En los próximos meses, la pregunta clave para cualquier directorio en Chile ya no será “¿tenemos antivirus?”, sino “¿podemos demostrar que gestionamos la ciberseguridad como un riesgo estratégico del negocio?”. La Ley 21.663, conocida como Ley Marco de Ciberseguridad, elevó la vara: hoy la Agencia Nacional de Ciberseguridad (ANCI) puede fiscalizar, sancionar y, en casos graves, incluso derivar responsabilidades personales cuando no existen medidas mínimas de protección implementadas y documentadas.

En este nuevo escenario, la ciberseguridad dejó de ser un tema del informático para convertirse en un tema del directorio. No se trata solo de “tener sistemas”, sino de demostrar que se tomó el control, se asignaron recursos y se supervisó su correcta implementación.

De la sala de servidores a la mesa del directorio

La Ley 21.663 establece requisitos mínimos de prevención, contención y respuesta ante incidentes de ciberseguridad, y entrega a la ANCI facultades para dictar normas, fiscalizar y sancionar a quienes no cumplan. Esto incluye a empresas públicas y privadas que operan servicios esenciales o manejan información sensible de clientes, pacientes o usuarios.

En paralelo, la tendencia regulatoria en Chile (Ley 21.595 de delitos económicos, obligaciones de directorio en normativas sectoriales, etc.) ya venía elevando la responsabilidad legal de los directores y gerentes cuando no ejercen un adecuado deber de supervisión. Hoy, dejar “todo en manos del proveedor TI” sin una supervisión explícita, ya no es una excusa válida.

¿Qué riesgos concretos asume un director bajo la nueva normativa?

Cuando una empresa sufre un incidente grave de ciberseguridad y se verifica que no contaba con medidas mínimas de gestión de riesgos, las consecuencias ya no se limitan a una “caída de sistemas”. Entre los principales riesgos se encuentran:

• Multas económicas de alto impacto: la Ley 21.663 contempla un régimen sancionatorio severo, con multas que pueden escalar a rangos de miles de UTM en casos graves o de reincidencia, afectando seriamente la continuidad del negocio.​

• Sanciones administrativas: suspensión de servicios, restricciones operativas o pérdida de licencias críticas para seguir funcionando, especialmente en sectores regulados.

• Daño reputacional: la publicación de sanciones y la pérdida de confianza de clientes, proveedores y bancos puede ser más costosa que la propia multa.

• Responsabilidad personal: en escenarios donde se acredite omisión grave del deber de supervisión, los directores pueden verse expuestos a acciones de responsabilidad civil, administrativa e incluso penal, en línea con la lógica de los delitos económicos y modelos de prevención exigibles.

En otras palabras, si el directorio no puede demostrar que tomó decisiones informadas en materia de ciberseguridad, el problema deja de ser solo de la empresa.

Lo que la Ley espera de un directorio responsable

El espíritu de la Ley 21.663 es claro: los órganos de dirección deben involucrarse activamente en la gestión de riesgos de ciberseguridad, no solo recibir informes técnicos. Algunas expectativas mínimas que un directorio debería poder evidenciar son:

• Estrategia y políticas aprobadas: existencia de una política de ciberseguridad y un marco de gestión de riesgos formalmente aprobados por el directorio.

• Recursos y presupuesto asignados: decisiones explícitas sobre inversión en tecnologías, servicios y capacitación, acordes al nivel de riesgo del negocio.

• Controles básicos implementados: respaldo probado, controles de acceso, gestión de vulnerabilidades, monitoreo de eventos, cifrado y planes de continuidad y respuesta ante incidentes.

• Gobernanza clara: designación de un responsable de ciberseguridad que reporte a la alta dirección y mantenga informado al directorio de brechas, avances y planes de mejora.

• Capacitación y cultura: programas de formación para ejecutivos y colaboradores, simulacros de incidentes y una cultura que entienda la ciberseguridad como parte del negocio, no como un costo aislado.

Un directorio que no puede mostrar estas evidencias queda en una posición muy débil frente a una auditoría, una sanción de la ANCI o una demanda de un tercero afectado.

¿Cómo puede el directorio “blindar” su responsabilidad legal?

La buena noticia es que la propia Ley 21.663 reconoce que lo relevante no es la perfección técnica, sino demostrar diligencia razonable y un modelo de gestión consistente. Para un directorio, esto se traduce en dar algunos pasos concretos:

1. Solicitar un diagnóstico independiente frente a la Ley 21.663
   Un primer informe de brechas permite al directorio saber en qué nivel real de riesgo está la organización, qué exige la ley para su tipo de servicios y qué prioridades debe abordar en el corto plazo.

2. Aprobar un plan de acción con plazos y responsables
   No basta con un listado de problemas: el directorio debe aprobar un plan con responsables claros, plazos, presupuesto y métricas de avance para reducir el riesgo en un horizonte razonable.

3. Documentar decisiones y supervisión
   Las actas de directorio deben reflejar que se revisaron informes de ciberseguridad, se preguntó, se cuestionó y se tomaron decisiones en base a información completa. Esta trazabilidad es clave si más adelante se discute el cumplimiento del deber de cuidado.

4. Acompañarse de expertos
   La mayoría de los directores no tiene por qué ser especialista técnico, pero sí debe apoyarse en asesores que traduzcan el lenguaje técnico en impacto legal, financiero y reputacional para el negocio.

En síntesis: un directorio que demuestra que preguntó, entendió, decidió y supervisó, está mucho mejor protegido que uno que se limitó a “dejar esto en manos de informática”.

¿Cómo ayuda SecureChile a su directorio?

En SecureChile trabajamos precisamente en ese punto ciego entre lo técnico y lo legal, ayudando a directorios, gerencias y profesionales a demostrar diligencia frente a la Ley 21.663. Nuestros servicios están diseñados para traducir el riesgo cibernético en decisiones concretas de gobierno corporativo, con foco en pymes y empresas de servicios.​

Entre los beneficios que obtiene su directorio al trabajar con SecureChile se encuentran:

• Diagnóstico específico respecto de la Ley 21.663 y otras normativas conexas, con lenguaje claro y orientado a la toma de decisiones.

• Plan de 90 días para cerrar brechas críticas y evidenciar diligencia razonable frente a auditorías o incidentes.

• Acompañamiento en la definición de políticas, roles, responsabilidades y evidencia documental para actas de directorio y reportes a autoridades.

La ciberseguridad dejó de ser un tema del informático para ser un tema del directorio. SecureChile le ayuda a blindar su responsabilidad legal antes de que una auditoría o un incidente pongan a prueba sus decisiones.