Cumplimiento práctico: Ley 21.663 y Ley 21.719

Aplicabilidad: Ley 21.663 (Ciberseguridad)

No aplica de la misma forma a todas las organizaciones. En la práctica, se orienta a entidades calificadas como críticas, esenciales o de importancia vital, según los criterios y procesos de calificación establecidos por la autoridad.

• Exige capacidades de gestión de incidentes, coordinación y evidencias de continuidad.
• El nivel de exigencia aumenta si la entidad es considerada crítica / OIV.
• La clave operativa es demostrar procesos y trazabilidad (no solo “tener herramientas”).

Aplicabilidad: Ley 21.719 (Datos personales)

Aplica a toda organización que trate, almacene o procese datos personales de clientes, colaboradores, proveedores u otros titulares. El cumplimiento es transversal: legal, procesos, TI y seguridad.

• Exige inventario de tratamientos y control de accesos con evidencia.
• Obliga a responder solicitudes de titulares con procesos y plazos.
• Requiere medidas de seguridad proporcionales al riesgo.

1) Inventario mínimo (la base de todo)

• Sistemas críticos y dependencias (servicios, proveedores, enlaces, credenciales).
• Inventario de activos: endpoints, servidores, SaaS, redes, cuentas con privilegio.
• Inventario de datos personales: qué datos, dónde están, quién accede, con qué finalidad.

Evidencias: listado versionado, dueño por sistema, fecha de revisión, cambios registrados.

2) Accesos (control + trazabilidad)

• MFA en correo, VPN, paneles administrativos y accesos remotos.
• Principio de mínimo privilegio y revisión periódica de permisos.
• Cuentas privilegiadas separadas (admin vs usuario) y registro de cambios.

Evidencias: política de accesos, reporte mensual de altas/bajas, logs de autenticación, bitácora de cambios.

3) Respaldo y recuperación (no solo “backup”)

• Respaldos cifrados y protegidos contra borrado (inmutabilidad cuando sea posible).
• Pruebas de restauración con evidencia (al menos mensual o trimestral según criticidad).
• Objetivos de recuperación definidos: RPO/RTO por sistema crítico.

Evidencias: reporte de restauración, tiempos medidos, checklist de recuperación, responsables y aprobaciones.

4) Seguridad operativa (endpoints y correo)

• Gestión de parches (OS y aplicaciones) con calendario y excepción justificada.
• Protección de endpoints con alertas y respuesta (EDR o equivalente).
• Controles anti-phishing (SPF/DKIM/DMARC cuando aplique) y concientización.

Evidencias: reporte de compliance de parches, alertas atendidas, tickets de remediación, métricas básicas.

Incidentes (ciberseguridad + datos)

• Definición de incidente, niveles de severidad y criterios de escalamiento.
• Roles claros: quién decide, quién comunica, quién ejecuta contención y recuperación.
• Bitácora obligatoria: línea de tiempo, acciones, responsables, evidencias técnicas.

Recomendación: ejercicios de mesa (tabletop) para probar el proceso y mejorar el plan.

Solicitudes de titulares (Ley 21.719)

• Flujo único: recepción → verificación identidad → análisis → respuesta → evidencia.
• Plantillas y criterios: qué se entrega, qué se bloquea, qué se suprime, causales.
• Registro de solicitudes con fecha, responsable y resultado.

Evidencias: registro de solicitudes, copias de respuestas, decisiones y aprobaciones.