Cómo construir un Comité de Ciberseguridad y Gobernanza según la Ley Marco

Shape Shape
La Ley Marco de Ciberseguridad (Ley N° 21.663) marca un antes y un después en la gestión de la seguridad digital en Chile.
Más allá de la tecnología, la ley enfatiza la gobernanza y responsabilidad organizacional, exigiendo que las empresas establezcan un Comité de Ciberseguridad con roles, jerarquías y responsabilidades claras.

Este comité es el corazón de la toma de decisiones en materia de seguridad, cumplimiento y riesgo. En este artículo te explicamos cómo conformarlo, qué funciones debe cumplir y cómo alinearlo con las normas internacionales como la ISO 27001.

🏛️ ¿Por qué la Ley Marco exige un Comité de Ciberseguridad?

El objetivo es asegurar que la ciberseguridad no sea solo un tema técnico, sino una prioridad de gobernanza corporativa.
La ley busca que las decisiones sobre riesgos, inversiones y cumplimiento estén respaldadas por un órgano formal, con participación de la alta dirección.

📘 En palabras simples: el Comité de Ciberseguridad es quien “pone el tema en la mesa del directorio” y vela por el cumplimiento integral de la Ley Marco.

👉 Si tu organización aún no cuenta con esta instancia, puedes comenzar con un Diagnóstico de Cumplimiento Ley de Ciberseguridad para identificar brechas de gobernanza.

🧩 Composición mínima recomendada

Según las mejores prácticas internacionales (ISO 27001, NIST, CIS Controls) y las directrices de la ANCI, el comité debe incluir al menos:

  • Gerente General o Alta Dirección: quien representa el compromiso institucional.
  • CISO o Encargado de Ciberseguridad: responsable técnico y enlace con la ANCI.
  • Responsable TI o CTO: apoyo operativo y técnico.
  • Representante de Riesgos / Cumplimiento: vínculo con auditoría interna o SGSI.
  • Asesor externo o CISO Virtual (opcional): experto certificado que refuerza la independencia y madurez del comité.

👉 Si no cuentas con un CISO interno, puedes cubrir este rol mediante nuestro servicio de CISO Virtual.

📋 Principales funciones del Comité

El comité debe reunirse de manera periódica (al menos una vez cada trimestre) y registrar actas de sus decisiones.
Sus funciones principales incluyen:

  1. Definir la estrategia corporativa de ciberseguridad y su presupuesto.
  2. Supervisar la implementación del SGSI ISO 27001 y los controles asociados.
  3. Monitorear incidentes reportados (ver guía para reportar a la ANCI).
  4. Revisar auditorías internas y externas (ver servicio).
  5. Validar políticas y procedimientos (ver guía de políticas internas).
  6. Gestionar la capacitación continua del personal (ver cursos).
  7. Informar al directorio sobre el nivel de madurez y cumplimiento.

El Comité debe mantener una visión integral: técnica, regulatoria, operativa y reputacional.

📈 Gobernanza y madurez organizacional

La ANCI y la ley establecen que la ciberseguridad debe integrarse en el modelo de gobernanza corporativa.
Esto significa que el Comité debe tener una relación directa con:

  • El Directorio o alta dirección (para decisiones estratégicas).
  • El CISO (para implementación operativa).
  • El Comité de Continuidad del Negocio (para coordinación en crisis).

👉 Revisa nuestro artículo sobre Plan de Respuesta ante Incidentes para complementar la función del comité con la gestión de crisis.

🧠 Indicadores de desempeño (KPIs)

Para evaluar la efectividad del Comité, se recomienda establecer KPIs como:

  • Porcentaje de políticas revisadas y actualizadas.
  • Tiempo promedio de respuesta ante incidentes.
  • Número de capacitaciones ejecutadas por año.
  • Nivel de cumplimiento ISO 27001 y Ley Marco.
  • Evaluación de riesgos y acciones de mitigación implementadas.

💡 Buenas prácticas para el funcionamiento del Comité

  • Registrar todas las reuniones y decisiones en actas firmadas.
  • Incluir en cada sesión un informe del CISO o asesor externo.
  • Integrar revisiones de auditorías y simulacros de respuesta a incidentes.
  • Fomentar la cultura de seguridad en todos los niveles.
  • Publicar un reporte anual de ciberseguridad interno.

📘 En Confiden.cl acompañamos a las empresas en la conformación y madurez de su Comité de Ciberseguridad mediante nuestro Plan de Cumplimiento Ley de Ciberseguridad y Plan ISO 27001 Ágil.

🏁 Conclusión

El Comité de Ciberseguridad no es solo una exigencia de la Ley Marco, sino una herramienta esencial de gestión moderna.
Su existencia demuestra compromiso institucional, mejora la coordinación y eleva la capacidad de respuesta ante amenazas.

👉 Comienza hoy estableciendo tu Comité de Ciberseguridad con acompañamiento experto de Confiden.
Solicita una reunión o descarga nuestro eBook “La Ciberseguridad como Requisito” para conocer cómo la ISO 27001 impulsa la gobernanza digital.

📗 Descubre más:

Post Tags :