El rol del CISO en las organizaciones chilenas tras la Ley 21.663

La promulgación de la Ley 21.663 ha transformado el perfil del Chief Information Security Officer (CISO) en las organizaciones chilenas sujetas a su ámbito de aplicación. Lo que antes era un rol técnico a menudo relegado a niveles intermedios de la jerarquía corporativa, se convierte ahora en una función con responsabilidades legales explícitas y visibilidad ante el regulador.

La ley exige que los operadores de importancia vital designen formalmente a un responsable de ciberseguridad. Esta persona debe tener capacidad real de actuación: acceso a los sistemas, autoridad para implementar medidas de mitigación y línea directa con la alta dirección para escalar incidentes. Un CISO sin presupuesto ni autonomía no puede cumplir con las obligaciones que la ley le asigna.

Nuevas responsabilidades ante el regulador

El CISO de un OIV deberá interactuar directamente con la ANCI y el CSIRT Nacional en caso de incidente. Deberá también supervisar la realización de auditorías periódicas, asegurarse de que los planes de continuidad están actualizados y verificar que los proveedores críticos cumplen con los estándares requeridos. Es un rol con una dimensión cada vez más legal y corporativa.

Para los CISOs de pymes o empresas sin equipo interno de seguridad, la alternativa más pragmática es apoyarse en un SOC gestionado que les proporcione la capacidad técnica, la documentación de cumplimiento y la respuesta ante incidentes que la ley exige, sin necesidad de contratar un equipo completo de analistas de seguridad propio.

Un CISO sin capacidad técnica de monitorización no puede cumplir con las obligaciones que la Ley 21.663 le asigna. Blindara es el respaldo operativo que convierte esas responsabilidades en capacidades reales, especialmente en organizaciones sin equipo de seguridad propio.