ES
La Ley Marco de Ciberseguridad (Ley 21.663) impone obligaciones regulatorias y operativas concretas a las organizaciones calificadas como Operadores de Importancia Vital en Chile. Desde el 1 de marzo de 2025, el régimen sancionatorio está activo y la ANCI tiene facultades plenas para fiscalizar y aplicar multas. Para muchas organizaciones, el desafío no es entender qué exige la ley, sino saber por dónde empezar y cómo avanzar de manera ordenada sin frenar la operación.
Un programa de cumplimiento efectivo no puede ser genérico ni sobredimensionado. Debe adaptarse al tamaño, la industria, el nivel de madurez tecnológica y el modelo operativo de cada organización. Debe alinearse con los plazos reales de la ANCI y con marcos internacionales como ISO 27001 y NIST CSF 2.0, y debe reducir el riesgo regulatorio de forma progresiva, medible y sostenible en el tiempo.
Fase 1: Capacitación — entender antes de actuar
Antes de implementar cualquier control técnico o estructura de gobernanza, las personas que toman decisiones deben entender qué exige realmente la ley. Esta fase busca transferir conocimiento ejecutivo y técnico sobre las obligaciones de la Ley 21.663.
Fase 2: Estrategia — gobernanza, GAP Analysis y roadmap
Con el conocimiento ya incorporado, la segunda fase construye la arquitectura de cumplimiento. Acá se concentran tres acciones críticas: la designación formal del responsable de ciberseguridad, la ejecución de un GAP Analysis estructurado y la construcción de un roadmap estratégico con hitos medibles y prioridades claras.
Fase 3: Gobierno y Operación — controles activos, continuidad y cultura
La tercera fase cubre el núcleo operativo del cumplimiento. Incluye la operación del SOC y la gestión de incidentes, la implementación del marco documental y del SGSI, la continuidad del negocio y recuperación ante desastres, y la gestión de riesgos de terceros junto con la concientización del personal.
Fase 4: Diagnóstico técnico — validar que los controles funcionan en la realidad
Implementar controles no es suficiente. La cuarta fase tiene como objetivo validar técnicamente que lo que está sobre el papel funciona en la infraestructura real. Esto se logra mediante assessments de arquitectura, red, servidores, cloud y entornos OT/SCADA, además de pruebas de pentesting orientadas a detectar vulnerabilidades explotables y riesgos reales.
Fase 5: Remediación técnica — cerrar brechas con mejoras verificables
El diagnóstico técnico solo tiene valor si se traduce en acciones concretas. La quinta fase cierra el ciclo con la corrección de vulnerabilidades identificadas, el cierre de brechas detectadas, la priorización según criticidad y la verificación de que las mejoras implementadas son efectivas y sostenibles.
La remediación no es el final del programa: es el punto de partida de la mejora continua. Las organizaciones que completan estas cinco fases no solo avanzan hacia el cumplimiento, sino que obtienen visibilidad sobre su situación frente a la ley, una estructura clara de roles y responsabilidades, riesgos priorizados y una mayor resiliencia ante incidentes y procesos de fiscalización.