Alma Solís
asolis@noticiasdepanama.com
El Gobierno de Panamá oficializó nuevas medidas obligatorias de ciberseguridad que deberán aplicar las entidades públicas para reforzar la protección de sus sistemas tecnológicos frente a ciberataques e incidentes informáticos.
La publicación de este decreto había sido anunciado unos días antes , luego que se confirmaran al menos cinco instituciones publicas que han sido vulneradas como el Ministerio de Economía y Finanzas, la Caja del Seguro Social, Ministerio de Salud y de Trabajo y el portal Panamá Emprende.
Las disposiciones fueron establecidas mediante una resolución de la Autoridad Nacional para la Innovación Gubernamental (AIG), publicada en Gaceta Oficial, y serán de cumplimiento obligatorio para entidades del Gobierno Central, instituciones autónomas, semiautónomas y empresas estatales.
La normativa obliga a las entidades a implementar una serie de controles mínimos de seguridad tecnológica. Entre las principales medidas que deberán aplicar están:
- Mantener un inventario actualizado de servidores, aplicaciones y equipos conectados a internet.
- Instalar y actualizar parches de seguridad en sistemas tecnológicos expuestos.
- Aplicar autenticación multifactor (MFA) para accesos remotos, VPN, correos institucionales y plataformas en la nube.
- Utilizar únicamente sistemas operativos vigentes y con soporte del fabricante.
- Mantener programas de protección contra malware en computadoras y servidores.
- Implementar filtros para bloquear páginas maliciosas, phishing y descargas peligrosas.
- Separar servicios críticos mediante zonas desmilitarizadas (DMZ).
- Restringir accesos administrativos directos desde internet a sistemas sensibles.
- Realizar al menos una prueba anual de penetración externa sobre sistemas expuestos a internet.
- Reforzar la seguridad de correos institucionales para detectar enlaces fraudulentos y suplantación de identidad.
La resolución también establece que las entidades deberán entregar a la AIG, en un plazo de 30 días calendario, un informe sobre el cumplimiento de estas medidas. En caso de no cumplirlas, deberán presentar un plan de acción que tendrá que ejecutarse en un máximo de 45 días calendario.
El documento indica además que municipios, juntas comunales y consejos provinciales o comarcales podrán utilizar estas medidas como referencia técnica para fortalecer sus propios sistemas tecnológicos.
La decisión ocurre en medio de una creciente preocupación internacional por ataques cibernéticos dirigidos contra infraestructuras públicas y sistemas estatales, especialmente aquellos vinculados con información sensible y servicios digitales.
Discussion about this post