El Gobierno puso un plazo fatal para que los organismos estatales blinden sus sistemas: el detalle que nadie vio venir
El Gobierno fijó 180 días para que organismos públicos refuercen sus sistemas contra ciberataques y desastres. La norma del Centro de Ciberseguridad exige centros de respaldo a 1500 km y pruebas periódicas.
El Gobierno nacional fijó un plazo de 180 días para que todos los organismos del Sector Público Nacional refuercen sus sistemas tecnológicos ante ciberataques, fallas graves y desastres informáticos. La medida, publicada en el Boletín Oficial, apunta a que los servicios críticos del Estado puedan sostenerse o recuperarse en tiempos definidos.
La disposición fue emitida por el Centro Nacional de Ciberseguridad a través de su primera norma oficial. Allí se aprueba un reglamento técnico que establece requisitos mínimos de continuidad operativa y resiliencia digital para todas las entidades estatales que utilicen centros de datos o infraestructura tecnológica.
¿Qué deberán presentar los organismos estatales?
Cada organismo alcanzado deberá presentar un informe de cumplimiento de su Plan de Recuperación ante Desastres. Ese documento tendrá que incluir, cuando corresponda, la ubicación del centro alternativo, sus características técnicas y los resultados de al menos una prueba inicial de conmutación al sitio de respaldo.
La normativa fija plazos estrictos según la criticidad de los sistemas. Para sistemas de criticidad alta, el tiempo de recuperación (RTO) deberá ser menor a 4 horas y la pérdida máxima de información (RPO) no podrá superar una hora. Para criticidad media, el RTO será menor a 24 horas y el RPO menor a 4 horas. En los sistemas de criticidad baja, la recuperación podrá ubicarse entre 1 y 5 días, con copias de seguridad verificadas por muestreo.
Además, cada organismo deberá elaborar una política formal de planes de contingencia, con propósito, alcance, roles, responsabilidades y procedimientos de actualización. También tendrán que realizar un inventario de sistemas, aplicaciones, datos, infraestructura y proveedores, actualizable al menos una vez por año o antes si hay cambios relevantes.
Centros de respaldo, pruebas y clasificación de sistemas
Uno de los puntos más exigentes es la obligación de contar con un Centro de Datos de Respaldo dentro del territorio argentino, a no menos de 1500 kilómetros del centro principal. La idea es evitar que un mismo evento afecte a ambos sitios simultáneamente.
El centro de respaldo deberá certificarse y tener altos niveles de disponibilidad, redundancia eléctrica, climatización duplicada, protección contra incendios, seguridad física y lógica, y posibilidad de mantenimiento sin interrumpir operaciones.
En cuanto a conectividad, el sitio principal y el de respaldo deberán estar unidos por al menos dos enlaces independientes, preferentemente con fibra óptica por rutas físicas distintas y contratados a proveedores diferentes. También se recomienda un tercer enlace satelital o por radioenlace para escenarios extremos.
Del plan escrito a las pruebas reales
La disposición también obliga a probar los planes. Los sistemas de alta criticidad deberán realizar una prueba completa anual del Plan de Recuperación ante Desastres, ejercicios tabletop semestrales, pruebas de recuperación desde backups offline y tests de conmutación de redes.
Para sistemas de criticidad media, se prevé una prueba completa anual, ejercicios tabletop trimestrales y pruebas de backups offline. En los de baja criticidad, se deberán hacer pruebas de consistencia de copias de seguridad por muestreo.
Después de cada ejercicio, los organismos tendrán que elaborar un informe con métricas y un plan de remediación. La planificación de contingencia pasa así de una exigencia documental a un proceso operativo con evidencia, seguimiento y mejora continua.
La norma también menciona la necesidad de contar con playbooks específicos por tipo de incidente, incluidos escenarios de ransomware y destrucción física. Ese punto incorpora una distinción importante: no todos los incidentes se responden de la misma manera ni requieren las mismas decisiones técnicas.
El nuevo esquema abre una etapa de implementación compleja para el Estado. La adecuación exigirá presupuesto, infraestructura, coordinación entre áreas técnicas, definición de responsables, contratación o construcción de centros de respaldo y entrenamiento sostenido. El plazo de 180 días marca el primer vencimiento operativo, mientras que los 20 meses para la certificación Tier 3 fijan una segunda meta de mayor exigencia.