Expertos que lo llevan del
diagnóstico al cumplimiento
Consultoría especializada en ISO/IEC 27001:2022, Ley Marco de Ciberseguridad (21.663) y Ley de Protección de Datos Personales (21.719). Elija el servicio que necesita:
ISO/IEC 27001:2022
Ley 21.663
ante la ANCI
plena Ley 21.719
¿Qué servicio necesita?
Haga clic en el servicio que más se ajusta a su situación actual.
GAP Análisis
No sabe exactamente qué le falta para cumplir. El GAP Análisis le da una imagen clara de brechas, prioridades y el camino a seguir — antes de invertir en implementación.
Implementación Normativa
Ya sabe qué necesita y está listo para hacerlo. Implementamos ISO 27001, la Ley 21.663 o la Ley 21.719 junto a su equipo, con documentación completa y preparación para auditoría.
Diagnóstico profesional de brechas de cumplimiento
El GAP Análisis compara su situación actual —documentación, controles, procesos y gobernanza— contra los requisitos exactos de la normativa que necesita cumplir. El resultado no es una lista genérica: es una matriz de cumplimiento requisito por requisito con scoring de madurez por dominio y una hoja de ruta priorizada por riesgo.
Para ISO 27001 evaluamos cláusulas 4–10 y los 93 controles del Anexo A. Para la Ley 21.663, los deberes según calificación (OIV o servicio esencial). Para la Ley 21.719, principios, bases de licitud, derechos y obligaciones de seguridad.
Solicitar GAP AnálisisModalidad remota o híbrida. Entrevistas por videoconferencia y revisión documental segura.
El GAP Documental Gratis es una autoevaluación de 10 minutos. El GAP Análisis profesional incluye evidencia, scoring por dominio, reuniones con su equipo y plan de acción detallado.
Evaluamos ISO 27001, Ley 21.663 y Ley 21.719 de forma integrada para que un solo diagnóstico cubra las tres normativas.
Las 4 Fases del GAP Análisis (haga clic para expandir)
- Reunión de inicio y definición del alcance con las áreas involucradas
- Entrevistas con responsables de TI, legal, RRHH y operaciones
- Recopilación y revisión de la documentación existente
- Identificación de procesos críticos, activos de información y flujos de datos
- Revisión requisito por requisito contra la normativa seleccionada
- Verificación de controles implementados y su nivel de evidencia
- Scoring de madurez (0–5) por dominio o área de cumplimiento
- Clasificación de cada brecha por criticidad: alta, media o baja
- Identificación de quick wins de bajo esfuerzo y alto impacto
- Informe ejecutivo para la alta dirección: estado global, riesgos y sanciones
- Informe técnico detallado requisito por requisito con observaciones
- Mapa de calor de madurez por dominio (gobernanza, riesgos, controles, privacidad)
- Inventario documental: qué existe, qué necesita actualización y qué falta
- Plan de cierre de brechas priorizado por riesgo, esfuerzo e impacto regulatorio
- Estimación de esfuerzo y recursos por iniciativa de mejora
- Presentación de resultados al directorio o gerencia con sesión de preguntas
- Recomendación de ruta: certificación ISO o cumplimiento legal directo
Entregables incluidos
Todo en formato DOCX editable, listo para ser presentado a dirección, auditores o reguladores.
Seleccione la normativa que necesita implementar
Acompañamiento integral junto a su equipo, con documentación completa y preparación para auditoría o fiscalización.
Implementación de SGSI Certificable
Diseñamos e implementamos su Sistema de Gestión de Seguridad de la Información (SGSI) conforme a las cláusulas 4–10 de la ISO 27001:2022 y los 93 controles del Anexo A organizados en 4 dominios: organizacionales (37), de personas (8), físicos (14) y tecnológicos (34). Al cierre, su organización está lista para certificarse con una casa certificadora acreditada.
La certificación ISO 27001 abre puertas comerciales (licitaciones, clientes corporativos), cumple los deberes técnicos de la Ley 21.663 y es base sólida para la Ley 21.719.
Fases del proyecto (clic para expandir)
- Análisis de contexto organizacional y partes interesadas (C4)
- Definición del alcance formal del SGSI
- Política de Seguridad de la Información aprobada por la dirección
- Roles, responsabilidades y constitución del comité de seguridad
- Metodología de evaluación de riesgos conforme a ISO 27005
- Inventario y valoración de activos de información
- Identificación, análisis y evaluación de riesgos
- Plan de tratamiento de riesgos y Declaración de Aplicabilidad (SoA)
- Redacción e implantación de políticas y procedimientos por los 4 dominios del Anexo A
- Gestión de proveedores, accesos, activos y seguridad física
- Controles de desarrollo seguro y gestión de incidentes
- Programa de capacitación y concientización por roles
- Definición de indicadores KPI del SGSI
- Ejecución del programa de auditoría interna del SGSI
- Revisión por la dirección con acta y acuerdos documentados
- Gestión de no conformidades y acciones correctivas
- Pre-auditoría interna de preparación a la certificación
- Acompañamiento en etapas 1 y 2 de la auditoría de certificación
Entregables
Ley Marco de Ciberseguridad
La Ley 21.663 creó la ANCI y estableció deberes obligatorios para los Operadores de Importancia Vital (OIV) y prestadores de servicios esenciales. Reporte de incidentes con plazos estrictos: alerta temprana en 3 horas, informe en 72 horas y plan de acción en 15 días. Multas de hasta 20.000 UTM (40.000 UTM para OIV en infracciones gravísimas).
Tres horas para la alerta temprana no permiten improvisar. Si el protocolo, los roles y los canales no están definidos y ensayados antes del incidente, el incumplimiento es casi inevitable — y la multa, segura.
Fases del proyecto (clic para expandir)
- Análisis jurídico-técnico para determinar calificación como OIV o servicio esencial
- Mapeo de los deberes específicos que le aplican según la Ley y los reglamentos
- Revisión de registros obligatorios ante la ANCI y plazos asociados
- Designación y habilitación formal del delegado de ciberseguridad
- Constitución del comité de ciberseguridad y definición de responsabilidades
- Política de ciberseguridad aprobada por la dirección
- Alineamiento con un SGSI (compatible con ISO 27001)
- Gestión continua de riesgos sobre los servicios esenciales
- Planes de continuidad operativa y recuperación ante desastres
- Plan de respuesta a incidentes alineado a los plazos legales (3 h / 72 h / 15 días)
- Elaboración del set documental completo: políticas, procedimientos y protocolos
- Implantación de controles y medidas de seguridad proporcionales al riesgo
- Protocolos de comunicación segura con la ANCI y el CSIRT Nacional
- Simulacros de incidentes con reporte cronometrado (3 h / 72 h / 15 días)
- Capacitación por roles: delegado, equipo TI, dirección y operaciones
- Revisión periódica del cumplimiento y preparación ante fiscalizaciones de la ANCI
Entregables
Ley de Protección de Datos Personales
La Ley 21.719 moderniza el régimen chileno de privacidad al nivel del GDPR: crea la Agencia de Protección de Datos (APDP), consagra los derechos ARCOPOL (acceso, rectificación, cancelación, oposición, portabilidad y bloqueo) y establece multas de hasta 20.000 UTM — en reincidencia, hasta el 4% de los ingresos anuales. Aplica a toda organización que trate datos en Chile, sin importar su tamaño.
Una implementación seria toma 3 a 6 meses. Las organizaciones que empiecen tarde llegarán sin RAT, sin procedimientos de derechos y expuestas a las primeras fiscalizaciones de la APDP.
Fases del proyecto (clic para expandir)
- Inventario de todos los tratamientos de datos personales (flujos internos y con terceros)
- Construcción del Registro de Actividades de Tratamiento (RAT) — el documento que la APDP exige primero
- Clasificación de datos sensibles y tratamientos de alto riesgo
- Revisión de cada tratamiento contra las bases legales de la Ley 21.719
- Rediseño de avisos y políticas de privacidad
- Gestión del consentimiento en formularios, sitio web, cookies y campañas
- Procedimientos y canales para atender solicitudes de acceso, rectificación, cancelación, oposición, portabilidad y bloqueo
- Implementación dentro de los plazos legales, con registro y trazabilidad
- Medidas de seguridad proporcionales al riesgo del tratamiento
- Protocolo de notificación de brechas a la APDP y a los titulares afectados
- Registro interno de incidentes y tiempo de respuesta
- Designación del delegado de protección de datos (DPO)
- Evaluaciones de impacto (DPIA) para tratamientos de alto riesgo
- Contratos de encargo y cláusulas de transferencias internacionales
- Modelo de prevención de infracciones (atenuante legal ante la APDP)
Entregables
Responda 3 preguntas y le recomendamos el servicio
¿Sabe exactamente qué documentos, controles o procesos le faltan para cumplir?
Piense en la normativa específica que le interesa (ISO 27001, Ley 21.663 o Ley 21.719).
¿Han realizado alguna auditoría o evaluación formal de cumplimiento antes?
Ya sea interna, con un consultor externo o mediante el diagnóstico gratuito de Ziemtinel.
¿Tiene un plazo formal para certificarse, participar en una licitación o estar listo para una fiscalización?
Por ejemplo, un proceso con un cliente corporativo, una auditoría de la ANCI o la vigencia de la Ley 21.719.
Consultoría con Ventaja Tecnológica
300+ Documentos Base
No partimos de cero: nuestro catálogo cubre las tres normativas con documentación profesional que adaptamos a su realidad. Eso reduce meses de trabajo.
IA + Expertos Humanos
Nuestra plataforma de IA acelera la generación y personalización documental; nuestros consultores aportan el criterio normativo y conocen la realidad chilena.
Triple Cobertura
ISO 27001, Ley 21.663 y Ley 21.719 comparten muchos requisitos. Implementamos de forma integrada para que un mismo esfuerzo cumpla las tres.
Entregables Defendibles
Cada documento y evidencia que entregamos puede defenderse ante auditores, la ANCI y la APDP. Cumplimiento real, no de papel.
Cuéntenos su Desafío de Cumplimiento
Complete el formulario y un consultor senior lo contactará en menos de 24 horas hábiles.
1. Respuesta en 24 horas
Un consultor senior revisa su solicitud y coordina una reunión de diagnóstico.
2. Reunión de diagnóstico
Videollamada de 30 minutos, sin costo, para entender su contexto y urgencia.
3. Propuesta formal
Recibe alcance, fases, entregables, plazos y valores. Sin compromisos ocultos.
Su información se usa solo para preparar su propuesta. Firmamos NDA si su organización lo requiere.
Solicitud de Consultoría
Mientras más contexto nos entregue, más precisa será la propuesta.