En muchas empresas los tres se usan como si fueran el mismo documento con distinto nombre. Y no lo son: cubren cosas diferentes, se activan en momentos diferentes y los ejecuta gente diferente. Tener uno y creer que tienes los tres es de los malentendidos que solo se descubren —cómo no— el peor día. Vamos a separarlos.
BCP: que el negocio siga operando
El BCP (Business Continuity Plan, plan de continuidad del negocio) es el más amplio de los tres. Su pregunta es: ¿cómo sigue funcionando la empresa —no solo la tecnología— mientras dura la interrupción? Cubre procesos, personas, proveedores, instalaciones. Incluye cosas que no son de TI: dónde trabaja la gente si la oficina se vuelve inaccesible, cómo se atiende a clientes con procesos manuales temporales, quién habla con los medios. El BCP es la sombrilla; todo lo demás vive debajo.
DRP: recuperar la tecnología
El DRP (Disaster Recovery Plan, plan de recuperación ante desastres) es un componente del BCP, enfocado en recuperar la infraestructura y los sistemas de TI: servidores, datos, redes, aplicaciones. Es el "cómo volvemos a encender la tecnología", con sus RTO, RPO, sitios de recuperación y procedimientos. Un BCP sin DRP es una intención sin motor; un DRP sin BCP recupera los sistemas pero deja sin resolver cómo opera el negocio mientras tanto.
Respuesta a incidentes: contener el ataque
El plan de respuesta a incidentes (IR) es distinto en naturaleza: no va de recuperar, va de contener y responder a un incidente de seguridad en curso —detectar, aislar, erradicar, investigar. Muchas veces es el disparador de los otros dos: un ransomware empieza como incidente de seguridad (lo maneja el IR), y si el daño es grande escala a desastre (se activa el DRP para recuperar, y el BCP para mantener a la empresa operando mientras tanto).
Cómo se anidan: el ejemplo del ransomware
Un mismo evento los usa a los tres, en secuencia y en paralelo:
- Respuesta a incidentes: se detecta el cifrado, se aíslan los equipos afectados, se corta la propagación, se preserva evidencia. Objetivo: que no siga creciendo.
- DRP: con el incidente contenido, se recuperan los sistemas desde respaldos inmutables hacia el sitio de recuperación. Objetivo: volver a tener tecnología funcionando.
- BCP: mientras tanto, el negocio atiende con procesos alternos, comunica a clientes y reguladores, y decide dónde trabaja la gente. Objetivo: que la empresa no se detenga aunque la tecnología aún no vuelva del todo.
| Plan | Alcance | Pregunta que responde | Se activa |
|---|---|---|---|
| Respuesta a incidentes | El incidente de seguridad | ¿Cómo lo contengo? | Al detectar el ataque |
| DRP | Tecnología / TI | ¿Cómo recupero los sistemas? | Cuando el daño es un desastre |
| BCP | Todo el negocio | ¿Cómo sigo operando? | Mientras dura la interrupción |
La pregunta que conviene hacerse
No es "¿tenemos un plan?" en singular, porque esa pregunta esconde el hueco. Es: si nos pega un ransomware el lunes, ¿quién contiene, quién recupera los sistemas y quién decide cómo sigue operando el negocio mientras tanto —y están escritas esas tres cosas, o solo una? La mayoría tiene, con suerte, el DRP, y descubre en pleno incidente que nadie escribió cómo opera la empresa mientras la tecnología vuelve. Ordenar los tres planes y ver que encajen —sin duplicarse ni dejar huecos— es parte de lo que ayudamos a construir.