gestión de la seguridad de la información
y ciberseguridad.

Esta estructura organizacional debe contar con segregación funcional

que permita definir roles administradores, ejecutores y de control.

d) Implementar un plan de tratamiento de riesgos y presupuestos para

seguridad de la información y ciberseguridad.

La Administradora debe definir e implementar un plan de tratamiento

de riesgos de seguridad de la información y ciberseguridad, así como el
presupuesto requerido para la implementación de nuevos controles o

Superintendencia de Pensiones
 8

mejora de controles existentes, los que deben ser aprobados por el

Directorio.
e) Aprobar los niveles y criterios de aceptación de riesgos de seguridad de
la información y ciberseguridad.

El Directorio debe aprobar los niveles y criterios de aceptación de

riesgos de seguridad de la información y ciberseguridad para la
Administradora.

B. Procesos Tácticos

1. Gestión de riesgos de seguridad de la información y ciberseguridad

Este proceso permite a la Administradora identificar, analizar, evaluar y

establecer un plan de tratamiento de los riesgos de seguridad de la
información y ciberseguridad.

El análisis de riesgos comprende la revisión de los registros de los incidentes

del período de análisis.

La evaluación de los riesgos debe efectuarse conforme a los criterios y niveles

de aceptación aprobados por el Directorio.

Estándares:

a) Identificar riesgos de seguridad de la información y ciberseguridad

(SIC).

Los dueños de los procesos deben identificar, revisar y actualizar los

riesgos de seguridad de la información y ciberseguridad de los procesos
de la Administradora, por lo menos una vez al año (ciclo) o cuando se
requiera efectuar un cambio significativo. Se debe asignar un
identificador único a cada riesgo e incorporarlo al inventario de riesgos
de seguridad de la información y ciberseguridad.

La identificación del riesgo debe contemplar también la identificación de

las amenazas y las vulnerabilidades asociadas a cada amenaza.

La identificación del riesgo debe considerar el activo de información o

los activos de información que podrían ser afectados por cada amenaza
identificada, asimismo, el atributo o los atributos de seguridad de la
información y ciberseguridad afectados como la confidencialidad,
integridad o disponibilidad de la información, entre otros atributos que
la Administradora estime necesarios.

Superintendencia de Pensiones
 9

Los riesgos identificados deben comprometer uno o algunos objetivos

de seguridad de la información y ciberseguridad establecidos por el
Directorio.
b) Analizar riesgos de seguridad de la información y ciberseguridad.

Los propietarios de riesgos deben analizar los riesgos de seguridad de la

información y ciberseguridad a fin de estimar la probabilidad de que el
riesgo ocurra.

Se debe determinar el nivel de vulnerabilidad a partir de la debilidad o

ausencia de controles de seguridad de la información y ciberseguridad
del tipo preventivos, detectivos y/o correctivos, así como a partir de la
información de los registros de incidentes de seguridad y ciberseguridad.

c) Evaluar riesgos de seguridad de la información y ciberseguridad.

Se deben evaluar los riegos describiendo las consecuencias y estimando

el nivel de impacto en caso de que se materialice el riesgo.

El nivel de impacto se debe estimar considerando uno o varios tipos de

impacto, pudiendo ser: económico, operativo, legal y normativo, entre
otros que la Administradora considere pertinentes a sus procesos.

Se debe estimar el nivel de riesgo residual combinando la probabilidad y

el nivel del impacto. Asimismo, debe estimar el nivel de riesgo
inherente, de la misma forma que el riesgo residual, pero considerando
que no existe ningún tipo de control de seguridad de la información y
ciberseguridad.

d) Elaborar o actualizar el plan de tratamiento de riesgos (PTR) de

seguridad de la información y ciberseguridad.

Se debe elaborar o actualizar el plan de tratamiento para los riesgos no

tolerables de seguridad de la información y ciberseguridad.

e) Elaborar declaración obligatoria de controles (DOC).

La Administradora debe elaborar una Declaración Obligatoria de

Controles (DOC), para el Sistema de Gestión de Seguridad y
Ciberseguridad, entendiéndose como el conjunto de controles que la
Administradora se compromete y obliga formalmente a implementar.

Superintendencia de Pensiones
 10

La Declaración Obligatoria de Controles (DOC), debe considerar como

mínimo los controles relacionados con:

i. Seguridad de la arquitectura.
ii. Seguridad del personal.
iii. Seguridad de las áreas y equipos.
iv. Seguridad de activos.
v. Seguridad de los accesos.
vi. Seguridad de los servicios tecnológicos.
vii. Seguridad del ciclo de desarrollo del software.
viii. Seguridad de los proveedores.
ix. Seguridad de la recuperación de las Tecnologías de la Información y
Comunicaciones (TIC).
x. Seguridad del cumplimiento.

Para ello, se debe incluir la “Justificación de obligatoriedad de cada

control”, es decir, el fundamento por el cual la Administradora se
compromete o no a implementar un control de seguridad de la
información y ciberseguridad. La justificación puede ser por razones
normativas, por aspectos contractuales, por respuesta a riesgos, u otra
justificación de carácter operativa.

Asimismo, se deben considerar en la Declaración Obligatoria de

Controles (DOC), los documentos o herramientas que soportan la
operación de cada control de seguridad de la información y
ciberseguridad e incluir el estado de implementación de cada uno de
ellos.

La Declaración Obligatoria de Controles (DOC), se debe revisar

periódicamente y actualizar cuando se requiera efectuar un cambio
significativo.

2. Gestión de incidentes de seguridad de la información y ciberseguridad

Este proceso debe permitir a la Administradora efectuar una adecuada gestión

de los incidentes (debilidades, eventos o incidentes) de seguridad de la
información y ciberseguridad a fin de que tome las acciones debidas a través
del establecimiento de un mecanismo formal que dé respuesta efectiva y
oportuna a los incidentes.

La gestión de los incidentes de seguridad de la información y ciberseguridad

debe considerar la identificación de los activos de seguridad de la información
y ciberseguridad, así como los controles comprometidos en el acontecimiento

Superintendencia de Pensiones
 11

de un incidente a fin de que se fortalezcan los controles en beneficio de la

protección de los activos de información.

Estándares y buenas prácticas:

a) Establecer mecanismos de comunicación de incidentes de seguridad de

la información y ciberseguridad.
La Administradora debe establecer y difundir los mecanismos de
comunicación definidos para que los colaboradores internos y externos,
proveedores, clientes, entre otras partes interesadas, puedan reportar
incidentes de seguridad de la información y ciberseguridad
oportunamente.

b) Clasificar el incidente.

La Administradora debe clasificar el incidente para determinar si lo que

han reportado constituye una debilidad, evento o incidente de seguridad
de la información o ciberseguridad.

Las debilidades se pueden identificar dentro de la Administradora o

provenir de fuentes externas o servicios externalizados.

Los eventos se deben analizar para comprender los objetivos y los

métodos de ataque empleados. Asimismo, se deben recopilar los datos
de los eventos y correlacionarlos con múltiples fuentes.

Los incidentes deben calificarse para determinar su impacto mediante

umbrales de significancia. Para la calificación se debe considerar el
alcance del daño, así como el tiempo de duración del incidente, entre
otros criterios que se consideren adecuados. Cuando el incidente tiene
un impacto que deviene en crisis, la Administradora debe activar los
procedimientos establecidos en el proceso de continuidad de negocio.

c) Contener, erradicar y recuperar el incidente de seguridad de la

información y ciberseguridad.

La Administradora debe efectuar acciones que permitan contener de

manera efectiva el incidente e inmediatamente acciones que permitan
erradicar el incidente y recuperar oportunamente la operación,
entendiéndose que la contención es evitar que el incidente siga
produciendo daños. La erradicación, es eliminar la causa del incidente,
incluyendo todo rastro de daños y la recuperación, volver el entorno
afectado a su estado original.

Superintendencia de Pensiones
 12

Para ejecutar las acciones de contención, erradicación y/o recuperación

es recomendable que se conformen comités o mesas de trabajo que
ayuden a la toma de decisiones. Posteriormente, documentar o registrar
las acciones, con el objetivo de mantener un registro histórico y
lecciones de aprendizaje de las actividades.

d) Identificar la causa del incidente de seguridad de la información y

ciberseguridad.

Se espera que la Administradora emplee una técnica o método para

identificar la causa raíz del incidente. Durante la identificación de la
causa se deben considerar los activos de información, así como los
controles de seguridad de la información y ciberseguridad
comprometidos o afectados en la ocurrencia del incidente.

Si al identificar la causa raíz del incidente se determina que se requiere

mejorar o implementar un control de seguridad de la información y
ciberseguridad como respuesta a un riesgo, la Administradora debe
realizar las acciones de mejora necesarias para su mitigación.

e) Realizar análisis forense.

Se considera una buena práctica que la Administradora realice análisis

forense cuando las consecuencias del incidente así lo ameriten, de
acuerdo con la metodología que la AFC haya adoptado para este tipo de
análisis. La Administradora deberá denunciar o iniciar acciones legales,
cuando corresponda.

f) Determinar acciones correctivas u oportunidades de mejora, con

posterioridad al incidente de seguridad de la información y
ciberseguridad.

Se espera que la Administradora evalúe si, una vez finalizado el

incidente, se genera una Acción Correctiva u Oportunidad de Mejora.
Dentro de las consideraciones de evaluación que estime pertinentes,
también debe considerar la recurrencia del incidente.

g) Registrar el incidente de seguridad de la información y ciberseguridad.

La Administradora debe registrar el incidente (debilidad, evento o

incidente) con toda la información de la notificación y clasificación, así
como las actividades ejecutadas para su resolución.

Superintendencia de Pensiones
 13

3. Auditoría de seguridad de la información y ciberseguridad.

La auditoría debe evaluar el cumplimiento de lo establecido en el Sistema de

Gestión de Seguridad y Ciberseguridad por parte de la Administradora.

La auditoría debe proporcionar una opinión al Directorio respecto del diseño y

el cumplimiento de los controles implementados en el Sistema de Gestión de
Seguridad y Ciberseguridad.

La Administración debe comprometer acciones correctivas y/u oportunidades

de mejora para resolver los hallazgos identificados por Auditoría Interna.

Estándares:

a) Elaborar un plan de auditoría.

La Administradora debe elaborar anualmente un plan de auditoría para

la seguridad de la información y ciberseguridad.

El plan debe contener el alcance de la revisión y los tipos de auditoría

(internas, externas, seguimiento, control, etc.) que se haya decidido
efectuar sobre la seguridad de la información y ciberseguridad.

El plan debe abarcar todos los riesgos de seguridad de la información y

ciberseguridad y el cumplimiento de los controles asociados y debe ser
aplicado en un lapso o ciclo de auditoría razonable, pudiendo ser en más
de un año.

La Administradora debe considerar la evaluación del Sistema de Gestión

de Seguridad y Ciberseguridad, por auditores externos al menos una vez
al año.

La auditoría debe desarrollarse de acuerdo con normas internacionales

de Auditoría Interna y con técnicas ajustadas a los riesgos de seguridad y
ciberseguridad que se estén evaluando.

b) Mantener registro de auditores.

La Administradora debe definir el perfil del profesional que auditará la

seguridad de la información y ciberseguridad. Asimismo, debe verificar
que quien audite la seguridad de la información y ciberseguridad,
cumpla con dicho perfil, tanto para auditorías internas como externas.
Debe, además, llevar un registro de los profesionales que auditaron la
seguridad de la información y ciberseguridad.

Superintendencia de Pensiones
 14

c) Implementar acciones correctivas u oportunidades de mejora.

La Administración del área auditada debe comprometer una acción

correctiva u oportunidad de mejora para subsanar cada hallazgo o
implementar cada recomendación identificada en el informe de
auditoría.

d) Elaborar, validar y aprobar plan de acción post auditoría.

Una vez planificadas las actividades para atender las acciones correctivas
y oportunidades de mejora solicitadas post auditoría, la Administración
del área auditada debe elaborar un plan de acción que consolide las
acciones correctivas y oportunidades de mejora. El responsable a cargo
de la auditoría debe validar y aprobar el plan de acción post auditoría,
luego de lo cual, debe enviar el informe de auditoría y el plan de acción
post auditoría para que se comuniquen los resultados de la auditoría al
Directorio.

4. Gestión de las comunicaciones

La Administradora debe establecer: cómo, cuándo, dónde, a quién y a través

de qué medios se entrega la información de las necesidades o requisitos de
seguridad de la información y ciberseguridad a las partes interesadas. La
información proporcionada debe ser pertinente a las partes interesadas
conforme a sus requisitos de seguridad de la información y ciberseguridad.

Estándares:

a) Elaborar matriz de comunicaciones de las partes interesadas.

La Administradora debe definir una matriz que establezca la información

que debe comunicar a las partes interesadas, así como la forma, la
oportunidad y a través de qué medios.

La matriz debe considerar que la comunicación de incidentes de

seguridad y ciberseguridad a la Superintendencia debe efectuarse en
forma inmediata, cuando las consecuencias del incidente puedan
comprometer los objetivos de seguridad y ciberseguridad, la
información de los afiliados y usuarios y la reputación del Seguro de
Cesantía.

Asimismo, debe considerar que se debe comunicar, de manera mensual

al Directorio, sobre el cumplimiento de las necesidades relacionadas con

Superintendencia de Pensiones
 15

la seguridad y ciberseguridad de las partes interesadas, identificadas por

la Administradora.

b) Elaborar información para las partes interesadas.

La Administradora debe elaborar la información establecida en la matriz

de comunicaciones. Debe obtener la información de los procesos según
la matriz de comunicaciones, sin embargo, siempre debe obtener
información de los procesos que conforman del Sistema de Gestión de
Seguridad y Ciberseguridad.

c) Efectuar las comunicaciones a las partes interesadas.

La Administradora debe efectuar las comunicaciones en conformidad

con lo establecido en la matriz de comunicaciones para seguridad de la
información y ciberseguridad.

La Administradora debe asegurar que las comunicaciones sean

efectuadas en la forma, oportunidad y medios establecidos. Entre ellas,
la comunicación del informe mensual de cumplimiento de requisitos de
sistema de seguridad y ciberseguridad al Directorio.

5. Gestión del conocimiento

Se considera una buena práctica que en la ejecución de los procesos del

Sistema de Gestión de Seguridad y Ciberseguridad que se generen registros de
información que permitan mejorar las actividades del sistema de gestión. Por
esta razón, a través de este proceso se debe lograr organizar, estructurar,
recopilar, distribuir y brindar acceso a una base de conocimiento (BC) que
facilite y agregue valor a la ejecución de las actividades del sistema en el
continuo de su ejecución.

Para lo anterior se espera que la Administradora:

a) Defina un medio de almacenamiento de los registros de resultados del

proceso de Gestión de Seguridad y Ciberseguridad y una matriz con los
privilegios de acceso.
b) Defina una estructura de registro de resultados de los procesos, que le
permitan sistematizar la información y actualizar una base de
conocimientos (BC).

Superintendencia de Pensiones
 16

c) Implemente la estructura de registro de resultados de los procesos y

medios de almacenamiento seguros, para mantener una Base de
conocimientos confiable.
d) Incorpore los registros para actualizar la base de conocimiento, para que
sea usada por los roles definidos en el desempeño de sus funciones.

6. Administración del Sistema de Gestión de Seguridad y Ciberseguridad

Este proceso permite a la Administradora verificar que las actividades de los

procesos del Sistema de Gestión de Seguridad y Ciberseguridad se estén
llevando a cabo oportunamente, tal como la Administradora lo haya definido.

El Sistema de Gestión de Seguridad y Ciberseguridad adoptado por la

Administradora debe ser gestionado a fin de que sea compatible con su
estructura organizacional, marcos ya existentes o futuros marcos de seguridad
de la información y/o ciberseguridad a adoptar.

Este proceso se diferencia del proceso de auditoría en cuanto al tiempo de su

ejecución, dado que verifica las actividades durante su ejecución, mientras
que la auditoría es post ejecución del proceso a auditar.

Los procesos de seguridad de la información y ciberseguridad deberían formar

parte del mapa de procesos de la Administradora.

Buenas prácticas:

Para la administración del Sistema de Gestión de Seguridad y Ciberseguridad

se consideran buena práctica que la Administradora desarrolle un programa
de verificación de procesos a cargo de roles responsables, los cuales controlen
que las actividades que son parte de los procesos que conforman el Sistema
de Gestión Seguridad y Ciberseguridad se cumplan, genere registros de las
actividades de verificación y acuerde acciones correctivas necesarias para el
mantenimiento del Sistema de Gestión. Estos roles deben también reportar a
la Administración y al Directorio sobre el resultado de sus actividades de
evaluación.

C. Procesos Operacionales

1. Capacitación y toma de conciencia

La Administradora debe identificar las necesidades de capacitación de cada rol

y establecer un programa para desarrollar y mantener las competencias de
dichos roles, incluyendo propietarios de riesgo, de activos de información,
custodios de información, entre otros.

Superintendencia de Pensiones
 17

Cada rol que tiene una función dentro de la gestión de la seguridad de la

información y ciberseguridad, debe tener las competencias adecuadas a fin de
desempeñar su rol de manera eficiente.

Este proceso debe también contemplar que el personal de los proveedores de

servicios cuente con conocimientos básicos de seguridad de la información y
ciberseguridad.

La Administradora debe elaborar, ejecutar y registrar un programa de

capacitación y toma de conciencia para cada rol que cumpla una función
dentro de la gestión de seguridad y ciberseguridad en la Administradora.

2. Medición

La Administradora debería establecer indicadores adecuados para medir el

logro de los objetivos de seguridad de la información y ciberseguridad, un
programa para medirlos e informar el grado alcanzado de cada objetivo.

La definición de los indicadores debe contemplar la idoneidad de los datos a

emplear para efectuar las mediciones, datos que son el resultado de la
ejecución de los procesos del Sistema de Gestión de Seguridad y
Ciberseguridad y de controles registrados en la Declaración Obligatoria de
Controles (DOC).

Asimismo, se debe determinar el nivel o grado de cumplimiento de la política

de seguridad de la información y ciberseguridad a partir de la combinación de
los niveles logrados en los objetivos de seguridad de la información y
ciberseguridad.

Se espera que la Administradora:

a) Defina indicadores para medir los objetivos de seguridad de la

información y ciberseguridad.
b) Elabore un programa de medición de los indicadores de seguridad de la
información y ciberseguridad y efectúe las mediciones.
c) Elabore informe de resultados de mediciones de los indicadores y del
logro de objetivos de seguridad de la información y ciberseguridad.
d) Implemente acciones correctivas u oportunidades de mejora post
medición.

3. Implementación de respuestas de seguridad de la información y

ciberseguridad

La Administradora debe llevar a cabo el plan de tratamiento de riesgos.

Superintendencia de Pensiones
 18

Asimismo, gestionará los controles técnicos de seguridad de la información y

ciberseguridad, los que se definen en la letra D de este Capítulo, que se
ejecuten y que se encuentran registrados en la Declaración Obligatoria de
Controles (DOC).

Por otra parte, los controles a mejorar o implementar, comprometidos en los

planes de tratamiento de riesgos, deben también formar parte de la
Declaración Obligatoria de Controles (DOC).

A través de este proceso la Administradora llevará el control del estado de

implementación de los controles.

Estándares y buenas prácticas:

a) Elaborar planificación y presupuesto del plan de tratamiento de riesgos

(PTR).

La Administradora debe planificar y presupuestar el plan de tratamiento

de riesgos a fin de implementar las respuestas y conseguir el
presupuesto requerido.

La planificación para la implementación de las respuestas incluidas en el

plan de tratamiento de riesgos debe considerar al menos la siguiente
información: rol responsable de implementación, fechas de inicio y fin
de la implementación, recursos necesarios, supuestos y premisas, así
como factores críticos para alcanzar la implementación de cada
respuesta seleccionada.

El plan de tratamiento de riesgos y el presupuesto deben ser aprobados

por el Directorio.

b) Ejecutar planificación y presupuesto del plan de tratamiento de riesgos

(PTR).

Los roles responsables de la implementación de las actividades del plan

de tratamiento de riesgos, deben ejecutarlas de acuerdo con lo
planificado y comprometido en dicho plan.

Se considera una buena práctica que la Administradora, cuente con

registros auditables de la operación de los controles de seguridad de la
información y ciberseguridad implementados.

c) Elaborar informe mensual de seguimiento del plan de tratamiento de

riesgos (PTR).

Superintendencia de Pensiones
 19

Se espera que la Administradora comunique mensualmente, el avance

de la implementación del plan de tratamiento de riesgos.

d) Actualizar declaración obligatoria de controles (DOC).

La Administradora debe actualizar la Declaración Obligatoria de

Controles (DOC) respecto a la justificación de obligatoriedad de los
controles y el estado del control, cuando existan respuestas para
afrontar el riesgo incluidas en el plan de tratamiento.

4. Acciones correctivas y oportunidades de mejora

La Administradora a través de este proceso debería proporcionar corrección y

mejora continua al Sistema de Gestión de Seguridad y Ciberseguridad
mediante la implementación de las acciones correctivas y oportunidades de
mejora.

Para lo anterior se espera que la Administradora:

a) Efectúe el análisis de causa de las acciones correctivas solicitadas para

identificar causas raíz y eliminarlas.
b) Planifique las actividades de acciones correctivas y oportunidades de
mejora, comprometiendo plazos de implementación y roles
responsables.
c) Ejecute las actividades planificadas de acciones correctivas y
oportunidades de mejora.
d) Controle y haga seguimiento de las actividades planificadas de acciones
correctivas y oportunidades de mejora, dejando registro auditable de
esta actividad.

D. Controles de Seguridad de la Información y Ciberseguridad

A continuación, se definen los controles técnicos y sus objetivos, que refuerzan el

Sistema de Gestión de Seguridad y Ciberseguridad.

La Administradora debe establecer los controles del Sistema de Gestión de

Seguridad y Ciberseguridad para contar con mitigadores de los riesgos técnicos.

Los controles incluidos en esta letra establecen una estructura mínima de seguridad.

La Administradora de acuerdo con la estructura organizacional definida y la

complejidad de sus operaciones debe efectuar un análisis de riesgos para incluir

Superintendencia de Pensiones
 20

controles acordes, que se ajusten al apetito y tolerancia al riesgo definido por el

Directorio.
Los controles que se incluyen en esta letra deben estar contenidos en la Declaración
Obligatoria de Controles (DOC) de la Administradora.

1. Seguridad de la Arquitectura

a) Arquitectura objetivo de seguridad: La Administradora debe desarrollar

la arquitectura objetivo de seguridad de la información y ciberseguridad,
para permitir que los componentes lógicos, físicos y aplicaciones,
corresponda con los requisitos legales, normativos y contractuales de
seguridad de la información y ciberseguridad. Se espera que la
Administradora realice un análisis de brechas entre la línea base y la
arquitectura objetivo.

b) Componentes de la arquitectura de seguridad: La Administradora debe

analizar los componentes basándose en las brechas identificadas entre
la línea base de la arquitectura de seguridad de la información y
ciberseguridad y la arquitectura objetivo. Se debe establecer la
estructura y funciones fundamentales para la entrega de servicios
críticos; e identificar los riesgos entre la configuración existente y la
arquitectura objetivo.

c) Implementación de la arquitectura de seguridad: Se espera que la

Administradora asegure la conformidad con la arquitectura objetivo de
seguridad de la información y ciberseguridad a través de proyectos de
implementación o migración, así como realizar las funciones de gobierno
de arquitectura apropiadas para la solución y para las gestiones de
cambios.

d) Evaluación de la arquitectura de seguridad: Se espera que la

Administradora realice un análisis a nivel de seguridad de la información
y ciberseguridad con respecto a los incidentes, amenazas, gestión de las
vulnerabilidades, nivel de cumplimiento y riesgos asociados a la
arquitectura de seguridad, así como las buenas prácticas y tendencias en
seguridad de la información y ciberseguridad; evaluando a nivel de
componentes y en conjunto para asegurar la capacidad y cumplimiento
de requisitos de seguridad de la información y ciberseguridad, así como
de los nuevos requerimientos.

e) Cambios en la arquitectura de seguridad: Se espera que la

Administradora asegure que el ciclo de vida de la arquitectura de
seguridad de la información y ciberseguridad se mantenga y que la

Superintendencia de Pensiones
 21

capacidad arquitectónica de seguridad cumpla con los requisitos y

requerimientos actuales mediante el procedimiento de la gestión de
cambios de la arquitectura de seguridad, establecida por la
Administradora.

2. Seguridad del Personal

a) Alineamiento de recursos humanos y responsabilidades de la

Administración: La seguridad de la información y ciberseguridad deben
estar incluidas en los procesos de recursos humanos desde la
contratación hasta el término del vínculo contractual. La Administración
debe requerir a todos los empleados, proveedores y socios que apliquen
la seguridad de la información y ciberseguridad de acuerdo con las
políticas, procedimientos y controles establecidos por la Administradora.

b) Verificación de las identidades y antecedentes del candidato: La

Administradora debe llevar a cabo la verificación de las identidades, los
antecedentes y perfiles públicos de los candidatos para cada empleo, de
acuerdo a las leyes, regulaciones y normas vigentes, aspectos de
seguridad de la información y ciberseguridad y a la ética; esta
verificación debe ser proporcional a los requisitos de la Administradora,
la clasificación de la información a la que tendrá acceso y los riesgos que
se perciban.

c) Acuerdos contractuales, responsabilidades, sanción disciplinaria y

término del empleo: Los acuerdos contractuales entre la Administradora
y el personal deben fijar sus responsabilidades y las de la Administradora
con respecto a la seguridad de la información y ciberseguridad; dentro
de los acuerdos se debe informar respecto de las sanciones disciplinarias
en caso de que se detecte alguna infracción contra la seguridad de la
información y ciberseguridad; así como las responsabilidades que
permanecerán válidas después del término del empleo, tales como la no
divulgación de la información y devolución de todos los activos de la
Administradora que estén en su posesión una vez terminado su empleo,
contrato o acuerdo.

3. Seguridad de las Áreas y Equipos

a) Perímetro, controles y protección de seguridad física: La

Administradora debe diseñar, determinar y utilizar los perímetros de
seguridad y aplicar mecanismos de control físico de ingreso para
proteger las áreas que contienen o procesan información de carácter
personal, sensible y crítica.

Superintendencia de Pensiones
 22

El diseño debe contemplar mecanismos de mitigación de riesgos

operacionales, tecnológicos e incidentes de seguridad de la información
y ciberseguridad.

Asimismo, se debe monitorear el entorno físico para detectar riesgos de

seguridad de la información y ciberseguridad, en cumplimiento de las
disposiciones legales y normativas, y las políticas con respecto al
entorno operativo físico para los activos de información de la
Administradora.

b) Determinación de zonas seguras, de carga y descarga: La

Administradora debe diseñar y aplicar procedimientos de control para el
trabajo en zonas seguras, acceso, distribución, carga, descarga y otros
puntos por los que podría ingresar personal y equipamiento a la
Administradora. El diseño debe contemplar distancias, recorridos y
mecanismos para evitar el acceso no autorizado, así como para evitar la
filtración de información de carácter personal, sensible y crítica, en
cualquiera de sus medios.

c) Ubicación y protección de los equipos y cableado: Los equipos deben

ser ubicados y protegidos de tal forma que se reduzcan los riesgos como
resultado de las amenazas a la seguridad de la información y
ciberseguridad, los peligros del medio ambiente, y las oportunidades de
acceso no autorizado físico o digital. Se debe proteger de cualquier
interferencia, intercepción o daño al cableado de energía o
telecomunicaciones que transfiere datos o que sirve de apoyo en los
servicios de información.

d) Soporte y mantenimiento de los equipos para atención a público: Los

equipos deben ser protegidos contra las fallas de energía y otras
alteraciones causadas por interrupciones no programadas,
adicionalmente se debe asegurar el correcto mantenimiento de los
equipos para garantizar su disponibilidad, integridad y confidencialidad
de la información.

e) Retiro de activos y seguridad fuera de las instalaciones: El equipo, la

información o el software no puede ser retirado de su lugar sin previa
autorización, verificación de inventario y registro respectivo de salida; en
caso de retiro aprobado se debe aplicar medidas para los activos
utilizados fuera de las instalaciones, tomando en cuenta los diferentes
riesgos de seguridad de la información y ciberseguridad al trabajar fuera
de las instalaciones de la Administradora. Los medios de comunicación

Superintendencia de Pensiones
 23

que contienen información deben ser protegidos contra el acceso no

autorizado, mal uso o corrupción durante su transporte.

4. Seguridad de los Activos

a) Inventario y propiedad de los activos: La Administradora debe

identificar los activos de la información, tales como, instalaciones,
herramientas y componentes asociados a la información y al
procesamiento de ésta dentro y fuera de la Administradora, para lo cual
se debe diseñar y mantener un inventario de dichos activos
considerando los aspectos de seguridad de la información y
ciberseguridad.

b) Clasificación y etiquetado de la información: La información debe ser

clasificada en términos de los requisitos y valores legales, de acuerdo a
cuán crítico y sensible sea su divulgación y modificación no autorizada.

c) Uso aceptable y manejo de los activos: Se espera que la Administradora

documente e implemente las reglas para el uso aceptable de los activos
y las instalaciones de procesamiento de la información. Estos
mecanismos deberían considerar el esquema de clasificación de la
información adoptado por la Administradora y las protecciones contra
las filtraciones de información.

d) Reutilización y eliminación de equipos y medios de comunicación:

Todos los equipos que contienen información deben ser gestionados
formalmente con respecto a la seguridad de la información y
ciberseguridad, durante la reutilización, transferencias y eliminación.

Los medios de comunicación deben ser eliminados de manera segura a

nivel físico y digital cuando ya no son necesarios, de acuerdo con las
políticas de la Administradora.

5. Seguridad de los Accesos

a) Control de acceso en los servicios: La Administradora debe establecer,

documentar y revisar la política de control del acceso en base a los
requisitos del Sistema de Gestión de Seguridad de la Información y
Ciberseguridad. Los usuarios deben tener acceso únicamente a los
servicios, manteniendo los principios de menor privilegio y separación
de funciones.

b) Gestión de información de las credenciales: La Administradora debe

controlar la asignación de la información de credenciales de usuarios

Superintendencia de Pensiones
 24

mediante un proceso de gestión formal. La autenticación debería

considerar más de un factor de autenticación, acorde con los riesgos de
seguridad de la información y ciberseguridad, determinados por la
Administradora.

c) Ciclo de vida de las credenciales: La Administradora debe implementar

un mecanismo que contemple el ciclo de vida de las credenciales, la
autorización, emisión, verificación, revocación de los derechos de acceso
a todos los tipos de usuarios en todos los servicios. Asimismo, debe
considerar los derechos de acceso a la información e instalaciones de
procesamiento de la información.

d) Verificación de accesos y credenciales: Los propietarios de los activos

deben verificar los derechos de acceso y credenciales de acuerdo a la
periodicidad que se defina la Administradora.

e) Gestión de accesos privilegiados: La Administradora debe restringir y

controlar la asignación, así como el uso de los derechos de acceso
privilegiado. Los derechos de acceso privilegiado deben ser gestionados
con mayores exigencias a nivel de política, gestión de credenciales, ciclo
de vida y verificación de los derechos de acceso.

f) Restricción del acceso a información, herramientas con privilegios y al

código fuente: Se debe restringir el acceso a la información y a las
funciones de administración de aplicación de los sistemas, de acuerdo
con la política de control de acceso de la Administradora, considerando
la separación de funciones y distintos niveles de privilegio, según
corresponda a cada función definida a los roles y responsabilidades de
las personas.

6. Seguridad de los Servicios Tecnológicos

a) Gestión de la configuración y documentación: Se espera que la

Administradora implemente un sistema que permita registrar e
identificar las configuraciones (elementos de configuración) y
documentación operativa de los servicios tecnológicos que proporcionan
soporte a los procesos de la Administradora.

La base de datos de gestión de configuración y de documentación

(CMDB por sus siglas en inglés Configuration Management Database),
debe permitir la identificación, control, mantenimiento y verificación de
los distintos elementos de configuración que componen los servicios en
Tecnologías de la Información y Comunicación, así como la
documentación de sus registros.

Superintendencia de Pensiones
 25

b) Gestión de eventos de tecnologías de la información y comunicaciones:

Se espera que la Administradora planifique los requisitos y actividades
correspondientes a la gestión de eventos y la auditoría de los servicios
de tecnologías de la información y comunicaciones que soportan los
procesos de la Administradora.

Se debería elaborar, conservar y revisar regularmente los registros

acerca de actividades del usuario, operador y administrador,
considerando los accesos, excepciones, fallas y eventos de seguridad de
la información y ciberseguridad. Estos registros deben de estar
protegidos en su origen y almacenamiento contra la alteración y acceso
no autorizado.

c) Gestión de la capacidad: La Administradora debe disponer y mantener

una capacidad adecuada de recursos de cómputo y de procesamiento
para la disponibilidad de los servicios de tecnología de la información y
comunicaciones. La gestión de la capacidad debe incluir el registro,
monitoreo y mejora del uso de los recursos, así como las proyecciones a
realizar sobre los requisitos de capacidad que garanticen el desempeño
de los servicios en tecnologías de la información y comunicaciones.

d) Gestión de las vulnerabilidades técnicas: Las vulnerabilidades de

seguridad de la información y ciberseguridad deben ser gestionadas por
la Administradora mediante un plan. Este plan debe comprender el
análisis y comprobación de las vulnerabilidades, las pruebas de intrusión
de ser el caso y la investigación y evaluación de remediaciones.
Asimismo, la gestión debe incluir la revisión periódica de parches de
seguridad en los servicios de Tecnologías de Información y
Comunicaciones. La Administradora debería contar con equipos
dedicados a la gestión de vulnerabilidades, para obtener, de manera
oportuna, la información sobre las vulnerabilidades técnicas de los
servicios de Tecnologías de Información y Comunicaciones y evaluar la
exposición de la Administradora a dichas vulnerabilidades y tomar las
medidas adecuadas para manejar los riesgos asociados.

e) Gestión de la criptografía: De acuerdo con los requisitos de seguridad

de la información y ciberseguridad, la Administradora debe hacer uso de
controles criptográficos en cumplimiento con los acuerdos, las leyes y las
regulaciones correspondientes.

f) Gestión de cambios: La Administradora debe mantener una gestión

integrada sobre los cambios en todos los servicios mediante
procedimientos formales de cambios, para lo cual debe considerar la

Superintendencia de Pensiones
 26

criticidad, tiempos de ejecución, recursos necesarios, impacto, pruebas

de seguridad y aceptación, marcha atrás y los requisitos de seguridad de
la información y ciberseguridad.

Luego de realizados los cambios, se debe revisar y verificar la

funcionalidad y nivel de seguridad de la información y ciberseguridad,
para garantizar que no haya un impacto adverso sobre las operaciones.

g) Control de “endpoints”: La Administradora debe determinar los tipos de

dispositivos permitidos (incluye los medios extraíbles) que sirvan de
soporte a los procesos. Se deben implementar procedimientos y
mecanismos para controlar los dispositivos de acuerdo con sus políticas
de seguridad de la información y ciberseguridad.

h) Control del “malware”: La Administradora debe implementar

mecanismos de control para la detección, prevención, eliminación y
cuarentena de “malware” o código malicioso. Debe implementar
procedimientos para la recuperación de la información, acorde con los
niveles de servicios definidos por la Administradora.

i) Respaldo de la información y pruebas de restauración: La

Administradora debe definir una política de respaldo de información y
pruebas de restauración. Se debe contar con un plan de respaldos y
pruebas, acordes con la política de seguridad de la información y
ciberseguridad de la Administradora.

j) Controles en las redes y comunicaciones: Se debe administrar,

controlar y proteger la integridad de las redes, sistemas y las
aplicaciones que soportan los procesos de la Administradora. Para ello,
se deben identificar los mecanismos de seguridad, los niveles del
servicio y los requisitos de todos los servicios de redes e incluirlos en los
acuerdos de servicios de redes.

Se considera una buena práctica que los controles de redes y

comunicaciones incluyan herramientas y/o mecanismos para monitorear
y detectar eventos de seguridad de la información y ciberseguridad.

k) Protección de las transacciones y los servicios en las redes públicas: Se

debe proteger la información que pasa a través de las redes públicas de
las actividades fraudulentas, controversias contractuales y divulgación y
modificaciones no autorizadas, así mismo se debe proteger la
información que provenga de las transacciones de los servicios de
aplicación, para evitar las transmisiones incompletas, desvíos, duplicado
o reproducción no autorizados de mensajes.

Superintendencia de Pensiones
 27

l) Control para la transferencia de la información: La Administradora

debe implementar políticas, procedimientos y controles formales para la
transferencia de información a través del uso de todo tipo de equipos de
comunicación; para lo cual se deben emplear mecanismos de
transferencia segura de la información del Seguro de Cesantía entre la
Administradora y terceros. Este nivel se seguridad de la información y
ciberseguridad incluye todos los medios de comunicación aprobados por
la Administradora, pudiendo ser correo electrónico, aplicaciones de
transferencia, herramientas colaborativas, chats y otros servicios.

7. Seguridad del Ciclo de Desarrollo del Software

a) Seguridad en ingeniería del software: La Administradora debe

establecer y aplicar reglas de seguridad de la información y
ciberseguridad durante el proceso de desarrollo del software, para
cumplir con la arquitectura de seguridad y las políticas de seguridad que
aplican a los servicios de tecnologías de la información y
comunicaciones.

b) Protección de entornos de desarrollo y pruebas: La Administradora

debe establecer y proteger adecuadamente los entornos de desarrollo,
calidad y pruebas.

c) Revisión de la seguridad y aceptación: Antes de pasar a producción, la

Administradora debe de llevar a cabo revisiones de la funcionalidad,
seguridad de la información y ciberseguridad durante el desarrollo, para
lo cual se debe establecer programas de verificación de la aceptación y
de los criterios relacionados con respecto a los nuevos desarrollos,
renovaciones y nuevas versiones.

8. Seguridad de los Proveedores

a) Política de seguridad sobre las relaciones con los proveedores: La

Administradora debe identificar, establecer, evaluar, gestionar y acordar
los mecanismos de gestión del riesgo de la cadena de suministro de
seguridad de la información y ciberseguridad. Dentro de la política de
seguridad de la información se deben establecer lineamientos de
seguridad sobre las relaciones con los proveedores.

b) Acuerdos y cadena de suministro de seguridad: Los contratos con

proveedores deben contener medidas apropiadas para cumplir con la
política de seguridad de la información y ciberseguridad, incluyendo la
gestión de riesgos de la cadena de suministro con cada proveedor que

Superintendencia de Pensiones
 28

pueda acceder, procesar, almacenar, comunicar o proveer con

elementos de infraestructura tecnológica, información de la
Administradora.

c) Evaluación de servicios del proveedor: Se considera una buena práctica

la evaluación periódica de los proveedores para confirmar que cumplen
con las obligaciones contractuales con la Administradora, acordes a la
política de seguridad de la información y ciberseguridad.

d) Gestión de cambios en el servicio de los proveedores: Se espera que la

Administradora gestione los cambios en la provisión de los servicios
prestados por los proveedores, por lo cual debe aprobar, registrar y
verificar que se realice en cumplimiento con la política de seguridad de
la información y ciberseguridad.

9. Seguridad de la Recuperación de Tecnologías de la Información y

Comunicaciones.

a) Determinación de requisitos de resiliencia tecnológica y de seguridad:

La Administradora debe establecer los requisitos de resiliencia
tecnológica, seguridad de la información y ciberseguridad, para
respaldar la entrega de servicios críticos de tecnologías de la
información y comunicaciones.

Los eventos que pueden causar interrupciones deben ser identificados,

junto con la probabilidad e impacto de dichas interrupciones y sus
consecuencias para la seguridad de información y ciberseguridad.

b) Implementación de los planes de recuperación: La Administradora debe

establecer, documentar, implementar y mantener procedimientos y
controles para asegurar el nivel necesario de recuperación de los
servicios críticos de tecnología de la información y comunicaciones
considerando los requisitos de resiliencia tecnológica, seguridad de la
información y ciberseguridad, para asegurar la disponibilidad de los
servicios críticos de tecnología de la información y comunicaciones al
nivel y en las escalas de tiempo requeridas. Estos planes deben ser
concordantes con el Plan de Continuidad de Negocio o BCP (Business
Continuity Planning).

c) Mantenimiento, prueba y mejora de los planes de recuperación: La

Administradora debe verificar los controles para la recuperación de los
servicios críticos en tecnologías de la información y comunicaciones
establecidos y probar los planes de recuperación implementados,
periódicamente con la finalidad de asegurar su validez y efectividad ante

Superintendencia de Pensiones
 29

distintos escenarios de indisponibilidad, incluyendo los servicios

externalizados.

d) Redundancias e instalaciones de contingencia: La Administradora debe

implementar instalaciones de contingencia para los servicios críticos de
tecnologías de la información y comunicaciones y/o redundancias a
nivel de cada capa con una capacidad suficiente para cumplir con los
requisitos de resiliencia tecnológica, de seguridad de la información y
ciberseguridad, en situaciones normales y ante distintos escenarios de
indisponibilidad.

10. Seguridad del Cumplimiento

a) Propiedad intelectual, privacidad y protección de los registros: La

Administradora debe garantizar la propiedad intelectual, la privacidad y
la protección de la información de carácter personal, sensible y crítica.
Los registros deben ser protegidos contra la pérdida, destrucción,
falsificación, divulgación y/o acceso no autorizado, de acuerdo con las
disposiciones legales y normativas, y la política de seguridad de la
información y ciberseguridad de la Administradora.

b) Revisión de cumplimiento técnico: La Administradora debe establecer

un programa de revisión de cumplimiento de controles y ejecutar la
revisión de la política y procedimientos de seguridad de la información y
ciberseguridad. Esta revisión debe abarcar todos los aspectos técnicos
descritos en la política y procedimientos.”

Superintendencia de Pensiones
 30

II. DISPOSICIÓN TRANSITORIA

La Administradora, dentro de los cinco días hábiles siguientes al término de cada trimestre
del año 2021, deberá remitir un informe en que indique detalladamente el grado de
avance en la implementación de las instrucciones impartidas mediante la presente Norma
de Carácter General.

III. VIGENCIA

La presente norma entrará en vigencia a contar del 1 de julio de 2021.

Sin perjuicio de lo anterior, las instrucciones impartidas en los números 2, 5 y 6, todos de

la letra B. Procesos Tácticos, del Capítulo II. Modelo de Gestión de Seguridad de la
Información y Ciberseguridad, del nuevo Título VII incorporado por la presente norma al
Libro V. Aspectos Administrativos y Operacionales de la Administradora de Fondos de
Cesantía, del Compendio de Normas del Seguro de Cesantía, regirán a contar del 3 de
enero de 2022.

OSVALDO MACÍAS MUÑOZ

Superintendente de Pensiones

Superintendencia de Pensiones
 31

ANEXO
DEFINICIONES

Actividad: Unidad mínima funcional que forma parte del proceso y debe ser ejecutada por un
rol perteneciente a la estructura organizacional que gestiona la seguridad de la información y
ciberseguridad de la Administradora. Las actividades deben ser incorporadas a los procesos de
la Administradora.

Acción correctiva: Acciones correctivas sobre hallazgos o desviaciones de actividades de control.

Activo de información: Conceptualización de un conjunto de componentes, recursos, datos o

bienes económicos, con significado, que tienen valor para la administración de los Fondos de
Cesantía y que se deben proteger.

Amenaza: Causa interna o externa con motivación y potencial para vulnerar un activo de
información de la Administradora.

Análisis de riesgos de seguridad de la información y ciberseguridad: Mecanismo a través del

cual se determina la probabilidad de que un riesgo pueda ocurrir.

Base de Conocimiento: Repositorio o base de datos que permite almacenar información, desde
políticas, manuales, instructivos, papeles de trabajo, entre otra documentación que sea
relevante para gestionar el conocimiento de los equipos de trabajo y el desarrollo de
competencias para mejorar su rendimiento y del proceso que administran.

Categoría de proceso: Un conjunto de procesos que guardan relación dentro de una misma área
general de actividades de la Administradora.

Ciberamenaza: Tipo de amenaza especial que dirige vectores de ataque aprovechando el

ciberespacio.

Ciberataque: Cualquier incidente cibernético, provocado deliberadamente y que afecte a un

sistema informático.

Ciberespacio: Dominio global y dinámico dentro del entorno de la información que corresponde
al ambiente compuesto por las infraestructuras tecnológicas, los componentes lógicos de la
información, los datos (almacenados, procesados o transmitidos) que abarcan los dominios
físico, virtual y cognitivo y las interacciones sociales que se verifican en su interior.

Ciberseguridad: Conjunto de acciones posibles para la prevención, mitigación, investigación y

manejo de las amenazas e incidentes sobre los activos de información, datos y servicios, así
como para la reducción de los efectos de los mismos y del daño causado antes, durante y
después de su ocurrencia.

Superintendencia de Pensiones
 32

Confidencialidad: Principio de seguridad que requiere que la información solo pueda ser
accedida por quien tiene el privilegio y emplearla únicamente para los fines concedidos,
evitándose su divulgación no autorizada.

Control de información documentada del proceso: Aborda las siguientes actividades sobre la
información documentada del proceso: a) distribución, acceso, recuperación y uso; b)
almacenamiento y preservación; c) control de cambios y; d) conservación y disposición.

Control de seguridad de la información y ciberseguridad: Mecanismo que apoya a la

preservación de la confidencialidad, integridad o disponibilidad de los activos de información.

Control específico de seguridad de la información y ciberseguridad: Instrumento (política, plan,

instructivo, procedimiento, etc.) que emplea la Administradora dentro de sus procesos para
implementar un control de seguridad de la información y ciberseguridad.

Criterio de aceptación del riesgo: Regla o parámetro a través del cual la Administradora
establece las condiciones bajo las cuales acepta un riesgo.

Declaración obligatoria de controles DOC: Conjunto de controles, a través del cual la

Administradora se compromete y obliga a cumplir con todos o un conjunto de controles.

Debilidad de seguridad de la información y ciberseguridad: Ineficacia de un control de seguridad

de la información y ciberseguridad, destinado a contener riesgos de los activos de información.

Disponibilidad: Principio de seguridad que requiere que la información deba estar dispuesta en
su punto de uso para quienes tienen el acceso concedido.

Evaluación del riesgo: Mecanismo a través del cual se determinan las consecuencias e impactos
de un riesgo determinándose el nivel efectivo del riesgo.

Evento de seguridad de la información y ciberseguridad: Materialización de un riesgo de

seguridad de la información y ciberseguridad no deseado con efectos negativos poco relevantes
para la administradora.

Gestión de seguridad de la información y ciberseguridad: Conjunto de procesos mutuamente

cohesionados e interrelacionados para llevar a cabo la planificación, ejecución, verificación y
mejora de la seguridad de la información y ciberseguridad en la Administradora.

Incidente de seguridad de la información y ciberseguridad: Materialización de un riesgo de

seguridad de la información y ciberseguridad no deseado con efectos negativos considerables
para la Administradora.

Indicador: Mecanismo que permite darle significancia, con evidencia, del logro de metas de los
procesos. Los procesos tienen métricas para medir el logro de sus metas.

Superintendencia de Pensiones
 33

Integridad: Principio de seguridad que requiere que la información debe permanecer exacta y
completa. Los datos y elementos de configuración sólo son modificados por personal y
actividades autorizadas. La integridad considera todas las posibles causas de modificación,
incluyendo fallos software y hardware, eventos medioambientales e intervención humana.

Nivel de aceptación del riesgo: Indicador numérico que significa que el riesgo es aceptable por
la Administradora, por lo tanto, puede convivir con dicho riesgo. El nivel de aceptación del
riesgo constituye un criterio de aceptación del riesgo.

Objetivo de seguridad de la información y ciberseguridad: Fin de la gestión de la seguridad de

la información.

Oportunidad de mejora: Acciones destinadas optimizar las actividades desarrolladas por la

Administradora.

Parte interesada: Son todas las personas naturales y jurídicas que interactúan con la
Administradora, que afectan o se podrían ver afectadas por la gestión de la seguridad de la
información y ciberseguridad.

Proceso: Conjunto de actividades interrelacionadas mutuamente cuya ejecución agregan valor a

la Administradora y permite alcanzar los propósitos y resultados. Son ejecutados por roles, que
pertenecen a la estructura organizacional que gestiona la seguridad de la información y
ciberseguridad.

Requisito de seguridad de la información y ciberseguridad: Deber de la Administradora de

abordar y cumplir aspectos de seguridad de la información y ciberseguridad contenidos en
normas, contratos y de negocio (riesgos de seguridad de la información y ciberseguridad), que
afectan a las partes interesadas.

Resiliencia: Capacidad de los sistemas, equipos o redes para seguir operando pese a estar
sometidos a un incidente o ciberataque, aunque sea en un estado degradado, debilitado o
segmentado. Así como, incluye la capacidad de restaurar con presteza sus funciones esenciales
después de un incidente o ataque de modo de recuperarse con presteza de una interrupción,
por lo general con un efecto reconocible mínimo.

Riesgo de seguridad de la información y ciberseguridad: Probabilidad de que una amenaza o

ciberamenaza explote una vulnerabilidad de los activos de información impactando el logro de
los objetivos de seguridad de la información y ciberseguridad de la Administradora.

Riesgo inherente: Nivel de riesgo considerando que no existe ningún tipo de control.

Riesgo residual: Nivel de riesgo resultante después de implementar la respuesta de tratamiento

seleccionada.

Superintendencia de Pensiones
 34

Seguridad de la información: Conjunto de controles organizados que ayudan a preservar la

confidencialidad, integridad y disponibilidad de los activos de información, protegiéndolos de
las amenazas.

Tratamiento del riesgo: Mecanismo a través del cual se elige un tipo de respuesta para los
riesgos no tolerables o no aceptables. La respuesta puede ser: afrontar, evitar, transferir o
aceptar el riesgo.

Verificación: Determinar objetivamente que las actividades de los procesos se ejecutan en el

momento y forma establecido por la Administradora. La verificación puede dar lugar a
correcciones y/o mejoras de las actividades.

Vulnerabilidad: Debilidad de un activo o ausencia de un control de seguridad de la información

y ciberseguridad, que puede ser explotado por una o más amenazas informáticas.

Superintendencia de Pensiones