ISO 27031: una mirada a la realidad. La peligrosa brecha del RTO entre los negocios y la informática.

ISO 27031: una mirada a la realidad. La peligrosa brecha del RTO entre los negocios y la informática.

En el mundo de la gestión de la continuidad del negocio (BCM), hay pocos indicadores tan fundamentales y, al mismo tiempo, tan peligrosos de malinterpretar como el objetivo de tiempo de recuperación (RTO).

En el mundo de la gestión de la continuidad del negocio (BCM), hay pocos indicadores tan fundamentales y, al mismo tiempo, tan peligrosos de malinterpretar como el objetivo de tiempo de recuperación (RTO). Aunque los departamentos especializados y los departamentos de TI creen que hablan el mismo idioma, a menudo definen el punto de partida de este periodo crítico de forma fundamentalmente diferente. Esta discrepancia no es una sutileza académica, sino una bomba de relojería que, en caso de emergencia, puede dar lugar a falsas suposiciones de seguridad, conflictos crecientes y daños financieros incontrolados.

Dos mundos, un indicador: ¿cuándo empieza realmente a correr el reloj?

La controversia se puede reducir a una simple pregunta: ¿cuándo comienza el RTO? La respuesta a esta pregunta suele dividir a las organizaciones en dos bandos, que se basan en las normas ISO y en la práctica habitual de la BSI.

  • La perspectiva empresarial (según ISO 22301 e ISO 27031): para la empresa, el daño comienza exactamente en el momento del incidente. Cada segundo de inactividad cuesta dinero, confianza y cuota de mercado. Las normas internacionales como la ISO 22301:2019 y la nueva ISO 27031:2025 son inequívocas en este sentido: la medición del tiempo de RTO comienza con el «incidente ocurre», es decir, el momento en que se produce el daño. Esta perspectiva es la única base lógica para un análisis válido del impacto en el negocio (BIA), ya que registra toda la duración de la indisponibilidad.

  • La perspectiva de TI (práctica habitual, a menudo en el entorno de la BSI): para el departamento de TI, el RTO suele ser un objetivo de nivel de servicio (SLO) cuyo cumplimiento debe medirse y comunicarse. En la práctica, por lo tanto, el reloj a menudo no comienza a correr hasta que se descubre el incidente, se analiza y se declara formalmente una emergencia. Las fases de detección, análisis y decisión no se incluyen en el RTO de TI. 

Estos diferentes puntos de partida generan un «tiempo de inactividad oculto» (Hidden Downtime), un periodo en el que la empresa ya está sufriendo daños, pero el reloj de recuperación de TI aún no ha comenzado a correr.

Las fatales desventajas de la discrepancia

Este tiempo de inactividad oculto es la raíz de una cascada de errores estratégicos y riesgos operativos:

  • La ilusión de seguridad surge cuando el departamento de TI informa del cumplimiento de su RTO de 4 horas, porque la recuperación técnica tras la declaración de emergencia solo ha durado 3,5 horas. Sin embargo, en ese momento, la empresa ya ha sufrido 6,5 horas de inactividad (3 horas de «tiempo de inactividad oculto» + 3,5 horas de recuperación) y ha superado con creces el límite de tolerancia máximo definido en el BIA. El semáforo de TI está en verde, mientras que la empresa está en números rojos.

  • El resultado son análisis de impacto empresarial sin valor y una planificación errónea de las opciones de solución, ya que cuando los departamentos especializados definen sus requisitos de RTO, parten del tiempo total de inactividad. Si el departamento de TI confirma este requisito con un cálculo de tiempo diferente, todas las opciones de solución posteriores se basarán en una premisa errónea. De este modo, el BIA pasa de ser un instrumento de control a un instrumento de autoengaño.

  • Un conflicto de crisis preprogramado es inevitable cuando, en caso de emergencia, chocan las diferentes expectativas. La dirección espera que la reanudación se base en el RTO empresarial, mientras que el departamento de TI trabaja según su propio cálculo de tiempo. El resultado es una pérdida de confianza, una gestión ineficaz de la crisis y acusaciones mutuas, precisamente cuando una colaboración estrecha sería vital para la supervivencia.

  • Los riesgos subestimados y los presupuestos insuficientes son el resultado, ya que el tiempo de inactividad oculto representa un riesgo no calculado. Los costes que se producen en esta fase no se tienen en cuenta en la evaluación de riesgos. En consecuencia, los presupuestos para las medidas necesarias, como mecanismos de detección más rápidos o soluciones manuales para superar precisamente este tiempo, se descartan como innecesarios.

Conclusión: una llamada de atención para los directivos y responsables

La diferente interpretación del RTO no es una cuestión semántica sin importancia, sino un problema fundamental de gobernanza. La nueva norma ISO 27031:2025 reconoce esta realidad y exige consecuencias: si el departamento de TI no puede cumplir el RTO exigido por la empresa (desde el momento en que se produce el incidente), la organización está obligada a disponer de un plan para salvar esta brecha: la solución manual.

Recomendaciones de actuación para el nivel directivo y los responsables:

  • Es fundamental crear un lenguaje uniforme. Organice un taller entre los responsables del negocio y la dirección de TI con el único objetivo de aprobar una definición de RTO vinculante para toda la empresa, que comience en el momento del incidente. Incorpore esta definición en su política de BCM e ITSCM.

  • Es imprescindible medir la realidad. Introduzca el indicador Recovery Time Actual (RTA). Mida en pruebas y ejercicios el tiempo real desde el incidente simulado hasta la reanudación. Este RTA es la medida honesta de su resiliencia.

  • Es imprescindible hacer transparente la brecha. Realice un análisis de la brecha que compare los requisitos del negocio (RTO) con el rendimiento real (RTA). Este método es la base de cualquier decisión estratégica, ya sea una inversión en TI más rápida o en el desarrollo de procesos manuales robustos.

  • Asumir la responsabilidad es fundamental. El desarrollo de soluciones provisionales no es una tarea de TI, sino responsabilidad de los responsables de procesos en los departamentos especializados. La dirección debe proporcionar los presupuestos y recursos necesarios para ello y establecer una cultura de pruebas que considere los puntos débiles como oportunidades de aprendizaje.

Cierre la brecha de resiliencia

Cerrar la brecha entre las necesidades empresariales y la realidad informática es un reto complejo. Nuestro equipo de especialistas con experiencia en BCM e IRBC le ayudará de forma específica a poner en práctica la teoría. Desde la moderación de un taller decisivo de alineación de RTO hasta la realización de un análisis de deficiencias bien fundamentado y el desarrollo de planes de continuidad del negocio viables, le ayudamos a desarrollar una resiliencia real y cuantificable.

Póngase en contacto con nosotros para una primera consulta sin compromiso y dé el primer paso para pasar de un plan sobre el papel a una estrategia viable y resistente a las crisis.