Saltar a contenido

CAPÍTULO 3: Marcos, Leyes y Madurez

(El Escudo Legal del Directorio)

Si el Capítulo 2 estableció la matemática del riesgo, el Capítulo 3 define la gravedad del incumplimiento. En el entorno regulatorio actual, la ciberseguridad ha dejado de ser un proyecto técnico para convertirse en el fundamento de la Licencia para Operar.

Para el Directorio, el cumplimiento no es un hito estático, es un estado de Diligencia Continua. Para el Vigilante Estratégico, el marco legal es la arquitectura que transforma la telemetría técnica en el blindaje jurídico necesario para la alta dirección.

1. La Ley Marco de Ciberseguridad (Ley 21.663)

La entrada en vigencia de la Ley 21.663 y la plena autoridad de la Agencia Nacional de Ciberseguridad (ANCI) introducen una variable de coerción que altera el balance financiero del riesgo. La ley no solo castiga el incidente, sino que sanciona la ausencia de gobierno y la omisión de control.

\[SLE_{\text{nuevo}} = SLE_{\text{operativo}} + \text{Multa}_{\text{ANCI}} + \text{Costo}_{\text{Litigación}}\]
  • ANCI: Órgano fiscalizador con potestad para calificar la suficiencia de las medidas. Es crítico entender que la ANCI no fiscaliza herramientas aisladas, sino la suficiencia y coherencia del sistema de gobierno que las selecciona, opera y revisa. Su estándar es la evidencia de control comprobable.
  • El Piso Legal de Aceptación: Es un error crítico de gobernanza creer que el Directorio puede "aceptar" riesgos que sitúen a la organización por debajo del estándar base exigido para Servicios Esenciales. Aceptar un riesgo residual es una decisión financiera; aceptar el incumplimiento de la ley es una confesión de negligencia.
  • Impacto en la Continuidad: Las multas de hasta 40.000 UTM son solo la primera capa. El riesgo sistémico es la intervención operativa o la revocación de la facultad de operar ante fallos graves de gobierno.

2. Responsabilidad: Decisión Informada y Cadencia Operativa

La responsabilidad legal no se deriva del ataque en sí, sino de cómo se decidió antes de que ocurriera. La Debida Diligencia se prueba mediante la Decisión Informada Documentada y su vigencia temporal:

  1. El Directorio (Órgano de Exigencia): Su función no es firmar políticas de manera pasiva, sino desafiar el reporte. Debe exigir escenarios de pérdida, validar la velocidad de respuesta y asegurar que la inversión cubra el estándar legal base. Su defensa es el Acta de Directorio que registra el cuestionamiento activo a la información recibida.
  2. El Mando Medio (Garante de Cadencia): Responsable de que el ciclo de información no se rompa. La diligencia expira si la información no fluye con la velocidad que impone la Autonomía Adversaria.
  3. El Ingeniero (Generador de Evidencia): Provee la "verdad técnica" (CVE/KEV) que elimina el ruido de las opiniones. Su labor es asegurar que la decisión superior se base en la realidad del dato, no en proyecciones optimistas.

3. El Sistema Operativo: NIST CSF 2.0 (GOVERN)

Adoptamos el NIST CSF 2.0 como el Control Loop de la organización. La función GOVERN (Gobernar) no es una fase del proyecto, es el centro de gravedad que determina la eficacia de todas las demás funciones de seguridad.

  • Gobernar: Define la autoridad, los incentivos y la rendición de cuentas. Sin gobierno, la detección es ruido y la respuesta es caos.
  • Ciclo de Retroalimentación: Cada incidente y cada ejercicio de respuesta debe alimentar la función de Gobierno para ajustar el presupuesto y la arquitectura de control.

4. Blueprint 3: El Mapa de Madurez Institucional

Este mapa mide la Resiliencia Regulatoria. Un Nivel 1 no es solo una debilidad técnica; es una exposición patrimonial inmediata para los directivos.

Nivel Estado GRC Cadencia de Revisión Evidencia de Diligencia Percepción de la ANCI
1. Reactivo Ceguera Estratégica Ad-hoc (solo en crisis). Inexistente. Negligencia Presunta.
2. Repetible Esfuerzo Fragmentado Anual / Semestral. Reportes aislados. Diligencia Insuficiente.
3. Definido Cumplimiento Base Trimestral. Alineación con Ley 21.663. Cumplimiento Estándar.
4. Gestionado Resiliencia Probada Mensual / Por Evento. Decisiones en Acta + ALE. Debida Diligencia Probada.
5. Optimizado Resiliencia Regulatoria Continua (Tiempo Real). Mejora continua con alta capacidad de absorción regulatoria. Referente Nacional.

5. La "Prueba del Ácido" (Evidencia Adversarial)

Ante una fiscalización, el Vigilante Estratégico no muestra "planes", muestra resultados de fallos controlados:

  1. Inventario de Exposición: ¿Podemos demostrar que el Directorio conocía los activos más vulnerables y su impacto financiero (ALE) en los últimos 30 días? (Ver Anexo F).
  2. Trazabilidad del Recurso: ¿Existe evidencia de que el Directorio asignó recursos tras detectarse una desviación del estándar legal base? (Ver Anexo D).
  3. Evidencia de Aprendizaje: ¿Puede demostrar que el último ejercicio de respuesta (IRP) detectó un fallo y que dicho fallo generó un cambio documentado en la configuración o el presupuesto? (Ver Anexo H). Si no hay registro de fallos en las pruebas, el auditor asumirá que el ejercicio fue un simulacro vacío.

Conclusión: La Evidencia como Escudo

En el entorno de la Ley 21.663, la ciberseguridad es derecho corporativo aplicado. El Vigilante Estratégico debe entender que la gobernanza no busca la perfección técnica, sino la exoneración mediante la diligencia demostrable.

En este marco, gobernar no es evitar el incidente, sino asegurar que cada decisión previa pueda ser defendida bajo escrutinio adversarial. No olvide la máxima de este escenario: la ausencia de evidencia de control no es un vacío; es una prueba de negligencia.

Tesis del Capítulo: La madurez institucional no es un objetivo de TI; es la arquitectura de defensa legal necesaria para asegurar la supervivencia de la organización y la protección del patrimonio de sus directivos.