---

---

El mandato de la norma ISO 27031:2025: resiliencia más allá de la tecnología

La norma ISO 27031:2025 marca un cambio esencial en la gestión de la continuidad del negocio (BCM). Reconoce que la fiabilidad tecnológica total es una ilusión y cambia el enfoque hacia la capacidad operativa de una organización cuando la tecnología falla.

El núcleo de esta reorientación es la cláusula 6.6a. Establece de forma inequívoca que, si la tecnología de la información y la comunicación (TIC) no puede cumplir los tiempos de recuperación (Recovery Time Objective, RTO) o los puntos de recuperación (Recovery Point Objective, RPO) exigidos por las operaciones comerciales, la organización debe describir en el plan de continuidad del negocio (BCP) soluciones alternativas que permitan el funcionamiento sin TIC durante el tiempo que dure esta interrupción.

Este requisito se complementa con la cláusula 10.4, que define las «soluciones provisionales temporales» como solución. Se trata de procesos manuales o semimanuales que permiten continuar con los procesos empresariales urgentes, aunque con una eficiencia potencialmente menor, hasta que los servicios de TI vuelvan a estar disponibles. De este modo, la norma obliga a abordar con honestidad la brecha entre las necesidades empresariales y las capacidades reales de las TIC, a menudo limitadas por el presupuesto.

Un aspecto crucial que a menudo da lugar a malentendidos en la práctica es la necesaria distinción entre los objetivos de recuperación del negocio y los de la TI. El RTO definido por la empresa (RTO empresarial) indica cuándo debe volver a funcionar un proceso empresarial. Para que esto sea posible, la infraestructura de TIC subyacente debe recuperarse necesariamente antes. Por lo tanto, el RTO de las TIC (RTO de las TIC) debe ser significativamente más corto que el RTO empresarial, a fin de crear un margen para el reinicio de los procesos empresariales, la validación de datos y la comunicación. Sin embargo, aún más importante es el tiempo de recuperación real (Recovery Time Actual, RTA). A diferencia del RTO, que es un valor objetivo, el RTA es el valor medido que se determina en una prueba o simulación para determinar el rendimiento en caso de emergencia. Por lo tanto, el RTA es la prueba de realidad definitiva para cualquier BCP.

La brecha práctica: por qué fracasan los principios conocidos

Aunque los principios de la norma ISO son conocidos por los expertos, existe una peligrosa brecha entre la teoría y la práctica. Las razones son sistémicas y a menudo se deben a errores de juicio fundamentales:

• Se produce una brecha organizativa porque, a menudo, se malinterpreta erróneamente que la responsabilidad de mantener las operaciones comerciales es una tarea exclusiva de TI. Los departamentos especializados definen sus requisitos y el departamento de TI proporciona lo que permite el presupuesto. La solución manual de un proceso empresarial cae en el vacío de responsabilidad entre estos dos silos. Ninguna de las partes se siente responsable de la financiación, el desarrollo y las pruebas.

• El síndrome del «plan sobre el papel» describe el fenómeno por el cual muchos BCP solo existen para cumplir los requisitos de auditoría. A menudo están obsoletos, sin probar y son poco realistas. Los procesos manuales, en particular, rara vez se someten a pruebas funcionales, ya que esto requiere mucho esfuerzo operativo. Una prueba teórica no es suficiente para validar la resistencia de un proceso manual bajo estrés. Sin embargo, incidentes recientes como la caída de CrowdStrike en 2024 demostraron que la reanudación y la recuperación pueden llevar días y requieren una intervención manual masiva. Un proceso manual no sostenible puede generar rápidamente un retraso incontrolable debido a la enorme ineficiencia y la alta propensión a los errores, lo que puede dar lugar a una crisis independiente aún mayor.

Estas deficiencias sistémicas no son meros fallos operativos. Se manifiestan en pérdidas financieras directas y, a menudo, devastadoras. Para ilustrar la magnitud de estos riesgos, un estudio realizado por Information Technology Intelligence Consulting en 2024 aporta las siguientes cifras: Para el 90 % de las empresas, una sola hora de inactividad supone un coste superior a 300 000 dólares estadounidenses, y el 41 % de las empresas incluso reportan costes de entre 1 y 5 millones de dólares estadounidenses por hora. Esto subraya la necesidad económica de crear la resiliencia operativa exigida por la norma ISO y justificar el presupuesto para las medidas correspondientes.

La metodología decisiva: el análisis de deficiencias

El proceso de comparar los requisitos del negocio (RTO empresarial) con las capacidades demostradas de TI (medidas como RTA) es el análisis de brechas. Este análisis no es una prueba superficial, sino un examen profundo y multicapa de toda la cadena tecnológica. Comienza con la infraestructura básica, como el suministro eléctrico y la climatización del centro de datos, pasa por los componentes de red, los servidores y los sistemas de almacenamiento, hasta llegar a las bases de datos y, finalmente, a la propia aplicación que proporciona el servicio empresarial.

Cada una de estas capas tiene sus propias características de recuperación y dependencias. Solo mediante un análisis tan granular puede el departamento de TI hacer una declaración realista y honesta sobre su tiempo de recuperación real (RTA, determinado mediante pruebas de los diferentes componentes). El resultado de este análisis de deficiencias es la base para la decisión estratégica: o bien se invierte en tecnología para subsanar las deficiencias, o bien se desarrolla una solución manual. 

Un marco de actuación para soluciones alternativas eficaces

Para cumplir los requisitos de la norma y subsanar la brecha práctica, es necesario adoptar un enfoque estructurado:

• Es fundamental una asignación clara de responsabilidades. La responsabilidad del desarrollo y mantenimiento de soluciones manuales debe asignarse explícitamente a los responsables de los procesos empresariales, no al departamento de TI.

• La asignación de presupuestos es esencial. Cree partidas presupuestarias específicas para los recursos necesarios para las soluciones manuales, entre otros, el tiempo de formación de los empleados, el hardware informático, los costes de impresión de los formularios de emergencia y la realización de pruebas realistas con ayuda externa si es necesario. La cuantificación y notificación de riesgos es imprescindible. Realice un análisis transparente de las deficiencias y una modelización cuantitativa de los posibles riesgos para la empresa.

• La cuantificación y notificación de riesgos es imprescindible. Elabore un análisis transparente de las deficiencias y un modelo cuantitativo del posible retraso en las operaciones en caso de fallo. El argumento comercial para invertir en soluciones provisionales debe basarse en la reducción del riesgo financiero residual, no en el mero factor del coste.

• El establecimiento de una cultura de pruebas es fundamental. Establezca un programa de pruebas obligatorio y progresivo que vaya más allá de las pruebas simples y exija simulacros funcionales periódicos para estas soluciones alternativas. Fomente una cultura en la que las vulnerabilidades detectadas en las pruebas se consideren conocimientos valiosos y no fallos.

El siguiente paso: de la planificación a la resiliencia vivida

La implementación de estas tareas exigentes, desde el análisis de deficiencias hasta el desarrollo de soluciones alternativas sólidas, requiere conocimientos técnicos específicos. Los responsables de IRBC y BCM deben convertirse en impulsores internos y dejar clara la necesidad estratégica a la dirección. La experiencia externa puede acelerar este proceso de manera decisiva. Actúe ahora, porque no se trata de un ejercicio de cumplimiento normativo, sino de una inversión estratégica en la supervivencia y la resiliencia de su empresa.