Si buscas "disaster recovery" y "business continuity" en internet, encontrarás cientos de definiciones que parecen decir lo mismo. No lo son. Confundir DRP con BCP es uno de los errores más comunes — y más costosos — en gestión de riesgos empresariales. En este artículo aclaramos las diferencias de una vez por todas, con tabla comparativa, métricas clave y la explicación de cómo ISO 22301 los integra.
¿Quieres evaluar tu preparación? Solicita un diagnóstico ISO 22301 o realiza el autodiagnóstico en línea.
Puntos clave
- El DRP se enfoca en recuperar sistemas de TI. El BCP se enfoca en mantener todo el negocio operando.
- El DRP es un componente del BCP, no un sustituto.
- Cada uno tiene métricas distintas: RTO/RPO para DRP; MTPD/MBCO para BCP.
- ISO 22301 integra ambos en un sistema de gestión de continuidad del negocio.
- Necesitas ambos planes para una protección completa.
Definiciones claras
Disaster Recovery (DR) - Recuperación ante desastres
Disaster Recovery es el conjunto de políticas, herramientas y procedimientos para recuperar la infraestructura tecnológica (servidores, redes, aplicaciones, datos) después de una interrupción mayor. Su objetivo es restaurar los sistemas de TI lo más rápido posible con la menor pérdida de datos.
Pregunta que responde: "¿Cómo vuelvo a tener mis sistemas funcionando?"
Business Continuity (BC) - Continuidad del negocio
Business Continuity es la capacidad de una organización para seguir entregando productos y servicios a un nivel aceptable durante y después de una interrupción. Cubre personas, procesos, tecnología, proveedores, instalaciones y comunicación.
Pregunta que responde: "¿Cómo sigo operando mi negocio durante una crisis?"
Tabla comparativa completa
| Dimensión | Disaster Recovery (DRP) | Business Continuity (BCP) |
|---|---|---|
| Enfoque | Tecnología e infraestructura de TI | Negocio completo (operaciones, personas, tecnología) |
| Objetivo | Recuperar sistemas y datos | Mantener operaciones críticas del negocio |
| Alcance | Servidores, redes, aplicaciones, bases de datos | Personal, instalaciones, proveedores, TI, comunicación, regulaciones |
| Temporalidad | Reactivo: se activa después del desastre | Proactivo y reactivo: prevención + respuesta + recuperación |
| Métricas clave | RTO (Recovery Time Objective), RPO (Recovery Point Objective) | MTPD (Maximum Tolerable Period of Disruption), MBCO (Minimum Business Continuity Objective) |
| Responsable típico | CTO / Director de TI | Director General / Comité de Continuidad |
| Ejemplo de acción | Restaurar el ERP desde un respaldo en el sitio alterno | Reubicar al personal a oficinas alternativas, activar proveedores de respaldo, comunicar a clientes |
| Relación | Es un componente del BCP | Incluye al DRP como una de sus estrategias |
| Norma de referencia | ISO 27031 (TI para continuidad) | ISO 22301 (sistema de gestión de continuidad) |
Las métricas que importan
Métricas del DRP
- RTO (Recovery Time Objective): tiempo máximo aceptable para restaurar un sistema después de una interrupción. Ejemplo: "El ERP debe estar operativo en máximo 4 horas."
- RPO (Recovery Point Objective): cantidad máxima de datos que puedes perder, medida en tiempo desde el último respaldo. Ejemplo: "Podemos perder máximo 1 hora de transacciones."
Métricas del BCP
- MTPD (Maximum Tolerable Period of Disruption): tiempo máximo que el negocio puede soportar sin una actividad crítica antes de sufrir daño irreversible. Ejemplo: "Si no facturamos en 72 horas, perdemos la licencia de operación."
- MBCO (Minimum Business Continuity Objective): nivel mínimo de servicio que debe mantenerse durante la interrupción. Ejemplo: "Debemos atender al menos el 50% de los pedidos diarios durante la contingencia."
| Métrica | Pertenece a | Qué mide | Quién la define |
|---|---|---|---|
| RTO | DRP | Tiempo para recuperar un sistema | TI + Negocio |
| RPO | DRP | Datos que puedes perder | TI + Negocio |
| MTPD | BCP | Tiempo máximo sin una actividad del negocio | Dirección General |
| MBCO | BCP | Nivel mínimo de servicio durante crisis | Dirección + Operaciones |
La relación es directa: el MTPD del BCP define el RTO del DRP. Si el negocio no puede sobrevivir más de 8 horas sin el ERP (MTPD = 8h), entonces el RTO del ERP debe ser menor a 8 horas.
¿Quieres profundizar en estas métricas? Certifícate en Disaster Recovery con PECB o conoce el servicio de plan de continuidad de ONCE.
Cómo se complementan DRP y BCP
Imagina que un sismo daña las oficinas de tu empresa. Veamos cómo actúa cada plan:
Lo que hace el BCP:
- Activa el comité de crisis y verifica la seguridad del personal.
- Evalúa el impacto en instalaciones, personal y operaciones.
- Comunica la situación a clientes, proveedores y autoridades.
- Reubica al personal a oficinas alternas o activa trabajo remoto.
- Activa proveedores de respaldo para insumos críticos.
- Coordina la recuperación integral del negocio.
Lo que hace el DRP (dentro del BCP):
- Evalúa el daño a la infraestructura de TI.
- Activa el sitio de recuperación (hot, warm o cold site).
- Restaura datos desde respaldos.
- Verifica que los sistemas funcionen correctamente.
- Redirige el tráfico de red al sitio alterno.
- Confirma la recuperación y reporta al comité de crisis.
Sin el BCP, puedes tener tus servidores funcionando en el sitio alterno pero no saber dónde está tu equipo ni cómo atender a tus clientes. Sin el DRP, puedes tener a tu equipo reubicado pero sin sistemas para trabajar. Se necesitan ambos.
Cómo ISO 22301 integra DRP y BCP
ISO 22301:2019 es la norma internacional que establece los requisitos para un sistema de gestión de continuidad del negocio (SGCN). La norma no habla de "DRP" ni "BCP" como documentos separados, sino que integra ambos conceptos en un marco de gestión unificado:
- Cláusula 8.2 - Análisis de impacto al negocio y evaluación de riesgos: identifica las actividades críticas y los recursos que las soportan (incluyendo TI). Aquí se determinan MTPD, RTO y RPO.
- Cláusula 8.3 - Estrategias y soluciones de continuidad: define las estrategias para proteger las actividades prioritarias. El DRP es una de estas estrategias (la que cubre la parte tecnológica).
- Cláusula 8.4 - Planes y procedimientos de continuidad: documenta los planes operativos, incluyendo tanto los procedimientos de continuidad del negocio como los de recuperación tecnológica.
- Cláusula 8.5 - Ejercicios y pruebas: requiere probar regularmente todos los planes, incluyendo simulacros de recuperación ante desastres.
ISO 22301 te da la ventaja de tener un sistema de gestión — no solo documentos — que se mantiene, mejora y audita de forma continua. Esto asegura que tus planes estén siempre actualizados y que tu equipo sepa cómo actuar cuando la crisis real llegue.
Errores comunes
- Creer que el DRP es suficiente: la tecnología es solo una parte del negocio. Si solo recuperas sistemas pero no gestionas personas, proveedores y comunicación, la crisis se extiende.
- No probar los planes: un plan sin pruebas es teoría. Las pruebas revelan gaps que no se ven en papel.
- No involucrar a la dirección: el BCP es una decisión de negocio, no de TI. Si la dirección no participa en definir prioridades y presupuesto, los planes serán insuficientes.
- Planes desactualizados: un DRP que menciona servidores que ya no existen o un BCP con contactos de emergencia de personas que ya no trabajan en la empresa es inútil.
- Confundir respaldos con DRP: tener respaldos es necesario pero no suficiente. Un DRP completo incluye procedimientos de restauración, sitio alterno, comunicación y verificación.
Preguntas frecuentes
¿Puedo tener un DRP sin un BCP?
Técnicamente sí, pero no es recomendable. Un DRP aislado te permite recuperar tecnología, pero si no tienes un BCP, no sabrás cómo manejar a tu personal, comunicarte con clientes, operar con proveedores alternos o gestionar la crisis a nivel organizacional. El DRP resuelve la parte tecnológica; el BCP resuelve el negocio completo.
¿ISO 22301 cubre tanto DRP como BCP?
Sí. ISO 22301 es la norma de sistemas de gestión de continuidad del negocio y abarca tanto la continuidad operativa (BCP) como la recuperación tecnológica (DRP). La norma proporciona el marco para integrar ambos planes en un sistema de gestión coherente.
¿Qué métricas son exclusivas del DRP?
Las métricas más asociadas al DRP son RTO (Recovery Time Objective) y RPO (Recovery Point Objective), que miden tiempos de recuperación y pérdida de datos aceptable para sistemas de TI. El BCP usa métricas más amplias como MTPD (Maximum Tolerable Period of Disruption) y MBCO (Minimum Business Continuity Objective).
¿Cuánto cuesta implementar un BCP con DRP?
Depende del tamaño de la organización y la criticidad de sus operaciones. Una PyME puede empezar con un BCP básico y un DRP enfocado en respaldos por entre $50,000 y $200,000 MXN. Empresas medianas y grandes, con hot sites y replicación en tiempo real, pueden invertir desde $500,000 MXN hasta varios millones, dependiendo de la infraestructura requerida.
¿Con qué frecuencia debo actualizar ambos planes?
Como mínimo cada 6 meses para revisiones programadas, y de inmediato cuando haya cambios significativos: nueva infraestructura, cambio de proveedores, reorganización de personal o después de un incidente real. ISO 22301 requiere pruebas y ejercicios regulares como parte del ciclo de mejora continua.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.