Evalúa el cumplimiento de tu organización con la Ley Marco de Ciberseguridad de Chile (Ley 21.663)
¿Su organización cuenta con un modelo de gobierno de ciberseguridad definido, con roles, responsabilidades y estructura formal aprobada por la alta dirección?
Ley 21.663 - Art. 14 y 15
Establecer un modelo de gobierno de ciberseguridad que defina: estructura organizacional (CISO, comité de ciberseguridad), roles y responsabilidades claras, políticas y procedimientos, marco normativo aplicable, métricas de desempeño, y canales de escalamiento. El modelo debe ser aprobado por la alta dirección y comunicado a toda la organización.
¿Existe una política de ciberseguridad documentada, aprobada y comunicada a toda la organización, que defina directrices y objetivos de protección?
Ley 21.663 - Art. 16
Desarrollar y documentar una política de ciberseguridad que establezca: objetivos y alcance, responsabilidades, principios de seguridad, gestión de riesgos, respuesta a incidentes, continuidad del negocio, cumplimiento normativo y revisión periódica. La política debe ser aprobada por la alta dirección, comunicada a todo el personal y actualizada al menos anualmente.
¿La organización realiza evaluaciones periódicas de riesgos de ciberseguridad, identificando amenazas, vulnerabilidades e impactos potenciales?
Ley 21.663 - Art. 17
Implementar un proceso formal de gestión de riesgos de ciberseguridad que incluya: identificación de activos críticos, análisis de amenazas y vulnerabilidades, evaluación de probabilidad e impacto, determinación del nivel de riesgo, definición de controles de mitigación, y revisión periódica (al menos anualmente o ante cambios significativos). Utilizar metodologías reconocidas como ISO 27005 o NIST.
¿Su organización cuenta con un plan de respuesta a incidentes de ciberseguridad documentado, probado y actualizado?
Ley 21.663 - Art. 18 y 19
Desarrollar un plan de respuesta a incidentes que defina: clasificación de incidentes, procedimientos de detección y reporte, equipo de respuesta (roles y responsabilidades), pasos de contención y erradicación, recuperación de sistemas, comunicación interna y externa, notificación a autoridades cuando corresponda, y análisis post-incidente. Realizar ejercicios de simulación periódicos para validar el plan.
¿La organización tiene establecidos procedimientos para notificar incidentes de ciberseguridad relevantes a las autoridades competentes y afectados?
Ley 21.663 - Art. 19 y 20
Establecer procedimientos claros de notificación que incluyan: criterios para determinar qué incidentes requieren notificación, plazos de notificación según la ley (24 horas para incidentes graves), información mínima a incluir en la notificación, canales de comunicación con autoridades (Agencia Nacional de Ciberseguridad, CSIRT nacional), procedimiento de notificación a afectados, y registro de todas las notificaciones realizadas.
¿Existe un plan de continuidad del negocio que considere escenarios de ciberataques y permita mantener operaciones críticas?
Ley 21.663 - Art. 21
Desarrollar un Plan de Continuidad del Negocio (BCP) que incluya: análisis de impacto al negocio (BIA) identificando procesos críticos, definición de RTO/RPO para cada proceso, escenarios de ciberataques (ransomware, DDoS, data breach), estrategias de continuidad y recuperación, procedimientos de activación, roles y responsabilidades, recursos necesarios, y pruebas periódicas del plan. Integrar el BCP con el plan de respuesta a incidentes.
¿La organización realiza programas de capacitación y concienciación en ciberseguridad para todo el personal?
Ley 21.663 - Art. 22
Implementar un programa anual de capacitación que incluya: inducción en ciberseguridad para nuevos empleados, capacitación general para todo el personal (phishing, contraseñas, uso seguro de dispositivos), capacitación especializada por rol (TI, gerencia), campañas de concienciación periódicas, simulacros de phishing, medición de efectividad mediante evaluaciones, y registro de todas las actividades de capacitación.
¿La organización implementa controles de acceso robustos, autenticación multifactor y gestión de privilegios?
Ley 21.663 - Art. 23
Implementar controles de acceso que incluyan: autenticación multifactor (MFA) para todos los accesos críticos, principio de mínimo privilegio, segregación de funciones, gestión del ciclo de vida de identidades, revisión periódica de permisos, políticas de contraseñas robustas, desactivación inmediata de cuentas al término de relación laboral, monitoreo de accesos privilegiados, y Single Sign-On (SSO) cuando sea posible.
¿Se implementan medidas de cifrado para proteger datos sensibles en reposo y en tránsito?
Ley 21.663 - Art. 24
Implementar cifrado integral que incluya: cifrado de datos en reposo (bases de datos, almacenamiento, backups), cifrado en tránsito (TLS 1.3, VPN), cifrado de dispositivos móviles y laptops (BitLocker, FileVault), gestión segura de claves criptográficas, uso de algoritmos aprobados (AES-256, RSA-2048+), cifrado de correos electrónicos sensibles, y políticas de clasificación de datos para determinar qué información requiere cifrado.
¿La organización realiza respaldos periódicos de información crítica y prueba la capacidad de recuperación?
Ley 21.663 - Art. 25
Implementar una estrategia de respaldo que incluya: respaldos automatizados según criticidad (diarios, semanales), regla 3-2-1 (3 copias, 2 medios diferentes, 1 fuera de sitio), respaldos inmutables contra ransomware, cifrado de respaldos, almacenamiento offline/air-gapped de copias críticas, pruebas periódicas de recuperación (trimestrales), documentación de procedimientos de restauración, definición de RPO/RTO por sistema, y monitoreo de éxito de respaldos.
¿Existe un proceso formal para identificar, evaluar y remediar vulnerabilidades de seguridad y aplicar parches críticos?
Ley 21.663 - Art. 26
Implementar un programa de gestión de vulnerabilidades que incluya: escaneo periódico de vulnerabilidades (al menos mensual), evaluación y priorización según criticidad (CVSS), plazos de remediación según severidad (críticas en 48-72 horas), proceso de gestión de parches con ventanas de mantenimiento, pruebas de parches antes de despliegue en producción, monitoreo de compliance de parcheo, análisis de vulnerabilidades de aplicaciones web (DAST/SAST), y pentesting anual por terceros.
¿La organización implementa sistemas de monitoreo continuo y detección de amenazas de ciberseguridad (SIEM, EDR, etc.)?
Ley 21.663 - Art. 27
Implementar capacidades de detección que incluyan: SIEM (Security Information and Event Management) para correlación de eventos, EDR (Endpoint Detection and Response) en estaciones de trabajo, análisis de logs de sistemas críticos, detección de intrusiones (IDS/IPS), monitoreo de tráfico de red, threat intelligence feeds, análisis de comportamiento anómalo (UEBA), alertas automatizadas ante actividad sospechosa, y equipo SOC (interno o externalizado) para respuesta 24/7.
¿La organización evalúa y gestiona los riesgos de ciberseguridad de proveedores y terceros que acceden a sus sistemas o información?
Ley 21.663 - Art. 28
Establecer un programa de gestión de riesgos de terceros que incluya: evaluación de seguridad previa a contratación, cláusulas de ciberseguridad en contratos (obligaciones, SLAs, derecho a auditar, notificación de incidentes), clasificación de proveedores por criticidad, due diligence de seguridad (cuestionarios, certificaciones ISO 27001, SOC 2), revisiones periódicas, gestión de accesos de terceros (principio de mínimo privilegio, MFA), monitoreo de cumplimiento, y registro de todos los proveedores con acceso.
¿La organización realiza auditorías periódicas de ciberseguridad, internas y/o externas, para verificar el cumplimiento y efectividad de controles?
Ley 21.663 - Art. 29
Establecer un programa de auditorías que incluya: auditorías internas anuales de cumplimiento de políticas y controles, auditorías externas independientes (cada 2 años o anualmente para sectores críticos), pentesting anual por especialistas externos, revisión de configuraciones de seguridad (CIS Benchmarks), auditorías de código para aplicaciones críticas, evaluación de controles según frameworks (ISO 27001, NIST CSF), documentación de hallazgos y plan de remediación, y seguimiento de acciones correctivas.
¿La organización ha designado un responsable de ciberseguridad y mantiene documentación que demuestre cumplimiento con la Ley 21.663?
Ley 21.663 - Art. 30 y siguientes
Establecer estructura de cumplimiento que incluya: designación formal de CISO o responsable de ciberseguridad con autoridad y recursos adecuados, documentación de políticas, procedimientos y planes requeridos por la ley, registro de incidentes y notificaciones, evidencias de capacitación del personal, resultados de auditorías y evaluaciones de riesgos, actas de comité de ciberseguridad, contratos con proveedores que incluyan cláusulas de seguridad, y preparación para inspecciones de la autoridad competente.
Resultados de su evaluación de cumplimiento con la Ley 21.663 de Chile
Tu organización requiere atención urgente para cumplir con la Ley Marco de Ciberseguridad.
Nuestros especialistas pueden ayudarle a implementar controles de ciberseguridad, desarrollar políticas y procedimientos, preparar planes de respuesta a incidentes y cumplir con los requisitos de la Ley 21.663.