Se necesita también un modelo de gestión que no solo cumpla con la ley, sino que se adapte a las necesidades específicas de la organización. Contar con políticas de protección de datos, protocolos de seguridad y procedimientos de gestión de incidentes, entre otros, es esencial para una correcta implementación y cumplimiento de la normativa.

Introducción
Se ha aprobado un marco normativo de protección de datos personales que, sin duda, contribuirá a salvaguardar la información de los salvadoreños frente a un uso inadecuado de su información.

Publicada en el Diario Oficial del 15 de noviembre, la normativa entró en vigencia el 23 del mismo mes, iniciando los plazos para su implementación, adecuación, adopción de medidas de protección y establecimiento de mecanismos que permitan el ejercicio de los derechos ARCO-POL.

La ley establece tres actores principales: la Agencia de Ciberseguridad del Estado, los sujetos obligados como responsables de tratamiento de datos y los titulares de estos. Cada uno de ellos desempeña un papel relevante, debiendo prepararse no solo para enfrentar los retos que implica su implementación, sino también para aprovechar las oportunidades que esta normativa genera.

A continuación, desarrollaré los principales retos y oportunidades para cada uno de estos actores.

AGENCIA DE CIBERSEGURIDAD DEL ESTADO “ACE”
Es la entidad rectora, encargada de aplicar y supervisar el cumplimiento de la ley.
Entre sus principales atribuciones tenemos la supervisión y sanción de las instituciones obligadas, garantizar la protección de datos, promover programas de sensibilización, resolver controversias, dictar políticas de seguridad, crear certificaciones, impartir capacitaciones y asesorar a entidades públicas y privadas.

RETOS:
Financiamiento, recursos humanos y plataforma tecnológica
Dado que tanto la Ley de Ciberseguridad y Seguridad de la Información como la Ley para la Protección de Datos Personales son de reciente promulgación, es necesario construir desde cero las estructuras y mecanismos idóneos para su implementación. Esto requiere dotar a la ACE de recursos suficientes en términos financieros, humanos y tecnológicos, para asegurar su buen funcionamiento y el cumplimiento de sus objetivos.

Es crucial contar con personal calificado, capaz de enfrentar las complejidades que demanda un entorno tan amplio y en constante cambio, especialmente en el ámbito digital. Para fortalecer la capacidad operativa de la ACE, es preciso adquirir herramientas para supervisar el cumplimiento normativo, como sistemas de análisis de datos, plataformas de gestión de cumplimiento, supervisión de riesgos cibernéticos y monitoreo. Además, se debe implementar un portal que incluya servicios en línea para la recepción, registro y gestión de denuncias.
Elaboración de disposiciones para la aplicación de la Ley

La ACE debe emitir, en los tres meses posteriores a la entrada en vigencia de la ley, políticas, medidas y guías que proporcionen a los sujetos obligados claridad y dirección para cumplir con los requisitos legales.

Capacitación
La autoridad de control debe jugar un rol activo en materia de capacitación. Requiere garantizar que sus propios funcionarios cuenten con los conocimientos técnicos, jurídicos y prácticos necesarios para desempeñar adecuadamente su trabajo, lo que requiere de una formación continua.

Por otro lado, debe proporcionar a los sujetos obligados y a los titulares de los datos, herramientas educativas que les permitan profundizar en el conocimiento de la ley.

Cooperación interinstitucional
Esto implica la coordinación con diversas entidades, tanto nacionales como internacionales, para asegurar la correcta aplicación y cumplimiento de la ley. Además, incluye la colaboración para compartir información, recursos y mejores prácticas.

OPORTUNIDADES:
Promoción de un entorno más seguro y confiable en el manejo de datos personales
Mediante la implementación de normativas claras, auditorías periódicas, educación y capacitación de las partes involucradas, respuesta rápida a incidentes y creación de programas de certificación.

Liderazgo en la protección de datos
Posicionar al país como un referente regional en la materia y eventualmente pueda ser considerado como un país con nivel de protección adecuado.

Mejorar la confianza pública:
Una buena aplicación de la ley incrementa la confianza de los ciudadanos en la entidad rectora y en los sujetos obligados, asegurando que sus datos están debidamente protegidos.

SUJETOS OBLIGADOS
Es toda persona natural o jurídica, de carácter público o privado, que lleve a cabo actividades relativas o conexas al tratamiento de datos personales, ya sea de manera manual, parcial o totalmente automatizado o a través de terceros.

El ámbito de aplicación de la ley no establece excepciones; todas las personas que realicen tratamientos de datos, sin importar tamaño, naturaleza o alcance, deberán cumplir con ella.

RETOS:
Adaptación a la normativa:
Los sujetos obligados deben garantizar que sus políticas y procedimientos de gestión de datos estén alineados con los nuevos requisitos legales, incluyendo los datos personales obtenidos antes de su vigencia.

Adaptarse adecuadamente a la normativa requiere diversas actividades que aseguren su cumplimiento más allá de ajustes superficiales. Es preciso realizar un diagnóstico y evaluación inicial del estado de la empresa en cuanto al tratamiento de datos para detectar áreas críticas, establecer prioridades y planificar mejoras necesarias.

Se necesita también un modelo de gestión que no solo cumpla con la ley, sino que se adapte a las necesidades específicas de la organización. Contar con políticas de protección de datos, protocolos de seguridad y procedimientos de gestión de incidentes, entre otros, es esencial para una correcta implementación y cumplimiento de la normativa.

Es prudente empezar a elaborar políticas y revisar procesos internos desde ahora, ya que la implementación de modelos de gestión implica inversión de tiempo dentro de las organizaciones.

Capacitación constante
La formación continua es crucial para cumplir con la ley. Este desafío no solo recae en los equipos de IT, sino también en los departamentos legales y de recursos humanos y dependerá de la alta dirección que toda la organización esté alineada con la normativa
Implementación de mecanismos para el ejercicio de derechos ARCO-POL

Los sujetos obligados como responsables del tratamiento deben garantizar que los titulares puedan ejercer sus derechos efectivamente, mediante mejoras tecnológicas y operativas que faciliten su cumplimiento de manera eficiente y segura.

Costos asociados
Las necesidades y costos asociados a la implementación de la ley varían significativamente según el sector y tamaño de la empresa, así como el tipo y volumen de tratamiento de información personal que realice.

OPORTUNIDADES:
Mejora en la imagen corporativa
Cumplir con la normativa vigente contribuye a mejorar la reputación de las empresas, demostrando su compromiso con la seguridad y privacidad de los datos y generando confianza entre sus usuarios y clientes.

Innovación tecnológica.
Es beneficioso aprovechar la ley como una oportunidad para innovar, desarrollando nuevos servicios y procesos que integren la protección de datos desde su concepción (Privacy by Design).
Reducción de riesgos legales
Una gestión adecuada de la privacidad evita el riesgo de sanciones severas.

TITULARES DE LOS DATOS PERSONALES

RETOS:
Conocer sus derechos
Para muchas personas, la protección de datos personales parece irrelevante hasta que se ven afectadas. Por eso, es crucial educarse y concienciar sobre la importancia de proteger su información personal y conocer sus derechos.
Seguridad en entornos digitales

No basta con que exista una ley para proteger los datos personales; las personas deben tomar medidas de seguridad, especialmente en el entorno digital. La combinación de una legislación robusta y la educación sobre prácticas seguras, como el uso de contraseñas fuertes y la actualización de software, ayuda a prevenir vulnerabilidades y ciberataques.

OPORTUNIDADES:
Mayor control sobre sus datos personales
Los titulares tienen ahora un mayor control sobre sus datos, lo que les permite ejercer sus derechos frente a los sujetos obligados.
Transparencia en el tratamiento de datos
Las personas pueden exigir mayor transparencia a las empresas sobre el procesamiento de sus datos personales, fomentando una cultura de responsabilidad.

CONCLUSIÓN:
La Ley para la Protección de Datos Personales es un avance significativo hacia la consolidación de un marco normativo que garantice la privacidad y seguridad de los datos. Su implementación plantea retos importantes para los organismos de control y los sujetos obligados, debiendo adoptar las disposiciones en plazos definidos y con claridad normativa.
Es preciso educar y sensibilizar a los titulares de los datos sobre sus derechos, fomentando su rol activo en la gestión de su información personal. El equilibrio entre regulación, cumplimiento y empoderamiento ciudadano será clave para el éxito de esta legislación

En cuanto al potencial de convertir la privacidad como diferenciador, el ejemplo de Apple es ilustrativo: la compañía no solo cumplió con las normativas legales, sino que fue más allá, convirtiendo la privacidad en un pilar estratégico con iniciativas como “App Tracking Transparency.”

1. Introducción

La evolución tecnológica ha transformado profundamente las expectativas de los consumidores al elegir productos y servicios, estableciendo nuevos estándares que las empresas deben atender para mantenerse competitivas. En este contexto, el manejo adecuado de los datos personales no solo es un imperativo ético y legal, sino una oportunidad estratégica para diferenciarse en mercados saturados y ganar la confianza del cliente. Según un estudio reciente de Cisco, el 95% de las compañías que invierten en privacidad de datos personales, también conocida como protección de datos personales, obtienen beneficios que superan los costos, con un retorno promedio de inversión de 1.6 veces. Este hallazgo confirma una realidad incuestionable: la privacidad no solo mitiga riesgos, sino que genera valor tangible.

Las empresas que integran la privacidad en su funcionamiento logran atraer nuevos clientes que valoran el manejo responsable de sus datos, fortalecen la lealtad de su clientela actual y optimizan su eficiencia operativa. En un mundo digitalizado, donde los teléfonos inteligentes superan en número a las cuentas bancarias, y tanto gobiernos como empresas dependen de flujos masivos de información, el resguardo de los datos se traduce en una ventaja competitiva medible.

En los siguientes párrafos, este artículo propone cómo las empresas en El Salvador, al armonizar estrategias empresariales con la protección de datos personales y ciberseguridad, pueden transformar el cumplimiento legal en un motor de confianza, diferenciación y expansión.

2. Cumplimiento Legal como Punto de Partida

El cumplimiento de leyes en materia de privacidad de datos y ciberseguridad es un punto de partida para construir ventajas competitivas. El marco normativo salvadoreño proporciona directrices importantes, como otorgarles derechos a las personas en El Salvador relativos al acceso, rectificación, cancelación, oposición, portabilidad y limitación sobre sus datos personales (ARCO-POL). Para ponerlo en perspectiva, estos son derechos fundamentales en estándares internacionales como el (i) Reglamento General de Protección de Datos (RGPD) en Europa; y (ii) California Consumer Privacy Rights Act (CCPA) de California, Estados Unidos.

Una empresa que integre por diseño estos conceptos en su funcionamiento diario, más allá de evitar infracciones por incumplimiento a la normativa pertinente, tendrá la oportunidad de destacar en el mercado actual, fomentando la transparencia y la confianza de sus clientes. La veracidad de esto es evidente al considerar las expectativas del consumidor actual.

3. Generación de Confianza: El Valor Estratégico de la Privacidad
   Desde la perspectiva del consumidor, un estudio del año 2023 de la Asociación Internacional de Profesionales en Privacidad (IAPP, por sus siglas en inglés) revela que el 64% de los consumidores confían más en las empresas que proporcionan información clara sobre cómo manejan sus datos personales en las políticas de privacidad.
   Por el contrario, el 33% pierde confianza en aquellas empresas que usan sus datos de manera no transparente. Más del 80% de los afectados por violaciones de datos dejan de hacer negocios con las empresas involucradas. Estas cifras exhiben que, aunque no existe un manejo perfecto de datos personales ni ciberseguridad impenetrable, las empresas que priorizan la protección de datos y adoptan prácticas preventivas refuerzan la confianza del cliente, consolidando relaciones y asegurando su crecimiento en mercados cada vez más competitivos y regulados.
4. Privacidad como Diferenciador en Mercados Competitivos

Convertir el manejo adecuado de datos personales en un diferenciador rentable es complejo y requiere inversión. Sin embargo, dicha necesidad es inevitable, dado que las empresas que ofrecen productos o servicios comúnmente lo hacen utilizando herramientas digitales, como computadoras y teléfonos inteligentes, para recolectar, procesar, almacenar o analizar información durante sus operaciones diarias. Por ejemplo, esto incluye el manejo de información (texto, audio, o video) que permita la identificación de las personas, su domicilio, nacionalidad, teléfono, dirección electrónica, datos biométricos, creencias religiosas, o salud, entre otros.

Por lo anterior, es estratégicamente importante que toda empresa diseñe un sistema eficiente para gestionar esta información. Además de prevenir riesgos, una implementación adecuada puede fortalecer la confianza del cliente y consolidar la reputación empresarial, incluso en momentos difíciles, como un incidente de ciberseguridad. En México, otro estudio de la IAPP muestra cómo el 49% de los consumidores siguen confiando en una empresa tras una violación de datos únicamente si esta demuestra un manejo transparente y responsable del incidente.

En cuanto al potencial de convertir la privacidad como diferenciador, el ejemplo de Apple es ilustrativo: la compañía no solo cumplió con las normativas legales, sino que fue más allá, convirtiendo la privacidad en un pilar estratégico con iniciativas como “App Tracking Transparency.” Ahora su marca es sinónimo de privacidad a nivel mundial y en gran parte ello les permite mantener una clientela leal y rentable en todo el mundo.

5. La Importancia de Una Estrategia Particularizada y Sostenible

Cada compañía es diferente y opera con particularidades que las distinguen y las hacen únicas. Del mismo modo, el tema de privacidad de datos debe analizarse caso por caso, de manera que las soluciones se diseñen acorde con dichas particularidades. Lo ideal es desarrollar medidas acordes al concepto “Privacidad por Diseño,” el cual se centra en incorporar de forma proactiva, integral e indisoluble la protección de datos en los sistemas, aplicaciones, productos y servicios, así como en las prácticas de negocio y procesos de la empresa. Este enfoque promueve una mentalidad proactiva, no reactiva; preventiva, no correctiva, y centrada en el usuario.

Según buenas prácticas, entre las medidas básicas a incorporar por las empresas se encuentran políticas de privacidad claras, capacitación del personal y un plan de respuesta a incidentes, entre otras. Sin embargo, es necesario realizar un análisis particularizado para cada empresa, incluso si la operación es pequeña, con el fin de diseñar una gestión de datos integral dentro de las actividades. Para empresas con operaciones más grandes, la complejidad de los elementos a considerar aumenta, y otros subtemas, como los flujos transfronterizos de datos, deberían tomarse en cuenta. Por último, a medida que pasa el tiempo o crece la empresa, es esencial actualizar los procesos y sistemas existentes para mantener su debido funcionamiento.

6. Conclusión

En conclusión, más allá de que la protección de datos es un tema ineludible para las empresas, es de mucho beneficio verlo como una oportunidad para distinguirse y poder catapultar sus operaciones locales a nuevas alturas e incluso competir en mercados internacionales que exigen de un manejo de datos equivalente a su jurisdicción para gestionar datos personales de sus ciudadanos. Desarrollar políticas de Privacidad por Diseño es la manera ideal para que las empresas puedan alinearse con estas exigencias. En cualquier caso, un enfoque proactivo, respaldado por asesoría integral de expertos debidamente calificados, permitirá a empresas en El Salvador convertir la protección de datos en un activo estratégico que impulse la innovación, fomente el desarrollo empresarial y fortalezca las relaciones con los clientes.

Los ataques exitosos no vencen la tecnología, sino que aprovechan las debilidades humanas. Estrategias como el phishing, el spear phishing, la ingeniería social o las técnicas de suplantación de identidad rara vez requieren herramientas sofisticadas; lo que buscan es explotar la confianza, la curiosidad o el desconocimiento del individuo.

En los últimos años, la transformación digital ha revolucionado la forma en que las entidades públicas y privadas tratan sus datos. Esta modernización también ha expuesto al país a un panorama de riesgos cibernéticos sin precedentes. Los ataques dirigidos contra sistemas gubernamentales y entidades estratégicas han evidenciado la creciente vulnerabilidad de las infraestructuras críticas ante actores maliciosos, algunos con capacidades de ciberinteligencia avanzadas; este riesgo se expande hacia las empresas y el público en general y se concreta en vulneraciones diarias. (Arreola, 2019).

Nos enfrentamos a un entorno donde las amenazas incluyen al robo de información, el bloqueo de sistemas mediante ataques DDOS, ransomware, keyloggers, troyanos y campañas más sofisticadas, como el espionaje digital, la alteración de datos estratégicos y el debilitamiento de la confianza pública a través de la diseminación de información manipulada.

Estas acciones no son únicamente obra de actores individuales, sino que reflejan la coordinación de redes internacionales con fines económicos, políticos y, en ocasiones, ideológicos. Los ataques recientes han mostrado la existencia de brechas significativas en la protección de datos y sistemas, lo que subraya la necesidad de estrategias robustas que combinen tecnología avanzada con inteligencia humana (HUMINT).

Normalmente, las barreras de seguridad más efectivas suelen estar en el ámbito de la tecnología, ya sea a través de sofisticados firewalls, sistemas de detección de intrusos, inteligencia artificial o herramientas de encriptación avanzada. Sin embargo, esta creencia a menudo pasa por alto una realidad contundente: la capa 8, es decir, el ser humano, sigue siendo el punto más vulnerable y, paradójicamente, el más explotado en el espectro de ciberseguridad. (López, 2024).

Los ataques exitosos no vencen la tecnología, sino que aprovechan las debilidades humanas. Estrategias como el phishing, el spear phishing, la ingeniería social o las técnicas de suplantación de identidad rara vez requieren herramientas sofisticadas; lo que buscan es explotar la confianza, la curiosidad o el desconocimiento del individuo. Un correo malicioso abierto, una contraseña compartida, descuidos en redes sociales o incluso una conversación aparentemente inocente, son suficientes para abrir las puertas a ataques devastadores. (Gian, 2018).

Por esta razón, el enfoque en ciberseguridad debe trascender el hardware y el software, poniendo énfasis en el fortalecimiento de la capa 8. Esto implica educar, capacitar y sensibilizar a las personas para que no solo reconozcan las amenazas, sino que también desarrollen habilidades críticas para neutralizarlas.

Implica construir una cultura de ciberseguridad donde cada persona, desde el usuario más básico hasta el ejecutivo más experimentado, comprenda su papel y responsabilidad en la defensa de la información y se conviertan en «activos de seguridad». De este modo, la seguridad deja de ser únicamente una cuestión técnica y se convierte en un esfuerzo colaborativo, con el humano como el primer eslabón en una cadena de protección verdaderamente robusta. Aquí es donde los protocolos HUMINT se convierten en un pilar clave. (Wilson, 2020).

Estos protocolos requieren un enfoque sistemático que combine habilidades humanas, procedimientos técnicos y un sólido marco ético; incluyendo un profundo conocimiento cultural y psicológico del entorno. Para comenzar, es esencial definir objetivos claros que alineen la recopilación de inteligencia humana con las necesidades específicas de ciberseguridad, como la prevención de ataques de ingeniería social, la detección de amenazas internas o el rastreo de actores maliciosos en entornos digitales. La selección y capacitación del personal es un paso crítico, ya que el equipo HUMINT debe incluir profesionales capacitados en análisis de comportamiento, negociación y ciberseguridad, además de contar con formación en técnicas avanzadas de recopilación y manejo de información confidencial.

La gestión de fuentes humanas es otro pilar fundamental, incluye identificar, evaluar y mantener relaciones con insiders, informantes o colaboradores externos que puedan proporcionar información relevante. Para recopilar datos, los protocolos HUMINT deben apoyarse en entrevistas estructuradas, observación directa, infiltración en comunidades digitales y encuestas internas diseñadas cuidadosamente para no comprometer la privacidad ni generar desconfianza. Asimismo, la integración de HUMINT con herramientas tecnológicas de ciberseguridad, como sistemas de análisis de patrones y alertas automatizadas, permite validar y enriquecer la información obtenida.

El análisis y procesamiento de la información recolectada es clave para convertirla en inteligencia accionable; contrastar datos mediante triangulación, identificar patrones sospechosos y generar reportes útiles para la toma de decisiones. Todo el proceso debe desarrollarse dentro de un marco ético y legal, respetando regulaciones como el GDPR y asegurando la confidencialidad de las fuentes. Finalmente, los protocolos deben evaluarse y mejorarse continuamente mediante auditorías y ajustes estratégicos, garantizando que la organización esté preparada para enfrentar amenazas emergentes. Al adoptar este enfoque integral, las organizaciones pueden fortalecer su capacidad para anticipar y mitigar riesgos, convirtiendo al factor humano de una debilidad potencial en un pilar clave de la ciberseguridad.

Aunque tradicionalmente estos protocolos han estado más asociados con entidades gubernamentales e inteligencia estatal, las empresas pueden y deben aplicar protocolos HUMINT adaptados a su contexto, especialmente si enfrentan riesgos significativos de ciberseguridad. La adopción por parte de empresas privadas depende de sus necesidades, recursos y del marco ético y legal bajo el cual operan y pueden concentrarse en los siguientes elementos:

Prevención de amenazas internas (Insider Threats):
Identificación de empleados descontentos o vulnerables que puedan filtrar información sensible o colaborar con actores externos. Esto incluye la implementación de canales de comunicación confidenciales y entrevistas estratégicas.

Protección contra ataques de ingeniería social:
Los atacantes a menudo usan ingeniería social para obtener acceso a sistemas empresariales. Un protocolo HUMINT puede ayudar a las empresas a comprender cómo operan estos actores y a educar a los empleados sobre los riesgos.
Investigación de ciberamenazas externas:

Empresas en sectores críticos, como tecnología, finanzas o infraestructura, pueden emplear HUMINT para infiltrarse en foros de la dark web donde se comercian datos robados o se planean ataques específicos.

Evaluación de socios y proveedores:
Evaluar riesgos asociados con terceros que manejan datos sensibles o acceden a los sistemas empresariales.
Recopilación de inteligencia competitiva ética:
Sin cruzar líneas legales o éticas, las empresas pueden utilizar HUMINT para entender tendencias de la industria y anticiparse a los movimientos de la competencia.

Así, la integración de HUMINT en estrategias de ciberseguridad representa una oportunidad para fortalecer la protección de activos digitales y humanos en un entorno cada vez más vulnerable; pero, implica retos relacionados con la confidencialidad y seguridad de las fuentes humanas, debiendo respetar los principios de transparencia, consentimiento informado y propósito legítimo en el tratamiento de datos.

Bibliografía:
Arreola García, A. (2019). Ciberseguridad: ¿Por qué es importante para todos?. Ciudad de México: Siglo XXI Editores.
Giant, N. (2018). Ciberseguridad para la i-generación: Usos y riesgos de las redes sociales y sus aplicaciones. Madrid: Narcea Ediciones.
Wilson, O. (2020). Intelligence Gathering: Front Line HUMINT Considerations (Hostile Environment Risk Management).

Karla Patricia Alas | Socia y Managing Partner de Estudio Kapadu Tech and Law Firm

A partir de ahora, El Salvador cuenta con el mecanismo legal y la institucionalidad, que definirá líneas de acción, y políticas de protección para estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley.

El pasado mes de noviembre de 2024, fueron aprobadas dos iniciativas de ley, por parte de la Asamblea Legislativa, que, hasta entonces, era una tarea pendiente para El Salvador y me refiero a la Ley de Ciberseguridad y Seguridad de la información, así como la Ley de Protección de Datos Personales, ya ambas publicadas en el Diario Oficial de fecha 15 de Noviembre de este 2024 y por lo tanto ya leyes de la República pues entraron en vigencia, 8 días después de su publicación.

En este artículo me referiré a la nueva Ley de Ciberseguridad, con la que se espera alcanzar un hito fundamental, en el esfuerzo que nuestro país estará haciendo para asegurar la infraestructura crítica de la información, así como la mejora, la coordinación, prevención y respuesta ante incidentes de ciberseguridad.

Hasta antes esto, era frecuente escuchar algunas fallas y brechas de seguridad de la información que están afectando a instituciones del Estado. Cierto o no, ha habido mucha especulación sobre el tema, y con ello aumento de zozobra, incertidumbre, malestar y miedo, ya que por qué no decirlo, son sentimientos latentes ante una población desprotegida hasta entonces, por la falta de regulación, ya que la información hoy por hoy es un intangible demasiado valioso y costoso en recuperar.

A partir de ahora, El Salvador cuenta con el mecanismo legal y la institucionalidad, que definirá líneas de acción, y políticas de protección para estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley.
Y en efecto, la ley debía definir por lo menos, los principios con los cuales estructurar, regular y coordinar las acciones de ciberseguridad y así prevenir las actividades relacionadas a la ciberdelincuencia.

¿Quiénes son en consecuencia los entes obligados a cumplir con la ley?

Son todos los órganos de gobierno, sus dependencias y las instituciones oficiales autónomas las municipales. Pero será obligada cualquier entidad u organismo, independientemente de su forma naturaleza o situación jurídica mediante las cuales se administran recursos públicos, bienes del estado o ejecuten actos de administración pública en general y que posean incidencia en la infraestructura crítica del Estado, incluyendo a todos los servidores públicos dentro o fuera del territorio de la República y las personas que elaboran en entidades ya mencionadas.

Importante esta aclaración porque pareciera que lo privado queda totalmente ajeno a esto, sin embargo, es ilógico pensar de esta forma. Y por ello no podemos decir que esta ley no impacta, pues nadie está exento de un incidente informático hoy día, y menos podemos alegar ignorancia de ley, y lo que sí es factible, es que una brecha de seguridad puede llegar por cualquier frente, ya sea desde una broma, una curiosidad, o con premeditación, alevosía y ventaja.

La ley considera como recursos públicos para este tópico, aquellos fondos procedentes de convenios o tratados internacionales con otros países u organismos que determinen requisitos en materia de ciberseguridad, y para es necesario implementar normativas, protocolos, lineamientos estándares y criterios técnicos que cuenten con el reconocimiento de la industria, ya sea por sus aportes a la estandarización del rubro en cuestión o que cuenten con experiencia probada a nivel internacional, siempre que esté demostrada la funcionalidad eficiencia y beneficio de dicho requerimientos o estándares en materia de ciberseguridad y seguridad de la información.

De ahí que es determinante contar con socios estratégicos, o implementar buenas prácticas que dentro de la industria de la seguridad de la información se han ejecutado y tener alianzas con terceros expertos, siendo ello clave para la consecución de este fin.
Si notamos el alcance es gigante, y otros países como por ejemplo Chile, al momento de definir sus políticas y marcos regulatorios se definieron servicios esenciales y operadores de importancia vital públicos y privados, así como se han analizado y considerado otros posibles afectados, para que el riesgo de incumplimiento sea lo menos posible.

¿Quién será la Agencia de Ciberseguridad del Estado?

Surge la necesidad de crear al ente regulador, a ser ejercido por la Agencia de Ciberseguridad del Estado, quien tendrá la obligación de garantizar la seguridad informática de los ciudadanos.
La Agencia de Ciberseguridad del Estado (en adelante ACE), será una dependencia del Estado con diferentes y variadas funciones entre ellas:

• Elaborar la política de ciberseguridad y seguridad de la información de la Nación que contiene los lineamientos y planes de acción.
• Emitir normas protocolos lineamientos estándares y criterios técnicos tanto generales como específicos basados en buenas prácticas y marcos de referencia internacional en materia de ciberseguridad
• Implementar programas de acción para responder ante amenazas o incidentes de seguridad que involucran a los sujetos obligados.
• Requerir a las entidades obligadas donde estas se hayan visto afectadas en sus sistemas informáticos equipos o infraestructuras por un incidente de ciberseguridad y ejecutará las acciones que sean necesarias para el cumplimiento de sus fines.
• 
  Surge a partir de este momento la atribución de crear un registro Nacional de amenazas e incidentes, así como calificar mediante resolución fundamentada a los operadores de infraestructuras críticas y someterlo a ratificación del Presidente de la República.
• 
  La ACE podrá retirar la calificación de los operadores de infraestructuras críticas si no cumplen con sus funciones y someterlo a ratificación del Presidente, así como podrá requerir a las entidades obligadas, que entreguen a los potenciales afectados o autoridades de investigación, información veraz sobre lo ocurrido y diseñar o implementar planes y campañas de formación ciudadana para fortalecer los pilares de la ciberseguridad.
• 
  Todo lo anterior en concordancia con la Política de Ciberseguridad y Seguridad de Información de la Nación, por ello deberá elaborar normativas, protocolos lineamientos estándares y criterios técnicos tanto generales como específicos en materia de ciberseguridad a más tardar 90 días contados a partir de la vigencia de la ley.
• 
  Además, la ACE, creará e implementará los programas de acción necesarios para responder ante las amenazas o incidentes de ciberseguridad y seguridad de la información que involucren a los sujetos obligados por la presente ley. De la misma manera, la entidad creará y administrará un Registro Nacional de Amenazas e Incidentes de Ciberseguridad.
• 
  La ACE puede tomar medidas adicionales y ordenar al infractor que adopte aquellas que fueran necesarias para restablecer la legalidad e incluso puede imponer multas coercitivas.
  La ACE tendrá un Director General y un Director de Ciberseguridad y Seguridad de la Información y las dependencias o unidades administrativas que establezca su reglamento interno y éste último al ser nombrado, asistirá al Director General en el ejercicio de sus atribuciones y facultades, en cumplimiento de la ley.
• 
  El patrimonio de la ACE será constituido por recursos que el Estado le dé, las asignaciones que anualmente se establezcan en presupuestos especiales, recursos que reciba en virtud de programas de asistencia de gobiernos u organismos nacionales e internacionales, bienes muebles e inmuebles que adquiera a cualquier título y estará sujeto a la fiscalización de la Corte de Cuentas de la República.
• 
  La ley no es muy grande, pero define inicialmente, los principios rectores, infracciones y sanciones en caso de incumplimiento, el procedimiento sancionador que se estará promoviendo en estos casos. Vale decir que las sanciones e infracciones definidas en la ley, prescribirán a los 5 años.
  Contar con una ley no es suficiente y son necesarias muchas iniciativas, pero aplaudo el hecho de que tengamos por fin un primer esfuerzo y de ahí que, los actores inmersos estos temas, debemos apoyar, ya que sumándolos todos, hacemos ciberseguridad.

El año 2024 ha sido trascendental para AFP CONFIA, pues fue el escenario de su evolución. Su imagen corporativa renovada reafirmó su liderazgo, su compromiso con la excelencia y su enfoque en brindar soluciones innovadoras a sus clientes. Bajo el lema “CONFIA siempre en tu futuro”, la compañía consolidó su posición como líder en el sector previsional salvadoreño.
“Esta transformación refleja nuestro firme compromiso con la excelencia y el servicio. Como parte del Grupo Financiero Atlántida, con una plataforma tecnológica renovada y el respaldo de un equipo altamente capacitado, reafirmamos la convicción y dedicación de cuidar el presente, mientras construimos, junto a nuestros afiliados, un futuro sólido y seguro. Este será nuestro principal enfoque en 2025”, aseguró René Hernández, Director de Comunicaciones y Mercadeo de AFP CONFIA.

Una imagen renovada para un futuro sólido
Este año, AFP CONFIA dio un paso importante al presentar su renovada imagen corporativa, un cambio visual que refleja su compromiso con la evolución, la excelencia y la innovación. Basada en tres pilares fundamentales: confianza, cercanía y compromiso, la Administradora modernizó su presencia en el mercado, y consiguió resaltar la adaptabilidad y visión de futuro de la empresa.
Además, con este cambio, CONFIA reafirmó su liderazgo en el sector previsional y su dedicación a construir un futuro sólido para sus afiliados, manteniendo siempre un enfoque centrado en la calidad del servicio y la satisfacción del cliente.

1. Confianza: respaldo por 26 años de liderazgo
   Con una trayectoria de más de 26 años en el sector previsional, la empresa ha sido un referente en El Salvador y la región, gestionando el mayor fondo de pensiones de Centroamérica y el Caribe. Esta confianza se fortalece aún más con su pertenencia al Grupo Financiero Atlántida, una organización financiera con más de 111 años de experiencia y un sólido liderazgo. El compromiso de CONFIA de cuidar el futuro de sus más de 1.8 millones de afiliados queda reflejado en cada aspecto de la renovación de su marca.
2. Cercanía: con un enfoque cada vez más cercano al cliente
   El segundo pilar es la cercanía, un valor esencial que impulsa la conexión directa y personal con los afiliados y pensionados. La nueva imagen refleja este esfuerzo por brindar un servicio más cercano, basado en la atención personalizada y la proximidad en las relaciones. CONFIA ha transformado la manera en que interactúa con sus clientes mediante la adopción de soluciones digitales, permitiendo a los afiliados realizar trámites de manera ágil, segura y desde cualquier lugar, a través de canales como la AFP CONFIA APP, mensajería instantánea y un renovado sitio web.
3. Compromiso: con un equipo altamente capacitado y una visión de futuro
   El tercer pilar es el compromiso, que se manifiesta en el equipo profesional de CONFIA, siempre preparado para ofrecer un servicio excepcional. La renovación de la imagen también refleja el enfoque de la empresa en la capacitación continua de su personal, asegurando que los colaboradores estén a la vanguardia en temas de inversión y gestión de fondos de pensiones. El ambiente laboral positivo y colaborativo fomenta la innovación y el desarrollo profesional, lo que se traduce en un servicio de alta calidad y soluciones personalizadas para los clientes.
   CONFIA reafirma su propósito de seguir construyendo un futuro sólido y seguro para sus afiliados, garantizando un servicio de excelencia y manteniendo su liderazgo en el sector previsional.
   Para conocer más sobre CONFIA, visita www.confia.com o búscalos en sus redes sociales como AFP CONFIA. Conoce más sobre Grupo Financiero Atlántida en www.grupofinancieroatlantida.com