Ya conoces esta plantilla.
La que empieza con «El propósito de esta política es establecer los requisitos para la continuidad del negocio de conformidad con las obligaciones legales, reglamentarias y contractuales aplicables...»
Catorce páginas. Nadie la lee. Vive en una carpeta llamada «Documentos de Cumplimiento» que se abre dos veces al año: una para la auditoría, otra cuando alguien hace clic en ella sin querer.
Entonces ocurre el incidente.
Ransomware. Caída del cloud. Fallo en la cadena de suministro. Alarma de incendio a las 2 de la madrugada.
¿Y el plan de continuidad de negocio? ¿El que iba a salvarte?
Nadie lo encuentra. Y aunque pudieran, fue escrito para un auditor, no para una persona bajo estrés.
Ese es el problema que resolvemos hoy.
Por qué fracasan la mayoría de las políticas BC/DR
No porque el contenido sea incorrecto. La mayoría de las plantillas cubren las cláusulas adecuadas, la estructura correcta, el vocabulario preciso.
Fracasan porque:
- Están escritas para auditores, no para personas. Si la primera frase incluye «de conformidad con los requisitos legales aplicables», ya has perdido al lector.
- No nombran a nadie. «La alta dirección se asegurará de...» no significa nada si ninguna persona concreta rinde cuentas.
- Nunca se han probado. Un plan que no se ha ejercitado es una suposición. Y las organizaciones no sobreviven a base de suposiciones.
- Viven aisladas. BC está en una carpeta, DR en otra, las comunicaciones de crisis están en la cabeza de alguien.
- Se deterioran. Escritas una vez, aprobadas una vez, olvidadas hasta el siguiente ciclo de certificación.
¿Te resulta familiar?
Qué construí y por qué
Tomé la plantilla que utilizo en proyectos reales de consultoría e implementaciones de ISO 22301 y la convertí en una Política BC/DR gratuita y descargable.
Pero no me limité a publicar un documento. Reescribí las reglas sobre cómo debe sentirse una plantilla de política.
Esto es lo que la diferencia:
1. Está escrita para personas
Frases cortas. Verbos activos. «Nosotros» y «tú», no «la organización» y «el usuario».
Cada sección está redactada para que un responsable de departamento en su primer día pueda entender su rol durante una interrupción.
De la plantilla:
«Los planes son inútiles si nadie puede encontrarlos durante una crisis. Los nuestros son: prácticos, accesibles, específicos y probados.»
Eso no es lenguaje ISO. Es realidad operativa.
2. Tiene voz propia
A lo largo de la plantilla encontrarás notas laterales de comentario: orientación directa y práctica de Cyber Academy en los márgenes.
Cosas como:
«La mayoría de los BIA fracasan porque los realiza IT de forma aislada. Un BIA es un ejercicio de negocio. Si el CFO, el Director de Operaciones y el Director de Ventas no han participado, tu BIA está incompleto.»
«Si tus ejercicios siempre salen perfectos, no son suficientemente exigentes. Un buen ejercicio debe incomodar a las personas. Ese es el objetivo.»
«Registrar una no conformidad sin análisis de causa raíz es papeleo. Hacer análisis de causa raíz sin seguimiento es teatro. Hay que hacer ambas cosas.»
Estas notas laterales marcan la diferencia entre una plantilla genérica y un marco construido por personas que realmente han hecho esto.
3. Se alinea con lo que importa en 2026
No solo ISO 22301. Esta plantilla hace referencia a:
Norma / RegulaciónPor quéISO 22301La columna vertebral. Requisitos del BCMS.ISO 27001BC y seguridad de la información son dos caras de la misma moneda. Los controles A.5.29 y A.5.30 del Anexo A están aquí.NIS2El artículo 21 exige BC, gestión de copias de seguridad y DR para las entidades esenciales e importantes. El artículo 20 hace a la dirección personalmente responsable.DORALos artículos 11 y 12 exigen pruebas de BC y DR de las TIC para las entidades financieras.
4. Nombra roles, no abstracciones
En lugar de «Se asignarán responsabilidades al personal apropiado», la sección de Roles incluye una tabla con una columna llamada: «Lo que hacen realmente».
Porque «Alta Dirección» no significa nada hasta que escribes: «Preséntate en las revisiones de gestión, no solo las firmes. Si el liderazgo ignora BC, todos los demás también lo harán.»
5. Las secciones se llaman por lo que son
- La Sección 5 no es «Evaluación del desempeño». Es «Comprueba que funciona».
- La Sección 6 no es «Mejora». Es «Arregla lo que está roto».
Completamente auditable frente a las cláusulas 4 a 10 de ISO 22301. Pero redactada para que una persona tenga ganas de seguir leyendo más allá de la página dos.
Qué contiene
#SecciónQué cubre1PropósitoPor qué existe, en tres frases, no tres párrafos2AlcanceA quién aplica. Spoiler: a todos.3Roles y responsabilidadesNombrados, específicos, con una columna «Lo que hacen realmente»4PolíticaBIA, evaluación de riesgos, estrategias, planes, respuesta a incidentes (tabla de 3 niveles), comunicaciones, ejercicios (tabla progresiva), DR, formación5Comprueba que funcionaSeguimiento, auditoría interna, revisión por la dirección6Arregla lo que está rotoNo conformidades, análisis de causa raíz, acciones correctivas7CumplimientoAplicación y responsabilidad de la dirección según NIS2/DORA8ReferenciasTabla que explica por qué es relevante cada norma
Cada marcador de posición está señalado en cursiva morada para que sepas exactamente qué personalizar.
Para quién es esto
- Responsables de BC que construyen o reconstruyen un BCMS desde cero
- CISOs y responsables de GRC que necesitan una única política BC/DR integrada, no silos separados
- Consultores que implementan ISO 22301 para clientes y están hartos de empezar desde cero cada vez
- Organizaciones que se preparan para NIS2 o DORA y necesitan demostrar medidas de continuidad de negocio
- Cualquiera que haya pasado por una auditoría y haya pensado: «Tiene que haber una plantilla mejor que esta».
👉 Descarga la Plantilla de Política BC/DR - GratisÚsala. Adáptala. Hazla tuya.
Elimina las notas laterales de comentario antes de publicar o consérvelas como guía interna para tu equipo. Tú decides.
¿Quieres el siguiente antes que nadie?
Esta plantilla es la primera pieza del directorio oficial de documentación de Cyber Academy que estamos construyendo.
Próximamente: plantilla de BIA, programa de ejercicios, registro de información documentada y más, todo con la misma voz, la misma calidad y la misma filosofía de «construido para personas».
📩 Únete a la lista de Cyber AcademyTe avisaremos por correo cuando publiquemos el próximo recurso.Sin spam. Sin secuencias. Solo herramientas.Puedes cancelar tu suscripción a nuestras comunicaciones en cualquier momento.Visita nuestra Política de Privacidad para obtener más información sobre nuestras condiciones de cancelación, nuestras políticas de privacidad y nuestro compromiso con la protección y el respeto de la privacidad.
¿Quieres ir más lejos?
Una plantilla es una línea de salida. No una línea de llegada.
Si quieres la metodología, los casos prácticos y la práctica para construir un BCMS que supere auditorías e incidentes reales:
- ISO 22301 Lead Implementer, el programa de certificación completo
- ISO 27001 Lead Implementer, porque BC y seguridad de la información son inseparables
- DORA Lead Manager, para la resiliencia digital del sector financiero
- NIS2 Lead Implementer, para entidades esenciales e importantes
Todas las formaciones: Certificadas o reembolsadas.
