Descripción General
¿Qué es el BCP y la norma ISO 22301?
El Plan de Continuidad de Negocio (BCP — Business Continuity Plan) es el conjunto de estrategias, procedimientos y recursos que permite a una organización continuar operando sus funciones críticas durante y después de una interrupción significativa. La norma ISO 22301:2019 es el estándar internacional que define los requisitos para un Sistema de Gestión de Continuidad de Negocio (SGCN) robusto, verificable y auditable.
En el contexto peruano, el BCP no es solo una buena práctica — es un requisito regulatorio para entidades del sistema financiero (Circular SBS G-139), empresas del sector eléctrico supervisadas por OSINERGMIN, y un criterio de evaluación creciente en licitaciones públicas y contratos corporativos de alto valor. Además, el Perú es uno de los países con mayor riesgo sísmico y climático de América Latina, lo que hace que la continuidad operativa sea una necesidad real y no solo un ejercicio de cumplimiento.
¿Quién lo necesita?
- Entidades financieras obligadas por la Circular SBS G-139 a mantener un BCP activo y probado
- Empresas de infraestructura crítica supervisadas por OSINERGMIN, OSIPTEL u OSITRAN
- Organizaciones de salud que deben garantizar continuidad en la atención de pacientes
- Empresas de servicios TI y proveedores cloud que tienen SLAs de disponibilidad con sus clientes
- Organizaciones que participan en licitaciones donde se exige acreditar un BCP vigente
- Empresas que han sufrido incidentes de ransomware, terremotos, inundaciones o fallos críticos de sistemas
- Directorios que necesitan demostrar diligencia debida en la gestión del riesgo operacional
¿Qué incluye el servicio?
Análisis de Impacto en el Negocio (BIA) — Identificación de los procesos críticos de la organización, cuantificación del impacto de su interrupción en el tiempo (RTO y RPO objetivos), y priorización de la recuperación según el impacto financiero, operacional y reputacional.
Análisis de Riesgos de Continuidad — Identificación y evaluación de las amenazas que pueden interrumpir los procesos críticos: sismos, inundaciones, incendios, fallos de proveedores, ciberataques, pandemias y fallos tecnológicos. Determinación de la probabilidad e impacto de cada escenario.
Diseño de estrategias de continuidad — Definición de las estrategias de recuperación para cada proceso crítico: sitios alternos, trabajo remoto, proveedores de respaldo, sistemas de redundancia y acuerdos de recuperación con terceros.
Redacción del Plan de Continuidad — Documentación del BCP completo: procedimientos de activación, equipos de respuesta, árbol de comunicación de crisis, guías de recuperación por escenario y matriz de escalamiento.
Plan de Recuperación de Tecnología (DRP) — Plan específico para la recuperación de sistemas TI críticos: servidores, bases de datos, aplicaciones, redes y servicios en la nube, con procedimientos paso a paso para cada componente.
Ejercicios y pruebas del plan — Diseño y ejecución de ejercicios de escritorio (tabletop exercises) y simulacros para verificar la efectividad del plan, identificar brechas y capacitar a los equipos de respuesta antes de que ocurra una crisis real.
