Gestión de Crisis según ISO 22301

La gestión de crisis es la capacidad de una organización para tomar decisiones efectivas bajo presión extrema, coordinando recursos y comunicaciones cuando la situación supera la capacidad de respuesta normal. ISO 22301 establece requisitos para una estructura de respuesta a incidentes que permita evaluar la situación rápidamente, activar los planes de continuidad adecuados, comunicar efectivamente a todas las partes interesadas y gestionar la transición hacia la recuperación.

Estructura de gestión de crisis

Equipo de gestión de crisis (CMT)

El CMT es el órgano de dirección durante la crisis. Típicamente incluye al director general o su representante (líder del CMT), al responsable de operaciones, al responsable de comunicaciones, al responsable de TI, al asesor legal, al responsable de recursos humanos y al coordinador de continuidad de negocio. Cada miembro debe tener un suplente designado y entrenado.

Centro de comando

El equipo necesita un lugar físico o virtual desde donde coordinar la respuesta. El centro de comando principal y el alternativo deben tener comunicaciones redundantes, acceso a los planes de continuidad, información de contacto actualizada y capacidad de conectar con equipos remotos.

Fases de la gestión de crisis

Fase	Objetivo	Acciones clave
Alerta	Detectar y notificar	Activar cadena de llamadas, convocar al CMT, evaluar situación inicial
Evaluación	Comprender el alcance	Determinar qué está afectado, estimar duración, evaluar impacto
Activación	Poner en marcha la respuesta	Activar planes de continuidad, movilizar recursos, comunicar
Operación	Gestionar la crisis activamente	Coordinar recuperación, gestionar comunicaciones, tomar decisiones
Estabilización	Controlar la situación	Verificar que la respuesta funciona, ajustar según necesidad
Recuperación	Volver a la normalidad	Restaurar operaciones normales, desactivar contingencia
Revisión	Aprender de la experiencia	Documentar lecciones aprendidas, actualizar planes

Comunicación de crisis

La comunicación durante una crisis puede hacer la diferencia entre una gestión exitosa y un desastre reputacional. Los principios fundamentales son comunicar pronto (no esperar a tener toda la información), comunicar con frecuencia (actualizaciones regulares), comunicar con honestidad (no minimizar ni exagerar), comunicar con empatía (reconocer el impacto en las personas) y tener un solo portavoz autorizado.

Audiencias de comunicación

Empleados: qué pasó, qué deben hacer, están seguros
Clientes: cómo les afecta, qué alternativas tienen, cuándo se resuelve
Reguladores: cumplimiento de obligaciones de reporte
Medios: información verificada, portavoz designado
Proveedores: impacto en la relación comercial y pedidos
Comunidad: si la crisis afecta al entorno

Toma de decisiones bajo presión

Durante una crisis, las decisiones deben tomarse con información incompleta y bajo presión temporal. Las buenas prácticas incluyen tener protocolos preestablecidos para decisiones comunes, definir niveles de autoridad claros (quién puede decidir qué), aceptar que las decisiones no serán perfectas y documentar las decisiones tomadas con su fundamento.

Los ejercicios de continuidad son la mejor manera de entrenar la toma de decisiones bajo presión en un entorno controlado.

Lecciones aprendidas

Después de cada crisis real o ejercicio, la organización debe realizar una revisión post-incidente que documente la cronología de eventos, evalúe la eficacia de la respuesta, identifique qué funcionó bien y qué no, y genere acciones de mejora con responsables y plazos.

Error frecuente: No realizar la revisión post-crisis porque todos quieren volver a la normalidad rápidamente. Las lecciones aprendidas que no se documentan y no generan cambios se pierden, y los mismos errores se repiten en la siguiente crisis.

Buena práctica: Practica la gestión de crisis regularmente con ejercicios tabletop. Estos ejercicios de bajo costo y alta efectividad permiten al equipo de crisis ensayar la toma de decisiones, la comunicación y la coordinación sin interrumpir las operaciones.

Gestiona crisis con GRC360

GRC360 te permite estructurar tu equipo de crisis, gestionar planes de comunicación, registrar incidentes, coordinar la respuesta y documentar lecciones aprendidas en una sola plataforma.

Crear Cuenta Gratis

Revisa también ISO 22301, plan de continuidad y ejercicios de continuidad.