El Salvador endurece su marco legal en ciberseguridad y protección de datos
- Walter Rivera
- hace 3 horas
- 2 Min. de lectura
El avance normativo en materia de ciberseguridad y protección de datos en El Salvador está marcando un punto de inflexión para el sector empresarial.
(M&T)-. Con la entrada en vigor de la Ley de Ciberseguridad, la Ley de Protección de Datos Personales y las nuevas normas técnicas del Banco Central de Reserva (NRP-23 y NRP-24), las organizaciones deben realizar un giro estratégico para garantizar cumplimiento, continuidad operativa y protección de la información.
Este nuevo marco legal exige ajustes tanto técnicos como organizacionales. Desde la designación de responsables, actualización de políticas internas, hasta la conformación de estructuras de gobernanza y planes de recuperación ante desastres, el impacto es transversal. Para empresas de todos los tamaños, estas exigencias representan un reto… pero también una oportunidad para elevar el estándar de seguridad digital.
Los principales desafíos para cumplir la normativa
De acuerdo con análisis de SISAP, los sectores financiero, gubernamental y de servicios son los más expuestos actualmente a ataques como phishing, ransomware y explotación de vulnerabilidades. Por ello, se vuelve urgente:
Realizar diagnósticos de cumplimiento frente a las nuevas normativas
Actualizar políticas de privacidad y contratos con terceros
Designar Oficiales de Protección de Datos (DPO) y conformar comités de seguridad
“Estas leyes marcan un antes y un después en la forma en que las organizaciones deben gestionar su información. Ya no es solo un tema técnico, es una prioridad estratégica que parte desde la Alta Gerencia”, afirma Mario Espinal, Team Leader de Cumplimiento en SISAP.
El problema no es solo técnico: también es cultural
Uno de los puntos críticos es la falta de conciencia organizacional sobre la ciberseguridad. Muchas empresas aún no integran este tema en su cultura corporativa. Por ello se recomienda:
Programas de formación y concientización continua
Simulacros internos y pruebas de phishing dirigidas al personal
Alineación de los valores corporativos con principios de seguridad y cumplimiento
Escasez de talento y alianzas estratégicas
La falta de profesionales especializados sigue siendo una barrera. Para enfrentar esta realidad, se propone:
Capacitar y certificar al personal interno en normas como ISO 27001
Contratar proveedores especializados o MSSP como medida temporal mientras se forma talento
Apostar por alianzas académicas, como la IRSI Academy de SISAP, que cada año certifica nuevos especialistas
Continuidad operativa: otro punto débil
Las nuevas normas NRP-23 y NRP-24 también exigen planes robustos de continuidad del negocio (BCP) y recuperación ante desastres (DRP). Las organizaciones deben:
Clasificar activos críticos y establecer prioridades de recuperación (RTO y RPO)
Ejecutar simulacros reales para validar tiempos de respuesta
Alinear los procedimientos ante incidentes cibernéticos, cortes o pérdida de datos
Estas acciones no solo protegen la infraestructura crítica, también aseguran la confianza de clientes, socios y entes reguladores.