Cultura y Capacitación en Ciberseguridad — Ley 21.663 | KLG Technology

Ley 21.663 · Art. 7° y 8° lit. h) — Obligación legal expresa

Cultura y capacitación
en ciberseguridad:
formación del personal
como exigencia normativa.

La Ley Marco de Ciberseguridad establece que la capacitación, formación y educación continua en ciberseguridad —incluyendo campañas de ciberhigiene— no es una buena práctica opcional: es una obligación legal explícita para los OIV y una medida de naturaleza informativa exigida a todas las entidades del artículo 4°. Sin programa documentado, no hay cumplimiento posible.

OIV: obligación expresa art. 8° lit. h)

Abarca trabajadores, colaboradores y directorio

Incluye campañas de ciberhigiene documentadas

Artículo 8° literal h) — Deberes específicos de los OIV · Ley N° 21.663

"Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene."

Fuente oficial: Ley 21.663 · Biblioteca del Congreso Nacional de Chile ↗

Cuatro dimensiones de la obligación

¿Qué exige la ley en materia de cultura y capacitación?

El artículo 8° lit. h) define cuatro componentes que el programa de capacitación debe cubrir: formación técnica, educación continua, ciberhigiene y alcance a todos los trabajadores y colaboradores. Además, el artículo 7° establece que las medidas de naturaleza informativa son parte integral del SGSI.

01

Programas de capacitación

Formación técnica estructurada y documentada en ciberseguridad

La ley exige que la capacitación sea un programa formal y estructurado, no cursos aislados. Debe estar diseñado, documentado, ejecutado y registrado como parte integral del SGSI, con evidencia auditable.

Plan anual de capacitación con objetivos, públicos objetivo, contenidos y cronograma
Contenidos alineados con los riesgos reales de la organización identificados en el mapa de riesgos
Métodos de entrega: presencial, e-learning, simulaciones, talleres prácticos
Evaluaciones de efectividad: tests, certificaciones internas y seguimiento de comportamiento
Registro auditado de participación, contenidos impartidos y resultados obtenidos

02

Educación continua

La formación no es un evento anual: debe ser permanente y actualizada

El adjetivo "continua" en el texto legal no es decorativo: establece que la formación debe ser un proceso permanente que se actualice ante nuevas amenazas, cambios normativos o incidentes ocurridos en la industria.

Ciclo de actualización periódica de contenidos ante nuevas amenazas y vectores de ataque
Boletines, alertas o comunicaciones de seguridad con frecuencia regular para todo el personal
Sesiones de actualización ante incidentes relevantes del sector o cambios regulatorios
Integración de lecciones aprendidas de incidentes propios al programa de formación
Mecanismo de retroalimentación del personal sobre amenazas detectadas en su entorno

03

Campañas de ciberhigiene

Obligación explícita e independiente dentro del programa general

La ley menciona explícitamente las campañas de ciberhigiene como elemento diferenciado del programa. No son una forma genérica de capacitación: son intervenciones concretas orientadas a modificar hábitos digitales del personal.

Campañas sobre uso seguro de contraseñas, MFA y gestión de credenciales
Simulaciones de phishing para medir y entrenar la resistencia ante correos fraudulentos
Sensibilización sobre ingeniería social, vishing y manipulación psicológica
Comunicaciones visuales sobre hábitos seguros en puesto de trabajo y uso de dispositivos
Medición de la tasa de clic en phishing simulado y seguimiento de mejora en el tiempo

04

Alcance total: trabajadores y colaboradores

La obligación alcanza a toda persona que interactúa con los sistemas de la organización

El texto legal incluye tanto a "trabajadores" (personal de planta) como a "colaboradores" (contratistas, proveedores de servicios, personal externo). Esto significa que la obligación trasciende la relación laboral directa.

Personal de planta: todos los trabajadores con acceso a sistemas de información
Contratistas y proveedores con acceso a redes, sistemas o datos de la organización
Directorio y alta administración: capacitación en gobierno de ciberseguridad y riesgos digitales
Personal nuevo: inducición en seguridad como requisito previo al acceso a sistemas críticos
Terceros remotos: inclusión en campañas y requisitos mínimos de ciberhigiene contractuales

Artículo 7° — Medidas de naturaleza informativa

Los seis públicos que debe cubrir el programa

Un programa de cultura de ciberseguridad conforme a la Ley 21.663 no puede ser genérico. Debe segmentarse por público, con contenidos, profundidad y formatos distintos según el rol y nivel de exposición al riesgo de cada grupo.

👤

Directorio y alta dirección

Gobierno de ciberseguridad, riesgo digital como riesgo corporativo, responsabilidades legales bajo la Ley 21.663 y lectura e interpretación de dashboards de riesgo.

Gobierno — Alta prioridad

💻

Equipo TI y ciberseguridad

Formación técnica profunda: respuesta a incidentes, análisis forense, gestión de vulnerabilidades, SGSI ISO 27001 y operación de herramientas de seguridad.

Técnico — Profundidad máxima

📋

Personal operativo general

Ciberhigiene esencial: phishing, contraseñas seguras, MFA, uso de dispositivos corporativos, redes wifi, ingeniería social y protocolos de reporte de incidentes sospechosos.

Ciberhigiene — Todo el personal

💳

Finanzas y RRHH

Fraude financiero digital, BEC (Business Email Compromise), protección de datos personales de empleados, gestión segura de información sensible y normativa 21.719.

Riesgo específico — Alta exposición

👥

Colaboradores y proveedores

Requisitos mínimos de ciberhigiene como condición de acceso a sistemas. Cláusulas contractuales de seguridad y obligaciones de reporte de incidentes que afecten los sistemas del cliente.

Terceros — Alcance legal

📖

Personal nuevo

Inducción obligatoria en seguridad de la información previo al acceso a sistemas críticos. Firma de política de uso aceptable, compromiso de confidencialidad y conocimiento del protocolo de reporte.

Onboarding — Previo a acceso

Marco legal completo — Art. 7°, 8° lit. h) y atribuciones ANCI

La capacitación en la arquitectura
legal de la Ley 21.663

La obligación de capacitación no existe en aislamiento. Es parte de un marco legal que la vincula con el SGSI, el principio de seguridad por diseño y las atribuciones formativas de la ANCI.

h

Art. 8° lit. h) — Obligación OIV

Contar con programas de capacitación, formación y educación continua que incluyan campañas de ciberhigiene. Alcance: todos los trabajadores y colaboradores.

7

Art. 7° — Medidas informativas

Las medidas de ciberseguridad pueden ser de naturaleza tecnológica, organizacional, física o informativa. La capacitación es la medida informativa por excelencia y parte del SGSI.

3

Art. 3° n°8 — Seguridad por diseño

El principio de seguridad por defecto y desde el diseño implica que los sistemas y las personas deben concebirse con la seguridad integrada desde el inicio, no como capa posterior.

11

Art. 11 — Atribuciones ANCI

La ANCI tiene la atribución de diseñar e implementar planes de formación ciudadana y promoción de la cultura de ciberseguridad, lo que anticipa estándares mínimos que podrá exigir a las entidades obligadas.

8b

Registro auditado del programa

El art. 8° lit. b) exige registro de todas las acciones del SGSI. Esto incluye el programa de capacitación: asistencias, contenidos, evaluaciones y resultados deben quedar documentados y trazables.

47

Responsabilidad del jefe superior

El art. 47 establece responsabilidad administrativa del jefe superior del organismo. No implementar el programa de capacitación expone a la dirección a consecuencias legales directas.

Ciclo del programa de capacitación

Cómo estructurar un programa conforme a la ley

Un programa de cultura de ciberseguridad que satisfaga la Ley 21.663 debe operar en cuatro fases continuas: diagnóstico, diseño, ejecución y evaluación con registro auditado en cada etapa.

Fase 1 · Diagnóstico

Conocer el punto de partida

Evaluar el nivel de madurez actual del personal en ciberseguridad. Identificar grupos de riesgo, brechas de conocimiento y amenazas prevalentes según el mapa de riesgos del SGSI.

→

Fase 2 · Diseño

Estructurar el plan anual

Definir contenidos por segmento de público, modalidades de entrega, frecuencia, campañas de ciberhigiene incluidas, KPIs de medición y responsables. Aprobación formal por la dirección.

→

Fase 3 · Ejecución

Implementar y registrar

Entregar la capacitación en los formatos planificados, ejecutar simulaciones de phishing, desplegar campañas de ciberhigiene y documentar participación con registro auditado.

→

Fase 4 · Evaluación

Medir, mejorar y reportar

Medir efectividad: tasa de phishing, evaluaciones, cambios de comportamiento. Reportar resultados al SGSI, al Delegado y a la dirección. Actualizar el plan para el ciclo siguiente.

Evidencias que el programa debe generar para la ANCI

📋

Plan de capacitación aprobado

Documento formal aprobado por la dirección con objetivos, públicos, contenidos, cronograma anual y presupuesto asignado.

✅

Registros de asistencia y participación

Listados firmados o registros digitales de participación en cada sesión, módulo o actividad, con fecha, contenido y nombre del facilitador.

🎯

Resultados de evaluaciones

Calificaciones, tasas de aprobación y resultados de tests por módulo y por persona, con seguimiento a quienes no alcanzan el nivel mínimo.

🎉

Resultados de simulaciones de phishing

Tasa de clic por campaña y por departamento, con evolución temporal que demuestre el impacto de la capacitación sobre el comportamiento real del personal.

📊

Informe de efectividad del programa

Reporte periódico con KPIs, cobertura por segmento, comparación con períodos anteriores y recomendaciones de mejora para el próximo ciclo.

📝

Política de uso aceptable firmada

Documento firmado por cada trabajador y colaborador que acredita el conocimiento de las normas de seguridad de la información de la organización.

Artículos 38–40 · Infracciones y sanciones

El costo de no tener un programa de capacitación

La ausencia de un programa formal de capacitación en ciberseguridad no solo aumenta la probabilidad de un incidente: también constituye una infraccion directa a la Ley 21.663 con consecuencias económicas y reputacionales.

Infracciones gravísimas — OIV

40.000 UTM

Equivalente a aprox. USD 3 millones

No contar con programas de capacitación y ciberhigiene siendo OIV calificado (art. 8° lit. h)
Carecer de registros auditados del programa de formación conforme al reglamento (art. 8° lit. b)
No implementar las medidas informativas exigidas por los protocolos de la ANCI (art. 7°)
Incidente causado por phishing o ingeniería social que revele ausencia total de capacitación

Ver art. 39 y 40 en BCN ↗

Responsabilidad directa del directorio

Personal

Art. 47 — Jefe superior del organismo

El jefe superior del organismo responde administrativamente por no implementar el programa
En empresas privadas, la responsabilidad alcanza a directores y ejecutivos principales
Un incidente causado por falta de capacitación del personal agrava la posición de la dirección
La capacitación del directorio en ciberseguridad es parte de sus deberes de gobierno corporativo

Ver art. 47 en BCN ↗

Cómo KLG Technology lo acompaña

Programa de cultura de ciberseguridad
listo para auditoría

KLG Technology diseña e implementa el programa de capacitación y cultura de ciberseguridad exigido por el artículo 8° lit. h) de la Ley 21.663, generando todos los registros y evidencias necesarias para demostrar cumplimiento ante la ANCI.

El programa incluye formación diferenciada por público, campañas de ciberhigiene, simulaciones de phishing medibles y el componente de capacitación para directorios, integrando todo en el SGSI como evidencia auditable.

🎓

Concientización y cultura de ciberseguridad

Programa completo de capacitación, ciberhigiene y cultura que cumple el art. 8° lit. h) con evidencia auditable para la ANCI

👤

CISO as a Service

El Delegado de Ciberseguridad supervisa el programa de formación y lo integra al SGSI como evidencia auditada conforme al reglamento

📋

GRC · ISO 27001

Integración del programa de capacitación al SGSI con registros, controles de formación y gestión de competencias auditables

🔍

Assessment de Ciberseguridad

Diagnóstico del nivel actual de madurez en cultura de seguridad y brecha frente a los requisitos del art. 8° lit. h)

📡

SOC · Monitoreo 24×7

Las simulaciones de phishing y el monitoreo de comportamiento del personal se retroalimentan con el programa de capacitación de forma continua

¿Su organización tiene un programa de capacitación documentado y auditable?

Si no puede responder con evidencia concreta, hay una brecha de cumplimiento frente al art. 8° lit. h). KLG Technology diseña e implementa el programa completo y genera los registros que la ANCI puede requerir.

Solicitar diagnóstico de cultura → Ver más sobre la Ley 21.663

Nav Ley 21.663 — KLG

⚖ Ley 21.663 — Navegar

🛡 Medidas permanentes › 👤 Delegado OIV › 📡 Reporte incidentes › 📋 SGSI › 🎓 Cultura y capacitación