SGSI — Sistema de Gestión de Seguridad | Ley 21.663 | KLG Technology

Ley 21.663 · Art. 7° y 8° lits. a) y b) — Obligación permanente

Sistema de gestión
de seguridad (SGSI):
controles, políticas,
trazabilidad y auditoría.

La Ley Marco de Ciberseguridad exige implementar un sistema formal y continuo de gestión de la seguridad de la información. Para los OIV la obligación es aún más exigente: el SGSI debe ser documentado, registrado y certificable ante la ANCI con revisión mínima bienal. Sin un SGSI demostrable, no hay cumplimiento posible.

Obligatorio para todas las entidades del art. 4°

OIV: certificación bienal obligatoria (art. 28)

Registro auditado de todas las acciones del SGSI

Artículo 8° literales a) y b) — Deberes específicos de los OIV · Ley N° 21.663

"Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio. Este sistema deberá permitir evaluar tanto la probabilidad como el potencial impacto de un incidente de ciberseguridad. Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información, de conformidad a lo que señale el reglamento."

Fuente oficial: Ley 21.663 · Biblioteca del Congreso Nacional de Chile ↗

Los cuatro pilares del SGSI según la ley

¿Qué debe demostrar un SGSI para cumplir la Ley 21.663?

La ley no define el SGSI como un documento puntual. Exige un sistema vivo, continuo y auditable que abarca cuatro dimensiones operativas que deben funcionar de forma integrada y permanente.

01

Gestión de riesgos continua

Identificar, evaluar y tratar riesgos sobre redes, sistemas y datos de forma permanente

El art. 8° lit. a) exige que el SGSI permita determinar riesgos que afecten la seguridad y la continuidad operacional, evaluando tanto probabilidad como impacto potencial de cada incidente posible.

Inventario y clasificación de activos críticos de información y tecnología
Metodología formal de evaluación de riesgos con criterios de probabilidad e impacto
Mapa de riesgos actualizado y planes de tratamiento para cada riesgo identificado
Revisión periódica del mapa ante cambios tecnológicos, organizacionales o normativos
Vinculación de los riesgos identificados con los controles técnicos implementados

02

Políticas y controles formales

Marco normativo interno alineado con los protocolos y estándares de la ANCI

El art. 7° exige que las medidas sean conformes a los protocolos y estándares de la ANCI y a la normativa sectorial. Esto requiere un marco de políticas aprobadas por la alta dirección que traduzcan esos estándares en reglas internas operativas.

Política maestra de seguridad de la información aprobada por la dirección
Políticas específicas: control de accesos, gestión de contraseñas, uso aceptable de sistemas
Controles técnicos implementados y documentados: firewalls, MFA, cifrado, EDR
Alineación con estándares internacionales: ISO/IEC 27001, NIST CSF, CIS Controls
Procedimientos de revisión y actualización ante cambios regulatorios de la ANCI

03

Trazabilidad y registro auditado

Bitácora de todas las acciones del SGSI conforme al reglamento — art. 8° lit. b)

El art. 8° lit. b) exige mantener un registro documentado de todas las acciones que componen el SGSI. Es la evidencia que la ANCI puede requerir en una fiscalización: sin trazabilidad, el SGSI no es demostrable.

Registro de cambios en políticas, controles y procedimientos con fecha y responsable
Logs de accesos, eventos de seguridad e incidentes gestionados con trazabilidad completa
Actas de revisiones del SGSI, reuniones de comité y decisiones de la alta dirección
Registro de resultados de evaluaciones de riesgo, auditorías internas y externas
Historial de capacitaciones, simulacros y ejercicios de ciberseguridad realizados

04

Auditoría y mejora continua

Revisiones periódicas, certificación bienal y ciclo de mejora PDCA

El art. 8° lit. c) exige que los planes de continuidad y ciberseguridad sean certificados (art. 28) y revisados con frecuencia mínima bienal. El SGSI debe operar en ciclo de mejora continua, no como proyecto puntual.

Auditorías internas programadas con criterios, alcance e informes documentados
Certificación de planes de continuidad por entidades registradas ante la ANCI (art. 28)
Revisión gerencial mínima anual con análisis de métricas, KPIs e indicadores de riesgo
Ciclo PDCA: planificar, implementar, verificar y actuar sobre brechas detectadas
Gestión formal de no conformidades y acciones correctivas con seguimiento auditado

Artículo 7° — Naturaleza de las medidas

Los seis componentes que integran un SGSI conforme a la ley

La ley reconoce que un SGSI no es solo tecnología. Las medidas pueden ser de naturaleza tecnológica, organizacional, física e informativa, y deben actuar en conjunto para ser efectivas y demostrables.

📋

Marco de políticas

Política maestra y políticas específicas aprobadas por la dirección, que definen reglas de comportamiento y controles exigidos a toda la organización.

Art. 7° — Organizacional

⚙

Controles técnicos

Firewall, EDR/XDR, SIEM, MFA, cifrado, gestión de parches, segmentación de redes y control de accesos privilegiados implementados y monitoreados.

Art. 7° — Tecnológica

📊

Gestión de riesgos

Metodología formal de identificación, análisis, evaluación y tratamiento de riesgos. Mapa actualizado con probabilidad e impacto cuantificados por activo.

Art. 8° lit. a) — Continuo

📁

Registros y trazabilidad

Bitácora auditada de todas las acciones del SGSI conforme al reglamento. Evidencia demostrable ante la ANCI en cualquier fiscalización sin previo aviso.

Art. 8° lit. b) — Registro

🔄

Continuidad operacional

BCP y DRP elaborados, certificados y sometidos a revisión bienal. Simulacros documentados que prueban la capacidad real de recuperación del servicio.

Art. 8° lit. c) — Certificable

🎓

Cultura y capacitación

Programa continuo de formación, ciberhigiene y concientización para todo el personal. Registro de participación que integra el SGSI como evidencia auditable.

Art. 8° lit. h) — Informativa

Artículos 8° y 28 — Obligaciones OIV sobre el SGSI

Para los OIV: el SGSI debe ser
continuo, certificado y demostrable

Los Operadores de Importancia Vital tienen obligaciones adicionales sobre el SGSI que van más allá del deber general del artículo 7°. La continuidad, la certificación y la trazabilidad son condiciones sine qua non.

a

SGSI continuo — no periódico

La ley exige que el SGSI sea continuo: no basta con evaluaciones anuales. Debe operar permanentemente para identificar y evaluar riesgos sobre redes, sistemas y datos en tiempo real.

b

Registro auditado reglamentario

Todas las acciones que componen el SGSI deben quedar registradas conforme al reglamento. Sin este registro, el SGSI no es demostrable ante la ANCI en una fiscalización.

c

Certificación bienal obligatoria

Los planes de continuidad y ciberseguridad deben certificarse conforme al artículo 28 por entidades registradas en la ANCI. La ANCI puede exigir plazos menores de forma fundada.

d

Ejercicios y simulacros

El SGSI debe incluir operaciones continuas de revisión, simulacros y análisis de redes para detectar amenazas activas. Los resultados se comunican al CSIRT Nacional.

28

Entidades certificadoras ANCI

Solo las entidades registradas en la ANCI pueden emitir certificaciones válidas. La ANCI puede homologar certificaciones internacionales como ISO 27001 mediante resolución fundada.

i

Delegado como responsable del SGSI

El Delegado de Ciberseguridad (art. 8° lit. i) supervisa el SGSI e informa su estado a la alta dirección. Sin un delegado activo, el SGSI carece de gobierno formal exigible.

Ciclo de operación del SGSI

El ciclo PDCA del SGSI conforme a la Ley 21.663

La ley exige continuidad, no puntualidad. El SGSI debe operar en un ciclo perpetuo de planificación, implementación, verificación y mejora, con evidencia documental en cada etapa.

Planificar

Definir el marco

Alcance del SGSI, política de seguridad aprobada por la dirección, metodología de riesgos, objetivos de control y criterios de aceptación de riesgo documentados.

→

Implementar

Desplegar controles

Controles técnicos y organizativos activos, capacitación del personal, planes de continuidad elaborados y procedimientos de respuesta a incidentes operativos.

→

Verificar

Auditar y medir

Auditorías internas programadas, revisión gerencial con KPIs, simulacros documentados, evaluación de efectividad de controles y registro trazable de hallazgos.

→

Actuar

Mejorar y certificar

Cierre de no conformidades, actualización de controles, certificación bienal ante ANCI (art. 28) y comunicación de mejoras al Delegado de Ciberseguridad y la dirección.

Documentos y evidencias que el SGSI debe mantener disponibles

📜

Política de seguridad aprobada

Documento firmado por la alta dirección, con fecha de aprobación, alcance, objetivos y responsables definidos formalmente.

🗺

Mapa de riesgos vigente

Inventario de activos con riesgos identificados, valorados por probabilidad e impacto, con planes de tratamiento y responsables asignados.

⚙

Declaración de aplicabilidad

Catálogo de controles aplicables con justificación de inclusión o exclusión, estado de implementación y evidencia de su operación activa.

📋

Registros de auditoría interna

Informes de auditorías internas con alcance, hallazgos, no conformidades, acciones correctivas y seguimiento al cierre documentado.

🏆

Certificado vigente (OIV)

Certificación emitida por entidad registrada ante la ANCI conforme al art. 28, con fecha de emisión y próxima revisión bienal programada.

📊

Informe de revisión gerencial

Acta de revisión por la dirección con análisis de métricas, estado del SGSI, recursos asignados y decisiones tomadas sobre mejoras prioritarias.

Artículos 38–40 · Infracciones y sanciones

El costo de no tener un SGSI formal

No implementar un SGSI conforme a los estándares de la ANCI o carecer de los registros y certificaciones exigidos constituye una infracción directa a la Ley 21.663, con consecuencias económicas y reputacionales significativas.

Infracciones gravísimas — OIV

40.000 UTM

Equivalente a aprox. USD 3 millones

No implementar el SGSI continuo exigido por el art. 8° lit. a) siendo OIV calificado
Carecer del registro auditado de acciones del SGSI conforme al reglamento (lit. b)
No obtener la certificación bienal de planes de continuidad conforme al art. 28
Obstaculizar una fiscalización de la ANCI por falta de documentación o registros

Ver art. 39 y 40 en BCN ↗

Infracciones graves — Entidades generales

20.000 UTM

Equivalente a aprox. USD 1,5 millones

No implementar las medidas de seguridad establecidas en los protocolos de la ANCI (art. 7°)
Carecer de políticas formales de seguridad o tenerlas desactualizadas sin justificación
No cumplir con los estándares particulares de ciberseguridad de la regulación sectorial
Reincidencia en incumplimientos menores que revele ausencia de SGSI efectivo

Ver art. 38 en BCN ↗

Cómo KLG Technology implementa su SGSI

Del cumplimiento legal
a un SGSI certificable ISO 27001

KLG Technology implementa el SGSI exigido por la Ley 21.663 bajo el estándar ISO/IEC 27001, el marco más reconocido globalmente y homologable por la ANCI conforme al artículo 28. Así, una sola implementación satisface la obligación legal y genera valor estratégico para la organización.

Con certificación ISO/IEC 27001 propia y experiencia en sectores regulados como energía, salud y minería, KLG acompaña desde el diagnóstico inicial hasta la certificación ante la ANCI, manteniendo el SGSI operativo de forma continua.

📋

GRC · ISO 27001

Diseño e implementación del SGSI completo: políticas, controles, gestión de riesgos, registros y ciclo PDCA conforme al art. 7° y 8°

🔍

Assessment de Ciberseguridad

Diagnóstico de brecha frente a los requisitos del SGSI de la Ley 21.663 y hoja de ruta priorizada de implementación

👤

CISO as a Service

Delegado de Ciberseguridad que gobierna el SGSI, informa a la dirección y actúa como contraparte del sistema ante la ANCI

📡

SOC · Monitoreo 24×7

Componente operativo del SGSI: monitoreo continuo y registros de eventos que dan vida a la trazabilidad exigida por el art. 8° lit. b)

🎓

Concientización y cultura

Capacitación continua que integra el componente informativo del SGSI con registro auditable conforme al art. 8° lit. h)

¿Puede su organización demostrar hoy que tiene un SGSI operativo?

Si la ANCI fiscaliza mañana, ¿qué documentos y registros presentaría? KLG Technology realiza un diagnóstico inicial para identificar las brechas del SGSI actual frente a los artículos 7° y 8° de la Ley 21.663.

Solicitar diagnóstico SGSI → Ver más sobre la Ley 21.663

Nav Ley 21.663 — KLG

⚖ Ley 21.663 — Navegar

🛡 Medidas permanentes › 👤 Delegado OIV › 📡 Reporte incidentes › 📋 SGSI › 🎓 Cultura y capacitación

Sistema de gestión de seguridad de información

Sistema de gestiónde seguridad (SGSI):controles, políticas,trazabilidad y auditoría.