Chile ha dado un giro definitivo en su matriz regulatoria con el estreno de la Ley Marco de Ciberseguridad. Lo que durante años se manejó bajo un esquema de recomendaciones y buenas prácticas voluntarias para el sector financiero y corporativo, hoy se transforma en un tejido de obligaciones legales estrictas y fiscalizables. Este cambio normativo no es una simple actualización técnica; representa un terremoto organizacional que obliga a redefinir los gobiernos corporativos y la gestión de riesgos en toda la región.
De recomendaciones a obligaciones: El cambio de paradigma
La promulgación de la ley introduce un estándar superior donde ya no basta con delegar la seguridad en la gerencia de TI para instalar un firewall o un antivirus. El nuevo marco exige estructurar un Gobierno Corporativo de Ciberseguridad de carácter transversal. Esto implica el diseño formal de matrices de activos críticos, una delimitación clara de roles y perfiles, y la adopción de políticas rigurosas para la gestión de riesgos tecnológicos.
A nivel estatal, el corazón de esta ley es la creación de la Agencia Nacional de Ciberseguridad (ANCS). Esta entidad coordinará los esfuerzos nacionales y tendrá la facultad de auditar y sancionar a las organizaciones.
El rol de los Operadores de Importancia Vital (OIV)
Una de las figuras centrales de la normativa son los Operadores de Importancia Vital (OIV). Se definen como aquellas empresas públicas o privadas cuya paralización o afectación cibernética puede comprometer directamente la estabilidad y el funcionamiento de la nación. Entre ellas encontramos:
- Instituciones del sector financiero y bancario.
- Servicios e infraestructura de salud.
- Empresas generadoras y distribuidoras de energía eléctrica.
- Servicios básicos del Estado e infraestructura de transporte crítica.
La ley impone una fuerte obligatoriedad en los tiempos y canales para reportar incidentes ante la ANCS , extendiendo el control no solo a estas grandes corporaciones, sino a su cadena de suministro y proveedores externos que puedan abrir brechas de seguridad.
¿Por qué la ciberseguridad es un asunto del CEO y no de TI?
Un error histórico en el entorno corporativo ha sido tratar los ciberataques como fallas operativas de sistemas. Hoy en día, la velocidad y sofisticación de amenazas como el fraude con Inteligencia Artificial, el phishing avanzado y los deepfakes capaces de suplantar identidades completas, han convertido la seguridad en un riesgo estratégico.
Un ataque exitoso no solo interrumpe operaciones; destruye la confianza de los clientes, devasta la reputación de la marca y acarrea multas regulatorias catastróficas. Por ello, la ciberseguridad pertenece al escritorio del CEO y del Comité Ejecutivo , quienes deben velar por la sostenibilidad del negocio a largo plazo.
El factor humano: Cerrando la brecha del eslabón más débil
A pesar de contar con murallas tecnológicas de última generación, las personas siguen siendo el punto más vulnerable de cualquier organización. El apuro, la falta de concienciación o el exceso de confianza (incluso entre los propios expertos de TI) suelen originar las mayores filtraciones.
Claves para construir una cultura de ciberseguridad resiliente:
- Concienciación segmentada: No se puede capacitar igual a un administrativo que a un directivo; cada rol maneja diferentes niveles de acceso y criticidad de datos.
- Involucramiento de Recursos Humanos: La ciberseguridad debe alinearse con desarrollo organizacional para integrarse en la cultura interna y no verse como una imposición aburrida.
- Canales de reporte confiables: Es fundamental mitigar el miedo de los colaboradores a preguntar o reportar sospechas bajo el temor de parecer ignorantes.
El reto de las Fintech: Innovación con Gobierno Corporativo
Las empresas emergentes y del sector Fintech se caracterizan por una agilidad e innovación admirables. Sin embargo, esa velocidad comercial suele dejar en el camino la formalización de estructuras de control y cumplimiento.
Con la entrada en vigencia de las nuevas regulaciones, las Fintech tienen el desafío de adoptar modelos formales de prevención de delitos y resiliencia digital sin perder su agilidad. Al final, la ciberseguridad no debe verse como un freno, sino como la garantía que protege los datos, la confianza del cliente y el futuro de la sociedad.
Aún no hay comentarios
Danos tu opinión