Noticias

Resolución
_
No.
_
7
_
de
_
la
_
IAG
_
Panamá:
_
los
_
10
_
controles
_
mínimos
_
de
_
ciberseguridad
_
que
_
toda
_
entidad
_
pública
_
panameña
_
debe
_
cumplir

Tendencias

El pasado 14 de mayo de 2026, la Gaceta Oficial de Panamá publicó la Resolución No.7 de la AIG: por primera vez, el Estado panameño fija un mínimo obligatorio de ciberseguridad para sus sistemas informáticos.

La Resolución No. 7 de la AIG en Panamá no es un documento más para archivar. Publicada por la Autoridad Nacional para la Innovación Gubernamental (AIG) en la Gaceta Oficial de Panamá, es una norma con plazos concretos, controles técnicos específicos y consecuencias claras para quien no cumpla. A continuación, lo que toda entidad pública y quien trabaje con ellas necesita entender.

Edificio gubernamental de Panamá con acento de ciberseguridad — Resolución No. 7 AIG

¿A quién aplica?

La Resolución es de cumplimiento obligatorio para los Órganos Ejecutivo, Legislativo y Judicial, así como para las entidades autónomas, semiautónomas, descentralizadas y las empresas estatales, incluyendo sus dependencias y órganos auxiliares.

Para los municipios, juntas comunales, consejos provinciales y comarcas, la norma tiene un carácter distinto: opera como guía técnica de referencia, orientada a fortalecer sus medidas de ciberseguridad, pero sin la misma obligatoriedad que para el resto del Estado.

Los 10 controles mínimos

El corazón de la Resolución es un listado de diez medidas de protección que toda entidad alcanzada debe garantizar, tanto antes de poner en producción un sistema como durante toda su operación:

1
Inventario de activos expuestos a Internet
Saber qué se tiene, dónde está y quién es responsable de cada activo tecnológico conectado a la red pública.
2
Actualización y parchado
Servidores, aplicaciones, servicios y dispositivos de red al día, priorizando los expuestos a Internet.
3
Autenticación multifactor (MFA)
Obligatoria para VPN, correo institucional externo y plataformas SaaS, incluidas redes sociales.
4
Sistemas operativos vigentes y con soporte
Si un equipo no puede actualizarse, debe quedar aislado de la red con controles de mitigación.
5
Protección contra malware
Activa y actualizada en estaciones de trabajo y servidores.
6
Segmentación perimetral mediante DMZ
Ningún sistema expuesto puede vivir dentro de la red interna, protegido además por un WAF.
7
Restricción de accesos administrativos
SSH, RDP, SMB, bases de datos e interfaces de administración, no accesibles desde Internet.
8
Prueba de penetración externa
Al menos una vez al año, sobre los activos expuestos, con hallazgos y remediación documentados.
9
Filtrado de navegación web
Para prevenir el acceso a sitios maliciosos o de alto riesgo.
10
Protección del correo institucional
Controles activos contra phishing, enlaces fraudulentos y suplantación de identidad.

El reloj ya corrió: 30 días para reportar

La Resolución exige que cada entidad obligada remita a la AIG, dentro de un plazo de 30 días calendario desde la entrada en vigencia de la norma, un informe de autogestión sobre su nivel de cumplimiento.

30 días
para remitir el informe de autogestión a la AIG
45 días
para ejecutar el plan de acción si un control no se cumple

Si un control ya se cumple, hay que sustentarlo con evidencia documentada. Si no se cumple, la entidad debe presentar un plan de acción que se ejecute en un plazo máximo de 45 días calendario a partir del envío del informe.

No basta con «estar trabajando en ello». La norma pide evidencia, plazos y seguimiento.

Por qué esta Resolución importa más de lo que parece

Panamá ya tenía, desde 2025, el Centro de Operaciones de Seguridad Gubernamental (SOC Gubernamental), creado por el Decreto Ejecutivo No. 53 de 2025 para centralizar la prevención y respuesta ante incidentes cibernéticos del Estado. La Resolución No. 7 es la pieza que faltaba: define qué se espera técnicamente de cada entidad para que ese SOC tenga algo sólido sobre lo cual operar.

Para quienes trabajamos en ciberseguridad, esto también marca un cambio de conversación con el sector público. Ya no se trata de convencer a una entidad de que invierta en seguridad «porque es buena práctica». Ahora hay una fecha, un artículo y una obligación de reportar.

¿Y ahora qué?

Para muchas entidades, el reto no es entender los 10 controles sino demostrar que se cumplen, en un plazo que ya está corriendo. Ahí es donde entra el trabajo de terceros especializados: desde levantar el inventario de activos expuestos, hasta ejecutar la prueba de penetración externa que exige el control No. 8, o acompañar la implementación de MFA y la segmentación DMZ donde todavía no existan.

En Sofistic llevamos años trabajando de cerca con entidades públicas y financieras en Panamá y en la región en exactamente este tipo de ejercicios: pruebas de penetración, evaluaciones de madurez y acompañamiento en cumplimiento regulatorio. Si tu entidad está evaluando dónde está parada frente a estos 10 controles, o necesita apoyo para armar el informe de autogestión antes de que se cumplan los 30 días, con gusto podemos conversar.

La Resolución No. 7 ya está vigente. La pregunta que cada entidad pública en Panamá debería estar respondiendo hoy es simple: si la AIG pidiera el informe de autogestión ahora mismo, ¿qué evidencia tendríamos para mostrar?

¿Tu entidad necesita apoyo con la Resolución No. 7?

Evalúa tu cumplimiento con los 10 controles y prepara tu informe de autogestión antes de que venzan los 30 días.

Agenda una conversación con Sofistic →

Preguntas frecuentes

¿A qué entidades aplica la Resolución No. 7 de la AIG?
Aplica de forma obligatoria a los Órganos Ejecutivo, Legislativo y Judicial, y a las entidades autónomas, semiautónomas, descentralizadas y empresas estatales. Para municipios, juntas comunales, consejos provinciales y comarcas funciona como guía técnica de referencia, sin la misma obligatoriedad.
¿Cuánto tiempo tiene una entidad para reportar su cumplimiento?
30 días calendario desde la entrada en vigencia de la norma para enviar a la AIG un informe de autogestión con evidencia documentada del nivel de cumplimiento de cada uno de los 10 controles. 
¿Qué pasa si mi entidad no cumple con alguno de los 10 controles?
Debe presentar un plan de acción correctivo, con un plazo máximo de 45 días calendario a partir del envío del informe de autogestión, para cerrar la brecha. La Resolución no especifica sanciones económicas, pero la AIG queda como responsable de supervisar y verificar el cumplimiento. 
¿Cuáles son los 10 controles mínimos de la Resolución No. 7?
Inventario de activos expuestos a Internet, actualización y parchado, autenticación multifactor (MFA), sistemas operativos vigentes y con soporte, protección contra malware, segmentación perimetral mediante DMZ, restricción de accesos administrativos desde Internet, prueba de penetración externa anual, filtrado de navegación web, y protección del correo electrónico institucional. 
¿Con qué frecuencia debe hacerse prueba de penetración externa?
Al menos una vez al año, sobre los activos expuestos a Internet, con hallazgos y remediación documentados como evidencia de cumplimiento.