Plan de continuidad operativa: requisito clave de la Ley 21.663

Un Plan de Continuidad Operativa (PCO) es una hoja de ruta que define cómo tu organización puede seguir funcionando si ocurre un incidente grave: desde una caída de sistemas hasta un ciberataque. En países como Chile, este tipo de planificación no es opcional para todos. La Ley 21.663 lo exige específicamente para los Operadores de Importancia Vital (OIV), como parte de las medidas mínimas de ciberseguridad exigidas en el Artículo 22 de la Ley 21.663, que incluye explícitamente la necesidad de planes de continuidad y respuesta ante incidentes.

El PCO está estrechamente ligado al Sistema de Gestión de Seguridad de la Información (SGSI), ya que ambos buscan minimizar el impacto de los incidentes y proteger la operación de la institución. Un SGSI sin un buen plan de continuidad es como tener una alarma sin saber qué hacer cuando suena. Y aunque tu organización no esté obligada legalmente a tener uno, hacerlo sigue siendo una decisión estratégica.

¿Pero, qué es un PCO?

Ok, quizá aún tengas dudas sobre qué es y para qué sirve un PCO. En simple: es un documento vivo (y no solo un PDF que se guarda y olvida) que define cómo va a reaccionar tu organización ante una crisis tecnológica o de seguridad para seguir funcionando. No importa si se cae la red, te atacan con ransomware o se pierde acceso a sistemas clave: el PCO es tu plan B (y C y D).

¿Por qué necesitas uno?

• Porque permite seguir operando, incluso en medio de un incidente grave.
• Porque te ayuda a actuar rápido y con claridad, sin improvisaciones.
• Porque define quién hace qué, cómo se comunica, y cuáles son los pasos críticos.
• Porque reduce el impacto de fallas técnicas, ciberataques o errores humanos.
• Porque te prepara para responder ante la ANCI si eres OSE u OIV.
• Porque el PCO es parte del SGSI exigido por leyes regulatorias como la Ley 21.663 de Chile, y será revisado en auditorías, simulacros o fiscalizaciones.

Elementos esenciales que debe tener tu PCO

Un buen PCO no necesita tener 100 páginas ni un lenguaje técnico imposible de seguir. Lo que sí necesita es ser claro, accionable y adaptado a la realidad de tu organización. Un plan útil es el que todos pueden entender y ejecutar cuando las cosas se complican. Para eso, hay ciertos elementos que no pueden faltar. Te los explicamos brevemente:

Servicios críticos identificados:

Primero, hay que saber qué procesos, sistemas o plataformas no pueden fallar. Esos servicios que, si se caen, te dejan sin poder operar. Esto varía según el tipo de institución, pero el punto clave es priorizar lo esencial.

Por ejemplo, en un hospital podrías tener como servicios críticos:

• Sistema de ficha clínica electrónica
• Red de comunicaciones internas
• Plataforma de agendamiento de pacientes
• Acceso a laboratorios o imágenes

Responsables por área o función:

No basta con saber qué hacer; también hay que saber quién lo hace. Y lo ideal es que los roles estén definidos por función, no por nombre (por si hay cambios de personal). Cada área debe tener claro su papel durante un incidente. Algunos ejemplos de responsables pueden ser:

• Encargado/a de TI: activar respaldo, restaurar sistemas
• Jefe/a de comunicaciones: coordinar avisos internos y externos
• Coordinador/a académico (en instituciones educativas): adaptar clases o evaluaciones
• Gerencia: tomar decisiones clave y mantener contacto con autoridades
• Encargado/a de seguridad: evaluar riesgos adicionales y apoyar la respuesta

Estrategias de respaldo (digital y operativo)

Tener respaldo no es solo hacer un backup y olvidarse. Se trata de tener planes alternativos para seguir operando, tanto a nivel tecnológico como práctico. ¿Qué pasa si se cae tu sistema de matrículas? ¿Y si pierdes acceso al correo? Necesitas soluciones que te permitan seguir, aunque sea de forma limitada, mientras se resuelve el problema. Algunas estrategias útiles pueden ser:

• Copias de seguridad automáticas en la nube y locales
• Servidores espejo en otra ubicación o proveedor
• Formularios en papel para continuidad básica (como atención médica o inscripción)
• Sistemas de mensajería alternativos (por ejemplo, grupos de WhatsApp institucionales)
• Procedimientos manuales temporales documentados

Flujos de comunicación interna y externa

Cuando ocurre un incidente, lo peor es el caos informativo. Por eso es clave definir cómo se comunica cada área, con qué herramientas y en qué orden. La comunicación interna mantiene coordinado al equipo, mientras que la externa evita rumores y desconfianza. Todo debe estar claro: ¿quién informa?, ¿qué se dice?, ¿a través de qué canal?, ¿en qué momento? Esto puede marcar la diferencia entre una respuesta efectiva y una crisis descontrolada.

Procedimientos específicos para tipos de incidentes

No todos los problemas se enfrentan igual. Un corte de internet, un ataque de ransomware o la pérdida de un dispositivo requieren respuestas distintas. Por eso, tu PCO debe incluir protocolos claros para distintos escenarios, con pasos concretos que cada área pueda seguir. Así, cuando ocurra algo, no hay que improvisar: ya saben qué hacer, cómo y en qué orden.

Algunos ejemplos:

• Corte de red interna: uso de redes móviles o VPN de respaldo
• Ciberataque (ransomware): desconectar equipos afectados, activar respaldo, reportar a la ANCI
• Caída de plataforma educativa: cambio a plan B (Google Drive, Zoom, Teams)
• Pérdida de laptop institucional: bloqueo remoto y recuperación de datos con herramienta MDM como Prey
• Falla de servidor de fichas médicas: protocolo de atención manual con formularios físicos

Cronograma de revisión/simulación

Un buen plan que nunca se revisa pierde valor. El PCO debe actualizarse cada cierto tiempo (idealmente entre 6 y 12 meses), o después de cada incidente o simulacro. Además, ponerlo a prueba con el equipo, aunque sea una vez al año, ayuda a detectar errores, afinar detalles y entrenar a todos los involucrados.

¿Por qué vale la pena?

• Te permite identificar fallas antes de una crisis real
• Mejora la coordinación entre áreas
• Refuerza la confianza del equipo en el plan
• Aumenta la probabilidad de una respuesta rápida y ordenada
• Es un punto extra en auditorías o fiscalizaciones oficiales

Pasos para crear tu PCO desde cero

Armar un PCO desde cero puede sonar intimidante, pero no tiene por qué serlo. Lo importante es empezar por lo esencial: entender cómo funciona tu institución y qué necesitas para que no se detenga en medio de un incidente. A partir de ahí, el plan se va construyendo paso a paso, con lógica, cabeza fría y participación de todas las áreas clave.

Análisis de impacto (BIA): El paso cero de todo buen PCO

Antes de ponerte a listar servicios críticos, conviene dar un paso atrás y mirar el panorama completo: ¿qué procesos sostienen tu operación? ¿Qué pasa si se interrumpen? ¿Cuánto tiempo puedes estar sin ellos antes de que el daño sea irreversible?

Eso es lo que se conoce como Business Impact Analysis (BIA) o análisis de impacto al negocio. Este proceso te permite evaluar objetivamente qué tan esenciales son tus servicios, cuánto impacto genera su caída y qué tan rápido necesitas restablecerlos.

Este ejercicio te permite evaluar:

• Qué procesos son esenciales para la continuidad del servicio.
• Qué tan grave sería su caída (en dinero, reputación, operación o incluso vidas).
• Cuánto tiempo puedes estar sin ellos (RTO) y cuánta información puedes permitirte perder (RPO).
• Qué dependencias, plataformas o sistemas están ligados a esos procesos.
• Qué prioridades debes establecer al momento de una crisis.

Identificar tus servicios esenciales (a partir del BIA)

Con tu BIA en mano, podrás definir cuáles son tus servicios esenciales. Estos son los procesos, sistemas o plataformas que deben seguir operando, incluso en medio de un incidente.

Aquí te damos algunas preguntas que puedes usar como guía para aterrizar ese análisis:

• ¿Qué sistemas no pueden detenerse?
• Por ejemplo, una ficha clínica electrónica, una plataforma de clases virtuales o el sistema de pagos. Si se detienen, la operación se interrumpe drásticamente.
• ¿Qué plataformas deben estar activas para coordinar la respuesta?
• Correo institucional, red interna, VPN, intranet: herramientas que permiten mantener al equipo comunicado durante una contingencia.
• ¿Qué procesos tienen impacto externo inmediato?
• Atención a pacientes, matrícula online, pago a proveedores, gestión de casos urgentes. Si fallan, afectan a usuarios, estudiantes, apoderados o entidades reguladoras.

Este ejercicio no solo te permite priorizar mejor, sino también diseñar estrategias más efectivas de respaldo, recuperación y comunicación.

Identifica puntos de fallo y riesgos asociados

Ahora que sabes qué es crítico, toca pensar en lo que puede fallar. Y no solo qué, sino cómo y cuán probable es que ocurra. Algunos riesgos son más comunes que otros (como errores humanos), mientras que otros, aunque menos frecuentes, pueden ser más graves (como un ataque dirigido). Este análisis es clave para priorizar.

Podemos seguir usando de ejemplo algunos de los sistemas ya mencionados como ejemplo:

• Sistemas como fichas clínicas, plataformas de clases o portales de pago pueden ser detenidos por un ataque de ransomware que cifre los datos e impida el acceso. Este tipo de ataque no es diario, pero ha aumentado en la región —y su impacto es alto. La probabilidad es media, pero el daño potencial es muy alto.
• Plataformas como el correo institucional, la red interna, la VPN o la intranet pueden ser blanco de campañas de phishing, especialmente si los usuarios no están capacitados o se usan contraseñas débiles. Este tipo de ataque es muy común y fácil de ejecutar, así que la probabilidad es alta.
• El acceso a dispositivos críticos (como laptops del equipo directivo o servidores locales) puede perderse por extravíos, robos o fallos físicos. Esto puede ocurrir por descuidos o falta de medidas como el cifrado y la geolocalización. La probabilidad es media, pero si no hay respaldo, el impacto es considerable.
• Errores de configuración o actualizaciones fallidas también pueden tumbar plataformas esenciales sin necesidad de un ataque externo. Son fallas internas, a veces invisibles, pero muy comunes. La probabilidad es alta, sobre todo si no hay procedimientos claros ni ambientes de prueba.
• La pérdida de conexión a internet o el fallo de un proveedor de servicios clave puede dejarte sin acceso a la nube, a clases online o a aplicaciones críticas. Aunque no siempre se puede controlar, tener alternativas marca la diferencia. Su probabilidad es moderada, pero el impacto es inmediato.

Define acciones de contingencia por tipo de incidente

Tener claro qué hacer en medio de una crisis es lo que transforma un susto en una respuesta ordenada. No basta con saber que algo puede fallar: hay que tener un plan específico para cada tipo de incidente. Estas acciones deben ser simples, conocidas por el equipo y lo suficientemente claras como para actuar sin dudar, incluso bajo presión.

Algunos ejemplos de incidentes y respuestas posibles:

• Se cae la red institucional: activar internet móvil en equipos clave, priorizar tareas offline, y escalar el problema al proveedor con protocolo definido.
• Pérdida o robo de dispositivo institucional: realizar bloqueo remoto, emitir alerta interna, recuperar datos desde la nube o respaldo más reciente.
• Ataque de ransomware: aislar el sistema afectado, notificar al encargado de ciberseguridad, activar respaldo validado y notificar a la ANCI en el plazo legal.
• Falla del sistema de clases online: migrar temporalmente a una plataforma de contingencia como Google Drive o Zoom, comunicar el cambio a docentes y estudiantes.
• Phishing detectado en correo corporativo: alertar al equipo, activar revisión de accesos, forzar cambio de contraseñas, y reforzar capacitación si corresponde.

Asigna responsables y roles de respuesta

En medio de un incidente, lo último que quieres es que todos pregunten “¿y ahora qué hacemos?” Por eso, es clave definir quién hace qué desde el principio. No es necesario nombrar personas específicas, pero sí funciones o cargos que tomen el control cuando algo falla. Así se evita la confusión y se gana tiempo valioso.

Ejemplos de roles y sus responsabilidades:

• Encargado/a de TI: detectar el incidente, coordinar respuesta técnica y activar respaldo.
• Líder de comunicaciones: preparar y difundir mensajes internos y externos, manteniendo la calma y claridad.
• Jefatura de área afectada (salud, educación, finanzas): coordinar la operación con soluciones de contingencia.
• Dirección o gerencia: tomar decisiones estratégicas, autorizar medidas críticas y liderar el reporte a autoridades.
• Encargado/a de continuidad operativa: asegurarse de que el plan se cumpla paso a paso, actuar como nexo entre equipos.

Crea tus protocolos de comunicación interna/externa

Una buena comunicación en medio de un incidente puede evitar el caos. No se trata solo de avisar que "algo pasó", sino de entregar la información correcta, a tiempo y por el canal adecuado. Definir estos flujos con anticipación te ayuda a mantener al equipo enfocado, a los usuarios informados y a las autoridades tranquilas.

• ¿Cómo avisas al equipo?
• Puedes hacerlo a través de canales internos como WhatsApp institucional, Teams o incluso una llamada rápida si es urgente. Lo importante es que todos sepan qué está pasando y qué deben hacer, sin rumores ni suposiciones. Una buena comunicación interna evita confusiones y acelera la respuesta.
• ¿Cómo avisas a los usuarios?
• Puedes enviar un correo masivo, usar tus redes sociales o publicar un aviso en la plataforma que normalmente usan. Lo clave es mantenerlos informados con mensajes claros y tranquilos, para no generar pánico ni desconfianza. Si no comunicas bien, ellos llenarán el vacío con suposiciones.
• ¿Cómo notificas a la ANCI?
• Si estás bajo el alero de la Ley 21.663 como PSE u OIV, tienes un máximo de 3 horas para reportar un incidente grave. Por eso, conviene tener claro qué datos necesitas, quién lo hace y por qué canal.

Documenta y prueba el plan (aunque sea en pequeño)

No basta con escribir el plan y guardarlo en una carpeta olvidada. Hay que ponerlo a prueba. Un simulacro, aunque sea simple, puede revelar fallas que en papel no se ven. Probar el plan te permite corregir, ajustar roles, y generar confianza en el equipo. Y lo mejor: mientras más realista la prueba, mejor preparados estarán.

Tipos de pruebas que puedes aplicar:

• Roleplay o ejercicio de escritorio: simulan un incidente en una reunión, donde cada área explica qué haría. Útil como primer paso.
• Simulacro parcial: se prueba un escenario específico (como caída de red), con respuestas reales, sin interrumpir toda la operación.
• Simulacro completo: se ensaya todo el PCO con varios equipos, roles activos y comunicación real, como si fuera un incidente verdadero.
• Revisión post-incidente real: cada vez que ocurra algo, analiza cómo funcionó el plan y qué se puede mejorar.

‍

No olvidar al DRP e IRP, los dos aliados invisibles del PCO‍

El Plan de Continuidad Operativa (PCO) no funciona en solitario. Para que tu organización pueda responder, resistir y recuperarse frente a un incidente, necesita el respaldo de otros dos planes clave: el IRP (Incident Response Plan) y el DRP (Disaster Recovery Plan).

Ambos se integran al PCO:

• El IRP entra en acción al detectar el incidente y permite una respuesta inicial ordenada.
• El PCO mantiene la operación en marcha.
• El DRP asegura que puedas volver a la normalidad técnica.

Según el Artículo 22 de la Ley 21.663, las instituciones clasificadas como OSE u OIV deben contar con medidas organizativas y técnicas que abarquen respuesta, continuidad y recuperación. En otras palabras: IRP, PCO y DRP no son opcionales.

‍

Ejemplos prácticos de PCOs

A veces, no hay nada como una representación visual. Por eso, en esta sección te proponemos una plantilla simple y directa para construir tu Plan de Continuidad Operativa. No se trata solo de mostrar cómo podría verse, sino de darte una base concreta que puedas adaptar a tu realidad. Esta estructura te puede ayudar a organizar la información clave de forma clara y rápida para cualquier tipo de servicio crítico.

Este formato puede replicarse para cada servicio esencial que identifiques en tu organización. ¿La clave? Mantenerlo simple, útil y fácil de ejecutar.

Tips para mantener vivo tu PCO

Un PCO no sirve de mucho si se queda guardado en un cajón (o peor, en una carpeta olvidada del drive). Para que realmente funcione cuando más lo necesitas, tiene que estar actualizado, ser conocido por todos y adaptarse a los cambios de tu organización. Aquí van algunas prácticas simples pero efectivas para mantenerlo en forma.

Revisa el plan cada 6-12 meses o tras cada incidente

Tu institución cambia, la tecnología cambia, y los riesgos también. Por eso, revisar el PCO al menos una vez al año, o después de cualquier incidente importante, es importante. Puede que haya servicios nuevos que no estén cubiertos o roles que ya no existen. Un plan desactualizado puede dar una falsa sensación de seguridad y fallar justo cuando más lo necesitas.

Involucra a otras áreas: TI, dirección, comunicaciones

El PCO no es solo cosa del equipo técnico. Para que funcione bien, necesita el aporte de distintas áreas: TI entiende los sistemas, dirección toma decisiones clave y comunicaciones sabe cómo hablar con el resto. Si solo una persona lo redacta, es probable que falten detalles importantes o que nadie más sepa qué hacer cuando llegue el momento. Hacerlo en conjunto lo vuelve más completo y realista.

No dejes fuera del plan a los proveedores

Si tu operación depende de terceros, tu continuidad también. Muchos planes de continuidad se enfocan solo en lo que controla la institución, pero olvidan a los proveedores que están bajo el capó de los servicios críticos: plataformas cloud, soporte TI externo, internet, SaaS, bases de datos externas, servidores de terceros, etc.

Y cuando uno de ellos falla, el impacto puede ser igual o peor que una caída interna.

Por eso, tu PCO debe considerar a los proveedores como parte integral del plan. No se trata de tener control total sobre ellos, sino de saber: que servicio critico respalda, sus SLA’s, contacto directo para emergencias y planes alternativos si no de ellos cae.

Mantén todo en un lugar accesible y compartido

De nada sirve tener un plan excelente si nadie sabe dónde está cuando lo necesita. El PCO debe estar disponible para quienes tienen que actuar, sin depender de que alguien "lo tenga en su correo". Guárdalo en una ubicación segura pero accesible: una carpeta compartida, un drive institucional, o incluso impreso si es necesario. Y asegúrate de que todos sepan cómo encontrarlo rápido.

Convierte el plan en algo entendible para toda la organización

No todos son expertos en ciberseguridad, y está bien. Lo importante es que el PCO esté escrito en un lenguaje claro, con pasos simples y sin tecnicismos innecesarios. Cualquiera que tenga un rol durante una contingencia debe poder leerlo y entender qué hacer, sin tener que descifrar jerga técnica. Mientras más claro sea, más útil será en el momento de actuar.

Documenta el PCO durante los incidentes

Llevar un registro claro de todo lo que pasa durante un incidente, y cómo respondió tu equipo, es casi tan importante como el plan mismo. Documentar qué se hizo, cuánto tiempo tomó, qué decisiones se tomaron y qué funcionó (o no) te permite afinar el PCO con base en la experiencia real. Además, tener este historial sirve para mostrar cumplimiento ante auditorías, justificar tiempos de respuesta y mejorar futuras simulaciones. Cada incidente es también una oportunidad de aprendizaje, pero solo si queda registrado.

¿Cómo Prey puede ayudarte a ejecutar tu PCO?

Tener un buen Plan de Continuidad Operativa está muy bien, pero ejecutarlo cuando ocurre un incidente es otro cuento. Aquí es donde una herramienta como Prey puede marcar la diferencia. No solo te permite reaccionar rápido frente a pérdidas o ataques, sino que también te entrega visibilidad, control y evidencia para mejorar tu plan. Estas son algunas de las formas en que puede ayudarte directamente:

Visibilidad y control de dispositivos clave

Uno de los grandes desafíos en una contingencia es saber qué está pasando con los equipos que realmente importan: laptops del personal, dispositivos de uso compartido, tablets en terreno, etc. Con Prey, puedes ver en tiempo real la ubicación y estado de cada dispositivo, recibir alertas si se mueve fuera de zona o si se conecta inesperadamente, y tomar decisiones informadas al instante. Esto es especialmente útil para instituciones que dependen de la movilidad o el trabajo remoto.

Funciones útiles de Prey:

• Geolocalización en tiempo real: para saber exactamente dónde está un equipo extraviado o fuera de su zona habitual.
• Geocercas con alertas automáticas: para detectar movimientos no autorizados.
• Inventario centralizado de dispositivos: visibilidad completa de equipos, sistemas operativos, usuarios asignados y más.
• Estado del dispositivo: batería, conexión, dirección IP y más, todo accesible al instante.
• Múltiples métodos de localización: GPS, Wi-Fi, GeoIP (útiles si se desactiva uno).
• Seguimiento consciente: elige si rastreas 24/7 o solo en situaciones específicas.

Bloqueo remoto o borrado en caso de pérdida

¿Se perdió un equipo con información sensible? Con Prey no necesitas cruzar los dedos. Puedes bloquearlo a distancia, dejarlo inutilizable, e incluso borrar la información almacenada si no se logra recuperar. Esto te permite actuar rápido, limitar daños y cumplir con protocolos de seguridad definidos en tu PCO, sin depender de que alguien esté físicamente con el dispositivo.

Funciones útiles de Prey:

• Bloqueo remoto de pantalla: evita el acceso no autorizado al equipo.
• Alerta sonora o mensaje personalizado: útil para equipos extraviados en entornos como colegios o oficinas.
• Marcado como perdido: inicia un seguimiento más estricto del equipo.
• Borrado remoto de información sensible (en planes avanzados).

Generación de reportes para simulacros y post-mortems

Después de cada simulacro o incidente real, necesitas evaluar qué funcionó y qué no. Prey genera reportes detallados sobre la actividad de cada dispositivo, acciones ejecutadas, ubicaciones, intentos de acceso y más. Esta información es oro para tus revisiones post-incidente: te ayuda a ajustar tu plan, demostrar cumplimiento y preparar mejor al equipo para la próxima vez.

Funciones útiles de Prey:

• Historial de ubicación y actividad del dispositivo.
• Registro de eventos como cambio de hardware, carga o desconexión.
• Automatización de respuestas: puedes documentar qué acción se ejecutó, cuándo y por qué.
• Panel centralizado: facilita la recopilación de información para reuniones post-incidente.

Apoyo para cumplir con el deber de reportar en 3 horas

Si tu institución es un Operador de Servicios Esenciales (OSE) o de Importancia Vital (OIV), la Ley 21.663 exige reportar ciertos incidentes a la ANCI en un plazo de 3 horas. Con Prey, puedes recopilar evidencia y datos clave de forma inmediata: actividad de los dispositivos comprometidos, registros de acceso, acciones tomadas, etc. Esto acelera la elaboración del informe y te ayuda a cumplir con el plazo legal sin improvisaciones.

Funciones útiles de Prey:

• Detección de eventos anómalos: como desconexión prolongada o cambio de hardware.
• Panel con estado y actividad de cada dispositivo en tiempo real.
• Acciones automatizadas que dejan registro inmediato.
• Integración con flujos internos de comunicación para acelerar la respuesta.

La continuidad no es opcional

Contar con un Plan de Continuidad Operativa ya no es un lujo ni un “por si acaso”: es una necesidad crítica para cualquier organización que dependa de la tecnología para funcionar, es decir, casi todas. Hoy día cuando los incidentes en LATAM aumentan año a año, con ciberataques que paralizan sistemas clave, tener claro qué hacer (y quién lo hace) puede marcar la diferencia entre recuperarse en horas… o quedar inoperativo por días.

Los dispositivos móviles, portátiles y compartidos no son solo herramientas: son puertas de entrada a tus sistemas, y muchas veces los primeros en verse comprometidos. Por eso, incluirlos en tu PCO no es opcional.

Y ahí es donde Prey entra como un gran aliado: te da visibilidad, control y respuesta inmediata ante incidentes, además de evidencia útil para cumplir con la ley y mejorar tu estrategia de seguridad. Tener un PCO bien armado, probado y respaldado por una herramienta como Prey no solo te prepara mejor: te da tranquilidad real.

¿Te gustaría contar con una herramienta que respalde tu plan de continuidad y te ayude a proteger tus dispositivos clave?

En Prey estamos listos para ayudarte. Escríbenos y conversemos sobre cómo podemos apoyar a tu institución con visibilidad, control y respuesta rápida ante incidentes. Contáctanos aquí y pongamos manos a la obra.

FAQ

¿Qué es un Plan de Continuidad Operativa (PCO)?

Un Plan de Continuidad Operativa (PCO) es un documento que establece cómo una organización seguirá funcionando ante incidentes graves como ciberataques, fallas de red, pérdida de dispositivos o interrupciones de servicios críticos. Define roles, procedimientos, sistemas prioritarios y protocolos de comunicación para minimizar el impacto en la operación.

En el contexto chileno, el PCO es parte de las medidas mínimas exigidas por la Ley 21.663 para los Operadores de Importancia Vital (OIV).

¿Qué debe contener un PCO para cumplir con la Ley 21.663?

Para estar alineado con la Ley Marco de Ciberseguridad en Chile, un PCO debe incluir al menos:

• Identificación de servicios críticos para la operación
• Análisis de riesgos y puntos de falla
• Estrategias de respaldo operativo y tecnológico
• Procedimientos diferenciados por tipo de incidente
• Roles y responsables por función (no por nombre)
• Canales y flujos de comunicación interna y externa
• Cronograma de revisión, simulacros y actualización
• Procedimiento para notificar incidentes a la ANCI dentro de las 3 horas legales (si aplica)

¿Es obligatorio tener un PCO si no soy OIV?

No de forma inmediata, pero sí recomendable. Aunque solo los OIV están explícitamente obligados a contar con un PCO bajo la Ley 21.663, la ANCI puede designar como OSE u OIV a cualquier institución cuya interrupción represente un riesgo relevante para la sociedad, la economía o la infraestructura nacional.

Además, tener un PCO mejora la resiliencia de tu institución, te prepara para auditorías y facilita la recuperación ante incidentes, incluso si no estás legalmente obligado.

¿Qué diferencia hay entre un PCO y un DRP?

El PCO (Plan de Continuidad Operativa) se enfoca en mantener la operación funcionando frente a una crisis. Incluye procesos, personas, comunicación y planes alternativos de trabajo.

El DRP (Disaster Recovery Plan), en cambio, está más orientado a la restauración de sistemas tecnológicos luego de una interrupción, especialmente desde el área de TI.

En resumen:

• El PCO responde a cómo seguimos operando.
• El DRP responde a cómo restauramos lo que falló.

Ambos planes son complementarios y muchas veces se integran en una estrategia unificada.

¿Qué pasa si no notifico a la ANCI dentro de las 3 horas?

La Ley 21.663 exige que todo Operador de Servicios Esenciales (OSE) u Operador de Importancia Vital (OIV) notifique a la ANCI dentro de las primeras 3 horas tras la detección de un incidente grave. No hacerlo puede acarrear sanciones legales, multas y la pérdida de confianza institucional.

Para facilitar esto, tu PCO debe incluir un protocolo específico con:

• Qué información se debe recopilar
• Quién es el encargado de reportar
• Qué canales oficiales se deben usar

Herramientas como Prey te permiten registrar evidencia del incidente en tiempo real, lo que facilita el cumplimiento de este deber.

¿Puedo usar esta guía para construir un PCO desde cero?

Sí. Esta guía está pensada para ayudarte a construir tu propio Plan de Continuidad Operativa paso a paso, aunque no tengas experiencia previa en gestión de incidentes. Incluye ejemplos prácticos, plantillas adaptables y recomendaciones específicas según el tipo de institución (educativa, salud, financiera, etc.).

Además, puedes descargar una plantilla editable para aplicar directamente en tu organización.

‍