Cómo documentar incidentes y reportarlos correctamente a la ANCI

Shape Shape
Uno de los pilares de la Ley Marco de Ciberseguridad (Ley N° 21.663) es la obligación de notificar incidentes relevantes a la Agencia Nacional de Ciberseguridad (ANCI). Esta medida busca proteger la infraestructura crítica del país y mejorar la capacidad de respuesta ante ciberataques.

En este artículo te explicamos qué se considera un incidente reportable, cómo documentarlo correctamente y cuál es el procedimiento paso a paso para cumplir con la ley.

👉 Si prefieres asesoría directa, agenda tu Diagnóstico de Cumplimiento Ley de Ciberseguridad o contrata un CISO Virtual que gestione estos reportes por ti.

⚠️ ¿Qué es un “incidente de ciberseguridad” según la ley?

De acuerdo con la definición de la ANCI, un incidente de ciberseguridad es todo evento que comprometa la confidencialidad, integridad o disponibilidad de los sistemas, servicios o datos críticos de una organización.

Ejemplos de incidentes que deben reportarse:

  • Ataques de ransomware o malware con impacto operativo.
  • Filtraciones o exposición de información sensible.
  • Accesos no autorizados o intentos de intrusión detectados.
  • Fallas críticas en infraestructura tecnológica.
  • Errores humanos que generen vulneraciones significativas.
  • Interrupciones prolongadas de servicios esenciales.

La clave está en determinar si el incidente tiene impacto en la continuidad operacional o puede afectar a terceros o servicios públicos. Si la respuesta es sí, debe reportarse.

🧩 ¿Qué información debe contener el reporte?

La ANCI exigirá un formato estandarizado (aún en desarrollo), pero los reportes deben incluir como mínimo:

  • Identificación del incidente: fecha, hora y tipo.
  • Descripción del impacto: qué sistemas, datos o servicios fueron afectados.
  • Medidas inmediatas adoptadas: acciones de contención y mitigación.
  • Posibles causas: vulnerabilidades, errores o actores involucrados.
  • Lecciones aprendidas: cómo se evitará que se repita.
  • Datos de contacto: responsable o CISO designado.

👉 Si aún no cuentas con protocolos internos de documentación, revisa nuestro artículo sobre cómo implementar políticas internas que cumplan la Ley Marco.

📦 Ejemplo de estructura para documentar un incidente

Campo Descripción Ejemplo
Código del incidente Identificador único INC-2025-001
Fecha y hora de detección Momento en que se detecta el evento 12/10/2025 – 03:45 AM
Tipo de incidente Clasificación (malware, acceso no autorizado, pérdida de datos, etc.) Ransomware
Descripción Resumen de lo ocurrido Infección de servidor de archivos por ransomware tipo LockBit.
Impacto Qué sistemas o servicios fueron comprometidos Red interna y compartición de archivos.
Medidas adoptadas Acciones para contener y remediar el evento Desconexión de servidores, restauración desde backups.
Notificación a la ANCI Fecha de reporte oficial 12/10/2025 – 11:30 AM

Este tipo de registro no solo te prepara para la fiscalización de la ANCI, sino que también fortalece tu SGSI ISO 27001 y te ayuda a mejorar la capacidad de respuesta ante crisis.

🕒 Plazos de notificación

La ley establece que los incidentes de alto impacto deben ser reportados en un plazo de entre 24 y 72 horas desde su detección, dependiendo de la gravedad.
No cumplir con este plazo puede generar multas y sanciones importantes.

📘 Consejo Confiden: documenta primero, comunica después.
Un reporte bien estructurado con evidencias, cronología y medidas adoptadas reduce el riesgo de sanción y demuestra responsabilidad.

👥 ¿Quién debe realizar el reporte?

El encargado de realizar y firmar el reporte debe ser el CISO o el responsable designado de ciberseguridad ante la ANCI.
Si tu empresa no cuenta con este rol, puedes externalizarlo mediante nuestro servicio de CISO Virtual.

Este profesional no solo gestiona el proceso de reporte, sino que también asesora sobre cuándo un evento debe notificarse y qué evidencia conservar.

🧠 Buenas prácticas para la documentación de incidentes

  • Registrar todos los incidentes, incluso los menores.
  • Utilizar plantillas y formatos estándar aprobados por el CISO.
  • Conservar evidencia digital y respaldos.
  • Definir flujos de escalamiento y comunicación.
  • Capacitar al personal sobre detección temprana y respuesta (ver cursos).

📊 Relación con ISO 27001 y mejora continua

La ISO 27001 contempla el control A.16, que aborda la gestión de incidentes de seguridad de la información.
Si ya implementas este estándar, tu sistema de documentación estará alineado con las exigencias de la Ley Marco.

👉 Revisa también nuestro artículo sobre el rol del CISO para entender quién debe liderar este proceso.

🚀 Conclusión

Documentar y reportar incidentes de ciberseguridad ya no es opcional: es una obligación legal.
Hacerlo correctamente protege tu reputación, evita sanciones y demuestra compromiso con la seguridad digital.

👉 En Confiden.cl, te ayudamos a crear procedimientos, plantillas y protocolos de notificación con nuestro Plan de Cumplimiento Ley de Ciberseguridad y CISO Virtual.

Descarga también nuestro eBook gratuito “La Ciberseguridad como Requisito” y aprende cómo la ISO 27001 se ha convertido en el nuevo estándar para proveedores y empresas críticas.

📗 Descubre más:

Post Tags :