La Ley Marco de Ciberseguridad impone un nuevo estándar para las organizaciones que operan infraestructuras críticas en Chile. En esta entrevista, Myriam Pérez, Líder de la Mesa de Ciberseguridad de Chiletec, analiza qué implica ser Operador de Importancia Vital, los principales riesgos que enfrentan estas entidades, los desafíos culturales y técnicos para cumplir la normativa y el rol clave de la colaboración público-privada para fortalecer la resiliencia digital del país.
Índice de temas
¿Qué implica para una empresa ser designada OIV bajo este nuevo marco normativo?
Ser designado Operador de Importancia Vital implica que el Estado reconoce que la continuidad operacional de esa empresa es crítica para el funcionamiento del país, ya sea por su impacto en la seguridad, la economía, los servicios esenciales o los derechos de las personas. Bajo la Ley Marco de Ciberseguridad, estas organizaciones quedan sujetas al nivel más alto de exigencia regulatoria, con obligaciones reforzadas en gestión de riesgos, prevención, detección y respuesta a incidentes, además de una relación directa de supervisión con la Agencia Nacional de Ciberseguridad (ANCI). No se trata solo de cumplir controles técnicos, sino de demostrar capacidades reales de resiliencia.
En la práctica, esto exige un cambio profundo en la gobernanza de la ciberseguridad: involucramiento del directorio, responsabilidades ejecutivas claras, asignación de recursos y procesos formales de toma de decisiones. La ciberseguridad deja de ser un tema exclusivo del área TI y pasa a ser un asunto estratégico y de continuidad del negocio.
¿Cómo están abordando las organizaciones el cumplimiento de estas exigencias?
Desde lo que observamos en Chiletec, las organizaciones que están avanzando mejor han optado por un enfoque estructurado: diagnóstico de brechas frente a la ley y las instrucciones de la ANCI, fortalecimiento del modelo de gobierno y preparación concreta para la gestión de incidentes, incluyendo ejercicios y protocolos de respuesta. El principal desafío sigue siendo cultural y organizacional, pero también es una oportunidad para elevar el estándar país y profesionalizar la gestión de la ciberseguridad.
¿Cuáles son los riesgos operativos de ciberseguridad más críticos para los OIV?
Los riesgos más relevantes están asociados a interrupciones de servicio por ransomware, compromisos de infraestructuras críticas —especialmente en entornos OT, IoT y sistemas legacy— y fallas en la cadena de suministro, donde un tercero se transforma en el punto de entrada del ataque. A esto se suma el riesgo humano: errores operativos, credenciales comprometidas o falta de detección oportuna, que en un OIV pueden escalar rápidamente a impactos sistémicos sobre servicios esenciales, la economía o la seguridad de las personas.
¿Cómo deben gestionarse estos riesgos para evitar impactos de gran escala?
La gestión requiere ir más allá del control tecnológico aislado y adoptar una visión integral del riesgo cibernético, alineada con la continuidad operacional. Esto implica identificar y priorizar activos críticos, segmentar redes, asegurar respaldos inmutables y probados, fortalecer la gestión de identidades y accesos, y contar con capacidades reales de monitoreo y detección temprana. En paralelo, la gestión de terceros debe asumirse como un riesgo estratégico.
Además, los OIV deben prepararse para lo inevitable: los incidentes van a ocurrir, y la diferencia estará en la capacidad de respuesta y recuperación. Protocolos claros, ejercicios de simulación y coordinación interna y externa son fundamentales para proteger la confianza digital.
Desde el punto de vista tecnológico y de procesos, ¿cómo se alcanza un mayor nivel de madurez en ciberseguridad?
Las empresas OIV deben avanzar desde una seguridad reactiva hacia un modelo preventivo y gestionado, combinando tecnología, procesos y gobernanza. A nivel tecnológico, se requiere visibilidad completa de activos críticos, segmentación, gestión robusta de identidades, monitoreo continuo y respaldos resilientes. Pero estas capacidades solo funcionan si están alineadas con los riesgos reales del negocio.
En procesos, el foco debe estar en implementar un sistema de gestión de la ciberseguridad, con políticas claras, roles definidos, gestión de riesgos continua y respuesta a incidentes integrada a la continuidad operacional. La madurez se construye con disciplina, pruebas periódicas y mejora continua basada en métricas.
¿Cuáles son los mayores retos técnicos y organizativos para cumplir con las regulaciones?
Desde lo técnico, uno de los principales retos es la convivencia de infraestructuras modernas con entornos legacy, especialmente en sistemas industriales que no fueron diseñados con criterios de ciberseguridad. A esto se suma la complejidad de integrar múltiples marcos regulatorios sin duplicar esfuerzos. En lo organizativo, el desafío es romper los silos internos y llevar la ciberseguridad al nivel estratégico. Persisten brechas entre áreas técnicas, negocio y directorio, además de escasez de talento y limitaciones presupuestarias. Estos obstáculos se superan con una gobernanza clara, priorización basada en riesgo y una hoja de ruta realista.
¿Qué rol cumple el delegado de ciberseguridad en una organización OIV?
El delegado de ciberseguridad es el punto focal interno y externo. Coordina, supervisa y reporta la implementación de las medidas exigidas por la ley a la alta administración y al directorio, integrando el riesgo cibernético a la estrategia del negocio. No es un rol meramente técnico, sino transversal. Su presencia fortalece la gobernanza y ordena la relación con la ANCI, canalizando notificaciones, requerimientos y fiscalizaciones. En la práctica, reduce la improvisación ante crisis y mejora la trazabilidad del cumplimiento.
¿Cómo gestionar la ciberseguridad en la cadena de suministro y la colaboración con el ecosistema?
Un OIV debe reconocer que muchos riesgos críticos están en proveedores y servicios tercerizados. La estrategia debe centrarse en la gestión de riesgos de terceros, con identificación de proveedores críticos, estándares mínimos, cláusulas contractuales y evaluaciones periódicas. En paralelo, la colaboración con la ANCI, proveedores estratégicos y otros actores es clave. El intercambio de información y los ejercicios conjuntos fortalecen la detección y respuesta. La ciberseguridad es un desafío compartido entre sector público y privado.
A futuro, ¿qué tendencias influirán con mayor fuerza en la ciberseguridad de los OIV?
La inteligencia artificial y la automatización serán claves para mejorar la defensa, pero también elevarán la sofisticación de los ataques. Modelos como Zero Trust se consolidarán, especialmente en entornos híbridos y OT. Además, la computación cuántica ya obliga a planificar la transición hacia criptografía post-cuántica.
En lo normativo, veremos una convergencia internacional con regulaciones como NIS2, DORA y el Cyber Resilience Act, que elevarán el estándar de cumplimiento y la responsabilidad de la alta dirección.
Desde Chiletec, ¿cómo están apoyando a las empresas frente a la Ley Marco de Ciberseguridad?
Desde la Mesa de Ciberseguridad de Chiletec estamos trabajando para traducir la ley desde el plano normativo al práctico, especialmente para las empresas tecnológicas que proveen soluciones a los OIV. Impulsamos capacitaciones, mesas de trabajo y diálogo con el regulador, ayudando a entender el impacto real de la normativa.
Vemos una gran oportunidad de fortalecer la colaboración público-privada mediante pilotos, ejercicios conjuntos y construcción de estándares comunes. Si logramos alinear capacidades y expectativas, la Ley Marco de Ciberseguridad puede transformarse en un motor para elevar el nivel de ciberseguridad país y fortalecer la confianza digital.
