Evaluación Exprés

¿Qué tan protegida está tu empresa?

4 áreas, 5 minutos. Al final verás tu diagnóstico frente a las leyes 21.663 de Ciberseguridad y 21.719 de Protección de Datos.

Paso de

Gobernanza y gestión de riesgos

La Ley 21.663 apunta a que la seguridad deje de ser un tema 'de computación' y pase a ser responsabilidad de la dirección de la empresa.

1. ¿Existe una persona o rol formalmente responsable de la ciberseguridad en su empresa?

La Ley 21.663 apunta a que cada organización tenga responsables definidos; sin un dueño del tema, nadie responde cuando algo pasa.

2. ¿Cuentan con políticas de seguridad de la información escritas y conocidas por el personal (uso de equipos, contraseñas, correo, teletrabajo)?

Las políticas escritas son la base de todo marco de gestión y la primera evidencia que pedirá un cliente grande o un regulador.

3. ¿Han realizado en los últimos 12 meses una evaluación de riesgos: qué información crítica manejan y qué podría afectarla?

La gestión de riesgos es el corazón del deber de seguridad de la Ley 21.663: no se puede proteger lo que no se ha identificado.

4. ¿El personal recibe capacitación o recordatorios periódicos sobre ciberseguridad (phishing, contraseñas, manejo de información)?

La mayoría de los incidentes en PyMEs parte por un correo malicioso; capacitar es la medida con mejor relación costo/impacto.

Protección de datos personales (Ley 21.719)

La nueva Ley de Protección de Datos rige en plenitud desde el 1 de diciembre de 2026, crea una Agencia fiscalizadora y multas de hasta 20.000 UTM. Aplica a toda empresa que trate datos de clientes, trabajadores o proveedores.

1. ¿Tienen identificado qué datos personales tratan (clientes, trabajadores, proveedores), dónde se almacenan y para qué se usan?

El inventario de datos es el punto de partida de la Ley 21.719: sin él es imposible cumplir el resto de las obligaciones.

2. ¿Informan a las personas para qué usan sus datos y cuentan con una base legal (consentimiento, contrato, obligación legal) para cada uso?

Tratar datos sin base de licitud ni información previa es una de las infracciones centrales de la nueva ley.

3. ¿Tienen un procedimiento para responder solicitudes de acceso, rectificación, supresión, oposición o portabilidad de datos dentro de plazo?

La ley refuerza los derechos de las personas (ARCO-P) y fija plazos de respuesta; no responder a tiempo es sancionable.

4. ¿Los contratos con proveedores que procesan datos por ustedes (nube, remuneraciones, marketing) incluyen cláusulas de protección de datos?

La empresa responde por sus encargados de tratamiento: si el proveedor falla, la multa puede llegar igual.

5. ¿Han evaluado si necesitan designar un delegado o encargado interno de protección de datos?

La figura del delegado de protección de datos permite ordenar el cumplimiento y es señal de diligencia ante la Agencia.

Seguridad de sistemas y accesos

Las medidas técnicas concretas que ambas leyes exigen como 'medidas de seguridad adecuadas'.

1. ¿Usan autenticación multifactor (MFA) y contraseñas robustas en el correo y los sistemas críticos del negocio?

El robo de credenciales es la puerta de entrada más común; el MFA detiene la gran mayoría de esos ataques.

2. ¿Realizan copias de seguridad periódicas de la información crítica y han probado que se pueden restaurar?

Un respaldo probado es la diferencia entre un mal día y el cierre del negocio frente a un ransomware.

3. ¿Mantienen sistemas operativos y aplicaciones actualizados y con soporte vigente?

Los atacantes explotan fallas conocidas; un equipo sin parches es una invitación abierta.

4. ¿El acceso a la información está restringido según el rol de cada persona, y se revocan los accesos al desvincular personal?

El principio de mínimo privilegio reduce el daño de errores internos y de cuentas comprometidas.

5. ¿La información sensible se almacena o transmite cifrada (discos de notebooks, sitio con HTTPS, VPN para acceso remoto)?

El cifrado es una de las medidas que la Ley 21.719 reconoce expresamente para proteger datos personales.

Respuesta a incidentes y continuidad

La Ley 21.663 crea el deber de reportar incidentes a la autoridad (alerta temprana en 3 horas para los obligados) y la Ley 21.719 obliga a notificar brechas de datos. Improvisar en plena crisis sale caro.

1. ¿Tienen un plan documentado de qué hacer ante un incidente: a quién avisar, cómo contener y cómo recuperarse?

Las primeras horas de un incidente definen su costo; un plan simple de una página ya marca la diferencia.

2. ¿Saben cuándo y cómo deben reportar un incidente a la autoridad (ANCI, Ley 21.663) y notificar una brecha de datos personales (Ley 21.719)?

Ambas leyes fijan deberes y plazos de notificación (la 21.663 exige alerta temprana en 3 horas a los obligados); no reportar a tiempo agrava las sanciones.

3. ¿Cuentan con un plan de continuidad para seguir operando si los sistemas caen por horas o días (ransomware, corte prolongado)?

La continuidad operacional es parte del deber general de gestión de riesgos y protege los ingresos del negocio.

4. ¿Registran y revisan alertas de seguridad (antivirus/EDR, intentos de acceso) para detectar incidentes a tiempo?

Un incidente detectado tarde cuesta multiplicado; los registros además son evidencia ante la autoridad.

Tus datos

Último paso: cuéntanos a quién entregamos el diagnóstico.

Responde todas las preguntas de este paso para continuar.

Tus respuestas son confidenciales. Ciberdigital.cl tratará estos datos únicamente para generar tu diagnóstico y contactarte respecto de él; no los compartiremos con terceros y puedes solicitar su acceso, rectificación o supresión escribiendo a contacto@ciberdigital.cl (Ley N.º 21.719).