Gobernanza: GRC y Privacidad

BCP (Plan de Continuidad de Negocio): Guía para sobrevivir al Apocalipsis Digital

Plan de continuidad de negocio

Imagina que llegas a la oficina un lunes por la mañana con tu café en la mano y te encuentras con que el edificio… bueno, el edificio ya no está. O quizás algo menos dramático pero igual de catastrófico: un ransomware ha cifrado hasta la máquina de café inteligente.

Aquí es donde la mayoría de las empresas entran en pánico, corren en círculos y empiezan a quemar dinero. Pero tú no, porque tú tienes un plan.

El Plan de Continuidad de Negocio (Business Continuity Plan o BCP) es básicamente el manual de instrucciones para que tu empresa no muera cuando el universo decide conspirar en su contra. No se trata solo de recuperar servidores (eso es para los informáticos del sótano), se trata de que el negocio siga facturando, atendiendo clientes y pagando nóminas mientras el mundo arde a su alrededor.

Si crees que «tener copias de seguridad» es un plan de continuidad, siéntate y lee, porque estás jugando a la ruleta rusa con una pistola automática.

¿Qué narices es un BCP y por qué tu jefe no quiere pagarlo?

El BCP es una estrategia integral. Documenta los procedimientos y la información necesaria para que una organización pueda entregar sus productos o servicios a un nivel aceptable tras un incidente disruptivo.

El problema es que venderle un BCP a la dirección es difícil. Es como vender un seguro de vida: nadie quiere pensar en su propia muerte y todos creen que «eso a mí no me va a pasar». Pero cuando pasa, el coste de no tenerlo es infinitamente superior a la inversión de crearlo.

Un buen BCP responde a preguntas incómodas:

  • Si la oficina principal se inunda, ¿desde dónde trabaja la gente?
  • Si el proveedor de internet nacional se cae, ¿cómo procesamos los pedidos?
  • Si el director general es abducido por alienígenas (o detenido por fraude fiscal), ¿quién toma las decisiones críticas?

BCP vs. DRP: No, no son la misma cosa

Aquí es donde mucha gente patina. Confunden la estrategia con la táctica.

El Plan de Continuidad de Negocio (BCP)

Es la visión general, el «Big Picture». Se centra en el negocio.

  • Alcance: Personas, procesos, oficinas, proveedores, comunicación.
  • Objetivo: Mantener la operatividad mínima vital.
  • Ejemplo: «Si no hay sistema informático, pasamos a registrar los pedidos en papel y llamamos a los clientes por sus móviles personales».

El Plan de Recuperación ante Desastres (Disaster Recovery Plan o DRP)

Es una parte del BCP, generalmente técnica. Se centra en la tecnología.

  • Alcance: Servidores, bases de datos, redes, aplicaciones.
  • Objetivo: Restaurar los sistemas de TI.
  • Ejemplo: «Restaurar la base de datos SQL desde la copia inmutable en la nube y levantar la VPN de contingencia».

Ejemplo para los más cerveceros: El BCP es decidir a qué otro bar llevas a tus amigos si el habitual se incendia para seguir la fiesta. El DRP es el bombero intentando apagar el fuego del bar original.

La sopa de letras vital: BIA, RTO y RPO

Para hacer un BCP, primero tienes que hacer un Análisis de Impacto en el Negocio (Business Impact Analysis o BIA). Básicamente, es sentarse a decidir qué partes de tu empresa son vitales y cuáles son prescindibles.

No todo es urgente. Si se cae la web corporativa informativa, quizás pierdas imagen, pero si se cae la pasarela de pagos, pierdes dinero cada segundo. El BIA te ayuda a priorizar. Y para priorizar, necesitas dos métricas que son sagradas:

RTO (Recovery Time Objective)

Es el Tiempo Objetivo de Recuperación. ¿Cuánto tiempo puede estar tu empresa «apagada» antes de que el daño sea irreversible?

  • Si tu RTO es de 4 horas y tardas 5 en levantar el sistema, felicidades: has quebrado.
  • Un RTO de 0 (continuidad inmediata) es carísimo. Un RTO de 24 horas es más barato. ¿Cuánto vale tu tiempo de inactividad?

RPO (Recovery Point Objective)

Es el Punto Objetivo de Recuperación. Se refiere a la cantidad de datos que te puedes permitir perder, medido en tiempo.

  • Si haces copias de seguridad cada noche a las 00:00 y el desastre ocurre hoy a las 23:00, tu RPO actual es de 23 horas. ¿Puedes permitirte perder un día entero de trabajo?
  • Para un banco, el RPO debe ser cercano a cero. Para una panadería, quizás un día no sea grave.

Estas cosas caen en las certificaciones de seguridad. Toca memorizar un poco.

Fases para crear un BCP que no sea papel mojado

Crear un documento de 500 páginas que nadie va a leer es inútil. Un BCP debe ser ágil.

Análisis y Evaluación de Riesgos (Risk Assessment)

Identifica qué te puede matar. ¿Terremotos? ¿Ciberataques? ¿Un empleado descontento con acceso de administrador? (Nota: Si quieres profundizar en cómo evaluar estas amenazas, echa un ojo a nuestros artículos sobre gestión de riesgos).

Estrategias de Recuperación

Aquí decidimos dónde vamos a trabajar si todo falla. En la jerga, hablamos de «Sites»:

  • Cold Site (Sitio Frío): Un local vacío con electricidad y aire acondicionado. Tienes que llevar tus propios equipos e instalar todo. Es barato, pero tu RTO será de días o semanas.
  • Warm Site (Sitio Templado): Tiene equipos y comunicaciones, pero no tiene tus datos cargados o actualizados. Tienes que ir allí y restaurar los backups.
  • Hot Site (Sitio Caliente): Es un espejo exacto de tu oficina principal. Los datos se replican en tiempo real. Si cae la sede A, la sede B funciona al instante. Es la opción «Rolls-Royce»: extremadamente cara, pero efectiva.

Pruebas y Mantenimiento

Un BCP que no se prueba no sirve. Es como tener un extintor caducado en 1995. Tienes que hacer simulacros. Y no, no vale con decir «seguro que funciona». Hay que tirar el cable, apagar el servidor y ver si el equipo suda frío o sabe qué hacer.

Ejemplo práctico: El día que el Ransomware visitó la oficina

Imaginemos una empresa de logística, «Rutaciber conoce los atajos S.L.».

El Incidente: Un martes a las 10:00 AM, todos los ordenadores muestran una calavera roja pidiendo Bitcoins. El sistema de gestión de almacén está cifrado.

Sin BCP:

  1. El CEO grita.
  2. El informático llora.
  3. Los camiones se paran en la puerta porque nadie sabe qué cargar.
  4. Pérdida estimada: 50.000€/hora.
  5. Resultado: Pagan el rescate (mala idea) o cierran.

Con BCP:

  1. Detección (10:05): Se declara «Incidente Crítico». Se activa el comité de crisis definido en el BCP.
  2. Contención (10:10): El equipo de TI aísla la red infectada (parte del DRP).
  3. Continuidad (10:30): El Jefe de Operaciones saca «La Carpeta Roja» del BCP.
    • Se activa el protocolo de «Papel y Boli». Tienen albaranes físicos impresos de emergencia para los envíos del día.
    • Se avisa a los conductores vía telefónica (lista de contactos offline disponible).
    • Se notifica a los clientes clave con una plantilla pre-redactada (gestión de crisis) asegurando que sus envíos saldrán, aunque con retraso.
  4. Recuperación: Mientras la operación sigue (lenta, pero sigue), TI restaura los sistemas desde copias de seguridad inmutables en un entorno limpio. (Si te preocupa este escenario, te sugiero revisar cómo protegerte consultando nuestra sección sobre Ransomware y la importancia de los Backups bien configurados).

Checklist de supervivencia para el admin paranoico

Si quieres empezar hoy, asegúrate de tener esto controlado:

  • Lista de contactos de emergencia en papel: Porque si te hackean el correo, no podrás buscar el teléfono del soporte técnico de Microsoft en Outlook.
  • Inventario de activos críticos: Saber qué servidores son vitales y cuáles son para guardar memes. Más detalles en nuestro articulo sobre inventariado de activos. En serio, esto importa.
  • Copias de seguridad 3-2-1: Tres copias, dos medios diferentes, una fuera de la oficina (y probadas).
  • Plan de sucesión: Si el único que sabe la contraseña de root le cae un piano encima, ¿quién entra al sistema?
  • Roles definidos: ¿Quién habla con la prensa? ¿Quién decide apagar los servidores? ¿Quién pide las pizzas?

Conclusión

El Plan de Continuidad de Negocio no es un documento burocrático para cumplir con una auditoría ISO. Es el chaleco salvavidas de tu organización. Vivimos en un mundo digital hostil donde la pregunta no es si te van a atacar o si va a fallar un disco duro, sino cuándo.

Tener un BCP bien diseñado te permite mirar al desastre a la cara y decirle: «Hoy no». O al menos, «Hoy no del todo».

No esperes a tener el agua al cuello para aprender a nadar. Revisa tus procesos, haz ese análisis de impacto y, por favor, prueba tus copias de seguridad.

Para los que quieran ir al detalle normativo y no les asuste el lenguaje formal, la ISO 22301 es el estándar de oro internacional para la continuidad de negocio. También podéis consultar la guía del NIST SP 800-34.

Suscríbete a RutaCiber.com

El principal objetivo de RutaCiber.com es educar en ciberseguridad. Si el artículo te ha sido útil, suscríbete aquí 👇

Sin spam, solo nuevos artículos | Política de privacidad

Carlos del Río Sáez
Carlos del Río Sáez
Especialista en tecnología y ciberseguridad con más de 17 años de experiencia en entornos educativos y corporativos. Enfocado en sistemas, IA aplicada y ciberdefensa. Ingeniero informático. Miembro de ISC2 (CC Certified) y Security+ Certified.
Conecta conmigo en LinkedIn

Artículos relacionados...