Un equipo preparado para apoyar a las empresas frente a los desafíos de la Ley Marco de Ciberseguridad
Un equipo preparado para apoyar a las empresas frente a los desafíos de la Ley Marco de Ciberseguridad e r. J César Pallavicini Z. CEO; Pietro Pallavicini Z. Gerente de Proyectos, Luis Burgos B. Abogado/consultor y Cristian Aguayo M. Gerente de Consultoría.
Un equipo preparado para apoyar a las empresas frente a los desafíos de la Ley Marco de Ciberseguridad La Ley N 21.663 marca un antes y un después en la manera en que las organizaciones enfrentan la ciberseguridad en Chile. Más allá de exigencias técnicas, establece deberes concretos de reporte, gobernanza y gestión.
En esta entrevista, cuatro expertos de Pallavicini, consultora boutique especializada en ciberseguridad, analizan los principales desafíos que plantea su cumplimiento y entregan una hoja de ruta para avanzar. ¿Por qué el deber de reporte se ha convertido en una obligación clave para las organizaciones sujetas a la Ley 21.663 ? Luis Burgos: Porque es la obligación más concreta e inmediata para las entidades calificadas como prestadores de servicios esenciales o como operadores de importancia importancia vital. La ley exige reportar incidentes incidentes de ciberseguridad dentro de un plazo de tres horas desde que se detecte un efecto significativo, según los artículos 90 y 27. Pero no basta con lo técnico: el proceso de reporte exige gobernanza. La entidad debe tener protocolos de escalamiento, escalamiento, criterios de impacto, responsables responsables designados y documentación que respalde las decisiones. Incluso, si se concluye que un incidente no es reportable, debe existir trazabilidad.
El objetivo es que las organizaciones no solo reaccionen, reaccionen, sino que demuestren una capacidad efectiva de gestión ante amenazas digitales. digitales. ¿Están las empresas preparadas para dar cumplimiento a la Ley Marco de Ciberseguridad? César Pallavicini: Si bien las grandes organizaciones organizaciones reguladas o multinacionales han mejorado en riesgo operacional, muchas muchas otras siguen al debe. Aún es común la ausencia de un Oficial de Seguridad de la Información (CISC), de un comité de seguridad seguridad que sesione regularmente, o de políticas políticas y procedimientos documentados. Además, no existen protocolos formales para responder a situaciones como una ciberextorsián, y en muchos casos los planes de continuidad del negocio están desactualizados. Esto impide una rápida recuperación de los procesos de negocio y una respuesta eficaz frente a eventos críticos.
Según cifras, menos de 300 empresas empresas en Chile cuentan con la certificación certificación ISO 27001:2022, lo que evidencia una brecha importante en términos de preparación. ¿Qué rol cumple un SGSI ISO 27001 en el cumplimiento de esta Ley? Pietro Pallavicini: Desarrollar un Sistema Sistema de Gestión de Seguridad de la Infor¡ Infor¡ Pallavicini Consultores.
Un equipo preparado para apoyar a las empresas frente a los desafíos de la Ley Marco de Ciberseguridad DESDE 1998 mación (SGSI) basado en ISO 27001 es clave para cumplir con la esta Ley Marco, ya que entrega las mejores prácticas y representa representa un desde respecto a la ley antes mencionada. Asimismo, contar con un SGSI certificable otorga una ventaja estratégica: genera confianza entre los stakeholders y fortalece fortalece la posición competitiva de la empresa. empresa.
El SGSI, junto a los controles definidos en la 150 27002, facilita la preparación y respuesta ante incidentes, además de ordenar ordenar la comunicación con las autoridades autoridades competentes. ¿La certificación ISO 27001:2022 resuelve por completo las exigencias de la ley? César Pallavicini: No, pero esun paso fundamental fundamental para avanzar. 150 27001:2022 se complementa con otros marcos como ISO 27032 (controles específicos de ciberseguridad), ciberseguridad), el NIST CSF y la norma 150 27701, enfocada en la gestión de la privacidad.
Esta última es aún poco conocida conocida en Chile, pero también certificable, y muy útil para abordar aspectos de protección protección de datos personales. ¿Qué pasos concretos recomiendan para comenzar a cumplir con la ley? Cristian Aguayo: Frente a un marco legal cada vez más exigente, las organizaciones deben adoptar un enfoque estructurado y proactivo.
A continuación, detallo cinco pasos esenciales para avanzar de manera manera concreta en el cumplimiento de la Ley Marco de Ciberseguridad: Diagnóstico inicial de madurez: Evaluar la situación actual en ciberseguridad, identificando brechas frente a estándares estándares como 150 27001,27032 y NIST CSF. Inventario de activos críticos: Identificar Identificar procesos, servicios o tecnologías cuya afectación impacte la continuidad operativa. Gestión de incidentes: Diseñar un proceso proceso formal, probado, entrenado y revisado al menos una vez al año. Gobernanza del reporte: Definir quién decide, quién reporta y cómo se documentan documentan las decisiones. Debe involucrar a la alta dirección y asegurar formalidad ante ANCI y otros reguladores. Capacitación y simulacros: Tener documentos documentos no basta. Hay que entrenar a los equipos y simular incidentes reales para mejorar tiempos de reacción y validar roles roles y protocolos. Este proceso debe incluir un playbook institucional: políticas formales, procedimientos procedimientos claros, protocolos de escalamiento, escalamiento, criterios de decisión y responsables definidos. La participación activa de la alta dirección es clave, evaluando no solo el cumplimiento normativo, sino también el impacto en la continuidad del negocio y la reputación de la organización..