ES
La Ley Marco de Ciberseguridad (Ley 21.663) impone obligaciones regulatorias y operativas concretas a las organizaciones calificadas como Operadores de Importancia Vital en Chile. Desde el 1 de marzo de 2025, el régimen sancionador está activo y la ANCI tiene facultades plenas para fiscalizar y aplicar multas. Para muchas organizaciones, el reto no es entender qué exige la ley, sino saber por dónde empezar y cómo avanzar de forma ordenada sin paralizar la operación.
Un programa de cumplimiento efectivo no puede ser genérico ni sobredimensionado. Debe adaptarse al tamaño, la industria, el nivel de madurez tecnológica y el modelo operativo de cada organización. Debe alinearse con los plazos reales de la ANCI y con marcos internacionales como ISO 27001 y NIST CSF 2.0, y debe reducir el riesgo regulatorio de forma progresiva, medible y sostenible en el tiempo.
Fase 1: Formación — entender antes de actuar
Antes de implantar cualquier control técnico o estructura de gobernanza, las personas que toman decisiones deben entender qué exige realmente la ley. Esta fase busca transferir conocimiento ejecutivo y técnico sobre las obligaciones de la Ley 21.663.
Fase 2: Estrategia — gobernanza, GAP Analysis y hoja de ruta
Con el conocimiento ya asentado, la segunda fase construye la arquitectura de cumplimiento. Aquí se concentran tres acciones críticas: la designación formal del responsable de ciberseguridad, la ejecución de un GAP Analysis estructurado y la construcción de una hoja de ruta estratégica con hitos medibles y prioridades claras.
Fase 3: Gobierno y Operación — controles activos, continuidad y cultura
La tercera fase cubre el núcleo operativo del cumplimiento. Incluye la operación del SOC y la gestión de incidentes, la implantación del marco documental y del SGSI, la continuidad de negocio y recuperación ante desastres, y la gestión de riesgos de terceros junto con la concienciación del personal.
Fase 4: Diagnóstico técnico — validar que los controles funcionan en la realidad
Implantar controles no es suficiente. La cuarta fase tiene como objetivo validar técnicamente que lo que está sobre el papel funciona en la infraestructura real. Esto se consigue mediante assessments de arquitectura, red, servidores, cloud y entornos OT/SCADA, además de pruebas de pentesting orientadas a detectar vulnerabilidades explotables y riesgos reales.
Fase 5: Remediación técnica — cerrar brechas con mejoras verificables
El diagnóstico técnico solo aporta valor si se traduce en acciones concretas. La quinta fase cierra el ciclo con la corrección de vulnerabilidades identificadas, el cierre de brechas detectadas, la priorización según criticidad y la verificación de que las mejoras implantadas son efectivas y sostenibles.
La remediación no es el final del programa: es el punto de partida de la mejora continua. Las organizaciones que completan estas cinco fases no solo avanzan hacia el cumplimiento, sino que obtienen visibilidad sobre su situación frente a la ley, una estructura clara de roles y responsabilidades, riesgos priorizados y una mayor resiliencia ante incidentes y procesos de fiscalización.