SUSESO publica normativa en materia de ciberseguridad desarrollada junto al CSIRT de Gobierno
04 de marzo de 2021
-
En presencia del Subsecretario del Interior, Juan Francisco Galli, la Superintendenta (s) de Seguridad Social (SUSESO), Patricia Soto Altamirano, firmó hoy la circular que fija los estándares y normativas para la gestión de la información e implementación de la ciberseguridad desarrollada por la Intendencia de Seguridad y Salud en el Trabajo (ISESAT), iniciativa llevada a cabo junto al Equipo de Respuesta Ante Incidentes de Seguridad Informática (CSIRT) de Gobierno.
-
Con esta firma se concreta un importante hito en cuanto al trabajo que ha estado realizando el Gobierno con las superintendencias para entregar los lineamientos de ciberseguridad a los sectores no regulados, y así proteger y cuidar la información y datos de los chilenos e instituciones.
Santiago, 4 de marzo de 2021. En una reunión encabezada por el Subsecretario del Interior, Juan Francisco Galli en La Moneda, junto con la Superintendenta (s) de Seguridad Social, Patricia Soto Altamirano, se llevó a cabo la firma de la Normativa de Ciberseguridad para la Gestión de la Seguridad de la Información que será aplicada a las mutuales, entidades fiscalizadas por la Intendencia de Seguridad y Salud en el Trabajo.
En 2020 la Subsecretaría del Interior, a través del Equipo de Respuesta Ante Incidentes de Seguridad Informática (CSIRT de Gobierno), comenzó a trabajar en conjunto con las distintas Superintendencias y Subsecretarías "para entregar lineamientos que permitan establecer estándares de ciberseguridad, y así fortalecer a las entidades y proteger su información. Para esto, definimos pilares que aseguran que cada organización cuente con medidas de análisis de riesgo, prevención y gestión de la ciberseguridad, criterios de notificación y notificación", explica el Subsecretario del Interior, Juan Francisco Galli.
Gracias al trabajo en conjunto con el CSIRT, la SUSESO cuenta con esta normativa de ciberseguridad ya firmada. Esto significa que gran parte de las entidades fiscalizadas por la Intendencia de Seguridad y Salud en el Trabajo, dependiente de la SUSESO, deberán seguir reglamentos generales de ciberseguridad comunes, que aseguren una mayor protección de su información y de los datos personales de sus usuarios, además de una coordinación más rápida en el caso de sufrir incidentes de seguridad.
"Hemos trabajado arduamente para elevar los estándares de gestión de la información por parte de nuestros organismos regulados y fiscalizados, pues la información que ellos administran es de carácter sensible y privada, por tanto, debe ser resguardada de cualquier tipo de amenaza" señaló Patricia Soto Altamirano, Superintendenta (s) de Seguridad Social.
Algunos de los puntos que aborda la normativa en materia de ciberseguridad son:
Gestión del riesgo: Analizar el impacto operacional de los riesgos, establecer controles para la mitigación de los mismos y definir el ciclo de vida de un incidente. Por lo tanto, considera la prevención, detección, análisis, notificación, contención, radicación, recuperación, documentación del incidente y su escalamiento a las instancias respectivas.
Prevención y gestión de la ciberseguridad: Se proponen definiciones comunes, ya que el ecosistema digital es uno solo, y el objetivo es que todas las instituciones adquieran el mismo lenguaje respecto, por ejemplo, de los incidentes.
Criterios para notificar: Establece estándares comunes para determinar el tipo y nivel peligrosidad e impacto de los incidentes. Se deberá notificar si los incidentes son de riesgo grave, muy alto y alto.
Canales o vía de notificación: Se fija la manera en que se comunicarán los incidentes. Además, se deberá nombrar a una contraparte, un encargado suplente y un equipo de respuesta.
"Este es un importante avance en materia de ciberseguridad para Chile. Así, pese a que aún nos falta contar con una ley que regule a todos los sectores de la economía, esta normativa nos permite establecer criterios de seguridad a las instituciones supervisadas o reguladas, para también coordinarlas y sentar bases comunes en preparación para la eventual legislación. De esta manera, podemos proteger la información de todos los chilenos y asegurar la continuidad de las operaciones y servicios, aún sin existir todavía la ley. Esta firma concreta el trabajo que hemos realizado desde agosto con la Subsecretaría de Telecomunicaciones, y posteriormente con la SUSESO, además de otras superintendencias con las que igualmente estamos trabajando en la definición de normativas", enfatiza el Subsecretario del Interior.
A su vez, la Superintendenta (s) Patricia Soto Altamirano, anunció el inicio de trabajo conjunto entre la Intendencia de Beneficios Sociales (IBS) de SUSESO y CSIRT, para desarrollar colaborativamente la norma técnica en materia de ciberseguridad para las Cajas de Compensación y Asignación Familiar (CCAF): "Es prioridad para nuestra institución extender a otros ámbitos estas normativas, particularmente a las instituciones que manejan datos e información de la ciudadanía, como lo son las Cajas de Compensación, debido a los múltiples servicios que prestan en materia de seguridad social", aseveró la Superintendenta (s).
La normativa está disponible en el siguiente link