En este artículo te explicamos cómo aplicar este requisito según la norma ISO 27005 y cómo implementarlo fácilmente con el Plan ISO 27001 Ágil de Confiden.cl.

🏛️ Qué exige la Ley Marco sobre gestión de riesgos

La ley obliga a las empresas —especialmente aquellas consideradas operadores de servicios esenciales o sus proveedores— a:

• Identificar sus activos críticos de información.
• Evaluar amenazas y vulnerabilidades que los afectan.
• Estimar el impacto potencial de incidentes.
• Aplicar medidas de protección proporcionales al riesgo.
• Revisar y actualizar periódicamente la matriz de riesgos.

📘 La gestión de riesgos es el eje central del cumplimiento: sin identificar lo que se debe proteger, no es posible demostrar control ante la ANCI.

🧩 Paso 1: Identificar y clasificar tus activos

Un activo de información es cualquier recurso que tiene valor para tu empresa: datos, sistemas, software, equipos, procesos o personas.
Para cumplir con la Ley Marco, deben clasificarse según su importancia y sensibilidad.

La clasificación básica incluye:

💡 Consejo Confiden: asigna un “dueño de activo” responsable de su protección y seguimiento, tal como indica la ISO 27001.

🧠 Paso 2: Analizar y evaluar riesgos (ISO 27005)

Una vez clasificados los activos, el siguiente paso es identificar amenazas, vulnerabilidades y el impacto potencial.
Según la ISO 27005, este análisis debe considerar:

• 💥 Riesgos técnicos: fallas de seguridad, ataques, malware, accesos indebidos.
• 👥 Riesgos humanos: errores, negligencias o ingeniería social.
• 🌎 Riesgos externos: interrupciones de proveedores, eventos naturales, sabotaje.

El objetivo es calcular el nivel de riesgo (probabilidad × impacto) y priorizar acciones de mitigación.

👉 Si ya cuentas con un SGSI, puedes integrar esta matriz en tu sistema ISO 27001 y generar evidencias automáticas ante auditorías de la ANCI.

📊 Paso 3: Definir el tratamiento del riesgo

La Declaración de Aplicabilidad (SoA) de la ISO 27001 exige definir cómo se tratará cada riesgo:

• ✅ Mitigar: implementar controles para reducirlo (ej. firewall, MFA, capacitación).
• 🚫 Evitar: eliminar la causa (ej. descontinuar un servicio vulnerable).
• 📤 Transferir: contratar seguros o proveedores especializados.
• ⚖️ Aceptar: asumir el riesgo residual con aprobación del comité.

💡 Consejo Confiden: mantén una matriz de riesgos actualizada con las fechas de revisión y los responsables de cada control.

📘 Paso 4: Integrar la gestión de riesgos al SGSI

La Ley Marco y la ISO 27001 exigen que la gestión de riesgos sea un proceso continuo.
Por eso, debe integrarse en tu Sistema de Gestión de Seguridad de la Información junto con:

• 📅 Revisiones periódicas del Reporte de Ciberseguridad anual.
• 📋 Reuniones del Comité de Ciberseguridad.
• 🚨 Actualización del Plan de Respuesta ante Incidentes.

👉 En Confiden.cl realizamos el Diagnóstico de Cumplimiento Ley de Ciberseguridad que incluye la creación de una matriz de riesgos validada por nuestros consultores certificados en ISO 27001 e ISO 27005.

🧩 Beneficios de una gestión de riesgos efectiva

• 📈 Cumples con la Ley Marco y reduces exposición ante sanciones.
• 🔒 Priorizas los activos más críticos para tu negocio.
• 🧠 Tomas decisiones basadas en evidencia, no en percepciones.
• 💼 Aumentas la confianza de clientes, auditores y socios estratégicos.
• ⚙️ Integras la seguridad en tu cultura organizacional.

🏁 Conclusión

La clasificación de activos y la gestión de riesgos son el núcleo de la Ley Marco de Ciberseguridad.
Sin una matriz actualizada, ninguna organización puede demostrar cumplimiento ni gestionar su seguridad de forma efectiva.

👉 Comienza hoy con un Diagnóstico Gratuito de Cumplimiento o implementa tu Plan ISO 27001 Ágil con la asesoría de Confiden.

📗 Descubre más:

• Cómo elaborar el Reporte de Ciberseguridad anual
• Multas y sanciones de la Ley Marco
• Descarga el eBook “La Ciberseguridad como Requisito”