En esa política emitida se asegura que el Gobierno creó el "Comité de Ciberseguridad" en julio de 2020 que reanudó su actividad en febrero de 2021.
Crearán también una entidad que coordine los esfuerzos de ciberseguridad entre el sector público, sector privado, organizaciones no gubernamentales y sociedad civil, y que también revisará periódicamente la Política de Seguridad.
Según la política, habrá campañas de educación en ciberseguridad para reforzar el enfoque de riesgos con el sector privado, sector educativo, municipalidades, oenegés y la sociedad civil, así como un programa de educación continua para empleados de Gobierno para fortalecer los mecanismos de minimización del impacto de un ciberataque.
La política incluye la revisión del marco jurídico actual, la creación de una comisión jurídica especializada para verificar herramientas procesadas relacionadas a delitos informáticos, y crear "redes de intercambio de información sobre delitos informáticos entre actores del sistema judicial a nivel local e internacional".
El documento también proyecta la creación de comisiones con los operadores de infraestructuras críticas que utilicen activos estratégicos, la creación de equipos de respuesta para emergencias informáticas coordinador por un equipo de respuesta nacional para emergencias y la creación de centros especializados de respuesta ante incidentes de seguridad informática (CSIRT) y Centros de Operaciones de Seguridad (SOC) en sectores como financiero, comercial, industrial y académico.
Un ente coordinador de seguridad nacional
De acuerdo a la política, en cada institución del Estado habrá un coordinador institucional de implementación del plan de ciberseguridad, quien se coordinará con el Responsable de Seguridad de la Información (RSI) o la unidad de gestión de riesgos de cada institución la definición de "líneas de acción para mitigar los riesgos".
El documento también menciona un ente coordinador de ciberseguridad nacional y, en cada institución, un Comité de Seguridad de la Información (CSI), encargado de hacer análisis de riesgo, que dependerá del titular de la institución.
También, proyecta la certificación de procesos de ciberseguridad a través de "normas salvadoreñas establecidas" y la contribución a la ciberseguridad "en el ámbito internacional".
Así mismo, promete la promoción del respeto a la Carta de las Naciones Unidas, los tratados internacionales y el derecho internacional "en lo relacionado a la ciberseguridad y ciberdefensa", participando en "todo esfuerzo internacional" y creando "canales de comunicación adecuados a nivel internacional".
También establece siete pasos –priorizar el alcance, crear un perfil actual, realizar evaluación de riesgos, entre otros– para que las organizaciones de El Salvador hagan un programa de seguridad cibernética.
Una de las observaciones que hizo el Reporte de Ciberseguridad 2020 del Banco Interamericano de Desarrollo (BID) a El Salvador era la falta de una estrategia nacional de seguridad cibernética. Este informe planteaba la elaboración de una Política Nacional de Ciberseguridad como uno de los objetivos de 2022 luego de un proceso "de consulta" en donde "participaron expertos internacionales, la academia, instituciones de gobierno, el sector privado y organizaciones de la sociedad civil".
De acuerdo a este informe, El Salvador ha intercambiado conocimientos con Ecuador, España, Israel y la República de Corea y tuvo un avance significativo con la aprobación de la Ley especial contra los delitos informáticos y conexos aprobada en 2016, pero observaba que no existe una legislación integral de protección de datos personales.
También, se señalaba en ese entonces la participación de El Salvador en el Sistema Integrado de Gestión Administrativa y la Política Nacional de Datos Abiertos, a través del sitio datos.gob.sv, un portal que contenía más de 20 bases de datos de información pública.
En la región, Costa Rica, un país que según el informe del BID sí contaba con una política de ciberseguridad, sufre un ataque cibernético contra sus instituciones públicas por parte de un grupo de delincuentes con base en Rusia que le piden una millonaria suma. La institución más afectada, en este caso, fue el Ministerio de Hacienda, al cual le usurparon sistemas de declaración de impuestos y de comercio exterior, paralizando sistemas de recaudación y pagos de salarios, según la BBC.