Guia

Cómo implementar un SGCN con ISO 22301

Guía para implementar un Sistema de Gestión de Continuidad de Negocio (SGCN) conforme a ISO 22301. BIA, estrategias de continuidad, planes y ejercicios.

ISO 22301 establece los requisitos para un Sistema de Gestión de Continuidad de Negocio (SGCN). Permite a la organización prepararse, responder y recuperarse de interrupciones que afecten sus operaciones críticas.

Paso a paso

Realizar el Análisis de Impacto en el Negocio (BIA)

Identificá las actividades críticas de la organización, sus dependencias y el impacto de su interrupción en el tiempo. Definí el MTPD (tiempo máximo tolerable de interrupción) y el RTO (objetivo de tiempo de recuperación) para cada actividad.

Consejo de auditor: El BIA debe hacerlo con los dueños de proceso, no con TI sola. La criticidad la define el negocio, no la tecnología. Un proceso manual puede ser más crítico que uno automatizado.

Evaluar riesgos de interrupción

Identificá las amenazas que pueden interrumpir las actividades críticas: ciberataques, desastres naturales, fallas de proveedores, pandemias. Evaluá probabilidad e impacto para priorizar el tratamiento.

Consejo de auditor: No te limites a riesgos obvios. La cadena de suministro es la fuente de interrupción más subestimada. Mapeá la dependencia de proveedores críticos y sus propios planes de continuidad.

Definir estrategias de continuidad

Para cada actividad crítica, definí cómo mantener la operación durante una interrupción. Las estrategias pueden incluir sitios alternativos, redundancia de sistemas, proveedores de respaldo y trabajo remoto.

Consejo de auditor: Cada estrategia tiene un costo. Presentá a la dirección el costo de la estrategia vs. el costo estimado de la interrupción sin plan. Eso facilita la aprobación de presupuesto.

Desarrollar planes de continuidad y respuesta a incidentes

Documentá los procedimientos de respuesta, activación, operación en contingencia y recuperación. Incluí roles, contactos de emergencia, árboles de comunicación y criterios de activación.

Consejo de auditor: El plan debe ser usable bajo presión. Si tiene más de 20 páginas, nadie lo va a leer en una crisis. Usá checklists y diagramas de flujo, no narrativas extensas.

Ejecutar ejercicios y pruebas

Realizá ejercicios periódicos (de escritorio, simulaciones y pruebas reales) para validar que los planes funcionan. Documentá los resultados, las lecciones aprendidas y las mejoras identificadas.

Consejo de auditor: Empezá con ejercicios de escritorio (bajo costo, bajo riesgo) y avanzá hacia simulaciones más complejas. Un ejercicio que nunca se hizo es un plan que nunca se probó.

Integrar la mejora continua

Usá los resultados de ejercicios, incidentes reales y auditorías internas para actualizar los planes y las estrategias. La revisión por la dirección debe evaluar la eficacia del SGCN al menos anualmente.

Consejo de auditor: Después de cada incidente real, hacé un análisis post-incidente formal. Los incidentes reales son la mejor fuente de mejora, pero solo si se documentan y analizan.

Puntos clave

El BIA es el corazón del SGCN: sin él, las estrategias de continuidad carecen de fundamento.
Un plan de continuidad que no se prueba con ejercicios es solo un documento: no protege a la organización.
La cadena de suministro es el eslabón más frágil en la mayoría de las organizaciones. Evaluá la continuidad de tus proveedores críticos.
Los planes deben ser concisos y accionables. En una crisis, nadie lee manuales de 50 páginas.

Preguntas frecuentes

El DRP (Disaster Recovery Plan) se enfoca en la recuperación de TI. El BCP (Business Continuity Plan) abarca toda la operación del negocio, incluyendo personas, procesos e instalaciones. El DRP es un componente del BCP.

Como mínimo anualmente, pero lo recomendable es semestralmente para actividades críticas. Después de cambios significativos en la organización, infraestructura o proveedores, se requiere un ejercicio adicional.

Sí. Ambas comparten la estructura de alto nivel (HLS) y ISO 27001 incluye controles de continuidad en su Anexo A (A.5.29 y A.5.30). La integración reduce duplicación documental y de esfuerzo.

Acompanamiento profesional en tu implementacion

Diagnostico en 72 horas operativas. Metodologia ISO. Sin vinculacion con certificadores.

Solicitar diagnostico

Loading content…

Puntos clave

El BIA es el corazón del SGCN: sin él, las estrategias de continuidad carecen de fundamento.

Un plan de continuidad que no se prueba con ejercicios es solo un documento: no protege a la organización.

La cadena de suministro es el eslabón más frágil en la mayoría de las organizaciones. Evaluá la continuidad de tus proveedores críticos.

Los planes deben ser concisos y accionables. En una crisis, nadie lee manuales de 50 páginas.

Preguntas frecuentes

Sí. Ambas comparten la estructura de alto nivel (HLS) y ISO 27001 incluye controles de continuidad en su Anexo A (A.5.29 y A.5.30). La integración reduce duplicación documental y de esfuerzo.