En el artículo anterior explicamos por qué un Sistema de Gestión de Seguridad de la Información (SGSI) es más que una recomendación técnica: es una exigencia concreta de la nueva Ley Marco de Ciberseguridad 21.663 para quienes prestan servicios esenciales o de importancia vital en Chile. Si tu organización forma parte de ese grupo, el SGSI no es opcional: es el punto de partida obligatorio para proteger tus sistemas, cumplir con la normativa y resistir auditorías sin sobresaltos.
Ahora que ya entendemos el “por qué”, toca abordar lo más importante: ¿cómo se implementa un SGSI de verdad? ¿Por dónde empezar, qué pasos seguir y cómo alinear la norma ISO/IEC 27001 con las exigencias específicas de la ANCI?
En esta guía desglosamos el proceso completo: desde el diagnóstico inicial y el análisis de riesgos, hasta la definición de controles, la asignación de roles y la preparación para auditorías. Todo con foco en la realidad de las organizaciones críticas en Chile.
Tl;DR
- La Ley 21.663 exige SGSI certificados para operadores críticos en Chile (OSE, OIV y sector público), alineados con estándares como ISO/IEC 27001. No cumplir puede significar multas de hasta 20.000 UTM.
- ISO 27001 es la hoja de ruta recomendada: identifica riesgos reales, define controles técnicos y organizativos, y permite una gestión continua y auditada de la seguridad.
- Implementar un SGSI fortalece la operación crítica, permite anticiparse a amenazas y facilita el cumplimiento coordinado con otras exigencias legales como continuidad del servicio y protección de datos.
¿Qué exige la Ley 21.663 sobre los SGSI?
La Ley 21.663 deja claro que los Operadores de Servicios Esenciales (OSE), los Operadores de Importancia Vital (OIV) y las entidades públicas deben implementar un SGSI. Este sistema debe seguir estándares internacionales —como ISO/IEC 27001— para ser considerado adecuado. No cumplir puede salir caro: las multas pueden alcanzar las 20.000 UTM, además de sanciones adicionales si el incumplimiento es grave.
Entre los requisitos mínimos que debe cumplir un SGSI según la Ley 21.663, se incluyen:
- Evaluación continua de riesgos: El sistema debe identificar y gestionar riesgos que puedan afectar tanto la seguridad de los sistemas como la continuidad de los servicios, considerando la probabilidad e impacto de posibles incidentes.
- Registro de actividades: Toda acción relacionada con el SGSI debe quedar documentada, permitiendo trazabilidad y auditoría futura, según lo que indique el reglamento.
- Planes certificados de continuidad y ciberseguridad: Las organizaciones deben tener planes operativos y de ciberseguridad vigentes, certificados oficialmente y revisados al menos cada dos años (o antes si la ANCI lo requiere).
- Ejercicios y análisis permanentes: Se exige una revisión activa de redes y sistemas mediante simulacros, ejercicios y monitoreo técnico para detectar amenazas, reportando cualquier hallazgo al CSIRT Nacional.
- Respuesta rápida a incidentes: Si ocurre un ataque, la organización debe actuar sin demora para contenerlo, lo que puede incluir restringir accesos o aislar sistemas comprometidos.
- Certificaciones obligatorias: Se deben mantener vigentes las certificaciones que exige el artículo 28 de la ley, las cuales acreditan el cumplimiento técnico y organizacional.
- Comunicación con personas afectadas: En caso de incidentes graves, especialmente si hay datos personales comprometidos, se debe informar a los potenciales afectados cuando la ANCI lo ordene o cuando ayude a prevenir más daños.
- Capacitación continua: Se requiere un programa formal y periódico de formación para trabajadores y colaboradores, que incluya campañas de concientización en ciberseguridad.
- Delegado de ciberseguridad: Cada organización debe nombrar a un responsable que actúe como enlace con la ANCI y reporte directamente a la dirección o jefatura superior.
- Obligación de reportar incidentes al CSIRT Nacional: Todo incidente o ciberataque que pueda tener efectos significativos debe ser reportado tan pronto como sea posible, según lo establezca el reglamento correspondiente.
Principios de ISO 27001 para construir un SGSI
ISO 27001 plantea un enfoque práctico: no se trata de protegerlo todo por igual, sino de enfocarse en lo que realmente importa. Eso se logra con un enfoque basado en riesgos, donde se identifican amenazas reales y se priorizan los esfuerzos. Además, promueve la mejora continua mediante el ciclo PDCA (Planificar, Hacer, Verificar y Actuar), para que el SGSI evolucione con el tiempo.
Otro principio clave es que el SGSI no debe estar aislado: debe integrarse con la gestión general del negocio. Esto implica alinear la seguridad con los objetivos estratégicos, y no tratarla como un tema técnico separado. También exige entender bien el contexto de la organización, incluyendo:
- El alcance del SGSI (por ejemplo, qué áreas o sistemas cubre).
- Las partes interesadas (clientes, proveedores, reguladores).
- Los factores internos y externos que pueden afectar la seguridad de la información.
Etapas para implementar un SGSI según ISO 27001 (adaptadas a la Ley 21.663)
Implementar un SGSI no es cuestión de llenar plantillas o comprar software. Es un proceso estructurado que exige planificación, análisis y, sobre todo, compromiso. ISO 27001 ofrece una ruta clara, y la Ley 21.663 le da aún más peso al exigir esta estructura en organizaciones que prestan servicios clave. A continuación, te guiamos paso a paso para construir un SGSI alineado con ambas.
Evaluación inicial y compromiso de la alta dirección
Todo parte con un buen diagnóstico. Antes de construir algo nuevo, hay que entender qué tan protegida está la organización hoy. Esa evaluación inicial permite detectar brechas, riesgos no tratados y prácticas que ya están bien encaminadas. Pero nada de esto funciona sin el respaldo firme de la alta dirección: la norma lo exige, y la ley también. Sin liderazgo ni recursos, el SGSI no despega.
Para hacer una evaluación inicial sólida, se recomienda:
- Identificar normativas y obligaciones aplicables (ISO 27001, Ley 21.663, otras sectoriales).
- Evaluar el nivel de madurez en ciberseguridad actual, tanto técnico como organizacional.
- Revisar si existen roles definidos, políticas escritas y controles en uso.
- Identificar incidentes o problemas recientes que hayan puesto en riesgo información o continuidad.
- Documentar todo el análisis, para usarlo como punto de partida en el diseño del SGSI.
- Alinear este diagnóstico con los objetivos estratégicos del negocio y el riesgo operacional.
Quick wins para empezar tu SGSI sin reinventar la rueda
Si tu organización todavía no tiene un SGSI, puedes partir con acciones simples que suman mucho:
- Identificar y documentar los activos más críticos.
- Nombrar formalmente a un delegado de ciberseguridad.
- Establecer una política básica de backup y control de accesos.
- Iniciar una campaña interna de concienciación con riesgos comunes (phishing, manejo de datos, etc).
- Revisar y reforzar prácticas ya existentes: respaldos, antivirus, bloqueo de dispositivos externos.
No necesitas tenerlo todo perfecto para comenzar. Lo importante es avanzar con foco y coherencia.
Definir el alcance del SGSI
No todas las organizaciones necesitan proteger cada rincón con el mismo nivel de detalle. Definir el alcance es elegir conscientemente qué partes del negocio estarán bajo el SGSI: qué procesos, qué activos, qué sistemas. Para los OSE y OIV, este ejercicio debe considerar directamente los servicios esenciales que prestan y sus dependencias tecnológicas.
Definir el alcance implica:
- Identificar los procesos críticos para la continuidad operativa.
- Determinar los activos de información clave (sistemas, dispositivos, datos, redes, personas).
- Considerar las dependencias externas (proveedores, terceros, interconexiones).
- Establecer los límites organizacionales, físicos y tecnológicos del SGSI.
- Justificar formalmente cualquier exclusión (por ejemplo, áreas no relevantes para los objetivos del SGSI).
Análisis de riesgos
El análisis de riesgos es el corazón del SGSI. ISO 27001 —y también la Ley 21.663— exigen que identifiques qué activos necesitas proteger, qué amenazas los afectan y cómo priorizar los controles. No se trata de adivinar: se trata de tener una base lógica para decidir dónde enfocar esfuerzos y recursos.
Este proceso implica identificar los activos críticos, evaluar amenazas internas y externas, estimar el impacto y la probabilidad de ocurrencia, y documentar todo en una matriz de riesgo que te permita visualizar los riesgos. Hecho correctamente, este análisis te permite justificar medidas de seguridad con evidencia concreta, ante dirección, auditorías o fiscalizaciones de la ANCI.
¿Quieres profundizar en cómo hacerlo? Te dejamos dos guías prácticas que pueden ayudarte a construir tu propio enfoque:
- Cómo implementar un programa de gestión de riesgos
- Cómo crear una matriz de riesgos TI paso a paso
Tratamiento de riesgos y Statement of Applicability (Declaración de Aplicabilidad)
Una vez conocidos los riesgos, toca decidir qué hacer con ellos. Eso implica seleccionar controles del Anexo A de ISO 27001 que ayuden a mitigarlos, prevenirlos o transferirlos. Según la Ley 21.663, es obligatorio adoptar medidas técnicas y organizativas razonables, lo que refuerza aún más esta fase.
Todo lo anterior se documenta en el Statement of Applicability o Declaración de Aplicabilidad (SoA): un documento que deja por escrito qué controles se aplican, cuáles no y por qué. Este documento no solo guía la implementación del SGSI, también sirve como evidencia clave ante fiscalizaciones de la ANCI. En resumen: es tu ficha de “por qué este control sí y por qué este no”, o tu carta de presentación rápida en materia de seguridad de la información.
Desarrollo de políticas, procedimientos y documentación
Aquí es donde el SGSI empieza a tomar forma tangible. Toca documentar cómo se gestionan los accesos, cómo se asegura la continuidad operativa, cómo se aplican controles de cambio, se protege el entorno físico, y más. Esta documentación no solo organiza la operación diaria, también sirve como respaldo ante auditorías y debe cumplir con lo que exige la Ley 21.663: registros, evidencias y trazabilidad.
No se trata de llenar carpetas, sino de dejar claras las reglas del juego y cómo se aplican. Cada política y procedimiento debe ser claro, aplicable y estar alineado con los riesgos identificados. Además, es importante mantener esta documentación viva: revisarla periódicamente, actualizarla y asegurar que todos sepan dónde está y cómo se usa.
Algunos documentos clave que deberías considerar:
- Política de seguridad de la información
- Procedimiento de gestión de accesos y privilegios
- Política de uso aceptable de sistemas y redes
- Procedimiento de gestión de incidentes de ciberseguridad
- Plan de continuidad operativa y recuperación ante desastres
- Política de seguridad física y ambiental
- Procedimiento de control de cambios en sistemas críticos
- Registro de auditorías internas y revisiones por la dirección
- Inventario de activos de información
- Plan de formación y concienciación en ciberseguridad
Asignación de roles y responsabilidades
Uno de los puntos más concretos que exige la Ley 21.663 es designar a un delegado de ciberseguridad. Esta persona será la cara visible ante la ANCI, pero también debe tener peso dentro de la organización para impulsar el SGSI. No basta con nombrarlo: hay que darle autoridad, tiempo y recursos para que realmente pueda liderar.
Además del delegado, un SGSI bien armado necesita roles claros y bien distribuidos. ISO 27001 lo plantea como una estructura de responsabilidades compartidas: desde quienes diseñan los controles hasta quienes los auditan. No todo recae en una sola persona. Algunos de los roles más comunes son:
- Delegado o responsable de ciberseguridad: interlocutor oficial ante la autoridad y líder interno del SGSI.
- CISO (Chief Information Security Officer): estrategia y coordinación de seguridad a nivel global.
- Responsables de activos o procesos: aplican y controlan medidas específicas en su área.
- Auditores internos: revisan objetivamente el funcionamiento del SGSI.
- Comité de seguridad: espacio transversal para tomar decisiones clave y revisar el avance del sistema.
- Soporte técnico: implementa y mantiene los controles tecnológicos definidos.
Concienciación y formación
No basta con tener políticas; las personas deben entenderlas y aplicarlas. Por eso, ISO 27001 exige programas de formación continua, y la Ley 21.663 también pide campañas de concienciación y educación interna. Esto ayuda a prevenir errores humanos, uno de los factores más comunes en incidentes de ciberseguridad, y fortalece una verdadera cultura de seguridad dentro de la organización. Formación técnica para algunos, concienciación general para todos.
Implementación de controles y operación del SGSI
Aquí es donde todo el trabajo previo se vuelve acción. Implementar un SGSI significa poner en marcha controles técnicos y organizacionales reales, no solo documentarlos. Estos controles deben integrarse con la operación diaria de TI, los planes de continuidad y la capacidad de respuesta ante incidentes. Un SGSI funcional se nota en cómo actúa la organización, no solo en lo que escribe.
Implementar estos controles no es tarea de un día. Requiere coordinación entre seguridad, infraestructura, operaciones y usuarios finales. Además, es clave que los controles estén documentados, monitoreados y revisados con frecuencia, para asegurarse de que sigan siendo efectivos ante cambios en el entorno o nuevos riesgos.
Algunos ejemplos clave de controles y tareas operativas son:
- Autenticación multifactor y gestión de accesos
- Cifrado de datos en reposo y en tránsito
- Segmentación de redes y control de tráfico
- Políticas de respaldo y restauración periódica
- Protocolos de respuesta ante incidentes
- Controles de seguridad física y lógica
- Gestión de cambios y parches en sistemas críticos
- Revisión y aplicación de políticas en endpoints y dispositivos móviles
Monitoreo, auditoría interna y revisión por la dirección
Un SGSI no puede quedarse en piloto automático. Es clave monitorear su desempeño con indicadores claros: número de incidentes, tiempos de respuesta, cumplimiento de políticas, etc. Además, la Ley 21.663 exige auditorías periódicas, lo que implica revisar que todo esté funcionando como debe. La dirección también debe involucrarse, evaluando resultados y aprobando acciones de mejora.
Mejora continua
Implementar un SGSI no es el final, es el comienzo de un ciclo que nunca se detiene. La mejora continua implica identificar y corregir fallas, revisar si los controles siguen siendo útiles y adaptarse a cambios tecnológicos, legales o del negocio. Si se detectan no conformidades, hay que corregirlas. También es clave mantenerse alineado con nuevas exigencias regulatorias.
¿Cuánto tiempo toma implementar un SGSI?
La duración de un proyecto SGSI depende de varios factores: el tamaño de la organización, la madurez de sus procesos actuales, la experiencia del equipo y el alcance del sistema. No existe una fórmula única, pero sí patrones comunes.
En términos generales:
- Organizaciones pequeñas con estructuras simples pueden implementar un SGSI funcional en 3 a 6 meses, especialmente si ya tienen buenas prácticas informales que pueden formalizarse.
- Empresas medianas o con estructuras distribuidas (como colegios, clínicas, servicios públicos) suelen requerir entre 6 a 12 meses, considerando el trabajo de documentación, sensibilización y coordinación interna.
- Grandes organizaciones o aquellas que buscan certificarse ISO 27001, pueden necesitar 12 meses o más, especialmente si parten desde cero y deben integrar múltiples áreas, filiales o sedes.
Consejo práctico: En vez de intentar implementarlo todo de golpe, puedes partir con un alcance acotado, como un área crítica o un servicio esencial, y luego escalar gradualmente.
¿Cuánto cuesta implementar un SGSI?
Los costos varían tanto como los tiempos, pero no por eso deben ser un misterio. Implementar un SGSI implica recursos humanos, tiempo, tecnología de soporte, y eventualmente, asesoría externa y certificación. Lo importante es pensarlo como una inversión estratégica en resiliencia y cumplimiento.
Los principales componentes de costo son:
- Horas hombre internas: personal TI, seguridad, legal, operaciones.
- Capacitación y concienciación: especialmente para equipos no técnicos.
- Consultoría o acompañamiento externo, si no hay experiencia interna en ISO 27001.
- Herramientas de soporte: desde software de documentación hasta plataformas de monitoreo, ticketing o gestión de riesgos.
- Costos de certificación (si se busca formalizar el cumplimiento ante ISO o entes acreditados por la ANCI).
Para una organización mediana en Chile, el rango puede ir desde USD $5.000 (en una implementación interna sin certificación formal), hasta USD $40.000 o más si se incluye consultoría, herramientas y auditoría externa.
Consideraciones especiales para cumplir con la Ley 21.663
Tener un SGSI basado en ISO 27001 ya es un gran paso, pero para cumplir con la Ley 21.663 hay detalles específicos que no se pueden pasar por alto. Esta norma chilena trae exigencias propias que deben integrarse al sistema, especialmente en lo relacionado con reportes, fiscalización, continuidad y documentación. Ignorar estos puntos puede costar caro.
- Reporte de incidentes a la ANCI: La ley obliga a reportar incidentes de ciberseguridad que puedan tener efectos significativos. Este aviso debe hacerse tan pronto como sea posible, y en algunos casos, dentro de tres horas desde su detección. Es clave tener procedimientos claros y un equipo preparado para reaccionar rápido, evaluar el impacto y activar el canal de comunicación con el CSIRT Nacional o la ANCI.
- Preparación para fiscalizaciones: La Agencia Nacional de Ciberseguridad tiene autoridad para realizar fiscalizaciones técnicas, revisar documentación y exigir evidencia del funcionamiento del SGSI. No basta con decir que el sistema existe: hay que demostrarlo. Tener auditorías internas al día, registros bien organizados y roles claramente asignados ayuda a pasar estas revisiones sin sobresaltos.
- Compatibilidad con otros sistemas de gestión: El SGSI no vive solo. Debe convivir y complementarse con otros sistemas, como los planes de continuidad operativa o los marcos de protección de datos personales. Muchas organizaciones ya trabajan bajo ISO 22301 o cumplen con la Ley 21.719 sobre protección de datos: integrar esfuerzos reduce duplicidades y fortalece el enfoque global de ciberseguridad.
- Importancia de la trazabilidad documental y los registros: Si no está documentado, no existe. Esa es la lógica que aplica tanto en auditorías internas como frente a la ANCI. El SGSI debe contar con registros claros y actualizados: evaluaciones de riesgo, planes de acción, bitácoras de incidentes, reportes de simulacros, actas de reuniones del comité de seguridad, y cualquier otro proceso relevante.
- Todo debe poder consultarse y rastrearse fácilmente. Esto no solo garantiza cumplimiento, sino también una gestión ordenada y profesional, y servirá como apoyo para los planes de mejora continua.
Herramientas y recursos recomendados
Por suerte, implementar un SGSI no significa partir desde cero ni hacerlo todo a mano. Existen estándares que complementan a ISO 27001, herramientas que facilitan el trabajo técnico y plataformas pensadas para formar equipos más conscientes de su rol en la seguridad. Elegir los recursos adecuados puede marcar la diferencia entre un SGSI funcional y uno que solo existe en papel.
Marcos de referencia complementarios
- ISO 27005: Guía específica para gestión de riesgos de seguridad de la información.
- ISO 22301: Norma para sistemas de gestión de continuidad del negocio, útil para cumplir con exigencias de la Ley 21.663.
- NIST Cybersecurity Framework (CSF): Enfoque estructurado y muy usado en entornos públicos y privados para fortalecer capacidades de ciberseguridad.
Herramientas para evaluación de riesgos y control documental
- RiskLens o OCTAVE Allegro: Para análisis de riesgos más avanzados.
- eramba o ISMS.online: Gestión completa del SGSI, desde controles hasta evidencias.
- Confluence / SharePoint / Notion: Repositorios centralizados para políticas, registros y procedimientos.
Plataformas para entrenamiento y gestión de la concienciación
- KnowBe4: Campañas de phishing simulado y formación continua.
- Whalemate: Software personalizado de concientización en ciberseguridad para profesionales de LATAM.
- Cybersecurity Awareness Hub (SANS): Recursos formativos de alto nivel (en su mayoría en inglés).
- Habitu8 o Huntress Managed Security Awareness Training: Contenido educativo audiovisual y fácil de consumir, ideal para crear cultura de seguridad en todos los niveles.
Plataformas para seguimiento de compliance
- Hackmetric: Plataforma chilena de seguridad & cumplimiento para las normas ISO27001
- Vanta: Plataforma de automatización de cumplimiento para normativas ISO, HIPAA, SOC2, GDPR
Más allá del cumplimiento: por qué el SGSI importa
Implementar un SGSI no es un trámite ni una moda pasajera. Es una forma concreta y estructurada de proteger lo que mantiene tu organización en pie: la información, los servicios críticos y la capacidad de recuperarse ante un incidente.
Con la Ley 21.663 ya en marcha, tener un SGSI bien estructurado se vuelve una obligación urgente para cualquier organización crítica ya que te permite tomar mejores decisiones, ordenar procesos, anticiparte a amenazas reales y responder con agilidad cuando algo falla. Y en un contexto donde los ciberataques no paran, esa capacidad marca la diferencia entre seguir operando o quedar fuera de juego.
Si formas parte de un OSE, un OIV o una institución pública, este no es el momento de improvisar. Es el momento de actuar con método, con visión y con respaldo. La buena noticia es que no estás solo: ya diste el primer paso entendiendo qué exige la ley y cómo funciona ISO 27001. Ahora queda lo más importante: ponerlo en práctica.
