ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 2 min de lectura · Intermedio

Acciones inmediatas para la Alta Dirección ante la Ley Marco de Ciberseguridad

La Ley 21.663 ya no es teórica. Hoja de ruta de acciones críticas para Alta Dirección: clasificación PSE/OIV, delegado de ciberseguridad, prueba de 3 horas y proveedores críticos.

ley 21.663ANCIcompliancegobernanzaOIVChileciberseguridad

La responsabilidad es de la Alta Dirección

La Ley Marco de Ciberseguridad ya no es un ejercicio teórico ni delegable solo a TI.

Hoy, la responsabilidad recae directamente en la Alta Dirección, y los plazos regulatorios avanzan más rápido que la madurez real de muchas organizaciones.

Acciones clave que no pueden esperar

1. Verificar la clasificación (PSE / OIV)

Confirme formalmente el estatus regulatorio y los plazos de apelación. Un error aquí implica obligaciones y sanciones mal dimensionadas.

Preguntas clave:

  • ¿Su organización es Prestador de Servicios Esenciales (PSE)?
  • ¿Es o podría ser clasificada como Operador de Infraestructura Vital (OIV)?
  • ¿Conoce los plazos específicos que aplican a su clasificación?

2. Designar el Delegado de Ciberseguridad

El rol debe tener:

  • Independencia de TI: no puede reportar al CIO
  • Reporte a la Alta Dirección: acceso directo al directorio
  • Notificación formal a la ANCI: registro del nombramiento

No es simbólico: es un rol fiscalizable.

3. Ejecutar la “Prueba de las 3 Horas”

Simule un incidente real:

  • Cambio de credenciales comprometidas
  • Bloqueo remoto de accesos
  • Aislamiento de sistemas afectados
  • Notificación a la ANCI dentro del plazo

Si no se puede ejecutar, no hay capacidad real de contención.

La Ley 21.663 establece 3 horas para reportar incidentes significativos. Si tu organización no puede completar estas acciones en ese plazo, el gap es crítico.

4. Revisar proveedores críticos

Audite contratos y valide:

  • Cláusulas de reporte de incidentes
  • Tiempos de notificación comprometidos
  • Responsabilidades claras ante brechas
  • Derecho a auditar controles de seguridad del proveedor

La cadena de suministro es hoy uno de los mayores vectores de riesgo.

5. Registro y accesos en plataforma ANCI

Verifique que:

  • Los accesos estén vigentes
  • Los responsables estén claramente definidos
  • Los mecanismos de autenticación sean robustos

El día del incidente no es momento de recuperar contraseñas.

Consejos estratégicos para líderes

Gobernanza primero, tecnología después

Sin roles, decisiones y trazabilidad, la tecnología no protege. El firewall más caro del mundo no sirve si nadie sabe quién toma la decisión de contención a las 2 AM.

No confunda documentación con capacidad real

Un procedimiento no probado es solo un archivo. La diferencia entre cumplimiento y capacidad se demuestra en un ejercicio de simulación, no en una carpeta de documentos.

Prepare evidencia, no discursos

La fiscalización se basa en hechos, registros y pruebas ejecutadas. Tenga listas de verificación completadas, logs de ejercicios realizados y evidencia de capacitaciones.

Involucre al directorio

Ciberseguridad hoy es riesgo corporativo, no solo técnico. El directorio debe entender:

  • Qué obligaciones tiene la organización
  • Qué sanciones aplican por incumplimiento
  • Cuál es el estado real de preparación
  • Qué inversiones se requieren

Mensaje clave

La pregunta ya no es “¿nos van a fiscalizar?”

La pregunta correcta es: ¿estamos realmente preparados para responder cuando ocurra el incidente?

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

Artículos relacionados

·5 min de lectura
Comparativa: Ley 21.663 (Ciberseguridad) vs Ley 21.719 (Datos Personales)
ley 21.663ley 21.719ciberseguridad
·6 min de lectura
Ley 21.663: Marco de Ciberseguridad en Chile
ciberseguridadley 21.663ANCI
·5 min de lectura
Tienes 3 Horas para Reportar el Incidente a la ANCI
ANCIley 21.663respuesta a incidentes

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo