Cumplimiento Normativo En Ciberseguridad: ¿Cómo Prepararse Para 2025?

Durante mucho tiempo, la regulación en ciberseguridad en Chile fue dispersa, poco clara y basada en normas sectoriales específicas. Eso cambió radicalmente con la llegada de la Ley Marco de Ciberseguridad (Ley N° 21.663), que se promulgó en abril de 2024. Con esta ley, el país dio un paso firme hacia una regulación unificada, donde el cumplimiento en ciberseguridad dejó de ser algo voluntario o “buena práctica” y pasó a ser un deber legal.

La Ley Marco de Ciberseguridad: Un antes y un después

Esta nueva legislación crea un marco común para proteger infraestructuras críticas, prevenir ataques informáticos y manejar los riesgos tecnológicos. Lo más importante es que cambia la mirada del Estado chileno: la ciberseguridad ya no es solo un tema técnico, ahora es una responsabilidad que abarca lo operativo, legal, reputacional y hasta comercial.

Entre los puntos clave de la ley destacan:

• La creación de la Agencia Nacional de Ciberseguridad (ANCI)
• La definición de operadores de importancia vital con estándares más exigentes
• La obligación de reportar incidentes dentro de plazos establecidos
• La necesidad de implementar medidas para prevenir, monitorear y responder a amenazas

Esta normativa no solo aplica a entidades públicas. También abarca a empresas privadas que ofrecen servicios esenciales, como telecomunicaciones, energía, salud, transporte, servicios digitales y financieros, debido al impacto que podrían tener en la cadena productiva, la seguridad y el bienestar de la población.

Ciberseguridad: Mucho más que un tema de TI

Con la nueva ley, la ciberseguridad pasa a ser parte del cumplimiento empresarial. Ya no basta con que el equipo de tecnología se encargue del tema. Ahora es necesario que trabajen en conjunto con áreas legales, auditoría, riesgos y gobierno corporativo.

Esto implica, por ejemplo:

• Incluir la ciberseguridad en los sistemas de gestión de compliance
• Rediseñar matrices de riesgo que consideren amenazas digitales
• Actualizar políticas internas para cumplir con lo que exige la ley
• Prepararse para auditorías y fiscalizaciones que liderará la ANCI

¿Quiénes deben empezar a moverse ahora?

Aunque el foco inicial está en las infraestructuras críticas, todo apunta a que el alcance de la ley se irá ampliando. Incluso si tu empresa no está en la primera línea regulatoria, conviene empezar a prepararse. ¿Por qué?

• Clientes y proveedores lo van a empezar a exigir como parte de sus propios estándares
• Un mal manejo de incidentes puede dañar seriamente la reputación de tu empresa
• Las certificaciones como ISO 27001 o auditorías de terceros empezarán a evaluar también el cumplimiento con la normativa chilena

Principales Obligaciones de la Ley Marco de Ciberseguridad para Empresas Chilenas

La entrada en vigor de la Ley Marco de Ciberseguridad en Chile no solo marca un hito en términos regulatorios. Esta, impone una serie de responsabilidades concretas que las empresas deben conocer y adoptar de forma proactiva. Este nuevo marco legal busca establecer un estándar mínimo de protección para la infraestructura digital del país, integrando la normativa de ciberseguridad a la lógica del compliance empresarial.

A continuación, revisamos las obligaciones más relevantes que deben considerar las organizaciones chilenas, en especial aquellas clasificadas como operadores de importancia vital.

Identificar y gestinar los riesgos cibernéticos

Las empresas sujetas a esta ley deben implementar un proceso formal de identificación, análisis, evaluación y tratamiento de riesgos asociados a la seguridad digital. Este proceso debe ser continuo, documentado y revisado periódicamente.

Esto implica:

• Mapear activos de información críticos
• Analizar amenazas relevantes para su entorno
• Establecer planes de mitigación, monitoreo y respuesta
• Integrar estos riesgos en el marco global de planes de recuperación 

Implementar medidas de protección mínimas

La ley establece que las organizaciones deben contar con mecanismos técnicos y organizacionales adecuados para proteger sus sistemas. Aunque no se enumeran controles específicos en la norma, se espera el cumplimiento de estándares reconocidos, como:

• Actualizaciones periódicas de dispositivos
• Capacitaciones contra phishing
• Mínimos privilegios en cuentas de usuario
• Respaldo periódico de información
• Segmentación de redes
• Mecanismos de seguridad en equipos de usuarios
• Sistemas antimalware
• Uso de Multiples factores de autenticación
• Uso institucional de gestor de contraseñas
• Copias de seguridad cifradas y automatizadas

Estas medidas deben estar alineadas con la criticidad de los servicios prestados y con el nivel de exposición de cada organización.

Notificar obligadamente los incidentes

Una de las obligaciones más estrictas introducidas por la ley marco de ciberseguridad es la notificación de incidentes. Las empresas tienen un plazo máximo de 72 horas desde la detección del incidente para informar a la Agencia Nacional de Ciberseguridad (ANCI).

Esta notificación debe incluir:

• Descripción del incidente
• Servicios afectados
• Acciones tomadas o planificadas
• Evaluación preliminar de impacto

El objetivo es permitir una reacción coordinada por parte del Estado y reducir el efecto cascada en otras infraestructuras o sectores relacionados.

Designar a los responsables y los canales de contacto

Cada entidad debe designar un oficial de ciberseguridad o responsable equivalente, con atribuciones para implementar y supervisar el cumplimiento de la normativa. Además, debe mantener actualizados sus datos de contacto frente a la ANCI para garantizar la comunicación fluida ante posibles emergencias.

Cooperar y colaborar

La ley promueve una lógica de colaboración entre actores críticos, impulsando la creación de redes sectoriales de información, mesas técnicas y espacios de coordinación. Las empresas deberán estar disponibles para compartir información técnica, indicadores de compromiso (IoCs), lecciones aprendidas y mejores prácticas.

Cómo Preparar a Tu Empresa Para el Cumplimiento Normativo en Ciberseguridad

El cumplimiento de la normativa de ciberseguridad en Chile no es automático ni se resuelve con una herramienta. Requiere una estrategia bien estructurada que combine procesos, personas, tecnologías y gobernanza. Prepararse correctamente para enfrentar los desafíos que impone la ley marco de ciberseguridad es, además de una exigencia legal, una oportunidad para fortalecer la resiliencia organizacional y posicionar a la empresa como referente en compliance empresarial.

A continuación, revisamos los pasos clave que toda organización puede seguir para prepararse para 2025.

Realizar un diagnóstico de madurez en ciberseguridad

Antes de implementar cambios, es fundamental entender el punto de partida. Un diagnóstico de madurez permite:

• Identificar brechas frente a las exigencias de la ley
• Evaluar capacidades actuales de detección, respuesta y recuperación
• Priorizar iniciativas en función de criticidad y riesgo

Este diagnóstico puede apoyarse en marcos internacionales como NIST CSF o ISO/IEC 27001, y debe incluir tanto aspectos técnicos como organizacionales.

Integrar la ciberseguridad en la gobernanza corporativa

La ciberseguridad y sus implicancias ya no son solo responsabilidad del área de TI. El directorio, la gerencia general y las áreas de cumplimiento deben entender el alcance de la ley y asumir un rol activo en su implementación.

Acciones recomendadas:

• Incluir la ciberseguridad en comités de gobierno corporativo
• Designar un responsable con autoridad y recursos
• Alinear la ciber seguridad  con los objetivos de negocio

Documentar políticas y procedimientos clave

La nueva legislación exige evidencia clara del cumplimiento. Por ello, se deben formalizar políticas y procesos como:

• Política de seguridad de la información
• Gestión de incidentes
• Planes de continuidad y recuperación
• Gestión de accesos y roles

Además, estas políticas deben estar alineadas con los requerimientos de la ANCI y ser conocidas por toda la organización.

Implementar programas de concientización y formación

Una estrategia de compliance empresarial en ciberseguridad requiere involucrar a todos los colaboradores. Esto se logra mediante formación continua y campañas internas permanentes que:

• Enseñen a reconocer amenazas (como phishing o malware)
• Refuercen el uso correcto de herramientas y sistemas
• Promuevan el reporte oportuno de incidentes

La cultura de seguridad debe ser parte del día a día, no una excepción.

Establecer un plan de respuesta ante incidentes

Toda organización debe contar con un plan claro y probado para responder ante un evento de ciberseguridad. Este plan debe incluir:

• Protocolo de activación
• Roles y responsables definidos
• Procedimientos de contención, análisis y recuperación
• Flujo de comunicación con autoridades y partes interesadas

Realizar simulacros al menos una vez al año es una buena práctica recomendada por la ANCI y estándares internacionales.

Errores Comunes en el Cumplimiento Normativo de Ciberseguridad (Y Cómo Evitarlos)

La implementación de un programa de cumplimiento normativo en ciberseguridad conlleva múltiples desafíos, especialmente bajo el nuevo marco legal establecido por la Ley Marco de Ciberseguridad en Chile. Muchas organizaciones, incluso con buena voluntad y recursos disponibles, caen en errores que pueden comprometer no solo su certificación, sino también su capacidad real de responder ante incidentes.

A continuación, revisamos los errores más frecuentes en procesos de adecuación a la normativa y cómo evitarlos desde una mirada práctica y estratégica.

Tratar la ciberseguridad como un tema exclusivamente técnico

Uno de los errores más comunes es dejar todo en manos del área de TI. Aunque el componente tecnológico es esencial, el compliance empresarial en materia de seguridad requiere la participación de múltiples áreas: legal, recursos humanos, auditoría, operaciones y alta dirección.

• Cómo evitarlo: Conformar un comité multidisciplinario que supervise la implementación, reporte avances y tome decisiones integradas. La seguridad debe verse como un tema de gestión y gobernanza, no solo de infraestructura.

Enfocarse solo en cumplir y no en proteger

Muchas empresas se obsesionan con pasar la auditoría o cumplir con la ANCI, pero no fortalecen verdaderamente su postura de seguridad. Esto lleva a controles superficiales o mal implementados, que no resisten un incidente real.

• Cómo evitarlo: Construir un sistema sólido que priorice la protección real de los activos, con foco en la continuidad operativa y la gestión efectiva de riesgos. La normativa debe ser una guía mínima, no un techo.

No contar con evidencia documentada del cumplimiento

La ley marco de ciberseguridad requiere trazabilidad: políticas, registros, procedimientos y reportes que puedan ser auditados. Operar con buenas prácticas sin respaldo documental es uno de los motivos más comunes de observaciones y no conformidades.

• Cómo evitarlo: Crear una carpeta de cumplimiento normativo con todos los documentos clave: mapa de riesgos, protocolos, reportes de incidentes, evidencia de capacitaciones, etc. Digitalizar, versionar y mantener esta información actualizada.

Ignorar el ciclo de mejora continua

Creer que basta con implementar controles una vez y no revisarlos nunca más es un error crítico. La normativa exige una revisión constante del sistema, auditorías internas, análisis de brechas y adaptación a nuevos riesgos o cambios del entorno.

• Cómo evitarlo: Establecer un cronograma de revisiones periódicas (mensuales, trimestrales y anuales) y responsabilizar a líderes internos por la mejora continua del sistema de seguridad.

No preparar adecuadamente la notificación de incidentes

Muchas organizaciones no cuentan con un protocolo claro para cumplir con la obligación legal de reportar incidentes relevantes en menos de 72 horas. Esto puede generar multas, reputación dañada y pérdida de control de la narrativa.

• Cómo evitarlo: Diseñar y practicar un plan de respuesta que incluya flujo de comunicación interna y externa, formatos de reporte, y simulaciones regulares de incidentes.

El Rol de la Alta Dirección en el Cumplimiento de la Ley Marco de Ciberseguridad

Una de las transformaciones más importantes que trae consigo la Ley Marco de Ciberseguridad en Chile es que ya no basta con que las áreas técnicas o de TI gestionen la seguridad digital: el compromiso debe estar liderado desde lo más alto de la organización. En otras palabras, el cumplimiento normativo en ciberseguridad es, ahora, también responsabilidad directa de la alta dirección.

La nueva normativa no solo exige acciones técnicas, sino también decisiones estratégicas, asignación de recursos y supervisión activa por parte de quienes dirigen la empresa. A continuación, explicamos por qué este cambio es tan importante y cómo la dirección puede asumir un rol protagónico.

Responsabilidad formal y legal

La ley marco ciberseguridad establece que las entidades reguladas deben contar con estructuras de gobernanza claras y responsables definidos en materia de seguridad digital. Esto implica que los directorios y gerencias generales ya no pueden delegar por completo esta responsabilidad.

En caso de una fiscalización, incidente grave o incumplimiento, las autoridades exigirán evidencia de que la alta dirección estuvo involucrada, tomó decisiones informadas y supervisó la implementación de medidas preventivas y correctivas.

Asignación de recursos y prioridades

Muchas iniciativas de compliance empresarial en ciberseguridad fracasan no por falta de capacidad técnica, sino por escasez de recursos, baja priorización o falta de visibilidad estratégica. Sin el respaldo del nivel directivo, es difícil asignar presupuesto suficiente, adquirir herramientas necesarias o reforzar equipos clave.

• Rol esperado: La dirección debe evaluar periódicamente el estado de la ciberseguridad, asignar presupuesto en función de riesgos y asegurar que esta temática esté presente en la agenda ejecutiva.

Integración de la ciberseguridad en la gobernanza de riesgos

En organizaciones maduras, la gobernanza de riesgos. La ciberseguridad debe formar parte de los sistemas de gestión de riesgos, de auditoría interna y del marco global de gobernanza corporativa.

Buenas prácticas:

• Incluir métricas de ciberseguridad en los informes de gestión
• Alinear objetivos de seguridad con metas de negocio
• Establecer comités ejecutivos de seguridad digital

Impulsar la cultura organizacional de seguridad

El liderazgo no solo se manifiesta en decisiones estructurales. También tiene un fuerte impacto simbólico. Cuando la dirección se involucra en campañas de concientización, participa en simulacros y respalda públicamente los procesos de cumplimiento, se genera una cultura más comprometida con la seguridad.

• Ejemplo concreto: Un gerente general que lidera una charla sobre phishing o que comunica personalmente los cambios normativos, refuerza el mensaje de que este tema es prioritario para toda la empresa.

Asegurar la continuidad y mejora continua

Por último, la alta dirección debe velar por la continuidad del sistema de cumplimiento, incluso ante cambios de personal, reorganizaciones internas o nuevas amenazas. Esto incluye revisar los resultados de auditorías, aprobar mejoras y exigir resultados.

Tendencias en Compliance y Ciberseguridad para Empresas Chilenas en 2025

El 2025 será un año clave para las empresas en Chile en temas de ciberseguridad y cumplimiento normativo. Con la Ley Marco de Ciberseguridad ya en plena vigencia y un entorno digital cada vez más complejo, las organizaciones tendrán que adoptar un enfoque más estratégico, preventivo y transversal para mantenerse al día y proteger su operación.

Estas son algunas de las principales tendencias que marcarán la pauta en compliance y ciberseguridad durante los próximos meses:

• La ANCI comienza a fiscalizar con fuerza

La Agencia Nacional de Ciberseguridad (ANCI) ya está operativa y comenzará a fiscalizar de forma gradual, partiendo por los operadores considerados críticos. Durante 2025, se espera que amplíen su alcance a proveedores clave, terceros vinculados e incluso empresas privadas que, aunque no estén bajo regulación directa, representen riesgos importantes para el sistema.

¿Qué significa esto? Las empresas tendrán que estar listas no solo con documentos en regla, sino también demostrar que sus controles funcionan en la práctica y que pueden reaccionar bien ante un incidente.

• Certificaciones que suman puntos

Las compañías que logren certificaciones como la ISO 27001 o que implementen sistemas sólidos de cumplimiento ganarán mayor confianza de inversionistas, clientes y reguladores. No se trata solo de cumplir, sino de transmitir seguridad y compromiso.

• Más presión en la cadena de valor

Las grandes empresas, sobre todo en sectores como banca, telecomunicaciones y retail, empezarán a exigir que sus proveedores y socios también cumplan con estándares de ciberseguridad. Esto generará un efecto dominó que obligará a muchas empresas a adaptarse, incluso si no están reguladas directamente.

Un concejo util es empezar a aplicar buenas prácticas desde ya puede marcar la diferencia y abrir la puerta a contratos importantes más adelante.

• Automatización y auditorías más inteligentes

Las herramientas de automatización del cumplimiento y el monitoreo continuo se volverán cada vez más comunes. Soluciones que auditen controles en tiempo real, generen reportes automáticos y alerten cuando algo se sale de lo normal serán claves para mantenerse al día en entornos ágiles y distribuidos.

Un ejemplo claro podria ser usar una plataforma que centralice la gestión de activos, riesgos y políticas permite actuar rápido frente a una fiscalización o un incidente.

• El CISO toma un rol más protagónico

El rol del Chief Information Security Officer (CISO) se va a transformar. Pasará a tener una conexión más directa con la alta dirección y un peso estratégico dentro del gobierno corporativo. También crecerá la necesidad de contar con profesionales que entiendan tanto la parte técnica como la legal de la nueva ley de ciberseguridad.