El panorama regulatorio de ciberseguridad en Costa Rica se ha endurecido significativamente. La Ley de Proteccion de la Persona frente al Tratamiento de sus Datos Personales (Ley 8968), las directrices de SUGEF sobre seguridad de la informacion, y la creciente adopcion de ISO 27001 como estandar de referencia, crean un marco que ninguna empresa puede ignorar.
ISO 27001: el estandar de oro
ISO/IEC 27001 es el estandar internacional para Sistemas de Gestion de Seguridad de la Informacion (SGSI). Su version mas reciente (2022) organiza 93 controles en 4 categorias: organizacionales, de personas, fisicos y tecnologicos.
La certificacion ISO 27001 no es obligatoria en Costa Rica, pero cada vez mas empresas la exigen a sus proveedores, especialmente en sectores financiero, salud y tecnologia. Para muchas pymes, la certificacion se ha convertido en un diferenciador competitivo y un requisito para acceder a contratos con grandes corporaciones.
SUGEF y el sector financiero
La Superintendencia General de Entidades Financieras (SUGEF) ha emitido lineamientos especificos sobre gestion de riesgo tecnologico y ciberseguridad para entidades supervisadas:
- SUGEF 14-17: Reglamento de Gestion de Tecnologias de la Informacion — exige evaluaciones de riesgo periodicas, planes de continuidad y controles de acceso.
- Acuerdo SUGEF 2-10: Incluye requisitos de seguridad para operaciones electronicas y canales digitales.
- Normativa de ciberseguridad 2024: Requisitos especificos de monitoreo continuo, respuesta a incidentes y reporte de brechas.
Las empresas que proveen servicios al sector financiero tambien estan alcanzadas por estos requisitos como parte de la gestion de terceros.
Ley 8968: Proteccion de datos personales
Costa Rica cuenta con la Agencia de Proteccion de Datos de los Habitantes (PRODHAB), que supervisa el cumplimiento de la Ley 8968. Las empresas que manejan datos personales deben:
- Registrar sus bases de datos ante PRODHAB
- Implementar medidas de seguridad tecnicas y organizativas
- Notificar brechas de datos que afecten a ciudadanos
- Garantizar los derechos ARCO (Acceso, Rectificacion, Cancelacion, Oposicion)
Marcos adicionales relevantes
- PCI DSS v4.0: Obligatorio para empresas que procesan pagos con tarjeta. La version 4.0 exige autenticacion multifactor, monitoreo continuo y pruebas de penetracion anuales.
- SOC 2 Type II: Cada vez mas solicitado por clientes internacionales, especialmente para empresas de tecnologia y SaaS.
- NIST Cybersecurity Framework 2.0: Aunque no es obligatorio, es la referencia mas usada para evaluar la postura de ciberseguridad.
Como preparar su empresa
- Evaluacion de brechas (Gap Assessment): Compare su estado actual contra ISO 27001 o el marco relevante para identificar que falta.
- Analisis de riesgos: Identifique activos criticos, amenazas y vulnerabilidades. Priorice acciones basandose en el impacto al negocio.
- Implementacion de controles: Despliegue los controles tecnicos y organizativos necesarios — desde politicas hasta herramientas de monitoreo.
- Monitoreo continuo: El cumplimiento no es un proyecto — es un proceso. Un SOC proporciona la evidencia continua que los auditores necesitan.
- Auditoria y certificacion: Trabaje con un organismo certificador acreditado para obtener la certificacion formal.
