Servicios de consultoría y asesoría

¡Hola!, te compartimos el artículo de: Febrero, 2026

Lecciones aprendidas de la ISO 22301: BIA y RA
Por David Mondragón Tapia

Antecedentes

Del año 2019 a la fecha, durante mi colaboración como consultor con diversas organizaciones en proyectos para la implementación y certificación de algunos sistemas de gestión basados en normas internacionales ISO (ej. ISO 27001 ó ISO 22301), pude notar que la idea inicial o los resultados iniciales que tenían u obtenían las organizaciones que servía, respecto a la capacidad real para ofrecer “continuidad del negocio”, mostraban diferentes áreas de oportunidad con el fin de alcanzar un mayor nivel de efectividad. 

La actividad de enseñanza de las normas ISO, me ha dejado claro que para leer e interpretar de manera “adecuada” una norma ISO certificable, se requiere saber o mostrar al menos cuatro características esenciales para mí, que son:

  1. el uso de las “formas verbales (ej. “debe o shall”),
  2. el tema de especialización de la norma (ej. continuidad del negocio),
  3. el uso de las guías de implementación aplicables a la norma  y
  4. un poco de sentido común e imaginación.

En mi opinión, la ausencia de alguna de estas cuatro características generalmente lleva a una lectura e interpretación deficiente, insuficiente o sesgada de la norma, sus conceptos, requisitos y/o lineamientos.  Y como consecuencia de lo anterior, las organizaciones pueden tener en el “papel”, planes y procedimientos de continuidad del negocio suficientes para recuperar las actividades prioritarias o críticas.

La gestión de la continuidad del negocio

Para adquirir una idea más amplia de lo que implica el concepto: “continuidad del negocio”, “planes de continuidad del negocio (BCP, por sus siglas en inglés)” y “gestión de la continuidad del negocio”, es importante retomar primero las definiciones siguientes:

  • Continuidad del negocio: es la capacidad de la organización para continuar con la entrega de productos y servicios, dentro de periodos de tiempo aceptables, a una capacidad predefinida, durante un evento disruptivo.
  • Planes de continuidad del negocio: es la información documentada que orienta a una organización para responder a un evento disruptivo, reanudar, recuperar y restaurar la entrega de productos y servicios, de manera que sea consistente con sus objetivos de continuidad del negocio.
  • Gestión de la continuidad del negocio: es el proceso de implementación y mantenimiento de la continuidad del negocio.

La norma internacional ISO/IEC 22301:2019, establece los requisitos necesarios para implementar y mantener un Sistema de Gestión de Continuidad del Negocio (SGCN), mismo que faculta a las organizaciones para desarrollar capacidades en materia de continuidad del negocio, que resulten adecuadas a la cantidad y tipo de impactos que pueden o no aceptar, después de experimentar un evento disruptivo (emergencia o desastre). Así pues la norma define los requisitos para establecer, implementar, mantener y mejorar continuamente un SGCN que sirva para: protegerse contra, reducir la probabilidad de ocurrencia de, prepararse para, responder ante y recuperarse de los eventos disruptivos cuando éstos se presenten. Tales requisitos son aplicables a cualquier tipo y tamaño de organización, siempre que esté buscando lo siguiente:

  1. Saber cómo responder ante un evento disruptivo y ser capaz de continuar con la entrega de sus productos y servicios.
  2. Evaluar la capacidad de la organización para cumplir sus propias necesidades y obligaciones en materia de continuidad del negocio.
  3. Mejorar su capacidad de recuperación, antes y después de un evento disruptivo.
  4. Implementar y certificar un SGCN.

De lo anterior, cabe destacar que la continuidad del negocio busca garantizar la entrega de productos y servicios, cuando se presenta un evento disruptivo que interrumpe la operación normal, a partir de garantizar la continuidad de las actividades prioritarias para esto, incluyendo los recursos necesarios.

ISO 22301: el Sistema de Gestión de Continuidad del Negocio

Como ya se indicó anteriormente, la norma ISO 22301 establece una serie de requisitos para implementar y certificar un Sistema de Gestión de Continuidad del Negocio o SGCN. De estos requisitos, algunos están dirigidos hacia las partes correspondientes al sistema de gestión ISO (ej. sección 4. Contexto de la organización ó 10. Mejora) y otros hacia las actividades especializadas para llevar a cabo una gestión de la continuidad del negocio (ej. sección 8. Operación).

De todo el conjunto de requisitos que se debe acreditar para certificar la norma ISO 22301, pero sobre todo para operar eficazmente el Sistema de Gestión de Continuidad del Negocio, se puede destacar la implementación de los aspectos claves siguientes:

  • El alcance aplicable a los productos y servicios, así como a los procesos prioritarios, asegurando niveles de servicio mínimos aceptables.
  • Las obligaciones legales, regulatorias y/o contractuales aplicables en materia de continuidad del negocio (compliance).
  • Una política de continuidad del negocio alineada a la estrategia organizacional.
  • Roles y responsabilidades especializados en continuidad del negocio.
  • La realización y mantenimiento del Análisis de Impacto al Negocio (BIA, por sus siglas en inglés) y la Valoración de Riesgos (RA, por sus siglas en inglés).
  • Estrategias y soluciones de continuidad del negocio de acuerdo con los resultados del BIA y el RA.
  • Planes y procedimientos de continuidad del negocio, de acuerdo con las estrategias y soluciones seleccionadas.
  • Ejercicios y pruebas de la continuidad del negocio.
  • Y por último, la medición, auditoría, revisión, corrección y mejora continua del SGCN.

De todo lo anterior, cabe destacar nuevamente que la clave para elaborar, operar y mantener planes y procedimientos de continuidad del negocio adecuados para la organización, son la selección de las estrategias y soluciones de continuidad del negocio ad-hoc, mismas que tienen su sustento en los resultados obtenidos del BIA y el RA.

Claves para el BIA y el RA

De acuerdo con la subsección 8.2 Análisis de impacto al negocio y evaluación de riesgos, dentro de la norma ISO 22301, el Análisis de impacto al negocio o BIA debe servir para establecer las actividades prioritarias, los requisitos de continuidad del negocio y los recursos necesarios. Todo lo anterior es posible, a partir de definir los productos y servicios para los que se planea ofrecer continuidad del negocio, analizando el impacto al negocio en el tiempo por la presencia de un evento disruptivo. Para la elaboración del BIA, la norma 22301 propone la integración y manejo de la información siguiente:

  • Los productos y servicios a analizar.
  • Las actividades necesarias para la provisión de los productos y servicios.
  • Los tipos de impactos y criterios para evaluar los impactos en el tiempo del evento disruptivo.
  • Los periodos de tiempo aceptables (ej. RTO y MTPD) y las capacidades mínimas específicas aceptables (ej. MBCO) para recuperar las actividades de los productos y servicios.

De acuerdo con la misma subsección 8.3, la Evaluación de riegos o RA debe servir para identificar los escenarios de riesgo relevantes, para las actividades prioritarias y sus recursos implicados, así como los riesgos que requieran tratamiento. Todo lo anterior es posible, a partir de identificar las actividades prioritarias y sus recursos necesarios, para seguir entregando los productos y servicios previamente definidos. Para la elaboración del RA, la norma 22301 propone la integración y manejo de la información siguiente:

  • Las actividades prioritarias y sus recursos necesarios, de acuerdo con el BIA.
  • El método para identificar los escenarios de riesgo (ej. amenazas) de las actividades prioritarias y sus recursos.
  • El método para analizar y evaluar los riesgos identificados (ej. criterios de evaluación).
  • Las opciones y medidas de tratamiento para los riesgos evaluados que así lo requieran (ej. mitigar o transferir).

Lo anterior, permite destacar claramente la dependencia y complementación que debe haber entre el BIA y el RA, con el fin de seleccionar posteriormente las estrategias y soluciones de continuidad del negocio ad-hoc para la organización, para lo que solamente faltará agregar la información referente a los requisitos de continuidad del negocio (ej. RTO, RPO, MBCO, etc.).

Conclusión final: lecciones aprendidas

Finalmente podemos decir que las lecciones aprendidas, obtenidas de estos poco más de 6 años de experiencias -en el caso de la norma ISO 22301 y la continuidad del negocio-, nos han dejado lo siguiente:

  1. Para leer e interpretar de manera “adecuada” una norma ISO certificable, se requiere saber o mostrar cuatro características esenciales: “formas verbales”, tema de especialización, guías de implementación y sentido común.
  2. La continuidad del negocio garantiza la entrega de productos y servicios, ante la presencia de un evento disruptivo que interrumpe la operación normal.
  3. Tener planes y procedimientos de continuidad del negocio, adecuados y efectivos para la organización, depende de la selección correcta de estrategias y soluciones de continuidad del negocio.
  4. Las estrategias y soluciones de continuidad del negocio ad-hoc para la organización, tienen su sustento en el BIA y el RA.
  5. Existe una fuerte dependencia y complementación entre los resultados del BIA y el RA.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a desarrollar la continuidad del negocio de tu organización, ¡escríbenos, será un gusto platicar contigo y apoyarte en este reto!

Referencias y/o consultas

1. International standard ISO 22301:2019. Security and resilience - Business continuity management systems – Requirements. 2nd Edition, 10-2019.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.