Claves para cumplir con la Ley Marco de Ciberseguridad en Chile
Claves para cumplir con la Ley Marco de Ciberseguridad en Chile 301 CIBERSEGURIDAD INDUSTRIAL CSIRTs empresariales Claves para cumplir con la Ley Marco de Ciberseguridad en Chile Con foco en la implementación efectiva de CSIRTs empresariales, el seminario “Exigencias y oportunidades en la gestión de incidentes de ciberseguridad en Chile” abordó los desafíos técnicos, normativos y organizacionales que impone la nueva Ley Marco de Ciberseguridad, marcando un hito en la articulación público privada para la respuesta ante incidentes en nuestro país.
En En junio pasado, se celebró con una convocatoria récord tanto presencial como virtual, el seminario seminario “Exigencias y oportunidades en la gestión de incidentes de ciberseguridad ciberseguridad en Chile”, organizado por la Alianza Chilena de Ciberseguridad (ACC), Business Continuity, COPEC y la Asociación de Transmisoras de Chile.
El evento congregó a líderes sectoriales, sectoriales, técnicos, jurídicos y estratégicos para abordar la aplicación de la Ley Marco de Ciberseguridad (Ley 21.663 ), así como el avance en la construcción de capacidades organizacionales para responder a incidentes, principalmente a través de la formalización de CSIRTs en las empresas. Realizada en las instalaciones de Copec, la jornada fue ampliamente valorada por su enfoque técnico, estratégico estratégico y colaborativo.
En ese sentido, las intervenciones demostraron que los actores clave del ecosistema digital digital chileno reconocen la urgencia de avanzar hacia una institucionalización efectiva de los CSIRT5 (sigla en inglés de “Equipo de Respuesta ante Incidentes de Seguridad Informática”), entendidos entendidos como órganos responsables de coordinar la respuesta ante incidentes y cumplir con las exigencias regulatonas de notificación, trazabilidad y articulación sectorial.
Visión estratégica desde la ANCI El Director de la Agencia Nacional de Ciberseguridad (ANCI), Daniel Álvarez, dio apertura al seminario enfatizando el rol protagónico de los CSIRTs en la gestión de incidentes y el cumplimiento regulatorio. Recalcé que dichos equipos deberán estructurarse formalmente al interior de las organizaciones, ser operativos y funcionar bajo un marco de gobernanza claro.
También subrayé que la Ley Marco además de plantear (continúa en página 32) INñíifÑIA Julio 2025 {Síguenos en @RevElectrolndus y Revista Electroindustria). Claves para cumplir con la Ley Marco de Ciberseguridad en Chile 321 CIBERSEGURIDÁD INDUSTRIAL (Viene de página 30) obligaciones, habilita espacios de colaboración público-privada para el fortalecimiento institucional. Alvarez llamó a las organizaciones a entender que los CSIRTs son una necesidad necesidad transversal, no exclusiva de las áreas técnicas: “La ciberseguridad es ahora un componente central de la continuidad operacional. Las empresas empresas deben contar con un órgano que sepa reaccionar, notificar, escalar y coordinar.
El cumplimiento no puede quedarse en el papel; debe expresarse en capacidades concretas”. Liderazgo regional con responsabilidad institucional Posteriormente, el Senador Kenneth Pugh reforzó el mensaje político y estratégico estratégico del seminario, señalando que Chile, al promulgar tempranamente su Ley Marco de Ciberseguridad, se posicionó como líder normativo en la Región. Sin embargo, advirtió que dicho liderazgo liderazgo implica responsabilidad técnica. “La ley nos posiciona internacio nalmente, pero ahora corresponde demostrar capacidad operativa, compromiso compromiso institucional y articulación multisectorial. Nadie se puede quedar atrás”, agregó.
Experiencias empresariales y multidisciplinariedad aplicada El panel del conversatorio, moderado por Carlos Vera Gómez (CISO de SerCor y líder de la Plataforma Estratégica de Ciberseguridad de la ACC), reunió a representantes de empresas e instituciones instituciones que compartieron experiencias experiencias sobre el diseño, estructuración y operación de CSTRTs. En esta ocasión, participaron: Katherina Canales Madrid, COO de Aura Cybersecurity, quien destacó la importancia de integrar a mujeres en liderazgo técnico en CSIRTs. Luis Felipe Espinoza, Sub-Gerente de Ciberseguridad en Copec, quien compartió compartió desafíos del sector energético en la protección de entornos críticos. Carlos Figueroa, Director de la Asociación Asociación de Transmisoras de Chile AG, que enfatizó la necesidad de coordinación coordinación sectorial para lograr eficiencia operativa. Ricardo Urbina, CISO del Grupo Elecmetal, Elecmetal, quien abordó la implementación progresiva en entornos industriales. Jorge Olivares, Gerente de Consultoría Consultoría y Formación de Business Continuity, quien presentó modelos metodológicos de CSIRTs adaptados al cumplimiento normativo nacional. El panel coincidió en que los CSIRTs deben ser equipos institucionalizados, con presupuesto, personal capacitado y respaldo estratégico. Además, se remarcó la necesidad de que estos equipos sean interdisciplinarios, integrando integrando expertos técnicos, legales, de gestión y comunicación, capaces de actuar coordinadamente ante eventos complejos. Asimismo, indicó que la Ley Marco Marco exige no solo contar con CSIRTs formales, sino operarlos conforme a buenas prácticas internacionales. En ese sentido, se mencionó marcos como ISO/IEC 27035, NIST SP 800-61, NERCCIP, NERCCIP, y COBIT 2019. También se valoró que Chile cuente con marcos nacionales claros, como la propia Ley 21.663, que exige notificación notificación obligatoria de incidentes y formalización formalización de capacidades operativas. La clave está ahora en convertir esas exigencias normativas en capacidades efectivas dentro de cada organización. Hacia una arquitectura federada de CSIRT5 De igual modo, se propuso avanzar hacia una arquitectura federada de CSIRTs, articulando: Equipos internos en cada organización organización que operen de forma especializada. especializada. CSIRTs sectoriales impulsados por gremios y asociaciones. Coordinación nacional liderada por el CSIRT Nacional y supervisada por la ANCI. Esta estructura mejora la trazabilidad, trazabilidad, la coordinación intersectorial y la respuesta ante incidentes sistémicos. sistémicos. La federación permite avanzar sin duplicar esfuerzos, utilizando capacidades existentes, y definiendo responsabilidades claras. Para Luis Felipe Espinoza, SubGerente SubGerente de Ciberseguridad de Copec, un (continúa en página 34) “La ciberseguridad es ahora un componente central de la continuidad operacional.
Las empresas deben contar con un órgano que sepa reaccionar, notificar, escalar y coordinar” INñiifiIA Julio 2025 {Síguenos en W @RevElectroledus y Revinta Electroindustria). Claves para cumplir con la Ley Marco de Ciberseguridad en Chile 341 CIBERSEGURIDÁD INDUSTRIAL (Viene de página 32) ciberataque a una empresa ya no es un problema aislado. “Es un desafío para todo el ecosistema. La nueva ley fomenta precisamente esa cultura de colaboración”, afirmó. Enfoques de implementación Aunque la formalización de CSIRTs es una exigencia, no se plantea un modelo específico a seguir, y los sugeridos en marcos metodológicos internacionales tienden a considerarse muy extensos, lineales y complejos. En contraposición, contraposición, se está optando por enfoques evolutivos, que permiten construir capacidades de forma modular y progresiva. progresiva. Para Olivares, se propicia el desarrollo desarrollo de versiones mínimas viables de CSIRTs, que cumplen funciones básicas como el registro, la coordinación y la notificación de incidentes. Luego, estas estas versiones se enriquecen mediante la incorporación gradual de módulos más especializados, como automatización, automatización, análisis forense, monitoreo y simulacros. “Este enfoque no reemplaza las exigencias exigencias legales, pero permite avanzar de manera efectiva en contextos reales. reales. Lo esencial es iniciar el proceso, institucionalizar capacidades, y crecer de forma iterativa, documentada y respaldada por estándares”, sostuvo.
Ricardo Urbina, CISO del Grupo Elecmetal, Elecmetal, señaló: “Llegó el momento de verificar lo declarado en los procedimientos procedimientos de gestión de ciberincidentes, considerando las exigencias legales y su capacidad de probarlos, de lo contrario contrario el riesgo de pérdidas en dinero, capacidad productiva y hasta en vidas, podría ser una triste realidad”. Construir CSIRTs es construir resiliencia organizacional El seminario dejó claro que los CSIRTs empresariales es un paso esencial para cumplir con la Ley Marco de Ciberseguridad, Ciberseguridad, pero también representa una inversión en continuidad operativa, reputación corporativa y resiliencia organizacional. Los CSIRTs reaccionan ante amenazas, coordinan respuesta técnica, escalan situaciones críticas y permiten que las empresas se alineen con los requerimientos regulatorios. Chile cuenta con un marco legal robusto, robusto, con expertos disponibles, y con voluntad institucional. La tarea ahora está en manos de cada empresa, cada sector y cada equipo técnico.
Formalizar Formalizar un CSIRT no es solo cumplir la ley: es declarar que la ciberseguridad importa, que la respuesta ante incidentes incidentes está organizada, y que el país avanza hacia un modelo colaborativo, federado y estratégico en materia de protección digital. o Artículo gentileza de Jorge Olivares Olmos, Gerente de consultoría y Formación de Busineas conrinuity 5pA, y Ex-tnstructor Oficial de carnegie Mellon para cslRrs. jorge_olivaresbusinesscontinuity. cl INñiifiIA Julio 2025 lSíguenos en W @Revtlectrolndus y Revista tlectrolndustria}.