Artículo

¿Qué esperar de la nueva Ley de Ciberseguridad en El Salvador?

Publicado

hace 4 días

el

Karla Patricia Alas | Socia y Managing Partner de Estudio Kapadu Tech and Law Firm

A partir de ahora, El Salvador cuenta con el mecanismo legal y la institucionalidad, que definirá líneas de acción, y políticas de protección para estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley.


El pasado mes de noviembre de 2024, fueron aprobadas dos iniciativas de ley, por parte de la Asamblea Legislativa, que, hasta entonces, era una tarea pendiente para El Salvador y me refiero a la Ley de Ciberseguridad y Seguridad de la información, así como la Ley de Protección de Datos Personales, ya ambas publicadas en el Diario Oficial de fecha 15 de Noviembre de este 2024 y por lo tanto ya leyes de la República pues entraron en vigencia, 8 días después de su publicación.


En este artículo me referiré a la nueva Ley de Ciberseguridad, con la que se espera alcanzar un hito fundamental, en el esfuerzo que nuestro país estará haciendo para asegurar la infraestructura crítica de la información, así como la mejora, la coordinación, prevención y respuesta ante incidentes de ciberseguridad.


Hasta antes esto, era frecuente escuchar algunas fallas y brechas de seguridad de la información que están afectando a instituciones del Estado. Cierto o no, ha habido mucha especulación sobre el tema, y con ello aumento de zozobra, incertidumbre, malestar y miedo, ya que por qué no decirlo, son sentimientos latentes ante una población desprotegida hasta entonces, por la falta de regulación, ya que la información hoy por hoy es un intangible demasiado valioso y costoso en recuperar.


A partir de ahora, El Salvador cuenta con el mecanismo legal y la institucionalidad, que definirá líneas de acción, y políticas de protección para estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley.
Y en efecto, la ley debía definir por lo menos, los principios con los cuales estructurar, regular y coordinar las acciones de ciberseguridad y así prevenir las actividades relacionadas a la ciberdelincuencia.


¿Quiénes son en consecuencia los entes obligados a cumplir con la ley?


Son todos los órganos de gobierno, sus dependencias y las instituciones oficiales autónomas las municipales. Pero será obligada cualquier entidad u organismo, independientemente de su forma naturaleza o situación jurídica mediante las cuales se administran recursos públicos, bienes del estado o ejecuten actos de administración pública en general y que posean incidencia en la infraestructura crítica del Estado, incluyendo a todos los servidores públicos dentro o fuera del territorio de la República y las personas que elaboran en entidades ya mencionadas.


Importante esta aclaración porque pareciera que lo privado queda totalmente ajeno a esto, sin embargo, es ilógico pensar de esta forma. Y por ello no podemos decir que esta ley no impacta, pues nadie está exento de un incidente informático hoy día, y menos podemos alegar ignorancia de ley, y lo que sí es factible, es que una brecha de seguridad puede llegar por cualquier frente, ya sea desde una broma, una curiosidad, o con premeditación, alevosía y ventaja.


La ley considera como recursos públicos para este tópico, aquellos fondos procedentes de convenios o tratados internacionales con otros países u organismos que determinen requisitos en materia de ciberseguridad, y para es necesario implementar normativas, protocolos, lineamientos estándares y criterios técnicos que cuenten con el reconocimiento de la industria, ya sea por sus aportes a la estandarización del rubro en cuestión o que cuenten con experiencia probada a nivel internacional, siempre que esté demostrada la funcionalidad eficiencia y beneficio de dicho requerimientos o estándares en materia de ciberseguridad y seguridad de la información.


De ahí que es determinante contar con socios estratégicos, o implementar buenas prácticas que dentro de la industria de la seguridad de la información se han ejecutado y tener alianzas con terceros expertos, siendo ello clave para la consecución de este fin.
Si notamos el alcance es gigante, y otros países como por ejemplo Chile, al momento de definir sus políticas y marcos regulatorios se definieron servicios esenciales y operadores de importancia vital públicos y privados, así como se han analizado y considerado otros posibles afectados, para que el riesgo de incumplimiento sea lo menos posible.


¿Quién será la Agencia de Ciberseguridad del Estado?


Surge la necesidad de crear al ente regulador, a ser ejercido por la Agencia de Ciberseguridad del Estado, quien tendrá la obligación de garantizar la seguridad informática de los ciudadanos.
La Agencia de Ciberseguridad del Estado (en adelante ACE), será una dependencia del Estado con diferentes y variadas funciones entre ellas:

  • Elaborar la política de ciberseguridad y seguridad de la información de la Nación que contiene los lineamientos y planes de acción.
  • Emitir normas protocolos lineamientos estándares y criterios técnicos tanto generales como específicos basados en buenas prácticas y marcos de referencia internacional en materia de ciberseguridad
  • Implementar programas de acción para responder ante amenazas o incidentes de seguridad que involucran a los sujetos obligados.
  • Requerir a las entidades obligadas donde estas se hayan visto afectadas en sus sistemas informáticos equipos o infraestructuras por un incidente de ciberseguridad y ejecutará las acciones que sean necesarias para el cumplimiento de sus fines.

  • Surge a partir de este momento la atribución de crear un registro Nacional de amenazas e incidentes, así como calificar mediante resolución fundamentada a los operadores de infraestructuras críticas y someterlo a ratificación del Presidente de la República.

  • La ACE podrá retirar la calificación de los operadores de infraestructuras críticas si no cumplen con sus funciones y someterlo a ratificación del Presidente, así como podrá requerir a las entidades obligadas, que entreguen a los potenciales afectados o autoridades de investigación, información veraz sobre lo ocurrido y diseñar o implementar planes y campañas de formación ciudadana para fortalecer los pilares de la ciberseguridad.

  • Todo lo anterior en concordancia con la Política de Ciberseguridad y Seguridad de Información de la Nación, por ello deberá elaborar normativas, protocolos lineamientos estándares y criterios técnicos tanto generales como específicos en materia de ciberseguridad a más tardar 90 días contados a partir de la vigencia de la ley.

  • Además, la ACE, creará e implementará los programas de acción necesarios para responder ante las amenazas o incidentes de ciberseguridad y seguridad de la información que involucren a los sujetos obligados por la presente ley. De la misma manera, la entidad creará y administrará un Registro Nacional de Amenazas e Incidentes de Ciberseguridad.

  • La ACE puede tomar medidas adicionales y ordenar al infractor que adopte aquellas que fueran necesarias para restablecer la legalidad e incluso puede imponer multas coercitivas.
    La ACE tendrá un Director General y un Director de Ciberseguridad y Seguridad de la Información y las dependencias o unidades administrativas que establezca su reglamento interno y éste último al ser nombrado, asistirá al Director General en el ejercicio de sus atribuciones y facultades, en cumplimiento de la ley.

  • El patrimonio de la ACE será constituido por recursos que el Estado le dé, las asignaciones que anualmente se establezcan en presupuestos especiales, recursos que reciba en virtud de programas de asistencia de gobiernos u organismos nacionales e internacionales, bienes muebles e inmuebles que adquiera a cualquier título y estará sujeto a la fiscalización de la Corte de Cuentas de la República.

  • La ley no es muy grande, pero define inicialmente, los principios rectores, infracciones y sanciones en caso de incumplimiento, el procedimiento sancionador que se estará promoviendo en estos casos. Vale decir que las sanciones e infracciones definidas en la ley, prescribirán a los 5 años.
    Contar con una ley no es suficiente y son necesarias muchas iniciativas, pero aplaudo el hecho de que tengamos por fin un primer esfuerzo y de ahí que, los actores inmersos estos temas, debemos apoyar, ya que sumándolos todos, hacemos ciberseguridad.
Lee tambien
Click para comentar

Popular

Salir de la versión móvil