Tabla de Contenidos
Definiciones precisas
DRP (Disaster Recovery Plan) · plan técnico para recuperar infraestructura TI tras un incidente. Cubre · servidores, datacenters, redes, datos, aplicaciones críticas. Sus métricas son RTO (Recovery Time Objective) y RPO (Recovery Point Objective) por sistema.
BCP (Business Continuity Plan) · plan más amplio que cubre todas las funciones de negocio. Incluye DRP + RRHH (cómo seguir operando con personal limitado) + comunicación con stakeholders + finanzas + supply chain + instalaciones físicas. Sus métricas son RTO/RPO + alternate sites + minimum operating capacity.
ISO 22301:2019 BCMS · sistema de gestión completo de continuidad del negocio bajo Anexo SL. Obliga a tener BIA + BCP + DRP + ejercicios + revisión por la dirección + auditoría interna + mejora continua. Es la única vía certificable que demuestra capacidad sistemática de respuesta ante incidentes.
Tabla comparativa
| Dimensión | DRP | BCP | ISO 22301 |
|---|---|---|---|
| Alcance | Solo TI | Toda la organización | Sistema de gestión completo |
| Documentación | Plan técnico | Plan operativo | Sistema con 19 elementos |
| BIA exigido | Opcional | Recomendado | OBLIGATORIO (cláusula 8.2) |
| Ejercicios obligatorios | No | No | Sí (cláusula 8.5) |
| Auditable externamente | No | Parcial | Sí · certificable |
| Revisión por dirección | No | Recomendada | Obligatoria |
| Mejora continua | No | Implícita | Cláusula 10 · obligatoria |
| Reconocimiento ante terceros | Bajo | Medio | Alto · certificado internacional |
Cuándo conviene cada uno
DRP solo conviene si:
- Empresa con dependencia 100% TI · pero sin clientes B2B grandes que pidan certificación
- Recursos limitados · empezar por lo más crítico (TI) y escalar después
- Empresa joven que está construyendo madurez operativa
BCP completo conviene si:
- Empresa con SLAs contractuales que requieren tiempo de recuperación demostrable
- Operación con dependencia significativa de personal o instalaciones físicas
- Sector con regulación que exige plan de continuidad pero no certificación
ISO 22301 certificada conviene si:
- Cliente B2B grande lo exige (banca, fintech, salud, gobierno)
- Sector regulado (BCRA, CNBV, SBS, Banco Central · normativa local exige BCMS)
- Operación crítica para terceros donde una interrupción genera daño legal o reputacional alto
- Combinación con ISO 27001 + ISO 42001 para demostrar resiliencia tecnológica completa
Costos comparados · LATAM 2026
| Solución | Costo año 0 | Mantenimiento anual | Plazo |
|---|---|---|---|
| DRP solo | USD 8K-25K + infra | USD 2K-5K + infra | 2-4 meses |
| BCP completo | USD 15K-50K | USD 4K-12K | 6-9 meses |
| ISO 22301 certificada (PyME) | USD 25K-50K + cert USD 6K-9K | USD 8K-15K + vigilancia USD 4K-6K | 9-12 meses |
Conclusión · ruta evolutiva recomendada
La ruta más eficiente para empresas serias:
- Año 1 · DRP técnico TI + BCP básico documentado
- Año 2 · Madurar BCP con ejercicios + actualización anual + integración con ISO 27001
- Año 3 · ISO 22301 certificada · ya tiene base + cultura · solo formaliza para auditoría externa
Si la presión comercial requiere certificación inmediata, se hace todo en 9-12 meses con consultor experimentado. El costo es mayor pero el tiempo a mercado es menor.
— Fernando Arrieta, Director Técnico G-CERTI.
Compartir este artículo
Auditor líder
Auditor líder en 6 normas ISO. Representante regional de G-CERTI para el mercado hispanohablante y miembro del International Accreditation Center (IAC). Columnista y voz pública en certificación, cumplimiento, IA y calidad.
