Sismos, pandemias, ciberataques, fallas de proveedores. Las disrupciones no avisan y pueden paralizar tu empresa en minutos. ISO 22301 es la norma internacional que te ayuda a prepararte, responder y recuperarte de cualquier interrupción. En este artículo te explicamos qué es, para qué sirve y qué necesitas para certificarte en México.
Puntos clave
- ISO 22301:2019 es el estándar internacional para sistemas de gestión de continuidad del negocio (SGCN).
- Te ayuda a identificar qué procesos son críticos y cómo mantenerlos operando ante cualquier disrupción.
- El BIA (Business Impact Analysis) es la herramienta central de la norma.
- No se trata solo de TI: cubre personas, instalaciones, proveedores y todo lo que necesitas para operar.
- Complementa perfectamente a ISO 27001 para una estrategia de resiliencia completa.
Qué es ISO 22301 en palabras simples
ISO 22301 es una norma internacional publicada por la Organización Internacional de Normalización (ISO) que establece los requisitos para un Sistema de Gestión de Continuidad del Negocio (SGCN).
En términos prácticos, es un marco que te ayuda a responder una pregunta fundamental: si mañana no puedes operar normalmente, ¿qué haces? La norma te guía para identificar qué actividades son críticas para tu empresa, qué puede interrumpirlas y qué planes necesitas para mantenerlas funcionando o recuperarlas rápidamente.
La versión vigente es ISO 22301:2019, que actualizó la estructura para alinearse con otras normas ISO y simplificó algunos requisitos de la versión 2012.
Lo que hace diferente a ISO 22301 de simplemente "tener un plan B" es que es sistemático y verificable. No es un documento que guardas en un cajón. Es un sistema vivo que identifica riesgos, establece planes, los prueba regularmente y los mejora con base en los resultados.
Para qué sirve ISO 22301 en la práctica
La pandemia de 2020 demostró que las disrupciones pueden ser más graves de lo imaginado. Pero no necesitas una pandemia global para enfrentar una crisis. Estos son escenarios reales donde ISO 22301 marca la diferencia:
Desastres naturales
México es un país sísmico, con huracanes, inundaciones y volcanes activos. El sismo del 19 de septiembre de 2017 dejó a cientos de empresas sin oficinas ni infraestructura de un momento a otro. Las que tenían planes de continuidad se recuperaron en días. Las que no, tardaron meses o cerraron.
Ciberataques
Un ransomware puede cifrar todos tus sistemas en horas. Sin un plan de continuidad y respaldos verificados, puedes perder semanas de operación. ISO 22301, combinada con ISO 27001, te da la doble protección: prevención y recuperación.
Fallas de proveedores
¿Qué pasa si tu proveedor principal de materia prima quiebra o tiene un incendio? ISO 22301 te obliga a identificar dependencias críticas y tener alternativas.
Crisis sanitarias
La pandemia demostró que el ausentismo masivo puede paralizar operaciones. Un SGCN incluye planes para operar con personal reducido, trabajo remoto y proveedores alternativos.
Interrupciones de servicios públicos
Cortes prolongados de electricidad, agua o telecomunicaciones afectan a cualquier empresa. En zonas de México con infraestructura vulnerable, esto es un riesgo real y frecuente.
Requisitos principales de ISO 22301
La norma sigue la estructura de alto nivel (Anexo SL) con 10 cláusulas. Los requisitos clave son:
Contexto y alcance (Cláusula 4)
Entender tu contexto organizacional, las expectativas de partes interesadas (clientes, reguladores, empleados, accionistas) y definir el alcance de tu SGCN. No necesitas cubrir toda la empresa: puedes empezar por los procesos más críticos.
Liderazgo (Cláusula 5)
La alta dirección debe comprometerse con la continuidad del negocio, asignar recursos y establecer una política. En una crisis real, el liderazgo ejecutivo es determinante para la velocidad de respuesta.
Planificación (Cláusula 6)
Evaluación de riesgos a nivel organizacional y establecimiento de objetivos de continuidad del negocio medibles.
Operación (Cláusula 8) - El corazón de la norma
Aquí están las herramientas principales:
Business Impact Analysis (BIA)
El BIA es la piedra angular de ISO 22301. Es el ejercicio donde identificas:
- Actividades críticas: qué procesos no pueden detenerse sin causar daño inaceptable.
- Impacto en el tiempo: cuánto daño causa cada hora, día o semana de interrupción.
- MTPD (Maximum Tolerable Period of Disruption): cuánto tiempo máximo puede estar detenida una actividad antes de que el daño sea irreversible.
- RTO (Recovery Time Objective): en cuánto tiempo necesitas recuperar la actividad.
- RPO (Recovery Point Objective): cuánta pérdida de datos puedes tolerar (para sistemas de información).
- Dependencias: qué recursos (personas, tecnología, proveedores, instalaciones) necesita cada actividad crítica.
| Actividad crítica | MTPD | RTO | Dependencias clave |
|---|---|---|---|
| Facturación electrónica | 24 horas | 4 horas | ERP, internet, PAC, personal de contabilidad |
| Línea de producción A | 48 horas | 12 horas | Materia prima, energía eléctrica, operadores, maquinaria |
| Atención al cliente | 8 horas | 2 horas | Telefonía, CRM, personal capacitado, internet |
| Nómina | 72 horas | 24 horas | Sistema de nómina, datos de empleados, banca electrónica |
Evaluación de riesgos
Identificar qué amenazas pueden interrumpir tus actividades críticas: sismos, incendios, ciberataques, pandemias, fallas de proveedores, problemas legales, etc.
Estrategias y soluciones de continuidad
Para cada actividad crítica, definir cómo la mantendrás operando o la recuperarás: sitio alterno, trabajo remoto, proveedores de respaldo, respaldos de información, personal cruzado (cross-training).
Planes de continuidad
Documentos operativos con procedimientos paso a paso para responder ante una disrupción, recuperar actividades críticas y regresar a la normalidad.
Ejercicios y pruebas
Los planes que no se prueban no funcionan. ISO 22301 exige ejercicios regulares para validar que los planes son efectivos y que el personal sabe cómo actuar.
Beneficios de certificarse en ISO 22301
- Resiliencia organizacional: capacidad probada de sobrevivir y recuperarse de cualquier disrupción, no solo las predecibles.
- Protección de ingresos: cada hora de interrupción tiene un costo. Un SGCN minimiza ese tiempo de inactividad.
- Confianza de clientes y socios: demostrar que puedes seguir cumpliendo compromisos incluso en crisis da una ventaja competitiva real.
- Requisito contractual: cada vez más corporativos, bancos y aseguradoras exigen evidencia de continuidad del negocio a sus proveedores.
- Reducción de primas de seguro: aseguradoras valoran positivamente los SGCN certificados al calcular primas.
- Cumplimiento regulatorio: sectores como el financiero en México tienen requisitos de continuidad operativa. ISO 22301 facilita cumplirlos.
- Toma de decisiones en crisis: cuando ocurre una emergencia, tener procedimientos claros evita el pánico y las decisiones improvisadas.
- Complemento de ISO 27001: juntas forman una estrategia completa de protección y resiliencia para organizaciones dependientes de tecnología.
Preguntas frecuentes
¿ISO 22301 es solo para grandes empresas?
No. Cualquier empresa que dependa de procesos críticos se beneficia. Una PyME que pierde su servidor principal por una semana sin respaldo puede quebrar. ISO 22301 se adapta al tamaño y complejidad de cada organización.
¿Cuánto tiempo lleva implementar ISO 22301?
Entre 4 y 8 meses para la mayoría de organizaciones. El BIA y la evaluación de riesgos son las etapas que más tiempo consumen. Si ya tienes ISO 27001, muchos elementos se aprovechan directamente.
¿ISO 22301 y ISO 27001 se complementan?
Sí, perfectamente. ISO 27001 protege la información y sus controles incluyen continuidad de TI. ISO 22301 va más allá: cubre la continuidad de toda la organización, no solo la parte tecnológica. Muchas empresas implementan ambas como parte de su estrategia de resiliencia.
¿Qué diferencia hay entre continuidad del negocio y recuperación ante desastres?
La recuperación ante desastres (DR) se enfoca en restaurar sistemas de TI después de un incidente. La continuidad del negocio (BC) es más amplia: incluye personas, procesos, instalaciones, proveedores y tecnología. ISO 22301 cubre la continuidad completa del negocio.
¿Con qué frecuencia debo probar mis planes de continuidad?
ISO 22301 requiere ejercicios y pruebas regulares, pero no fija una frecuencia específica. La buena práctica es hacer al menos un ejercicio completo al año y pruebas parciales trimestrales. Lo importante es que las pruebas sean realistas y generen aprendizaje.
Evalúa tu preparación ante disrupciones
Nuestro autodiagnóstico gratuito te ayuda a identificar brechas en tu gestión de continuidad del negocio.