"2026, el año que pondrá a prueba la gestión pública argentina" tituló PrensaEconómica en septiembre de 2025. La frase quedó dando vueltas en círculos técnicos por una razón sencilla: describe con precisión lo que viene. Tres vectores convergen sobre el estado argentino y latinoamericano al mismo tiempo, y los tres tienen algo en común. Existen marcos internacionales certificables que permiten medir si una administración funciona o solo declara que funciona.
No se trata de una discusión política. Se trata de una discusión técnica. La gestión pública, cuando opera con dinero de terceros y servicios esenciales, debería poder demostrar lo mismo que se le exige a una empresa: que tiene controles, que los controles operan, y que un tercero independiente puede verificarlo. Lo que sigue es un mapa de los tres frentes, las normas que aplican y el tipo de evidencia que un organismo certificador acreditado mira cuando audita una entidad pública.
Ciberseguridad pública: cuando el servicio cae, el estado cae
En diciembre de 2024 una intrusión expuso datos de millones de usuarios en la plataforma Mi Argentina. Antes había sido el Banco Hipotecario del Uruguay. Y antes, durante todo 2024 y 2025, decenas de municipios argentinos sufrieron ataques de ransomware, defacement de portales y exfiltración de bases tributarias. Parlamentario y El Litoral consignaron en mayo de 2025 un dato que conviene retener: el 60% de los municipios argentinos carece de protocolos contra ciberataques.
El número no sorprende a quien audita. Sorprende a quien gobierna. La diferencia es relevante: si gestionás un municipio, una caja previsional o un sistema de turnos médicos, tu superficie de ataque ya está mapeada por terceros, esté o no esté mapeada por vos. La pregunta no es si te van a intentar vulnerar. La pregunta es si tenés un sistema de gestión de seguridad de la información que detecte, contenga y restituya servicio en un plazo aceptable.
El piso técnico internacional existe y es conocido. ISO/IEC 27001 define los controles de un sistema de gestión de seguridad de la información, y cuando la certificación viene emitida por un organismo acreditado bajo el esquema IAS con alcance reconocido —en el caso de G-CERTI, MSCB-113—, esa certificación es comparable internacionalmente. A su lado, ISO 22301 establece el sistema de gestión de continuidad de negocio: el conjunto de procedimientos que permite que un servicio crítico vuelva a estar en línea aunque el centro de datos primario haya quedado fuera.
Un municipio que opera turnos de salud, recaudación, licencias de conducir y atención al vecino vía portales digitales necesita pensar en términos de estos dos sistemas combinados. No porque la moda lo pida. Porque la realidad operativa lo pide. Y porque, cuando el incidente ocurre —y va a ocurrir—, lo que se mira es si la entidad tenía los controles documentados, probados y auditados, o si los improvisó esa noche.
Transparencia y antisoborno: la única norma certificable
En materia de transparencia y lucha contra la corrupción existen muchos marcos. UNCAC en Naciones Unidas, recomendaciones de OCDE, acuerdos de Mercosur, leyes nacionales de ética pública. Lo que es menos conocido es que existe una sola norma internacional certificable que estructura un sistema de gestión antisoborno: ISO 37001.
La norma no resuelve la corrupción por decreto. Eso ningún papel lo hace. Lo que ISO 37001 sí ofrece es una arquitectura verificable: política antisoborno explícita, evaluación de riesgo de soborno, debida diligencia sobre terceros, controles financieros, procedimientos de denuncia con protección al denunciante, investigación interna, y revisión por la dirección. Cuando un organismo certificador acreditado audita ese sistema, lo que produce no es una declaración de pureza moral. Es una constatación de que existen los controles, operan, dejan rastro y son trazables.
Para una administración pública que adjudica obra, contrata servicios o gestiona programas sociales con fondos públicos o de organismos multilaterales, tener ISO 37001 certificada no es ornamento. Es el lenguaje internacional con el que se conversa con BID, Banco Mundial, OCDE y contrapartes regulatorias en el exterior. Y es, también, una forma de blindar al funcionario de carrera frente a la sospecha estructural sobre el sector.
Calidad educativa pública: ISO 21001 y las universidades auditadas
En junio de 2025, EnlaceTecno tituló "Las auditorías transforman la educación pública en Argentina". El título no era retórica. Entre noviembre de 2024 y enero de 2025, distintos medios reportaron procesos de auditoría sobre universidades latinoamericanas bajo marcos de gestión de organizaciones educativas.
La norma de referencia es ISO 21001, sistema de gestión para organizaciones educativas. A diferencia de ISO 9001, que aplica a calidad genérica, ISO 21001 está construida específicamente para entidades cuyo producto principal es el aprendizaje. Define qué se entiende por necesidades del estudiante, cómo se traza la calidad docente, cómo se mide retención, cómo se evalúa pertinencia curricular y cómo se gestiona la mejora continua del proceso educativo.
Para una universidad pública, una escuela técnica provincial o un programa de capacitación de organismos del estado, certificar bajo ISO 21001 produce un efecto que no es cosmético: obliga a documentar lo que en la mayoría de las instituciones existe pero no está sistematizado. Quién evalúa al docente, cómo se procesan los reclamos académicos, qué se hace cuando la deserción supera un umbral, cómo se aprueba un cambio curricular. La auditoría externa fuerza esa explicitación.
Salud pública: tres normas conviviendo en el mismo hospital
El sistema de salud pública argentino y latinoamericano combina tres dimensiones que internacionalmente se gestionan con normas distintas pero complementarias. ISO 9001 ordena el sistema de gestión de calidad general del hospital o centro asistencial: procesos, indicadores, no conformidades, mejora continua. ISO 22000 gestiona inocuidad de alimentos, y aplica directo a la cocina hospitalaria, el catering pediátrico, los servicios de comedor de personal sanitario. ISO 14001 gestiona el sistema ambiental, con foco específico en residuos patogénicos, gestión de efluentes y trazabilidad de insumos peligrosos.
En el sector privado de la región hay casos ya consolidados donde la combinación de estas tres normas convierte al hospital en una organización auditable de punta a punta. La diferencia con el sector público no es ideológica. Es de gestión: quién es el dueño del proceso, quién firma el indicador, quién responde por la no conformidad.
El argumento de que el estado no puede gestionarse como una organización auditable es, técnicamente, falso. Lo que sí es cierto es que requiere voluntad política sostenida y un equipo técnico que sepa lo que está haciendo. Las dos cosas se construyen.
El sentido común: hacer verificable lo que se promete
La certificación ISO no es una moda y no resuelve por sí sola problemas estructurales. No reemplaza la política, no sustituye al control parlamentario, no ahorra el debate público. Lo que hace, y hace bien, es transformar promesas en evidencia auditable.
Cuando una intendencia declara que tiene un protocolo de respuesta ante incidentes informáticos, ISO 27001 obliga a que ese protocolo exista por escrito, esté probado en simulacro, tenga responsables nominados y deje registro de los ejercicios. Cuando un ministerio declara que tiene política antisoborno, ISO 37001 obliga a que esa política esté firmada por la máxima autoridad, comunicada a todo el personal, ejercida sobre proveedores y revisada anualmente. Cuando una universidad declara que se preocupa por la retención estudiantil, ISO 21001 obliga a que exista un indicador, una meta, un responsable y una revisión.
El estado no necesita certificarse por moda ni por marketing. Necesita demostrar que funciona como dice que funciona. La certificación, cuando la emite un organismo acreditado bajo esquema internacional, es la herramienta técnica que hace verificable esa promesa frente a ciudadanos, contrapartes externas y organismos de control.
Iztapalapa no explotó una pipa, explotó el sistema de control.
— Tecnofuturo24, septiembre 2025
La frase, dura, sintetiza el punto. Cuando un sistema de gestión falla, lo que falla rara vez es el último eslabón visible. Lo que falla es la cadena entera de controles que debió haber detectado el problema tres pasos antes. Las normas internacionales certificables no son una garantía de que esa cadena no vuelva a romperse. Son la herramienta que permite saber, antes del incidente, dónde están los eslabones débiles. Y eso, en gestión pública, es la diferencia entre administrar y improvisar.