Según el informe «State of the MSP» de Kaseya de 2026, el 79 % de los MSP ofrecen servicios de copia de seguridad y recuperación como servicio gestionado, lo que los convierte en la prestación más habitual de la cartera de servicios de los MSP. La pregunta es si lo que se ofrece es simplemente una copia de seguridad o una verdadera continuidad del negocio.
Todas las organizaciones sufren interrupciones en sus sistemas informáticos. El hardware falla, el ransomware ataca, los desastres naturales dejan fuera de servicio los centros de datos y los errores humanos borran datos críticos. La cuestión no es si se producirá una interrupción, sino si la organización podrá seguir funcionando cuando ocurra y con qué rapidez podrá recuperarse.
La continuidad del negocio y la recuperación ante desastres (BCDR) es la disciplina que abarca ambas cuestiones. La continuidad del negocio garantiza el funcionamiento de las operaciones críticas durante una interrupción. La recuperación ante desastres restaura los sistemas informáticos y los datos tras una interrupción. Juntas, determinan si una organización sobrevive a un incidente grave o sucumbe a él.
Convierte las copias de seguridad en continuidad del negocio
Datto BCDR combina copias de seguridad basadas en imágenes, virtualización instantánea, conmutación por error en la nube y pruebas automatizadas de recuperación ante desastres, para que sus clientes sigan operativos pase lo que pase.
Continuidad del negocio frente a recuperación ante desastres: ¿cuál es la diferencia?
Aunque ambos términos se suelen utilizar indistintamente, se refieren a disciplinas distintas:
La continuidad del negocio (BC) se centra en mantener en funcionamiento las funciones esenciales de la empresa durante un incidente que interrumpa la actividad. Se centra en el ámbito operativo y de los procesos: ¿cómo puede la empresa seguir atendiendo a los clientes, procesando transacciones, comunicándose internamente y cumpliendo con sus obligaciones cuando su entorno informático habitual no está disponible? La planificación de la continuidad del negocio abarca soluciones manuales, canales de comunicación alternativos, la identificación de funciones prioritarias y los procedimientos de respuesta del personal.
La recuperación ante desastres (DR) se centra en restaurar los sistemas informáticos y los datos tras una interrupción. Se trata del componente técnico: ¿cómo se restauran las copias de seguridad?, ¿cómo se reconstruyen los sistemas o se realiza la conmutación por error?, ¿cómo se restablece el estado operativo del entorno informático? La planificación de la recuperación ante desastres abarca la infraestructura de copias de seguridad, las secuencias de recuperación, los procedimientos de conmutación por error y los pasos técnicos necesarios para volver a poner los sistemas en funcionamiento.
El BCDR integra ambos aspectos. Un plan integral no solo aborda la cuestión de «¿cómo restablecemos los servidores?» (DR), sino también «¿cómo mantenemos la actividad de la empresa mientras lo hacemos?» (BC). Una recuperación ante desastres eficaz sin una planificación de la continuidad del negocio deja a los empleados sin procedimientos durante el periodo de recuperación. La continuidad del negocio sin una planificación de la recuperación ante desastres deja a la organización sin una vía para volver a la normalidad. Ambos son imprescindibles.
Por qué la BCDR se ha convertido en una prioridad para los consejos de administración
El coste de los paros imprevistos ha alcanzado niveles tales que hacen de la BCDR una necesidad imperiosa desde el punto de vista financiero y de gobernanza, y no solo una cuestión de TI.
Según un estudio de Oxford Economics, el coste medio del tiempo de inactividad asciende a 9 000 dólares por minuto, lo que supone aproximadamente 540 000 dólares por hora. En el caso de las organizaciones más pequeñas, las cifras absolutas son menores, pero el impacto proporcional suele ser mayor. Una pequeña empresa que no pueda procesar pagos ni acceder a sus sistemas durante 48 horas podría no recuperarse nunca.
El ransomware ha acentuado aún más la urgencia. Los ataques que cifran los sistemas de producción y se dirigen específicamente a la infraestructura de copias de seguridad pueden dejar a las organizaciones sin servicios informáticos operativos durante días o semanas. Casi uno de cada cinco propietarios de pymes que sufrieron un ciberataque acabó en quiebra o tuvo que cerrar su negocio. La BCDR es la principal defensa técnica contra este desenlace, y la única respuesta creíble ante una demanda de rescate por ransomware que no implique pagarlo.
Los requisitos normativos están impulsando cada vez más la documentación formal de los planes de continuidad del negocio y respuesta ante incidentes (BCDR). La normativa NIS2 (UE) exige a los operadores de infraestructuras críticas que cuenten con capacidades de continuidad del negocio y respuesta ante incidentes documentadas y probadas. La normativa DORA (sector financiero de la UE) exige pruebas exhaustivas de resiliencia, incluida la recuperación de copias de seguridad. La HIPAA exige a las entidades afectadas que cuenten con planes de contingencia documentados. Las aseguradoras cibernéticas exigen cada vez más pruebas de que los planes de BCDR han sido probados antes de emitir o renovar las pólizas. En muchos casos, demostrar que se dispone de un programa de BCDR probado influye ahora de manera significativa en el precio de las primas.
RTO y RPO: los indicadores que lo determinan todo
Hay dos objetivos que definen los requisitos de recuperación que debe cumplir un plan de BCDR:
El objetivo de tiempo de recuperación (RTO) es el tiempo máximo aceptable desde que se produce una interrupción hasta que se restablecen las operaciones normales. Un RTO de cuatro horas significa que la empresa ha definido que un tiempo de inactividad superior a cuatro horas para un sistema específico es inaceptable. Los RTO deben establecerse por sistema basándose en un análisis del impacto en el negocio, y no como una cifra única para todo el entorno.
Objetivo de punto de recuperación (RPO) es la pérdida máxima de datos aceptable, medida en tiempo. Un RPO de una hora significa que se pueden perder hasta una hora de datos en un escenario de recuperación. Un RPO de 24 horas significa que las copias de seguridad diarias son suficientes para cumplir los requisitos de protección de datos.
Estas dos métricas marcan el rumbo de todo el diseño tecnológico y de procesos de BCDR:
- Un RTO de cuatro horas para un sistema empresarial crítico requiere una capacidad de conmutación por error casi instantánea, no un proceso de restauración manual que tarda 12 horas.
- Un RPO de una hora requiere una copia de seguridad continua o casi continua, no una programación de copias de seguridad diarias.
- Un RPO de 24 horas con un RTO de 72 horas puede cumplirse mediante procedimientos convencionales de copia de seguridad y recuperación manual.
El problema más habitual en materia de BCDR es descubrir, en el momento de producirse un incidente, que la tecnología implantada no es capaz de cumplir los RTO y RPO que exige la empresa. La única forma de evitarlo es realizar pruebas periódicas.
Elaboración de un plan de BCDR: los componentes fundamentales
Análisis del impacto en el negocio (BIA). La base de cualquier plan de continuidad y recuperación ante desastres (BCDR). Un BIA identifica qué funciones empresariales son las más críticas, cuantifica el impacto financiero y operativo de su interrupción a lo largo del tiempo y establece los requisitos de RTO y RPO que debe cumplir el plan de recuperación. Sin un BIA, las prioridades de recuperación se establecen a ojo en lugar de determinarse con precisión, y la inversión en tecnología de recuperación puede asignarse de forma inadecuada.
Evaluación de riesgos. Identifica las amenazas con mayor probabilidad de provocar una interrupción, como el ransomware, los fallos de hardware, los desastres naturales, los cortes de suministro eléctrico y las fallas en la cadena de suministro, y evalúa su probabilidad y su posible impacto. Esto sirve de base tanto para las inversiones en medidas defensivas (prevención de incidentes) como para las inversiones en recuperación (recuperación tras los incidentes).
Definición de la estrategia de recuperación. Para cada sistema crítico identificado, se define el método de recuperación: conmutación por error local mediante un dispositivo BCDR, conmutación por error en la nube, recuperación manual a partir de una copia de seguridad externa o funcionamiento temporal mediante procedimientos manuales. La selección de la estrategia debe basarse en los requisitos de RTO/RPO y en el coste de la tecnología necesaria para cumplirlos.
Procedimientos documentados. Procedimientos de recuperación paso a paso para cada sistema y escenario crítico, incluyendo quién es el responsable de cada paso de la recuperación, qué credenciales y accesos se necesitan, cómo secuenciar las recuperaciones para restablecer los sistemas dependientes en el orden correcto, y cómo verificar que los sistemas recuperados funcionan correctamente antes de dar por concluida la recuperación.
Plan de comunicación. Quién comunica qué y a quién durante un incidente: notificación a los empleados, comunicación con los clientes, notificación a las autoridades reguladoras (con plazos), comunicación con proveedores y socios, y gestión de los medios de comunicación en caso de incidentes graves.
Calendario de pruebas. Cuándo y cómo se pone a prueba el plan. Un plan que no se somete a pruebas genera una falsa sensación de seguridad. La periodicidad de las pruebas debe ser, como mínimo, anual en el caso de las pruebas completas de recuperación ante desastres, mientras que los simulacros y las pruebas a nivel de componentes deben realizarse con mayor frecuencia.
Análisis del impacto en el negocio: por dónde empezar
Un BIA no tiene por qué ser un proyecto de consultoría que se prolongue durante meses. Un enfoque práctico para la mayoría de las organizaciones:
Identifique entre 10 y 20 funciones empresariales cuya indisponibilidad provocaría el mayor impacto operativo, financiero o reputacional. Para cada una de ellas, calcule el coste de una hora, un día y una semana de indisponibilidad en términos de pérdida de ingresos, interrupción operativa, riesgo normativo e impacto en los clientes.
Asigne cada función a los sistemas informáticos de los que depende. Esta asignación permite identificar qué sistemas informáticos dan soporte a varias funciones críticas (que tienen la máxima prioridad en materia de protección) y qué funciones cuentan con soluciones alternativas manuales que reducen la urgencia de la recuperación de los sistemas informáticos.
A partir de este mapa, establezca los objetivos de RTO y RPO para cada nivel del sistema. Estos se convierten en los requisitos que la tecnología de recuperación debe ser capaz de cumplir.
Documenta los resultados como justificación empresarial para la inversión en copias de seguridad y recuperación ante desastres. El análisis de impacto en el negocio (BIA) es la respuesta a la pregunta «¿por qué estamos invirtiendo en esto?», expresada en términos de impacto empresarial en lugar de técnicos. Para los proveedores de servicios gestionados (MSP), también es el documento de ventas más convincente que pueden presentar a un cliente que cuestione el valor de los servicios gestionados de BCDR.
Pruebas de BCDR: por qué la mayoría de los planes fallan cuando más se necesitan
Las pruebas son el aspecto más descuidado de la planificación de la continuidad del negocio y la recuperación ante desastres. Solo alrededor del 31 % de las organizaciones comprueba sus planes de recuperación ante desastres con regularidad. Las consecuencias son previsibles: las organizaciones se dan cuenta, durante un incidente real y bajo una presión considerable, de que la recuperación lleva mucho más tiempo de lo esperado, de que se han pasado por alto algunas dependencias o de que los procedimientos de recuperación están incompletos.
Los ejercicios de simulación repasan escenarios de incidentes con el equipo de respuesta sin llegar a restaurar los sistemas. El análisis de las decisiones, la comunicación y la secuencia de procesos en el marco de una conversación estructurada permite detectar deficiencias en la definición de funciones y en la documentación de los procedimientos sin que ello suponga un riesgo operativo.
Las pruebas de componentes restauran sistemas individuales a partir de copias de seguridad para verificar que estas produzcan resultados funcionales y recuperables. Estas pruebas deben realizarse de forma periódica en el caso de los sistemas críticos, y mensualmente en el caso de los sistemas de nivel 1.
Una simulación completa de recuperación ante desastres (DR) somete al entorno a un escenario de recuperación completo, en el que se simula un desastre durante una ventana de mantenimiento designada y se recuperan los sistemas de producción a partir de copias de seguridad en un entorno de prueba. Se trata de la prueba que ofrece mayor fiabilidad, pero también es la que plantea mayores exigencias operativas. Para la mayoría de las organizaciones, lo adecuado es realizarla una vez al año; en el caso de aquellas con objetivos de tiempo de recuperación (RTO) muy exigentes, conviene hacerlo con mayor frecuencia.
La verificación automatizada de copias de seguridad, como la función «Datto Screenshot Verification», que arranca cada sistema del que se ha realizado una copia de seguridad tras la copia y captura una captura de pantalla para confirmar que se inicia correctamente, ofrece una garantía automatizada y continua de que las copias de seguridad producen resultados recuperables entre las pruebas manuales.
El Portal Unificado de Resiliencia Cibernética
La gestión de las copias de seguridad en infraestructuras locales, aplicaciones SaaS, dispositivos finales y entornos en la nube ha supuesto tradicionalmente tener que gestionar múltiples herramientas independientes, cada una con su propia consola, su propio sistema de alertas y su propio flujo de trabajo de recuperación. Para los proveedores de servicios gestionados (MSP) que gestionan múltiples clientes en todos estos entornos, esa fragmentación supone una carga operativa considerable.
El Portal Unificado de Ciberresiliencia de Kaseya, presentado en Kaseya Connect 2026, consolida todo esto en una única interfaz de gestión integrada. Unifica la gestión de copias de seguridad locales, de SaaS, de terminales y en la nube, eliminando la proliferación de herramientas que obliga a los técnicos a gestionar la recuperación a través de proveedores inconexos. Impulsado por Kaseya Intelligence, ofrece verificación de capturas de pantalla basada en IA con una precisión superior al 99,9 %, flujos de trabajo de recuperación conectados con priorización inteligente y cobertura de cumplimiento normativo, incluyendo capacidades FIPS y preparación para FedRAMP. La compatibilidad con Azure Files ya está disponible de forma general; la copia de seguridad de Hyper-V sin agente llegará en junio de 2026.
Para los MSP, el portal ofrece una visión global de todos los entornos de los clientes, y Kaseya Intelligence los problemas más críticos, en lugar de dejar que los técnicos tengan que clasificarlos entre múltiples paneles de control.
BCDR para MSP: proteger a los clientes y diferenciar los servicios
La mayoría de los clientes de pymes cuentan con planes de continuidad del negocio y recuperación ante desastres (BCDR) insuficientes. Es posible que dispongan de algún tipo de copia de seguridad, pero pocos cuentan con planes de recuperación documentados, procedimientos probados o tecnología capaz de satisfacer sus necesidades reales de recuperación. Esto genera tanto una brecha de seguridad como una oportunidad comercial.
Los proveedores de servicios de gestión (MSP) que ofrecen BCDR como servicio gestionado, con compromisos documentados en materia de RTO/RPO, pruebas periódicas de recuperación y la tecnología necesaria para garantizar una recuperación instantánea o rápida, aportan un valor sustancialmente mayor que aquellos que ofrecen copias de seguridad como un producto básico.
El enfoque comercial es sencillo: ¿cuánto le cuesta a su cliente una hora de inactividad? ¿Y un día? ¿Cuánto cuesta un incidente de pérdida de datos irrecuperables? No se trata de cifras hipotéticas. Se pueden calcular a partir de los datos del análisis de impacto en el negocio (BIA). Un proveedor de servicios gestionados (MSP) que realice un BIA para cada cliente, cuantifique el coste de la inactividad y compare la inversión en recuperación ante desastres y continuidad del negocio (BCDR) con ese coste, está manteniendo un tipo de conversación comercial muy diferente a la de quien se limita a cotizar precios de almacenamiento de copias de seguridad.
La cartera de soluciones de BCDR de Datto, que incluye SIRIS entornos locales e híbridos y SaaS Protection datos SaaS, proporciona a los MSP la tecnología necesaria para ofrecer una capacidad de recuperación real en todos los entornos que utilizan sus clientes. El Portal Unificado de Ciberresiliencia permite gestionar todos estos entornos desde una única interfaz. Descubre las soluciones de BCDR de Datto para MSP.
Puntos clave
- La continuidad del negocio garantiza el funcionamiento de las operaciones durante una interrupción. La recuperación ante desastres permite restablecer los sistemas informáticos tras una interrupción. Ambas son necesarias para lograr una resiliencia completa.
- El RTO y el RPO son los requisitos cuantitativos con los que debe evaluarse toda decisión tecnológica en materia de BCDR, ya que determinan qué sistemas necesitan qué nivel de capacidad de recuperación.
- Un análisis del impacto en el negocio, que relacione las funciones críticas con las dependencias informáticas y cuantifique el coste del tiempo de inactividad, constituye la base de una inversión en BCDR fundamentada en datos y el documento de ventas más convincente con el que cuenta un proveedor de servicios gestionados (MSP).
- Las pruebas son el elemento más importante y, al mismo tiempo, el más descuidado. Los planes que no se someten a pruebas generan una falsa sensación de seguridad, y la mayoría de las organizaciones descubren las deficiencias de sus planes durante incidentes reales, en lugar de en simulacros.
- Las soluciones de ciberresiliencia unificada de Kaseya consolidan la gestión de copias de seguridad locales, de SaaS, de terminales y en la nube en una única interfaz impulsada por Kaseya Intelligence, con una verificación basada en inteligencia artificial que alcanza una precisión superior al 99,9 %.
