En términos estrictamente jurídicos, para una empresa, ser Operador de Importancia Vital (OIV) no es una ventaja competitiva, un beneficio ni un reconocimiento voluntario, sino una calificación regulatoria que impone obligaciones reforzadas en ciberseguridad, continuidad operacional y gobernanza. Sin embargo, desde una perspectiva estratégica y de negocio, sí puede transformarse en una ventaja competitiva relevante.
La Ley Marco de Ciberseguridad (Ley N°21.663) exige a los OIV un estándar de madurez superior al promedio del mercado, lo que implica contar con planes formales de continuidad operacional, sistemas de gestión de seguridad de la información y capacidades efectivas de prevención, detección, contención y recuperación frente a incidentes, además de un deber de reporte oportuno y trazable. Este exige gobernanza real: protocolos claros, criterios de evaluación de impacto, responsables definidos y decisiones documentadas, incluso cuando un incidente no resulta reportable.
Por lo tanto, este nombramiento se debe mirar como un beneficio para tener una ventaja competitiva en relación a la competencia. Además, es una oportunidad para fortalecer la seguridad de la información que incluye la ciberseguridad, la continuidad de negocio y avanzar en la gestión de riesgo operacional, entendiendo que la ventaja no está en el rótulo de OIV, sino en la capacidad de demostrar cumplimiento efectivo, gobernanza sólida y una gestión profesional del riesgo cibernético, lo que trae consigo beneficios reputacionales y comerciales evidentes.
Respecto a la Ley Marco de Ciberseguridad y las exigencias que realiza la Agencia Nacional de Ciberseguridad (ANCI) a las empresas OIV, hemos recibido diversas consultas, entre ellas:
Índice de temas
¿Puede el CISO ejercer como Delegado de Ciberseguridad?
Según la Ley N°21.663, el rol de Delegado de Ciberseguridad está orientado al cumplimiento normativo, la coordinación interna y la relación con la autoridad, por lo que sí es posible que esta función sea asumida por el CISO, siempre que se resguarde la debida independencia respecto de la gerencia de Tecnologías u otras áreas.
Hace años, prestamos el servicio de “CISO as a Service”, que permite a las empresas contar con un rol especializado, con foco en gobernanza y cumplimiento, sin necesidad de incorporarlo como cargo interno. Además, desarrollamos un curso específico de Delegado de Ciberseguridad, orientado a preparar a quienes asumirán este rol, para cumplir adecuadamente con las funciones y responsabilidades que exige la Ley N°21.663, incluyendo la modalidad de “Delegado de Ciberseguridad as a Service”.
Es importante recordar que las empresas OIV cuentan con un plazo de 60 días corridos para cumplir con esta obligación, plazo que vence a mediados de febrero.
¿Cuál es el perfil y rol del Delegado de Ciberseguridad?
Como foco principal, el Delegado de Ciberseguridad tiene la gestión y supervisión de la ciberseguridad desde una perspectiva más operativa y de gobierno tecnológico.
El curso Rol del Delegado de Ciberseguridad, dirigido a profesionales con experiencia previa en Ciberseguridad y/o Tecnologías de la Información, busca entregar una base común que permita ejercer este rol conforme a las exigencias de la ley, apoyándose en marcos y estándares reconocidos internacionalmente.
Referencias como ISO/IEC 27001 y 27002, ISO/IEC 27032, NIST CSF y CIS Controls permiten al Delegado comprender cómo se organizan los controles de seguridad y cómo se gestionan y comunican los riesgos de ciberseguridad, mientras que estándares como ISO 22301, ISO 22317 e ISO 31000 entregan el marco necesario para entender la continuidad operativa, el impacto de los incidentes y la toma de decisiones basada en riesgo. Todo ello resulta clave para una interlocución informada, coherente y defendible frente a la ANCI.
Más información en www.pallavicini.cl
