EXAadvisory Continuidad del Negocio
Business Continuity & Disaster Recovery

Cuando algo sale mal,
el plan ya tiene que existir.

Diseñamos, documentamos y probamos los planes que permiten a las organizaciones responder y recuperarse ante contingencias críticas — sean tecnológicas, operativas o de negocio.

De qué hablamos

BCP y DRP: dos planes, un solo objetivo

Continuar operando — o recuperarse lo más rápido posible — ante cualquier evento que interrumpa el normal funcionamiento de la organización.

Una contingencia puede tomar muchas formas: un ransomware que cifra los sistemas, un incendio en el data center, un accidente grave en una operación crítica, una crisis reputacional, la pérdida repentina de un proveedor clave o un desastre natural. Lo que distingue a las organizaciones preparadas de las que no lo están no es si ocurren estas situaciones, sino cómo responden cuando ocurren.

Un plan de continuidad no es un documento estático. Es un proceso vivo que debe ser diseñado con rigor, validado con pruebas periódicas y actualizado ante cualquier cambio relevante en la organización o su entorno tecnológico.

BCP
Business Continuity Plan
Cómo sigue operando el negocio ante una interrupción. Abarca procesos, personas, proveedores y comunicaciones.
DRP
Disaster Recovery Plan
Cómo se recuperan los sistemas y la infraestructura de IT. Define RTO, RPO y procedimientos técnicos de restauración.
Tipos de contingencia
Para todo tipo de evento crítico
Accidente operativo crítico
Incidente grave en operaciones (aéreo, industrial, salud)
Ciberataque o ransomware
Cifrado o pérdida de sistemas críticos de producción
Falla de infraestructura
Caída de data center, red o proveedor cloud
Desastre natural o físico
Inundación, incendio, terremoto en instalaciones clave
Crisis regulatoria o reputacional
Brecha de datos, sanción o pérdida de licencia operativa
Interrupción de proveedor crítico
Pérdida de servicio de un proveedor sin sustituto inmediato
Cómo trabajamos

El proceso de principio a fin

No entregamos un documento: construimos la capacidad de respuesta real de la organización, paso a paso.

1
Análisis
Análisis de impacto al negocio (BIA)
Identificamos los procesos críticos de la organización, sus dependencias tecnológicas y los tiempos máximos tolerables de interrupción. El BIA es la base de todo: define qué hay que proteger primero y con qué urgencia hay que recuperarlo.
Procesos críticos Dependencias IT RTO / RPO objetivo Impacto financiero y operativo
2
Evaluación
Evaluación de riesgos y brechas
Relevamos el estado actual de los controles, sistemas y procedimientos existentes y los comparamos con los requerimientos de continuidad identificados. Mapeamos las brechas más críticas y priorizamos los escenarios de contingencia a cubrir.
Escenarios de contingencia Gaps de control Vulnerabilidades de infraestructura Dependencias de terceros
3
Diseño
Diseño y documentación de los planes
Elaboramos el BCP y el DRP adaptados a la realidad de la organización: sus procesos, su tecnología, su estructura y su sector. Los planes incluyen procedimientos paso a paso, roles y responsabilidades, árboles de decisión, protocolos de comunicación y criterios de activación.
Plan BCP Plan DRP Protocolos de activación Árbol de comunicaciones Roles y responsabilidades
4
Validación
Pruebas y ejercicios de contingencia
Un plan no probado es un plan que no funciona. Diseñamos y ejecutamos ejercicios de distintos niveles de complejidad — desde revisiones de escritorio hasta simulacros completos — para validar que los planes sean ejecutables y que las personas sepan qué hacer cuando el momento llegue.
Tabletop exercises Pruebas técnicas de DR Simulacros de contingencia Validación de RTO/RPO real
5
Mantenimiento
Mantenimiento y mejora continua
Los planes deben actualizarse cada vez que cambia la organización: nuevos sistemas, nuevas operaciones, cambios regulatorios, resultados de las pruebas anteriores. Acompañamos el ciclo de vida completo del programa de continuidad, asegurando que permanezca vigente y efectivo.
Revisiones periódicas Actualización post-cambio Lecciones aprendidas Indicadores de madurez
Alcance

IT y negocio: dos dimensiones, un solo plan

La continuidad real requiere que tanto los sistemas como las personas y procesos estén preparados. Trabajamos sobre ambas dimensiones de forma integrada.

Dimensión tecnológica
Disaster Recovery de IT
Recuperación de sistemas, infraestructura y datos en los tiempos requeridos por el negocio.
Definición y validación de RTO y RPO por sistema crítico
Plan de recuperación de servidores, bases de datos y aplicaciones
Estrategia de backup, replicación y sitio alternativo
Procedimientos técnicos de failover y failback
Pruebas periódicas de restauración con medición de tiempos reales
Dimensión operativa
Continuidad del negocio
Cómo opera la organización cuando los sistemas o las condiciones normales no están disponibles.
Protocolos de activación y cadena de mando ante una contingencia
Procedimientos manuales alternativos para procesos críticos
Plan de comunicaciones internas y externas (clientes, reguladores, medios)
Gestión de proveedores alternativos y dependencias externas
Criterios de retorno a la normalidad y declaración de cierre de contingencia
Validación

Los planes se prueban antes de necesitarlos

Trabajamos con tres niveles de ejercicio según la madurez del programa y los objetivos de validación.

NIVEL 01
Revisión de escritorio
Tabletop exercise
Los equipos responsables recorren el plan paso a paso sobre un escenario simulado, sin impacto en sistemas productivos. Se identifican inconsistencias, roles poco claros y decisiones ambiguas.
● Sin impacto operativo
NIVEL 02
Prueba técnica de DR
Technical failover test
Se ejecutan los procedimientos de recuperación de IT en un entorno de prueba o en producción fuera de horario crítico. Se miden y validan los tiempos reales de RTO y RPO contra los objetivos definidos.
● Impacto controlado
NIVEL 03
Simulacro completo
Full-scale exercise
Ejercicio integral que activa los planes de IT y negocio en condiciones lo más cercanas a una contingencia real. Involucra a múltiples áreas, proveedores clave y, en algunos casos, a reguladores o clientes críticos.
● Alta complejidad

¿Tu organización sabe qué hacer
el día que algo salga mal?

Si la respuesta genera dudas, es el momento de trabajar en eso. Hablemos y evaluamos juntos el punto de partida.

Hablemos →