La promulgación de la Ley Marco de Ciberseguridad N° 21.663 ha marcado un antes y un después en el ecosistema digital chileno. Con la creación de la Agencia Nacional de Ciberseguridad (ANCI), el país busca blindar sus infraestructuras críticas; sin embargo, surge una pregunta inquietante: ¿están las organizaciones realmente listas para cumplir con estos nuevos estándares?
Aunque los avances son visibles, la realidad es dispar. Mientras sectores como la banca lideran la madurez digital, otras industrias estratégicas aún enfrentan desafíos estructurales profundos, así lo dio a conocer el portal It Sitio.
El nuevo estándar: ¿Qué exige la Ley N° 21.663?
La nueva normativa no es solo un conjunto de recomendaciones; es un mandato legal para fortalecer la confidencialidad, integridad y disponibilidad de los datos. Según explica Jimmy Ulloa, CyberSecurity Architect Andina de Coasin Logicalis, el marco regula tanto a organismos estatales como a instituciones privadas que prestan servicios esenciales.
En este sentido, las instituciones calificadas como Operadoras de Importancia Vital (OIV) enfrentan las exigencias más estrictas:
- Sistemas de Gestión: Implementación obligatoria de políticas de seguridad y privacidad.
- Auditorías de Continuidad: Planes de contingencia validados y actualizados.
- Reporte Crítico de Incidentes: Los plazos son sumamente exigentes (alerta inicial en 3 horas al CSIRT Nacional).
- Sanciones: El incumplimiento conlleva multas significativas.
La realidad del mercado: Avances dispares
A pesar de la urgencia, la madurez en ciberseguridad en Chile es heterogénea. Mientras sectores como la banca lideran la preparación gracias a regulaciones previas, otras industrias estratégicas presentan brechas preocupantes.
«Aunque existen sectores como la banca que están bien preparados, en la minería falta mucho aún debido a la división TI y OT, por ejemplo», señala Ulloa. Esta desconexión entre los sistemas administrativos y los sistemas industriales críticos es uno de los puntos ciegos más peligrosos para el cumplimiento normativo.
Y a esto se le suma que muchas empresas operan bajo el «sesgo de invisibilidad», creyendo que, al no tener un perfil mediático alto, no son blanco de ataques. Esta percepción es un error crítico. Los atacantes buscan vulnerabilidades en cualquier eslabón de la cadena para infiltrarse. Trabajar en «silos» y sin capacitación transversal hace que los ciberataques sean, tarde o temprano, inevitables.
Estrategias para acelerar la madurez en ciberseguridad
Para cumplir con la Ley Marco sin que esto suponga un impacto económico desproporcionado, las organizaciones deben adoptar un enfoque de proceso continuo. No basta con instalar software; se requiere gobernanza. La ciberseguridad no es solo un problema de software, la ausencia de una estrategia clara y de una cultura transversal provoca que los empleados se sientan ajenos a la protección de datos. Sin líderes comprometidos, los «silos» de trabajo terminan facilitando la efectividad de los ciberataques.
Sumado a eso, el avance de la Inteligencia Artificial ha hecho que las amenazas sean cada vez más sofisticadas, por lo que la respuesta debe ser integral. Esto incluye: Prevención y detección temprana, respuesta rápida ante incidentes y monitoreo constante y visibilidad total de la red.
Además, contar con partners estratégicos permite a las OIV alinearse con la normativa de manera eficiente. La asesoría integral ayuda a combinar la defensa técnica con el cumplimiento legal, asegurando que la inversión sea estratégica y no reactiva.
La Ley Marco de Ciberseguridad es un paso necesario para el desarrollo de Chile, pero su cumplimiento exige un cambio de paradigma. La presión regulatoria seguirá aumentando y solo las empresas que logren desarrollar una resiliencia transversal podrán operar con seguridad en el entorno digital del futuro.
