ISO 22301.

ISO 22301 es la norma internacional para los sistemas de gestión de la continuidad del negocio (BCMS). Especifica los requisitos para planificar, operar, supervisar y mejorar un BCMS que permita reanudar las operaciones críticas tras una interrupción. Los reguladores financieros la exigen cada vez más desde DORA, y los supervisores de NIS 2 la requieren a los operadores de servicios esenciales.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyResilience & continuityAll entries

La perspectiva de Cyber Academy

ISO 22301 es la norma internacional para los sistemas de gestión de la continuidad del negocio (BCMS). Especifica los requisitos para planificar, operar, supervisar y mejorar un BCMS que permita reanudar las operaciones críticas tras una interrupción. Los reguladores financieros la exigen cada vez más desde DORA, y los supervisores de NIS 2 la requieren a los operadores de servicios esenciales.

ISO 22301 es la norma de requisitos para un sistema de gestión de la continuidad del negocio, un SGCN. Establece lo que una organización debe hacer para mantener en funcionamiento sus operaciones críticas durante una interrupción.

Qué pide realmente ISO 22301

La palabra sistema importa. ISO 22301 no es un plan que se redacta una vez y se archiva. Es un ciclo gestionado.

Ese ciclo tiene cuatro partes:

  • Comprender qué hace su organización.
  • Decidir qué actividades no puede permitirse perder durante mucho tiempo.
  • Construir la capacidad de mantenerlas en marcha, o de recuperarlas rápido.
  • Mantener esa capacidad fiable mediante ejercicios, revisiones y mejora.

Como es una norma de requisitos, un organismo acreditado puede auditarle y certificarle frente a ella. Eso da a un cliente o a un regulador algo concreto en lo que confiar.

Una estructura compartida con otras normas ISO

ISO 22301 sigue la estructura de alto nivel, como ISO 27001 y otras normas ISO modernas de sistemas de gestión. Por eso comparte el mismo esqueleto:

  • Contexto de la organización
  • Liderazgo
  • Planificación
  • Apoyo
  • Operación
  • Evaluación del desempeño
  • Mejora

Todo funciona sobre un ciclo Plan-Do-Check-Act. Es una ventaja si ya opera un sistema de gestión de seguridad de la información. Reutiliza la misma gobernanza, el mismo lenguaje del riesgo y la misma maquinaria de auditoría interna. Acopla la continuidad encima en lugar de levantar una estructura paralela.

El trabajo detrás del certificado

Tres actividades están en el corazón de un programa. Un profesional dedica a ellas la mayor parte de su tiempo, no a la documentación.

Análisis de impacto en el negocio

El BIA identifica sus actividades prioritarias. Determina con qué rapidez debe restablecerse cada una.

Esto es lo que produce los objetivos de tiempo de recuperación. Esos objetivos guían toda decisión posterior. Sin un BIA defendible, su estrategia de continuidad es pura conjetura.

Evaluación de riesgos

Aquí examina qué podría interrumpir esas actividades prioritarias. Algunos ejemplos:

  • Un brote de ransomware
  • El fallo de un proveedor
  • Un centro de datos inundado

Así su estrategia aborda amenazas reales, no una lista de control genérica.

Estrategia y planes de continuidad

Ahora usa el BIA y el panorama de riesgos. Elige cómo proteger y recuperar cada actividad. Luego redacta y dota de recursos los procedimientos que la gente sigue de verdad cuando se apaga todo.

Por qué los reguladores lo señalan cada vez más

ISO 22301 fue en su día una norma discreta de resiliencia operativa. Las organizaciones maduras la adoptaban por elección. Eso ha cambiado.

Los reguladores financieros se apoyan ahora en DORA. Los supervisores hacen cumplir NIS 2. Ambos esperan ya una capacidad de continuidad demostrable para las operaciones críticas. ISO 22301 es la forma más reconocida de evidenciarla.

La norma no nombra ninguna regulación concreta. Pero su disciplina encaja con claridad con lo que esos regímenes exigen:

  • Actividades prioritarias
  • Objetivos de recuperación definidos
  • Planes probados
  • Dependencias mapeadas

Certificarse frente a ella le permite responder a un supervisor con una atestación independiente, no con una autoevaluación.

Cómo se relaciona con ISO 27001

Un punto de confusión habitual es el vínculo con ISO 27001. Son hermanas, no sustitutas.

  • ISO 27001 rige la seguridad de la información. Protege la confidencialidad, la integridad y la disponibilidad de la información.
  • ISO 22301 rige la continuidad. Mantiene el negocio operando durante una interrupción.

La disponibilidad es el puente entre ambas. Una organización seria sobre la resiliencia suele operar las dos. Las certifica juntas para compartir auditorías y revisiones por la dirección.

La continuidad es la respuesta a una pregunta que la seguridad por sí sola no puede resolver. ¿Qué ocurre cuando la prevención falla y aun así tiene que entregar?

Frequently asked questions

01¿Es ISO 22301 una certificación o solo una guía?

Es una norma de requisitos certificable. Un organismo de certificación acreditado puede auditar tu sistema de gestión de la continuidad del negocio conforme a ella y emitir un certificado, que es lo que la hace útil para responder a clientes y reguladores.

02¿Cuál es la diferencia entre ISO 22301 y un plan de recuperación ante desastres?

La recuperación ante desastres trata sobre todo de restaurar los sistemas de TI. ISO 22301 abarca toda la organización, personas, instalaciones, proveedores y procesos, y pregunta si puedes seguir entregando productos y servicios críticos mientras la recuperación técnica está en curso. El DR es un componente de la continuidad, no la totalidad de ella.

03¿Necesito ISO 22301 si ya tengo ISO 27001?

No automáticamente, pero se complementan. ISO 27001 protege la información; ISO 22301 mantiene el negocio en funcionamiento cuando algo falla. Como ambas siguen la misma High-Level Structure, muchas organizaciones las operan y certifican juntas para compartir gobernanza y auditorías.

04¿Cuál es el papel del análisis de impacto en el negocio?

El BIA identifica tus actividades prioritarias y con qué rapidez debe recuperarse cada una. Produce los objetivos de tiempo de recuperación que rigen toda tu estrategia de continuidad, de modo que un BIA sólido es el fundamento de un SGCN creíble.

05¿Exigen DORA o NIS 2 la ISO 22301?

Ninguno nombra la norma, pero ambos esperan una continuidad y una resiliencia operativa demostrables para las actividades críticas. La certificación ISO 22301 es una forma ampliamente reconocida de evidenciar esa capacidad ante un supervisor con un aseguramiento independiente en lugar de una autoevaluación.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.