Durante años, la ciberseguridad se delegó al área técnica: un firewall, un antivirus corporativo, un responsable de IT que reportaba incidentes cuando ya eran ruido público. Ese esquema dejó de funcionar. En 2025 y lo que va de 2026, los incidentes que comprometieron al sector público argentino y a entidades reguladas mostraron que un ataque informático no termina en el servidor: termina en la tapa del diario, en la consulta del regulador y en la mesa del directorio.
El cambio no es retórico. Un comprador enterprise hoy pide evidencia de continuidad antes de firmar un contrato. Un cliente del sector público exige demostrar control sobre el dato personal que recibe. Un banco corresponsal corta líneas si detecta que el proveedor no tiene un sistema de gestión auditado por un tercero acreditado. La ciberseguridad pasó a ser una variable de continuidad del negocio y reputación en tiempo real, no un costo hundido del CIO.
Por qué cambió el juego entre 2025 y 2026
El año pasado dejó tres hechos que ningún directorio puede ignorar. Primero, el ataque al Banco Hipotecario del Uruguay (BHU) mostró que una entidad financiera regional puede quedar operativamente fuera de línea durante días, con costos directos y costos reputacionales que no se recuperan con un comunicado. Segundo, la filtración de credenciales asociadas a Mi Argentina puso sobre la mesa la fragilidad de las plataformas de identidad estatal. Tercero, los municipios argentinos quedaron retratados como el eslabón más débil de la cadena.
El 60% de los municipios argentinos carece de protocolos contra ciberataques.
El Litoral, mayo 2025
A esos hechos se sumó un cambio regulatorio que ya no admite dilación. La Ley de Protección de Datos Personales argentina (Habeas Data) está siendo revisada para alinearse con estándares internacionales. La LGPD brasileña se aplica a cualquier proveedor que opere datos de ciudadanos brasileños, sin importar dónde esté la empresa. El GDPR europeo sigue siendo la vara para cualquier organización que quiera vender a la Unión Europea o recibir inversión institucional. Los tres marcos coinciden en algo: piden demostración, no declaración.
El resultado práctico es que el CISO ya no decide solo. La decisión de invertir en un sistema de gestión certificado se discute en el directorio porque el riesgo migró del plano técnico al plano patrimonial y reputacional. Una caída prolongada o una filtración mal gestionada hoy se traduce en pérdida de clientes, multas regulatorias y caída de valuación. La ciberseguridad dejó de ser IT.
Qué exige hoy un comprador enterprise o un cliente regulado
Cuando una organización entra a una licitación pública seria, a una compra corporativa enterprise o a una ronda con un fondo institucional, le piden tres cosas que antes eran opcionales: un sistema de gestión de seguridad de la información certificado, un plan de continuidad del negocio auditado, y un marco de privacidad sobre datos personales demostrable. En lenguaje normativo, ese paquete son tres normas que conviene tratar en conjunto.
ISO/IEC 27001 cubre el sistema de gestión de seguridad de la información. Define cómo identificás activos, evaluás riesgos, aplicás controles y monitoreás incidentes. No es un certificado de producto ni una validación tecnológica: es la prueba de que la organización tiene un sistema vivo de gestión del riesgo digital.
ISO 22301 cubre la continuidad del negocio. Mientras 27001 protege la información, 22301 garantiza que la operación sigue cuando algo falla: un ataque, una caída de proveedor crítico, una contingencia regulatoria. Para sectores regulados (banca, energía, salud, gobierno) y para proveedores estratégicos del Estado, esta norma dejó de ser opcional.
ISO/IEC 27701 cubre la gestión de privacidad. Se acopla como extensión de 27001 y traduce la operación a los marcos de protección de datos personales: Habeas Data, LGPD, GDPR. Si tu organización procesa datos de personas físicas, esta es la norma que el regulador y el cliente regulado van a pedir leer.
Las tres se complementan. Certificar 27001 sin 22301 deja al directorio expuesto a una caída prolongada. Certificar 22301 sin 27701 deja al cliente regulado sin garantías sobre el dato personal. Por eso el enfoque maduro hoy es un alcance integrado y verificable, donde las tres normas se auditan bajo un mismo sistema de gestión y un mismo programa de auditoría de tercera parte.
Tener un SGSI no es lo mismo que demostrar control
La diferencia entre una organización que sobrevive un incidente y una que no, casi nunca está en la tecnología: está en la evidencia. Es habitual encontrar empresas que "tienen un SGSI" en una carpeta, con políticas firmadas y un manual de procedimientos, pero que cuando un comprador pide ver registros de revisión por la dirección, actas de tratamiento de no conformidades, evidencia de pruebas de continuidad o reportes de auditoría interna, no pueden mostrarlos.
Es hora de demostrar control.
Produ + iProUp, enero 2026
Demostrar control no es exhibir un certificado en la web. Es poder responder, frente a una auditoría de tercera parte o frente a una due diligence enterprise, qué pasó la última vez que se detectó un incidente, cómo se trató, qué cambió en el sistema después, y qué métricas se monitorean de manera continua. Ese tipo de evidencia es lo que hace que un certificado tenga valor de mercado, y es lo que distingue a un sistema vivo de un sistema decorativo.
La auditoría externa, cuando la realiza un certificador con alcance verificable bajo ISO/IEC 17021-1, es el mecanismo que obliga a esa demostración. No es un trámite: es la instancia donde un equipo independiente verifica que el sistema documentado coincide con la operación real, y donde las no conformidades se traducen en planes de acción con seguimiento. Una organización que pasa una auditoría seria no compra un papel: compra la disciplina de tener un sistema que aguanta el escrutinio.
Si el certificador no tiene alcance verificable, el papel no sirve
Hay un punto técnico que muchos directorios descubren tarde. Un certificado ISO 27001 vale lo que vale la trazabilidad del certificador que lo emite. Si el organismo no puede demostrar acreditación, alcance público aplicable y reconocimiento dentro del sistema internacional Global ACI, el certificado puede no ser aceptado por compradores, reguladores o cadenas de suministro enterprise.
La pregunta que conviene hacer antes de contratar un certificador es directa: ¿bajo qué acreditación opera, cuál es su número público y si la norma que necesito está dentro de su alcance vigente? Un certificador serio responde sin rodeos. Si la respuesta es ambigua, si se menciona una acreditación "interna" o "por convenio" sin número público verificable, el riesgo es contratar una auditoría que después no será aceptada por el cliente final que motivó la decisión de certificar.
El criterio operativo es simple: alcance acreditado claro, número de acreditación verificable, y cobertura por una norma de organismo certificador (ISO/IEC 17021-1 para sistemas de gestión). Sin esos tres elementos, el certificado funciona puertas adentro pero no resuelve el problema comercial ni regulatorio que motivó la inversión.
Qué conviene hacer ahora
Si tu organización procesa datos sensibles, opera en sector regulado o vende a sector público, conviene revisar el alcance actual de tu sistema de gestión con un certificador con alcance verificable antes de que un comprador o un regulador haga la pregunta primero. La revisión inicial no compromete a certificar: permite saber qué brechas existen, qué normas conviene integrar y qué nivel de evidencia hace falta producir para sostener una auditoría de tercera parte.