Seamos sinceros: a nadie le gusta pensar en desastres. Es como contratar un seguro de vida; sabes que lo necesitas, pero leer la póliza es el equivalente adulto a comer brócoli hervido sin sal. En ciberseguridad pasa lo mismo.
Cuando todo funciona, las siglas BCP (Business Continuity Plan, en español las siglas cambian, lástima), PRI (Plan de Respuesta a Incidentes) y PRD (Plan de Recuperación ante Desastres) suenan a burocracia corporativa y auditores con guadaña. Pero cuando el servidor principal decide autodestruirse un viernes a las 17:00, estas siglas marcan el camino hacia la luz.
El problema es que a menudo se usan indistintamente, como si fueran sinónimos. «Necesitamos un plan de continuidad», dice el jefe, refiriéndose a que quiere una copia de seguridad en un USB. Se lo perdonamos porque es nuestro jefe y sobre todo porque en realidad no es un tema sencillo.
Vamos a desenredar esta sopa de letras para que entiendas qué necesitas, cuándo lo necesitas y por qué tener solo uno de ellos es quedarse a medias.
Índice de contenidos
Plan de Continuidad de Negocio (BCP): El Mapa General
El Plan de Continuidad de Negocio (Business Continuity Plan) es el jefe, el «Big Boss». No se preocupa solo de si el servidor de correo funciona; se preocupa de si la empresa puede seguir facturando y operando aunque el edificio se haya convertido en un cráter humeante (metafórica o literalmente).
El BCP es estratégico. Es el paraguas que cubre todo. Si un ataque de ransomware cifra tus bases de datos, el BCP es el documento que dice: «Vale, Informática está llorando en un rincón intentando arreglarlo, pero mientras tanto, Ventas usará libretas de papel y Atención al Cliente desviará las llamadas a los móviles personales».
El corazón del BCP: El BIA
Para hacer un buen BCP, necesitas un Análisis de Impacto en el Negocio (Business Impact Analysis, BIA). Básicamente, es sentarse a pensar qué procesos son críticos.
Si se cae la web corporativa donde solo hay fotos de la cena de Navidad, nadie muere. Si se cae la pasarela de pagos, estás perdiendo dinero cada segundo. El BIA te dice qué duele más y qué debes proteger primero.
Un BCP sin un BIA es como un médico recetando medicinas sin preguntar qué te duele.
Plan de Respuesta a Incidentes (IRP/PRI): El mejor plan es tener un plan
Aquí bajamos al barro. El Plan de Respuesta a Incidentes (Incident Response Plan) es táctico y técnico. Son los bomberos entrando con el hacha. Se centra específicamente en incidentes de seguridad: un ciberataque, una brecha de datos o un empleado descontento borrando cosas.
El objetivo del PRI no es «volver a la normalidad» (eso viene luego), sino detener la hemorragia.
Fases del IRP: Detectar, contener y erradicar
Un IRP efectivo sigue una lógica militar:
- Detección: «¿Qué narices está pasando?».
- Contención: «Corta el cable de red, aísla ese servidor, ¡que no se propague!». Es como poner un torniquete. Duele, pierdes funcionalidad, pero salvas al paciente.
- Erradicación: Eliminar la amenaza. Echar al hacker, borrar el malware.
Aquí entra en juego el CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática). No hace falta que tengas un equipo de operaciones especiales tipo SWAT en nómina, pero sí debes saber a quién llamar: ¿A tu proveedor de servicios gestionados (MSP)? ¿Al técnico que sabe la contraseña del router? Defínelo antes, no durante el pánico.
Plan de Recuperación ante Desastres (DRP/PRD): Resucitando a los Muertos
El Plan de Recuperación ante Desastres (Disaster Recovery Plan) es puramente técnico y suele ser un subconjunto del BCP. Si el PRI son los bomberos apagando el fuego, el PRD son los albañiles que reconstruyen la casa quemada.
Su misión es restaurar los sistemas de TI, los datos y la infraestructura para que vuelvan a funcionar como antes del desastre. Aquí es donde brillan las copias de seguridad y los servidores de respaldo.
RTO y RPO: Las siglas que deciden tu destino
Si te vas a quedar con algo de este artículo, que sea esto. Definir mal estos dos conceptos es la causa número uno de despidos post-incidente:
- RTO (Recovery Time Objective): ¿Cuánto tiempo podéis estar parados sin quebrar? Es el tiempo máximo tolerable para recuperar el servicio.
- Ejemplo: Si tu RTO es de 4 horas y tardas 3 días en levantar el servidor, tenemos un problema grave.
- RPO (Recovery Point Objective): ¿Cuántos datos os podéis permitir perder? Es el punto en el tiempo al que vuelves tras restaurar la copia.
- Ejemplo: Si haces backup cada noche a las 00:00 y el sistema peta a las 23:00 del día siguiente, has perdido 23 horas de trabajo. Ese es tu RPO real. ¿Puede tu empresa sobrevivir perdiendo un día entero de facturas?
Para Reflexión: Un RPO de «cero pérdida de datos» y un RTO de «inmediato» cuestan una fortuna. Si tu jefe te pide eso pero te da presupuesto de quiosco… hay que dialogar.
Diferencias Clave: La Tabla Salvavidas
Para que no te líes, aquí tienes el resumen ejecutivo:
| Característica | BCP (Continuidad) | PRI / IRP (Incidentes) | PRD / DRP (Recuperación) |
| Enfoque | Estratégico y de Negocio | Táctico y de Seguridad | Técnico y de Infraestructura |
| Objetivo | Que la empresa siga operando (aunque sea a pedales) | Detener, contener y analizar el ataque | Restaurar sistemas y datos a la normalidad |
| Alcance | Toda la organización (RRHH, Logística, TI…) | Seguridad de la Información / TI | Departamento de TI / Sistemas |
| Cuándo se activa | Durante una interrupción mayor | Al detectar una anomalía o ataque | Tras un desastre o fallo crítico de sistemas |
| Pregunta clave | ¿Cómo seguimos facturando sin ordenadores? | ¿Cómo paramos a los hackers? | ¿Cómo levantamos los servidores de nuevo? |
Ejemplo Práctico: Ransomware un lunes por la mañana
Imaginemos que es lunes, entras a la oficina con tu café y ves esa fatídica pantalla roja pidiendo Bitcoins. Así actúan los tres planes en armonía:
- Activación del PRI (Incident Response):
- El equipo de seguridad detecta el ransomware.
- Acción: Desconectan internet y aíslan los equipos infectados para que no se cifre el servidor de contabilidad. Analizan por dónde han entrado (el famoso «paciente cero»).
- Activación del BCP (Continuidad de Negocio):
- El Director de Operaciones se da cuenta de que no pueden emitir facturas ni acceder al CRM.
- Acción: Se activa el protocolo manual. Los comerciales usan sus listas de teléfonos en papel (que imprimieron gracias al BCP) para llamar a clientes y avisar de retrasos. Se habilita el pago por transferencia directa en lugar de la pasarela web caída. El negocio sigue, más lento, pero sigue.
- Activación del PRD (Disaster Recovery):
- Una vez contenido el ataque (gracias al PRI), TI busca la última copia de seguridad limpia.
- Acción: Se formatean los servidores infectados y se restauran los datos desde el backup inmutable de la nube. Se verifica que todo cuadre con el RPO establecido.
Checklist de Supervivencia (Buenas Prácticas)
No esperes al desastre para probar si esto funciona. Un plan no probado es solo un archivo Word ocupando espacio.
- Prueba tus backups: Restaurar una copia de seguridad es como usar un extintor; no quieres leer las instrucciones mientras te quemas. Haz simulacros de restauración.
- Define roles claros: En medio de una crisis, la democracia no funciona. Alguien tiene que tener la autoridad para decir «apagad todo» sin pedir permiso a un comité.
- Copias fuera de línea: Si tus backups están conectados a la red principal, el ransomware también se los comerá. Usa la regla 3-2-1.
- Actualiza los contactos: De nada sirve tener un plan de llamadas si el teléfono del proveedor de internet cambió hace seis meses.
- Comunicación: Prepara plantillas de comunicación legal y para clientes. No improvises disculpas en Twitter/X.
Conclusión
La diferencia entre un susto y el cierre de la empresa suele estar en estos tres documentos.
El PRI te salva del atacante, el PRD te devuelve tus herramientas y el BCP asegura que sigas teniendo clientes cuando todo acabe.
No caigas en el error de pensar que «eso le pasa a los grandes». Al contrario, un gigante puede sobrevivir a una semana parado; una pyme, probablemente no. Así que revisa tus planes, habla con tu equipo y, por el amor de Dios, comprueba que tus copias de seguridad funcionan.
Como decimos en el gremio: existen dos tipos de empresas, las que han sido hackeadas y las que lo serán. Asegúrate de tener un plan para cuando te des cuenta.
