Compliance
plan de continuidad de negocio
BCP
DRP

Plan de continuidad de negocio (BCP/DRP): guía ISO 22301

Qué es un plan de continuidad de negocio (BCP), diferencia con el DRP, BIA, cómo fijar RTO y RPO, ISO 22301 y su relación con ISO 27001.

Secra6 de julio de 202611 min de lectura

Un plan de continuidad de negocio (BCP, Business Continuity Plan) es el conjunto documentado de procedimientos que permite a una organización seguir prestando sus servicios críticos, o restaurarlos dentro de un plazo tolerable, después de una interrupción grave: un ransomware, la caída de un centro de datos, un incendio, la pérdida de un proveedor cloud o una crisis sanitaria. No es un documento de estantería ni un anexo de la póliza de seguro. Es un sistema de gestión que se diseña, se prueba y se mejora de forma continua. Esta guía explica qué es un plan de continuidad de negocio, en qué se diferencia del plan de recuperación ante desastres (DRP), cómo se construye a partir de un análisis de impacto (BIA), cómo se fijan los objetivos de recuperación RTO y RPO, y cómo la norma ISO 22301 ordena todo el ciclo y se articula con ISO 27001, NIS2 y DORA.

Qué es un plan de continuidad de negocio (BCP)

El BCP responde a una pregunta incómoda: si mañana perdemos algo esencial, ¿cómo seguimos operando? Su objetivo no es evitar el incidente (eso corresponde a los controles preventivos) sino garantizar que la organización sobrevive a él con un impacto acotado. Un BCP maduro cubre personas, procesos, tecnología, instalaciones y proveedores, y define roles, umbrales de activación, canales de comunicación y estrategias de recuperación para cada servicio crítico.

La continuidad de negocio se apoya en tres capacidades que conviene no confundir:

  • Resiliencia: capacidad de absorber el impacto sin caer (redundancia, alta disponibilidad, diversidad de proveedores).
  • Continuidad: capacidad de seguir operando con recursos alternativos mientras dura la interrupción.
  • Recuperación: capacidad de volver al estado normal una vez controlado el incidente.

BCP vs DRP: en qué se diferencian

Es el punto donde más organizaciones se equivocan. El DRP (Disaster Recovery Plan, plan de recuperación ante desastres) es un subconjunto técnico del BCP centrado en restaurar la infraestructura TI: servidores, redes, bases de datos y copias de seguridad. El BCP es más amplio y opera a nivel de negocio.

DimensiónBCPDRP
AlcanceToda la organización (personas, procesos, sedes, TI, proveedores)Infraestructura TI y datos
ObjetivoMantener las funciones de negocio críticasRestaurar sistemas y datos
ResponsableDirección y responsable de continuidadCISO y equipo de sistemas
MétricasMTPD, MBCO, RTO de servicioRTO y RPO técnicos
EjemploCómo factura el equipo si cae el ERPCómo se restaura el ERP desde backup

Regla práctica: el DRP contesta "cómo recupero el sistema"; el BCP contesta "cómo sigue funcionando el negocio mientras el sistema no está". Un DRP excelente con un BCP inexistente deja a la organización con los servidores restaurados pero sin saber quién hace qué durante las horas críticas.

BIA: análisis de impacto en el negocio

El BIA (Business Impact Analysis, análisis de impacto en el negocio) es la base sobre la que se construye todo el plan. Es el ejercicio que identifica las funciones de negocio, las prioriza según el daño que causaría su interrupción y determina sus objetivos de recuperación. Sin BIA, los RTO y RPO se fijan a ojo y casi siempre mal.

Un BIA riguroso produce, por cada función o servicio:

  1. Impacto en el tiempo: cómo crece el daño (financiero, legal, reputacional, de seguridad de las personas) conforme pasan las horas de caída.
  2. MTPD (Maximum Tolerable Period of Disruption): tiempo máximo que la función puede estar caída antes de que el daño sea inaceptable.
  3. RTO y RPO derivados de ese umbral (el RTO siempre debe ser menor que el MTPD).
  4. MBCO (Minimum Business Continuity Objective): nivel mínimo de servicio aceptable durante la contingencia, por ejemplo procesar el 40% de los pedidos de forma manual.
  5. Dependencias: aplicaciones, datos, proveedores, personas clave e instalaciones de las que depende la función.

El BIA se nutre de entrevistas con los responsables de cada área y se contrasta con datos objetivos: facturación por hora, penalizaciones contractuales, obligaciones regulatorias y compromisos de nivel de servicio con clientes.

Cómo fijar RTO y RPO por servicio crítico

RTO y RPO son las dos métricas que gobiernan el diseño técnico de la recuperación:

  • RTO (Recovery Time Objective): tiempo máximo aceptable entre la interrupción y la restauración del servicio. Responde a "¿cuánto podemos estar sin esto?".
  • RPO (Recovery Point Objective): máxima pérdida de datos tolerable, medida en tiempo. Responde a "¿cuánto trabajo podemos permitirnos perder?". Un RPO de 15 minutos exige replicación casi continua; un RPO de 24 horas se cubre con una copia diaria.
NivelServicio típicoRTORPODiseño
Tier 0Pasarela de pago, autenticación< 1 h< 5 minActivo-activo, replicación síncrona
Tier 1ERP, CRM productivo4 h1 hSitio alternativo, replicación asíncrona
Tier 2Portales internos24 h12 hBackup y restauración
Tier 3Archivo, documentación72 h24 hBackup diario

Cuanto más exigentes son los objetivos, más caro es el diseño (replicación síncrona, sedes activo-activo, sistemas duplicados). Por eso se calibran con el BIA: se invierte en velocidad de recuperación solo donde el negocio lo justifica y no en todo por igual.

ISO 22301: ciclo PDCA, requisitos y certificación

ISO 22301:2019 (Security and resilience, Business continuity management systems, Requirements) es la norma internacional certificable para un sistema de gestión de continuidad de negocio (SGCN). Comparte la estructura de alto nivel (Annex SL) con ISO 27001, lo que facilita integrar ambas en un único sistema.

Requisitos de la norma (cláusulas 4 a 10)

  • 4. Contexto: partes interesadas y alcance del SGCN.
  • 5. Liderazgo: compromiso de la dirección, política de continuidad y roles.
  • 6. Planificación: objetivos de continuidad y tratamiento de riesgos.
  • 7. Apoyo: recursos, competencia, concienciación, comunicación e información documentada.
  • 8. Operación: aquí vive el núcleo, el BIA, la evaluación de riesgos, las estrategias de continuidad, los planes y el programa de pruebas.
  • 9. Evaluación del desempeño: seguimiento, medición, auditoría interna y revisión por la dirección.
  • 10. Mejora: no conformidades, acciones correctivas y mejora continua.

Ciclo PDCA

ISO 22301 aplica el ciclo PDCA (Plan, Do, Check, Act): planificar (contexto, política, BIA, estrategia), hacer (implantar planes y controles), verificar (ejercicios, auditorías y métricas) y actuar (corregir y mejorar). La continuidad no es un proyecto con fecha de fin, es un ciclo que se repite.

Cómo se articula con ISO 27001

ISO 27001 incluye la continuidad dentro del Anexo A, en los controles A.5.29 (seguridad de la información durante la disrupción) y A.5.30 (preparación de las TIC para la continuidad de negocio) de la versión 2022. ISO 22301 desarrolla esa exigencia en profundidad. Muchas organizaciones certifican ISO 27001 y utilizan ISO 22301 como el marco detallado de su SGCN. Puedes ampliar en ISO 27001 explicada y en la complementariedad entre ISO 27001 y NIS2.

La certificación la realiza una entidad acreditada (ENAC en España) mediante una auditoría en dos fases, con auditorías de seguimiento anuales y recertificación a los tres años.

Backups como base de la recuperación: regla 3-2-1 e inmutabilidad

No hay recuperación sin copias que se puedan restaurar. La regla 3-2-1 es el mínimo exigible: 3 copias de los datos, en 2 tipos de soporte distintos, con 1 fuera de las instalaciones. Frente al ransomware moderno, que busca y cifra los backups accesibles antes de detonar, la regla se extiende a 3-2-1-1-0: 1 copia offline o inmutable (air-gap, WORM, S3 Object Lock, retención bloqueada) y 0 errores tras una restauración verificada.

La inmutabilidad es determinante: un backup que el atacante puede borrar o cifrar no protege frente a ransomware. Tienes el detalle completo en qué es un backup y la regla 3-2-1. Y conviene recordar la regla de oro: un backup que nunca se ha restaurado en un entorno limpio no cuenta como backup, cuenta como una esperanza.

Gestión de crisis y ejercicios tabletop

Un plan sin probar es una hipótesis. El programa de pruebas valida que el BCP funciona antes de necesitarlo. Estos son los tipos, de menor a mayor realismo:

  • Tabletop (de mesa): el comité recorre un escenario sobre el papel. Es barato y funciona como mínimo anual imprescindible.
  • Walkthrough o simulación: se ejecutan pasos reales en un entorno controlado.
  • Prueba en paralelo: se levanta el sitio alternativo sin apagar producción para comprobar que responde.
  • Conmutación real (full interruption): se corta producción y se opera desde recuperación. Máximo realismo y máximo riesgo, reservado a organizaciones maduras.

La gestión de crisis añade la capa humana: comité de crisis, árbol de llamadas, portavoces, y comunicación con clientes, reguladores (con los plazos de notificación de NIS2 y DORA) y medios. Un ejercicio tabletop anual como mínimo es la práctica recomendada, y varias normas lo exigen de forma explícita.

Plantilla y checklist de un plan de contingencia

Un BCP operativo debería contener, como mínimo:

  • Alcance, objetivos y política de continuidad aprobada por la dirección
  • BIA con funciones críticas, MTPD, RTO y RPO
  • Estrategias de continuidad y de recuperación por servicio
  • DRP técnico con procedimientos de restauración detallados
  • Inventario de dependencias (aplicaciones, datos, proveedores, personas)
  • Estrategia de backup 3-2-1-1-0 con copias inmutables
  • Roles del comité de crisis y árbol de llamadas actualizado
  • Plan de comunicación (interna, clientes, reguladores, medios)
  • Umbrales de activación y procedimiento de escalado
  • Sedes alternativas y recursos de contingencia
  • Calendario de pruebas (tabletop anual como mínimo)
  • Registro de lecciones aprendidas y mejora continua

Marco regulatorio: NIS2, DORA y ENS

La continuidad ya no es voluntaria para muchos sectores:

  • NIS2: el artículo 21.2(d) exige medidas de continuidad de negocio, gestión de copias de seguridad, recuperación ante desastres y gestión de crisis. Detalles en cómo cumplir NIS2 en España.
  • DORA: exige política de continuidad TIC, planes de recuperación y RTO/RPO por función crítica en el sector financiero. Ampliación en la guía de cumplimiento DORA.
  • ENS: la dimensión de continuidad (op.cont.1 análisis de impacto, op.cont.2 plan de continuidad, op.cont.3 pruebas periódicas y op.cont.4 medios alternativos) impone continuidad al sector público. Ver ENS para pymes.

La continuidad es, en el fondo, el objetivo último de cualquier evaluación de resiliencia cibernética.

Preguntas frecuentes

¿Cuál es la diferencia entre BCP y DRP?

El BCP (plan de continuidad de negocio) cubre toda la organización y busca mantener operativas las funciones de negocio críticas durante una interrupción. El DRP (plan de recuperación ante desastres) es un subconjunto técnico centrado en restaurar la infraestructura TI y los datos. El DRP es una pieza dentro del BCP, no un sustituto.

¿Qué diferencia hay entre RTO y RPO?

El RTO es el tiempo máximo aceptable para restaurar un servicio tras la caída. El RPO es la cantidad máxima de datos, medida en tiempo, que la organización puede permitirse perder. El RTO mira hacia adelante (cuándo vuelvo a estar operativo); el RPO mira hacia atrás (hasta qué punto de datos puedo recuperar).

¿ISO 22301 sustituye a ISO 27001?

No. ISO 27001 gestiona la seguridad de la información y ISO 22301 gestiona la continuidad de negocio. Son complementarias y comparten estructura de alto nivel, por lo que muchas organizaciones las integran en un único sistema de gestión.

¿Cada cuánto hay que probar el plan de continuidad?

La práctica recomendada, y lo que exigen normas como el ENS y esperan NIS2 y DORA, es al menos un ejercicio tabletop anual, además de pruebas técnicas de restauración periódicas. Todo cambio relevante en sistemas o procesos debería disparar una prueba adicional.

¿Es obligatorio tener un plan de continuidad de negocio?

Depende del sector. Para las entidades esenciales e importantes bajo NIS2, las entidades financieras bajo DORA y los organismos del sector público sujetos al ENS, la continuidad de negocio es una obligación legal. Para el resto es una buena práctica que reduce drásticamente el impacto de un incidente grave.

Diseña tu continuidad de negocio con Secra

En Secra ayudamos a construir y probar planes de continuidad alineados con ISO 22301, NIS2, DORA y el ENS: BIA, definición de RTO y RPO por servicio, estrategia de backup inmutable y ejercicios tabletop dirigidos.

Conoce nuestra Consultoría GRC

Solicita una conversación inicial sin compromiso

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo