A partir de la entrada en vigor de la Ley de Ciberseguridad y Seguridad de la Información y la Ley para la Protección de Datos Personales, junto con las nuevas normas del Banco Central de Reserva, las organizaciones salvadoreñas deben adaptarse a un entorno regulatorio más exigente. Estas disposiciones buscan fortalecer la protección de los datos personales, la seguridad de la información y la continuidad operativa, planteando nuevos retos para las empresas a nivel nacional.
Retos clave para el cumplimiento:
Las empresas salvadoreñas deben hacer ajustes profundos tanto legales como técnicos para cumplir con las normativas, como establecer estructuras sólidas de gobernanza, adoptar una cultura de seguridad digital y realizar diagnósticos integrales de cumplimiento. Mario Espinal, Team Leader de Cumplimiento en SISAP, destaca varios de los desafíos principales para las organizaciones:
- Adecuación legal y técnica:
Las empresas deben actualizar políticas internas, contratos y crear una estructura de gobernanza de datos para cumplir con las leyes de protección de datos y las normas NRP-23 y NRP-24. Es esencial establecer roles como el Oficial de Protección de Datos (DPO) y crear un comité de seguridad de la información. - Culturas organizacionales débiles en ciberseguridad:
La falta de conciencia sobre la importancia de la seguridad digital es un obstáculo común. Se recomienda implementar programas de concientización, simulacros y capacitar al personal sobre privacidad de datos, seguridad de la información y manejo responsable de datos sensibles. - Escasez de recursos especializados:
La carencia de profesionales en ciberseguridad limita la respuesta ante incidentes. La capacitación continua y la certificación del personal interno, así como la colaboración con proveedores especializados, son fundamentales para mejorar la capacidad de respuesta. - Gestión de continuidad del negocio:
Es crucial contar con Planes de Continuidad de Negocio (BCP) y Planes de Recuperación ante Desastres (DRP) alineados a las nuevas normativas. La clasificación de activos críticos y la realización de pruebas periódicas son claves para garantizar la capacidad de la organización de mantenerse operativa tras un incidente.
“Estas leyes marcan un antes y un después en la gestión de la información. La alta gerencia debe asumir este reto como una prioridad estratégica”, afirma Espinal.
