Pruebas y ejercicios de continuidad según ISO 22301
Un plan de continuidad de negocio que no se prueba es una promesa sin verificar. ISO 22301 requiere que la organización realice ejercicios y pruebas a intervalos planificados para verificar que los procedimientos de continuidad son adecuados, que las personas conocen sus roles, que los recursos de contingencia funcionan y que los tiempos de recuperación son alcanzables.
Tipos de ejercicios
| Tipo | Complejidad | Descripción | Duración típica |
|---|---|---|---|
| Revisión de plan (walkthrough) | Baja | Lectura guiada del plan para verificar claridad y completitud | 1-2 horas |
| Ejercicio de mesa (tabletop) | Media | Discusión de un escenario hipotético para evaluar la toma de decisiones | 2-4 horas |
| Simulación funcional | Media-Alta | Los participantes ejecutan sus roles como si fuera real, sin interrumpir operaciones | 4-8 horas |
| Prueba de conmutación | Alta | Activación real de sitio o sistema de contingencia | 4-24 horas |
| Ejercicio a gran escala | Muy alta | Simulación integral que involucra múltiples áreas y proveedores | 1-3 días |
Planificación de ejercicios
Programa anual de ejercicios
ISO 22301 no prescribe una frecuencia específica, pero las buenas prácticas sugieren al menos un ejercicio significativo por año para cada plan de continuidad. El programa debe ser progresivo: comenzar con ejercicios simples (walkthrough, tabletop) y avanzar hacia simulaciones más complejas a medida que la organización madura.
Diseño del escenario
El escenario del ejercicio debe ser realista, relevante para la organización y diseñado para poner a prueba aspectos específicos del plan. Considerar escenarios como terremoto que afecta las instalaciones principales, ciberataque que inutiliza los sistemas de TI (ver resiliencia digital), pandemia que reduce al 50% el personal disponible, falla de un proveedor crítico durante un periodo prolongado e incendio en el data center principal.
Objetivos del ejercicio
Cada ejercicio debe tener objetivos claros y medibles. No se trata de pasar o fallar, sino de aprender. Objetivos típicos incluyen verificar la activación del plan de continuidad, validar los tiempos de recuperación, probar la comunicación de crisis, verificar el funcionamiento de recursos de contingencia y evaluar la toma de decisiones del equipo de crisis.
Ejecución del ejercicio
Roles durante el ejercicio
- Director del ejercicio: controla el desarrollo, inyecta eventos y gestiona el tiempo
- Observadores: documentan las acciones, decisiones y tiempos
- Participantes: ejecutan sus roles según el plan
- Facilitadores: apoyan la logística y responden preguntas del proceso
Documentación durante el ejercicio
Registrar cronología de eventos y decisiones, tiempos reales de respuesta y recuperación, problemas identificados y soluciones improvisadas, desviaciones respecto al plan documentado y comportamiento de sistemas y recursos de contingencia.
Evaluación y lecciones aprendidas
La evaluación post-ejercicio es donde se genera el mayor valor. Debe incluir una sesión de debriefing inmediata con los participantes, un informe formal con hallazgos clasificados, un plan de acciones correctivas con responsables y plazos, y la actualización del plan de continuidad con las mejoras identificadas.
Programa ejercicios con GRC360
GRC360 te permite planificar ejercicios, diseñar escenarios, registrar resultados, gestionar acciones de mejora y mantener un historial de la madurez de tu capacidad de continuidad.
Crear Cuenta GratisLee también ISO 22301, plan de continuidad y gestión de crisis.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis