La dependencia de un proveedor crítico no es un riesgo de seguridad. Es continuidad disfrazada.
Resiliencia y seguridad se solapan. La dependencia de un proveedor crítico revela cuál cubre qué.
ISO 22301:2019 (continuidad de negocio) e ISO/IEC 27001:2022 (seguridad de la información) cubren dimensiones próximas pero distintas. El solapamiento operativo es real: A.5.29 y A.5.30 del Anexo A de 27001 introducen explícitamente continuidad de las TIC. Pero el alcance, la metodología de análisis de impacto y la lógica de pruebas son distintos en cada norma.
En la práctica, organizaciones financieras, sanitarias e infraestructura crítica suelen certificar ambas. La pregunta operativa no es "cuál elegir" sino "qué demuestra cada una sobre el mismo riesgo".
ISO 27001 protege la información (los tres atributos clásicos: CIA). Sus controles del Anexo A cubren acceso, criptografía, seguridad física, gestión de operaciones, adquisición y desarrollo, gestión de incidentes, continuidad de TIC y cumplimiento. La disponibilidad como atributo está cubierta — pero como propiedad de la información, no como capacidad de la organización para sostener su misión bajo disrupción.
ISO 22301 protege la capacidad de la organización para entregar productos y servicios cuando ocurre una disrupción. Su núcleo es el Business Impact Analysis (BIA, cláusula 8.2.2): qué procesos son críticos, en qué horizonte temporal, con qué recursos mínimos, y cómo se recuperan. La lógica es de tiempo de recuperación (RTO) y punto de recuperación (RPO) para procesos de negocio — no solo para sistemas TIC.
Los controles A.5.29 y A.5.30 del Anexo A de 27001:2022 son la zona de mayor solapamiento. A.5.29 obliga a un proceso para la seguridad de la información durante disrupciones; A.5.30 obliga continuidad de las TIC para la continuidad de negocio. Ambos remiten al cuerpo metodológico de ISO 22301 sin reemplazarlo.
En la práctica, organizaciones con ISO 27001 maduro pero sin ISO 22301 suelen tener una capa documental de "plan de continuidad" elaborada para satisfacer A.5.30 pero sin BIA formal, sin pruebas periódicas con criterio de aceptación documentado, sin evidencia de revisión por la dirección sobre el desempeño de continuidad. Cuando ocurre una disrupción real — un proveedor cloud crítico cae, una catástrofe natural impacta el datacenter — la planificación textual no soporta la operación.
Considérese una organización con dependencia operativa total sobre un proveedor cloud crítico para procesamiento de pagos. ISO 27001 evalúa este riesgo bajo A.5.19-A.5.22 (gestión de proveedores). Identifica que la dependencia existe, exige acuerdos contractuales con cláusulas de seguridad, exige seguimiento del cumplimiento. El sistema puede certificarse con esta dependencia gestionada documentalmente.
ISO 22301 evalúa el mismo riesgo bajo cláusula 8.2.2 (BIA) y exige plan de salida o de continuidad alternativa para procesos críticos. Si la organización no puede operar el proceso crítico cuando el proveedor cae — o no tiene plan documentado y probado para hacerlo — el sistema 22301 no se certifica.
La diferencia es jurisdiccional: 27001 puede certificar la gestión del riesgo; 22301 exige resiliencia operativa demostrable. Para una organización financiera, la dependencia sin plan de salida es no conformidad mayor bajo 22301 — y solo observación o no conformidad menor bajo 27001.
Sector financiero regulado: ambas son prácticamente obligatorias bajo marcos como DORA (Digital Operational Resilience Act) en Europa, las comunicaciones BCRA A-7724/A-7783 en Argentina, o equivalentes en otros reguladores. El regulador exige resiliencia operativa demostrable que va más allá de la confidencialidad/integridad/disponibilidad de los datos.
Salud digital con criticidad de servicio: ISO 27001 protege información sensible; ISO 22301 protege la capacidad de operar. Un hospital con datos protegidos pero sin plan de continuidad ante caída de su sistema de historia clínica electrónica no es un sistema resiliente.
Infraestructura crítica EU bajo NIS2: continuidad operativa demostrable es obligatoria. La certificación 22301 es un vehículo razonable.
Para organizaciones sin requisito regulatorio externo, certificar ambas puede ser sobre-inversión. ISO 27001 + un plan de continuidad documentado que cumpla A.5.29-A.5.30 alcanza para la mayoría de los casos hasta que el negocio escale.
| Dimensión | ISO 22301:2019 | ISO/IEC 27001:2022 |
|---|---|---|
| Objeto | Capacidad de operar bajo disrupción | Confidencialidad/integridad/disponibilidad de información |
| Métrica primaria | RTO + RPO por proceso | No conformidades de seguridad |
| Análisis nuclear | BIA (Business Impact Analysis) | Análisis de riesgo de información |
| Pruebas obligatorias | Sí (cláusula 8.5) — periódicas con criterio | No explícitamente periódicas con criterio |
| Proveedor crítico | Plan de salida o continuidad alternativa | Gestión documental + seguimiento |
| Cobertura de disrupción no-TIC | Sí (catástrofe física, pandemia, huelga) | Limitada |
| Solapamiento estimado | ~30% con 27001 | ~30% con 22301 (A.5.29-A.5.30) |
| Audiencia regulatoria primaria | DORA, BCRA, NIS2, FDIC | GDPR, NIS2, marco federal US |
Banco mediano regulado bajo BCRA o equivalente LATAM
ISO 22301 + ISO 27001 ambas certificadas. SGI con BIA único alimentando ambos sistemas.
Tecnológica SaaS con clientes financieros
ISO 27001 primero. ISO 22301 cuando los clientes regulados lo pidan.
Operador de infraestructura crítica EU bajo NIS2
Ambas, integradas en SGI. ISO 22301 prioritaria por requisito regulatorio.
PyME tecnológica sin clientes regulados
ISO 27001 + plan de continuidad documentado (A.5.30 cumplido). ISO 22301 cuando el escalamiento del negocio lo justifique.
La pregunta correcta no es cuál norma "es más completa". Es cuál demuestra qué tipo de capacidad a qué interlocutor. Una organización financiera con clientes corporativos no puede sostener una conversación de resiliencia operativa con solo ISO 27001 — independientemente de cuán maduro sea su SGSI. Y una organización tecnológica B2B sin clientes regulados rara vez justifica el costo marginal de certificar 22301.
Una evaluación preliminar independiente — bajo criterio ISO 19011, sin venta de implementación ni de certificación — clarifica qué demuestra cada esquema para su caso real.
Solicitar diagnóstico