Preparación para el cumplimiento de la Ley Marco de Ciberseguridad y la ANCI

César Pallavicini Z. CEO de Pallavicini Consultores

30 de Agosto 2025 

Con la promulgación de la Ley Marco de Ciberseguridad Nro. 21.663)  y posterior creación de la Agencia Nacional de Ciberseguridad (ANCI), las empresas están analizando como cumplir con la Ley antes mencionada.  Se ha creado la  Agencia Nacional de Ciberseguridad (ANCI), que  establece obligaciones para la gestión de incidentes, auditorías y capacitación en ciberseguridad. Está logrando una mayor preocupación de los directivos de empresas, en el cumplimiento de la ley y evitar las multas establecidas, lo que ha generado mayor participación en eventos sobre el tema y consultas con relación a cómo establecer un plan de acción concreto.

 

Al considerar que las grandes organizaciones, especialmente aquellas reguladas y multinacionales, han aumentado su madurez en materia de riesgo operacional en los últimos años, lamentablemente, no ocurre lo mismo con el resto, ya que hemos podido constatar que muchas empresas aún no han implementado la gestión y gobernanza en seguridad de la información. Esto se refleja en la ausencia  del Rol de Oficial de Seguridad de la Información (CISO),  la inexistencia de un comité de seguridad de la información que sesione mensualmente,  la falta de políticas y procedimientos documentados que respalden esta gestión, la falta de un protocolo formal que responda a “¿Si nos extorsionan virtualmente, pagamos rescate negociando con atacantes?”, carencia o actualización de un plan de continuidad del negocio, que permita una rápida recuperación de los procesos de negocio y así dar una respuesta eficaz frente a eventos disruptivos. Además, es relevante señalar que, según estadísticas, menos de 300 empresas en Chile se encuentran certificadas bajo la norma ISO 27001:2022.

 

Podemos afirmar que desarrollar un Sistema de Gestión de Seguridad de la Información (SGSI) resulta fundamental para cumplir con la Ley Marco de Ciberseguridad en Chile, ya que proporciona las mejores prácticas y representa un desde, respecto a la Ley antes mencionada. Además, las empresas que implementan un SGSI pueden optar a la certificación del mismo, lo que implica marcar una diferencia estratégica en su negocio, generando confianza en los stakeholders y obteniendo una ventaja competitiva.

 

El SGSI 27001:2022, junto con los controles establecidos en la ISO 27002 sobre Gestión de Incidentes de Ciberseguridad, ayuda a cumplir y estar preparadas para gestionar y responder a incidentes de ciberseguridad, minimizando su impacto y facilitando la comunicación con las autoridades competentes.

 

Si bien esta certificación, no resuelve la brecha del cumplimiento de la Ley, representa una base y un paso importante para avanzar, ya que la norma ISO 27001:2022 se relaciona con otros estándares como la ISO 27032 (Controles de Ciberseguridad), el framework NIST, y la norma ISO 27701: Gestión de la Información de Privacidad, esta última poco conocida en Chile y también certificable.

Finalmente, la forma de abordar el tema con acciones concretas para el cumplimiento de la ley, pueden ser:

  1. Diagnóstico inicial de madurez: Evaluar la situación actual en materia de ciberseguridad, identificando brechas frente a estándares reconocidos como ISO 27001, 27032 y NIST CSF. Esta evaluación permitirá establecer prioridades y acciones para mitigar la brecha.
  2. Revisión del inventario de activos de información críticos: Identificar qué procesos, servicios o plataformas tecnológicas, podrían afectar la continuidad operativa, en caso de incidentes de ciberseguridad.
  3. Diseño e implementación de un proceso de gestión de incidentes de ciberseguridad. Este proceso debe ser probado, entrenado y revisado al menos una vez al año.
  4. Establecer la gobernanza del reporte: Definir quién decide, quién reporta y cómo se documentan las decisiones. Esto incluye involucrar a la alta dirección, comité de seguridad de la información y así demostrar formalidad  ante la ANCI y otras autoridades regulatorias.

Capacitación y simulacros: No basta con tener documentos; es imprescindible entrenar a los equipos clave. Simular incidentes reales, permite validar tiempos de reacción, revisar responsabilidades y mejorar la respuesta institucional.
Este proceso debe comprender Playbook, una política formal, procedimientos claros, protocolos de escalamiento, criterios de decisión y designación de responsabilidades. La alta dirección debe participar activamente en la decisión de reportar, evaluando no solo el cumplimiento normativo, sino también los posibles efectos sobre la continuidad del negocio y la reputación institucional.