La mayoría de las empresas en Chile no tienen un equipo de ciberseguridad dedicado. Eso no es necesariamente un problema — el problema es que tampoco tienen las bases mínimas que la Ley 21.663 exige.
Estas son las cinco brechas que vemos con más frecuencia.
1. No existe una política de seguridad documentada
Es la brecha más básica y la más común. La empresa puede tener "reglas" informales sobre contraseñas o acceso a sistemas, pero no hay un documento formal que las establezca.
La Ley 21.663 exige una política de seguridad de la información escrita, aprobada por la dirección y comunicada a todos los empleados. No basta con que "todos sepan" las reglas — tiene que existir un documento que lo respalde.
2. No hay protocolo de reporte de incidentes
Si mañana descubres que alguien accedió sin autorización a tus sistemas, ¿sabes exactamente qué hacer? ¿A quién llamar? ¿Qué reportar al CSIRT Nacional?
La ley te da 3 horas para reportar un incidente significativo. Sin un protocolo documentado y ensayado, ese plazo es imposible de cumplir. La mayoría de las empresas ni siquiera saben que existe esta obligación.
3. Doble factor de autenticación ausente
El acceso a sistemas críticos con solo usuario y contraseña es un riesgo real. El doble factor de autenticación (2FA) es un control técnico básico que la ley espera que tengas implementado.
No requiere una inversión grande. Google Authenticator es gratuito. Microsoft Authenticator es gratuito. Lo que requiere es la decisión de implementarlo y el proceso de hacerlo para todo el equipo.
4. Respaldos sin verificación
Muchas empresas tienen "respaldos automáticos" configurados en algún momento del pasado. Pero nadie ha verificado que funcionen, que estén actualizados, o que se puedan restaurar en caso de emergencia.
Un respaldo que no se puede restaurar no es un respaldo. La ley espera que tengas un plan de respaldo documentado, con pruebas periódicas de restauración.
5. Cero capacitación en seguridad
El eslabón más débil de la ciberseguridad siempre es el humano. Un email de phishing bien hecho puede comprometer toda tu red en minutos.
La Ley 21.663 exige explícitamente que el personal esté capacitado en buenas prácticas de seguridad. No necesitas un curso de 40 horas — una sesión trimestral de 1 hora con casos reales puede hacer la diferencia entre un incidente evitado y una multa millonaria.
¿Cuántas de estas brechas tiene tu empresa?
Si reconoces tres o más de estas situaciones, tu empresa tiene un nivel de cumplimiento bajo con la Ley 21.663. La buena noticia es que ninguna de estas brechas requiere una inversión millonaria para cerrar — lo que requiere es un diagnóstico claro y un plan de acción estructurado.
Nuestro diagnóstico de cumplimiento evalúa exactamente estas áreas y te entrega un reporte con las brechas específicas de tu empresa y los pasos concretos para cerrarlas.