01/Infraestructura crítica · Chile + LATAM
Protegemos la operación que no puede detenerse.
Ciberseguridad industrial y cumplimiento regulatorio para organizaciones OIV, empresas reguladas y operadores de infraestructura crítica en Chile y LATAM.
- Respuesta < 24 h
- NDA previo
- Propuesta en 48 h
- Chile y LATAM
- L5Red corporativaERP · Correo · Usuarios · Internet
- L4Operaciones y logísticaPlanificación · MES · Historiadores replicados
- L3.5DMZ industrial· punto de controlServidor de salto · Antivirus relay · Réplica de datos
- L3Supervisión de plantaSCADA · HMI · Historian · Estación de ingeniería
- L2–L1ControlPLC · RTU · IED · Sistemas instrumentados de seguridad
- L0Proceso físicoSensores · Actuadores · Válvulas · Motores
Referencia ilustrativa — el diseño de zonas y conductos se define por planta.
03/Capacidades
Tres frentes de trabajo, un mismo estándar de evidencia.
- 03.1
OT/ICS y resiliencia operacional
- Problema
- Redes industriales planas, convergencia TI/OT sin control y activos sin inventario.
- Intervención
- Assessment IEC 62443, segmentación por zonas y conductos, inventario OT y TableTop industrial.
- Entregable
- Arquitectura objetivo, catálogo de activos y plan de implementación por fases sin detener producción.
- 03.2
Regulación y gobierno
- Problema
- Obligaciones de Ley 21.663 y ANCI sin mapa de cumplimiento ni evidencia auditable.
- Intervención
- GAP Multi-Norma, implementación ISO 27001, Plan Director y gestión de riesgos.
- Entregable
- Matriz de cumplimiento con evidencias, brechas priorizadas y roadmap presentable a directorio.
- 03.3
Dirección y respuesta
- Problema
- Sin liderazgo ejecutivo de ciberseguridad ni plan de respuesta ejercitado.
- Intervención
- vCISO con cadencia mensual, TableTop ejecutivo y preparación de respuesta a incidentes.
- Entregable
- Registro de riesgos, reporte de una página para directorio y plan de crisis validado.
Ethical hacking, seguridad de IA, formación y programas para PyMEs operan como capacidades complementarias dentro de estos tres frentes.
04/Diagnóstico de entrada
GAP Assessment Ejecutivo Multi-Norma
Evaluamos la organización contra Ley 21.663, ANCI, ISO 27001, IEC 62443 y NIST CSF en un único proceso de 15 a 21 días. El resultado es el documento de la derecha: matriz de cumplimiento con evidencia, brechas priorizadas y un horizonte de remediación a 30, 90 y 365 días, listo para directorio.
Evaluar mi organización| Dominio | Estado | Prioridad |
|---|---|---|
| Gobierno y roles | parcial | P2 |
| Inventario de activos | brecha | P1 |
| Segmentación TI/OT | brecha | P1 |
| Gestión de incidentes | parcial | P2 |
| Continuidad operacional | conforme | — |
Horizonte de remediación
05/Caso · anonimizado bajo NDA
Energía · Corporación · 21 días
OIV energético — Diagnóstico Ley 21.663 en 21 días
Operador de Importancia Vital del sector eléctrico requería preparación ante ANCI con plazo ajustado. Sin inventario consolidado, sin mapa de cumplimiento.
GAP Multi-Norma simultáneo contra Ley 21.663, ANCI 9 Básicos, IEC 62443 y NIST CSF. Talleres ejecutivos con CIO + CISO + Operaciones + Riesgo. Validación con muestra de evidencias.
- Marcos aplicados
- Ley 21.663 · ANCI · IEC 62443 · NIST CSF
Lo entregado
- 01Matriz de cumplimiento de 187 controles con evidencia
- 02Plan de remediación priorizado (acciones inmediatas a 30 días + roadmap a 12 meses)
- 03Diagnóstico de brechas críticas con cuantificación de riesgo
- 04Sesión de presentación al Comité de Auditoría
- 05Estimación de inversión necesaria para certificación
Referencias disponibles bajo acuerdo de confidencialidad durante el proceso de due diligence. Ver todos los casos →
06/Método
Inventariamos activos, verificamos evidencias y priorizamos lo que reduce exposición operacional.
- 01
Entendimiento
Contexto operacional, obligaciones regulatorias y alcance del trabajo.
- 02
Evidencia
Levantamiento de activos, revisión documental y validación con muestras reales.
- 03
Evaluación
Contraste contra los marcos aplicables y cuantificación de brechas por riesgo.
- 04
Roadmap
Plan priorizado por riesgo y esfuerzo, con presentación ejecutiva y seguimiento.
07/Sectores
Cada sector tiene un riesgo dominante distinto.
Energía y utilities
Disponibilidad del suministro, telecontrol de subestaciones y obligaciones OIV ante ANCI.
Gran minería
Faenas remotas, acceso de proveedores y ventanas de mantenimiento limitadas para intervenir OT.
Puertos y logística
Continuidad de TOS y grúas, interdependencia público-privada y cadena logística expuesta.
Servicios esenciales del Estado
Cumplimiento obligatorio de Ley 21.663, reporte a CSIRT y modernización con presupuesto acotado.
También trabajamos con banca, salud y telecomunicaciones.
08/Práctica certificada
Liderado por Sebastián Vargas.
Más de 20 años en ciberseguridad ofensiva y defensiva, con una red de consultores asociados certificados. Estas seis credenciales respaldan directamente el trabajo que entregamos; el registro completo de 42 está disponible en la página del equipo.
Registro completo →- GRIDGIAC / SANSRespuesta y defensa en sistemas industriales
- MITRE ATT&CK for ICSMITREModelado de adversarios en entornos OT
- C|CISOEC-CouncilGobierno y dirección de programas de seguridad
- ISO 27001 Lead AuditorIRCAEvaluación independiente del SGSI
- ISO 27001 Lead ImplementerPECBImplementación del SGSI hasta certificación
- CPENTEC-CouncilPruebas de penetración en redes segmentadas
09 / Contacto
¿Qué operación necesita proteger?
En una reunión de 30 minutos revisamos contexto, alcance y obligaciones. Propuesta formal en un máximo de 48 horas hábiles. Conversación directa, sin call center; NDA disponible antes de compartir información técnica.