Fernando ArrietaPresidente · International Accreditation Center

Continuidad del negocio · ISO 22301

RTO real vs. RTO declarado.

El Objetivo de Tiempo de Recuperación es uno de los parámetros centrales de cualquier plan de continuidad. También es uno de los datos más frecuentemente inflados, mal medidos o directamente ficticios que encuentro en auditorías.

Fernando Arrieta · 21 mayo 2026 · 10 min lectura

01 · Qué mide el RTO y por qué importa tanto

El Objetivo de Tiempo de Recuperación (RTO, por sus siglas en inglés) es el período máximo dentro del cual un proceso o sistema debe reanudarse después de una interrupción para evitar consecuencias inaceptables para la organización. Es un dato que la organización define, no un estándar externo.

Esa última parte es importante. El RTO no lo define la norma: lo define el negocio. ISO 22301 exige que la organización realice un Análisis de Impacto en el Negocio (BIA) para determinar cuánto tiempo puede tolerar la interrupción de cada proceso crítico antes de que el impacto sea inaceptable. El RTO es el resultado de ese análisis.

Un RTO de cuatro horas para el sistema de facturación no es arbitrario. Debería derivar de un análisis que demuestre que después de cuatro horas de interrupción, las consecuencias financieras, contractuales o reputacionales superan el umbral que la organización considera inaceptable. Si ese análisis no existe, el número de cuatro horas es una estimación sin fundamento técnico.

Terminología precisa

El RTO es el objetivo: cuánto tiempo queremos tardar en recuperar. El tiempo de recuperación real observado en ejercicios o incidentes reales es la medida de si ese objetivo es alcanzable. La brecha entre ambos es el dato más útil y el menos frecuentemente calculado.

02 · Cómo se genera la brecha

La brecha entre RTO declarado y RTO real no es rara. Es el estado habitual de la mayoría de las organizaciones que audito bajo ISO 22301. Se genera por cuatro mecanismos distintos.

El primero es la definición optimista. El RTO se define en condiciones ideales: todos los recursos disponibles, personal clave presente, proveedores respondiendo, sistemas funcionando parcialmente. En una interrupción real, ninguna de esas condiciones se cumple simultáneamente. El RTO definido en condiciones ideales no es el RTO real bajo presión.

El segundo mecanismo es la falta de prueba. Un RTO nunca verificado mediante ejercicio con condiciones realistas es una hipótesis, no un dato. Las organizaciones que solo realizan ejercicios de escritorio (tabletop exercises) tienen RTOs que nadie ha medido en condiciones operativas.

El tercero es la dependencia tecnológica subestimada. Los RTOs de procesos de negocio dependen de RTOs de sistemas tecnológicos que dependen de RTOs de infraestructura que dependen de RTOs de proveedores externos. Esa cadena de dependencias rara vez se calcula completa. El RTO declarado del proceso ignora la cola de recuperación de sus dependencias.

El cuarto es la desactualización. La arquitectura tecnológica cambia, los procesos cambian, los proveedores cambian. Un RTO definido hace dos años puede no reflejar las dependencias actuales del proceso.

03 · Cómo medir el RTO real

La única forma de conocer el RTO real es medirlo. Eso requiere ejercicios diseñados para revelar la capacidad real, no para confirmar que el plan existe.

Un ejercicio que mide el RTO real tiene cuatro características. Primera: el escenario no se conoce con anticipación o se conoce con muy poca antelación. Segunda: participan las personas que realmente ejecutarían el plan, no solo el responsable de continuidad. Tercera: los proveedores críticos están informados y participan o, al menos, se simula su respuesta realista. Cuarta: se mide el tiempo real desde la declaración de interrupción hasta la reanudación operativa verificable, no hasta la declaración de que se ha reanudado.

Señal de alarma

Si en un ejercicio el proceso se "recupera" dentro del RTO declarado sin que nadie haya ejecutado nada que no estuviera ensayado previamente, el ejercicio midió la capacidad de seguir un guión, no la capacidad de responder a una interrupción. Son cosas distintas.

  1. Ejercicio con escenario ciego. Al menos una vez por año, el equipo de respuesta recibe el escenario en el momento del ejercicio, sin preparación previa. El resultado es incómodo pero informativo.
  2. Medición de tiempo real con criterio de reanudación definido. Antes del ejercicio se define qué significa "reanudado": qué sistema operativo, a qué capacidad, con qué evidencia verificable. Sin ese criterio, la reanudación es declarativa.
  3. Registro de obstáculos durante el ejercicio. Cada vez que algo no funciona como el plan prevé, se documenta. Esos obstáculos son el insumo más valioso para mejorar el plan.
  4. Comparación sistemática RTO declarado vs. tiempo medido. Después de cada ejercicio, la brecha se calcula explícitamente y se presenta a la dirección. Sin ese cálculo, la dirección no sabe si el plan es creíble.
  5. Revisión del RTO si la brecha supera el 50%. Si el proceso tarda el doble del RTO declarado en recuperarse en ejercicio, el RTO declarado es incorrecto. Hay que revisar el análisis de impacto o las estrategias de recuperación, no mantener el número original.

04 · El problema de los RTOs simbólicos

Un RTO simbólico es aquel que la organización ha definido para satisfacer un requisito normativo o contractual, sin análisis técnico que lo sustente y sin capacidad verificada para cumplirlo.

Son frecuentes en sectores regulados donde los clientes o reguladores piden RTOs específicos como condición contractual o de licencia. La organización declara el RTO requerido. Nadie verifica si es alcanzable. El RTO existe en papel.

El riesgo de un RTO simbólico no es solo la exposición regulatoria si se audita con profundidad. Es la falsa seguridad que genera internamente. Una organización que cree poder recuperarse en cuatro horas cuando realmente necesita dieciocho horas toma decisiones estratégicas, contractuales y operativas sobre una base incorrecta.

05 · Cómo cerrar la brecha con metodología

Cerrar la brecha entre RTO declarado y real no siempre significa reducir el tiempo de recuperación. A veces significa ajustar el RTO declarado a lo que es técnicamente alcanzable y luego gestionar las consecuencias de esa honestidad con clientes, reguladores y la propia dirección.

La secuencia correcta es: medir el tiempo de recuperación real en ejercicio con condiciones realistas, comparar con el RTO declarado, identificar los obstáculos específicos que generan la brecha, decidir si se invierten recursos para eliminar esos obstáculos o si se revisa el RTO a un valor alcanzable, y documentar esa decisión con fundamento técnico.

Un plan de continuidad con RTOs realistas y verificados vale más que uno con RTOs optimistas que nadie puede cumplir. La continuidad del negocio no es una promesa: es una capacidad demostrada. La diferencia entre las dos la revela el primer incidente real.

Lecturas relacionadas

Continuidad
ISO 22301: planes que funcionan

La diferencia entre un plan de continuidad que existe para la auditoría y uno que funciona cuando se necesita.

Calidad
Calidad no es conformidad

La diferencia entre cumplir una norma y entregar valor real. Por qué confundirlas es un problema de gestión.

ESG
CSRD Europa: impacto real

Qué cambia con la directiva europea de reporte de sostenibilidad y qué deben hacer las organizaciones ahora.