La Ley 21.663, conocida como la Ley Marco de Ciberseguridad, establece por primera vez en Chile una institucionalidad robusta para prevenir y reaccionar ante ciberataques. El mensaje para las empresas es claro: la seguridad de la información ya no es opcional, es un deber legal.
🏢 Nace la ANCI
Se crea la Agencia Nacional de Ciberseguridad (ANCI), un organismo con \"dientes\" capaz de dictar normas técnicas, fiscalizar a las empresas y cursar multas millonarias.
1. ¿Es mi empresa un Operador de Importancia Vital (OIV)?
Este es el concepto clave de la ley. Si tu empresa es clasificada como OIV, tendrás las obligaciones más estrictas. La ley considera OIV a quienes presten servicios esenciales cuya interrupción podría afectar:
- El funcionamiento del país.
- La seguridad o salud de la población.
- El medio ambiente.
Sectores Clave: Energía, Agua, Telecomunicaciones, Salud, Transporte, Servicios Financieros, Banca y Servicios Digitales Críticos.
2. Las 3 Obligaciones Críticas
Independientemente de si eres OIV o una empresa de servicios esenciales, la ley impone deberes de gestión activa:
A. Deber de Reportar (3 Horas)
Si sufres un ciberataque o incidente significativo, tienes un plazo máximo de 3 horas para notificar al CSIRT Nacional. No reportar a tiempo se considera una infracción grave.
B. Ciberseguridad desde el Diseño
Debes implementar medidas técnicas y organizativas desde la concepción de cualquier proyecto tecnológico.
C. Certificación y Auditoría
Deberás someterte a revisiones periódicas para demostrar que tus defensas son reales y no solo papel. La ANCI puede exigir certificaciones de tus modelos de seguridad.
3. Checklist de Preparación
- ✅ Inventario de Activos: Mapea toda tu infraestructura crítica (física y digital).
- ✅ Plan de Respuesta: Define quién llama a quién y qué se hace si un ransomware ataca un domingo a las 3 AM.
- ✅ Monitoreo: Implementa sistemas que detecten anomalías en tiempo real.
- ✅ Capacitación: Entrena a tu personal (es la primera línea de defensa contra el phishing).