¿Qué diferencia hay entre un plan de continuidad operacional y un plan de disaster recovery?

El plan de continuidad operacional (BCP) abarca toda la estrategia para mantener las funciones críticas del negocio durante y después de una interrupción, incluyendo personas, procesos y tecnología. El plan de disaster recovery (DRP) es un componente técnico del BCP que se enfoca específicamente en restaurar la infraestructura de TI, los sistemas y los datos tras un incidente. En otras palabras, el DRP es parte del BCP, pero el BCP es mucho más amplio.

¿Cuáles son los valores recomendados de RTO y RPO para una pyme en Chile?

Para una pyme en Chile, los valores recomendados dependen de la criticidad del sistema. Para sistemas de misión crítica como ERP o facturación electrónica, se sugiere un RTO de 1 a 4 horas y un RPO de 15 minutos a 1 hora. Para sistemas importantes como correo y CRM, un RTO de 4 a 8 horas y RPO de 1 a 4 horas. Para sistemas de soporte como intranet, un RTO de 24 a 48 horas y RPO de 24 horas resulta aceptable.

¿La Ley 21.663 obliga a todas las empresas en Chile a tener un plan de continuidad operacional TI?

La Ley 21.663 establece obligaciones directas para los prestadores de servicios esenciales y los Operadores de Importancia Vital (OIV), que deben implementar planes de continuidad operacional certificados. Sin embargo, cualquier empresa que maneje datos personales o preste servicios digitales debería contar con un plan de continuidad, ya que la Ley 21.719 de Protección de Datos Personales también exige medidas de seguridad adecuadas que incluyen respaldo y recuperación de información.

¿Con qué frecuencia se debe probar un plan de continuidad operacional TI?

Se recomienda realizar pruebas completas del plan de continuidad al menos dos veces al año, con ejercicios de mesa trimestrales. Según estadísticas de la industria, el 74% de las empresas que prueban regularmente sus planes experimentan menos interrupciones. Los OIV bajo la Ley 21.663 deben realizar simulacros periódicos y documentar los resultados como parte de sus obligaciones de cumplimiento ante la ANCI.

Plan de Continuidad TI: Checklist para Chile 2026

En resumen: Un plan de continuidad operacional TI no es opcional para las empresas en Chile. Con la Ley 21.663 en plena vigencia, la ANCI fiscalizando activamente y un costo promedio de inactividad que supera los USD 300.000 por hora para el 91% de las organizaciones medianas y grandes, contar con un BCP documentado, probado y actualizado es una necesidad operacional y regulatoria. Este artículo entrega un checklist práctico de 7 fases para construir tu plan desde cero.

Cuando se cae un servidor en producción a las 3 de la mañana, nadie busca el manual de buenas prácticas. Todos buscan al que sabe. Y si nadie sabe, la empresa pierde dinero, reputación y, en el Chile regulado de 2026, se expone a sanciones.

El problema no es que las empresas chilenas no entiendan la importancia de la continuidad operacional. El problema es que la mayoría no tiene un plan concreto. Según datos de ZipDo, el 93% de las organizaciones dice tener un BCP documentado, pero solo el 49% lo ha probado alguna vez. Esa brecha entre “tener un documento” y “poder ejecutarlo” es exactamente donde las empresas fallan cuando ocurre un incidente real.

Esta guía está diseñada para equipos de TI y gerencias en Chile que necesitan pasar del papel a la acción. No es teoría. Es un checklist ejecutable.

¿Por qué la continuidad operacional TI es urgente en Chile en 2026?

Tres factores convergen este año y hacen que postergar el plan ya no sea viable.

Primero, el contexto regulatorio. La Ley 21.663 Marco de Ciberseguridad, publicada en 2024 y en plena implementación, creó la Agencia Nacional de Ciberseguridad (ANCI) y estableció obligaciones concretas para prestadores de servicios esenciales y Operadores de Importancia Vital (OIV). Según información publicada por la ANCI, ya se identificaron 915 organizaciones públicas y privadas como OIV en sectores como energía, telecomunicaciones, servicios financieros, salud y administración del Estado. Estas entidades deben implementar planes de continuidad operacional certificados, realizar simulacros periódicos y reportar incidentes significativos en un plazo máximo de 72 horas.

Segundo, el panorama de amenazas. Según un análisis de Industrial Cyber, América Latina registró más de 450 eventos de ransomware en 2025, un aumento del 78% respecto a 2024. Chile reportó 43.000 ciberataques, ubicándose tercero en la región tras Brasil y México. La mediana del rescate exigido a organizaciones chilenas alcanzó USD 1.000.000, con pagos efectivos cercanos a USD 675.000.

Tercero, el costo de no actuar. Según la investigación de ITIC, el 91% de las empresas medianas y grandes reporta pérdidas superiores a USD 300.000 por cada hora de inactividad, y para el 44% de las grandes empresas, una sola hora de caída puede costar entre USD 1 y 5 millones.

No es alarmismo. Es aritmética.

¿Qué es exactamente un plan de continuidad operacional TI?

Antes de entrar al checklist, vale la pena clarificar los términos, porque se confunden constantemente.

Plan de Continuidad del Negocio (BCP, Business Continuity Plan): Es la estrategia integral que cubre personas, procesos y tecnología para mantener las funciones críticas del negocio operando durante y después de una interrupción. Abarca desde la comunicación con clientes hasta la reubicación física de personal.

Plan de Recuperación ante Desastres (DRP, Disaster Recovery Plan): Es el componente técnico del BCP. Se enfoca exclusivamente en restaurar la infraestructura de TI: servidores, redes, bases de datos, aplicaciones y datos. El DRP vive dentro del BCP.

RTO (Recovery Time Objective): Es el tiempo máximo aceptable para restaurar un sistema después de una interrupción. Según Veeam, define la tolerancia al downtime: cuánto tiempo puede estar caído un servicio antes de que el impacto sea inaceptable para el negocio.

RPO (Recovery Point Objective): Es la cantidad máxima de datos que la empresa puede permitirse perder, medida en tiempo. Un RPO de 1 hora significa que el último respaldo disponible no puede tener más de 1 hora de antigüedad. Según TechTarget, el RPO define la tolerancia a la pérdida de datos.

MTPD (Maximum Tolerable Period of Disruption): Es el límite absoluto. Si la interrupción supera este tiempo, las consecuencias se vuelven irreversibles para la organización.

Entender estos conceptos es fundamental porque cada sistema de tu empresa necesita valores diferentes de RTO y RPO, y eso determina toda la arquitectura de respaldo y recuperación.

¿Cómo definir los valores de RTO y RPO para cada sistema?

Este es el paso donde la mayoría de las empresas se equivoca. Asignan un RTO y RPO genérico a todo, cuando en realidad cada sistema tiene un nivel de criticidad distinto.

El método correcto es realizar un Análisis de Impacto al Negocio (BIA, Business Impact Analysis). Consiste en reunirse con los responsables de cada área y responder tres preguntas:

¿Qué pasa si este sistema está caído 1 hora? ¿Y 4 horas? ¿Y 24 horas?
¿Cuántos datos podemos perder sin impacto operacional grave?
¿Cuántas personas y procesos dependen directamente de este sistema?

Con esas respuestas, puedes clasificar tus sistemas en niveles. Aquí va una referencia práctica para empresas en Chile:

Nivel	Tipo de sistema	Ejemplos	RTO recomendado	RPO recomendado
Crítico	Genera ingresos directos o tiene impacto regulatorio	ERP, facturación electrónica SII, core bancario, ficha clínica	1 a 4 horas	15 min a 1 hora
Importante	Soporta operaciones diarias	Correo corporativo, CRM, plataforma de ventas, VPN	4 a 8 horas	1 a 4 horas
Soporte	Funciones internas no críticas	Intranet, servidor de archivos secundario, sistema de RRHH	24 a 48 horas	24 horas
Diferible	Puede esperar sin impacto significativo	Ambientes de desarrollo, servidores de prueba, analytics	72+ horas	48+ horas

La recomendación de Veeam es definir objetivos SMART: específicos por aplicación, medibles con métricas claras y validados con pruebas reales, no con suposiciones.

Checklist práctico: 7 fases para construir tu plan de continuidad TI

Este es el núcleo del artículo. Cada fase tiene entregables concretos y acciones verificables.

Fase 1: Gobernanza y patrocinio ejecutivo

Acción	Responsable	Entregable	Estado
Designar un líder del plan de continuidad (puede ser el CISO o el jefe de TI)	Gerencia general	Nombramiento formal	☐
Obtener presupuesto aprobado para el proyecto BCP	Líder BCP + Finanzas	Partida presupuestaria asignada	☐
Conformar el comité de continuidad (TI, operaciones, legal, comunicaciones)	Líder BCP	Acta de constitución del comité	☐
Definir el alcance del plan (sedes, sistemas, procesos cubiertos)	Comité	Documento de alcance	☐

Fase 2: Análisis de Impacto al Negocio (BIA)

Acción	Responsable	Entregable	Estado
Inventariar todos los sistemas y aplicaciones de TI	Equipo de TI	Catálogo de activos tecnológicos	☐
Mapear dependencias entre sistemas (qué depende de qué)	Equipo de TI	Diagrama de dependencias	☐
Entrevistar a responsables de cada área para evaluar impacto	Líder BCP	Formularios BIA completados	☐
Clasificar sistemas por nivel de criticidad (crítico, importante, soporte, diferible)	Comité	Matriz de criticidad aprobada	☐
Asignar RTO y RPO a cada sistema	Comité + Gerencia	Tabla de RTO/RPO firmada	☐

Fase 3: Evaluación de riesgos

Acción	Responsable	Entregable	Estado
Identificar amenazas relevantes (ransomware, fallas de hardware, desastres naturales, errores humanos)	Equipo de TI + Seguridad	Registro de amenazas	☐
Evaluar vulnerabilidades actuales de la infraestructura	Equipo de TI	Informe de vulnerabilidades	☐
Calcular probabilidad e impacto de cada escenario	Comité	Matriz de riesgos	☐
Priorizar riesgos y definir tratamiento (mitigar, transferir, aceptar)	Comité	Plan de tratamiento de riesgos	☐

Fase 4: Estrategias de recuperación

Acción	Responsable	Entregable	Estado
Definir estrategia de backup: frecuencia, tipo (completo, incremental, diferencial), retención	Equipo de TI	Política de respaldo documentada	☐
Implementar regla 3-2-1-1-0: tres copias, dos medios distintos, una offsite, una inmutable, cero errores verificados. Consulta nuestra guía de backup inmutable contra ransomware	Equipo de TI	Arquitectura de respaldo implementada	☐
Configurar replicación para sistemas críticos (sitio secundario o nube)	Equipo de TI	Replicación activa y verificada	☐
Documentar procedimientos de failover y failback paso a paso	Equipo de TI	Runbooks de recuperación	☐
Evaluar contratos con proveedores de infraestructura y soporte (SLAs de hardware)	Líder BCP + Compras	Revisión de SLAs documentada	☐

Fase 5: Documentación del plan

Acción	Responsable	Entregable	Estado
Redactar el documento BCP con todos los procedimientos	Líder BCP	Documento BCP v1.0	☐
Crear árboles de llamada y escalamiento	Líder BCP + Comunicaciones	Protocolo de comunicación de crisis	☐
Documentar contactos críticos: proveedores, ISP, soporte de hardware, legales	Equipo de TI	Lista de contactos de emergencia	☐
Almacenar copias del plan en ubicación segura y accesible offline	Líder BCP	Plan disponible en formato físico y digital fuera de la red principal	☐

Fase 6: Pruebas y simulacros

Acción	Responsable	Entregable	Estado
Realizar ejercicio de mesa (tabletop) con el comité	Líder BCP	Acta de ejercicio y hallazgos	☐
Ejecutar prueba técnica de restauración de backup de sistemas críticos	Equipo de TI	Informe de prueba con tiempos reales de recuperación	☐
Realizar simulacro de failover al sitio secundario	Equipo de TI	Evidencia de failover exitoso	☐
Comparar tiempos reales vs. RTO/RPO definidos	Comité	Análisis de brechas	☐
Corregir desviaciones y documentar lecciones aprendidas	Comité	Plan de mejora	☐

Fase 7: Mantenimiento y mejora continua

Acción	Responsable	Entregable	Estado
Revisar y actualizar el plan al menos cada 6 meses	Líder BCP	Versión actualizada del BCP	☐
Incorporar cambios de infraestructura (nuevos servidores, migraciones, cambios de proveedor)	Equipo de TI	Registro de cambios en el plan	☐
Realizar al menos 2 simulacros completos al año	Comité	Calendario de simulacros	☐
Capacitar al personal nuevo en los procedimientos de continuidad	RRHH + TI	Registro de capacitaciones	☐
Evaluar cumplimiento con la Ley 21.663 y requerimientos de la ANCI	Legal + TI	Informe de cumplimiento normativo	☐

¿Cómo se relaciona el plan de continuidad con la Ley 21.663?

La Ley Marco de Ciberseguridad no es una sugerencia. Es una obligación legal con fiscalización activa por parte de la ANCI.

Para los Operadores de Importancia Vital (OIV), las obligaciones específicas en materia de continuidad incluyen:

Implementar un Sistema de Gestión de Seguridad de la Información (SGSI) que incluya evaluación de riesgos para la continuidad operacional del servicio.
Elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deben ser certificados por centros especializados autorizados.
Realizar operaciones de revisión, ejercicios, simulacros y análisis de las redes y sistemas informáticos de forma periódica.
Reportar incidentes significativos a la ANCI dentro de 72 horas desde su detección.
Designar un delegado de ciberseguridad dentro de los 60 días calendario desde la publicación de la calificación como OIV.

Para las empresas que no son OIV, la ley también es relevante. Si tu empresa presta servicios esenciales o maneja datos personales (recordemos que la Ley 21.719 de Protección de Datos Personales entra en plena vigencia en diciembre de 2026), necesitas demostrar que cuentas con medidas de seguridad adecuadas, y eso incluye respaldo y recuperación.

La referencia internacional más utilizada para estructurar un plan de continuidad que cumpla con estos requerimientos es la norma ISO 22301:2019, que establece los requisitos para un Sistema de Gestión de Continuidad del Negocio (BCMS). Aunque la certificación ISO no es obligatoria bajo la Ley 21.663, alinear tu plan con esta norma facilita enormemente la auditoría y certificación que sí exige la ley para los OIV.

¿Qué errores comunes cometen las empresas chilenas al implementar el plan?

Después de años trabajando con infraestructura de TI para empresas en Chile, estos son los patrones que vemos repetirse:

1. Tratar el BCP como un documento de gaveta. Se redacta un plan bonito para cumplir con la auditoría y nadie lo vuelve a abrir. Según datos de Secureframe, el 71% de las organizaciones no realiza pruebas de failover y el 62% no ejecuta restauraciones de backup de forma regular. Un plan que no se prueba no es un plan.

2. No involucrar a las áreas de negocio. El BIA lo hace solo el equipo de TI, sin consultar a operaciones, finanzas ni gerencia. El resultado son valores de RTO y RPO que no reflejan la realidad del negocio. La definición de “crítico” la debe dar quien usa el sistema, no quien lo administra.

3. Depender de un solo proveedor o una sola ubicación. Todos los respaldos en el mismo data center, todos los servicios con el mismo ISP, todo el hardware de un solo fabricante. Cuando falla ese punto único, falla todo. La regla 3-2-1-1 existe por algo.

4. No presupuestar la continuidad. La inversión en infraestructura de respaldo, redundancia y pruebas se ve como un gasto, no como un seguro. Pero cuando se comparan los USD 300.000+ por hora de inactividad con el costo de mantener una réplica activa, la ecuación es clara.

5. Ignorar el factor humano. Los procedimientos están documentados, pero nadie los conoce. Según Revenue Memo, los empleados capacitados en continuidad del negocio tienen un 20% más de probabilidad de responder efectivamente durante una crisis. La capacitación no es opcional.

¿Qué infraestructura necesitas para soportar tu plan de continuidad?

Un plan de continuidad sin la infraestructura adecuada es solo un documento con buenas intenciones. Estos son los componentes técnicos fundamentales:

Servidores de respaldo y réplica. Para sistemas críticos con RTO menor a 4 horas, necesitas servidores dedicados que puedan asumir la carga de producción en minutos. No basta con tener los respaldos: necesitas hardware listo para ejecutarlos. En servidores.elitecenter.cl puedes encontrar equipos Dell PowerEdge y HPE ProLiant dimensionados para roles de disaster recovery, tanto nuevos como reacondicionados. Si necesitas criterios para dimensionar correctamente ese hardware, revisa nuestra guía para elegir un servidor empresarial.

Almacenamiento con respaldo inmutable. La estrategia moderna de backup exige que al menos una copia sea inmutable (no modificable ni eliminable por ransomware). Esto se logra con soluciones de almacenamiento que soporten WORM (Write Once Read Many) o con servicios de nube con object lock.

Conectividad redundante. Doble enlace de internet con proveedores distintos, y si tienes sitio secundario, un enlace dedicado entre ambas ubicaciones. Es fundamental para la replicación en tiempo real de datos críticos.

Licenciamiento y software de backup. Soluciones como Veeam, Acronis o Commvault requieren licencias vigentes y configuración correcta. El software de backup es tan crítico como los servidores que protege.

Equipamiento de reemplazo. Componentes críticos de repuesto (discos, fuentes de poder, controladores RAID) deben estar disponibles. En store.elitecenter.cl puedes mantener stock de repuestos originales Dell y HPE para reducir los tiempos de reparación de hardware.

Para empresas que necesitan asesoría en el diseño de la arquitectura de continuidad, el equipo de www.elitecenter.cl puede evaluar tu infraestructura actual y proponer una solución alineada a los valores de RTO y RPO que definas en tu BIA.

¿Cuánto cuesta implementar un plan de continuidad operacional TI?

No existe un número único porque depende del tamaño de la empresa, la cantidad de sistemas críticos y los valores de RTO/RPO definidos. Pero se puede dar una referencia.

Para una pyme con 20 a 50 usuarios, un plan básico de continuidad que incluya backup automatizado con réplica offsite, documentación del BCP y pruebas semestrales puede costar entre USD 5.000 y USD 15.000 en implementación, más un costo operativo mensual de USD 500 a USD 2.000 según los servicios de nube y licencias utilizadas.

Para una empresa mediana con 100 a 500 usuarios, que requiere sitio secundario, replicación en tiempo real de sistemas críticos, redundancia de conectividad y pruebas trimestrales, la inversión puede ir de USD 30.000 a USD 100.000 en implementación, con costos operativos mensuales de USD 3.000 a USD 10.000.

La pregunta real no es cuánto cuesta implementar el plan. La pregunta es cuánto cuesta no tenerlo. Si una hora de inactividad puede significar más de USD 300.000 en pérdidas según ITIC, y un incidente de ransomware en Chile tiene una mediana de rescate de USD 1.000.000 según el reporte de Industrial Cyber, el plan de continuidad es probablemente la inversión con mejor retorno en toda tu operación de TI.

Próximos pasos: de la lectura a la acción

Si llegaste hasta aquí y tu empresa no tiene un plan de continuidad operacional TI documentado y probado, el momento de empezar es ahora. No mañana, no el próximo trimestre, no cuando la ANCI toque la puerta.

Estos son los tres primeros movimientos:

Designa un responsable. No importa si es el jefe de TI, el CISO o un consultor externo. Alguien tiene que ser dueño del proyecto.
Haz el BIA. Identifica tus sistemas críticos, asigna RTO y RPO, y consigue la firma de gerencia. Sin el BIA, todo lo demás queda en el aire.
Asegura la infraestructura base. Verifica que tienes backup automatizado, al menos una copia offsite, y hardware de respaldo disponible. Si necesitas cotizar servidores para disaster recovery o repuestos y componentes, es mejor tenerlos antes de necesitarlos.

La continuidad operacional no es un proyecto de TI. Es una decisión de negocio. Y en el Chile regulado de 2026, con la Ley 21.663 activa y las amenazas cibernéticas al alza, es una decisión que ya no puede esperar.