Aitana Security Lab | Enterprise Vulnerability Assessment Platform

BCP vs DRP: ¿En qué se diferencian?

BCP — Business Continuity Plan

Plan más amplio. Cubre cómo la organización continúa operando durante y después de un desastre. Incluye personas, procesos y comunicaciones, no solo TI.

• Activación del comité de crisis
• Plan de comunicación interna y externa
• Ubicaciones alternativas de trabajo
• Acuerdos con proveedores alternativos
• Procedimientos manuales de emergencia

DRP — Disaster Recovery Plan

Subconjunto del BCP. Enfocado en restaurar los sistemas TI y la infraestructura tecnológica tras un desastre. Es el plan operativo de TI.

• Procedimientos de failover al site de DR
• Secuencia de restauración de sistemas
• Recuperación de backups
• Validación de sistemas restaurados
• Failback al site principal

Analogía: El BCP es el manual de emergencias del hospital completo (cómo atender pacientes, dónde ir si hay evacuación, quién llama a quién). El DRP es el plan específico de TI para restaurar el sistema de historiales clínicos electrónicos.

Estrategias de Continuidad (Site Recovery)

Hot Standby (Active-Active)

💰💰💰💰 Muy alto

RTO: Segundos / MinutosRPO: Cero (replicación síncrona)

Dos sitios activos simultáneamente con los mismos datos en tiempo real. Failover automático o semiauto. El más caro y complejo.

Uso: Banca, e-commerce, infraestructura crítica. Cuando el coste de downtime supera ampliamente el coste del sitio redundante.

Warm Standby (Active-Passive)

💰💰💰 Alto

RTO: Minutos / HorasRPO: Minutos (replicación asíncrona)

El sitio secundario tiene sistemas encendidos y actualizados, pero no recibe tráfico en condiciones normales. Requiere intervención para activar el failover.

Uso: La mayoría de aplicaciones empresariales críticas. Buen equilibrio coste/RTO.

Cold Standby

💰 Bajo

RTO: Horas / DíasRPO: Horas (backups frecuentes)

Infraestructura preparada pero apagada o mínimamente equipada. Hay que instalar, configurar y restaurar backups cuando se activa.

Uso: Sistemas menos críticos con RTOs de horas o días aceptables.

Cloud DR / DRaaS

💰💰 Variable (pago por uso)

RTO: Minutos (si bien configurado)RPO: Minutos / Horas

La infraestructura de DR está en la nube (AWS, Azure, GCP). Se paga solo cuando se activa. Herramientas: AWS CloudEndure, Azure Site Recovery, Veeam Cloud.

Uso: Empresas que no quieren mantener un site físico de DR. Muy flexible y escalable.

Tipos de Pruebas del DRP/BCP

Un plan no probado no es un plan: es un deseo. Los planes deben probarse regularmente para validar que funcionan y que el equipo sabe ejecutarlos.

Tabletop Exercise

No invasivo

El equipo discute el escenario en una sala. "¿Qué harías si...?" — Se identifican gaps en el plan sin activar nada real. Económico y frecuente.

Walkthrough / Checklist Review

Mínimo

El equipo revisa el plan paso a paso en papel, verificando que todos los procedimientos son correctos y actualizados.

Simulation / Parallel Test

Moderado

Se activan los sistemas del sitio de DR en paralelo con el sitio principal (sin afectar a producción). Se valida que los sistemas de DR funcionan.

Full Interruption Test

Alto — riesgo real

Se desconecta el sitio principal y se opera 100% desde el sitio de DR. La prueba más realista pero la más arriesgada. Requiere ventana de mantenimiento y aprobación ejecutiva.

Buenas Prácticas

Probar el DRP al menos una vez al año. Las organizaciones maduras lo prueban cada 6 meses.

Almacenar copias del BCP/DRP fuera de los sistemas que se recuperan (papel, USB físico, email externo).

Mantener una lista de contactos de emergencia actualizada (móviles personales, no solo corporativos).

Documentar la secuencia de recuperación de sistemas: primero AD/DNS, luego bases de datos, luego apps.

Verificar los backups restaurando regularmente — un backup no restaurado puede no servir.

ISO 22301 es el estándar de certificación para Business Continuity Management Systems.

Siguiente Paso

Aprende cómo un SIEM correlaciona logs para detectar amenazas avanzadas

SIEM: Correlación de Logs →

BCP y Plan de Recuperación ante Desastres