La Ley N° 21.663 marca un antes y un después en la manera en que las organizaciones enfrentan la ciberseguridad en Chile. Más allá de exigencias técnicas, establece deberes concretos de reporte, gobernanza y gestión de incidentes.
En esta entrevista, cuatro expertos de Pallavicini, consultora boutique especializada en ciberseguridad, analizan los principales desafíos que plantea su cumplimiento y entregan una hoja de ruta para avanzar.
Índice de temas
¿Por qué el deber de reporte se ha convertido en una obligación clave para las organizaciones sujetas a la Ley 21.663?
Luis Burgos: Porque es la obligación más concreta e inmediata para las entidades calificadas como prestadores de servicios esenciales o como operadores de importancia vital. La ley exige reportar incidentes de ciberseguridad dentro de un plazo de tres horas desde que se detecte un efecto significativo, según los artículos 9° y 27°. Pero no basta con lo técnico: el proceso de reporte exige gobernanza. La entidad debe tener protocolos de escalamiento, criterios de impacto, responsables designados y documentación trazable. Incluso si se concluye que un incidente no es reportable, debe haber respaldo formal. El objetivo es que las organizaciones no solo reaccionen, sino que demuestren una capacidad efectiva de gestión ante amenazas digitales.
¿Están las empresas preparadas para dar cumplimiento a la Ley Marco de Ciberseguridad?
César Pallavicini: Si bien las grandes organizaciones reguladas o multinacionales han mejorado en riesgo operacional, muchas otras siguen al debe. Aún es común la ausencia de un CISO, de un comité de seguridad activo, o de políticas documentadas. Además, no existen protocolos para ciberextorsión, y muchos planes de continuidad están desactualizados, lo que dificulta una respuesta eficaz. Según cifras, menos de 300 empresas en Chile cuentan con certificación ISO 27001:2022, lo que evidencia una brecha importante en términos de madurez de ciberseguridad.
¿Qué rol cumple un SGSI ISO 27001 en el cumplimiento de esta ley?
Pietro Pallavicini: Desarrollar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001 es clave para cumplir con esta ley. Representa un piso mínimo estructurado, con mejores prácticas que facilitan la respuesta a incidentes, fortalecen la comunicación con autoridades y generan confianza entre stakeholders. Junto con los controles de la ISO 27002, el SGSI permite ordenar y escalar la gestión de ciberseguridad con lógica de mejora continua.
¿La certificación ISO 27001:2022 resuelve por completo las exigencias de la ley?
César Pallavicini: No del todo, pero es un paso fundamental. Se complementa con otros marcos como ISO 27032 (ciberseguridad), el NIST CSF y la ISO 27701 (privacidad de datos). Esta última es clave para cumplir con el enfoque de protección de datos personales que exige la nueva legislación, aunque aún es poco conocida en el país.
¿Qué pasos concretos recomiendan para el cumplimiento de la Ley Marco de Ciberseguridad?
Cristian Aguayo: Frente a un marco normativo más exigente, proponemos cinco pasos esenciales para avanzar en el cumplimiento de la Ley Marco de Ciberseguridad:
- Diagnóstico de madurez: evaluar brechas frente a ISO 27001, ISO 27032 y NIST CSF.
- Inventario de activos críticos: identificar los procesos y servicios clave que afectan la continuidad.
- Gestión de incidentes: implementar procesos formales, probados y actualizados al menos anualmente.
- Gobernanza del reporte: definir roles, flujos y responsabilidad directiva para notificar a ANCI y otras autoridades.
- Capacitación y simulacros: entrenar equipos, realizar ejercicios reales y validar los protocolos.
Todo esto debe integrarse en un playbook institucional que incluya políticas, escalamiento, criterios de decisión y responsables definidos. La alta dirección debe involucrarse activamente, no solo para cumplir normativas, sino para proteger la continuidad operativa y la reputación de la organización.
