Rol del CISO en la nueva Ley Marco de Ciberseguridad: responsabilidad, funciones y cómo implementarlo

Shape Shape
La Ley Marco de Ciberseguridad (Ley N° 21.663) transforma el panorama de la seguridad digital en Chile. Por primera vez, la legislación reconoce la figura del Chief Information Security Officer (CISO) o encargado de ciberseguridad como una posición obligatoria dentro de las organizaciones que forman parte de los sectores críticos o prestan servicios esenciales.El CISO deja de ser un rol técnico y pasa a ser un actor estratégico, responsable de coordinar la gestión de riesgos, el cumplimiento regulatorio y la relación con la Agencia Nacional de Ciberseguridad (ANCI).

En este artículo te explicamos qué exige la ley respecto al CISO, cuáles son sus principales funciones y cómo las empresas pueden cumplir esta obligación incluso sin contar con un departamento interno especializado.

🏛️ ¿Por qué la Ley Marco exige un CISO?

El objetivo de la Ley Marco es que cada entidad cuente con una figura formalmente designada para liderar la estrategia de ciberseguridad y servir como enlace directo con la ANCI.

Esta persona debe tener competencias técnicas, conocimiento normativo y capacidad de gestión transversal, ya que será responsable de coordinar acciones entre tecnología, operaciones, cumplimiento y alta dirección.

El CISO no es solo un “experto en TI”: es quien garantiza que las decisiones empresariales se tomen considerando los riesgos de ciberseguridad y la continuidad operacional.

🧩 Responsabilidades clave del CISO según la Ley Marco

  • Diseñar e implementar la estrategia corporativa de ciberseguridad.
  • Velar por el cumplimiento de la Ley Marco de Ciberseguridad y normas complementarias.
  • Coordinar la gestión de incidentes y el reporte obligatorio a la ANCI.
  • Supervisar la implementación y mejora continua del SGSI (Sistema de Gestión de Seguridad de la Información).
  • Gestionar la capacitación y concienciación del personal (ver cursos).
  • Monitorear la ciberseguridad de proveedores y contratistas.
  • Coordinar auditorías internas y externas (ver servicio).
  • Reportar directamente a la alta dirección y a la ANCI sobre el estado de cumplimiento.

Además, la ley establece que el CISO debe tener autonomía operativa y recursos suficientes para ejercer su rol sin conflictos de interés. Es decir, no puede depender exclusivamente del área de TI ni estar subordinado a la persona responsable de los sistemas.

🧠 CISO vs. Responsable de TI: diferencias esenciales

Una confusión frecuente es pensar que el jefe de tecnología o informática puede asumir el rol de CISO. Sin embargo, la ley y los estándares internacionales (como ISO 27001 y ISO 22301) los diferencian claramente:

Aspecto Responsable de TI CISO
Enfoque Operativo y técnico Estratégico y de gestión de riesgos
Objetivo principal Disponibilidad de sistemas Seguridad y cumplimiento normativo
Relación con la ANCI No aplica Interlocutor directo
Autoridad Depende de la gerencia TI Depende de la alta dirección

🧩 Cómo implementar el rol del CISO en tu empresa

1. Evaluar la necesidad y el alcance del cargo

Determina si el rol será interno o externo, según el tamaño y complejidad de tu empresa. Las organizaciones medianas o con recursos limitados pueden optar por un modelo de CISO Virtual, que cumple las mismas funciones con menor costo y mayor flexibilidad.

2. Definir funciones, autoridad y recursos

El CISO debe tener autoridad para tomar decisiones, acceso directo a la alta dirección y recursos para implementar medidas correctivas. Esto debe documentarse en la política de seguridad interna.

3. Integrar el CISO en el SGSI (ISO 27001)

Su rol debe estar claramente descrito dentro de la estructura organizacional del SGSI, incluyendo responsabilidades en la gestión de riesgos, auditorías y mejora continua.

4. Comunicar y entrenar

Todo el personal debe conocer quién es el CISO y cómo contactarlo ante incidentes. Además, debe liderar la capacitación y concienciación (ver programas).

5. Monitorear resultados y reportar

El CISO debe establecer indicadores (KPIs) de seguridad, como número de incidentes, vulnerabilidades críticas corregidas o nivel de cumplimiento ISO. Estos datos deben reportarse trimestralmente a la dirección.

💡 El CISO Virtual de Confiden: una solución práctica para cumplir la ley

Muchas empresas chilenas no tienen el tamaño o los recursos para contratar un CISO interno a tiempo completo. Por eso, en Confiden.cl desarrollamos el servicio de CISO Virtual, una modalidad que permite:

  • Designar formalmente a un experto certificado como responsable ante la ANCI.
  • Implementar políticas, controles y reportes según la ISO 27001.
  • Coordinar auditorías, capacitaciones y pruebas de ciberseguridad (ver pentesting).
  • Supervisar el cumplimiento continuo y la mejora de tu SGSI.

El CISO Virtual es la forma más eficiente de cumplir con la ley sin aumentar tu estructura interna, combinando experiencia, independencia y agilidad.

🚀 Beneficios de contar con un CISO formal

  • Evitas sanciones por incumplimiento (ver multas).
  • Garantizas respuesta oportuna ante incidentes.
  • Demuestras compromiso de la alta dirección.
  • Fortaleces la confianza de tus clientes y reguladores.
  • Avanzas hacia la certificación ISO 27001 de forma estructurada.

🏁 Conclusión

El CISO es la piedra angular del nuevo modelo de gobernanza digital en Chile. No se trata solo de un puesto, sino de una función estratégica que conecta tecnología, cumplimiento y continuidad operacional.

Ya sea con un cargo interno o con un CISO Virtual, lo importante es contar con una figura que garantice la madurez y resiliencia cibernética de tu organización.

👉 Comienza hoy con un Diagnóstico de Cumplimiento y asegura que tu empresa cumpla con la ley mientras fortalece su seguridad.

📗 Descubre más:

Post Tags :