SUSESO publica normativa de ciberseguridad para Cajas de Compensación
26 de mayo de 2021
Santiago, 26 de mayo. En una ceremonia virtual, la Superintendencia de Seguridad Social publicó hoy una circular trabajada junto al Equipo de Respuesta ante Incidentes de Seguridad Informática CSIRT del Ministerio del Interior, sobre ciberseguridad para regular a las Cajas de Compensación y Asignación Familiar ante incidencias como ciberataques o incidencias digitales que pongan en riesgo la seguridad de la información administrada por estas instituciones.
En la actividad, la Superintendenta (s) de Seguridad Social, Patricia Soto Altamirano, valoró la adaptación institucional a los nuevos riesgos en la era digital: "Quiero destacar el rol de nuestra Superintendencia como regulador y fiscalizador, y el trabajo que realizan nuestros equipos para actualizar permanentemente su normativa y avanzar en materias que exigen estos nuevos tiempos."
Por su parte, el Intendente de Beneficios Sociales, César Rodríguez, destacó al equipo de trabajo y la excelencia técnica demostrada en el proceso de elaboración de esta circular: "En esta oportunidad, es relevante destacar a los equipos técnicos que hicieron posible esta nueva normativa, que ha sido trabajada de manera conjunta con el CSIRT del Ministerio del Interior y que estamos seguro será un gran aporte para resguardar la seguridad de la información en caso de cualquier incidencia."
A su vez, Cristóbal Hammersley, asesor jurídico del Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministerio del Interior, CSIRT, resaltó el objetivo de dicha circular: "Incidentes siempre van a haber, y en este caso, esta norma no garantiza que no existan incidencias, lo importante es que existan un plan para la gestión de las mismas, en la ocurrencia de ella, y que así los datos de las personas estén protegidos y la continuidad de servicio no se vea afectada."
Representando a las Cajas de Compensación y Asignación Familiar, Tomás Campero, Presidente de Cajas de Chile remarcó el valor de la circular: "Me gustaría destacar lo relevante que es cuidar la data y la continuidad de los servicios en seguridad social, que es probablemente de la actividad más masiva que hay, donde aparece información sensible como las licencias médicas, los créditos sociales, etc. Por tanto, es necesario que tengamos estándares muy altos para la gestión de dichos datos".
La Circular N°3594 establece la obligación para las CCAF de reportar un ciberincidente, realizando, además, una autoevaluación anual en la materia. En cuanto al reporte de un ciberincidente, se establece la obligación para las Cajas de reportarlo en el lapso de una hora de tomado conocimiento de su ocurrencia, a las seis horas y a los 10 días, con exigencias escalonadas y diferenciadas según la época del reporte. En lo relativo a la entrada en vigencia de las instrucciones contenidas en la Circular, se ha considerado razonable que ello ocurra a partir del 1º de enero de 2022. Lo anterior, con la finalidad que tanto las CCAF como esta Superintendencia puedan implementar las respectivas adecuaciones de carácter operativo.