Checklist Oficial para Preparar tu Empresa como OIV

Shape Shape
El 2025 marca un antes y un después para los Operadores de Importancia Vital (OIV) en Chile. La Ley Marco de Ciberseguridad exige a las organizaciones críticas implementar medidas rigurosas para proteger la infraestructura esencial del país. Si tu empresa ha sido designada como OIV, este checklist oficial te permitirá evaluar tu nivel de preparación y avanzar de forma ordenada hacia el cumplimiento.

Descargar Documento: Checklist de Cumplimiento OIV – Confiden Ciberseguridad

1. Gobierno y Roles Claves

Las empresas OIV deben contar con una estructura formal de gobierno de ciberseguridad. Esto implica:

  • Designación oficial de un responsable de ciberseguridad.
  • Definición y documentación de roles y responsabilidades en materia de seguridad.
  • Aprobación de la Política de Seguridad de la Información por parte de la Alta Dirección.
  • Participación activa del Directorio en la supervisión del SGSI.

2. Gestión de Riesgos Críticos

La Ley Marco exige que los OIV gestionen adecuadamente los riesgos que pueden afectar los servicios esenciales. Para ello es obligatorio:

  • Identificar los activos críticos de la organización.
  • Realizar análisis de riesgos basado en metodologías reconocidas como ISO 27005.
  • Evaluar el impacto sobre la continuidad de los servicios vitales.
  • Implementar y mantener un plan de tratamiento de riesgos actualizado.

3. Documentación y Políticas Obligatorias

Una empresa OIV debe contar con documentación formal, vigente y aprobada. Entre los documentos esenciales se encuentran:

  • Política de Seguridad de la Información.
  • Procedimiento de gestión de incidentes de ciberseguridad.
  • Inventario y clasificación de activos críticos.
  • Procedimientos de continuidad operacional y gestión de crisis.
  • Protocolos para la relación y evaluación de proveedores críticos.

4. Controles Técnicos Fundamentales

Los OIV deben implementar controles técnicos alineados con estándares internacionales, entre ellos:

  • Autenticación multifactor (MFA) en sistemas críticos.
  • Gestión continua de vulnerabilidades y aplicación de parches.
  • Monitoreo 24/7, correlación de eventos y generación de alertas.
  • Retención y análisis de logs mediante herramientas como SIEM.
  • Protección de perímetros (firewalls, IDS/IPS, WAF).

5. Continuidad Operacional y Resiliencia

La continuidad de los servicios esenciales es un pilar central de la Ley Marco. El checklist exige:

  • Análisis de Impacto al Negocio (BIA).
  • Plan de Continuidad del Negocio (BCP).
  • Plan de Recuperación ante Desastres (DRP).
  • Pruebas anuales de continuidad con registro de lecciones aprendidas.
  • Revisión periódica de escenarios de interrupción y tiempos máximos aceptables.

6. Gestión de Incidentes y Reportabilidad

Las empresas OIV deben estar preparadas para detectar, responder y reportar incidentes de ciberseguridad de manera eficaz. Esto implica:

  • Contar con un procedimiento formal de respuesta a incidentes.
  • Establecer un equipo de gestión de incidentes (interno o externo).
  • Cumplir con los tiempos y canales de reportabilidad exigidos por la Agencia Nacional de Ciberseguridad.
  • Registrar, documentar y analizar cada incidente para mejorar procesos.

7. Auditoría y Cumplimiento

Finalmente, todo OIV debe demostrar cumplimiento mediante evidencia trazable. Esto incluye:

  • Realizar auditorías internas periódicas.
  • Mantener un plan de remediación con responsables y plazos.
  • Actualizar evidencias del SGSI de forma sistemática.
  • Preparar auditorías externas cuando corresponda.

Checklist rápido: ¿Está tu empresa preparada?

  • Roles y políticas oficiales definidas.
  • Riesgos evaluados y priorizados.
  • Controles técnicos implementados.
  • Incidentes gestionados y trazados.
  • Planes de continuidad probados.
  • Documentación y evidencias al día.

 

En Confiden Ciberseguridad acompañamos a las empresas OIV en cada etapa de este proceso, entregando soporte práctico, experto y alineado a la Ley Marco de Ciberseguridad.

 

Post Tags :