Cumple la Ley 21.663 con un partner que Microsoft audita en seguridad

La Ley Marco de Ciberseguridad ya se fiscaliza y las multas llegan a 40.000 UTM. Implementamos las capacidades que la ley exige con el ecosistema Microsoft que tu empresa ya licencia, respaldados por especializaciones de seguridad auditadas por Microsoft y certificación ISO 27001.

40.000

UTM

Multa máxima

01

marzo 2025

Fecha de vigencia plena

30

minutos

Diagnóstico inicial sin costo

Agenda tu sesión de 30 minutos sin costo

Te entregamos una hoja de ruta con tus brechas reales. Sin compromiso.




(Solo se permite correos corporativos)






La ley no se cumple con un informe legal, se cumple con un entorno que produce evidencia

La mayoría de las organizaciones ya dio el primer paso frente a la Ley 21.663: pidió a legal un análisis, revisó si califica como Operador de Importancia Vital, tal vez nombró a un encargado. Ese trabajo es necesario y no alcanza. Cuando la ANCI fiscaliza, no pide una opinión jurídica. Pide evidencia técnica: logs datados, un registro de riesgos vivo, un procedimiento de reporte que funcione en 3 horas.

Cuatro brechas concentran el riesgo en las empresas que ya deberían estar cumpliendo:

No hay un procedimiento de reporte de incidentes que resista los plazos. La ley exige notificar al CSIRT Nacional en 3 horas y actualizar en 72. Sin detección automatizada ni responsables definidos antes del ataque, ese plazo se incumple el primer día.

Microsoft 365 está contratado hace años, con Defender, Sentinel y Purview sin configurar. Las capacidades que la ley pide en la práctica ya están licenciadas. Nadie las activó para producir la evidencia que exige la fiscalización.

No existe un registro de riesgos ni una postura de seguridad documentada. La gestión de riesgos que la ley obliga a mantener es un proceso continuo, no un PDF de una consultora archivado hace dos años.

El control de accesos e identidades no está al nivel que la ley supone. Cuentas privilegiadas sin MFA, accesos remotos expuestos y dispositivos sin política de cumplimiento son exactamente los hallazgos que agravan una sanción.

No necesitas comprar otra plataforma de ciberseguridad. Necesitas activar la que ya pagas

El mercado te va a ofrecer una herramienta nueva por cada obligación de la ley. Un SIEM por aquí, un gestor de identidades por allá, una plataforma de compliance por separado. La mayoría de las empresas chilenas que ya tienen Microsoft 365 en su plan E3 o E5 poseen las capacidades para cumplir gran parte de la Ley 21.663 sin una licencia adicional. El trabajo no es comprar, es configurar, operar y documentar. Ese es nuestro negocio: el servicio, no venderte software.

Qué entrega XMS

Implementamos y operamos el cumplimiento técnico de la Ley 21.663 dentro de tu entorno Microsoft, mapeado obligación por obligación:

  • Reporte de incidentes en plazo. Microsoft Sentinel y Defender XDR configurados para detectar, correlacionar y documentar incidentes con sello de tiempo, más un procedimiento de notificación al CSIRT que cabe en la ventana de 3 horas.
  • Gestión continua de riesgos. Diagnóstico de brechas contra el modelo Zero Trust y un registro de riesgos que se mantiene, no que se archiva.
  • Control de identidades y accesos. Microsoft Entra ID con MFA, acceso condicional y revisión de cuentas privilegiadas.
  • Cumplimiento de dispositivos. Microsoft Intune para asegurar que los equipos que tocan sistemas críticos cumplen la política.
  • Protección del dato. Microsoft Purview para clasificar la información sensible y aplicar políticas de retención y prevención de fuga.
  • Operación gestionada. SOC con monitoreo, administración de controles y respuesta a incidentes bajo SLA definido.

Metodología

Tres fases con entregables concretos en cada etapa

  1. Evaluación. Diagnóstico de tu postura frente a la Ley 21.663. Determinamos si eres prestador de servicios esenciales o potencial OIV, medimos la brecha entre tus controles actuales y las obligaciones de la ley, y priorizamos por riesgo. Entregable: informe ejecutivo con hallazgos priorizados y hoja de ruta.
  2. Implementación. Activamos y configuramos las capacidades del stack Microsoft: Entra ID, Defender XDR, Sentinel, Intune y Purview. Dejamos operativo el procedimiento de reporte de incidentes y el registro de riesgos. Entregable: entorno configurado y documentado, listo para fiscalización.
  3. Servicios gestionados. Operamos el entorno con monitoreo continuo, administración de controles y respuesta a incidentes bajo SLA. Entregable: SOC activo, reportes periódicos y evidencia auditable en cada ciclo.

El plazo total se ajusta a las licencias existentes y al tamaño de la organización, y queda escrito antes de empezar.

Por qué XMS

Las certificaciones que la ley supone, auditadas por Microsoft

La Ley 21.663 exige gestión de identidades, seguridad del dato, protección contra amenazas y seguridad en la nube. Esos son, exactamente, los dominios en los que Microsoft audita y certifica a sus partners. XMS los tiene acreditados:

  • Especializaciones avanzadas de seguridad auditadas por Microsoft en seguridad en la nube, administración de identidad y acceso, seguridad de los datos, protección contra amenazas y modernización del punto de conexión. Es el nivel más alto de validación que Microsoft otorga, y cada una se audita con equipo certificado y proyectos comprobados.
  • Certificación ISO 27001, el estándar internacional de gestión de seguridad de la información, más ISO 9001 de calidad.
  • Proveedor CSP Tier 1 de Microsoft, con gestión directa del licenciamiento, sin intermediarios.
  • Respaldo del grupo TIVIT-ALMAVIVA, uno de los principales grupos tecnológicos de América Latina, con capacidad de escala regional.

Un estudio jurídico interpreta la ley. Un proveedor de ciberseguridad genérico vende una herramienta. XMS es el partner que Microsoft audita en los mismos dominios de seguridad que la Ley 21.663 exige, y que además opera tu entorno en el día a día.

30 minutos pueden ahorrarte hasta 40.000 UTM

El punto de partida más barato para saber dónde estás

La Ley 21.663 ya se fiscaliza. Un proyecto de cumplimiento bien hecho toma semanas o meses según tu punto de partida, y ese punto de partida es justo lo que mide el diagnóstico.

Es una conversación de 30 minutos más un informe ejecutivo. No tiene costo ni letra chica. Evaluamos tu exposición frente a la ley, identificamos las brechas más urgentes y te entregamos una hoja de ruta priorizada. Si decides avanzar, lo conversamos. Si no, el informe queda contigo.

Completa el formulario al inicio de la página y agenda tu diagnóstico. Te contactamos en menos de 24 horas hábiles para coordinar la sesión

La ANCI ya fiscaliza. Cada mes sin cumplir es un mes de exposición.

La Ley 21.663 está vigente desde marzo de 2025, con multas de hasta 40.000 UTM. Un proyecto de cumplimiento técnico bien hecho toma semanas o meses según tu punto de partida. La conversación de 30 minutos no compromete a nada y te deja un informe accionable. Ese es el punto de partida más barato que vas a encontrar.

Preguntas frecuentes

No. XMS no tiene una plataforma propia que venderte. Implementamos y operamos las capacidades de cumplimiento dentro del ecosistema Microsoft que tu empresa ya licencia. Nuestro negocio es el servicio, no una licencia adicional.

El trabajo legal define qué obligaciones te aplican. El trabajo técnico las hace cumplir. La ANCI fiscaliza evidencia técnica: logs, registros de riesgo, procedimientos de reporte que funcionan. Ahí es donde entra XMS, y es una capa distinta de la asesoría jurídica.

No. Es una conversación de 30 minutos más un informe ejecutivo. Lo ofrecemos porque es la mejor forma de mostrar cómo trabajamos. Si después decides avanzar, lo conversamos. Si no, el informe queda contigo.

Sí. El diagnóstico evalúa tu entorno actual sea cual sea tu calificación, y determina si eres prestador de servicios esenciales o potencial OIV. Esa definición es parte de lo que entrega el informe.

Igual podemos ayudarte. El diagnóstico evalúa tu entorno actual sea cual sea, y la hoja de ruta incluye qué necesitas y por qué, sin obligarte a una ruta específica.

No. La ley alcanza a operadores de distintos tamaños en sectores regulados. El alcance del proyecto se ajusta al tamaño y al punto de partida de cada organización, y eso queda escrito antes de empezar.

De forma mensual o anual en moneda local, con SLA definidos. El detalle se ajusta al alcance que salga del diagnóstico y queda escrito antes de empezar.

Depende del tamaño de la empresa y del estado inicial, que es justo lo que mide el diagnóstico. Una organización con Microsoft 365 ya implementado avanza más rápido, porque gran parte de las capacidades ya están licenciadas.

Lectura que puede ser de tu interés

También te puede interesar

Somos especialistas en tecnologías Microsoft

Años de experiencia

Clientes

Proyectos ganados

Contratos CSP

Contratos de soporte

Soporte Microsoft Empresas

Soporte Microsoft

Licencias Microsoft para empresas

Licencias Microsoft

Microsoft Fast Track Ready Partner

Microsoft 365 Fast Track Ready

Consultoría Microsoft para empresas

banner web generico v

Certificaciones