Skip to content

4 de Marzo 2026 - Soporte y Operación del BCMS (ISO 22301)

Soporte y Recursos (Cláusula 7)

Nota Importante (Posible Examen)

Es fundamental dominar la clasificación de la resiliencia de los recursos operativos.

1. Resiliencia de los Recursos

Para garantizar la continuidad, la organización debe asegurar la disponibilidad y resiliencia de los siguientes pilares:

  • Recursos financieros:

  • Seguros corporativos y de ciberseguridad.

  • Presupuesto de emergencia para proveedores.

  • Préstamos preaprobados o flujo de entrada de capital garantizado.

  • Recursos humanos:

Personal clave capacitado, esquemas de reemplazo y protección del bienestar del equipo.

  • Recursos tecnológicos:

Infraestructura de TI, centros de datos, licencias de software y servicios en la nube.

2. Capacidad de Comunicación en Crisis

Es crítico definir y clasificar los canales de comunicación oficiales dependiendo de la audiencia objetivo durante un incidente:

  • Redes sociales (Enfoque a Clientes):

  • Facebook.

  • Instagram.

  • Twitter / X.

  • Herramientas Corporativas (Enfoque a Empleados):

  • Microsoft Outlook (Correo electrónico).

  • Microsoft Teams / Slack.

  • Mensajería Directa (Enfoque a Proveedores):

  • WhatsApp Business u otras líneas telefónicas de emergencia.

3. Gestión del Conocimiento

  • Conocimiento de las personas:

Evitar los puntos únicos de falla (SPOF) en el conocimiento del personal (documentar procesos clave para que la operación no dependa de un solo ingeniero).

  • Gestión de la información:

  • Repositorios centralizados (ej. Confluence, SharePoint, repositorios Git).

  • Redundancia de los datos críticos.

4. Disponibilidad de la Documentación

Garantizar que los planes de continuidad (BCP) y recuperación (DRP) sean accesibles incluso cuando la infraestructura principal caiga:

  • Red interna:

Intranet corporativa o servidores de archivos locales.

  • Copias físicas:

Manuales impresos almacenados de forma segura (vitales para escenarios de pérdida total de energía o conectividad).

  • Nubes externas:

Almacenamiento en proveedores externos (ej. AWS S3, Google Drive) aislados de la red principal.

Analogía del Estándar

Si la Cláusula 6 (Planificación) representó el plano arquitectónico de la casa, la Cláusula 7 (Soporte) representa los materiales de construcción y los obreros necesarios para edificarla.

Operación (Cláusula 8)

8.1 Planificación y Control Operativo

  • Procesos necesarios para la continuidad del negocio:

Identificar rigurosamente qué es vital para mantener la organización operativa.

  • Criterios de proceso:

Definir cómo se van a realizar las tareas operativas. Si una tarea contribuye directamente a cumplir los objetivos del negocio, se considera en el plan; si no, se excluye. Por ejemplo, la limpieza de oficinas es importante, pero dejar de hacerla temporalmente no afectará de manera directa la operación crítica de una empresa, mucho menos si es una Fintech.

  • Control de cambios:

Asegurar mediante procesos formales (ITIL Change Management) que cualquier cambio en la operación o en la infraestructura de TI no comprometa los tiempos de respuesta o la resiliencia actual.

  • Gestión de procesos tercerizados:

Si se subcontrata un servicio crítico (como almacenamiento de datos o pasarela de pagos), es obligatorio asegurar que ese proveedor también cuente con planes de continuidad probados y acuerdos de nivel de servicio (SLA) alineados a nuestras necesidades.

8.2 Business Impact Analysis (BIA)

El Análisis de Impacto al Negocio (BIA) es el cimiento de todo el Sistema de Gestión de Continuidad del Negocio (BCMS). Su objetivo es determinar qué actividades son vitales y responder dos preguntas clave: ¿Qué actividades son vitales? y ¿En cuánto tiempo me recupero?

  • Identificación de impactos:

¿Qué perdemos exactamente si una actividad específica se detiene?

  • Dinero (Pérdidas financieras directas o multas).

  • Reputación (Pérdida de confianza en la marca).

  • Clientes (Fuga de usuarios).

  • Incumplimiento de SLA (Service Level Agreements).

  • Penalizaciones en contratos.

  • Revocación de licencias de operación.

  • Priorización:

Se clasifican las actividades por orden estricto de importancia, basándose en la severidad del impacto previamente calculado.

  • Definición de tiempos:

Aquí se define cuánto tiempo de inactividad o pérdida te puedes permitir, mapeado por proceso y acordado con el área de negocio responsable.

  • RTO (Recovery Time Objective): Tiempo máximo para restaurar el servicio.

  • RPO (Recovery Point Objective): Tolerancia máxima a la pérdida de datos.

  • MAO / MTPD (Maximum Acceptable Outage): Tiempo máximo tolerable de interrupción antes de que la empresa sufra daños irreparables.

  • Nota: La meta del diseño arquitectónico es que el tiempo real de recuperación se mantenga en el margen seguro entre el apetito de riesgo y la tolerancia al riesgo de la organización.

  • Identificación de dependencias:

Mapear qué recursos exactos (servidores, bases de datos, personal, proveedores) necesita cada actividad prioritaria para funcionar. Se construye un mapa de dependencias claro por cada proceso crítico.