ISO 27031: una mirada a la realidad. Por qué la ITSCM no es suficiente y la ISO 27031 exige una verdadera BCM.

ISO 27031: una mirada a la realidad. Por qué la ITSCM no es suficiente y la ISO 27031 exige una verdadera BCM.

En muchas empresas existe un peligroso error: los departamentos de TI confunden la gestión de la continuidad del servicio de TI con la verdadera gestión de la continuidad del negocio. Esta errónea apreciación genera una peligrosa brecha en la resiliencia, ya que pasa por alto que la propia TI es un área de negocio independiente y vulnerable.

Se ha extendido un peligroso malentendido en el panorama empresarial: los departamentos de TI dan por sentado que implementar la gestión de la continuidad de los servicios de TI (ITSCM) equivale a una gestión completa de la continuidad del negocio (BCM) para su propia área. Esta suposición, que considera la TI como un mero proveedor de servicios para otros departamentos, crea una brecha crítica en la resiliencia. Ignora el hecho de que la propia organización de TI es una unidad de negocio compleja con sus propias vulnerabilidades no técnicas, desde el personal clave hasta las ubicaciones y los proveedores.

La nueva norma internacional ISO/IEC 27031:2025 cuestiona este statu quo. La norma exige de forma inequívoca la integración de un enfoque holístico de BCM en la propia función de TI y la trata como una unidad de negocio que debe protegerse.

El malentendido fundamental: por qué la TI necesita su propio BCM

Existe una confusión conceptual en las organizaciones que puede tener consecuencias desastrosas en una crisis: la confusión entre BCM e ITSCM.

La gestión de la continuidad del negocio es un proceso de gestión holístico y estratégico que tiene como objetivo proteger los procesos empresariales críticos de toda la organización de los efectos de eventos con potencial de fallo. La BCM tiene en cuenta todos los recursos que contribuyen a la creación de valor: personas, infraestructura, cadenas de suministro y tecnología.

La gestión de la continuidad de los servicios de TI, por otro lado, es una disciplina especializada y una subárea de la BCM. Se centra exclusivamente en el reinicio y la restauración de la infraestructura tecnológica y los servicios de TI con el fin de cumplir los objetivos definidos por la empresa en el proceso de BCM. La ITSCM es la contribución técnica de las TI a la resiliencia global de la empresa.

El problema surge cuando el departamento de TI considera que su tarea ha concluido en cuanto dispone de un plan de recuperación de TI. Al hacerlo, pasa por alto el hecho de que él mismo es una unidad de negocio en la que el tiempo es un factor crítico y que puede fallar de formas que van mucho más allá de un simple fallo del sistema. Un plan de recuperación de TI puede regular el reinicio y la restauración de un servidor, pero no responde a la pregunta de qué ocurre si los administradores necesarios para ello no están disponibles debido a una pandemia.

Las raíces del malentendido: un análisis histórico y cultural

Esta peligrosa simplificación no es casual, sino el resultado de una larga evolución caracterizada por los silos organizativos y la influencia de los marcos establecidos.

  • Desde los inicios de la informática empresarial, los departamentos de TI se han considerado a menudo unidades de soporte técnico centralizadas, separadas organizativamente de las funciones empresariales básicas, lo que ha dado lugar a silos históricos entre el negocio y la informática. Esta separación ha provocado prioridades divergentes, barreras de comunicación y una falta de responsabilidad compartida por la resiliencia general de la empresa. El negocio «solicita» servicios, la informática «los presta» , una dinámica que dificulta la comprensión integrada de la gestión de la continuidad del negocio (BCM).

  • El marco ITIL (IT Infrastructure Library), ampliamente utilizado, ha profesionalizado la TI, pero al mismo tiempo ha consolidado su papel como proveedor de servicios, lo que se conoce como el efecto ITIL. Dado que la ITSCM es un proceso fundamental dentro de ITIL, muchas organizaciones de TI la han interiorizado como su principal y, a menudo, único compromiso de continuidad. Al hacerlo, cumplen los requisitos de su marco, pero pasan por alto la necesidad de considerarse una unidad de negocio que también requiere BCM. Los expertos en TI piensan naturalmente en términos de soluciones tecnológicas, lo que conduce a una visión centrada en la tecnología. Una «emergencia» se entiende principalmente como un fallo del sistema, un fallo de la red o un fallo de los servidores.

  • Los expertos en TI piensan naturalmente en términos de soluciones tecnológicas, lo que conduce a una visión centrada en la tecnología. Una «emergencia» se entiende principalmente como un fallo del sistema, un problema de red o un ciberataque. La recuperación y la restauración se centran en las copias de seguridad de los datos y el hardware redundante. Riesgos como la pérdida de personal clave o la pérdida de un proveedor crítico en términos de tiempo a menudo quedan fuera de este marco centrado en la tecnología.

El mandato de la norma ISO 27031:2025: la TI como unidad de negocio que debe protegerse

La nueva norma ISO 27031 rompe radicalmente con esta visión aislada. Ya no trata la función de TI como un mero proveedor de servicios técnicos, sino como una unidad de negocio independiente y urgente que requiere su propio BCM integrado. Este cambio de paradigma se sustenta en varios aspectos clave de la norma:

  • La norma exige explícitamente la integración, en lugar del aislamiento (capítulo 6), de la «preparación de las TIC para la continuidad del negocio» (IRBC) en el BCM global de la empresa. Esto posiciona a las TI no como un proveedor externo, sino como parte integral de la estrategia de resiliencia, sujeta a los mismos principios holísticos que cualquier otro departamento.

  • La norma ISO 27031 establece un enfoque holístico de los recursos al enumerar explícitamente los recursos de la función de TI que deben protegerse. Esto incluye no solo la tecnología y los datos, sino también las «competencias del personal», las «instalaciones», los «procesos» (procesos internos) y los «proveedores». Esto deja claro que un enfoque ITSCM puro que se centre únicamente en el reinicio y la recuperación de la tecnología y los datos no es suficiente. La TI debe contar con planes para la ausencia de personal clave, la pérdida de sus lugares de trabajo, el fallo de su infraestructura de TI y el fallo de sus propios proveedores.

  • La norma asigna a la alta dirección una responsabilidad clara (capítulo 13) en la evaluación y aprobación de las estrategias de IRBC. Esto eleva la continuidad de la función de TI a un nivel estratégico y señala que debe tratarse con la misma seriedad que la continuidad de, por ejemplo, la producción.

Por lo tanto, la norma ISO 27031 exige que la TI se someta a un análisis de impacto empresarial y aplique un BCM que proteja a su propia organización, de modo que pueda realizar sus tareas de ITSCM para el resto de la empresa.

Los riesgos de la falacia del ITSCM en la práctica

Si un departamento de TI solo opera el ITSCM y cree que esto lo hace resistente, expone a la empresa a riesgos incalculables. Centrarse exclusivamente en la recuperación técnica deja sin tener en cuenta los escenarios de fallo no técnicos y críticos en cuanto al tiempo:

  • Un plan de recuperación de TI que solo describe los pasos de recuperación técnica no sirve de nada si no hay nadie que lo ejecute, lo que supone el riesgo de fallo del personal clave. ¿Qué ocurre si los pocos especialistas que administran un sistema heredado complejo o una base de datos crítica no están disponibles simultáneamente debido a una pandemia, un accidente o una huelga? Un BCM para TI requeriría medidas como la formación en múltiples habilidades, la separación de las habilidades básicas y la automatización.

  • La pérdida de ubicaciones de TI es otro riesgo, ya que un incendio en el edificio de administración de TI, una inundación regional o un corte de energía que afecte a los lugares de trabajo del personal de TI pueden paralizar la capacidad de coordinar el reinicio y la recuperación. El ITSCM planifica el reinicio de los servidores en un centro de datos de respaldo, pero un BCM para TI planifica dónde los equipos de TI pueden controlar y ejecutar este reinicio en primer lugar.

  • La propia TI se basa en una cadena de procesos, y la interrupción de los procesos internos de TI puede hacer imposible responder eficazmente a la emergencia real. Si los sistemas que soportan estos procesos internos (por ejemplo, el sistema de tickets, las herramientas de supervisión) o el personal responsable de ellos fallan, la TI pierde su capacidad para controlar la situación.

  • La TI depende en gran medida de socios externos, por lo que el fallo de los proveedores supone un riesgo importante. Un plan ITSCM puede prever una copia de seguridad de los datos en la nube, pero un BCM para TI analiza las obligaciones contractuales, planifica proveedores alternativos y define procesos en caso de que falle un socio estratégico.

Conclusión

La suposición de que el ITSCM o el IRBC sustituyen a un BCM para TI es una de las brechas de resiliencia más peligrosas en las empresas modernas. Se deriva de una visión obsoleta y centrada en la tecnología, y se ve reforzada por los silos organizativos. La norma ISO/IEC 27031 lo deja muy claro: la TI no es solo un proveedor de servicios, sino una unidad de negocio crítica que requiere su propia gestión integrada de la continuidad del negocio.

Recomendaciones de actuación para la dirección y los responsables:

  • Es fundamental una clara asignación de responsabilidades. La dirección debe reconocer que la propia organización de TI requiere un BCM. La responsabilidad de este BCM «interno» para TI debe asignarse claramente al director de TI/CIO, en estrecha coordinación con el responsable de BCM de la empresa.

  • Es esencial realizar un BIA para la organización de TI. Realice un análisis de impacto empresarial que evalúe no los servicios de TI para otros, sino los procesos internos, el personal, las ubicaciones y los proveedores del propio departamento de TI. Identifique los verdaderos «puntos únicos de fallo» dentro de su organización de TI.

  • Desarrollar un BCP en TI es imprescindible. Amplíe su perspectiva más allá de los planes de TI y de recuperación ante desastres existentes para incluir aspectos no técnicos. Cree planes concretos para escenarios como la pérdida de personal clave, la pérdida de estaciones de trabajo de TI, el fallo de sistemas de TI críticos y la pérdida de datos críticos. Desarrolle un plan sobre cómo responder a un desastre y cómo recuperarse de él. Cree planes concretos para situaciones como la pérdida de personal clave, la pérdida de estaciones de trabajo de TI, el fallo de la infraestructura de TI y el fallo de proveedores de TI críticos.

  • Establecer una cultura de pruebas integrada es fundamental. Realice ejercicios que pongan a prueba no solo la conmutación por error técnica, sino también la resiliencia de la propia organización de TI. Simule la pérdida de personal de TI y compruebe si los procesos documentados también pueden ser llevados a cabo por equipos alternativos.

Cierre la brecha de resiliencia: ¿Su TI es realmente resiliente o solo recuperable?

La norma ISO 27031:2025 exige una nueva forma de pensar. Un plan de recuperación puramente técnico ya no es suficiente para garantizar la seguridad de la propia TI. Le ayudamos a cerrar la brecha entre ITSCM y BCM real para su TI, desde el BIA para su organización de TI hasta el desarrollo de planes de contingencia integrados. Póngase en contacto con nosotros para poner a prueba la resiliencia de su TI y convertirla en una unidad de negocio a prueba de crisis.