El Centro Nacional de Ciberseguridad argentino comunicó la
Disposición 1/2026
con nuevos lineamientos técnicos para mejorar la resiliencia del Estado frente
a ciberataques, fallas críticas e incidentes que puedan afectar servicios
esenciales. Las claves del boletín oficial.
La publicación en el Boletín Oficial de los nuevos lineamientos técnicos
establecidos por el Centro Nacional de Ciberseguridad (CNC) para todos los
organismos del sector estatal
busca fortalecer la resiliencia cibernética de las infraestructuras
críticas y mejorar las capacidades de prevención, respuesta y recuperación
ante incidentes informáticos en organismos públicos.
En concreto, establece un plazo de 180 días para que cada uno de los
organismos implicados adecue sus infraestructuras, políticas y procedimientos
internos a las nuevas disposiciones.
La normativa representa un cambio de paradigma respecto de cómo los Estados
abordan la seguridad digital: ya no alcanza con prevenir un ataque, sino que
también resulta clave garantizar la continuidad operativa ante un incidente.
El objetivo ya no es solo prevenir ataques, sino recuperarse rápido
La nueva normativa
pone el foco en la resiliencia y la recuperación operativa, en un
contexto en el que durante años la mayoría de las estrategias defensivas se
centraron en la prevención, pero el crecimiento y la evolución del ransomware
y de otros tipos de ataques hizo que las organizaciones deban aceptar una
realidad incómoda: ningún entorno es invulnerable.
De acuerdo con la nueva normativa de la CNC,
cada organismo deberá identificar y clasificar todos sus sistemas según el
impacto que tendría su caída, tanto en lo económico, como en la afectación
de servicios al ciudadano, las consecuencias legales y el daño reputacional.
Para ello, se incorporan conceptos asociados a continuidad del negocio y
recuperación ante desastres, como RTO (Recovery Time Objective) y RPO
(Recovery Point Objective), que se utilizan para definir tiempos máximos de
recuperación y pérdida aceptable de datos.
En concreto, para sistemas de criticidad alta, el RTO deberá ser menor a 4
horas y la RPO no podrá superar una hora. En sistemas de criticidad media, el
RTO será menor a 24 horas y el RPO menor a 4 horas. Mientras que, para los
sistemas de criticidad baja, la recuperación podrá ubicarse entre 1 y 5 días,
con copias de seguridad verificadas por muestreo.
Centros de datos de respaldo y plan de recuperación de desastres
Otro punto crítico es la obligación de contar con un Centro de Datos de
Respaldo dentro del territorio argentino, para evitar que un mismo evento
afecte en simultáneo al sitio principal y al alternativo (sea un ciberataque,
un apagón masivo o desastre natural). Entre sus características, debe contar
con niveles altos de disponibilidad, redundancia eléctrica y protección contra
incendios, entre otros.
Por otro lado,
la
nueva disposición
obliga a los organismos estatales a efectuar una prueba anual de su Plan de
Recuperación ante Desastres, pruebas de conmutación y pruebas de
recuperación desde backups offline, entre otras.
Se deben compartir las métricas dentro de un informe, para así llevar adelante
un proceso operativo que cuente con evidencia, seguimiento y la oportunidad de
una mejora continua.
El texto de la norma incluso menciona escenarios específicos como ransomware y
la caída total de infraestructura, exigiendo que existan guías paso a paso
(playbooks) para llevar a cabo la recuperación en distintos escenarios
de desastre. Estos playbooks deben ser específicos para cada tipo de incidente
relevante, con el objetivo de minimizar el impacto operativo que pueda
ocasionar un incidente de ciberseguridad.
En este contexto, incorporar capacidades de Inteligencia de Amenazas resulta
crítico, ya que permite a las entidades de gobierno “anticiparse mediante el
análisis de actores, tácticas, técnicas y procedimientos (TTPs), priorizar
riesgos en función del contexto geopolítico y sectorial, y transformar
información en decisiones accionables para la protección de activos críticos.
La resiliencia pasa al centro de la estrategia
La nueva normativa refleja un cambio en la forma en que gobiernos y
organizaciones a la cuestión de la ciberseguridad.
Durante años, las organizaciones —tanto públicas como privadas— basaron sus
estrategias bajo la premisa de impedir cualquier intrusión. Hoy, el paradigma
comienza a cambiar: se asume que los incidentes pueden ocurrir y que, por lo
tanto, las organizaciones deben estar preparadas para resistir, responder y
recuperarse de la manera más rápida posible.
En otras palabras, la resiliencia pasa a tener casi el mismo peso que la
prevención. En el caso de los organismos estatales, esa capacidad de
recuperación es crítica: no solo impacta sobre sistemas o infraestructuras,
sino también sobre servicios esenciales, trámites, operaciones críticas y la
vida cotidiana de los ciudadanos.
Por eso, más allá del lado técnico de la normativa, la medida emerge como
parte de una transformación mucho más amplia: la consolidación de la
ciberseguridad como un componente central para la estabilidad y continuidad
operativa de un país.
Fuente:
WeLiveSecurity