Auditoria ISO 22301 — Sistema de Gestion de Continuidad de Negocio
Evaluacion de la capacidad de resiliencia y recuperacion ante disrupciones criticas.
ISO 22301:2019 establece los requisitos para un sistema de gestion de continuidad de negocio, pero la norma se malinterpreta con frecuencia. No se trata de tener un documento PDF con pasos de recuperacion — se trata de demostrar con evidencia que la organizacion puede activar, ejecutar y sostener esos planes bajo condiciones reales de estres. Los tres hallazgos mas comunes en auditorias de continuidad son: BIA desactualizado (con supuestos de impacto que no reflejan la operacion actual), planes de recuperacion nunca probados en ejercicio completo, y tiempos de recuperacion objetivo (RTO) que no coinciden con las capacidades tecnicas reales. Una interrupcion no probada cuesta en promedio entre USD 300K y USD 1.2M dependiendo del sector. La evaluacion mide la distancia entre los compromisos documentados y la capacidad operativa real de respuesta.
Entregables
Evaluacion de BIA
Revision del analisis de impacto en el negocio y sus supuestos.
Auditoria de planes de recuperacion
Verificacion de planes por proceso critico y prueba de viabilidad.
Informe de resiliencia
Evaluacion de la capacidad de respuesta y tiempos de recuperacion.
Flujo de Intervención
Analisis de contexto
Revision del alcance, partes interesadas y procesos criticos.
Prueba de estres
Simulacion de escenarios de interrupcion y evaluacion de respuesta.
Entrega de resultados
Informe con hallazgos, brechas y plan de mejora priorizado.
Consultas Técnicas
No es un requisito normativo, pero las normas comparten la misma estructura de alto nivel (Anexo SL) y se complementan en la practica. ISO 27001 protege la informacion; ISO 22301 asegura que la operacion se recupere cuando un incidente la interrumpe. Organizaciones que adoptan ambas de forma integrada reducen la duplicidad de controles en un 30-40% y presentan un sistema auditable mas coherente ante el organismo certificador. El diagnostico permite evaluar ambas normas en paralelo si la organizacion lo requiere.
Si. La clausula 8.5 de ISO 22301 exige que la organizacion realice ejercicios y pruebas de los planes a intervalos planificados y cuando ocurran cambios significativos. La ausencia de pruebas documentadas constituye una no conformidad mayor porque no existe evidencia de que los planes funcionen. Mas alla del hallazgo normativo, el riesgo real es operativo: un plan no probado es una hipotesis, no una capacidad. La evaluacion incluye un ejercicio de simulacion que permite medir tiempos de respuesta reales contra los RTO comprometidos.
Fernando Arrieta ofrece servicios de evaluacion, diagnostico y orientacion metodologica para sistemas de gestion. Estas actividades son independientes del proceso de certificacion, el cual es realizado exclusivamente por organismos de certificacion acreditados.