ES
La Ley Marco de Ciberseguridad (Ley 21.663) impone obligaciones regulatorias y operativas concretas a las organizaciones calificadas como Operadores de Importancia Vital (OIV) en Chile. Desde el 1 de marzo de 2025, el régimen sancionatorio está activo y la Agencia Nacional de Ciberseguridad (ANCI) tiene facultades plenas para fiscalizar y aplicar multas. Para muchas organizaciones, el desafío no es entender qué exige la ley —eso lo cubrimos en los dos artículos anteriores de este newsletter—, sino saber por dónde empezar y cómo avanzar de forma ordenada sin paralizar la operación.
Un programa de cumplimiento efectivo no puede ser genérico ni sobredimensionado. Debe adaptarse al tamaño, la industria, el nivel de madurez tecnológica y el modelo operativo de cada organización. Debe alinearse con los plazos reales de la ANCI y con marcos internacionales como ISO 27001 y NIST CSF 2.0, y debe reducir el riesgo regulatorio de forma progresiva, medible y sostenible en el tiempo. Con esa lógica, Insside estructuró su programa de cumplimiento en cinco fases secuenciales que acompañan a las organizaciones desde la comprensión inicial de la norma hasta la remediación técnica de las brechas críticas.
Fase 1: Capacitación — entender antes de actuar
Antes de implementar cualquier control técnico o estructura de gobernanza, las personas que toman decisiones deben entender qué exige realmente la ley. Esta primera fase tiene como objetivo transferir conocimiento ejecutivo y técnico sobre las obligaciones de la Ley 21.663: qué significa ser calificado como OIV, cuáles son los plazos regulatorios que no admiten excusas y cuáles son las implicancias prácticas para la organización en términos de responsabilidad, estructura y recursos.
Esta fase es frecuentemente subestimada. Sin embargo, un directorio o un equipo ejecutivo que no entiende el alcance de la ley tomará decisiones de inversión equivocadas, subestimará los tiempos de implementación y llegará a una fiscalización sin la conciencia institucional necesaria para responder con coherencia. La capacitación no es un trámite: es la base sobre la que se sostiene todo lo que viene después.
Entregables: Talleres ejecutivos y técnicos adaptados al perfil de la organización, material de referencia sobre obligaciones regulatorias y plazos, y un diagnóstico inicial de nivel de conocimiento institucional.
Fase 2: Estrategia — gobernanza, GAP Analysis y roadmap
Con el conocimiento instalado, la segunda fase construye la arquitectura de cumplimiento. Aquí se concentran tres acciones críticas. La primera es la designación formal del responsable de ciberseguridad e inscripción ante la ANCI, requisito legal explícito de la Ley 21.663. La segunda es la ejecución de un GAP Analysis estructurado contra marcos internacionales reconocidos (NIST CSF 2.0, ISO 27001), que permite mapear el estado actual de los controles frente a los requerimientos de la norma e identificar las brechas con mayor exposición al riesgo. La tercera es la construcción del roadmap estratégico: un plan con hitos medibles, prioridades claras y alineación tanto con los plazos de la ANCI como con los objetivos del negocio.
Para organizaciones que no cuentan con un CISO interno con la dedicación suficiente, Insside ofrece el servicio de vCISO, que permite cubrir el rol de responsable de ciberseguridad de forma externa y con acompañamiento continuo, manteniendo la capacidad de decisión y escalamiento que la ley exige.
Entregables: GAP Analysis con mapa de brechas priorizado, designación y registro formal del responsable de ciberseguridad, roadmap estratégico con hitos y plazos alineados a la ANCI.
Fase 3: Gobierno y Operación — controles activos, continuidad y cultura
La tercera fase es la más extensa porque cubre el núcleo operativo del cumplimiento. Se divide en cuatro grandes áreas que deben funcionar de manera integrada.
La primera es la operación del SOC y la gestión de incidentes: monitoreo y detección continua de eventos de seguridad, visibilidad en tiempo real con alertas tempranas, y soporte operativo para cumplir con los plazos de notificación al CSIRT Nacional establecidos por la ley. Insside opera un SOC IT-OT con cobertura 24×7 y capacidad de generar los reportes reglamentarios en los tiempos exigidos.
La segunda es la implementación del marco documental y el Sistema de Gestión de Seguridad de la Información (SGSI): la definición e implementación de políticas, procedimientos y evidencias auditables que demuestren el cumplimiento ante una fiscalización de la ANCI. En ciberseguridad regulatoria, lo que no está documentado no existe.
La tercera área comprende la continuidad del negocio y recuperación ante desastres (BCP/DRP): el diseño y validación de planes con foco en los servicios y activos críticos, con tiempos objetivo definidos (RTO/RPO) y alineación con los requisitos de resiliencia operacional que la ley exige a los OIV.
La cuarta es la gestión de riesgos de terceros y la concientización del personal: evaluación de proveedores críticos, incorporación de cláusulas contractuales de ciberseguridad y un programa continuo de formación del equipo interno orientado a reducir el riesgo humano, que sigue siendo el vector de ataque más frecuente y el más difícil de controlar con tecnología sola.
Entregables: SOC operativo con reportes de incidentes alineados al CSIRT, SGSI documentado y auditable, planes BCP/DRP probados con métricas RTO/RPO, evaluación de proveedores críticos y programa de concientización.
Fase 4: Diagnóstico Técnico — validar que los controles funcionan en la realidad
Implementar controles no es suficiente. La cuarta fase tiene como propósito validar técnicamente que lo que está sobre el papel funciona en la infraestructura real de la organización. Esto se logra mediante una batería de assessments y ejercicios ofensivos estructurados.
El assessment de arquitectura de ciberseguridad evalúa el diseño global del entorno: identifica brechas estructurales, dependencias críticas y oportunidades de mejora que no son visibles en el día a día operativo. El assessment de red revisa la infraestructura de red, sus configuraciones, segmentación y controles de seguridad. El assessment de servidores evalúa el hardening, las configuraciones y la exposición a vulnerabilidades en los sistemas operativos. El assessment de cloud analiza los entornos IaaS, PaaS y SaaS: configuraciones, gestión de identidades y accesos, y postura de seguridad en la nube. El assessment de entornos OT/SCADA revisa la seguridad de los sistemas de control industrial, especialmente relevante para OIV de sectores como energía, agua y transporte.
A esto se suma el pentesting con foco en identificar vulnerabilidades explotables y riesgos reales, no solo teóricos. Este punto marca la diferencia entre saber que se implementó un control y saber que ese control resiste un ataque real.
Entregables: Informes de assessment por dominio (arquitectura, red, servidores, cloud, OT), informe de pentesting con hallazgos clasificados por severidad, matriz consolidada de vulnerabilidades con priorización de remediación.
Fase 5: Remediación Técnica — cerrar las brechas con mejoras verificables
El diagnóstico técnico de la fase anterior no tiene valor si no se traduce en acciones concretas. La quinta fase cierra el ciclo: corrección de vulnerabilidades identificadas, cierre de las brechas detectadas en la fase 4, priorización por nivel de riesgo crítico y verificación de que las mejoras implementadas son efectivas y sostenibles.
Insside ejecuta esta fase con equipos multidisciplinarios que combinan capacidades ofensivas, defensivas y de gobierno. Esta triple perspectiva garantiza que la remediación cubra tanto los aspectos técnicos —vulnerabilidades en sistemas, configuraciones y arquitectura— como los normativos, asegurando que cada mejora contribuya a reducir el riesgo regulatorio frente a la Ley 21.663.
La remediación no es el final del programa: es el punto de partida de la mejora continua. Las organizaciones que completan las cinco fases no solo están en cumplimiento: tienen visibilidad clara de su situación frente a la ley, una estructura de roles y responsabilidades definida, riesgos priorizados y controlados, y mayor resiliencia ante incidentes y procesos de fiscalización.
Entregables: Plan de remediación ejecutado con evidencias de cierre, re-testing de vulnerabilidades críticas, informe de estado final de cumplimiento frente a la Ley 21.663.
El punto de partida importa más que el punto de llegada
Muchas organizaciones se encuentran en distintas etapas frente a la Ley 21.663. Algunas ya tienen controles implementados pero carecen de gobernanza formal. Otras tienen la estructura pero no han validado técnicamente que sus controles funcionan. La mayoría enfrenta la norma con incertidumbre sobre qué priorizar y cómo demostrarlo ante la ANCI.
Contar con un modelo estructurado en fases permite entender exactamente dónde está la organización, qué requiere para avanzar y cómo hacerlo sin impactos innecesarios en la operación. Insside acompaña este proceso de forma integral, desde la comprensión inicial de la normativa hasta la remediación técnica y la mejora continua. Para organizaciones que necesitan cumplir los plazos del CSIRT, Insside pone a disposición su IR Retainer: un servicio de respuesta a incidentes que incluye contención, análisis forense y elaboración de los reportes reglamentarios. Con 18 años de experiencia en GRC y un SOC IT-OT líder en la región, Insside es el partner especializado para convertir el cumplimiento en una ventaja operativa.