ES
La Ley Marco ya está vigente y su régimen sancionatorio opera desde marzo de 2025. Para los equipos responsables de ciberseguridad, compliance y dirección tecnológica, la pregunta ya no es si hay que cumplir, sino cómo hacerlo de manera eficiente y demostrable. Esta guía detalla los requisitos concretos y el orden lógico para abordarlos.
Paso 1: Determinar el alcance y tu categoría de obligado
Antes de cualquier acción técnica, es fundamental definir en qué categoría cae tu organización según la Ley 21.663. ¿Eres prestador de servicio esencial? ¿La ANCI te ha calificado o podría calificarte como Operador de Importancia Vital? La respuesta condiciona el nivel de exigencia aplicable y los plazos de implementación. Si las categorías y sus implicancias no te resultan claras, en el primer artículo de este newsletter las describimos en detalle.
Si aún no tienes claridad sobre tu alcance, el primer entregable debe ser un mapa de servicios críticos cruzado con la taxonomía sectorial de la ANCI.
Paso 2: Designar el responsable de ciberseguridad y estructurar la gobernanza
La ley exige nombrar un delegado de ciberseguridad con responsabilidades formales. Este rol debe contar con respaldo del directorio y capacidad para tomar decisiones o escalarlas ágilmente. Junto a ello, se recomienda constituir un comité de ciberseguridad y formalizar una matriz RACI que asigne responsabilidades claras entre áreas de IT, legal, operaciones y alta dirección.
La gobernanza documentada es fundamental: en una fiscalización, la ANCI verificará no solo lo que se hace sino también quién es responsable de cada control y con qué evidencia.
Paso 3: Ejecutar el GAP Analysis
El análisis de brechas es el diagnóstico de partida. Consiste en mapear el estado actual de los controles de seguridad de la organización frente a los requisitos de la Ley 21.663. El resultado es una priorización clara de qué implementar primero según criticidad, tiempo de remediación y exposición al riesgo.
Un GAP Analysis bien ejecutado evita inversiones redundantes y permite presentar a la dirección un roadmap con impacto real en reducción de riesgo.
Paso 4: Implementar el marco de gestión de riesgos
La ley requiere operar un programa formal de gestión de riesgos. El estándar de referencia más utilizado en la industria es el NIST Cybersecurity Framework 2.0, que estructura las capacidades de seguridad en seis funciones: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar.
El programa debe incluir un inventario actualizado de activos críticos, una evaluación de su nivel de criticidad y un registro de riesgos con tratamientos asignados y estados de avance.
Paso 5: Desplegar los controles técnicos base
La ley fija un mínimo de controles técnicos que toda organización obligada debe tener operativos. Estos incluyen la autenticación multifactor (MFA) en accesos críticos, el hardening de sistemas y servicios expuestos, la gestión sistemática de parches y vulnerabilidades, la política de backups con verificación periódica de restauración, y la retención de logs con capacidad de análisis forense.
Cada uno de estos controles debe estar documentado, configurado de forma consistente y revisado con periodicidad. La ausencia de evidencias es equivalente, ante una fiscalización, a la ausencia del control.
Paso 6: Operar capacidad de detección y respuesta 24×7
La ley exige que las organizaciones puedan detectar y responder a incidentes en cualquier momento. Esto implica contar con un SOC (Security Operations Center) o un servicio equivalente de MDR (Managed Detection and Response) que opere de forma continua, con playbooks de respuesta documentados y probados mediante ejercicios de mesa.
Para organizaciones que no tienen la escala para operar un SOC propio, la alternativa es contratar este servicio con un proveedor especializado que cuente con capacidad de generar los reportes exigidos por la ANCI y el CSIRT Nacional.
Paso 7: Integrar el flujo de reporte de incidentes
Uno de los cambios más operativos que introduce la ley es la obligación de reportar incidentes en plazos estrictos al CSIRT Nacional (3 horas para la alerta inicial, 72 horas para el reporte de situación, 15 días para el informe final; los OIV suman un plan correctivo en 7 días). La mecánica detallada de estos plazos y sus implicancias se desarrollan en el primer artículo de este newsletter.
Cumplir estos plazos requiere preparación previa: procedimientos claros de clasificación de incidentes, responsables de turno identificados, plantillas de reporte listas para completar y acceso al canal oficial de reporte del CSIRT. Ninguna de estas capacidades puede improvisarse en el momento de un incidente real.
Paso 8: Fortalecer la continuidad del negocio
La ley exige contar con planes de continuidad (BCP) y recuperación ante desastres (DRP) con tiempos objetivo definidos: RTO (Recovery Time Objective) y RPO (Recovery Point Objective). La organización debe someter estos planes a pruebas periódicas y los resultados deben quedar documentados.
Un BCP/DRP que solo existe en papel —sin pruebas que demuestren que funciona— no cumple con el espíritu ni la letra de la norma.
Paso 9: Gestionar la cadena de suministro
La seguridad de una organización depende también de sus proveedores. La ley exige realizar due diligence de seguridad sobre los terceros críticos e incorporar cláusulas contractuales de ciberseguridad que incluyan obligaciones de reporte ante incidentes que puedan afectar a tu organización.
Este punto suele ser subestimado y puede convertirse en un flanco de exposición importante en una fiscalización.
Paso 10: Preparar evidencias y tableros de control para la fiscalización
Todo lo anterior debe poder demostrarse. La ANCI tiene facultades de fiscalización y puede requerir evidencias de cumplimiento. Eso implica mantener un repositorio documental actualizado, tableros con KPIs de seguridad y registros de las actividades periódicas de revisión, prueba y mejora de controles.
Implementar es la mitad del trabajo. Demostrar que se implementó correctamente, con continuidad, es la otra mitad.
¿Necesitas acompañamiento para ejecutar estos pasos?
Insside tiene capacidad de ejecución directa en cada una de las áreas descritas en esta guía: desde el GAP Analysis inicial hasta la operación de un SOC 24×7 y la preparación de evidencias para fiscalización. En el siguiente artículo describimos las cinco fases del programa de cumplimiento de Insside, diseñado para llevar estas recomendaciones a la práctica de forma estructurada y medible.