CNC 1/2026: contingencia, RTO y prueba de respaldo
La Disposicion 1/2026 da 180 días al Sector Publico Nacional para planes de contingencia, RTO/RPO y prueba de conmutacion. Guía para armar evidencia.
El Centro Nacional de Ciberseguridad dio 180 días para que organismos del Sector Publico Nacional documenten planes de contingencia, RTO, RPO y una prueba de conmutacion. La Disposicion 1/2026, publicada el 13 de mayo, alcanza a quienes usan centros de datos o infraestructura de TI. Para proveedores y áreas IT cuyanas, la norma ordena una pregunta concreta: que servicio vuelve primero, con que datos y que evidencia queda.
Qué exige la norma en terminos operativos
La disposicion aprueba un reglamento técnico para políticas y planes de contingencia, planes de recuperacion y centros de procesamiento de datos alternativos. El articulo 5 fija el plazo: ciento ochenta días desde la entrada en vigencia para adecuar infraestructura, políticas y planes, y presentar un informe con ubicacion del sitio alternativo cuando corresponda, caracteristicas técnicas, resultados de una prueba inicial de conmutacion y parametros RTO/RPO. La carpeta de continuidad sin prueba quedo vieja en una sola mañana. La escala global marca la misma disciplina. Octoverse 2025 informo más de 180 millones de desarrolladores y 630 millones de repositorios. Un municipio chico esta lejos de esa cifra, pero comparte el mismo problema de trazabilidad: muchos cambios, varios responsables y una necesidad de volver a un estado conocido.
Dónde aparece el plan que nadie probo
El antagonista es el plan de contingencia escrito para auditoría y nunca ensayado. En una municipalidad del Gran Mendoza con menos de 50.000 habitantes, el responsable de IT puede tener rentas, mesa de entradas, expedientes, correo y cámaras en servidores distintos. Un rótulo plastificado en el rack dice "backup diario", aunque nadie anoto que sistema vuelve en dos horas y cual puede esperar hasta el día siguiente. El Decreto 941/2025 creo el CNC y le asigno funciones sobre ciberseguridad, infraestructuras criticas y servicios publicos esenciales. La disposicion toma referencias de NIST, ISO y ENISA para bajar esa autoridad a un control verificable. El punto sensible esta en la prueba de conmutacion: el informe debe mostrar que el servicio paso al sitio de respaldo y con que perdida aceptada.
Cómo funciona por dentro
El flujo mínimo tiene siete pasos. Primero, IT lista sistemas, duenos, datos, dependencias y horario critico. Segundo, cada área define RTO, que mide tiempo máximo de recuperacion, y RPO, que mide perdida máxima de datos. Tercero, PostgreSQL 17 guarda inventario, responsables, fechas de prueba, incidentes y evidencias. Cuarto, MinIO/S3 guarda capturas, actas, configuraciones y reportes en forma de objetos con metadatos. Quinto, el sitio alternativo recibe copia de base, archivos y secretos. Sexto, monitoreo revisa servicios y alerta fallas. Septimo, una prueba restaura un tramite real y deja acta firmada. PostgreSQL guarda registros estructurados, usuarios, estados y auditoría. MinIO/S3 guarda archivos grandes y conserva metadatos. El monitoreo recibe URL, puerto o consulta y entrega alerta por servicio. El backup recupera base, archivos, configuración y evidencia; se prueba con una restauración completa, no con una captura de pantalla. Si falla la base, no se sabe que versión se recupero. Si falla el repositorio de objetos, el acta queda sin respaldo. Si falla el monitoreo, el corte se descubre por telefono. Los permisos separan carga, aprobación y lectura. IT carga pruebas y evidencias. Secretaria de gobierno aprueba prioridades. Auditoría lee reportes. Proveedores solo ven servicios asignados. El borrado de actas queda bloqueado; una correccion exige motivo, usuario y fecha.
Qué se instala o configura primero
La pila inicial puede usar inventario en PostgreSQL 17, repositorio S3, copias diarias, monitoreo de servicios, lista de contactos, repositorio de configuraciones y un sitio alternativo chico. El piloto cuesta entre USD 1.500 y USD 4.500, entre ARS 2,11 y 6,34 millones al dólar vendedor oficial de $1.409 informado por Bluelytics. Incluye relevamiento, matriz RTO/RPO, permisos, repositorio de evidencias, una conmutacion y acta. El plazo va de tres a seis semanas para una primera versión con cinco servicios. UMSA suele pedir un entregable verificable: inventario aprobado, dos RTO distintos, dos RPO distintos, copia recuperada, conmutacion documentada, usuarios con permisos y reporte de fallas. El costo no incluye hardware de sitio alternativo ni conectividad nueva. La primera prueba conviene hacerla con un servicio acotado. Mesa de entradas sirve si tiene base, adjuntos, usuarios y consulta publica. El ensayo marca hora de corte, hora de vuelta, datos perdidos, responsable y evidencia descargable.
Dónde se rompe y cómo probarlo Primer riesgo: RTO elegido sin mirar dependencias.
La señal aparece cuando el servicio vuelve, pero no puede enviar correo, validar usuarios o leer adjuntos. La prueba corta un componente y registra dependencias reales. Segundo riesgo: backup de base sin archivos. La señal es un expediente recuperado sin PDF. La prueba restaura un tramite con base, adjunto y acta. Tercer riesgo: sitio alternativo sin permisos. La señal aparece cuando solo un administrador puede entrar durante el ensayo. La prueba usa tres perfiles y confirma lectura, carga y aprobación. Cuarto riesgo: informe sin evidencia técnica. La señal es un acta que dice "probado" sin hora, hash, captura o log. La prueba exige archivo descargable y usuario responsable. Este texto no reemplaza asesoramiento legal ni de cumplimiento.