Con la entrada en vigor de la Ley de Ciberseguridad y Seguridad de la Información, la Ley para la Protección de Datos Personales y las nuevas normas técnicas del Banco Central de Reserva (NRP-23 y NRP-24), las organizaciones salvadoreñas enfrentan un nuevo escenario regulatorio. Este marco busca fortalecer la seguridad de la información, la protección de los datos personales y la continuidad operativa a nivel nacional.
Para cumplir con estas disposiciones, las empresas deben realizar ajustes profundos tanto legales como técnicos, implementar estructuras sólidas de gobernanza, y adoptar una cultura organizacional orientada a la seguridad digital.
Principales desafíos para las organizaciones ante nuevas leyes
Según análisis recientes de Sistemas Aplicativos (SISAP), El Salvador ha registrado un aumento significativo de ataques tipo phishing, ransomware y explotación de vulnerabilidades. Los sectores más expuestos incluyen el financiero, el gubernamental y el de servicios.
Ante este panorama y la presencia de estas nuevas leyes, Mario Espinal, Team Leader de Cumplimiento en SISAP, comparte los principales desafíos que las organizaciones deberán afrontar:
Adecuación legal y técnica: cumplir con los requerimientos legales requiere ajustes en políticas internas, infraestructura tecnológica y estructuras de gobernanza para esto deben considerar:
Realizar un diagnóstico integral de cumplimiento para evaluar el estado actual de la organización frente a los requerimientos de la Ley de Protección de Datos Personales y las normas técnicas NRP-23 y NRP-24, revisando políticas de privacidad, contratos, medidas de seguridad y roles relacionados con el tratamiento de datos personales.
Actualizar o crear políticas internas y contratos como por ejemplo políticas de privacidad, avisos legales, cláusulas contractuales con terceros y procedimientos internos para reflejar las nuevas obligaciones legales y técnicas.
Establecer una estructura de gobernanza de datos que defina y asigne roles como el Oficial de Protección de Datos (DPO), así como conformar un comité de seguridad de la información que supervise el cumplimiento normativo y la gestión de riesgos en toda la organización.
Culturas organizacionales débiles en ciberseguridad: muchas organizaciones carecen de conciencia sobre la importancia de proteger datos e infraestructura crítica, para esto se recomienda:
Implementar programas de concientización continua, desarrollando capacitaciones periódicas para el personal sobre temas clave como privacidad de datos, seguridad de la información, detección de amenazas y manejo responsable de información sensible.
Integrar la ciberseguridad en la cultura organizacional incorporarando principios de seguridad y protección de datos en los valores corporativos, alineando la gestión del talento con buenas prácticas en ciberseguridad y cumplimiento.
Realizar simulacros y campañas internas de sensibilización mediante ejercicios como pruebas de phishing, simulacros de incidentes y actividades educativas que refuercen el comportamiento seguro entre los colaboradores.
Falta de recursos especializados: la escasez de profesionales en ciberseguridad y protección de datos limita la capacidad de respuesta ante incidentes.
Capacitar y certificar al personal interno para desarrollar competencias técnicas del equipo mediante cursos y certificaciones en normas como ISO 27001, protección de datos personales, gestión de riesgos tecnológicos y respuesta a incidentes.
Externalizar funciones especializadas de forma estratégica contratando proveedores de servicios gestionados en ciberseguridad (MSSP) o asesores expertos que apoyen en el cumplimiento normativo y técnico mientras se forma el talento interno.
Apoyar y fomentar alianzas con instituciones académicas y programas de formación, como por ejemplo SISAP cuenta con una academia llamada IRSI en donde cada año certifica profesionales de informática para que puedan profundizar conocimientos en Ciberseguridad y puedan de esta forma sumarse a la fuerza laboral especializada en Ciberseguridad.
Gestión de continuidad del negocio (BCP/DRP): implementar planes robustos de recuperación tras desastres sigue siendo un punto débil en muchas entidades.
Elaborar e implementar Planes de Continuidad de Negocio (BCP) y Planes de Recuperación ante Desastres (DRP) alineados a las normas NRP-23 y NRP-24, que incluyan procedimientos específicos para eventos cibernéticos, cortes de servicio o pérdida de datos críticos.
Clasificar activos críticos y definir prioridades de recuperación, se deben identificar los sistemas y procesos clave para el negocio, así como establecer tiempos objetivos de recuperación (RTO/RPO) y responsables para cada escenario contemplado.
Realizar pruebas periódicas de continuidad operativa y restauración, ejecutando simulacros de forma regular para validar la eficacia de los planes, asegurando la capacidad de la organización para responder adecuadamente ante interrupciones.
“Estas leyes marcan un antes y un después en la forma en que las organizaciones deben gestionar su información. Ya no es solo un tema técnico, es una prioridad estratégica que parte desde la Alta Gerencia”, explicó Espinal.