Medidas Permanentes de Ciberseguridad — Ley 21.663 | KLG Technology

Ley 21.663 · Art. 7° — Obligación vigente

Medidas permanentes
de ciberseguridad:
prevenir, contener,
resolver y responder.

La Ley Marco de Ciberseguridad exige que toda institución obligada aplique de manera continua medidas concretas ante incidentes. No es una opción ni una buena práctica: es una obligación legal vigente con sanciones hasta 40.000 UTM.

Vigente desde 2024 · Reglamento 2025

Aplica a servicios esenciales y OIV

4 tipos de medidas: tecnológicas, organizacionales, físicas e informativas

Artículo 7° — Deberes generales · Ley N° 21.663

"Las instituciones obligadas por la presente ley deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso."

Fuente oficial: Ley 21.663 · Biblioteca del Congreso Nacional de Chile ↗

Los cuatro pilares de la obligación

¿Qué exige la ley en cada etapa?

El artículo 7° estructura la obligación en cuatro verbos clave. Cada uno define un conjunto de acciones concretas que la institución debe tener implementadas de forma permanente.

01

Prevenir

Reducir la probabilidad de que un incidente ocurra

La prevención es la primera línea de defensa. La ley exige medidas proactivas que reduzcan la superficie de ataque y fortalezcan la postura de seguridad de manera permanente.

Implementación de controles técnicos y organizacionales basados en estándares ANCI
Gestión continua de vulnerabilidades y parchado oportuno
Capacitación periódica del personal en ciberhigiene
Segmentación de redes y control de accesos privilegiados
Evaluación periódica de riesgos y activos críticos

02

Contener

Limitar el alcance y propagación del incidente

Cuando un incidente ocurre, la contención busca evitar que se expanda a otros sistemas o afecte la continuidad operacional del servicio.

Protocolos de aislamiento de sistemas comprometidos
Restricción de accesos y bloqueo de vectores activos
Activación de planes de continuidad operacional (art. 8° lit. c)
Comunicación inmediata con el CSIRT Nacional
Preservación de evidencia forense para análisis

03

Resolver

Eliminar la amenaza y restaurar operaciones

La resolución comprende la erradicación de la amenaza, la recuperación de sistemas afectados y el restablecimiento de la operación normal del servicio.

Erradicación de malware y vectores de compromiso
Recuperación desde respaldos verificados y seguros
Restauración progresiva validando integridad de sistemas
Análisis post-incidente y lecciones aprendidas
Actualización de controles para evitar reincidencia

04

Responder

Comunicar, reportar y rendir cuentas

La respuesta incluye las obligaciones de reporte ante la ANCI y el CSIRT Nacional, así como la notificación a los afectados cuando corresponda según el reglamento de 2025.

Reporte de incidentes significativos dentro de los plazos del reglamento
Notificación a afectados identificables cuando lo requiera la Agencia
Cooperación formal con investigaciones de la ANCI
Documentación trazable de las acciones tomadas
Informe ejecutivo al directorio y alta administración

Artículo 7° inciso 1°

Cuatro naturalezas de medidas reconocidas por la ley

La ley distingue explícitamente cuatro tipos de medidas. Una estrategia de cumplimiento robusta debe contemplarlas todas de forma integrada.

💻

Tecnológicas

Firewalls, EDR/XDR, SIEM, cifrado, MFA, gestión de parches, monitoreo de redes y sistemas de detección de intrusiones.

🏛️

Organizacionales

Políticas de seguridad, procedimientos de respuesta, roles y responsabilidades, SGSI, gestión de riesgos y gobierno corporativo.

🔐

Físicas

Control de acceso a instalaciones, protección de centros de datos, CCTV, gestión de activos físicos y seguridad perimetral.

📢

Informativas

Campañas de concientización, ciberhigiene, formación continua del personal, comunicación de incidentes y transparencia ante afectados.

Artículo 8° — Operadores de Importancia Vital

Obligaciones adicionales
para los OIV

Los operadores calificados como de importancia vital deben cumplir requisitos más exigentes sobre las medidas permanentes generales.

a

SGSI continuo

Sistema de gestión de seguridad de la información permanente que permita evaluar probabilidad e impacto de incidentes sobre redes, sistemas y continuidad operacional.

b

Registro de acciones

Bitácora auditada de todas las acciones que componen el SGSI, conforme al reglamento de la Agencia. Trazabilidad obligatoria.

c

Planes de continuidad certificados

Elaborar, implementar y certificar planes de continuidad operacional y ciberseguridad según art. 28. Revisión mínima bienal.

d

Ejercicios y simulacros

Operaciones continuas de revisión, análisis y simulacros de redes y sistemas para detectar amenazas activas, reportando al CSIRT Nacional.

e

Reducción de impacto oportuna

Adoptar medidas de contención de forma expedita, incluyendo restricción de acceso o uso de sistemas si fuese necesario para limitar propagación.

i

Delegado de ciberseguridad

Designación formal de un delegado que actúe como contraparte de la ANCI e informe a la alta dirección. Puede ser cubierto por CISO as a Service.

Ciclo operacional

El ciclo continuo de gestión de incidentes

La ley exige permanencia: no basta con reaccionar. Las cuatro fases deben operar como un ciclo integrado y documentado.

Fase 1 · Prevención

Antes del incidente

Controles técnicos activos, SGSI implementado, personal capacitado, activos inventariados y riesgos evaluados periódicamente.

→

Fase 2 · Detección

Identificar la amenaza

Monitoreo continuo 24×7, alertas tempranas, clasificación del incidente por severidad y activación del equipo de respuesta.

→

Fase 3 · Contención y resolución

Controlar y eliminar

Aislamiento de sistemas, erradicación de la amenaza, recuperación de servicios y preservación de evidencia forense.

→

Fase 4 · Reporte y mejora

Informar y aprender

Notificación a la ANCI en los plazos del reglamento, informe a afectados, análisis post-mortem y actualización de controles.

Acciones concretas que la ley exige documentar

📋

Política de ciberseguridad formal

Documento aprobado por la alta dirección que define el marco de gestión de seguridad de la información.

🔍

Evaluación de riesgos periódica

Identificación, análisis y tratamiento de riesgos sobre activos críticos con frecuencia definida y documentada.

📡

Monitoreo y detección activos

Capacidades de detección de intrusiones, análisis de logs y alertas de seguridad en tiempo real.

🚨

Plan de respuesta a incidentes

Procedimiento documentado con roles, escalamientos, canales de comunicación y plazos de reporte ante la ANCI.

♻️

Plan de continuidad operacional

BCP y DRP certificados y probados, que aseguren la recuperación del servicio dentro de objetivos de tiempo definidos.

🎓

Programa de capacitación continua

Plan anual de formación en ciberhigiene y seguridad para todo el personal y colaboradores de la organización.

Artículo 38–40 · Infracciones y sanciones

El costo del incumplimiento

La Ley 21.663 establece un régimen sancionatorio escalonado. No implementar medidas permanentes puede derivar en sanciones significativas para la organización y sus directivos.

Infracciones gravísimas — OIV

40.000 UTM

Equivalente a aprox. USD 3 millones

No implementar medidas de seguridad exigidas por la Agencia
Incumplir la obligación de reporte oportuno de incidentes significativos
No contar con planes de continuidad operacional certificados
Obstaculizar una fiscalización de la ANCI

Ver art. 39 y 40 en BCN ↗

Infracciones graves — Entidades generales

20.000 UTM

Equivalente a aprox. USD 1,5 millones

Incumplimiento reiterado de protocolos establecidos por la ANCI
No notificar a los afectados identificables cuando la Agencia lo requiera
Falta de controles organizacionales mínimos exigidos
Responsabilidad administrativa del jefe superior del organismo (art. 47)

Ver art. 38 en BCN ↗

Cómo KLG Technology te acompaña

De la obligación legal a la operación segura

KLG Technology implementa las medidas permanentes exigidas por la Ley 21.663 de forma integrada: desde la estrategia y el gobierno hasta la operación diaria, sin que necesites construir capacidades internas complejas.

Con certificación ISO/IEC 27001 y experiencia en sectores regulados como energía, salud y minería, trasladamos los requerimientos legales a acciones concretas, medibles y auditables.

🧑‍💼

CISO as a Service

Delegado de ciberseguridad y gobierno estratégico — cubriendo el art. 8° lit. i para OIV

🔍

Assessment de Ciberseguridad

Diagnóstico de brechas frente al art. 7° y hoja de ruta de cumplimiento priorizada

📋

GRC · ISO 27001

Implementación de SGSI, políticas, controles y planes de continuidad certificados

📡

SOC · Monitoreo 24×7

Detección continua, respuesta a incidentes y reporte formal a ANCI dentro de los plazos

🎓

Concientización y cultura

Capacitación continua y ciberhigiene exigida en el art. 8° lit. h para OIV

¿Su organización está cumpliendo el artículo 7°?

Realizamos un diagnóstico inicial de brecha frente a las medidas permanentes exigidas por la Ley 21.663. Identifique qué tiene implementado y qué le falta antes de que la ANCI fiscalice.

Solicitar diagnóstico gratuito → Ver más sobre la Ley 21.663

Nav Ley 21.663 — KLG

⚖ Ley 21.663 — Navegar

🛡 Medidas permanentes › 👤 Delegado OIV › 📡 Reporte incidentes › 📋 SGSI › 🎓 Cultura y capacitación