Tanto la Ley Marco de Ciberseguridad (Ley N° 21.663) como la ISO 27001 exigen que toda organización defina formalmente su política, comunique sus principios y la mantenga actualizada.
En este artículo te explicamos qué debe contener, cómo redactarla correctamente y cómo implementarla para cumplir con la ley y con los estándares internacionales.
🏛️ ¿Qué exige la Ley Marco sobre políticas de ciberseguridad?
La Ley Marco obliga a las empresas —especialmente a los operadores de servicios esenciales y sus proveedores— a contar con políticas documentadas que definan los lineamientos generales de protección de la información y gestión de incidentes.
Estas políticas deben:
- Estar aprobadas por la alta dirección.
- Ser comunicadas a todos los colaboradores.
- Incluir principios sobre confidencialidad, integridad y disponibilidad de la información.
- Definir responsabilidades y roles (por ejemplo, el del CISO).
- Contemplar la gestión de incidentes y notificación a la ANCI.
📘 No tener una política formal es una de las causas más comunes de sanción durante las auditorías de la ANCI.
🧩 Qué pide la ISO 27001 sobre la política
La norma internacional ISO/IEC 27001:2022 dedica un requisito específico (cláusula 5.2) a la Política de Seguridad de la Información.
Debe cumplir con los siguientes puntos:
- Estar alineada con los objetivos estratégicos de la organización.
- Incluir un compromiso de mejora continua en seguridad.
- Proveer una base para establecer objetivos medibles.
- Estar disponible para todas las partes interesadas relevantes (internas y externas).
💡 Una política bien redactada es más que un documento: es la guía sobre la que se construye todo tu Sistema de Gestión de Seguridad de la Información (SGSI).
🧠 Cómo redactar tu Política de Seguridad de la Información
La política debe ser clara, corta y comprensible. A continuación, te mostramos los pasos clave:
- Define el propósito: establecer la protección de la información como prioridad organizacional.
- Delimita el alcance: indica qué áreas, procesos y sistemas abarca.
- Declara principios: confidencialidad, integridad, disponibilidad y cumplimiento legal.
- Establece responsabilidades: menciona al CISO, administradores y usuarios.
- Incluye compromisos: formación, respuesta a incidentes y mejora continua.
- Firma y comunica: debe estar firmada por la gerencia general y publicada internamente.
👉 En Confiden.cl te entregamos una plantilla base editable incluida en nuestro Plan ISO 27001 Ágil para construir tu política en menos de una semana.
📄 Ejemplo de estructura básica
1. Propósito y alcance 2. Principios de seguridad de la información 3. Roles y responsabilidades 4. Clasificación y manejo de información 5. Gestión de incidentes y comunicación 6. Cumplimiento legal y normativo 7. Revisión y mejora continua
💬 Consejo Confiden: evita copiar políticas genéricas; cada documento debe reflejar el contexto, riesgos y objetivos específicos de tu empresa.
🚀 Cómo implementar la política en tu organización
- 📢 Comunica la política en reuniones, correos y plataformas internas.
- 🧠 Capacita al personal sobre sus responsabilidades (curso gratuito de Phishing Básico).
- 🔄 Revisa y actualiza el documento cada 12 meses o ante cambios relevantes.
- 📊 Asegura trazabilidad: guarda versiones, firmas y evidencia de comunicación.
👉 Implementar tu política es el primer paso hacia el cumplimiento de la Ley Marco de Ciberseguridad y la certificación ISO 27001.
💼 Cómo Confiden puede ayudarte
- 📘 Plantilla de Política de Seguridad adaptada a la Ley 21663 e ISO 27001.
- 🧩 Acompañamiento para revisión y aprobación por dirección.
- 🧠 Capacitación y comunicación al personal.
- 🔒 Integración con tu Sistema de Gestión ISO 27001.
💡 Disponible en nuestros planes ISO 27001 Ágil y Cumplimiento Ley de Ciberseguridad.
🏁 Conclusión
Una política bien estructurada no solo te ayuda a cumplir con la ley, sino que establece la base para una cultura organizacional más segura y resiliente.
Con la asesoría de Confiden, puedes implementarla en días y demostrar cumplimiento ante auditorías o fiscalizaciones.
📥 Descarga también nuestro eBook “La Ciberseguridad como Requisito” para entender cómo la seguridad se ha convertido en un requisito indispensable para ser proveedor en Chile.