Fernando ArrietaPresidente · International Accreditation Center

Área de práctica · Pilar 04

Continuidad del negocio.

ISO 22301 aplicada de verdad: planes que funcionan cuando se necesitan, no que existen en el armario para la auditoría.

La continuidad del negocio es la prueba más honesta de cualquier sistema de gestión. Mientras todo funciona, conformidad y calidad son indistinguibles. Cuando algo se rompe — un ciberataque, un blackout regional, una caída de proveedor crítico, una pandemia — se ve si la organización tiene un plan que funciona o un plan que existe.

1. El problema técnico: planes que existen pero no funcionan

El error más común en sistemas certificados ISO 22301 que vi en los últimos diez años no es la falta de plan. Es el plan ficticio. Un plan ficticio cumple los requisitos formales de la norma — está escrito, está aprobado, está revisado anualmente, hay simulacros documentados — y no funciona cuando se necesita.

El plan ficticio tiene cinco rasgos identificables. Si encontrás los cinco en tu propia organización, no tenés continuidad: tenés trámite.

  1. Los simulacros se programan con fecha conocida.
  2. El personal sabe que es simulacro antes de empezar.
  3. Los proveedores críticos no participan en los simulacros.
  4. El plan no se ha activado nunca en operación real.
  5. Los responsables firmados en el plan ya no trabajan en esos puestos.

Cualquiera de los cinco invalida el plan. Los cinco juntos certifican que la auditoría que firmó conformidad no auditó el plan: auditó el documento que describe el plan.

La conformidad documental de un plan de continuidad no es continuidad. Es la promesa documental de que algún día, si la organización quiere, podría ser continuidad.

2. ISO 22301 leída en serio

La norma ISO 22301:2019 es buena. Está bien estructurada, integra con ISO 27001 y con ISO 9001 vía el Anexo SL, y cubre los elementos correctos: análisis de impacto al negocio (BIA), evaluación de riesgo, estrategias de continuidad, planes operativos, ensayos, mejora continua.

Lo que la norma no puede hacer por la organización son cinco cosas que solo se aprenden en operación o en auditoría seria.

Distinguir tiempos de recuperación verdaderos de declarados. El RTO (Recovery Time Objective) que figura en el plan suele ser aspiracional. El RTO real se mide en el último incidente que tuvo la organización, no en la fórmula del BIA.

Identificar interdependencias ocultas. El BIA típico mapea procesos. No mapea infraestructura compartida — una red de almacenamiento que sostiene 12 procesos teóricamente independientes. La auditoría seria busca interdependencias ocultas; el trámite, no.

Probar al personal real bajo presión real. Un simulacro con fecha y nombre asignado prueba lo planificado. Un test sin previo aviso, en horario crítico, con personal real, prueba lo que efectivamente sucede.

Auditar al proveedor crítico, no solo al contrato. Si tu plan asume que el datacenter va a estar disponible 99.99% del tiempo, ¿auditaste el datacenter o aceptaste su certificado?

Reconocer riesgos sin plan posible. Hay riesgos para los que no hay plan. Una guerra regional que corta toda la cadena de suministro. Un colapso del proveedor único de un componente esencial. Reconocerlo en la BIA es mejor que inventar un plan que no se va a sostener.

3. Qué audito cuando audito continuidad

Una auditoría de continuidad seria tiene siete preguntas operativas. Las uso en cada auditoría 22301 que firmo bajo el IAC.

  1. ¿Cuándo fue la última vez que se activó un plan de continuidad en operación real, no en simulacro?
  2. ¿Los responsables firmados en el plan siguen en sus puestos, y conocen el plan al detalle?
  3. ¿Cuántos proveedores críticos participaron del último simulacro y qué se aprendió?
  4. ¿El RTO declarado en el BIA es consistente con los tiempos de recuperación de incidentes pasados?
  5. ¿Hay interdependencias técnicas ocultas que la BIA no mapeó (red común, datacenter común, proveedor común)?
  6. ¿Hay escenarios identificados sin plan posible, y la organización los reconoce abiertamente?
  7. ¿La cadena de mando bajo crisis es la misma que la cadena de mando bajo operación normal, o cambia?

Cuando la organización responde las siete con evidencia operativa, su plan funciona. Cuando responde las siete con referencias al documento del plan, su plan no funciona.

4. Continuidad en sectores donde el error no se paga dos veces

La continuidad del negocio tiene gravedad distinta según el sector. En consultoría profesional, un incidente de tres horas es molestia. En infraestructura crítica, son consecuencias regulatorias, sanciones, daño público.

Estos son los sectores donde aplico el marco con foco específico, en intersección con el pilar de Auditoría de infraestructura crítica:

Energía. RTO objetivo del orden de minutos para servicios esenciales. Plan tiene que sostener carga durante un cyberataque coordinado y durante eventos físicos extremos.

Salud. Continuidad del servicio asistencial. Sistemas de imagenología, registros clínicos, abastecimiento de insumos. RTO objetivo cero para servicios vitales.

Financiero tier 1. Continuidad de servicios de pago, mercados, custodia. RTO objetivo del orden de minutos, con obligaciones regulatorias específicas del Banco Central de cada jurisdicción.

Transporte. Continuidad de operación de aeropuertos, puertos, ferrocarriles, redes viales concesionadas. Coordinación con autoridad regulatoria sectorial en tiempo real durante incidente.

Agua y saneamiento. Continuidad de servicios esenciales. Plan tiene que sostener el suministro durante incidente prolongado (semanas, no horas).

5. La relación con ciberseguridad

Hoy, la mayoría de los activadores de un plan de continuidad son ciberseguridad. Ransomware, ataques DDoS, compromiso de cadena de suministro digital. Por eso ISO 22301 se audita en conjunto con ISO 27001 prácticamente siempre. Continuidad sin ciberseguridad operativa hoy es plan teórico.

El acoplamiento técnico es directo: lo que ISO 27001 llama "control 17 / Continuity in information security" es el puente entre los dos sistemas. En la práctica, audito ambos sistemas como uno solo en operadores críticos. Sobre ciberseguridad específicamente, ver Ciberseguridad y transparencia.

6. Lo que un board debe poder responder sobre continuidad

Si dirigís un board, hay tres preguntas que un regulador (Banco Central, agencia sectorial, autoridad de protección de datos) puede hacerte sobre continuidad en cualquier momento.

¿Cuál es nuestro tiempo de recuperación demostrado, no declarado?

¿Qué incidentes de continuidad significativos tuvimos en los últimos 36 meses y qué aprendimos?

¿Cuáles son los tres escenarios que nuestra organización no puede sobrevivir y cómo los estamos mitigando?

Tres preguntas. Si las puede responder con evidencia, hay continuidad. Si las responde con referencia al plan documental, hay trámite.

7. Cómo se contrata una auditoría de continuidad

Las auditorías formales sobre ISO 22301, combinadas con ISO 27001 cuando aplica, se contratan a través del International Accreditation Center. La cobertura internacional del IAC incluye continuidad del negocio como una de las normas operadas dentro de las diez normas ISO de su Agreement vigente.

Para contratar

Auditoría 22301 vía IAC.

Ir a accreditationcenter.org →

Lecturas relacionadas

Pilares y doctrina del marco.

P · 02

Auditoría de infraestructura crítica

Leer → P · 06

Ciberseguridad y transparencia

Leer → P · 03

Asesoría al C-suite

Leer → D · 04

Doctrina · Ciclos limpios

Leer →