Quedan pocas semanas: cómo priorizar los controles de la A 8398 sin prometer estar completo

A esta altura, casi todos los PSP alcanzados por la A 8398 ya hicieron el ejercicio mental: revisaron la norma, miraron sus procesos y se dieron cuenta de que llegar completos al 4 de agosto no es realista. Eso no es un fracaso de gestión, es matemática simple. 

Construir un modelo de control integrado, con evidencia auditable en gobierno de tecnología, seguridad de la información, continuidad, ciberincidentes y gestión de terceros, no se resuelve en seis semanas si se arranca de cero.

La pregunta que vale la pena hacerse no es cómo llegar completo. Es qué demuestra que el PSP está tomando el riesgo en serio, con el tiempo que efectivamente queda.

Lo que un regulador valora no es la perfección, es el proceso

Cuando un organismo de control llega a auditar, no espera encontrar un sistema perfecto el primer día de vigencia de una norma nueva. Espera encontrar evidencia de que la organización entendió el riesgo, lo priorizó y está actuando sobre él. Esa diferencia cambia por completo la estrategia de estas seis semanas.

Tres cosas son alcanzables en este plazo, incluso para un PSP que arranca con poco:

  • Un diagnóstico real de la brecha. No una autoevaluación genérica, sino un mapeo concreto de qué exige la A 8398 en cada área y dónde está hoy parado el PSP frente a eso. Sin este paso, cualquier esfuerzo posterior se hace a ciegas.
  • Un plan priorizado por riesgo y por tiempo. No todos los controles pesan igual. Los que cubren los puntos donde el PSP es más vulnerable, o donde un incidente tendría mayor impacto, van primero. El resto se ordena en un cronograma realista que sigue después de agosto.
  • Los controles críticos activados, con evidencia desde el origen. No alcanza con definir el control. Tiene que empezar a generar registro real de ejecución desde el primer día que se implementa, porque esa es la prueba que se va a pedir.

Cómo se prioriza en la práctica

La prioridad no se decide por lo que es más fácil de implementar, se decide por dos preguntas: dónde está el mayor riesgo operativo si algo falla, y qué es lo que un auditor va a pedir ver primero. En la mayoría de los PSP, eso apunta a tres frentes: los controles de seguridad de la información que hoy dependen de que alguien se acuerde de ejecutarlos, los terceros críticos que nunca pasaron por una evaluación formal, y los procesos de continuidad que dependen de una persona puntual en vez de un procedimiento documentado y replicable.

Empezar por ahí no resuelve toda la norma. Resuelve lo que más le importa mostrar a un PSP frente al BCRA: que identificó dónde estaba más expuesto y actuó primero ahí.

Lo que viene después del 4 de agosto

El plazo regulatorio es una fecha, no un final. Los PSP que entren a agosto con diagnóstico, plan y controles críticos en marcha van a tener una conversación distinta con el regulador que los que no hicieron nada. Y los que lleguen con algo armado tienen una ventaja adicional: completar la adecuación después de agosto es un proceso ordenado, no una carrera contra el tiempo bajo presión.

En COA acompañamos a los PSP en exactamente este recorrido: diagnóstico de la brecha, diseño del modelo de control, implementación de los controles críticos con trazabilidad real, y acompañamiento continuo después de agosto a medida que la adecuación avanza. Si querés entender en qué punto está tu PSP hoy y qué es lo mínimo viable para las próximas seis semanas, una conversación de 30 minutos alcanza para tener ese panorama.