Gestión de riesgos de ciberseguridad según la normativa chilena: guía práctica

La Ley 21.663 exige a los operadores de importancia vital adoptar un enfoque sistemático de gestión de riesgos de ciberseguridad. Esto va mucho más allá de instalar un antivirus o configurar un firewall: implica identificar activos, valorar amenazas, evaluar el impacto potencial y aplicar controles proporcionados al nivel de riesgo de cada escenario.

El proceso de gestión de riesgos debe estar documentado y revisarse periódicamente. Las normas técnicas que emita la ANCI determinarán el nivel de detalle exigido, pero ya desde ahora es razonable alinearse con metodologías internacionales reconocidas como ISO 31000, NIST RMF o la propia guía de gestión de riesgos del ENS español, que sirve como referencia consolidada en el mundo hispanohablante.

De la evaluación al tratamiento

Una vez identificados y valorados los riesgos, la organización debe decidir cómo tratarlos: aceptar, transferir (mediante seguros o contratos), mitigar o eliminar. Para los riesgos que se decide mitigar, deben implementarse controles técnicos y organizativos concretos, con responsables asignados y plazos de implantación definidos.

La monitorización continua es el mecanismo que permite verificar que los controles funcionan y detectar nuevos riesgos emergentes. Sin visibilidad sobre lo que ocurre en los sistemas en tiempo real, la gestión de riesgos se convierte en un ejercicio documental desconectado de la realidad operativa. Integrar un SOC gestionado desde el inicio garantiza que la gestión de riesgos esté respaldada por datos reales y actualizados.

Una gestión de riesgos sólida necesita datos reales sobre lo que ocurre en los sistemas. Blindara proporciona la telemetría continua que convierte el análisis de riesgos en un proceso vivo, no en un documento que envejece.