Por qué la mayoría de los BCP españoles fallan en la parte de datos
Muchas pequeñas y medianas empresas españolas cuentan ya con alguna forma de Plan de Continuidad de Negocio, aunque sea informal. Sin embargo, cuando se analiza la sección de recuperación de datos, los problemas son recurrentes: copias de seguridad no verificadas, RTO/RPO no definidos, ausencia de pruebas periódicas y ningún acuerdo previo con un proveedor especializado de recuperación de datos.
El resultado es predecible: cuando ocurre el incidente real, la empresa descubre que la copia de seguridad lleva meses sin funcionar, que nadie sabe cómo restaurarla o que la restauración tardará tres días cuando el negocio solo puede permitirse tres horas de inactividad. En este artículo te explicamos cómo construir la parte de recuperación de datos de un BCP sólido.
Conceptos fundamentales: RTO y RPO
RTO: Recovery Time Objective
El RTO (Objetivo de Tiempo de Recuperación) es el tiempo máximo que puede estar un sistema o proceso de negocio inoperativo antes de que el impacto sea inaceptable. Debes definirlo para cada proceso crítico de tu empresa:
- Sistema de facturación: RTO de 4 horas.
- Correo electrónico: RTO de 2 horas.
- Base de datos de clientes: RTO de 8 horas.
- Archivo histórico de documentos: RTO de 48 horas.
El RTO determina cuánto puedes invertir en infraestructura de continuidad: un RTO de 1 hora requiere un sistema de alta disponibilidad activo-activo con coste elevado; un RTO de 48 horas puede cubrirse con backup en cinta y un proveedor de recuperación con acuerdo de servicio.
RPO: Recovery Point Objective
El RPO (Objetivo de Punto de Recuperación) es la cantidad máxima de datos que puedes permitirte perder, expresada en tiempo. Si tienes backup diario y el disco falla a las 18:00, perderás las transacciones del día. Si tu RPO es de 4 horas, necesitas backups cada 4 horas o replicación continua.
| RPO requerido | Tecnología necesaria | Coste aproximado (PYME) |
|---|---|---|
| 0-15 minutos | Replicación síncrona / cluster activo-activo | 500 – 2.000 €/mes |
| 1-4 horas | Replicación asíncrona / snapshot frecuente | 150 – 500 €/mes |
| 24 horas | Backup diario automatizado nube + local | 30 – 150 €/mes |
| 48-72 horas | Backup diario local (cinta o NAS) | 10 – 50 €/mes |
Inventario de datos críticos: el primer paso del BCP
Antes de diseñar cualquier estrategia de backup, debes identificar qué datos son realmente críticos para tu negocio. Te proponemos esta clasificación:
Nivel 1 — Datos vitales (no pueden perderse)
- Base de datos del ERP / software de gestión.
- Base de datos de clientes y contactos.
- Documentación contable y fiscal del ejercicio en curso.
- Contratos firmados y documentos con valor legal.
Nivel 2 — Datos importantes (pérdida parcial aceptable)
- Correo electrónico del último mes.
- Proyectos en curso (diseños, presentaciones, informes).
- Configuraciones de sistemas y servidores.
Nivel 3 — Datos recuperables por otras vías
- Software instalado (reinstalable desde licencias).
- Archivo histórico de más de 5 años.
- Contenido multimedia interno (fotos, videos corporativos).
Estrategia de backup por niveles (hot/warm/cold)
Backup caliente (hot): alta disponibilidad
Un backup caliente es aquel que está siempre listo para sustituir al sistema principal sin intervención manual o con intervención mínima. Ejemplos: replicación de base de datos MySQL en modo maestro-esclavo, sistema de virtualización con failover automático (VMware vSphere, Proxmox Cluster). Adecuado para datos de Nivel 1 con RPO de minutos.
Backup templado (warm): restauración en horas
Un backup templado está disponible pero requiere algún tiempo de preparación para su activación. Ejemplos: snapshot diario en NAS local + cópia en nube, servidor de backup con Veeam Backup & Replication. Adecuado para RPO de 4-24 horas y RTO de 2-8 horas.
Backup frío (cold): restauración en días
Un backup frío es una copia almacenada fuera de línea que requiere tiempo de acceso y restauración. Ejemplos: cinta LTO en armario ignifugo, disco externo en caja fuerte fuera de las instalaciones. Adecuado para datos de Nivel 3 con RPO de 24-72 horas y RTO de 24-72 horas.
La regla 3-2-1 sigue siendo el estándar mínimo recomendado: 3 copias de los datos, en 2 tipos de soporte diferentes, con 1 copia fuera de las instalaciones. Para entornos modernos se ha extendido a la regla 3-2-1-1-0: la copia adicional debe ser inmutable (no sobreescribible) y las copias deben verificarse con 0 errores.
El acuerdo previo con un proveedor de recuperación de datos
Una parte que muchos BCP olvidan es el acuerdo de servicio previo con un proveedor de recuperación de datos para los casos en que todas las copias de seguridad fallan o no están disponibles. Este acuerdo debe incluir:
- SLA de tiempo de respuesta: cuántas horas tardará el proveedor en iniciar la recuperación desde la notificación del incidente.
- Prioridad de cola: los clientes con acuerdo previo no esperan en cola estándar.
- Tarifa acordada: precio pactado por antelación para los escenarios más probables.
- Acuerdo de confidencialidad y encargo del tratamiento RGPD: firmado de antelación para no perder tiempo en el momento del incidente.
En RecuperaTusDatos.es ofrecemos acuerdos de prioridad anual para empresas que quieren tener garantizado el tiempo de respuesta más rápido en caso de incidente, incluyendo recogida urgente en el mismo día.
Pruebas del plan: el paso más olvidado
Un BCP no probado es simplemente un documento. La norma ISO 22301 (Gestión de la Continuidad del Negocio) y el ENS (Esquema Nacional de Seguridad) para entidades públicas exigen que los planes de continuidad se prueben con una periodicidad mínima anual. Las pruebas deben incluir:
- Prueba de restauración: restaura realmente la copia de seguridad en un entorno de pruebas y verifica que los datos son íntegros y utilizables.
- Simulacro de incidente: simula un fallo de disco en producción y mide el tiempo real de recuperación. ¿Cumple el RTO definido?
- Prueba de comunicación: verifica que todo el personal sabe a quién llamar y qué hacer en el primer momento del incidente.
- Auditoría de logs de backup: revisa los registros de las copias de seguridad para detectar fallos silenciosos.
Marco normativo: ISO 22301 y ENS
ISO 22301 para empresas privadas
La norma ISO 22301:2019 es el estándar internacional para sistemas de gestión de la continuidad del negocio. Su certificación no es obligatoria para la mayoría de las empresas españolas, pero sus principios son aplicables a cualquier tamaño. Los requisitos clave para la parte de datos incluyen: evaluación del impacto en el negocio (BIA), definición de MTPD (Maximum Tolerable Period of Disruption), RTO/RPO documentados y pruebas periódicas.
ENS para el sector público y sus proveedores
El Esquema Nacional de Seguridad (RD 311/2022) es obligatorio para las Administraciones Públicas españolas y para las empresas privadas que les prestan servicios. En su ámbito de continuidad, el ENS exige:
- Plan de Continuidad del Servicio con procedimientos de recuperación documentados.
- Copias de seguridad periódicas con verificación de integridad.
- Pruebas de restauración con frecuencia mínima anual.
- Para categoría ALTA: sistemas alternativos con RTO máximo de pocas horas.
Coordinación con el seguro de empresa
Los seguros de ciberriesgo y los seguros de equipo electrónico incluyen frecuentemente cobertura para los costes de recuperación de datos. Para poder activar esta cobertura, necesitarás:
- Denuncia ante la Policía o Guardia Civil si hay sospechas de ataque informático.
- Informe técnico del fallo emitido por el proveedor de recuperación.
- Facturas del servicio de recuperación.
- Estimación del coste del lucro cesante durante la interrupción.
Nuestros informes técnicos están diseñados para cumplir los requisitos documentales de las principales aseguradoras españolas.
Lista de comprobación BCP para la recuperación de datos (checklist)
| Área | Acción | Hecho |
|---|---|---|
| Inventario | Identificar y clasificar datos por criticidad (Nivel 1/2/3) | ☐ |
| RTO/RPO | Definir RTO y RPO para cada sistema crítico | ☐ |
| Backup hot | Configurar replicación o HA para datos Nivel 1 | ☐ |
| Backup warm | Configurar backup diario local + nube para datos Nivel 1 y 2 | ☐ |
| Backup cold | Backup semanal fuera de instalaciones para datos Nivel 2 y 3 | ☐ |
| Inmutabilidad | Al menos una copia inmutable (WORM) para protección ante ransomware | ☐ |
| Proveedor | Firmar acuerdo previo con proveedor de recuperación de datos | ☐ |
| RGPD | Contrato de encargo con proveedor de recuperación firmado | ☐ |
| Pruebas | Prueba de restauración real cada 6 meses | ☐ |
| Simulacro | Simulacro de incidente anual con medición de RTO real | ☐ |
| Seguro | Verificar cobertura de recuperación de datos en póliza de ciberriesgo | ☐ |
| Comunicación | Protocolo escrito de quién llama a quién en caso de incidente | ☐ |
Solicita asesoramiento gratuito para tu plan de continuidad
Si quieres revisar la parte de recuperación de datos de tu BCP o firmar un acuerdo de prioridad para garantizar tiempo de respuesta mínimo en caso de incidente, contacta con nosotros: solicitar diagnóstico gratuito. Sin compromiso y sin coste.
WhatsApp