La Resolución No. 7 de la AIG en Panamá no es un documento más para archivar. Publicada por la Autoridad Nacional para la Innovación Gubernamental (AIG) en la Gaceta Oficial de Panamá, es una norma con plazos concretos, controles técnicos específicos y consecuencias claras para quien no cumpla. A continuación, lo que toda entidad pública y quien trabaje con ellas necesita entender.

¿A quién aplica?
La Resolución es de cumplimiento obligatorio para los Órganos Ejecutivo, Legislativo y Judicial, así como para las entidades autónomas, semiautónomas, descentralizadas y las empresas estatales, incluyendo sus dependencias y órganos auxiliares.
Para los municipios, juntas comunales, consejos provinciales y comarcas, la norma tiene un carácter distinto: opera como guía técnica de referencia, orientada a fortalecer sus medidas de ciberseguridad, pero sin la misma obligatoriedad que para el resto del Estado.
Los 10 controles mínimos
El corazón de la Resolución es un listado de diez medidas de protección que toda entidad alcanzada debe garantizar, tanto antes de poner en producción un sistema como durante toda su operación:
El reloj ya corrió: 30 días para reportar
La Resolución exige que cada entidad obligada remita a la AIG, dentro de un plazo de 30 días calendario desde la entrada en vigencia de la norma, un informe de autogestión sobre su nivel de cumplimiento.
Si un control ya se cumple, hay que sustentarlo con evidencia documentada. Si no se cumple, la entidad debe presentar un plan de acción que se ejecute en un plazo máximo de 45 días calendario a partir del envío del informe.
Por qué esta Resolución importa más de lo que parece
Panamá ya tenía, desde 2025, el Centro de Operaciones de Seguridad Gubernamental (SOC Gubernamental), creado por el Decreto Ejecutivo No. 53 de 2025 para centralizar la prevención y respuesta ante incidentes cibernéticos del Estado. La Resolución No. 7 es la pieza que faltaba: define qué se espera técnicamente de cada entidad para que ese SOC tenga algo sólido sobre lo cual operar.
Para quienes trabajamos en ciberseguridad, esto también marca un cambio de conversación con el sector público. Ya no se trata de convencer a una entidad de que invierta en seguridad «porque es buena práctica». Ahora hay una fecha, un artículo y una obligación de reportar.
¿Y ahora qué?
Para muchas entidades, el reto no es entender los 10 controles sino demostrar que se cumplen, en un plazo que ya está corriendo. Ahí es donde entra el trabajo de terceros especializados: desde levantar el inventario de activos expuestos, hasta ejecutar la prueba de penetración externa que exige el control No. 8, o acompañar la implementación de MFA y la segmentación DMZ donde todavía no existan.
En Sofistic llevamos años trabajando de cerca con entidades públicas y financieras en Panamá y en la región en exactamente este tipo de ejercicios: pruebas de penetración, evaluaciones de madurez y acompañamiento en cumplimiento regulatorio. Si tu entidad está evaluando dónde está parada frente a estos 10 controles, o necesita apoyo para armar el informe de autogestión antes de que se cumplan los 30 días, con gusto podemos conversar.
La Resolución No. 7 ya está vigente. La pregunta que cada entidad pública en Panamá debería estar respondiendo hoy es simple: si la AIG pidiera el informe de autogestión ahora mismo, ¿qué evidencia tendríamos para mostrar?
¿Tu entidad necesita apoyo con la Resolución No. 7?
Evalúa tu cumplimiento con los 10 controles y prepara tu informe de autogestión antes de que venzan los 30 días.
Preguntas frecuentes
¿A qué entidades aplica la Resolución No. 7 de la AIG?
¿Cuánto tiempo tiene una entidad para reportar su cumplimiento?
¿Qué pasa si mi entidad no cumple con alguno de los 10 controles?
¿Cuáles son los 10 controles mínimos de la Resolución No. 7?
¿Con qué frecuencia debe hacerse prueba de penetración externa?