¿Tienes claridad sobre qué pasaría si mañana un ciberataque paraliza tu operación, expone tus datos o deja fuera de servicio tu sitio web? La Ley de Ciberseguridad ya está vigente en Chile y todas las empresas, cualquiera sea su tamaño, tienen responsabilidades concretas bajo esta legislación.
Este artículo te ofrece una guía práctica para cumplir con las exigencias de la ley y fortalecer la protección de tu empresa.
¿Qué es la ley de ciberseguridad?
La Ley N.° 21.663 también conocida como Ley Marco de Ciberseguridad, establece las reglas que deben seguir las organizaciones públicas y privadas para prevenir, detectar y responder a incidentes digitales.
¿Tu empresa depende de plataformas online, atiende clientes digitales o almacena información personal? ¡Entonces debes prepararte!
¿Qué impacto tiene la ley en las empresas?
Estas son algunas de las principales obligaciones que empresas de todo tipo deben asegurarse de llevar a cabo para cumplir con la ley:
Implementar un Sistema de Gestión de Seguridad de la Información (SGSI) básico.
Designar un responsable en materia de ciberseguridad.
Llevar a cabo evaluaciones de riesgos y pruebas periódicas de ciberseguridad.
Garantizar la actualización constante de los sistemas y los controles de seguridad de la información.
Implementar de forma continua y efectiva las medidas necesarias para prevenir, detectar y resolver incidentes de ciberseguridad.
Notificar incidentes de ciberseguridad.
Relacionado a esto, también es importante considerar la Ley de Protección de Datos Personales, que establece que tu empresa debe ser transparente con las personas cuyos datos maneja — clientes, trabajadores o proveedores —, informándoles para qué se usarán, cuánto tiempo se almacenarán y cómo pueden pedir su actualización o eliminación.
Asimismo, esta ley enfatiza la implementación de medidas y protocolos de ciberseguridad para mitigar el impacto de posibles vulneraciones de datos personales, lo que subraya la relevancia de adherirse a ambas normativas.
Sobre la obligación de reportar incidentes de ciberseguridad
Con la ley, todas las instituciones públicas y privadas que proporcionan servicios esenciales, o son consideradas operadores de importancia vital, están obligadas a reportar cualquier incidente de ciberseguridad que tenga un impacto significativo en la seguridad de la empresa.
Este es uno de los puntos más importantes de la normativa, y para ello la ANCI ha establecido procedimientos y canales de soporte claros.
Procedimientos y canales de soporte
La ANCI ha establecido los siguientes canales para el reporte de incidentes:
Portal oficial: Disponible las 24 horas del día, los 365 días del año, en https://portal.anci.gob.cl
Teléfono: 1510
Correo electrónico: ayuda@anci.gob.cl
Para estandarizar la gestión de incidentes, también se ha implementado una taxonomía que clasifica en cuatro áreas de impacto, facilitando así su identificación y respuesta adecuada, estas áreas son:
Impacto en el uso legítimo de recursos
Impacto en la confidencialidad de la información
Impacto en la disponibilidad de servicios esenciales
Impacto en la integridad de la información
Si tienes una empresa, será fundamental que utilices estos canales para garantizar una respuesta rápida y efectiva ante amenazas digitales.
¿Cómo repercute la ley de ciberseguridad en áreas de TI, RRHH y gerencias?
Área TI: protege tu infraestructura
Responsabilidades clave:
No implementar o hacer mantenimiento de este sistema puede ser considerado negligencia y generar sanciones para la empresa y sus responsables.
La falta de trazabilidad puede interpretarse como una omisión o encubrimiento.
El incumplimiento de estos plazos puede ser sancionado con multas de hasta 40.000 UTM.
El delegado es legalmente responsable de gestionar los riesgos cibernéticos y podría ser citado o sancionado si la empresa incumple la normativa.
Área recursos humanos: crea una cultura de seguridad
Muchos ataques en ciberseguridad se deben a errores humanos. De acuerdo a un estudio de Kaspersky, el error humano es el principal factor detrás de los incidentes en Chile, con un 50% de los casos atribuidos a fallos cometidos por los colaboradores.
Frente a esto, el rol del área de recursos humanos es clave para cumplir con la normativa. Algunas responsabilidades clave son:
Capacitar a todo el equipo en buenas prácticas digitales: reconocimiento de correos falsos, manejo seguro de contraseñas, navegación protegida, etc.
Y es que, de acuerdo con Kaspersky, tan solo en 2023, este antivirus bloqueó 288 millones de intentos de ataque contra pequeñas y medianas empresas en América Latina, y de ellos, más de 91 millones fueron intentos de ataque de phishing.
Gerencias: el cumplimiento comienza desde arriba
La ley de ciberseguridad no es una regulación técnica limitada al área de TI; es una ley de impacto organizacional que redefine cómo deben operar las empresas frente al riesgo digital. En ese contexto, las gerencias, además de ser responsables del alineamiento estratégico, también lo son del cumplimiento legal.
Responsabilidades clave:
Hoy, el liderazgo empresarial también se mide por la capacidad de anticipar y mitigar riesgos digitales. Por ende, si la ciberseguridad no está en el directorio, la empresa no está realmente protegida.
Preguntas frecuentes sobre la ley
¿Necesito contratar un experto en ciberseguridad?
No es necesario, ya que muchas medidas pueden implementarse de manera accesible. Sin embargo, en empresas de mayor tamaño contar con un consultor puede ser útil si necesitas apoyo adicional.
¿Cómo saber si mi pyme o empresa cumple con la Ley Marco de Ciberseguridad?
La mejor manera de asegurarte de que tu empresa está cumpliendo con la ley es realizar una autoevaluación de tus prácticas de ciberseguridad. Revisa si estás implementando medidas básicas como el uso de contraseñas robustas, la protección contra malware y la realización de copias de seguridad.
¿Cuáles son los primeros pasos para cumplir con la ley?
Educa a tu equipo, evalúa los riesgos, implementa medidas de seguridad, y mantén una capacitación continua.
¿Qué pasa si no cumplo con la ley?
Puedes enfrentar multas y pérdida de confianza por parte de tus clientes, lo que podría dañar tu reputación y negocio.
Protege tu negocio con Internet Seguro
Cumplir con la ley de ciberseguridad es un paso clave para blindar a tu empresa frente a las amenazas digitales.
Con Internet Seguro fortalece tu acceso a internet con una solución avanzada que funciona como una barrera de protección. ¡Controla y filtra el tráfico entrante y saliente, mientras garantizas una protección total para cada usuario de tu empresa!