BCRA mide resiliencia operacional. ISO 27001 + ISO 22301 ejecutadas con rigor cubren el 80% — y el otro 20% es donde se pierden las multas.
Las comunicaciones BCRA A-7724, A-7783, A-7841 mapean al 80% sobre ISO 27001 + ISO 22301. El 20% restante es donde se pierden las multas.
La regulación financiera argentina sobre resiliencia operacional ha evolucionado significativamente desde 2022. Las comunicaciones BCRA A-7724 (resiliencia operacional), A-7783 (gestión de riesgos), A-7841 (tercerización), y otras comunicaciones complementarias establecen requisitos que mapean operativamente al 80% sobre la combinación ISO 27001:2022 + ISO 22301:2019. El 20% restante son especificidades regulatorias locales.
Esta aplicación analiza el mapeo concreto, las brechas estructurales típicamente observadas en bancos medianos LATAM, y la hoja de ruta operativa para construir un sistema que cubra ambos marcos sin duplicación.
BCRA A-7724 establece el régimen de resiliencia operacional con seis dimensiones: identificación de servicios críticos, mapeo de dependencias, tolerancia al impacto, pruebas de escenarios extremos pero plausibles, gestión de proveedores críticos, y gobierno de la resiliencia. La comunicación es paralelamente compatible con el régimen DORA europeo y con regímenes equivalentes en otros países (Banco Central de Chile CMF, SBS Perú, SFC Colombia).
BCRA A-7783 establece el régimen de gestión integral de riesgos con énfasis en riesgo operacional y tecnológico. A-7841 establece el régimen de tercerización con foco en proveedores críticos. Las tres comunicaciones leídas en conjunto son lo que el regulador audita en sus inspecciones del último ciclo.
Servicios críticos (A-7724.1) ↔ alcance del SGSI bajo ISO 27001 cláusula 4.3 + servicios críticos del BIA bajo ISO 22301 cláusula 8.2.2. El mapeo es directo si la organización ya tiene ambos sistemas. Si solo tiene 27001, la dimensión de servicio crítico de continuidad de negocio queda débil.
Mapeo de dependencias (A-7724.2) ↔ ISO 22301 BIA + Anexo A.5.19-A.5.22 de ISO 27001 (gestión de proveedores). El mapeo es directo cuando la documentación es robusta. Brecha típica: documentación incompleta de dependencias indirectas (proveedor del proveedor) que el regulador audita.
Tolerancia al impacto (A-7724.3) ↔ RTO/RPO bajo ISO 22301 + objetivos de seguridad bajo ISO 27001 cláusula 6.2. Brecha típica: tolerancia declarada sin sustento de capacidad operativa real.
Pruebas de escenarios extremos (A-7724.4) ↔ ISO 22301 cláusula 8.5 (programa de pruebas) + simulacros de incidentes bajo Anexo A.5.24-A.5.27 de 27001. Brecha típica: pruebas ejecutadas como ejercicio formal sin criterio de aceptación documentado.
Gestión de proveedores críticos (A-7724.5 + A-7841) ↔ Anexo A.5.19-A.5.22 de 27001 + cláusula 8.4 de 22301 + cláusula 8.4.1 (proveedores externos) de 22301. Brecha típica: dependencia operativa total sobre proveedor cloud crítico sin plan de salida documentado.
Gobierno de la resiliencia (A-7724.6) ↔ cláusula 5 de ambas normas (liderazgo) + revisión por la dirección 9.3. Brecha típica: revisiones por la dirección sin agenda específica de resiliencia operacional.
El caso publicado en este sitio "Auditoría preliminar ISO 27001 en organización financiera mediana" documenta el patrón. Tres ciclos limpios bajo 27001:2013, evaluación preliminar previa a transición a 2022 + alineamiento con A-7724 revela 47 hallazgos, 12 no conformidades mayores, dependencia total de proveedor cloud crítico sin plan de salida.
Las brechas estructurales se concentran en: (1) gestión de proveedores críticos con plan de salida documentado, (2) detección de uso anómalo de cuentas privilegiadas con criterio de respuesta operativa, (3) pruebas de continuidad con criterio de aceptación cuantitativo, (4) gobierno de resiliencia con revisión periódica al directorio.
Es la brecha más frecuente. La organización opera procesos críticos sobre un único proveedor cloud sin plan documentado y probado de salida o continuidad alternativa. Bajo BCRA A-7841 esto es no conformidad. Bajo ISO 22301 también. Bajo ISO 27001 solo se reporta como observación o no conformidad menor.
Cuentas de servicio con privilegios elevados sin rotación documentada en 12-18 meses. Aparece en el muestreo de A.5.16 (Anexo A de 27001:2022) y es no conformidad si se sostiene. Adicionalmente, viola el principio de privilegio mínimo del régimen de control de acceso del BCRA.
Las pruebas se ejecutan periódicamente — pero el criterio de aceptación está implícito o ausente. La auditoría externa pide criterio cuantitativo (RTO efectivo, RPO observado, % de procesos recuperados). Sin criterio, la prueba documenta actividad pero no demuestra resiliencia.
Áreas funcionales adoptando herramientas SaaS sin pasar por el proceso de aprobación de seguridad — algunas procesando datos regulados. Patrón frecuente cuando el proceso de aprobación es lento o burocrático. Solución: rediseño del flujo de aprobación, no represión.
Niveles de madurez declarados en self-assessments (nivel 4 sobre 5) que se sostienen solo en una fracción de los dominios cuando se muestrea evidencia. Indica que el sistema de auto-evaluación no exige evidencia muestreada — y esto sí se aprende como observación o no conformidad menor en auditoría externa rigurosa.
Evaluación preliminar contra ISO 27001:2022 + ISO 22301:2019 + comunicaciones BCRA A-7724/A-7783/A-7841. Producto: mapa de acción con hallazgos clasificados por brecha regulatoria (BCRA) y brecha de norma (ISO), no como agregado.
Plan de salida del proveedor cloud crítico. Política de adopción de SaaS con check obligatorio de seguridad. Rotación documentada de cuentas privilegiadas. Criterios cuantitativos para las pruebas de continuidad. Cierre operativo de las no conformidades mayores.
Auditoría interna conjunta ISO 27001 + ISO 22301 con foco específico en cumplimiento BCRA. Producto: hallazgos cerrados antes de auditoría externa de transición a 27001:2022 y antes de inspección del regulador.
Auditoría de transición ISO 27001:2022 con organismo acreditado independiente. Preparación de evidencia específica para inspección BCRA. Producto: certificación renovada + posición sólida ante el regulador.
El régimen regulatorio bancario LATAM converge progresivamente con DORA y NIS2. ISO 27001 + ISO 22301 son palanca defensible: cubren el grueso del requisito y demuestran al regulador rigor sistemático. Lo que no cubren es el 20% específicamente regulatorio — y ahí es donde una evaluación preliminar independiente prepara al banco para la inspección.
Diagnóstico inicial en 72 horas operativas, bajo criterio ISO 19011 e imparcialidad declarada ISO/IEC 17021-1.
Solicitar diagnóstico