Departamento TI
Compliance

El rol del delegado de ciberseguridad: funciones, perfil ideal y relación con la ANCI

juanhernandez@preyhq.com
Juan H.
Sep 17, 2025
0 minutos de lectura
El rol del delegado de ciberseguridad: funciones, perfil ideal y relación con la ANCI
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Compartir
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

La Ley 21.663, también conocida como la Ley Marco de Ciberseguridad, empezó a regir en Chile a partir de marzo de 2025 y viene con cambios importantes para instituciones públicas y privadas. Uno de los puntos clave de esta normativa es la figura del delegado de ciberseguridad, una pieza obligatoria para los llamados operadores de importancia vital (OIV).

¿Por qué es tan importante este rol? Porque funciona como el puente entre lo técnico y lo estratégico, y es quien debe asegurar que todo lo que pide la ley se implemente en serio, y no solo en el papel.

¿Qué es un delegado de ciberseguridad?

El delegado de ciberseguridad es una figura obligatoria para cualquier organización que haya sido calificada como Operador de Importancia Vital (OIV) según la Ley 21.663. Su rol es una persona que debe ser designada formalmente por la entidad para cumplir funciones clave en materia de coordinación y reporte.

En otras palabras, traduce los requisitos técnicos y normativos en acciones concretas que puedan ser entendidas y respaldadas desde el nivel directivo. Esta figura es clave para alinear lo operativo con lo estratégico, y para asegurar que la ciberseguridad no se quede encerrada en el área TI.

Delegado de Ciberseguridad para los OIV y PSE

Aunque la ley exige este cargo exclusivamente para los OIV, también es altamente recomendable que los Prestadores de Servicios Esenciales (PSE), que están sujetos a múltiples exigencias de ciberseguridad, designen a alguien con este perfil, incluso si no están legalmente obligados. Omitir este nombramiento puede considerarse una infracción leve según el artículo 39, letra i).

Funciones clave del delegado

El delegado de ciberseguridad no es solo un nombre en un organigrama: es quien mantiene a raya las obligaciones de la Ley 21.663 y se asegura de que la organización no solo esté “cumpliendo”, sino que realmente esté gestionando la ciberseguridad de forma activa y consciente. Es un rol transversal que requiere tanto criterio técnico como cercanía con la toma de decisiones.

Más allá de cumplir con la formalidad legal, el delegado de ciberseguridad cumple una función estratégica: es el nexo directo entre la organización y la Agencia Nacional de Ciberseguridad (ANCI). No solo actúa como contraparte ante la autoridad, sino que también reporta directamente a la alta dirección institucional (gerencia, jefatura o directorio, según el caso).

Estas son sus responsabilidades principales:

  • Actuar como contraparte directa de la ANCI: Es la persona con la que la Agencia Nacional de Ciberseguridad se comunica, coordina y supervisa el cumplimiento normativo.
  • Informar a la alta dirección sobre incidentes, vulnerabilidades y cumplimiento: Su trabajo no se queda en lo técnico. Tiene que traducir riesgos y hallazgos en mensajes claros para quienes toman decisiones al más alto nivel.
  • Asegurar la correcta implementación del SGSI y de los planes de ciberseguridad y continuidad: Verifica que existan procesos, responsables y recursos asignados, y que los controles no estén solo en papel.
  • Coordinar simulacros, reportes y auditorías internas: Debe organizar actividades que pongan a prueba la preparación ante incidentes y garanticen mejoras continuas.
  • Canalizar requerimientos regulatorios e instrucciones oficiales de la ANCI: Todo lo que venga de la Agencia —nuevos estándares, obligaciones o solicitudes de información— pasa por esta persona.
  • Participar activamente en el ciclo de mejora continua en ciberseguridad: No basta con cumplir una vez; el delegado debe asegurarse de que el sistema evolucione, se corrija y se fortalezca con el tiempo.

Perfil ideal del delegado de ciberseguridad

Designar a un delegado de ciberseguridad no es solo una formalidad; es una decisión estratégica. Esta persona debe tener el criterio para responder ante una crisis, el conocimiento técnico para entender los riesgos reales, y la confianza de la alta dirección para que sus recomendaciones sean escuchadas y aplicadas. No es un rol improvisado.

Aquí van las características clave del perfil ideal:

  • Formación técnica o experiencia en ciberseguridad, normativa y gestión de riesgos: No basta con saber de tecnología. Es importante que entienda el impacto de los incidentes en la operación, los marcos regulatorios y cómo priorizar controles según riesgo.
  • Conocimiento práctico de estándares como ISO 27001 o NIST: Estos marcos ayudan a ordenar la casa y sirven como referencia para construir (y auditar) un buen SGSI. Conocerlos le permite al delegado hablar el mismo idioma que ANCI.
  • Habilidades de comunicación para informar a la dirección: Tiene que traducir amenazas técnicas en consecuencias de negocio. Un ataque DDoS no es solo “mucho tráfico”, es “el servicio estará fuera del aire cuatro horas y perderemos clientes”.
  • Capacidad para liderar equipos o coordinar múltiples áreas (TI, legal, seguridad física): El delegado no trabaja solo. Necesita saber articular esfuerzos entre distintas unidades que suelen tener prioridades muy distintas.
  • Autonomía y criterio para priorizar acciones frente a incidentes: No siempre hay tiempo para esperar instrucciones. El delegado debe tener claro cuándo activar un plan, aislar un sistema o reportar un incidente, sin perder tiempo.
  • Conocimiento de continuidad operativa (BCP) e ISO 22301: Los OIV están obligados a tener planes de continuidad y ciberseguridad. El delegado debe entender cómo diseñarlos, mantenerlos actualizados y validarlos con simulacros.

Delegado vs. Encargado/a de ciberseguridad: ¿en qué se diferencian?

En la práctica, existe mucha confusión entre estos dos roles, sobre todo en organizaciones pequeñas donde los equipos de TI y seguridad son reducidos y una misma persona debe usar varios sombreros. Sin embargo, la Ley 21.663 es clara en su finalidad: asegurar que los incidentes de ciberseguridad se reporten de manera oportuna y formal ante la ANCI.

Aunque suenen parecidos, el delegado de ciberseguridad y el/la encargado/a de ciberseguridad pueden no cumplir el mismo rol ni tener las mismas responsabilidades dentro de una organización. El delegado de ciberseguridad tiene un rol estratégico e institucional: es la cara de la organización ante la ANCI y quien informa a la alta dirección (esto para las empresas que hayan sido designadas como OIV). El/la encargado/a de ciberseguridad, en cambio, se centra en el deber de reportar y gestionar los incidentes mediante la plataforma oficial de la agencia. En algunos casos, una misma persona podría asumir ambos roles, especialmente en equipos pequeños.

Aquí te dejamos una comparación clara para entenderlo mejor:

Característica Delegado de Ciberseguridad Encargado/a de Ciberseguridad
¿Es obligatorio? Sí, para OIV (Operadores de Importancia Vital) Sí, para todos los PSE
Objetivo principal Enlace estratégico con la ANCI, informar a la alta dirección y encargarse del cumplimiento de todos los requisitos de la ley Reportar incidentes vía plataforma ANCI y mantener contacto técnico con CSIRT Nacional
Relación con la ANCI Contraparte institucional Contraparte técnica-operativa para reportes
Perfil recomendado Gestión + normativa + conocimiento técnico (SGSI, BCP, ISO 27001) Formación técnica o experiencia específica en ciberseguridad
Nivel de responsabilidad Estratégico / Alta dirección Técnico–operativo / ejecución de reportes
Forma de nombramiento Designación formal interna (resolución, acta) Nombramiento con acreditación formal ante ANCI (firma electrónica avanzada)
¿Puede coexistir con otros roles? Sí, puede ser la misma persona que el encargado/a si cumple requisitos Sí, puede ejercer doble rol en OIV

Relación con la Agencia Nacional de Ciberseguridad (ANCI)

Uno de los principales roles del delegado de ciberseguridad es mantener una relación activa y fluida con la ANCI, que no se limita solo a reportar incidentes. También debe participar en procesos clave, aplicar estándares técnicos, coordinar con el CSIRT Nacional y responder ante fiscalizaciones. Es, en resumen, la cara visible de la institución ante la autoridad en materia de ciberseguridad.

Estas son las áreas donde esa relación se vuelve más concreta:

  • Canales de comunicación oficiales entre entidad y ANCI: El delegado es el punto de contacto oficial, por lo que cualquier instrucción, requerimiento o consulta de la Agencia pasa por él o ella.
  • Participación en procesos de certificación, reportes, auditorías y fiscalización: La ANCI puede exigir auditorías, revisar planes o incluso sancionar incumplimientos. El delegado debe estar al tanto y liderar la respuesta institucional.
  • Acceso a la plataforma de reportes y coordinación con el CSIRT Nacional: Aunque el reporte lo puede realizar el encargado/a técnico, el delegado debe conocer el funcionamiento de la plataforma y participar en la estrategia de respuesta ante incidentes.
  • Implementación de medidas emitidas por la ANCI (protocolos, estándares e instrucciones): Toda directriz oficial —sea un nuevo estándar, protocolo obligatorio o instrucción específica— debe ser implementada internamente, y el delegado es quien debe garantizar que eso suceda.

Buenas prácticas para el cumplimiento

Tener un delegado de ciberseguridad no se trata solo de nombrar a alguien y seguir con lo de siempre. Para que el rol realmente funcione, se necesita respaldo institucional, claridad de funciones y una estructura que permita actuar cuando se necesita.

Aquí van algunas recomendaciones que pueden marcar la diferencia entre cumplir y hacerlo bien:

Formalizar el rol mediante resolución interna o acto administrativo

Designar al delegado por correo o “de palabra” no basta. Debe existir un documento oficial, como una resolución interna o acta de directorio, que registre su nombramiento y funciones. Esto no solo da respaldo legal, también permite que la figura esté clara para auditores, CSIRT Nacional y la propia ANCI en caso de fiscalización.

Integrar al delegado en el comité de seguridad o en el SGSI institucional

El delegado no puede trabajar aislado. Lo ideal es que forme parte del comité de ciberseguridad o que tenga un rol directo dentro del Sistema de Gestión de Seguridad de la Información (SGSI). Así, participa en la toma de decisiones clave y se asegura de que las acciones estén alineadas con los planes de continuidad y los riesgos reales de la organización.

Establecer flujos de comunicación internos entre el delegado, encargado/a de reportes y áreas técnicas

El delegado y el encargado/a de reportes no pueden vivir en silos. Debe haber una estructura clara que defina quién informa a quién, cómo se escalan los incidentes y qué equipos técnicos deben participar en la respuesta. Esto evita cuellos de botella y asegura que la información fluya cuando más se necesita.

Asegurar la continuidad del cargo (reemplazos, capacitación, respaldo documental)

Las personas cambian o se van de vacaciones, pero el rol no puede quedar vacío. Es importante contar con un plan de subrogancia, documentar procesos clave y asegurar que haya capacitación continua. Esto permite que la función siga operando incluso ante licencias, desvinculaciones o cambios en el organigrama, sin poner en riesgo el cumplimiento.

Integrar para proteger: la importancia del rol

El delegado de ciberseguridad es una figura estratégica que actúa como puente entre lo técnico y lo institucional, capaz de traducir amenazas en decisiones y de mantener alineados el cumplimiento normativo, la continuidad operativa y la protección de los activos más críticos de la organización. Su impacto va mucho más allá del papel: puede marcar la diferencia entre responder bien o fallar ante un incidente.

Con la Ley 21.663 en plena aplicación y la ANCI tomando un rol cada vez más activo en fiscalización,  es una inversión necesaria. Formalizar la función, integrarla a los procesos, asignarle recursos y asegurarse de su continuidad son pasos clave para cumplir con la ley, evitar sanciones y, sobre todo, proteger la operación de manera realista y sostenida.

FAQ

¿Qué es un delegado de ciberseguridad según la ley 21.663 marco de ciberseguridad de Chile?

El delegado de ciberseguridad, según la Ley 21.663 en Chile, es la persona designada formalmente por los Operadores de Importancia Vital (OIV) para ser el nexo estratégico con la Agencia Nacional de Ciberseguridad (ANCI). Su función es garantizar que la organización cumpla con las obligaciones legales, informar a la alta dirección sobre incidentes y vulnerabilidades, y coordinar la implementación de planes de seguridad y continuidad operativa.

¿Quiénes están obligados a nombrar un delegado de ciberseguridad según la Ley 21.663?

Los Operadores de Importancia Vital (OIV) están legalmente obligados a designar este rol. En el caso de los Prestadores de Servicios Esenciales (PSE), no es obligatorio, pero sí altamente recomendable para evitar incumplimientos y sanciones leves.

¿Cuál es la diferencia entre delegado y encargado de ciberseguridad?

El delegado de ciberseguridad es la contraparte estratégica ante la ANCI y la alta dirección, mientras que el encargado/a de ciberseguridad se centra en la gestión técnica y el reporte de incidentes. Ambos roles pueden coexistir, pero tienen responsabilidades distintas.

¿Qué sanciones arriesga una organización si no designa delegado de ciberseguridad?

La Ley 21.663 establece sanciones que pueden ir desde multas leves hasta graves o gravísimas, dependiendo del nivel de incumplimiento. No nombrar delegado en un OIV puede derivar en sanciones administrativas y pérdida de confianza frente a la autoridad.

¿Qué perfil profesional debe tener un delegado de ciberseguridad?

Debe contar con experiencia en gestión de riesgos, ciberseguridad y marcos regulatorios (ISO 27001, NIST, ISO 22301). También se valoran certificaciones como CISM, CISSP, ISO 27001 Lead Auditor o Lead Implementer. Además, debe tener habilidades de comunicación con la alta dirección.

¿El delegado necesita certificaciones oficiales de la ANCI?

El nombramiento debe realizarse mediante acto administrativo o resolución formal interna, y en algunos casos se exige la firma electrónica avanzada para acreditar la designación ante la ANCI. Aunque la ley no exige una certificación técnica específica, contar con acreditaciones reconocidas es una buena práctica.

¿Cómo se relaciona el delegado con la Agencia Nacional de Ciberseguridad (ANCI)?

El delegado es el punto de contacto oficial con la ANCI. Coordina reportes, responde fiscalizaciones, canaliza instrucciones oficiales y asegura la implementación de los protocolos que la agencia establezca.

¿Qué recursos necesita el delegado de ciberseguridad para cumplir su rol?

Debe contar con presupuesto, apoyo directivo y acceso a información estratégica. Sin estos recursos, el cargo queda en el papel y no puede garantizar el cumplimiento ni la seguridad efectiva de la organización.

¿Puede una misma persona ser delegado y encargado de ciberseguridad?

Sí, especialmente en organizaciones pequeñas. Sin embargo, lo recomendable es separar los roles para garantizar independencia entre la función estratégica (delegado) y la operativa (encargado).

¿Qué papel tiene el delegado en la gestión de incidentes de ciberseguridad?

El delegado no se encarga de la respuesta técnica directa, pero sí de asegurar que los planes de respuesta, continuidad operativa y reportes a la ANCI se ejecuten correctamente y en los plazos establecidos (ej. 3 horas para alerta temprana).

¿Es recomendable que empresas no clasificadas como OIV designen un delegado de ciberseguridad?

Sí. Aunque la obligación aplica solo a OIV, los PSE y otras entidades críticas ganan en gobernanza y preparación regulatoria al contar con un delegado. Esto les facilita cumplir con futuras auditorías y reduce riesgos de sanción.

Frequently asked questions

No items found.

Sobre el mismo tema

El rol del delegado de ciberseguridad: funciones, perfil ideal y relación con la ANCI
El rol del delegado de ciberseguridad: funciones, perfil ideal y relación con la ANCI

Conoce quién es el delegado de ciberseguridad según la Ley 21.663, sus funciones, perfil ideal y relación con la ANCI en Chile.

Sep 17, 2025
Continuar leyendo
Cómo reportar incidentes de ciberseguridad en chile según la ley 21.663
Cómo reportar incidentes de ciberseguridad en chile según la ley 21.663

Guía práctica sobre como reportar un incidente de ciberserguridad según la Ley marco de ciberseguridad 21.663

Sep 1, 2025
Continuar leyendo
Plan de continuidad operativa: requisito clave de la Ley 21.663
Plan de continuidad operativa: requisito clave de la Ley 21.663

Guía para crear tu Plan de Continuidad Operativa: un requisito clave de la Ley 21.663

Aug 20, 2025
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar