Qué es ISO 22301: guía de continuidad de negocio
Chile es un país con alta exposición a eventos disruptivos: terremotos, tsunamis, erupciones volcánicas, inundaciones, incendios forestales y, como demostró la pandemia de COVID-19, amenazas sanitarias globales. A estos riesgos naturales se suman los riesgos tecnológicos (ciberataques, fallas de infraestructura) y los riesgos del entorno empresarial (crisis de cadena de suministro, inestabilidad social). ISO 22301 proporciona el marco para que las organizaciones se preparen, respondan y se recuperen de cualquier tipo de interrupción, asegurando la continuidad de sus operaciones críticas.
En esta guía completa exploraremos qué es ISO 22301, cómo funciona un Sistema de Gestión de Continuidad de Negocio (SGCN), cuáles son sus elementos fundamentales y cómo implementarla en el contexto empresarial chileno.
¿Qué es ISO 22301 y para qué sirve?
ISO 22301 es una norma internacional que establece los requisitos para un Sistema de Gestión de Continuidad de Negocio (SGCN). Su versión vigente, ISO 22301:2019, proporciona un marco para que las organizaciones identifiquen las amenazas que podrían interrumpir sus operaciones, evalúen el impacto de esas interrupciones, desarrollen planes para responder y recuperarse, y prueben y mejoren continuamente su capacidad de respuesta.
Un SGCN no es solo un plan de emergencia guardado en un cajón. Es un sistema vivo que incluye análisis de impacto, estrategias de recuperación, planes documentados, ejercicios regulares y mejora continua. La norma sigue la Estructura de Alto Nivel (HLS), lo que facilita su integración con ISO 27001, ISO 9001 y otras normas de gestión.
Estructura de ISO 22301:2019
| Cláusula | Nombre | Contenido clave |
|---|---|---|
| 4 | Contexto | Partes interesadas, alcance, requisitos legales y regulatorios |
| 5 | Liderazgo | Compromiso de la dirección, política de continuidad, roles |
| 6 | Planificación | Riesgos y oportunidades, objetivos de continuidad |
| 7 | Apoyo | Recursos, competencia, toma de conciencia, comunicación, documentación |
| 8 | Operación | BIA, evaluación de riesgos, estrategias, planes, ejercicios |
| 9 | Evaluación del desempeño | Monitoreo, auditoría interna, revisión por la dirección |
| 10 | Mejora | No conformidades, acciones correctivas, mejora continua |
Elementos fundamentales del SGCN
Análisis de Impacto en el Negocio (BIA)
El BIA es quizás el elemento más importante de ISO 22301. Es el proceso que identifica las actividades críticas de la organización, determina el impacto de su interrupción en el tiempo, establece los tiempos máximos tolerables de interrupción y define los niveles mínimos de servicio que deben mantenerse.
Evaluación de riesgos
ISO 22301 requiere evaluar los riesgos que podrían causar interrupciones. Este proceso se conecta con la gestión de riesgos general de la organización y con ISO 31000. La evaluación debe considerar amenazas naturales (terremotos, inundaciones), tecnológicas (fallas de TI, ciberataques), humanas (pandemias, conflictos), de cadena de suministro (falla de proveedores críticos) y regulatorias.
Estrategias de continuidad
Las estrategias de continuidad definen cómo la organización protegerá y recuperará sus actividades críticas. Incluyen estrategias para proteger personas (seguridad, bienestar, comunicación), procesos (sitios alternativos, procedimientos de contingencia), tecnología (respaldos, infraestructura redundante, recuperación de TI), proveedores (proveedores alternativos, contratos de contingencia) e información (respaldo de datos, documentación crítica).
Planes de continuidad de negocio
Los planes de continuidad documentan los procedimientos específicos que se activarán ante una interrupción. Cada plan debe definir condiciones de activación, equipo de gestión de crisis, acciones inmediatas de respuesta, procedimientos de recuperación y criterios de vuelta a la normalidad.
Pruebas y ejercicios
Los ejercicios de continuidad son fundamentales para verificar que los planes funcionan y que las personas saben qué hacer. ISO 22301 requiere ejercicios regulares que sean coherentes con el alcance del SGCN.
¿Por qué ISO 22301 en Chile?
País sísmico
Chile es uno de los países más sísmicos del mundo. Los terremotos de 2010 (Maule, 8.8 Mw) y 2014 (Iquique, 8.2 Mw) demostraron que incluso las organizaciones bien establecidas pueden verse severamente afectadas. La continuidad de negocio permite prepararse para estos eventos inevitables.
Amenazas cibernéticas crecientes
La Ley 21.663 Marco de Ciberseguridad reconoce la importancia de la continuidad de servicios esenciales ante ciberataques. ISO 22301 complementa a ISO 27001 abordando la recuperación cuando la prevención no es suficiente. Ver nuestra guía sobre ISO 22301 y ciberseguridad.
Cadenas de suministro globales
Las empresas chilenas dependen cada vez más de cadenas de suministro internacionales que pueden verse interrumpidas por eventos en cualquier parte del mundo. La gestión de continuidad de negocio incluye la preparación ante disrupciones de proveedores.
Requisito regulatorio y contractual
En sectores como banca, energía, telecomunicaciones y servicios públicos, los reguladores exigen planes de continuidad operacional. ISO 22301 proporciona el marco reconocido para cumplir estos requisitos.
Implementa ISO 22301 con GRC360
GRC360 te permite gestionar tu SGCN con análisis de impacto, evaluación de riesgos, planes de continuidad, gestión de ejercicios y dashboards de preparación organizacional.
Crear Cuenta GratisContinúa con análisis de impacto BIA, cómo desarrollar un plan de continuidad y gestión de crisis.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis