Continuidad de negocio y ciberseguridad en Chile: lo que exige la Ley 21.663

La Ley 21.663 obliga a los operadores de importancia vital a disponer de planes de continuidad operacional que contemplen escenarios de ciberataque. Esto supone un cambio significativo respecto a la planificación de continuidad tradicional, que solía centrarse en desastres físicos como incendios o inundaciones, pero raramente incluía escenarios de ransomware o compromiso de sistemas de control industrial.

Un plan de continuidad ante ciberincidentes debe identificar los procesos críticos de la organización, los sistemas que los soportan y los tiempos máximos de inactividad tolerables para cada uno. A partir de ahí, deben diseñarse estrategias de recuperación específicas: sistemas de respaldo, procedimientos manuales alternativos y canales de comunicación de emergencia.

Pruebas y simulacros: el requisito que se olvida

Un plan de continuidad que nunca se ha probado no es un plan, es un documento. La ley exige que los operadores realicen ejercicios periódicos para verificar que sus planes funcionan en condiciones reales de crisis. Estos simulacros deben incluir escenarios de ciberataque, con equipos de respuesta activados y procedimientos de notificación ejecutados bajo presión de tiempo.

La integración entre el plan de continuidad y el SOC es fundamental: cuando el SOC detecta un incidente activo, debe activar automáticamente el protocolo de continuidad correspondiente. Esta coordinación reduce drásticamente el tiempo de respuesta y limita el impacto operativo de los incidentes más graves, que son precisamente los que la ley más quiere prevenir.

La mejor continuidad de negocio es la que evita el incidente. Blindara detecta las amenazas en sus primeras fases para que el plan de continuidad sea el último recurso, no el primero.