Registro

Iniciar

Inicio
- Contacto
Productos
- CGC360
- KNOWTOK
Soluciones
Industrias
- Electricas
- Salud
Soporte

Inicio
- Contacto
Productos
- CGC360
- KNOWTOK
Soluciones
Industrias
- Electricas
- Salud
Soporte

Registro

Iniciar

+Inicio
- Contacto
+Productos
- CGC360
- KNOWTOK
-Soluciones
+Industrias
- +Electricas
- +Salud
+Soporte

Formulario de assessment preliminar de ciberseguridad

Soluciones / Ciberseguridad / Assessment de Ciberseguridad / Formulario de assessment preliminar de ciberseguridad

Assessment de Cumplimiento — Ley de Ciberseguridad

Autoevaluación · Versión 2025

Assessment de Cumplimiento
Ley Marco de Ciberseguridad

Evaluación de madurez basada en la Ley N° 21.663, ISO/IEC 27001:2022 y buenas prácticas del sector. Complete primero los datos de identificación para habilitar la evaluación.

ISO/IEC 27001:2022Marco de referencia

Ley N° 21.663Normativa nacional

NIST CSF 2.0Buenas prácticas

CIS Controls v8Controles técnicos

1Identificación

2Evaluación

3Resultados

🏢

Identificación de la Organización y del Evaluador

Complete todos los campos marcados con * antes de iniciar la evaluación

Antecedentes generales de la empresa

Razón social *

Campo requerido

RUT / RUC / NIT *

Campo requerido

Nombre de fantasía

Sector / Industria *

Campo requerido

País de operación principal

Ciudad / Región sede principal

¿Opera en múltiples países?

¿Es operador de infraestructura crítica (ANCI)?

Los operadores de infraestructura crítica tienen obligaciones adicionales bajo la Ley 21.663

Facturación anual aproximada

Antigüedad de la empresa

Dimensionamiento de personal

Trabajadores directos (planta propia) *

personas

Campo requerido

Trabajadores indirectos / contratistas

personas

Incluye outsourcing y servicios de terceros con acceso a sus sistemas

Sucursales / sedes / plantas

sedes

Modalidad de trabajo predominante

Infraestructura tecnológica (TI)

PCs / Laptops corporativos *

equipos

Campo requerido

Servidores físicos on-premise

servidores

Máquinas virtuales (VMs)

VMs

Dispositivos móviles corporativos

dispositivos

Periféricos en red (impresoras, etc.)

equipos

Switches / Routers gestionados

equipos

Aplicaciones críticas en producción

apps

ERP, CRM, billing, banca, etc.

Sitios web / portales expuestos a Internet

sitios

Uso de servicios cloud

Infraestructura operacional (OT / ICS / SCADA)

¿Cuenta con infraestructura OT/ICS?

OT: PLCs, SCADA, sensores industriales, sistemas de control

Equipos OT / PLCs / SCADA en red

equipos

Dispositivos IoT / sensores conectados

dispositivos

¿Las redes OT están segregadas de las redes TI?

Equipo de tecnología y ciberseguridad

Personal TI interno

personas

Personal dedicado a ciberseguridad

personas

Presupuesto TI (% sobre ingresos)

Datos del evaluador

Nombre completo *

Campo requerido

Cargo / Función *

Campo requerido

Correo electrónico *

Correo requerido

Teléfono de contacto

Área / Departamento

Fecha de la evaluación

Nivel de conocimiento del evaluador

Por favor complete todos los campos obligatorios (*)

Evaluando

¿Cómo completar este assessment?

Para cada pregunta seleccione la opción que mejor describe el estado actual de su organización, no el estado deseado ni el objetivo.

Expanda Guía de respuesta si necesita orientación adicional sobre la pregunta
Seleccione el nivel que más se ajusta a la realidad de hoy
Puede agregar comentarios o evidencias en cada pregunta
El score se calcula automáticamente al ir respondiendo

Inexistente

No existe ningún control

Inicial

Informal o inconsistente

Definido

Documentado y parcial

Gestionado

Implementado y medido

Score de cumplimiento

/ 100 puntos

Sin responder

0 — Crítico40 — Básico70 — Avanzado100 — Óptimo

Preguntas respondidas0 / 30

🏛

1. Gobernanza y Política de Seguridad

ISO 27001 A.5Ley 21.663 Art. 4NIST GV

Pregunta 1.1

¿Su organización cuenta con una Política de Seguridad de la Información formalmente aprobada por la alta dirección?

Guía de respuesta

Una política de seguridad es un documento de alto nivel firmado por el CEO o Gerente General que establece el compromiso con la protección de activos de información. Debe estar vigente, revisada en los últimos 12 meses y disponible para todos los empleados. No basta con que exista: debe estar activamente comunicada y conocida en la organización.

🔗 ISO 27001:2022 Cláusula 5.2 · Ley 21.663 Art. 4 lit. a) · NIST CSF GV.PO-01

No existe ninguna política documentada

0 pts

Existe un borrador o documento no aprobado formalmente

1 pt

Política aprobada, pero no revisada en el último año o sin comunicación

2 pts

Política aprobada, vigente, comunicada y revisada anualmente

3 pts

+ Agregar comentario / evidencia

Pregunta 1.2

¿Existe un responsable formalmente designado para la gestión de la seguridad de la información (CISO, Encargado de Ciberseguridad u equivalente)?

Guía de respuesta

La Ley 21.663 exige que los operadores de infraestructura crítica designen un Encargado de Ciberseguridad. Incluso para otras organizaciones, es una buena práctica. Este rol puede ser interno o externo, pero debe tener autoridad, recursos y línea directa a la dirección. Verifique si existe cargo formal con funciones y responsabilidades documentadas.

🔗 Ley 21.663 Art. 12 · ISO 27001:2022 Cláusula 5.3

No existe ningún responsable designado

0 pts

Alguien asume funciones informalmente, sin nombramiento formal

1 pt

Responsable designado pero sin recursos o autoridad suficiente

2 pts

CISO o equivalente con cargo formal, recursos y reporte a dirección

3 pts

+ Agregar comentario / evidencia

Pregunta 1.3

¿La organización ha realizado un análisis de riesgos de ciberseguridad en los últimos 12 meses?

Guía de respuesta

Un análisis de riesgos identifica activos críticos, amenazas, vulnerabilidades y el impacto potencial de un incidente. Debe incluir probabilidad, impacto, nivel de riesgo residual y un plan de tratamiento. Puede haberse realizado con metodologías como MAGERIT, ISO 27005 o NIST RMF. No debe confundirse con un escaneo técnico de vulnerabilidades.

🔗 ISO 27001:2022 Cláusula 6.1.2 · Ley 21.663 Art. 4 lit. c) · NIST CSF ID.RA

No se ha realizado ningún análisis de riesgos

0 pts

Se ha hecho de forma parcial o sin metodología definida

1 pt

Análisis formal realizado, pero hace más de 12 meses o no actualizado

2 pts

Análisis formal con metodología, actualizado anualmente y con plan de tratamiento

3 pts

+ Agregar comentario / evidencia

Pregunta 1.4

¿La organización cuenta con un inventario actualizado de activos de información (datos, sistemas, aplicaciones, hardware)?

Guía de respuesta

Un inventario de activos es la base de cualquier programa de seguridad. Debe identificar qué sistemas, aplicaciones, datos y equipos existen, quién es el dueño de cada activo y cuál es su criticidad. Sin saber qué se tiene, no es posible protegerlo. Debe estar actualizado (al menos trimestralmente) y clasificar activos por nivel de criticidad.

🔗 ISO 27001:2022 A.5.9 · CIS Control 1 & 2 · NIST CSF ID.AM

No existe ningún inventario de activos

0 pts

Inventario parcial o en planilla no gestionada

1 pt

Inventario existente pero desactualizado o sin clasificación de criticidad

2 pts

Inventario completo, actualizado, con dueño asignado y clasificación de criticidad

3 pts

+ Agregar comentario / evidencia

Pregunta 1.5

¿Los colaboradores reciben capacitación en ciberseguridad y conciencia de seguridad al menos una vez al año?

Guía de respuesta

El factor humano es el principal vector de ataques (phishing, ingeniería social). La ley exige promover la cultura de ciberseguridad. La capacitación debe ser formal, documentada y aplicarse a todos los empleados, incluyendo directivos. Una simulación de phishing es una práctica recomendada. Verifique si existen registros de asistencia o evaluaciones de efectividad.

🔗 Ley 21.663 Art. 4 lit. f) · ISO 27001:2022 A.6.3 · NIST CSF GV.AT

No se realizan capacitaciones de ciberseguridad

0 pts

Capacitaciones esporádicas o solo para el área TI

1 pt

Capacitación anual para todos, pero sin medir efectividad ni registro formal

2 pts

Programa formal anual con registro, evaluaciones y simulaciones de phishing

3 pts

+ Agregar comentario / evidencia

🔐

2. Control de Acceso e Identidad

ISO 27001 A.8Ley 21.663 Art. 6CIS Control 5 & 6

Pregunta 2.1

¿La organización aplica el principio de mínimo privilegio en el acceso a sistemas y datos críticos?

Guía de respuesta

El principio de mínimo privilegio indica que cada usuario debe tener acceso únicamente a los recursos necesarios para su función. Evalúe si los accesos se revisan regularmente, si existen usuarios con privilegios administrativos innecesarios, o si ex-empleados mantienen accesos activos en los sistemas.

🔗 ISO 27001:2022 A.8.2 · CIS Control 5 · NIST CSF PR.AA-05

Los usuarios tienen acceso amplio sin restricciones definidas

0 pts

Existen restricciones básicas pero no se revisan regularmente

1 pt

Mínimo privilegio aplicado pero sin revisión periódica formal

2 pts

Mínimo privilegio con revisiones periódicas, proceso de baja y recertificación

3 pts

+ Agregar comentario / evidencia

Pregunta 2.2

¿La organización utiliza autenticación multifactor (MFA) para el acceso a sistemas críticos, correo corporativo y accesos remotos?

Guía de respuesta

MFA requiere verificar la identidad con al menos dos factores: algo que sabe (contraseña), algo que tiene (token o app móvil) o algo que es (biometría). Es uno de los controles más efectivos para prevenir accesos no autorizados. Evalúe si aplica en correo corporativo, VPN, Office 365/Google Workspace y sistemas críticos.

🔗 ISO 27001:2022 A.8.5 · CIS Control 6.3 · NIST CSF PR.AA-03

No se utiliza MFA en ningún sistema

0 pts

MFA solo en algunos sistemas o en forma voluntaria

1 pt

MFA en accesos remotos y correo, pero no en todos los sistemas críticos

2 pts

MFA en todos los accesos críticos y externos con política documentada

3 pts

+ Agregar comentario / evidencia

Pregunta 2.3

¿Existe un proceso formal para gestionar el ciclo de vida de las identidades: alta, modificación y baja de usuarios en todos los sistemas?

Guía de respuesta

La gestión del ciclo de vida garantiza que los accesos se otorguen al incorporarse un empleado, se modifiquen ante cambios de cargo y se revoquen de inmediato al desvincularse. Verifique si existen procedimientos escritos que involucren a RRHH e IT, con plazos y responsables definidos. Un ex-empleado con acceso activo es un riesgo crítico.

🔗 ISO 27001:2022 A.5.18 · CIS Control 5.1 · NIST CSF PR.AA-02

No existe proceso; los accesos se gestionan ad hoc

0 pts

Proceso informal, sin plazos ni responsables definidos

1 pt

Proceso documentado pero sin auditoría o con brechas en la baja de accesos

2 pts

Proceso formal con SLA, responsables, auditoría y coordinación RRHH–IT

3 pts

+ Agregar comentario / evidencia

Pregunta 2.4

¿Se registran y monitorean los accesos e intentos fallidos a los sistemas críticos mediante logs de auditoría?

Guía de respuesta

Los logs de auditoría son fundamentales para detectar accesos no autorizados e investigar incidentes. Evalúe si los sistemas generan logs, si se almacenan de forma segura (sin posibilidad de alteración), cuánto tiempo se retienen, y si existen alertas automáticas ante anomalías como múltiples intentos fallidos.

🔗 ISO 27001:2022 A.8.15 · CIS Control 8 · Ley 21.663 Art. 6 lit. g)

No se generan ni almacenan logs de acceso

0 pts

Logs generados pero no revisados ni centralizados

1 pt

Logs centralizados con retención definida, pero sin monitoreo activo

2 pts

Logs en SIEM, con alertas, retención mínima 12 meses y revisión regular

3 pts

+ Agregar comentario / evidencia

Pregunta 2.5

¿Existe una política de contraseñas robusta con requisitos de complejidad y no reutilización, aplicada técnicamente en todos los sistemas?

Guía de respuesta

Una política robusta especifica longitud mínima (≥12 caracteres), complejidad (mayúsculas, minúsculas, números y símbolos), historial de contraseñas y bloqueo por intentos fallidos. Lo importante es que los requisitos se apliquen técnicamente en los sistemas (Active Directory, SSO), no solo como norma en papel. Considere también el uso de un gestor de contraseñas corporativo.

🔗 ISO 27001:2022 A.8.5 · CIS Control 5.2 · NIST SP 800-63B

Sin política ni requisitos técnicos de contraseñas

0 pts

Política documentada pero no aplicada técnicamente

1 pt

Política aplicada en algunos sistemas pero no en todos

2 pts

Política aplicada técnicamente en todos los sistemas con gestor corporativo

3 pts

+ Agregar comentario / evidencia

🛡

3. Protección de Infraestructura y Redes

ISO 27001 A.8Ley 21.663 Art. 6CIS Control 12 & 13

Pregunta 3.1

¿La red corporativa está segmentada, separando al menos la red de usuarios, servidores y sistemas críticos o de OT/ICS?

Guía de respuesta

La segmentación de red divide la red en zonas aisladas para contener la propagación de amenazas como ransomware. Como mínimo deben separarse: red de usuarios, servidores, invitados/WiFi y redes industriales (OT/SCADA). Se implementa con VLANs, firewalls internos o micro-segmentación. Evalúe si el tráfico entre zonas está controlado.

🔗 ISO 27001:2022 A.8.20 · CIS Control 12 · NIST CSF PR.IR-01

Red plana, sin ninguna segmentación

0 pts

Segmentación básica solo de red WiFi o invitados

1 pt

Segmentación de usuarios y servidores, sin segmentar OT o sistemas críticos

2 pts

Segmentación completa con firewall interno, DMZ y control de flujos entre zonas

3 pts

+ Agregar comentario / evidencia

Pregunta 3.2

¿Los sistemas operativos, aplicaciones y firmware están actualizados con parches de seguridad dentro de un plazo definido?

Guía de respuesta

La mayoría de ataques exitosos explotan vulnerabilidades con parches ya disponibles. Una gestión de parches efectiva prioriza por criticidad CVSS y aplica dentro de plazos definidos: parches críticos en 7–15 días, altos en 30 días. Evalúe si existen sistemas con SO fuera de soporte (ej: Windows 7, Server 2008) que representan un riesgo severo.

🔗 ISO 27001:2022 A.8.8 · CIS Control 7 · Ley 21.663 Art. 6 lit. d)

Sin gestión de parches; sistemas con meses o años de atraso

0 pts

Parches aplicados ocasionalmente, sin proceso ni plazos definidos

1 pt

Proceso de parches definido, pero con demoras o cobertura parcial

2 pts

Gestión formal con SLA por criticidad, herramienta automatizada y métricas

3 pts

+ Agregar comentario / evidencia

Pregunta 3.3

¿Se realizan escaneos de vulnerabilidades y/o pruebas de penetración (pentesting) de forma periódica sobre sistemas expuestos a Internet?

Guía de respuesta

Para sistemas expuestos a Internet se recomiendan escaneos mensuales y pentesting al menos anual. Un pentest simula un ataque real e identifica vectores de compromiso que un escáner automático no detecta. Los hallazgos deben tener seguimiento formal con plan de remediación y plazos de cierre.

🔗 ISO 27001:2022 A.8.8 · CIS Control 7.6 · Ley 21.663 Art. 6 lit. d)

No se realizan escaneos ni pentesting

0 pts

Escaneo ocasional sin seguimiento de hallazgos

1 pt

Escaneos periódicos y/o pentest anual con plan de remediación

2 pts

Escaneos continuos, pentest anual, programa de bug bounty o red team

3 pts

+ Agregar comentario / evidencia

Pregunta 3.4

¿Los datos críticos y sensibles están cifrados tanto en tránsito (comunicaciones) como en reposo (almacenamiento)?

Guía de respuesta

El cifrado en tránsito implica usar HTTPS/TLS para toda comunicación, incluidas APIs e integraciones. El cifrado en reposo implica proteger bases de datos con datos personales o sensibles, discos de laptops (BitLocker/FileVault) y respaldos. La Ley 21.719 también exige medidas técnicas de protección de datos personales.

🔗 ISO 27001:2022 A.8.24 · CIS Control 3.10 · Ley 21.719

Sin cifrado en tránsito ni en reposo para datos sensibles

0 pts

Solo HTTPS en sitio web, sin cifrado de almacenamiento

1 pt

Cifrado en tránsito aplicado, parcialmente en reposo

2 pts

Cifrado completo en tránsito y reposo para datos sensibles, con gestión de claves

3 pts

+ Agregar comentario / evidencia

Pregunta 3.5

¿Existe un proceso de gestión segura de dispositivos móviles y trabajo remoto (MDM, VPN corporativa, políticas BYOD)?

Guía de respuesta

Una solución MDM permite controlar, cifrar y borrar remotamente dispositivos corporativos. Una VPN corporativa protege las comunicaciones desde redes externas. Las políticas BYOD regulan el uso de dispositivos personales para trabajo. Evalúe si es posible borrar remotamente un equipo robado y si todos los accesos remotos pasan por VPN corporativa.

🔗 ISO 27001:2022 A.6.7 · CIS Control 4.7 · NIST CSF PR.AA-05

Sin gestión de dispositivos ni política de trabajo remoto

0 pts

Política documentada pero sin solución técnica (sin MDM/VPN)

1 pt

VPN corporativa y MDM implementado, pero sin política BYOD o cobertura parcial

2 pts

MDM, VPN, políticas BYOD, cifrado de disco y borrado remoto implementados

3 pts

+ Agregar comentario / evidencia

🚨

4. Gestión y Respuesta a Incidentes

ISO 27001 A.5.24-28Ley 21.663 Art. 7NIST CSF DE & RS

Pregunta 4.1

¿Existe un Plan de Respuesta a Incidentes de Ciberseguridad formalmente documentado y aprobado?

Guía de respuesta

Un IRP documenta los pasos a seguir cuando ocurre un ciberataque. Debe incluir: clasificación de incidentes, roles y responsabilidades del equipo de respuesta, procedimientos de contención y erradicación, comunicación interna y externa (incluyendo reporte a la ANCI), criterios de escalación y lecciones aprendidas post-incidente.

🔗 Ley 21.663 Art. 7 y Art. 9 · ISO 27001:2022 A.5.26 · NIST CSF RS.PL

No existe ningún plan de respuesta a incidentes

0 pts

Existen procedimientos informales conocidos solo por TI

1 pt

Plan documentado pero no probado ni comunicado a los involucrados

2 pts

Plan formal, probado con simulacros anuales, actualizado y con roles definidos

3 pts

+ Agregar comentario / evidencia

Pregunta 4.2

¿La organización conoce sus obligaciones de reporte de incidentes a la Agencia Nacional de Ciberseguridad (ANCI) y tiene definidos los plazos y procedimientos?

Guía de respuesta

La Ley 21.663 establece plazos de reporte: reporte temprano (3 horas), reporte preliminar (72 horas) e informe final (15 días). Evalúe si el equipo responsable conoce estos plazos y si existe un canal registrado ante la ANCI. La ignorancia de la ley no exime de responsabilidad.

🔗 Ley 21.663 Art. 9 · Reglamento ANCI · Art. 10 (operadores)

Desconoce las obligaciones de reporte a la ANCI

0 pts

Conocimiento general pero sin procedimiento documentado

1 pt

Procedimiento documentado pero sin práctica o sin contacto con ANCI

2 pts

Procedimiento formal, plazos conocidos, canal registrado con ANCI y probado

3 pts

+ Agregar comentario / evidencia

Pregunta 4.3

¿Existe capacidad de detección de amenazas activa (SIEM, EDR, IDS/IPS) con monitoreo continuo o en horario extendido?

Guía de respuesta

Sin detección activa, los atacantes pueden permanecer meses en la red (el tiempo promedio de permanencia antes de detección supera los 200 días). Las herramientas de detección incluyen SIEM, EDR/XDR, IDS/IPS y servicios MDR/SOC externalizados. Evalúe si existe monitoreo fuera del horario laboral.

🔗 ISO 27001:2022 A.8.16 · CIS Control 13 · NIST CSF DE.CM

Sin herramientas de detección activa

0 pts

Antivirus básico sin capacidad EDR ni correlación de eventos

1 pt

EDR y/o SIEM implementado, monitoreo en horario laboral

2 pts

SIEM + EDR con monitoreo 24/7 (SOC interno o MDR externo) y playbooks

3 pts

+ Agregar comentario / evidencia

Pregunta 4.4

¿La organización ha realizado simulacros o ejercicios de respuesta a incidentes (tabletop exercises) en los últimos 12 meses?

Guía de respuesta

Un ejercicio tabletop es una simulación basada en escenarios reales (ej: ransomware, filtración de datos) donde el equipo analiza cómo actuaría. No requiere infraestructura técnica: solo reunir a los actores clave y revisar el plan. Estos ejercicios revelan brechas antes de que ocurra un incidente real.

🔗 ISO 27001:2022 A.5.28 · Ley 21.663 Art. 4 · NIST CSF RS.CO

Nunca se han realizado ejercicios de respuesta

0 pts

Ejercicios realizados hace más de 2 años o sin registro

1 pt

Ejercicio tabletop realizado en el último año con TI y algunas áreas

2 pts

Simulacros anuales con dirección, legal, comunicaciones y TI + lecciones aprendidas

3 pts

+ Agregar comentario / evidencia

Pregunta 4.5

¿Existe un proceso de gestión de crisis y comunicación ante incidentes que incluya notificación a clientes, autoridades y la prensa si fuera necesario?

Guía de respuesta

Un incidente grave implica también una crisis comunicacional. Debe existir un proceso que defina quién autoriza comunicaciones externas, qué se comunica y qué no, cómo se notifica a clientes afectados (obligatorio bajo Ley 21.719) y cómo se gestiona la relación con medios de comunicación. El silencio o la mala comunicación puede agravar el daño reputacional.

🔗 Ley 21.719 Art. 42 · ISO 27001:2022 A.5.27 · NIST CSF RS.CO

Sin proceso de gestión de crisis ni comunicación de incidentes

0 pts

El proceso es ad hoc, sin roles ni plantillas de comunicación

1 pt

Proceso documentado con roles, pero no probado ni con plantillas listas

2 pts

Plan de crisis completo con legal, PR, plantillas y protocolo de notificación

3 pts

+ Agregar comentario / evidencia

🔄

5. Continuidad del Negocio y Recuperación

ISO 27001 A.5.29-30ISO 22301NIST CSF RC

Pregunta 5.1

¿Existen respaldos (backups) automatizados de sistemas y datos críticos, con copias fuera de la red principal (offsite o cloud)?

Guía de respuesta

Los respaldos son la última línea de defensa ante un ransomware. Deben seguir la regla 3-2-1: 3 copias, en 2 medios distintos, con 1 copia fuera del sitio principal. Los backups deben estar desconectados de la red (air-gapped) para que el ransomware no pueda cifrarlos también. Tan importante como el backup es probarlo: verifique si la restauración se prueba periódicamente.

🔗 ISO 27001:2022 A.8.13 · CIS Control 11 · NIST CSF RC.RP

Sin respaldos automatizados

0 pts

Respaldos manuales o solo locales sin copia offsite

1 pt

Backup automatizado con copia offsite/cloud, pero sin pruebas de restauración

2 pts

Regla 3-2-1, backups air-gapped, restauración probada trimestralmente

3 pts

+ Agregar comentario / evidencia

Pregunta 5.2

¿La organización cuenta con un Plan de Continuidad del Negocio (BCP) y/o Plan de Recuperación ante Desastres (DRP) que contemple escenarios de ciberataque?

Guía de respuesta

Un BCP define cómo continuar operando durante una disrupción. Un DRP define cómo recuperar los sistemas de IT. Hoy ambos deben contemplar explícitamente escenarios de ciberataque (ransomware, DDoS, compromiso de proveedor cloud). Verifique si definen RTO (tiempo máximo de recuperación) y RPO (pérdida máxima de datos aceptable) para sistemas críticos.

🔗 ISO 27001:2022 A.5.29 · ISO 22301 · Ley 21.663 Art. 4 lit. d)

Sin BCP ni DRP documentados

0 pts

Plan básico no actualizado y no probado, sin contemplar ciberataques

1 pt

BCP/DRP formal con escenarios de ciberataque pero sin pruebas recientes

2 pts

BCP/DRP formal, probado anualmente, con RTO/RPO definidos y validados

3 pts

+ Agregar comentario / evidencia

Pregunta 5.3

¿La organización gestiona la seguridad de su cadena de suministro digital, evaluando los riesgos de ciberseguridad de proveedores críticos?

Guía de respuesta

Ataques como el de SolarWinds mostraron que los proveedores de software y servicios son un vector crítico. La gestión de riesgos en la cadena de suministro implica identificar proveedores críticos, evaluar su postura de seguridad (cuestionarios, certificaciones ISO 27001, SOC 2), incluir cláusulas de seguridad en contratos y monitorear continuamente.

🔗 ISO 27001:2022 A.5.19–5.22 · Ley 21.663 Art. 4 lit. e) · NIST CSF GV.SC

No se evalúan los riesgos de proveedores

0 pts

Revisión informal de algunos proveedores sin proceso estructurado

1 pt

Cuestionarios de seguridad a proveedores críticos, con cláusulas básicas en contratos

2 pts

Programa formal de riesgos de terceros con evaluaciones periódicas y monitoreo

3 pts

+ Agregar comentario / evidencia

Pregunta 5.4

¿Existe una gestión del cumplimiento normativo que incluya la Ley N° 21.663, Ley N° 21.719 y otras regulaciones sectoriales aplicables?

Guía de respuesta

Las organizaciones en Chile deben cumplir Ley 21.663 (ciberseguridad), Ley 21.719 (protección de datos, en vigencia desde 2026) y regulaciones sectoriales (CMF, Superintendencia de Salud, etc.). El cumplimiento normativo requiere mapear las obligaciones aplicables, asignar responsables, implementar controles y evidenciar el cumplimiento ante la autoridad.

🔗 Ley 21.663 · Ley 21.719 · ISO 27001:2022 A.5.31–5.36

No existe gestión del cumplimiento normativo

0 pts

Conocimiento básico de las normas, sin mapeo formal de obligaciones

1 pt

Mapeo de obligaciones realizado, con brechas identificadas en proceso de cierre

2 pts

Programa de compliance formal, auditado, con evidencias y revisión periódica

3 pts

+ Agregar comentario / evidencia

Pregunta 5.5

¿Existe un programa de auditorías internas de seguridad que evalúe periódicamente la efectividad de los controles implementados?

Guía de respuesta

Las auditorías internas evalúan si los controles de seguridad están implementados correctamente y funcionan como se espera. No es lo mismo tener una política que cumplirla. Debe tener un plan anual, generar hallazgos con planes de acción y plazos, y sus resultados deben reportarse a la dirección.

🔗 ISO 27001:2022 Cláusula 9.2 · Ley 21.663 Art. 4 · NIST CSF ID.IM

Sin auditorías internas de seguridad

0 pts

Revisiones informales ocasionales sin metodología ni registro

1 pt

Auditorías realizadas pero sin plan anual ni seguimiento formal de hallazgos

2 pts

Programa de auditorías anual, con hallazgos, planes de acción y reporte a dirección

3 pts

+ Agregar comentario / evidencia

🗄

6. Protección de Datos Personales y Privacidad

Ley 21.719ISO 27701ISO 27001 A.5.31–36

Pregunta 6.1

¿La organización tiene identificados y clasificados los datos personales que trata, con su base legal correspondiente (consentimiento, contrato, interés legítimo, etc.)?

Guía de respuesta

La Ley 21.719 exige que toda organización identifique qué datos personales trata, con qué finalidad, bajo qué base legal y dónde se almacenan. Esto se documenta en un Registro de Actividades de Tratamiento (RAT). Sin este registro, es imposible responder a derechos ARCO o demostrar cumplimiento ante la Agencia de Protección de Datos.

🔗 Ley 21.719 Art. 14 · ISO 27701 · GDPR Art. 30

No se han identificado ni clasificado los datos personales tratados

0 pts

Identificación parcial sin base legal documentada

1 pt

Registro de actividades de tratamiento iniciado, pendiente de completar

2 pts

RAT completo y actualizado, con base legal documentada para cada tratamiento

3 pts

+ Agregar comentario / evidencia

Pregunta 6.2

¿Existe un proceso para atender solicitudes de derechos de los titulares (acceso, rectificación, cancelación, oposición y portabilidad) dentro de los plazos legales?

Guía de respuesta

La Ley 21.719 otorga derechos como acceso (saber qué datos tiene la empresa), rectificación, supresión, oposición y portabilidad. La empresa debe tener un canal formal para recibir solicitudes, identificar al titular, procesar y responder dentro del plazo legal (30 días). Evalúe si existe este proceso y si ha sido probado con solicitudes reales.

🔗 Ley 21.719 Título III · ISO 27701 7.3 · GDPR Art. 15–22

Sin proceso para atender derechos de titulares

0 pts

Canal informal, sin plazos ni responsables definidos

1 pt

Proceso documentado con canal formal, pero sin haber sido probado en la práctica

2 pts

Proceso operativo, probado, con canal web, plazos definidos y registro de solicitudes

3 pts

+ Agregar comentario / evidencia

Pregunta 6.3

¿La organización cuenta con un proceso de notificación de brechas de datos personales a la Agencia de Protección de Datos y a los titulares afectados?

Guía de respuesta

La Ley 21.719 obliga a notificar brechas a la Agencia de Protección de Datos en un plazo de 72 horas y a los titulares cuando exista riesgo para sus derechos. Este proceso debe coordinarse con el plan de respuesta a incidentes y con el área legal. Verifique si existen plantillas de notificación listas para usar.

🔗 Ley 21.719 Art. 42 · ISO 27701 · Ley 21.663 Art. 9

Sin proceso de notificación de brechas de datos

0 pts

Se conoce la obligación pero sin proceso ni plantillas definidas

1 pt

Proceso documentado con plantillas, pero no integrado al IRP ni probado

2 pts

Proceso integrado, probado, con plantillas y coordinación legal y comunicaciones

3 pts

+ Agregar comentario / evidencia

Pregunta 6.4

¿Se aplican principios de privacidad por diseño y por defecto en el desarrollo de nuevos productos, servicios o procesos que involucren datos personales?

Guía de respuesta

Privacidad por diseño significa incorporar la protección de datos desde el inicio del desarrollo, no como parche posterior. Privacidad por defecto implica que la configuración predeterminada sea la más protectora. En la práctica: realizar Evaluaciones de Impacto en Privacidad (EIPD/DPIA) antes de lanzar nuevos productos y minimizar la recolección de datos.

🔗 Ley 21.719 Art. 14 · ISO 27701 · GDPR Art. 25

Sin consideración de privacidad en el diseño de productos o servicios

0 pts

Revisiones ad hoc de privacidad, sin proceso formal

1 pt

Proceso de EIPD iniciado para algunos proyectos, no sistemático

2 pts

Privacy by Design y EIPD sistemáticos en todos los proyectos con datos personales

3 pts

+ Agregar comentario / evidencia

Pregunta 6.5

¿Los contratos con proveedores que tratan datos personales de la organización incluyen cláusulas de encargado de tratamiento conforme a la Ley 21.719?

Guía de respuesta

Cuando un tercero procesa datos personales de sus clientes o empleados (ej: proveedor de nómina, CRM, cloud), actúa como "encargado de tratamiento". La ley exige que el contrato regule explícitamente qué datos se tratan, finalidad, medidas de seguridad del encargado, prohibición de subcontratación no autorizada y obligaciones de notificación de brechas.

🔗 Ley 21.719 Art. 16 · ISO 27001:2022 A.5.20 · GDPR Art. 28

Los contratos con proveedores no mencionan protección de datos

0 pts

Cláusulas genéricas de confidencialidad, sin elementos específicos de la ley

1 pt

Contratos con cláusulas de encargado en proceso de actualización

2 pts

Todos los contratos incluyen cláusulas conforme a Ley 21.719

3 pts

+ Agregar comentario / evidencia

Responda al menos 20 preguntas para obtener un resultado representativo

Acciones prioritarias recomendadas

✉ Enviar evaluación a KLG Technology

Haga clic en el botón para abrir su cliente de correo. Se generará automáticamente un mensaje dirigido a assessment@klgtechnology.com con el asunto y cuerpo predefinidos, incluyendo el reporte completo de la evaluación para que el equipo de KLG Technology pueda analizarlo y contactarle.

Para:assessment@klgtechnology.com

Asunto:Solicitud de Assessment de Ciberseguridad

✉ Enviar reporte por correo

Si su cliente de correo no se abre automáticamente, use el botón de copiar y pegue el contenido manualmente en un correo a assessment@klgtechnology.com

Formulario de assessment preliminar de ciberseguridad

Assessment de CumplimientoLey Marco de Ciberseguridad

¿Cómo completar este assessment?

Assessment de Cumplimiento
Ley Marco de Ciberseguridad