Continuidad de Negocio: Su Empresa sabrá Que Hacer ante lo Inesperado

La continuidad de negocio (Business Continuity Planning o BCP) es la disciplina de gestión que permite a una organización seguir operando durante y después de una interrupción grave —ciberataque, fallo de infraestructura, catástrofe natural o pandemia—. En España y la UE, el estándar de referencia es la norma ISO 22301, que establece el marco para diseñar, implementar y mantener un sistema de gestión de continuidad de negocio. Regulaciones sectoriales como NIS2 (para entidades esenciales e importantes en sectores críticos) y DORA (para el sector financiero) exigen adicionalmente que las organizaciones acrediten capacidad de continuidad operativa ante sus respectivos reguladores.

Nuestro equipo de continuidad de negocio combina experiencia en ISO 22301 con conocimiento operativo profundo en sectores industriales, servicios profesionales, retail y servicios financieros.

La continuidad de negocio no es un ejercicio de cumplimiento normativo: es la preparación real para que una organización pueda seguir funcionando cuando ocurre lo que no debe ocurrir. La pregunta que define la madurez de una empresa en este ámbito es simple: si mañana a las 8:00 de la mañana sus sistemas principales estuvieran inaccesibles, su sede principal fuera intransitable o su proveedor logístico más crítico anunciara que no puede operar, sabria exactamente su equipo que hacer? No en abstracto, sino de forma concreta: quien llama a quien, que procesos se activan primero, donde se opera si no hay acceso a la sede, como se comunica con los clientes.

El análisis de impacto empresarial (BIA) es la herramienta que convierte está pregunta abstracta en respuestas precisas. El BIA identifica cuales son los procesos verdaderamente críticos del negocio — no todos los procesos importantes, sino los que, si se interrumpen durante más de un determinado número de horas o días, generan un daño que puede ser irreversible. Esa precisión es la que permite priorizar los recursos de continuidad y definir objetivos de recuperación realistas: cuanto tiempo puede el negocio sobrevivir sin el sistema ERP, sin acceso a los datos de clientes, sin la línea de producción principal.

Los planes de continuidad de negocio que diseñamos no son documentos que viven en una carpeta: son herramientas operativas que se prueban, actualizan y mejoran de forma sistemática. Los tabletop exercises — simulaciones de crisis en formato de trabajo conjunto del equipo directivo — son el mecanismo que hace que el plan sea real. Una empresa que ha simulado un ciberataque, ha discutido las decisiones críticas bajo presion y ha identificado los gaps del plan antes de que ocurra un incidente real tiene una capacidad de respuesta completamente diferente a la que improvisa cuando llega la crisis.

La resiliencia de la cadena de suministro es el componente del BCP más frecuentemente subestimado. El 40% de las interrupciones de negocio significativas tienen su origen en fallos de proveedores externos, no en incidentes internos. Un BCP robusto incluye la identificación de los proveedores críticos, la evaluación de su propia capacidad de continuidad, y la preparación de estrategias de mitigacion: proveedores alternativos pre-calificados, cláusulas contractuales de continuidad, y stockes de seguridad calibrados al tiempo de recuperación realista si el proveedor cae. Este aspecto cobra especial relevancia en el contexto de las obligaciones de gestión de riesgos de terceros que impone NIS2 a las entidades en sectores críticos, que coordinamos con nuestro servicio de gestión de riesgos de terceros.

El problema que resuelve

Para la mayoría de pymes y empresas medianas, la continuidad de negocio es un tema que “ya gestionaremos cuando crezca más”. El resultado es que el 74% de las empresas sin BCP probado sufren daños irreversibles — pérdida de clientes, quiebra de contratos, cierre definitivo — tras una interrupcion grave. El escenario más comun no es una catastrofe natural: es un ransomware que cifra todos los servidores un miercoles a las 9:00, dejando sin acceso al ERP, al correo electrónico y a los ficheros de clientes. Sin un plan, los primeros 30 minutos se pierden en llamadas desorganizadas intentando entender “que ha pasado exactamente”. Las siguientes horas en buscar quien toma decisiones. Y los primeros días en improvisar soluciones que generan más problemas. Cada hora de inactividad en sistemas críticos tiene un coste directo para empresas medianas que puede superar los 5.000 euros en ingresos perdidos, sin contar el daño reputacional ante clientes que no reciben servicio.

Como lo abordamos

Nuestros profesionales aplican el marco ISO 22301 adaptado a la escala real de cada empresa. El proceso comienza con el BIA: en tres a cinco semanas identificamos los procesos críticos, cuantificamos su impacto económico en caso de interrupcion a las 4 horas, 24 horas y 72 horas, y definimos los objetivos MTD, RTO y RPO para cada uno. Sobre esa base diseñamos el BCP con procedimientos concretos, roles asignados nominalmente y estrategias de continuidad operativa probadas. A continuación diseñamos el DRP coordinado con los proveedores de infraestructura y cloud. El ciclo se cierra con un tabletop exercise en el que el equipo directivo práctica la activación del plan ante un escenario real. Si su organización ya dispone de un marco ERM, integramos el BCP dentro de ese marco para que la continuidad sea parte de la gestión de riesgos global.

Lo que incluye el servicio

El servicio cubre el BIA completo con definición de MTD, RTO y RPO por proceso, el BCP documentado con procedimientos de activación, roles de crisis, estrategias de continuidad y protocolos de comunicación, el DRP para sistemas IT con estrategias de backup y failover, un tabletop exercise facilitado por nuestro equipo con informe de hallazgos y plan de mejora, y el calendario de mantenimiento anual con una revisión formal incluida. Para empresas que aspiran a la certificación ISO 22301 acompañamos el proceso hasta la auditoría de certificación.

Marco regulatorio de la continuidad de negocio

La continuidad de negocio en España está impulsada por un conjunto creciente de obligaciones normativas que afectan a empresas de distintos sectores y tamaños.

ISO 22301:2019 (Sistemas de Gestión de la Continuidad del Negocio): aunque es un estándar voluntario, es la referencia internacional aceptada para los marcos BCP. Las entidades financieras, los inversores de PE en due diligence y las Administraciones Públicas en procesos de contratación utilizan la conformidad con ISO 22301 como señal de madurez en gestión de riesgos operacionales. La certificación ISO 22301 es obligatoria para algunos proveedores de infraestructuras críticas en sectores regulados.

Directiva NIS2 (2022/2555/UE), en proceso de transposición española, impone obligaciones de continuidad de negocio a entidades esenciales e importantes en sectores como energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable e infraestructura digital. El Art. 21 de la Directiva exige que estas entidades adopten medidas de gestión de riesgos que incluyan explícitamente planes de continuidad de negocio (gestión de copias de seguridad, recuperación ante desastres, gestión de crisis). Las sanciones previstas alcanzan hasta 10 millones de euros o el 2% de la facturación global anual para entidades esenciales.

Reglamento DORA (Reglamento 2022/2554/UE sobre la resiliencia operativa digital del sector financiero), en aplicación desde enero de 2025: impone a las entidades financieras (bancos, aseguradoras, gestoras de inversiones, proveedores de servicios de activos digitales) la obligación de contar con planes documentados de continuidad y recuperación ante desastres, realizar pruebas anuales de estos planes, y exigir a sus proveedores críticos de servicios TIC capacidades equivalentes de resiliencia. Para empresas de servicios profesionales que prestan servicios TIC a entidades financieras, los requisitos DORA de sus clientes se trasladan contractualmente a ellas.

Ley 8/2011 de protección de infraestructuras críticas (PIC): los operadores de infraestructuras críticas en España (energía, agua, transporte, sector financiero, sanidad, tecnologías de la información y las comunicaciones) tienen la obligación de elaborar y mantener Planes de Seguridad del Operador (PSO) y Planes de Protección Específicos (PPE), aprobados por el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). Estos planes incluyen específicamente los planes de continuidad de negocio y recuperación ante incidentes.

Real Decreto Legislativo 8/2015 (LGSS) y el papel de las Mutuas: cuando un incidente genera incapacidades temporales masivas en la plantilla (por ejemplo, un incidente físico en las instalaciones), la correcta gestión de los partes de IT con la Mutua forma parte del protocolo de continuidad. Las empresas con BCP bien diseñado tienen previstos los procedimientos de gestión de RRHH durante una crisis, incluyendo la activación de modalidades de trabajo remoto y la gestión de las ausencias laborales.

Proceso operativo: implementación de un plan de continuidad de negocio

Fase 1 — Análisis de Impacto Empresarial (BIA) (semanas 1-5)

El BIA es la base de todo el plan. Identificamos los procesos de negocio (no los sistemas IT, sino los procesos de negocio que los sistemas soportan) y para cada uno cuantificamos: el impacto económico de su interrupción a las 4 horas, 24 horas, 72 horas y 1 semana (en términos de ingresos perdidos, penalizaciones contractuales, coste de trabajadores ociosos y daño reputacional), el MTD (Maximum Tolerable Downtime, tiempo máximo de interrupción tolerable), el RTO (Recovery Time Objective, tiempo objetivo de recuperación), y el RPO (Recovery Point Objective, máxima pérdida de datos tolerable). Identificamos las dependencias críticas: sistemas IT, proveedores externos, instalaciones, personas clave. Entregable: informe BIA con clasificación de procesos por criticidad.

Fase 2 — Diseño del Plan de Continuidad de Negocio (semanas 5-10)

Sobre la base del BIA diseñamos el BCP: estrategias de continuidad para cada proceso crítico (trabajo remoto, transferencia a centro alternativo, trabajo manual temporal, servicio degradado mínimo), roles y responsabilidades del equipo de gestión de crisis (con suplentes nominales para cada rol crítico), procedimientos de activación del plan (quién declara la crisis, con qué criterios, quién notifica a quién), protocolos de comunicación con clientes, proveedores y reguladores durante una crisis, y estrategias de continuidad de proveedores críticos (proveedores alternativos pre-calificados, cláusulas contractuales de continuidad, stocks de seguridad). El BCP es un documento operativo, no estratégico: cada procedimiento está escrito para ser ejecutado por la persona responsable sin necesitar interpretación.

Fase 3 — Plan de Recuperación ante Desastres IT (semanas 8-12)

Coordinado con el BCP, el DRP cubre específicamente la recuperación de los sistemas IT: estrategia de backup (local, cloud o híbrida con profundidad histórica adecuada al RPO), tipo de sitio DR (hot standby para sistemas con RTO < 4h, warm standby para RTO 4-24h, cold standby para RTO > 24h), procedimientos de failover documentados paso a paso para cada sistema, y protocolos de comunicación con los proveedores cloud durante una activación de DR. El DRP se coordina con el servicio de recuperación ante desastres para los aspectos técnicos de implementación.

Fase 4 — Tabletop Exercise (semana 12-14)

Facilitamos un tabletop exercise con el equipo directivo: una simulación de crisis de 3-4 horas en la que presentamos un escenario realista (ransomware, incendio en instalaciones, fallo crítico de proveedor) y el equipo toma las decisiones que tomaría en un incidente real. El objetivo no es evaluar si el equipo “pasa el examen”, sino identificar los gaps del plan: los procesos que no tienen estrategia de continuidad clara, los roles con suplentes no identificados, los proveedores alternativos que no están pre-calificados. El informe post-exercise documenta todos los hallazgos y el plan de mejora para cada uno.

Fase 5 — Mantenimiento y pruebas anuales

El BCP pierde valor rápidamente si no se actualiza: cada cambio en los sistemas, proveedores, personal clave o estructura organizativa puede invalidar procedimientos documentados. Establecemos un ciclo de mantenimiento anual que incluye la revisión del BIA ante cambios relevantes en el negocio, la actualización del plan ante cambios en sistemas o proveedores, la ejecución de pruebas de recuperación para validar el DRP, y un tabletop exercise anual con nuevos escenarios.

Errores frecuentes en continuidad de negocio

1. Confundir un BCP con un plan de recuperación IT. El BCP es un plan de negocio: cubre todos los procesos críticos de la empresa, no solo los sistemas informáticos. Un BCP que solo describe cómo restaurar los servidores deja sin cubrir los procesos que no dependen de IT (operaciones físicas, relaciones con proveedores clave, comunicación con clientes durante una crisis).

2. Definir RTO y RPO aspiracionales sin calcular su coste. Un RTO de 1 hora para el ERP puede requerir una arquitectura de alta disponibilidad con replicación en tiempo real que cuesta 5-10 veces más que una solución con RTO de 8 horas. Los objetivos de recuperación deben definirse después de evaluar el coste de alcanzarlos frente al impacto económico de la interrupción.

3. No probar el plan nunca. Un BCP no probado es una hipótesis. La mayoría de las primeras pruebas de recuperación identifican entre 2 y 5 vulnerabilidades críticas que habrían comprometido la recuperación real. Las pruebas son el único mecanismo que convierte el plan en una capacidad operativa real.

4. No actualizar el plan ante cambios en la organización. Cuando la empresa cambia su proveedor de ERP, traslada su sede, incorpora un nuevo sistema crítico o modifica su estructura directiva, el BCP puede quedar inmediatamente obsoleto. El mantenimiento continuo del plan es tan importante como su diseño inicial.

5. Ignorar la continuidad de los proveedores críticos. El 40% de las interrupciones de negocio significativas tienen su origen en fallos de proveedores externos. Un BCP que no incluye la evaluación de la capacidad de continuidad de los proveedores críticos ni las estrategias de mitigación (proveedores alternativos, stocks de seguridad, cláusulas contractuales) tiene un gap fundamental.

Fuentes y Marco Normativo

• ISO 22301:2019 - Sistemas de Gestión de la Continuidad del Negocio
• EUR-Lex - Directiva 2022/2555/UE (NIS2)
• EUR-Lex - Reglamento 2022/2554/UE (DORA)
• BOE - Ley 8/2011 de protección de infraestructuras críticas
• CNPIC - Centro Nacional de Protección de Infraestructuras Críticas
• COSO ERM Framework 2017

Resultados que puedes esperar

Las empresas que implantan el BCP con nuestro equipo reducen el tiempo de respuesta ante un incidente crítico de horas o días a menos de 30 minutos desde la activación del plan. En los tres tabletop exercises realizados con clientes durante el último año, el 100% identificaron entre dos y cinco gaps críticos en sus procedimientos de crisis que no habian detectado sin la simulación. Ninguno de nuestros clientes con BCP activo ha sufrido una interrupcion superior a 4 horas en procesos críticos en los últimos tres años. El tiempo de implementación de un BCP completo para una empresa de entre 20 y 100 empleados es de 8 a 12 semanas. Para una protección técnica complementaria, nuestro servicio de recuperación ante desastres cubre en detalle la restauracion de sistemas IT críticos con objetivos RTO medidos en horas.

La revisión anual del BCP es una obligación bajo la norma ISO 22301:2019 y bajo la Directiva NIS2 para las entidades sujetas a su ámbito. Los cambios en la estructura organizativa, la incorporación de nuevos sistemas tecnológicos, la expansión a nuevas ubicaciones o la modificación de los procesos críticos son eventos que deben desencadenar una revisión del plan. BMC realiza esta revisión anual como parte del servicio de mantenimiento del BCP, garantizando que el plan refleja siempre la realidad operativa de la empresa y cumple los requisitos de los marcos normativos aplicables, incluidos los procedimientos de notificación de incidentes a las autoridades competentes cuando sea exigible.