NORMA DE CARACTER

GENERAL N° 278
Santiago, 16 de Diciembre de 2020

MATERIA

MODIFICA EL LIBRO V SOBRE ASPECTOS ADMINISTRATIVOS Y

OPERACIONALES DE LAS ADMINISTRADORAS DE FONDOS DE PENSIONES
Y DEL INSTITUTO DE PREVISIÓN SOCIAL, DEL COMPENDIO DE NORMAS DEL
SISTEMA DE PENSIONES

IDENTIFICACIÓN INTERNA: NP-DDN-20-23

OSVALDO MACÍAS MUÑOZ

SUPERINTENDENTE DE PENSIONES

Verifique documento en [Link]

Superintendencia de Pensiones
NP-DDN-20-23
 NORMA DE CARACTER GENERAL N°

REF.: MODIFICA EL LIBRO V SOBRE ASPECTOS

ADMINISTRATIVOS Y OPERACIONALES DE
LAS ADMINISTRADORAS DE FONDOS DE
PENSIONES Y DEL INSTITUTO DE
PREVISIÓN SOCIAL, DEL COMPENDIO DE
NORMAS DEL SISTEMA DE PENSIONES.
__________________________________

Santiago,

En uso de las facultades que confiere la ley a esta Superintendencia, en particular

lo dispuesto en el número 3 del artículo 94 del D.L. N° 3.500, de 1980, y en el número 6 del
artículo 47 de la Ley N° 20.255, se introducen las modificaciones contenidas en la presente
Norma de Carácter General Libro V del Compendio de Normas del Sistema de Pensiones.

I. Agrégase el siguiente Título XVIII nuevo “SISTEMA DE GESTIÓN DE SEGURIDAD Y

CIBERSEGURIDAD DE LAS ADMINISTRADORAS DE FONDOS DE PENSIONES”, de acuerdo a lo
siguiente:

Título XVIII. SISTEMA DE GESTIÓN DE SEGURIDAD Y CIBERSEGURIDAD DE LAS

ADMINISTRADORAS DE FONDOS DE PENSIONES

CAPITULO I: ASPECTOS GENERALES

En el presente Título, se establecen disposiciones basadas en marcos de buenas prácticas, que

las Administradoras de Fondos de Pensiones, en adelante “las Administradoras”, deben
considerar para contar con un Sistema de Gestión de Seguridad y Ciberseguridad, gestionado y
resiliente que permita optimizar los procesos y asegurar la confidencialidad, integridad y
disponibilidad de la información, protegiendo los datos de carácter personal y sensibles de los
afiliados y usuarios del Sistema de Pensiones, con el objeto de lograr un control preventivo de
los riesgos en estas materias.

Superintendencia de Pensiones NP-DDN-20-23

 2

Esta norma considera buenas prácticas sobre la seguridad y ciberseguridad de la información,

asimismo establece controles específicos que las Administradoras deberán implementar para
reforzar las estructuras de control de seguridad y ciberseguridad.

Lo anterior, complementa el alcance de la evaluación del mitigador transversal referido a la

seguridad de la información, de la Resolución N° 153, que contiene el Modelo de Supervisión
Basada en Riesgo de la Superintendencia de Pensiones, de fecha 23 de octubre de 2019, o la
que la reemplace. Asimismo, los estándares de buenas prácticas y los controles incluidos en el
Sistema de Gestión de Seguridad y Ciberseguridad definidos en esta norma complementan las
normas de Gestión de Riesgo vigentes y serán considerados como estándares de evaluación de
las Administradoras.

La gestión de la seguridad y ciberseguridad es una tarea que comprende a toda la organización

y, por lo tanto, para establecer un Sistema de Gestión de la Seguridad y Ciberseguridad, que
mitigue los riesgos de disponibilidad, confidencialidad e integridad se debe establecer una
estructura de procesos, considerando los objetivos, roles, infraestructura y tecnología de los
niveles estratégico, táctico y operacional, de la Administradora.

En tal sentido, será considerado como elemento necesario para un adecuado sistema de
gestión, que la alta dirección de la Administradora cumpla un rol esencial dentro del gobierno
de la seguridad de la información y ciberseguridad, promoviendo la mejora continua y el
liderazgo requerido para que los controles de seguridad y ciberseguridad se establezcan en la
organización.

El Sistema de Gestión de Seguridad y Ciberseguridad considera la seguridad de la información

como un proceso transversal cuyas actividades deben ser gestionadas, controladas y
optimizadas, de forma continua en todos los niveles de la entidad. Asimismo, el sistema de
gestión, se perfecciona con la incorporación de controles específicos tendientes a mitigar los
riesgos de ciberseguridad.

En Anexo de este Título se incluyen definiciones de los conceptos utilizados en la presente

normativa.

ELEMENTOS GENERALES DE GESTIÓN

1. El alcance de la gestión de riesgo de seguridad de la información para las Administradoras se

define en la Resolución N° 153, del 23 de octubre de 2019, o la que la modifique o
reemplace, en donde se considera el riesgo Inherente Operacional y Tecnológico como: la
contingencia de que los afiliados, beneficiarios o usuarios no puedan acceder en tiempo y
forma a los servicios, beneficios o a una adecuada rentabilidad y seguridad de los fondos, o

Superintendencia de Pensiones NP-DDN-20-23

 3

que enfrenten problemas derivados de la pérdida de información personal, debido a fallas o

insuficiencias de procesos, personas, sistemas o por eventos externos. Se refiere tanto a las
operaciones realizadas con medios de la entidad fiscalizada como a las contratadas con
proveedores externos a ella. Incluye la pérdida de información sensible y otras
contingencias generadas por fallas en las tecnologías de información y comunicaciones.

2. La gobernanza de la seguridad de la información y ciberseguridad es responsabilidad del

Directorio. La Administración de la entidad, es responsable de alinear las operaciones
diarias con los mandatos estratégicos, aprobados por el Directorio, siendo aplicable a todas
las áreas de la entidad.

3. La Administración debe establecer una estructura organizacional adecuada para mitigar el

riesgo de seguridad de la información y ciberseguridad. Para ello, deberá establecer
formalmente actividades de control, líneas de reporte adecuadas y la participación de las
áreas de Gestión de Riesgo y Auditoría como mitigadores transversales de este riesgo.

4. Los lineamientos, alcance y límites de la gestión de riesgos de seguridad de la información y

ciberseguridad, deben estar contenidos en una política de la Administradora aprobada por
el Directorio. Al respecto, el alcance del proceso de la administración de riesgo de seguridad
de la información y ciberseguridad debe ser definido considerando todos los activos de
información.

5. La política de seguridad de la información y ciberseguridad debe ser revisada anualmente y

actualizada siempre que ocurran cambios en los procesos de la Administradora que afecten
la seguridad. Debe ser aprobada por el Directorio y en la Administradora de tal forma de
garantizar su idoneidad, adecuación y efectividad continua.

6. Respecto de los riesgos de seguridad de la información y ciberseguridad, la Administradora

debe mantener un ambiente de control y una estructura organizacional que, cumpliendo
con las definiciones estratégicas relacionadas con la seguridad, sean apropiados a sus
operaciones y sus riesgos.

7. Este enfoque de gestión de la seguridad de la información y ciberseguridad además de ser

adecuado al ambiente de la organización debe estar alineado con la administración de
riesgos. De esta forma, los esfuerzos de seguridad deben estar direccionados a los riesgos,
de una manera efectiva y oportuna, donde y cuando se necesiten.

8. La administración del riesgo de seguridad de la información y ciberseguridad debe ser una

parte integral de las actividades de administración de seguridad y debería ser aplicada tanto

Superintendencia de Pensiones NP-DDN-20-23

 4

en la implementación como en la operación del Sistema de Gestión de Seguridad y

Ciberseguridad.

9. La administración de riesgo de seguridad de la información y ciberseguridad debe ser un

proceso continuo. El proceso debe evaluar en forma permanente el contexto externo e
interno de la Administradora de tal forma de poder prospectar los riesgos y abordarlos con
un enfoque preventivo. Asimismo, la Administradora deberá contar con instancias para
evaluar y tratar los riesgos en forma oportuna, usando un plan de tratamiento de riesgos
para implementar recomendaciones y decisiones que se adopten.

10. El análisis del contexto externo e interno de la administración de riesgo de seguridad de la

información y ciberseguridad involucra establecer los criterios necesarios para la
administración de riesgos de seguridad de la información, definir alcance y límites y
establecer la organización apropiada para la operación de la administración de riesgos de
seguridad de la información y ciberseguridad.

11. El proceso de administración de riesgo de seguridad de la información y ciberseguridad

debe ser aplicado a la organización de manera integral a todas las áreas que forman parte
de la estructura organizacional de la entidad, incluyendo los servicios externalizados. Debe
también considerarse el riesgo de seguridad de la información cuando se está diseñando o
rediseñando un proceso y cuando se desarrollan sistemas de información.

12. El proceso de administración de riesgo de seguridad de la información y ciberseguridad

debe ser un proceso iterativo de evaluación de riesgos e implementación de acciones de
tratamiento de riesgos.

13. Los resultados de la evaluación de los riesgos de seguridad de la información y

ciberseguridad y las decisiones que se adopten respecto de su tratamiento, deben ser
oportunamente comunicados al Directorio, al personal involucrado y a las partes
interesadas. Estas materias deberán ser tratadas en la sesión de Directorio más próxima. El
detalle de los resultados del proceso de administración de riesgo de seguridad de la
información debe ser documentado. Esta base de conocimiento debe ser utilizada para
determinar acciones preventivas.

14. El Directorio debe requerir periódicamente información sobre los resultados e indicadores
del Sistema de Gestión de Seguridad y Ciberseguridad.

CAPITULO II. MODELO DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

Superintendencia de Pensiones NP-DDN-20-23

 5

El Sistema de Gestión de Seguridad y Ciberseguridad definido en la presente norma integra en

un modelo de gestión los criterios que se han establecido en el Capítulo I, y está conformado
por el grupo de procesos que permiten gestionar la seguridad de la información y
ciberseguridad en la Administradora.

La gestión de seguridad es responsabilidad de toda la organización, desde el Directorio, la

Administración, los niveles Tácticos y Operacionales.

SISTEMA DE GESTIÓN DE SEGURIDAD Y CIBERSEGURIDAD

A continuación, se definen los componentes del Sistema de Gestión de Seguridad y

Ciberseguridad, incluyendo para los Procesos Estratégicos, Procesos Tácticos, Procesos
Operacionales, los objetivos de control y las buenas prácticas aplicables, como asimismo los
requisitos mínimos de cumplimiento tendientes a establecer un Sistema de Gestión de
Seguridad y Ciberseguridad en la Administradora, que promueva estructuras de control y
gestión periódica con participación de las tres líneas de defensa, promoviendo también la
retroalimentación oportuna y la mejora continua.

Además, se define un grupo de controles técnicos y sus objetivos, los que refuerzan el Sistema
de Gestión de Seguridad y Ciberseguridad.

A. PROCESOS ESTRATÉGICOS

1. Cumplimiento de requisitos de las partes interesadas

A través de este proceso la Administradora debe analizar el contexto e identificar a las

partes interesadas, es decir, a aquellas partes que son afectadas por la gestión de la
seguridad de la información y ciberseguridad.

El Directorio de la Administradora, los afiliados y la Superintendencia de Pensiones son

integrantes de las partes interesadas.

Una vez identificadas las partes interesadas se deben inventariar las necesidades de
seguridad de la información y ciberseguridad de cada una de ellas, considerando como
mínimo estos tres tipos de requisitos: legales y normativos, contractuales y de negocio.

Posteriormente, las necesidades deben ser analizadas y utilizadas como base para definir
los objetivos de seguridad de la información y ciberseguridad.

Finalmente, se debe revisar de forma periódica que las necesidades de las partes
interesadas sean adecuadas y pertinentes para su debido cumplimiento.

Estándares y buenas prácticas:

Superintendencia de Pensiones NP-DDN-20-23

 6

a. Analizar el contexto externo e interno.

Se considera buena práctica que el Directorio sea informado del contexto externo e
interno desde una perspectiva de seguridad de la información y ciberseguridad.

El contexto externo debe considerar, aspectos políticos, económicos, sociales,

tecnológicos, legales, ambientales y sanitarios, entre otros.

El contexto interno debe considerar, aspectos administrativos, de comercialización, de

recursos humanos, operacionales, financieros, de investigación e innovación, culturales y
tecnológicos, entre otros.

b. Identificar las partes interesadas.

La Administradora debe identificar las partes interesadas que son afectadas por la
gestión de la seguridad de la información y ciberseguridad. La identificación de las partes
interesadas debe ser el resultado del análisis de contexto y posteriormente, debe ser
informado al Directorio para que los objetivos de seguridad de la información y
ciberseguridad, formen parte del plan estratégico organizacional.

c. Inventariar las necesidades de las partes interesadas en seguridad de la

información y ciberseguridad (SIC).

La Administración debe explicitar y registrar las necesidades de las partes interesadas,

considerando al menos aspectos legales y normativos, contractuales y de negocio.

d. Revisar el cumplimiento de las necesidades de las partes interesadas.

La Administración debe verificar que las necesidades de las partes interesadas sean
gestionadas de acuerdo con los objetivos del Sistema de Gestión de la Seguridad de la
Información y Ciberseguridad.

2. Gobernanza de la seguridad de la información y ciberseguridad

El gobierno de la seguridad de la información y ciberseguridad de la Administradora

debe asegurar que las necesidades de las partes interesadas se satisfagan,
contribuyendo al mismo tiempo al logro de los objetivos del Sistema de Pensiones.
Asimismo, toma decisiones que influyan en la gestión de la seguridad de la información y
ciberseguridad. Para ello, establece una política y objetivos de seguridad de la
información, proporciona los recursos financieros, establece una estructura
organizacional y aprueba los planes de tratamiento de riesgos, así como los criterios y
niveles de aceptación de riesgos.

Superintendencia de Pensiones NP-DDN-20-23

 7

Estándares:

a. Definir el alcance en seguridad de la información y ciberseguridad.

El Directorio debe definir los límites y aplicabilidad del Sistema de Gestión de Seguridad
y Ciberseguridad en la Administradora.

b. Definir una política y objetivos de seguridad de la información y ciberseguridad.

El Directorio debe definir una política de seguridad de la información y ciberseguridad

que oriente el cumplimiento de los requisitos de las partes interesadas. Asimismo, se
deben definir objetivos que permitan medir el cumplimiento de la política y alineada con
la estrategia de la Administradora.

Esta política debe ser concisa, precisa y explícita en cuanto a su enunciado, de tal forma
que sea viable su difusión al personal de la Administradora y personas externas que
presten servicios directamente a la Administradora, a través de medios de comunicación
adecuados.

c. Definir estructura organizacional para el Sistema de Gestión de Seguridad y

Ciberseguridad.

El Directorio debe establecer una estructura organizacional basada en roles para

gestionar la seguridad de la información y ciberseguridad, debiendo definir además las
funciones y responsabilidades de cada rol.

La estructura debe comprender los siguientes roles: Directorio, comité de riesgos,

comité de seguridad de la información y ciberseguridad, comité de gestión de incidentes
de seguridad de la información y ciberseguridad (SIC), oficial o responsable o
coordinador de seguridad de la información y/o ciberseguridad, dueños de procesos ,
propietarios de riesgos de seguridad de la información y ciberseguridad (SIC), custodios
de activos de información, entre otros, que se consideren pertinentes para una
adecuada gestión de la seguridad de la información y ciberseguridad.

Esta estructura organizacional debe contar con segregación funcional que permita
definir roles administradores, ejecutores y de control.

d. Implementar un plan de tratamiento de riesgos y presupuestos para seguridad de

la información y ciberseguridad.

La Administradora debe definir e implementar un plan de tratamiento de riesgos de

seguridad de la información y ciberseguridad, así como el presupuesto requerido para la

Superintendencia de Pensiones NP-DDN-20-23

 8

implementación de nuevos controles o mejora de controles existentes, los que deben

ser aprobados por el Directorio.

e. Aprobar los niveles y criterios de aceptación de riesgos de seguridad de la

información y ciberseguridad.

El Directorio debe aprobar los niveles y criterios de aceptación de riesgos de seguridad

de la información y ciberseguridad para la Administradora.

B. PROCESOS TÁCTICOS

1. Gestión de riesgos de seguridad de la información y ciberseguridad

Este proceso permite a la Administradora identificar, analizar, evaluar y establecer un

plan de tratamiento de los riesgos de seguridad de la información y ciberseguridad.

El análisis de riesgos comprende la revisión de los registros de los incidentes del periodo
de análisis.

La evaluación de los riesgos debe efectuarse conforme a los criterios y niveles de

aceptación aprobados por el Directorio.

Estándares:

a. Identificar riesgos de seguridad de la información y ciberseguridad (SIC).

Los dueños de los procesos deben identificar, revisar y actualizar los riesgos de seguridad
de la información y ciberseguridad de los procesos de la Administradora por lo menos
una vez al año (ciclo) o cuando se requiera efectuar un cambio significativo. Se debe
asignar un identificador único a cada riesgo e incorporarlo al inventario de riesgos de
seguridad de la información y ciberseguridad.

La identificación del riesgo debe contemplar también la identificación de las amenazas y

las vulnerabilidades asociadas a cada amenaza.

La identificación del riesgo debe considerar el activo de información o los activos de

información que podrían ser afectados por cada amenaza identificada, asimismo, el
atributo o los atributos de seguridad de la información y ciberseguridad afectados como
la confidencialidad, integridad o disponibilidad de la información, entre otros atributos
que la Administradora estime necesarios.

Superintendencia de Pensiones NP-DDN-20-23

 9

Los riesgos identificados deben comprometer uno o algunos objetivos de seguridad de la

información y ciberseguridad establecidos por el Directorio.

b. Analizar riesgos de seguridad de la información y ciberseguridad.

Los propietarios de riesgos deben analizar los riesgos de seguridad de la información y

ciberseguridad a fin de estimar la probabilidad de que el riesgo ocurra.

Se debe determinar el nivel de vulnerabilidad a partir de la debilidad o ausencia de

controles de seguridad de la información y ciberseguridad del tipo preventivos,
detectivos y/o correctivos, así como a partir de la información de los registros de
incidentes de seguridad y ciberseguridad.

c. Evaluar riesgos de seguridad de la información y ciberseguridad.

Se deben evaluar los riegos describiendo las consecuencias y estimando el nivel de

impacto en caso de que se materialice el riesgo.

El nivel de impacto se debe estimar considerando uno o varios tipos de impacto,

pudiendo ser: económico, operativo, legal y normativo, entre otros que la
Administradora considere pertinentes a sus procesos.

Se debe estimar el nivel de riesgo residual combinando la probabilidad y el nivel del

impacto. Asimismo, debe estimar el nivel de riesgo inherente, de la misma forma que el
riesgo residual, pero considerando que no existe ningún tipo de control de seguridad de
la información y ciberseguridad.

d. Elaborar o actualizar el plan de tratamiento de riesgos (PTR) de seguridad de la

información y ciberseguridad.

Se debe elaborar o actualizar el plan de tratamiento para los riesgos no tolerables de

seguridad de la información y ciberseguridad.

e. Elaborar declaración obligatoria de controles (DOC).

La Administradora debe elaborar una Declaración Obligatoria de Controles (DOC), para el

Sistema de Gestión de Seguridad y Ciberseguridad, entendiéndose como el conjunto de
controles que la Administradora se compromete y obliga formalmente a implementar.

La Declaración Obligatoria de Controles (DOC), debe considerar como mínimo los

controles relacionados con:

- Seguridad de la arquitectura.
- Seguridad del personal.

Superintendencia de Pensiones NP-DDN-20-23

 10

- Seguridad de las áreas y equipos.

- Seguridad de activos.
- Seguridad de los accesos.
- Seguridad de los servicios tecnológicos.
- Seguridad del ciclo de desarrollo del software.
- Seguridad de los proveedores.
- Seguridad de la recuperación de las Tecnologías de la Información y
Comunicaciones (TIC).
- Seguridad del cumplimiento.

Para ello, se debe incluir la “Justificación de obligatoriedad de cada control”, es decir, el

fundamento por el cual la Administradora se compromete o no a implementar un
control de seguridad de la información y ciberseguridad. La justificación puede ser por
razones normativas, por aspectos contractuales, por respuesta a riesgos, u otra
justificación de carácter operativa.

Asimismo, se deben considerar en la Declaración Obligatoria de Controles (DOC), los

documentos o herramientas que soportan la operación de cada control de seguridad de
la información y ciberseguridad e incluir el estado de implementación de cada uno de
ellos.

La Declaración Obligatoria de Controles (DOC), se debe revisar periódicamente y

actualizar cuando se requiera efectuar un cambio significativo.

2. Gestión de incidentes de seguridad de la información y ciberseguridad

Este proceso debe permitir a las Administradoras efectuar una adecuada gestión de los
incidentes (debilidades, eventos o incidentes) de seguridad de la información y
ciberseguridad a fin de que tome las acciones debidas a través del establecimiento de un
mecanismo formal que dé respuesta efectiva y oportuna a los incidentes.

La gestión de los incidentes de seguridad de la información y ciberseguridad debe

considerar la identificación de los activos de seguridad de la información y
ciberseguridad, así como los controles comprometidos en el acontecimiento de un
incidente a fin de que se fortalezcan los controles en beneficio de la protección de los
activos de información.

Estándares y buenas prácticas:

a. Establecer mecanismos de comunicación de incidentes de seguridad de la

información y ciberseguridad.

Superintendencia de Pensiones NP-DDN-20-23

 11

La Administradora debe establecer y difundir los mecanismos de comunicación definidos

para que los colaboradores internos y externos, proveedores, clientes, entre otras partes
interesadas, puedan reportar incidentes de seguridad de la información y ciberseguridad
oportunamente.

b. Clasificar el incidente.

La Administradora debe clasificar el incidente para determinar si lo que han reportado

constituye una debilidad, evento o incidente de seguridad de la información o
ciberseguridad.

Las debilidades se pueden identificar dentro de la Administradora o provenir de fuentes

externas o servicios externalizados.

Los eventos se deben analizar para comprender los objetivos y los métodos de ataque
empleados. Asimismo, se deben recopilar los datos de los eventos y correlacionarlos con
múltiples fuentes.

Los incidentes deben calificarse para determinar su impacto mediante umbrales de

significancia. Para la calificación se debe considerar el alcance del daño, así como el
tiempo de duración del incidente, entre otros criterios que se consideren adecuados.
Cuando el incidente tiene un impacto que deviene en crisis, la Administradora debe
activar los procedimientos establecidos en el proceso de continuidad de negocio.

c. Contener, erradicar y recuperar el incidente de seguridad de la información y

ciberseguridad.

La Administradora debe efectuar acciones que permitan contener de manera efectiva el

incidente e inmediatamente acciones que permitan erradicar el incidente y recuperar
oportunamente la operación, entendiéndose que la contención es evitar que el
incidente siga produciendo daños. La erradicación es eliminar la causa del incidente,
incluyendo todo rastro de daños y la recuperación, volver el entorno afectado a su
estado original.

Para ejecutar las acciones de contención, erradicación y/o recuperación es

recomendable que se conformen comités o mesas de trabajo que ayuden a la toma de
decisiones. Posteriormente, documentar o registrar las acciones, con el objetivo de
mantener un registro histórico y lecciones de aprendizaje de las actividades.

d. Identificar la causa del incidente de seguridad de la información y ciberseguridad.

Superintendencia de Pensiones NP-DDN-20-23

 12

Se espera que la Administradora emplee una técnica o método para identificar la causa
raíz del incidente. Durante la identificación de la causa se debe considerar los activos de
información, así como los controles de seguridad de la información y ciberseguridad
comprometidos o afectados en la ocurrencia del incidente.

Si al identificar la causa raíz del incidente se determina que se requiere mejorar o

implementar un control de seguridad de la información y ciberseguridad como respuesta
a un riesgo, la Administradora debe realizar las acciones de mejora necesarias para su
mitigación.

e. Realizar análisis forense.

Se considera una buena práctica que la Administradora realice análisis forense cuando
las consecuencias del incidente así lo ameriten, de acuerdo con la metodología que la
AFP haya adoptado para este tipo de análisis. La Administradora deberá denunciar o
iniciar acciones legales, cuando corresponda.

f. Determinar acciones correctivas u oportunidades de mejora, con posterioridad al

incidente de seguridad de la información y ciberseguridad.

Se espera que la Administradora evalúe si, una vez finalizado el incidente, se genera una
Acción Correctiva u Oportunidad de Mejora. Dentro de las consideraciones de
evaluación que estime pertinentes también debe considerar la recurrencia del incidente.

g. Registrar el incidente de seguridad de la información y ciberseguridad.

La Administradora debe registrar el incidente (debilidad, evento o incidente) con toda la

información de la notificación y clasificación, así como las actividades ejecutadas para su
resolución.

3. Auditoría de seguridad de la información y ciberseguridad.

La auditoría debe evaluar el cumplimiento de lo establecido en el Sistema de Gestión de

Seguridad y Ciberseguridad por parte de las Administradoras.

La auditoría debe proporcionar una opinión al Directorio respecto del diseño y el

cumplimiento de los controles implementados en el Sistema de Gestión de Seguridad y
Ciberseguridad.

La Administración debe comprometer acciones correctivas y/u oportunidades de mejora

para resolver los hallazgos identificados por Auditoría Interna.

Estándares:

Superintendencia de Pensiones NP-DDN-20-23

 13

a. Elaborar un plan de auditoría.

La Administradora debe elaborar anualmente un plan de auditoría para la seguridad de

la información y ciberseguridad.

El plan debe contener el alcance de la revisión y los tipos de auditoría (internas,

externas, seguimiento, control, etc.) que se haya decidido efectuar sobre la seguridad de
la información y ciberseguridad.

El plan debe abarcar todos los riesgos de seguridad de la información y ciberseguridad y

el cumplimiento de los controles asociados y debe ser aplicado en un lapso o ciclo de
auditoría razonable, pudiendo ser en más de un año.

La Administradora debe considerar la evaluación del Sistema de Gestión de Seguridad y

Ciberseguridad, por auditores externos al menos una vez al año.

La auditoría debe desarrollarse de acuerdo con normas internacionales de Auditoría

Interna y con técnicas ajustadas a los riesgos de seguridad y ciberseguridad que se estén
evaluando.

b. Mantener registro de auditores.

La Administradora debe definir el perfil del profesional que auditará la seguridad de la

información y ciberseguridad. Asimismo, debe verificar que quien audite la seguridad de
la información y ciberseguridad, cumpla con dicho perfil, tanto para auditorías internas
como externas. Debe, además, llevar un registro de los profesionales que auditaron la
seguridad de la información y ciberseguridad.

c. Implementar acciones correctivas u oportunidades de mejora.

La Administración del área auditada debe comprometer una acción correctiva u

oportunidad de mejora para subsanar cada hallazgo o implementar cada recomendación
identificada en el informe de auditoría.

d. Elaborar, validar y aprobar plan de acción post auditoría.

Una vez planificadas las actividades para atender las acciones correctivas y
oportunidades de mejora solicitadas post auditoría, la Administración del área auditada
debe elaborar un plan de acción que consolide las acciones correctivas y oportunidades
de mejora. El responsable a cargo de la auditoría debe validar y aprobar el plan de
acción post auditoría, luego de lo cual, debe enviar el informe de auditoría y el plan de
acción post auditoría para que se comuniquen los resultados de la auditoría al
Directorio.

Superintendencia de Pensiones NP-DDN-20-23

 14

4. Gestión de las comunicaciones

La Administradora debe establecer: cómo, cuándo, dónde, a quién y a través de qué

medios se entrega la información de las necesidades o requisitos de seguridad de la
información y ciberseguridad a las partes interesadas. La información proporcionada
debe ser pertinente a las partes interesadas conforme a sus requisitos de seguridad de la
información y ciberseguridad.

Estándares:

a. Elaborar matriz de comunicaciones de las partes interesadas.

La Administradora debe definir una matriz que establezca la información que debe
comunicar a las partes interesadas, así como la forma, la oportunidad y a través de qué
medios.

La matriz debe considerar que la comunicación de incidentes de seguridad y

ciberseguridad a la Superintendencia debe efectuarse en forma inmediata, cuando las
consecuencias del incidente puedan comprometer los objetivos de seguridad y
ciberseguridad, la información de los afiliados y usuarios y la reputación del Sistema de
Pensiones.

Asimismo, debe considerar que se debe comunicar, de manera mensual al Directorio,

sobre el cumplimiento de las necesidades relacionadas con la seguridad y ciberseguridad
de las partes interesadas, identificadas por la Administradora.

b. Elaborar información para las partes interesadas.

La Administradora debe elaborar la información establecida en la matriz de

comunicaciones. Debe obtener la información de los procesos según la matriz de
comunicaciones, sin embargo, siempre debe obtener información de los procesos que
conforman del Sistema de Gestión de Seguridad y Ciberseguridad.

c. Efectuar las comunicaciones a las partes interesadas.

La Administradora debe efectuar las comunicaciones en conformidad con lo establecido

en la matriz de comunicaciones para seguridad de la información y ciberseguridad.

La Administradora debe asegurar que las comunicaciones sean efectuadas en la forma,

oportunidad y medios establecidos. Entre ellas, la comunicación del informe mensual de
cumplimiento de requisitos de sistema de seguridad y ciberseguridad al Directorio.

Superintendencia de Pensiones NP-DDN-20-23

 15

5. Gestión del conocimiento

Se considera una buena práctica que en la ejecución de los procesos del Sistema de
Gestión de Seguridad y Ciberseguridad que se generen registros de información que
permitan mejorar las actividades del sistema de gestión. Por esta razón, a través de este
proceso se debe lograr organizar, estructurar, recopilar, distribuir y brindar acceso a una
base de conocimiento (BC) que facilite y agregue valor a la ejecución de las actividades
del sistema en el continuo de su ejecución.

Para lo anterior se espera que la Administradora:

- Defina un medio de almacenamiento de los registros de resultados del proceso de

Gestión de Seguridad y Ciberseguridad y una matriz con los privilegios de acceso.

- Defina una estructura de registro de resultados de los procesos, que le permitan

sistematizar la información y actualizar una base de conocimientos (BC)

- Implemente la estructura de registro de resultados de los procesos y medios de

almacenamiento seguros, para mantener una Base de conocimientos confiable.

- Incorpore los registros para actualizar la base de conocimiento, para que sea usada por
los roles definidos en el desempeño de sus funciones.

6. Administración del Sistema de Gestión de Seguridad y Ciberseguridad

Este proceso permite a la Administradora verificar que las actividades de los procesos
del Sistema de Gestión de Seguridad y Ciberseguridad se estén llevando a cabo
oportunamente, tal como la Administradora lo haya definido.

El Sistema de Gestión de Seguridad y Ciberseguridad adoptado por la Administradora

debe ser gestionado a fin de que sea compatible con su estructura organizacional,
marcos ya existentes o futuros marcos de seguridad de la información y/o
ciberseguridad a adoptar.

Este proceso se diferencia del proceso de auditoría en cuanto al tiempo de su ejecución,

dado que verifica las actividades durante su ejecución, mientras que la auditoría es post
ejecución del proceso a auditar.

Los procesos de seguridad de la información y ciberseguridad deberían formar parte del

mapa de procesos de la Administradora.

Buenas prácticas:

Superintendencia de Pensiones NP-DDN-20-23

 16

Para la administración del Sistema de Gestión de Seguridad y Ciberseguridad se

consideran buena práctica que la Administradora desarrolle un programa de verificación
de procesos a cargo de roles responsables, los cuales controlen que las actividades que
son parte de los procesos que conforman el Sistema de Gestión Seguridad y
Ciberseguridad se cumplan, genere registros de las actividades de verificación y acuerde
acciones correctivas necesarias para el mantenimiento del Sistema de Gestión. Estos
roles deben también reportar a la Administración y al Directorio sobre el resultado de
sus actividades de evaluación.

C. PROCESOS OPERACIONALES

1. Capacitación y toma de conciencia

La Administradora debe identificar las necesidades de capacitación de cada rol y

establecer un programa para desarrollar y mantener las competencias de dichos roles,
incluyendo propietarios de riesgo, de activos de información, custodios de información,
entre otros.

Cada rol que tiene una función dentro de la gestión de la seguridad de la información y
ciberseguridad, debe tener las competencias adecuadas a fin de desempeñar su rol de
manera eficiente.

Este proceso debe también contemplar que el personal de los proveedores de servicios
cuente con conocimientos básicos de seguridad de la información y ciberseguridad.

La Administradora debe elaborar, ejecutar y registrar un programa de capacitación y

toma de conciencia para cada rol que cumpla una función dentro de la gestión de
seguridad y ciberseguridad en la Administradora.

2. Medición

La Administradora debería establecer indicadores adecuados para medir el logro de los

objetivos de seguridad de la información y ciberseguridad, un programa para medirlos e
informar el grado alcanzado de cada objetivo.

La definición de los indicadores debe contemplar la idoneidad de los datos a emplear

para efectuar las mediciones, datos que son el resultado de la ejecución de los procesos
del Sistema de Gestión de Seguridad y Ciberseguridad y de controles registrados en la
Declaración Obligatoria de Controles (DOC). Asimismo, se debe determinar el nivel o
grado de cumplimiento de la política de seguridad de la información y ciberseguridad a
partir de la combinación de los niveles logrados en los objetivos de seguridad de la
información y ciberseguridad.

Superintendencia de Pensiones NP-DDN-20-23

 17

Se espera que la Administradora:

-Defina indicadores para medir los objetivos de seguridad de la información y

ciberseguridad.

-Elabore un programa de medición de los indicadores de seguridad de la información y

ciberseguridad y efectúe las mediciones.

-Elabore informe de resultados de mediciones de los indicadores y del logro de objetivos

de seguridad de la información y ciberseguridad.

-Implemente acciones correctivas u oportunidades de mejora post medición.

3. Implementación de respuestas de seguridad de la información y ciberseguridad

La Administradora debe llevar a cabo el plan de tratamiento de riesgos.

Asimismo, gestionará los controles técnicos de seguridad de la información y

ciberseguridad, los que se definen en la letra D de este Capítulo, que se ejecuten y que
se encuentran registrados en la Declaración Obligatoria de Controles (DOC).

Por otra parte, los controles a mejorar o implementar, comprometidos en los planes de
tratamiento de riesgos, deben también formar parte de la Declaración Obligatoria de
Controles (DOC).

A través de este proceso la Administradora llevará el control del estado de

implementación de los controles.

Estándares y buenas prácticas:

a. Elaborar planificación y presupuesto del plan de tratamiento de riesgos (PTR).

La Administradora debe planificar y presupuestar el plan de tratamiento de riesgos a fin

de implementar las respuestas y conseguir el presupuesto requerido.

La planificación para la implementación de las respuestas incluidas en el plan de

tratamiento de riesgos debe considerar al menos la siguiente información: rol
responsable de implementación, fechas de inicio y fin de la implementación, recursos
necesarios, supuestos y premisas, así como factores críticos para alcanzar la
implementación de cada respuesta seleccionada.

El plan de tratamiento de riesgos y el presupuesto deben ser aprobados por el

Directorio.

Superintendencia de Pensiones NP-DDN-20-23

 18

b. Ejecutar planificación y presupuesto del plan de tratamiento de riesgos (PTR).

Los roles responsables de la implementación de las actividades del plan de tratamiento

de riesgos, deben ejecutarlas de acuerdo con lo planificado y comprometido en dicho
plan.

Se considera una buena práctica que la Administradora, cuente con registros auditables
de la operación de los controles de seguridad de la información y ciberseguridad
implementados.

c. Elaborar informe mensual de seguimiento del plan de tratamiento de riesgos (PTR).

Se espera que la Administradora comunique mensualmente, el avance de la

implementación del plan de tratamiento de riesgos.

d. Actualizar declaración obligatoria de controles (DOC).

La Administradora debe actualizar la Declaración Obligatoria de Controles (DOC)

respecto a la justificación de obligatoriedad de los controles y el estado del control,
cuando existan respuestas para afrontar el riesgo incluidas en el plan de tratamiento.

4. Acciones correctivas y oportunidades de mejora

La Administradora a través de este proceso debería proporcionar corrección y mejora

continua al Sistema de Gestión de Seguridad y Ciberseguridad mediante la
implementación de las acciones correctivas y oportunidades de mejora.

Para lo anterior se espera que la Administradora:

-Efectúe el análisis de causa de las acciones correctivas solicitadas para identificar causas
raíz y eliminarlas.

-Planifique las actividades de acciones correctivas y oportunidades de mejora,

comprometiendo plazos de implementación y roles responsables.

-Ejecute las actividades planificadas de acciones correctivas y oportunidades de mejora.

-Controle y haga seguimiento de las actividades planificadas de acciones correctivas y

oportunidades de mejora, dejando registro auditable de esta actividad.

D. CONTROLES DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

A continuación, se definen los controles técnicos y sus objetivos, que refuerzan el Sistema
de Gestión de Seguridad y Ciberseguridad.

Superintendencia de Pensiones NP-DDN-20-23

 19

La Administradora debe establecer los controles del Sistema de Gestión de Seguridad y

Ciberseguridad para contar con mitigadores de los riesgos técnicos.

Los controles incluidos en esta letra establecen una estructura mínima de seguridad.

La Administradora de acuerdo con la estructura organizacional definida y la complejidad de

sus operaciones debe efectuar un análisis de riesgos para incluir controles acordes, que se
ajusten al apetito y tolerancia al riesgo definido por el Directorio.

Los controles que se incluyen en esta letra deben estar contenidos en la Declaración
Obligatoria de Controles (DOC) de la Administradora.

1. SEGURIDAD DE LA ARQUITECTURA
a. Arquitectura objetivo de seguridad: La Administradora debe desarrollar la
arquitectura objetivo de seguridad de la información y ciberseguridad, para permitir
que los componentes lógicos, físicos y aplicaciones, corresponda con los requisitos
legales, normativos y contractuales de seguridad de la información y ciberseguridad.
Se espera que la Administradora realice un análisis de brechas entre la línea base y la
arquitectura objetivo.

b. Componentes de la arquitectura de seguridad: La Administradora debe analizar los

componentes basándose en las brechas identificadas entre la línea base de la
arquitectura de seguridad de la información y ciberseguridad y la arquitectura
objetivo. Se debe establecer la estructura y funciones fundamentales para la entrega
de servicios críticos; e identificar los riesgos entre la configuración existente y la
arquitectura objetivo.

c. Implementación de la arquitectura de seguridad: Se espera que la Administradora

asegure la conformidad con la arquitectura objetivo de seguridad de la información y
ciberseguridad a través de proyectos de implementación o migración, así como
realizar las funciones de gobierno de arquitectura apropiadas para la solución y para
las gestiones de cambios.

d. Evaluación de la arquitectura de seguridad: Se espera que la Administradora realice

un análisis a nivel de seguridad de la información y ciberseguridad con respecto a los
incidentes, amenazas, gestión de las vulnerabilidades, nivel de cumplimiento y
riesgos asociados a la arquitectura de seguridad, así como las buenas prácticas y
tendencias en seguridad de la información y ciberseguridad; evaluando a nivel de
componentes y en conjunto para asegurar la capacidad y cumplimiento de requisitos
de seguridad de la información y ciberseguridad, así como de los nuevos
requerimientos.

Superintendencia de Pensiones NP-DDN-20-23

 20

e. Cambios en la arquitectura de seguridad: Se espera que la Administradora asegure

que el ciclo de vida de la arquitectura de seguridad de la información y
ciberseguridad se mantenga y que la capacidad arquitectónica de seguridad cumpla
con los requisitos y requerimientos actuales mediante el procedimiento de la gestión
de cambios de la arquitectura de seguridad, establecida por la Administradora.

2. SEGURIDAD DEL PERSONAL

a. Alineamiento de recursos humanos y responsabilidades de la Administración: La
seguridad de la información y ciberseguridad deben estar incluidas en los procesos
de recursos humanos desde la contratación hasta el término del vínculo contractual.
La Administración debe requerir a todos los empleados, proveedores y socios que
apliquen la seguridad de la información y ciberseguridad de acuerdo con las
políticas, procedimientos y controles establecidos por la Administradora.

b. Verificación de las identidades y antecedentes del candidato: La Administradora

debe llevar a cabo la verificación de las identidades, los antecedentes y perfiles
públicos de los candidatos para cada empleo, de acuerdo a las leyes, regulaciones y
normas vigentes, aspectos de seguridad de la información y ciberseguridad y a la
ética; esta verificación debe ser proporcional a los requisitos de la Administradora, la
clasificación de la información a la que tendrá acceso y los riesgos que se perciban.

c. Acuerdos contractuales, responsabilidades, sanción disciplinaria y término del

empleo: Los acuerdos contractuales entre la Administradora y el personal deben fijar
sus responsabilidades y las de la Administradora con respecto a la seguridad de la
información y ciberseguridad; dentro de los acuerdos se debe informar respecto de
las sanciones disciplinarias en caso de que se detecte alguna infracción contra la
seguridad de la información y ciberseguridad; así como las responsabilidades que
permanecerán válidas después del término del empleo, tales como la no divulgación
de la información y devolución de todos los activos de la Administradora que estén
en su posesión una vez terminado su empleo, contrato o acuerdo.

3. SEGURIDAD DE LAS ÁREAS Y EQUIPOS

a. Perímetro, controles y protección de seguridad física: La Administradora debe
diseñar, determinar y utilizar los perímetros de seguridad y aplicar mecanismos de
control físico de ingreso para proteger las áreas que contienen o procesan
información de carácter personal, sensible y crítica. El diseño debe contemplar
mecanismos de mitigación de riesgos operacionales, tecnológicos e incidentes de
seguridad de la información y ciberseguridad.

Superintendencia de Pensiones NP-DDN-20-23

 21

Asimismo, se debe monitorear el entorno físico para detectar riesgos de seguridad

de la información y ciberseguridad, en cumplimiento de las disposiciones legales y
normativas, y las políticas con respecto al entorno operativo físico para los activos de
información de la Administradora.

b. Determinación de zonas seguras, de carga y descarga: La Administradora debe

diseñar y aplicar procedimientos de control para el trabajo en zonas seguras, acceso,
distribución, carga, descarga y otros puntos por los que podría ingresar personal y
equipamiento a la Administradora. El diseño debe contemplar distancias, recorridos
y mecanismos para evitar el acceso no autorizado, así como para evitar la filtración
de información de carácter personal, sensible y crítica, en cualquiera de sus medios.

c. Ubicación y protección de los equipos y cableado: Los equipos deben ser ubicados y
protegidos de tal forma que se reduzcan los riesgos como resultado de las amenazas
a la seguridad de la información y ciberseguridad, los peligros del medio ambiente, y
las oportunidades de acceso no autorizado físico o digital. Se debe proteger de
cualquier interferencia, intercepción o daño al cableado de energía o
telecomunicaciones que transfiere datos o que sirve de apoyo en los servicios de
información.

d. Soporte y mantenimiento de los equipos para atención a público: Los equipos

deben ser protegidos contra las fallas de energía y otras alteraciones causadas por
interrupciones no programadas, adicionalmente se debe asegurar el correcto
mantenimiento de los equipos para garantizar su disponibilidad, integridad y
confidencialidad de la información.

e. Retiro de activos y seguridad fuera de las instalaciones: El equipo, la información o

el software no puede ser retirado de su lugar sin previa autorización, verificación de
inventario y registro respectivo de salida; en caso de retiro aprobado se debe aplicar
medidas para los activos utilizados fuera de las instalaciones, tomando en cuenta los
diferentes riesgos de seguridad de la información y ciberseguridad al trabajar fuera
de las instalaciones de la Administradora. Los medios de comunicación que
contienen información deben ser protegidos contra el acceso no autorizado, mal uso
o corrupción durante su transporte.

4. SEGURIDAD DE LOS ACTIVOS

a. Inventario y propiedad de los activos: La Administradora debe identificar los activos
de la información, tales como, instalaciones, herramientas y componentes asociados
a la información y al procesamiento de ésta dentro y fuera de la Administradora,

Superintendencia de Pensiones NP-DDN-20-23

 22

para lo cual se debe diseñar y mantener un inventario de dichos activos

considerando los aspectos de seguridad de la información y ciberseguridad.

b. Clasificación y etiquetado de la información: La información debe ser clasificada en

términos de los requisitos y valores legales, de acuerdo a cuán crítico y sensible sea
su divulgación y modificación no autorizada.

c. Uso aceptable y manejo de los activos: Se espera que la Administradora documente

e implemente las reglas para el uso aceptable de los activos y las instalaciones de
procesamiento de la información. Estos mecanismos deberían considerar el
esquema de clasificación de la información adoptado por la Administradora y las
protecciones contra las filtraciones de información.

d. Reutilización y eliminación de equipos y medios de comunicación: Todos los

equipos que contienen información deben ser gestionados formalmente con
respecto a la seguridad de la información y ciberseguridad, durante la reutilización,
transferencias y eliminación.

Los medios de comunicación deben ser eliminados de manera segura a nivel físico y
digital cuando ya no son necesarios, de acuerdo con las políticas de la
Administradora.

5. SEGURIDAD DE LOS ACCESOS

a. Control de acceso en los servicios: La Administradora debe establecer, documentar

y revisar la política de control del acceso en base a los requisitos del Sistema de
Gestión de Seguridad de la Información y Ciberseguridad. Los usuarios deben tener
acceso únicamente a los servicios, manteniendo los principios de menor privilegio y
separación de funciones.

b. Gestión de información de las credenciales: La Administradora debe controlar la

asignación de la información de credenciales de usuarios mediante un proceso de
gestión formal. La autenticación debería considerar más de un factor de
autenticación, acorde con los riesgos de seguridad de la información y
ciberseguridad, determinados por la Administradora.

c. Ciclo de vida de las credenciales: La Administradora debe implementar un

mecanismo que contemple el ciclo de vida de las credenciales, la autorización,
emisión, verificación, revocación de los derechos de acceso y credenciales o
privilegios a todos los tipos de usuarios en todos los servicios. Asimismo, debe

Superintendencia de Pensiones NP-DDN-20-23

 23

considerar los derechos de acceso a la información e instalaciones de procesamiento

de la información.

d. Verificación de accesos y credenciales: Los propietarios de los activos deben

verificar los derechos de acceso y credenciales de acuerdo a la periodicidad que se
defina la Administradora.

e. Gestión de accesos privilegiados: La Administradora debe restringir y controlar la

asignación, así como el uso de los derechos de acceso privilegiado. Los derechos de
acceso privilegiado deben ser gestionados con mayores exigencias a nivel de política,
gestión de credenciales, ciclo de vida y verificación de los derechos de acceso.

f. Restricción del acceso a información, herramientas con privilegios y al código

fuente: Se debe restringir el acceso a la información y a las funciones de
administración de aplicación de los sistemas, de acuerdo con la política de control de
acceso de la Administradora, considerando la separación de funciones y distintos
niveles de privilegio, según corresponda a cada función definida a los roles y
responsabilidades de las personas.

6. SEGURIDAD DE LOS SERVICIOS TECNOLÓGICOS

a. Gestión de la configuración y documentación: Se espera que la Administradora

implemente un sistema que permita registrar e identificar las configuraciones
(elementos de configuración) y documentación operativa de los servicios
tecnológicos que proporcionan soporte a los procesos de la Administradora.

La base de datos de gestión de configuración y de documentación (CMDB por sus

siglas en inglés Configuration Management Database), debe permitir la
identificación, control, mantenimiento y verificación de los distintos elementos de
configuración que componen los servicios en Tecnologías de la Información y
Comunicación, así como la documentación de sus registros.

b. Gestión de eventos de tecnologías de la información y comunicaciones: Se espera

que la Administradora planifique los requisitos y actividades correspondientes a la
gestión de eventos y la auditoría de los servicios de tecnologías de la información y
comunicaciones que soportan los procesos de la Administradora.

Se debería elaborar, conservar y revisar regularmente los registros acerca de

actividades del usuario, operador y administrador, considerando los accesos,
excepciones, fallas y eventos de seguridad de la información y ciberseguridad. Estos

Superintendencia de Pensiones NP-DDN-20-23

 24

registros deben de estar protegidos en su origen y almacenamiento contra la

alteración y acceso no autorizado.

c. Gestión de la capacidad: La Administradora debe disponer y mantener una

capacidad adecuada de recursos de cómputo y de procesamiento para la
disponibilidad de los servicios de tecnología de la información y comunicaciones. La
gestión de la capacidad debe incluir el registro, monitoreo y mejora del uso de los
recursos, así como las proyecciones a realizar sobre los requisitos de capacidad que
garanticen el desempeño de los servicios en tecnologías de la información y
comunicaciones.

d. Gestión de las vulnerabilidades técnicas: Las vulnerabilidades de seguridad de la

información y ciberseguridad deben ser gestionadas por la Administradora mediante
un plan. Este plan debe comprender el análisis y comprobación de las
vulnerabilidades, las pruebas de intrusión de ser el caso y la investigación y
evaluación de remediaciones. Asimismo, la gestión debe incluir la revisión periódica
de parches de seguridad en los servicios de Tecnologías de Información y
Comunicaciones. La Administradora debería contar con equipos dedicados a la
gestión de vulnerabilidades, para obtener, de manera oportuna, la información sobre
las vulnerabilidades técnicas de los servicios de Tecnologías de Información y
Comunicaciones y evaluar la exposición de la Administradora a dichas
vulnerabilidades y tomar las medidas adecuadas para manejar los riesgos asociados.

e. Gestión de la criptografía: De acuerdo con los requisitos de seguridad de la

información y ciberseguridad, la Administradora debe hacer uso de controles
criptográficos en cumplimiento con los acuerdos, las leyes y las regulaciones
correspondientes.

f. Gestión de cambios: La Administradora debe mantener una gestión integrada sobre

los cambios en todos los servicios mediante procedimientos formales de cambios,
para lo cual debe considerar la criticidad, tiempos de ejecución, recursos necesarios,
impacto, pruebas de seguridad y aceptación, marcha atrás y los requisitos de
seguridad de la información y ciberseguridad.

Luego de realizados los cambios, se debe revisar y verificar la funcionalidad y nivel

de seguridad de la información y ciberseguridad, para garantizar que no haya un
impacto adverso sobre las operaciones.

g. Control de “endpoints”: La Administradora debe determinar los tipos de dispositivos

permitidos (incluye los medios extraíbles) que sirvan de soporte a los procesos. Se

Superintendencia de Pensiones NP-DDN-20-23

 25

deben implementar procedimientos y mecanismos para controlar los dispositivos de

acuerdo con sus políticas de seguridad de la información y ciberseguridad.

h. Control del “malware”: La Administradora debe implementar mecanismos de

control para la detección, prevención, eliminación y cuarentena de “malware” o
código malicioso. Debe implementar procedimientos para la recuperación de la
información, acorde con los niveles de servicios definidos por la Administradora.

i. Respaldo de la información y pruebas de restauración: La Administradora debe

definir una política de respaldo de información y pruebas de restauración. Se debe
contar con un plan de respaldos y pruebas, acordes con la política de seguridad de la
información y ciberseguridad de la Administradora.

j. Controles en las redes y comunicaciones: Se debe administrar, controlar y proteger

la integridad de las redes, sistemas y las aplicaciones que soportan los procesos de la
Administradora. Para ello, se deben identificar los mecanismos de seguridad, los
niveles del servicio y los requisitos de todos los servicios de redes e incluirlos en los
acuerdos de servicios de redes.

Se considera una buena práctica que los controles de redes y comunicaciones

incluyan herramientas y/o mecanismos para monitorear y detectar eventos de
seguridad de la información y ciberseguridad.

k. Protección de las transacciones y los servicios en las redes públicas: Se debe

proteger la información que pasa a través de las redes públicas de las actividades
fraudulentas, controversias contractuales y divulgación y modificaciones no
autorizadas, así mismo se debe proteger la información que provenga de las
transacciones de los servicios de aplicación, para evitar las transmisiones
incompletas, desvíos, duplicado o reproducción no autorizados de mensajes.

l. Control para la transferencia de la información: La Administradora debe

implementar políticas, procedimientos y controles formales para la transferencia de
información a través del uso de todo tipo de equipos de comunicación; para lo cual
se deben emplear mecanismos de transferencia segura de la información del Sistema
de Pensiones entre la Administradora y terceros. Este nivel se seguridad de la
información y ciberseguridad incluye todos los medios de comunicación aprobados
por la Administradora, pudiendo ser correo electrónico, aplicaciones de
transferencia, herramientas colaborativas, chats y otros servicios.

7. SEGURIDAD DEL CICLO DE DESARROLLO DEL SOFTWARE

Superintendencia de Pensiones NP-DDN-20-23

 26

a. Seguridad en ingeniería del software: La Administradora debe establecer y aplicar

reglas de seguridad de la información y ciberseguridad durante el proceso de
desarrollo del software, para cumplir con la arquitectura de seguridad y las políticas
de seguridad que aplican a los servicios de tecnologías de la información y
comunicaciones.

b. Protección de entornos de desarrollo y pruebas: La Administradora debe establecer

y proteger adecuadamente los entornos de desarrollo, calidad y pruebas.

c. Revisión de la seguridad y aceptación: Antes de pasar a producción, la

Administradora debe de llevar a cabo revisiones de la funcionalidad, seguridad de la
información y ciberseguridad durante el desarrollo, para lo cual se debe establecer
programas de verificación de la aceptación y de los criterios relacionados con
respecto a los nuevos desarrollos, renovaciones y nuevas versiones.

8. SEGURIDAD DE LOS PROVEEDORES

a. Política de seguridad sobre las relaciones con los proveedores: La Administradora

debe identificar, establecer, evaluar, gestionar y acordar los mecanismos de gestión
del riesgo de la cadena de suministro de seguridad de la información y
ciberseguridad. Dentro de la política de seguridad de la información se deben
establecer lineamientos de seguridad sobre las relaciones con los proveedores.

b. Acuerdos y cadena de suministro de seguridad: Los contratos con proveedores

deben contener medidas apropiadas para cumplir con la política de seguridad de la
información y ciberseguridad, incluyendo la gestión de riesgos de la cadena de
suministro con cada proveedor que pueda acceder, procesar, almacenar, comunicar
o proveer con elementos de infraestructura tecnológica, información de la
Administradora.

c. Evaluación de servicios del proveedor: Se considera una buena práctica la

evaluación periódica de los proveedores para confirmar que cumplen con las
obligaciones contractuales con la Administradora, acordes a la política de seguridad
de la información y ciberseguridad.

d. Gestión de cambios en el servicio de los proveedores: Se espera que la

Administradora gestione los cambios en la provisión de los servicios prestados por
los proveedores, por lo cual debe aprobar, registrar y verificar que se realice en
cumplimiento con la política de seguridad de la información y ciberseguridad.

Superintendencia de Pensiones NP-DDN-20-23

 27

9. SEGURIDAD DE LA RECUPERACIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y

COMUNICACIONES.

a. Determinación de requisitos de resiliencia tecnológica y de seguridad: La

Administradora debe establecer los requisitos de resiliencia tecnológica, seguridad
de la información y ciberseguridad, para respaldar la entrega de servicios críticos de
tecnologías de la información y comunicaciones.
Los eventos que pueden causar interrupciones deben ser identificados, junto con la
probabilidad e impacto de dichas interrupciones y sus consecuencias para la
seguridad de información y ciberseguridad.

b. Implementación de los planes de recuperación: La Administradora debe establecer,

documentar, implementar y mantener procedimientos y controles para asegurar el
nivel necesario de recuperación de los servicios críticos de tecnología de la
información y comunicaciones considerando los requisitos de resiliencia tecnológica,
seguridad de la información y ciberseguridad, para asegurar la disponibilidad de los
servicios críticos de tecnología de la información y comunicaciones al nivel y en las
escalas de tiempo requeridas. Estos planes deben ser concordantes con el Plan de
Continuidad de Negocio o BCP (Business Continuity Planning).

c. Mantenimiento, prueba y mejora de los planes de recuperación: La Administradora

debe verificar los controles para la recuperación de los servicios críticos en
tecnologías de la información y comunicaciones establecidos y probar los planes de
recuperación implementados, periódicamente con la finalidad de asegurar su validez
y efectividad ante distintos escenarios de indisponibilidad, incluyendo los servicios
externalizados.

d. Redundancias e instalaciones de contingencia: La Administradora debe

implementar instalaciones de contingencia para los servicios críticos de tecnologías
de la información y comunicaciones y/o redundancias a nivel de cada capa con una
capacidad suficiente para cumplir con los requisitos de resiliencia tecnológica, de
seguridad de la información y ciberseguridad, en situaciones normales y ante
distintos escenarios de indisponibilidad.

10. SEGURIDAD DEL CUMPLIMIENTO

a. Propiedad intelectual, privacidad y protección de los registros: La Administradora

debe garantizar la propiedad intelectual, la privacidad y la protección de la
información de carácter personal, sensible y crítica. Los registros deben ser

Superintendencia de Pensiones NP-DDN-20-23

 28

protegidos contra la pérdida, destrucción, falsificación, divulgación y/o acceso no

autorizado, de acuerdo con las disposiciones legales y normativas, y la política de
seguridad de la información y ciberseguridad de la Administradora.

b. Revisión de cumplimiento técnico: La Administradora debe establecer un programa

de revisión de cumplimiento de controles y ejecutar la revisión de la política y
procedimientos de seguridad de la información y ciberseguridad. Esta revisión debe
abarcar todos los aspectos técnicos descritos en la política y procedimientos.

II. DISPOSICIONES TRANSITORIAS

La Administradora, dentro de los cinco días hábiles siguientes al término de cada trimestre del
año 2021, deberá remitir un informe en que indique detalladamente el grado de avance en la
implementación de las instrucciones impartidas mediante la presente Norma de Carácter
General.

III. VIGENCIA

La presente norma entrará en vigencia a contar del 1 de julio de 2021.

Sin perjuicio de lo anterior, las instrucciones impartidas en los números 2, 5 y 6, todos de la letra
B. Procesos Tácticos, del Capítulo II. Modelo de Gestión de Seguridad de la Información y
Ciberseguridad, del nuevo Título XVIII incorporado por la presente norma al Libro V. Aspectos
Administrativos y Operacionales de las Administradoras de Fondos de Pensiones y del Instituto
de Previsión Social, del Compendio de Normas del Sistema de Pensiones, regirán a contar del 3
de enero de 2022.

SUPERINTENDENCIA DE PENSIONES

Superintendencia de Pensiones NP-DDN-20-23

 29

ANEXO
DEFINICIONES

Actividad: Unidad mínima funcional que forma parte del proceso y debe ser ejecutada por un
rol perteneciente a la estructura organizacional que gestiona la seguridad de la información y
ciberseguridad de la Administradora. Las actividades deben ser incorporadas a los procesos de
la Administradora.

Acción correctiva: Acciones correctivas sobre hallazgos o desviaciones de actividades de control.

Activo de información: Conceptualización de un conjunto de componentes, recursos, datos o

bienes económicos, con significado, que tienen valor para la administración de los fondos de
pensiones y que se deben proteger.

Amenaza: Causa interna o externa con motivación y potencial para vulnerar un activo de
información de la Administradora.

Análisis de riesgos de seguridad de la información y ciberseguridad: Mecanismo a través del

cual se determina la probabilidad de que un riesgo pueda ocurrir.

Base de Conocimiento: Repositorio o base de datos que permite almacenar información, desde
políticas, manuales, instructivos, papeles de trabajo, entre otra documentación que sea
relevante para gestionar el conocimiento de los equipos de trabajo y el desarrollo de
competencias para mejorar su rendimiento y del proceso que administran.

Categoría de proceso: Un conjunto de procesos que guardan relación dentro de una misma área
general de actividades de las Administradoras.

Ciberamenaza: Tipo de amenaza especial que dirige vectores de ataque aprovechando el

ciberespacio.

Ciberataque: Cualquier incidente cibernético, provocado deliberadamente y que afecte a un

sistema informático.

Ciberespacio: Dominio global y dinámico dentro del entorno de la información que corresponde
al ambiente compuesto por las infraestructuras tecnológicas, los componentes lógicos de la
información, los datos (almacenados, procesados o transmitidos) que abarcan los dominios
físico, virtual y cognitivo y las interacciones sociales que se verifican en su interior.

Ciberseguridad: Conjunto de acciones posibles para la prevención, mitigación, investigación y

manejo de las amenazas e incidentes sobre los activos de información, datos y servicios, así

Superintendencia de Pensiones NP-DDN-20-23

 30

como para la reducción de los efectos de los mismos y del daño causado antes, durante y
después de su ocurrencia.

Confidencialidad: Principio de seguridad que requiere que la información solo pueda ser
accedida por quien tiene el privilegio y emplearla únicamente para los fines concedidos,
evitándose su divulgación no autorizada.

Control de información documentada del proceso: Aborda las siguientes actividades sobre la
información documentada del proceso: a) distribución, acceso, recuperación y uso; b)
almacenamiento y preservación; c) control de cambios y; d) conservación y disposición.

Control de seguridad de la información y ciberseguridad: Mecanismo que apoya a la

preservación de la confidencialidad, integridad o disponibilidad de los activos de información.

Control específico de seguridad de la información y ciberseguridad: Instrumento (política, plan,

instructivo, procedimiento, etc.) que emplea la Administradora dentro de sus procesos para
implementar un control de seguridad de la información y ciberseguridad.

Criterio de aceptación del riesgo: Regla o parámetro a través del cual la Administradora
establece las condiciones bajo las cuales acepta un riesgo.

Declaración obligatoria de controles DOC: Conjunto de controles, a través del cual la

Administradora se compromete y obliga a cumplir con todos o un conjunto de controles.

Debilidad de seguridad de la información y ciberseguridad: Ineficacia de un control de seguridad

de la información y ciberseguridad, destinado a contener riesgos de los activos de información.

Disponibilidad: Principio de seguridad que requiere que la información deba estar dispuesta en
su punto de uso para quienes tienen el acceso concedido.

Evaluación del riesgo: Mecanismo a través del cual se determinan las consecuencias e impactos
de un riesgo determinándose el nivel efectivo del riesgo.

Evento de seguridad de la información y ciberseguridad: Materialización de un riesgo de

seguridad de la información y ciberseguridad no deseado con efectos negativos poco relevantes
para la administradora.

Gestión de seguridad de la información y ciberseguridad: Conjunto de procesos mutuamente

cohesionados e interrelacionados para llevar a cabo la planificación, ejecución, verificación y
mejora de la seguridad de la información y ciberseguridad en la Administradora.

Superintendencia de Pensiones NP-DDN-20-23

 31

Incidente de seguridad de la información y ciberseguridad: Materialización de un riesgo de

seguridad de la información y ciberseguridad no deseado con efectos negativos considerables
para la Administradora.

Indicador: Mecanismo que permite darle significancia, con evidencia, del logro de metas de los
procesos. Los procesos tienen métricas para medir el logro de sus metas.

Integridad: Principio de seguridad que requiere que la información debe permanecer exacta y
completa. Los datos y elementos de configuración sólo son modificados por personal y
actividades autorizadas. La integridad considera todas las posibles causas de modificación,
incluyendo fallos software y hardware, eventos medioambientales e intervención humana.

Nivel de aceptación del riesgo: Indicador numérico que significa que el riesgo es aceptable por
la Administradora, por lo tanto, puede convivir con dicho riesgo. El nivel de aceptación del
riesgo constituye un criterio de aceptación del riesgo.

Objetivo de seguridad de la información y ciberseguridad: Fin de la gestión de la seguridad de

la información.

Oportunidad de mejora: Acciones destinadas optimizar las actividades desarrolladas por la

Administradora.

Parte interesada: Son todas las personas naturales y jurídicas que interactúan con la
Administradora, que afectan o se podrían ver afectadas por la gestión de la seguridad de la
información y ciberseguridad.

Proceso: Conjunto de actividades interrelacionadas mutuamente cuya ejecución agregan valor a

la Administradora y permite alcanzar los propósitos y resultados. Son ejecutados por roles, que
pertenecen a la estructura organizacional que gestiona la seguridad de la información y
ciberseguridad.

Requisito de seguridad de la información y ciberseguridad: Deber de la Administradora de

abordar y cumplir aspectos de seguridad de la información y ciberseguridad contenidos en
normas, contratos y de negocio (riesgos de seguridad de la información y ciberseguridad), que
afectan a las partes interesadas.

Resiliencia: Capacidad de los sistemas, equipos o redes para seguir operando pese a estar
sometidos a un incidente o ciberataque, aunque sea en un estado degradado, debilitado o
segmentado. Así como, incluye la capacidad de restaurar con presteza sus funciones esenciales
después de un incidente o ataque de modo de recuperarse con presteza de una interrupción,
por lo general con un efecto reconocible mínimo.

Superintendencia de Pensiones NP-DDN-20-23

 32

Riesgo de seguridad de la información y ciberseguridad: Probabilidad de que una amenaza o

ciberamenaza explote una vulnerabilidad de los activos de información impactando el logro de
los objetivos de seguridad de la información y ciberseguridad de la Administradora.

Riesgo inherente: Nivel de riesgo considerando que no existe ningún tipo de control.

Riesgo residual: Nivel de riesgo resultante después de implementar la respuesta de tratamiento

seleccionada.

Seguridad de la información: Conjunto de controles organizados que ayudan a preservar la

confidencialidad, integridad y disponibilidad de los activos de información, protegiéndolos de
las amenazas.

Tratamiento del riesgo: Mecanismo a través del cual se elige un tipo de respuesta para los
riesgos no tolerables o no aceptables. La respuesta puede ser: afrontar, evitar, transferir o
aceptar el riesgo.

Verificación: Determinar objetivamente que las actividades de los procesos se ejecutan en el

momento y forma establecido por la Administradora. La verificación puede dar lugar a
correcciones y/o mejoras de las actividades.

Vulnerabilidad: Debilidad de un activo o ausencia de un control de seguridad de la información

y ciberseguridad, que puede ser explotado por una o más amenazas informáticas.

Superintendencia de Pensiones NP-DDN-20-23