La Infraestructura Digital Crítica como Pilar Invisible de la Nación: Apreciaciones al Proyecto de Ley Orgánica de Ciberseguridad

 

Invisible pero vital: La Ciberseguridad como la columna vertebral silenciosa del país

🔐 Ecuador debate su primera Ley Orgánica de Ciberseguridad: una oportunidad histórica que debe estar a la altura del reto digital actual. 🇪🇨💻

El país atraviesa un momento clave con la discusión del Proyecto de Ley Orgánica de Ciberseguridad en la Asamblea Nacional. Celebro este esfuerzo normativo que busca dotar al Ecuador de un marco legal moderno para fortalecer la resiliencia cibernética nacional. Sin embargo, como profesional del área y comprometido con la mejora continua, considero indispensable incorporar algunos conceptos técnicos adicionales inspirados en estándares internacionales y buenas prácticas ya implementadas en otras jurisdicciones.

📌 A continuación, comparto algunas propuestas conceptuales que podrían ser consideradas en el articulado final o en su futura normativa secundaria:

1️⃣ Clasificación detallada de entidades críticas Propongo una diferenciación entre entidades esenciales (como CELEC, MSP, CNT, BDE, CNE, etc.) y entidades importantes, con regímenes diferenciados de cumplimiento, auditoría y notificación. Esto permitiría enfocar los recursos donde más impacto podría haber ante un ciberataque.

2️⃣ Gestión de vulnerabilidades y divulgación coordinada (CVD) Es clave fomentar la notificación responsable de fallas de seguridad y que se establezca un CSIRT designado como coordinador nacional. Además, podría considerarse la creación de una base nacional de vulnerabilidades interoperable con estándares globales.

3️⃣ Seguridad en la cadena de suministro Incluir la obligatoriedad de mantener una SBOM (Software Bill of Materials) para productos digitales críticos. Esta medida refuerza la transparencia, trazabilidad y capacidad de respuesta ante incidentes en software de terceros o de código abierto.

4️⃣ Formación obligatoria para órganos de dirección Sin liderazgo informado en ciberseguridad, no hay resiliencia organizacional. Propongo establecer la obligación de formación continua en ciberseguridad para directivos de entidades críticas.

5️⃣ Régimen de sanciones claro, proporcional y disuasorio La ley debería especificar escalas de sanción y medidas correctivas basadas en el tipo de infracción y el nivel de criticidad de la entidad afectada, asegurando la proporcionalidad y efectividad del régimen sancionador.

6️⃣ Certificación voluntaria y cultura de ciberseguridad Se podría promover un esquema de certificación voluntaria de productos digitales y servicios, como incentivo para elevar estándares de seguridad, incluyendo software nacional.

🔍 En un entorno digital cada vez más complejo, necesitamos una ley robusta, adaptable y alineada con las mejores prácticas internacionales, para proteger no solo nuestras infraestructuras, sino también nuestra soberanía tecnológica y la confianza de nuestra ciudadanía.

📣 Es una oportunidad única para que el proyecto se dialogue con colegas, legisladores y técnicos sobre estas ideas. ¡La ciberseguridad es una causa país que nos involucra a todos!