Auditorías de ciberseguridad en Chile: qué exige la nueva normativa

La Ley 21.663 introduce la obligación para los operadores de importancia vital de someterse a auditorías periódicas de ciberseguridad. Estas auditorías tienen como objetivo verificar que los controles de seguridad implementados son adecuados, que los planes de continuidad son viables y que los procedimientos de notificación de incidentes funcionan correctamente.

Las auditorías pueden ser realizadas por auditores internos con la cualificación suficiente o por empresas externas especializadas. La ANCI establecerá los criterios de acreditación de los auditores y los estándares mínimos que deben verificar. Es previsible que se adopten marcos internacionales reconocidos como ISO 27001 o el NIST CSF como referencias para estructurar el proceso de auditoría.

Cómo prepararse para una auditoría

Una auditoría de ciberseguridad evalúa tanto la documentación —políticas, procedimientos, registros de incidentes— como la realidad técnica —configuración de sistemas, estado de parcheo, registros de acceso, logs de seguridad—. La diferencia entre aprobar y suspender suele estar en la coherencia entre lo que los documentos dicen y lo que los sistemas muestran.

Mantener un registro continuo de eventos de seguridad, documentar los cambios de configuración y conservar los logs durante el período que exija la normativa son prácticas que, además de mejorar la seguridad real, facilitan enormemente el proceso de auditoría. Un SOC gestionado genera y conserva estos registros de forma automática, convirtiendo la auditoría en un proceso ordenado y predecible.

Un auditor busca coherencia entre lo que los documentos dicen y lo que los sistemas muestran. Blindara genera los registros de eventos, alertas y acciones que convierten la auditoría en un proceso ordenado, no en una búsqueda contra el reloj.