Normativas y Estándares de Tecnologías de la Información en Costa Rica: Guía Completa para Empresas e Instituciones

-


Normativas y Estándares de TI y Seguridad de la Información en Costa Rica

Por: Alonso Solano Segura.

 
La protección de la información y la ciberseguridad se han convertido en una prioridad nacional en Costa Rica, especialmente a raíz de incidentes recientes. En 2022 el país sufrió ciberataques de gran impacto (ej. ransomware dirigido a entidades gubernamentales), al punto que el gobierno declaró un estado de emergencia nacional en ciberseguridad. Como respuesta, Costa Rica ha consolidado un marco integral de normativas, estándares, protocolos, controles y marcos de trabajo enfocado en las tecnologías de la información (TI) y la seguridad de la información. Este marco combina leyes y reglamentos nacionales con la adopción de estándares internacionales (ISO 27000, NIST, COBIT, ITIL, entre otros), además de políticas públicas sectoriales emitidas por entidades como el MICITT, SUTEL, ARESEP, Poder Judicial, reguladores financieros, entre otros. A continuación, se presenta una revisión detallada de dicho marco, cubriendo aspectos legales, técnicos, institucionales y de cumplimiento en el contexto costarricense.

Marco Legal Nacional en TI y Seguridad de la Información

Las bases legales de la seguridad de la información en Costa Rica comprenden varias leyes y decretos que abordan protección de datos, delitos informáticos, firma digital, telecomunicaciones y control interno, así como la adhesión a tratados internacionales. Las principales normativas incluyen:

  • Ley Nº 8454 – Certificados, Firmas Digitales y Documentos Electrónicos (2005): Establece el marco jurídico para el uso de firmas digitales y documentos electrónicos. Equipara la firma digital certificada a la firma manuscrita en valor legal, proporcionando seguridad jurídica a las transacciones electrónicas y modernizando los procesos administrativos. Esta ley creó la figura de las Autoridades Certificadoras supervisadas por el MICITT, asegurando la autenticidad e integridad de documentos firmados digitalmente.
  • Ley Nº 8968 – Protección de la Persona Frente al Tratamiento de sus Datos Personales (2011): Es la ley de protección de datos personales de Costa Rica. Impone obligaciones a responsables y encargados de datos para garantizar derechos de los titulares, aunque su aplicación práctica ha sido limitada y el nivel de cumplimiento históricamente bajo. La autoridad encargada de hacer cumplir esta ley es la Agencia de Protección de Datos de los Habitantes (PRODHAB), facultada para imponer sanciones administrativas e incluso suspender temporalmente bases de datos en casos graves de incumplimiento. Esta ley, aunque anterior a regulaciones internacionales más robustas, brinda a los ciudadanos costarricenses derechos de acceso, rectificación y cancelación sobre sus datos personales.
  • Ley Nº 9048 – Delitos Informáticos (2012): Define y sanciona los delitos informáticos en el Código Penal costarricense. Mediante esta ley se introdujeron nuevos tipos penales específicos, tales como la suplantación de identidad digital, la suplantación de sitios web (páginas falsas para phishing) y la instalación o propagación de software malicioso, entre otros. También penaliza el acceso no autorizado a sistemas o datos, la interferencia o daño a datos/computadoras, el uso indebido de dispositivos con fines ilícitos, la violación de datos personales y la extorsión mediante medios informáticos. Esta ley actualizó y reemplazó a normas más antiguas (la última databa de 2001) para adecuar la legislación penal a la era digital.
  • Ley Nº 8292 – Ley General de Control Interno (2002): Aunque no enfocada exclusivamente en TI, esta ley obliga a todas las instituciones del sector público a establecer sistemas de control interno para garantizar la eficiencia, transparencia y seguridad en sus operaciones. En el ámbito de TI, sirve de fundamento legal para exigir controles y buenas prácticas en la gestión de tecnologías de información en entes públicos. La Contraloría General de la República (CGR), como ente fiscalizador, se apoya en esta ley para verificar que las instituciones implementen controles adecuados (incluyendo seguridad de la información) y para delimitar las responsabilidades de jerarcas y funcionarios en caso de inobservancia.
  • Ley Nº 8642 – Ley General de Telecomunicaciones (2008): Marco jurídico que regula el sector telecomunicaciones tras su apertura. Incluye disposiciones sobre ciberseguridad y protección de datos de los usuarios de servicios de telecomunicaciones. La ley creó la estructura institucional del sector: designó al MICITT como rector en telecomunicaciones y a la Superintendencia de Telecomunicaciones (SUTEL) –adscrita a la ARESEP– como ente regulador encargado de velar por el cumplimiento de la normativa por parte de los operadores. Esta ley y sus reglamentos derivados imponen obligaciones de seguridad a los concesionarios, por ejemplo en materia de confidencialidad de las comunicaciones (Decreto Ejecutivo Nº 35205/2009, Reglamento de Protección de la Privacidad de las Comunicaciones) y de protección de los derechos del usuario final (Reglamento ARESEP 010-2010). SUTEL supervisa que los operadores implementen medidas de seguridad de redes, protejan los datos de sus abonados y colaboren en la prevención del fraude y delitos (p.ej., mediante listas negras de IMEI para combatir el robo de celulares).
  • Convenios y Tratados Internacionales: Costa Rica es parte de instrumentos internacionales relevantes para la ciberseguridad. Destaca la adhesión en 2017 al Convenio de Budapest sobre Ciberdelincuencia del Consejo de Europa, el principal tratado global para armonizar leyes y facilitar la cooperación en la persecución de delitos informáticos. La participación en este convenio mejora la capacidad del país para investigar delitos transnacionales, mediante asistencia legal mutua y estandarización de tipos penales. Asimismo, Costa Rica ha suscrito acuerdos regionales de ciberseguridad en el marco de la OEA y mantiene cooperación activa con organismos internacionales en materia de delitos informáticos y evidencia digital.

Políticas Nacionales e Institucionales de Seguridad Informática

Además del marco legal, Costa Rica ha desarrollado políticas públicas, normas técnicas y estructuras institucionales para fortalecer la gestión de la seguridad de la información en sectores clave:

  • Estrategia Nacional de Ciberseguridad: El gobierno formuló su primera Estrategia Nacional de Ciberseguridad para el período 2017-2021, seguida por una nueva Estrategia 2023-2027 presentada bajo la administración actual. Estas estrategias establecen una visión país en ciberseguridad, con pilares como protección de infraestructuras críticas, fortalecimiento de la gobernanza y la coordinación institucional, desarrollo de capacidades y cultura de seguridad, y cooperación internacional. La estrategia 2023-2027, por ejemplo, busca consolidar un ecosistema nacional robusto, resiliente e inclusivo en materia de seguridad digital. Ambas estrategias han servido de hoja de ruta para acciones concretas: creación de equipos de respuesta, campañas de concientización, mejoras regulatorias, etc.
  • Rol del MICITT (Rector de TI y Gobernanza Digital): El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) funge como ente rector en materia de tecnologías digitales, ciberseguridad y gobierno digital, según lo dispuesto en la estructura del Poder Ejecutivo. Por decreto y leyes orgánicas, el MICITT es responsable de emitir políticas públicas en estas áreas y coordinar su implementación en todo el sector público. En 2016, una directriz presidencial (Directriz Nº 043-MP) encomendó al MICITT diagnosticar el estado de las TIC en el sector público y proponer políticas nacionales al respecto. Fruto de ello fue la Estrategia de Transformación Digital hacia la Costa Rica del Bicentenario 4.0 (2018), que impulsó la modernización digital del Estado costarricense. El MICITT también lidera la coordinación en ciberseguridad, presidiendo comités interinstitucionales y gestionando proyectos con academia y sector privado (por ejemplo, alianzas con CONARE y universidades públicas en capacitación y desarrollo de talento en ciberseguridad)
  • Normas Técnicas de Gestión TI en el Sector Público: Desde 2007 existen lineamientos obligatorios para la adecuada administración de las tecnologías de información en las instituciones gubernamentales. En ese año, la Contraloría General emitió las “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información” (resolución R-CO-26-2007). Estas normas establecieron criterios de control que debían incorporarse a la gestión institucional de TI (por ejemplo, gobierno de TI, planificación estratégica, seguridad de la información, continuidad del negocio, desarrollo de sistemas, etc.), ante la ausencia en ese momento de un marco unificado. Su cumplimiento era de acatamiento obligatorio para todas las entidades sujetas a fiscalización de la CGR, bajo apercibimiento de sanciones administrativas si se incumplían. Con el tiempo, el MICITT asumió la rectoría en este ámbito y actualizó dichas normas: en 2021 emitió una nueva versión de las Normas Técnicas para la Gestión y el Control de las TI, adecuándolas a las necesidades actuales y derogando formalmente las normas de 2007 de la CGR. Las normas técnicas vigentes (2021) incorporan mejores prácticas internacionales y requieren que cada institución pública establezca, evalúe y mejore continuamente un marco de gobierno y control de TI, en concordancia con la Ley General de Control Interno N° 8292. Los jerarcas institucionales y las auditorías internas son responsables de velar por su implementación efectiva. De este modo, se busca unificar el nivel de madurez en gestión de TI y seguridad en todo el sector público, cerrando brechas entre instituciones avanzadas y rezagadas.
  • Centros de Respuesta a Incidentes (CSIRT) y Protocolos Nacionales: Costa Rica estableció tempranamente su equipo nacional de respuesta a incidentes de seguridad informática (CSIRT-CR). Mediante el Decreto Ejecutivo Nº 37052-MICIT (9 de marzo de 2012) se creó el CSIRT Nacional bajo el MICITT, con el mandato de coordinar la atención de incidentes de seguridad en el país y proveer alertas tempranas. El CSIRT-CR actúa como punto focal para incidentes cibernéticos que afecten a instituciones públicas y, en general, brinda apoyo y asesoría técnica en gestión de incidentes a todos los sectores. En años recientes, tras los ataques de 2022, el CSIRT-CR ha sido fortalecido y se ha formalizado un Protocolo Nacional de Respuesta a Incidentes Cibernéticos, en conjunto con entidades como el Instituto Costarricense de Electricidad (ICE) y la Comisión Nacional de Emergencias (CNE). Este protocolo establece procedimientos estandarizados para que, ante un ciberataque mayor, haya una respuesta interinstitucional coordinada (similar a la respuesta a emergencias tradicionales). Incluye la participación de equipos especializados de empresas públicas clave (como el ICE en su rol de operador de infraestructura crítica de energía/telecom) y del aparato de emergencias, integrados bajo la dirección del MICITT. La articulación CSIRT-CR, ICE y CNE ha permitido, por ejemplo, gestionar la crisis de ransomware 2022 bajo esquemas de comando de incidente, mitigando el impacto y recuperando servicios críticos.
  • Políticas Sectoriales y Entes Reguladores: Distintos sectores cuentan con lineamientos y órganos que abordan la seguridad de la información dentro de su ámbito:
    • Telecomunicaciones: SUTEL, como superintendencia adscrita a ARESEP, expide normativa técnica y fiscaliza a los operadores. Además de los reglamentos ya mencionados (privacidad de comunicaciones, protección al usuario), SUTEL ha emitido acuerdos para, por ejemplo, obligar la implementación de filtros contra contenidos nocivos en cibercafés (en aplicación de la Ley 8934 de protección de menores en Internet). SUTEL también coordina con operadores medidas contra el fraude y colabora con autoridades en temas como spam, protección de infraestructura crítica de telecomunicaciones y continuidad de redes en emergencias.
    • Sector Financiero: Las superintendencias financieras, bajo el Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF), han desarrollado estrictos requerimientos de seguridad informática para entidades bancarias, aseguradoras, bursátiles y pensionarias. En 2017 entró en vigor el Reglamento General de Gestión de la Tecnología de Información (Acuerdo SUGEF 14-17, ahora CONASSIF 5-17), que exige a todas las entidades financieras implementar mínimos de control y gestión de TI. Este reglamento obliga a contar con un Sistema de Gestión de Seguridad de la Información, políticas de seguridad cibernética, gestión de riesgos tecnológicos, planes de continuidad del negocio, gobierno de TI a nivel de junta directiva, etc. En 2024, el CONASSIF aprobó una reforma integral a dicho reglamento para reforzar aún más las responsabilidades de los directorios y gerencias en materia de seguridad de la información, ciberseguridad y resiliencia operativa, incluyendo disposiciones explícitas sobre respuesta a incidentes, migración a la nube, tercerización de TI y protección de datos e infraestructura crítica digital. La Superintendencia General de Entidades Financieras (SUGEF) y sus pares monitorean el cumplimiento mediante auditorías regulares y pueden imponer sanciones o incluso intervenir entidades con falencias graves en controles de TI.
    • Poder Judicial: El Poder Judicial maneja información sensible (datos de expedientes, registros judiciales, antecedentes penales, etc.) y ha desarrollado normativas internas para su protección. Existe un Reglamento para el Tratamiento de Datos Personales en el Poder Judicial (aprobado por la Corte Suprema), que establece medidas para asegurar la confidencialidad de datos en bases de datos judiciales públicas. Este reglamento asigna responsables de protección de datos, ordena la anonimización de datos personales sensibles en resoluciones publicadas y garantiza los derechos ARCO conforme la Ley 8968 Adicionalmente, el Poder Judicial adopta lineamientos internacionales como las Reglas de Heredia de 2003 (reglas mínimas para divulgación de información judicial en Internet), a fin de equilibrar transparencia de la información pública con la privacidad de las personas involucradas en procesos. Por ejemplo, antes de publicar sentencias en línea, se omiten nombres de víctimas o menores de edad, en acatamiento tanto de dichas reglas como de la ley de protección de datos.
    • Otras instituciones: Entidades como el Registro Nacional, la Caja Costarricense de Seguro Social (CCSS, sector salud) y empresas públicas de servicios han emitido políticas y manuales de seguridad de la información alineados a las directrices nacionales. Muchas instituciones cuentan con Comités de Seguridad de la Información multidisciplinarios que aprueban políticas internas (uso aceptable de TI, clasificación de la información, gestión de incidentes, etc.) siguiendo modelos de estándares internacionales. Asimismo, Costa Rica cuenta con un capítulo local de FIRST (Forum of Incident Response and Security Teams) y participa en redes regionales de CSIRTs, lo que facilita la respuesta colaborativa ante amenazas que puedan afectar infraestructura regional (por ejemplo, la red eléctrica centroamericana, donde el ICE comparte alertas de seguridad con sus homólogos).

Estándares y Marcos de Trabajo Internacionales Adoptados

En complemento a las leyes y políticas locales, Costa Rica promueve la adopción de estándares internacionales reconocidos en seguridad de la información y gobierno de TI. Varios de estos estándares han sido incorporados como referencia en la normativa nacional o empleados voluntariamente por las organizaciones para elevar su nivel de seguridad. Entre los principales marcos y estándares se destacan:

  • ISO/IEC 27001 y familia 27000: Estándar internacional para Sistemas de Gestión de Seguridad de la Información (SGSI). Define un marco de buenas prácticas para gestionar la seguridad de activos de información, basado en evaluación de riesgos y controles definidos en ISO/IEC 27002. En Costa Rica, ISO/IEC 27001 es ampliamente reconocido; muchas organizaciones del sector privado (bancos, empresas de tecnología) han obtenido certificaciones ISO 27001 para demostrar su cumplimiento de estándares de seguridad. A nivel gubernamental, las Normas Técnicas del MICITT y regulaciones sectoriales fomentan la implementación de controles alineados con ISO 27002. De hecho, la Estrategia Nacional de Ciberseguridad menciona explícitamente la inclusión de las normas ISO 27001 e ISO 27002 como referencia para fortalecer la resiliencia cibernética en infraestructuras crítica. El ente de normalización INTECO ha adoptado estas normas internacionales como normas técnicas costarricenses (INTE/ISO 27001, 27002, etc.), facilitando su difusión local. También se han promovido estándares específicos como ISO 27005 (gestión de riesgos de seguridad de información) e ISO 22301 (gestión de continuidad del negocio) en entidades donde la certificación no es obligatoria pero sí deseable como buena práctica.
  • NIST Cybersecurity Framework y Estándares NIST: El Marco de Ciberseguridad del NIST (National Institute of Standards and Technology, EE.UU.) es otro referente clave. Este marco proporciona un conjunto de directrices organizadas en cinco funciones (Identificar, Proteger, Detectar, Responder, Recuperar) y es utilizado como benchmark internacional. Costa Rica, a través del MICITT, ha referenciado el Framework for Improving Critical Infrastructure Cybersecurity del NIST como guía para mejorar la seguridad en servicios esenciales. Asimismo, estándares técnicos del NIST son considerados en sectores específicos: por ejemplo, NIST SP 800-82 (guía de seguridad para sistemas de control industrial SCADA) es citado en la estrategia nacional para fortalecer la seguridad en infraestructura energética. Muchas instituciones adoptan también los controles del NIST SP 800-53 para evaluar su postura de seguridad, dado que hay correspondencia con controles ISO 27002. El Marco de Gestión de Riesgos del NIST (NIST RMF) y lineamientos como NIST SP 800-30 (análisis de riesgo) sirven de complemento a los requerimientos regulatorios, sobre todo en el sector financiero y en grandes empresas.
  • COBIT (Control Objectives for Information and Related Technologies): Marco de gobernanza de TI desarrollado por ISACA, que provee principios, objetivos de control y prácticas para alinear TI con los objetivos del negocio. COBIT ha influido fuertemente en Costa Rica en el diseño de controles de auditoría de TI. Las Normas Técnicas de 2007 de la CGR estaban basadas en conceptos de COBIT 4.1, definiendo dominios de control como Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y Monitoreo (similares a los de COBIT). Hoy en día, COBIT 2019 sigue siendo estudiado y aplicado en auditorías internas gubernamentales y por consultores locales para evaluar la madurez de procesos de TI. El Capítulo de ISACA en Costa Rica es activo en capacitación, difundiendo COBIT entre profesionales de auditoría y seguridad. Si bien COBIT no es mandatorio por ley, su adopción voluntaria ayuda a las organizaciones a cumplir con regulaciones (p. ej., evidenciando buena gobernanza de TI ante la CGR o SUGEF).
  • ITIL (Information Technology Infrastructure Library): Conjunto de buenas prácticas para la gestión de servicios de TI. Muchas empresas de tecnología y departamentos de TI en Costa Rica han implementado procesos basados en ITIL (versión 3 y ahora ITIL 4) para gestión de incidentes, administración de cambios, gestión de niveles de servicio, etc. En contexto de seguridad, ITIL complementa a los marcos de seguridad proporcionando procedimientos estandarizados que reducen errores operativos y tiempos de respuesta. Por ejemplo, la adecuada gestión de incidentes (ITIL) se enlaza con la gestión de eventos de seguridad (ISO 27001/NIST), y la gestión de cambios controlada previene introducción de vulnerabilidades en entornos productivos. Varias instituciones públicas capacitan a su personal en ITIL para profesionalizar la entrega de servicios de TI (el ICE, la CCSS y bancos estatales reportan adopción de procesos ITIL desde hace más de una década).
  • Otros estándares y marcos: Entre otros referentes internacionales presentes en el ecosistema costarricense, cabe mencionar los Controles Críticos de Seguridad CIS (antes SANS Top 20), que algunas organizaciones utilizan como checklist para implementar medidas básicas de ciberseguridad (control de inventarios, endurecimiento de configuraciones, monitoreo continuo, etc.). Asimismo, sectores especializados siguen estándares propios: por ejemplo, las instituciones que procesan tarjetas de pago cumplen con el estándar PCI-DSS (Payment Card Industry Data Security Standard) para proteger datos financieros, y las empresas del sector energético exploran alinearse con normas como NERC-CIP (North American Electric Reliability Corporation – Critical Infrastructure Protection) para asegurar la red eléctricamicitt.go.cr. En el ámbito de desarrollo de software, se promueven estándares seguros como OWASP (Open Web Application Security Project) Top 10 para aplicaciones web, aunque de manera no obligatoria. En suma, la tendencia es que las organizaciones en Costa Rica busquen “lo mejor de ambos mundos”, combinando el cumplimiento de las normativas locales con la implementación de estándares globales reconocidos, para así alcanzar niveles de seguridad equiparables a los internacionales.

Controles y Protocolos de Seguridad en la Práctica

La efectividad de las normativas y estándares se materializa a través de su implementación en controles y protocolos de seguridad concretos dentro de las organizaciones. Estos controles son las salvaguardas técnicas, administrativas y físicas que protegen la confidencialidad, integridad y disponibilidad de la información. En Costa Rica, tanto las instituciones públicas como las empresas privadas han ido desarrollando sus catálogos de controles basados en las recomendaciones de ISO 27002, NIST 800-53, COBIT, CIS, entre otros. Algunos controles clave y protocolos adoptados ampliamente son:

  • Políticas de seguridad de la información: La mayoría de las entidades cuenta con documentos formales que establecen las reglas y responsabilidades para proteger la información. Ejemplos son la política de clasificación de la información (definiendo información confidencial, restringida, pública), políticas de control de accesos, uso aceptable de recursos de TI, políticas de contraseñas, entre otras. Estas políticas suelen ser requisito de las Normas Técnicas y deben ser aprobadas por la alta gerencia y difundidas a todo el personal. El Poder Judicial, por ejemplo, exige mediante reglamento interno que en cada oficina se designen responsables de identificar y proteger datos sensibles conforme a la normativa vigente, evidenciando la formalización de dichas políticas a nivel operativo.
  • Controles de acceso y autenticación: Se implementan mecanismos para asegurar que solo personas autorizadas accedan a sistemas y datos. Incluyen la gestión de usuarios y permisos según roles, uso de autenticación multifactor (MFA) para sistemas críticos, bloqueo de cuentas por intentos fallidos, etc. No obstante, persisten brechas: un estudio del MICITT en 2022 reveló que un 43.8% de las instituciones públicas no había implementado doble factor de autenticación en sus sistemas, lo que indica espacio de mejora significativo en este control básico.
  • Gestión de vulnerabilidades y actualizaciones: Implica mantener los sistemas operativos, aplicaciones y dispositivos con sus parches de seguridad al día, y realizar pruebas periódicas (scans de vulnerabilidades, pentests) para identificar fallos. En Costa Rica se han hecho esfuerzos por migrar sistemas obsoletos, pero aún cerca del 50% de las instituciones utilizaban sistemas operativos fuera de soporte en 2022. La falta de actualizaciones oportunas fue uno de los factores que agravaron el impacto de ciertos ataques de ransomware, lo que enfatiza la necesidad de robustecer este proceso.
  • Copias de seguridad y recuperación: Las organizaciones costarricenses están incorporando protocolos de respaldo regular de datos (diarios, semanales) y almacenamiento fuera del sitio para garantizar la disponibilidad ante fallos o incidentes. Sin embargo, según el MICITT, 18.1% de instituciones no realizaba copias de seguridad de sistemas alojados con terceros (p. ej. en la nube), exponiendo información crítica al riesgo de pérdida. A raíz de incidentes, muchas entidades han actualizado sus planes de backup y pruebas de restauración, reconociendo que la resiliencia depende de la eficacia de estos respaldos.
  • Monitoreo, alertas y auditoría: Un control esencial es llevar registros (logs) de las actividades en redes, sistemas y bases de datos, y monitorearlos para detectar accesos no autorizados o comportamientos anómalos. Las Normas Técnicas obligan a implementar registros de auditoría en sistemas críticos y a revisarlos periódicamente. No obstante, en la evaluación de 2022, el 28.8% de las instituciones con sistemas tercerizados no contaba con un registro de las actividades realizadas por los administradores externos en sus sistemas, lo que dificulta la detección de incidentes o abusos. Es por ello por lo que se están invirtiendo recursos en soluciones SIEM (Security Information and Event Management) y capacitación de personal en monitoreo de seguridad.
  • Protocolos de respuesta a incidentes: La mayoría de organizaciones relevantes en Costa Rica han desarrollado procedimientos de respuesta a incidentes de seguridad. Estos protocolos internos indican los pasos a seguir cuando ocurre un incidente (por ejemplo, malware en una PC, o una filtración de datos): desde la contención y análisis inicial, escalamiento a las autoridades (cuando es grave, al CSIRT-CR y OIJ), hasta la recuperación y lecciones aprendidas. En el sector financiero, la normativa SUGEF exige notificar incidentes significativos al regulador en un plazo determinado y ejecutar planes de respuesta documentados. A nivel nacional, tras los ataques de 2022 se afinó un Plan de Emergencia Cibernética en el cual cada entidad pública debía reportar incidentes al MICITT/CSIRT-CR de inmediato, activándose equipos de apoyo interinstitucional. De hecho, la información recopilada en las visitas de diagnóstico del MICITT a instituciones en 2022 sirvió como insumo para nuevas medidas de protección incorporadas en dicho Plan de Emergencia. Gracias a estos protocolos, en eventos recientes (como intentos de ataque a bancos estatales en 2023) se logró responder coordinadamente y evitar impactos mayores.
  • Control de proveedores y tercerizados: Dado que muchas entidades contratan servicios de TI con terceros (desarrollo de software, cloud computing, data centers), se han implementado controles para gestionar estos riesgos. Los contratos modernos incorporan cláusulas de seguridad (cumplir ISO 27001, notificación de incidentes, Service Level Agreements de continuidad, etc.). La regulación financiera actualizada en 2024 dedica capítulos enteros a la seguridad en la tercerización y la computación en la nube, exigiendo a las entidades definir responsabilidades claras y medidas de protección equivalentes a si el servicio estuviera in-house. Un caso concreto es la banca: los bancos en Costa Rica deben asegurar que sus proveedores de servicios en la nube cumplan estándares de cifrado, ubicación de datos (preferiblemente en jurisdicciones adecuadas) y planes de contingencia en caso de fallo del proveedor.
  • El Código Nacional de Tecnologías Digitales (CNTD), emitido por el MICITT y oficializado mediante el Decreto Ejecutivo N.º 44507-MICITT, establece lineamientos obligatorios para el sector público costarricense. Su objetivo es estandarizar la adquisición, desarrollo y gestión de tecnologías digitales, promoviendo eficiencia, accesibilidad y seguridad. El CNTD introduce el "Sello de Gobierno Digital", certificación que prioriza proyectos alineados con estos estándares en la Cartera Nacional de Proyectos de Gobierno Digital.


En resumen, los controles de seguridad en Costa Rica abarcan un amplio espectro: desde medidas técnicas (firewalls, antivirus, cifrado de datos, autenticación robusta) hasta procedimientos administrativos (capacitación en seguridad, segregación de funciones, gestión de riesgos). Si bien la adopción de estos controles va en aumento, los diagnósticos han evidenciado brechas importantes que requieren atención continua. La mejora de la postura de seguridad es un proceso en marcha: por ejemplo, tras identificar que 83% de instituciones carecían de personal especializado en ciberseguridad, el MICITT lanzó programas de formación y reasignación de recurso humano en este campo. Igualmente, los hallazgos sobre falta de 2FA, sistemas sin soporte y ausencia de auditorías han motivado inversiones prioritarias en renovar infraestructura y software obsoleto durante 2023-2024. Los protocolos nacionales (como el mencionado protocolo MICITT-ICE-CNE) y sectoriales se han puesto a prueba y refinado con las experiencias recientes, incrementando la preparación ante futuros incidentes.

Cumplimiento, Fiscalización y Desafíos

El entramado de leyes y estándares sería inocuo sin mecanismos eficaces de cumplimiento (compliance) y fiscalización. En Costa Rica operan diversas instancias encargadas de vigilar y hacer cumplir las disposiciones en seguridad de la información:

  • Contraloría General de la República (CGR): A través de su División de Fiscalización Operativa y Evaluativa (DFOE) y las auditorías internas de cada institución, la CGR supervisa que los entes públicos adopten los controles de TI requeridos. La inobservancia de las Normas Técnicas de TI o debilidades graves en seguridad puede derivar en informes con disposiciones correctivas obligatorias y eventuales responsabilidades administrativas para los jerarcas. Por ejemplo, la CGR ha realizado auditorías de seguridad en ministerios y municipalidades, detectando hallazgos (como accesos no restringidos a información confidencial o ausencia de planes de contingencia) y ordenando subsanarlos en plazos definidos. No obstante, la CGR enfrenta el desafío de auditar un número muy amplio de instituciones con recursos limitados, por lo que ha enfatizado en un enfoque preventivo: la emisión misma de las Normas Técnicas en 2007 y su actualización en 2021 apuntan a que las entidades se autoevalúen y mejoren continuamente sin esperar a ser auditadas.
  • Agencia de Protección de Datos (PRODHAB): Adscrita al Ministerio de Justicia, la PRODHAB es la autoridad nacional en materia de protección de datos personales. Esta agencia recibe denuncias de ciudadanos sobre mal manejo de sus datos y realiza inspecciones a empresas o instituciones para verificar el cumplimiento de la Ley 8968. Puede imponer multas pecuniarias y otras sanciones administrativas a quienes violen la normativa de datos. Sin embargo, su efectividad ha sido cuestionada en el pasado por falta de recursos y por vacíos en la misma Ley 8968 (que, por ejemplo, no contempla derechos como portabilidad o limitación del tratamiento, presentes en regulaciones modernas). Hay iniciativas en curso para modernizar la legislación de datos personales en Costa Rica y dotar a PRODHAB de mayor capacidad sancionatoria, tomando como modelo regulaciones como el RGPD europeo.
  • SUTEL (ARESEP): En el sector telecom, SUTEL fiscaliza que los operadores cumplan con las obligaciones de seguridad y calidad establecidas. Dispone de potestades para sancionar a compañías telefónicas o ISP que no resguarden la privacidad de las comunicaciones de sus usuarios o que incumplan medidas de seguridad de red. Por ejemplo, SUTEL puede multar a un operador si se demuestra una filtración de datos de clientes por negligencia, o si un apagón de red por un incidente se debió a falta de controles. Asimismo, SUTEL opera esquemas de certificación: ha impulsado que los proveedores se integren a estándares internacionales (como la base de datos de IMEI robados de GSMA) y verifica la implementación de filtros de contenido en puntos de acceso públicos conforme la normativa de protección de menores. Un desafío actual es la seguridad de las redes 5G emergentes y el IoT, que requerirá actualizar regulaciones y capacidades de supervisión de SUTEL.
  • Reguladores Financieros (SUGEF, SUPEN, SUGESE, SUGEFIL): Cada superintendencia miembro de CONASSIF monitorea el cumplimiento de sus regulaciones de TI mediante auditorías periódicas a las entidades supervisadas. Los bancos, por ejemplo, deben remitir anualmente un reporte de autoevaluación en gestión tecnológica y ciberseguridad en el que se mide su alineamiento con el Reglamento General de Gestión TI. Adicionalmente, las superintendencias realizan inspecciones in situ en las que revisan controles específicos (p. ej., efectividad del gobierno de TI, resultados de pruebas de penetración, incidentes sucedidos y acciones tomadas). Si detectan incumplimientos, pueden girar órdenes de mejora e incluso aplicar sanciones que van desde amonestaciones a miembros de junta hasta multas o limitaciones operativas. Un caso notorio ocurrió en 2021, cuando SUGEF amonestó a varios bancos por caídas prolongadas de sus sistemas (afectando servicios a usuarios), requiriéndoles reforzar sus planes de continuidad. El sector financiero tiene incentivos reputacionales fuertes para cumplir con estándares elevados, por lo que muchas instituciones no solo siguen la normativa local sino que buscan certificaciones internacionales (varios bancos en Costa Rica han logrado la certificación ISO 27001 y PCI-DSS para sus centros de datos, por ejemplo).
  • Órganos de seguridad y justicia (OIJ, Fiscalía): En cuanto al cumplimiento penal, el Organismo de Investigación Judicial (OIJ) cuenta con un departamento de delitos informáticos que investiga los casos tipificados en la Ley 9048 (fraudes electrónicos, hacking, pornografía infantil en línea, etc.). La coordinación internacional a través del Convenio de Budapest ha facilitado la obtención de pruebas más allá de las fronteras en casos complejos. Por su parte, la Fiscalía Adjunta de Cibercrimen de Costa Rica, creada en 2016, se especializa en la judicialización de estos delitos, capacitando a fiscales en manejo de evidencia digital. Un logro importante ha sido la incorporación de procedimientos uniformes para la recolección y preservación de evidencias digitales (cadena de custodia), donde se aplican estándares forenses internacionales. No obstante, el rezago tecnológico y la sobrecarga de casos son retos; las autoridades han indicado la necesidad de más personal capacitado y herramientas forenses modernas para enfrentar el auge de la ciberdelincuencia.

Desafíos actuales

  A pesar de los avances en normativas y marcos, Costa Rica enfrenta desafíos en este campo. Uno es mantener actualizadas las leyes ante la rápida evolución tecnológica; por ejemplo, se discute incluir provisiones sobre seguridad en la nube, criptoactivos, inteligencia artificial y protección de datos genéticos en futuras reformas legales. Otro reto es lograr que las políticas y estándares se permeen efectivamente en todas las instituciones, incluidas las más pequeñas (municipalidades, concejos locales) que a veces carecen de recursos para cumplir con todos los controles – de hecho, el MICITT halló grandes variaciones en madurez digital entre entidades públicas. El tema de la concientización del usuario final también es crítico: se ha avanzado en campañas, pero incidentes de phishing exitosos en instituciones indican que la cultura de seguridad necesita fortalecerse continuamente.

En conclusión, Costa Rica ha construido un marco normativo y de estándares bastante completo en materia de TI y seguridad de la información, combinando leyes nacionales (que cubren aspectos legales e institucionales) con la adopción de referentes internacionales. El país cuenta con las bases legales (protección de datos, delitos informáticos, firma digital), con estrategias y políticas gubernamentales alineadas a mejores prácticas, y con participación en la comunidad internacional de ciberseguridad. El enfoque ahora está en operacionalizar estos marcos: asegurar que cada entidad, pública o privada, cumpla y ejecute los controles previstos, y que exista coordinación ágil ante incidentes. La experiencia del ataque de ransomware de 2022 sirvió como catalizador para corregir debilidades y probar la resiliencia nacional; desde entonces, la mejora es continua. Con la combinación de normas adecuadas y un cumplimiento efectivo, Costa Rica aspira a proteger sus activos de información y mantener la confianza en la economía digital, a la vez que garantiza la privacidad y los derechos de sus ciudadanos en el entorno digital.


Referencias

  • Azofeifa Rojas, I. (2023). El proceso de verificación de validez de la firma digital como mecanismo para el aseguramiento de la autenticidad e integridad de los documentos electrónicos de archivo. Universidad de Costa Rica (AUROL Repository). Disponible en http://aurol.ucr.ac.cr/ (Consultado el 12 de mayo de 2025).
  • CaseGuard. (2021, 18 de octubre). La Ley No. 8968 de 2011 de Costa Rica, para asegurar la privacidad de los datos. Artículo en blog CaseGuard. Recuperado de https://caseguard.com/es/articles/la-ley-no-8968-de-2011-de-costa-rica-para-asegurar-la-privacidad-de-los-datos/
  • Cordero Parra, M. (2022, 27 de junio). Micitt: 12% de instituciones públicas analizadas por Micitt carece de seguridad informática en sus sistemas. Semanario Universidad. Recuperado de https://semanariouniversidad.com/pais/micitt-12-de-instituciones-publicas-analizadas-por-micitt-carece-de-seguridad-informatica-en-sus-sistemas/
  • Council of Europe. (2017, 3 de octubre). Costa Rica joins the Budapest Convention. Cybercrime Convention Committee – T-CY News. Recuperado de https://www.coe.int/en/web/cybercrime/-/costa-rica-joins-the-budapest-convention
  • MICITT – Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones. (2017). Estrategia Nacional de Ciberseguridad de Costa Rica 2017-2021. San José, Costa Rica: MICITT. (Disponible en el sitio web del MICITT, https://www.micitt.go.cr/, consultado el 12/05/2025).
  • MICITT – Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones. (2021). Normas Técnicas para la Gestión y el Control de las Tecnologías de Información. Publicación oficial, Gobierno de Costa Rica. (Aprobada mediante resolución R-CO-06-2021-MICITT; obligatoria para instituciones sujetas a la CGR).
  • MICITT – Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones. (2023). Estrategia Nacional de Ciberseguridad de Costa Rica 2023-2027. San José, Costa Rica: MICITT. (Documento en línea, disponible en micitt.go.cr, consultado el 12/05/2025).
  • Segurilatam (Redacción). (2023, 16 de noviembre). Costa Rica presenta su Estrategia Nacional de Ciberseguridad 2023-2027. Segurilatam – Actualidad en Ciberseguridad. Recuperado de https://www.segurilatam.com/actualidad/costa-rica-presenta-su-estrategia-nacional-de-ciberseguridad-2023-2027_20231116.html
  • SUGEF – Superintendencia General de Entidades Financieras. (2017). Reglamento General de Gestión de la Tecnología de Información (Acuerdo SUGEF 14-17, ahora Acuerdo CONASSIF 5-17). San José: Consejo Nacional de Supervisión del Sistema Financiero. (Publicado en La Gaceta N° 79, 26/04/2017).
  • SUGEF/CONASSIF. (2024). Acuerdo CONASSIF 5-24: Modificación integral del Reglamento General de Gestión de la Tecnología de Información. San José: CONASSIF. (Acta de sesión 1638-2024, 5 de agosto de 2024, pendiente de publicación oficial).
  • Universidad de Costa Rica – Programa PROSIC. (2012, 21 de agosto). Expertos creen que Ley de Delitos Informáticos debe ser equilibrada en aspectos jurídicos y técnicos. Noticias UCR (sección Ciencia y Tecnología). Recuperado de https://www.ucr.ac.cr/noticias/2012/08/21/expertos-creen-que-ley-de-delitos-informaticos.html


IT Regulations and Standards in Costa Rica: A Complete Guide for Businesses and Institutions

Abstract: 

This comprehensive guide explores the key IT regulations, standards, and frameworks governing information technology in Costa Rica. It covers national laws, including data protection, digital signature, internal control, and telecom regulations, as well as the adoption of international standards like ISO/IEC 27001, COBIT, ITIL, and NIST frameworks. A must-read for IT managers, auditors, and compliance professionals seeking to understand Costa Rica’s regulatory landscape and IT governance best practices.

Comentarios

Publicar un comentario

Lo más leído

ITIL y COBIT en instituciones públicas: ¿normativa obligatoria de la Contraloría General de la República en Costa Rica?

-
Imagen
  Por: Alonso Solano Segura En Costa Rica, el uso de COBIT e ITIL no constituye una obligación legal directa establecida por la Contraloría General de la República (CGR). Lo que sí resulta de acatamiento obligatorio es que todas las instituciones públicas cuenten con un marco formal de gobierno y gestión de Tecnologías de Información (TI) , conforme lo exige el sistema de control interno estatal y la normativa emitida por la CGR. El primer paso formal en esta materia ocurrió en 2007 , cuando la CGR emitió la resolución R-CO-26-2007 (publicada en La Gaceta No. 119 del 21 de junio), mediante la cual se aprobaron las Normas Técnicas para la Gestión y Control de las Tecnologías de Información (N-2-2007-CO-DFOE) . Estas normas, de cumplimiento obligatorio, establecieron principios y controles alineados con las mejores prácticas internacionales, claramente inspirados en marcos como COBIT e ITIL , aunque sin mencionarlos de forma expresa. En 2020 , mediante la resolución R-DC-1...
Leer más

¿Cómo Está Transformando la Inteligencia Artificial la Educación Universitaria en Costa Rica?

-
Imagen
  Por: Alonso Solano Segura La irrupción de herramientas de inteligencia artificial (IA) generativa como ChatGPT a finales de 2022 ha transformado rápidamente diversos ámbitos, incluyendo la educación superior. En Costa Rica, las universidades y docentes se han visto obligados a reflexionar sobre cómo estas herramientas afectan el aprendizaje y la integridad académica. Mientras que algunos educadores advierten sobre riesgos como el plagio y la desinformación, otros ven en la IA una oportunidad para personalizar la enseñanza y mejorar la eficiencia. Este informe explora los efectos positivos y negativos del uso de la IA por parte de estudiantes universitarios primero en el contexto costarricense con fuentes recientes (debido al tan cambiante curso de la IA) desde 2023, y luego complementando con perspectivas internacionales. Asimismo, se identifican estrategias prácticas para docentes que permitan maximizar los beneficios de la IA en el aprendizaje y mitigar sus efectos adversos. ...
Leer más