ISO 22301:2019 Security and resilience – Business continuity management systems –

Requirements es el estándar internacional certificable publicado por la Organización

Internacional de Normalización (ISO) que describe cómo gestionar la continuidad del
negocio. Con la certificación las empresas interesadas podrán demostrar su cumplimiento a
sus clientes, socios, entidades reguladoras, empleados, y otras partes interesadas, pero lo
mas importante es que incluso sin la certificación, las empresas que se alinean con la norma
ISO 22301 adquieren nuevas capacidades para la recuperación oportuna ante desastres
graves futuros, lo que agrega mayor valor para sus clientes, en comparación con sus
competidores que no han adoptado mejores practicas.

La nueva versión no incluye cambios dramáticos, pero si una mejora relevante que incluye
más flexibilidad y menos prescripción.

¿Cómo funciona ISO 22301:2019?

Ante la ocurrencia de eventos disruptivos (ataques, desastres naturales, conmoción social,
sabotaje, accidentes, etc.), se debe priorizar en base al calculo de las perdidas esperadas
(análisis de impacto en el negocio), qué escenarios disruptivos potenciales pueden afectar
las operaciones del negocio (evaluación de riesgos), definiendo lo que se debe hacer para
evitar que ocurran tales eventos y después cómo recuperar las operaciones mínimas y
normales en el menor tiempo posible (mitigación de riesgos o tratamiento de riesgos).

ISO 22301:2019 exige la existencia de un Sistema de Gestion de la Continuidad del

Negocio (BCMS -Business Continuity Management System) que debe concentrarse en
analizar los impactos contra las líneas de negocio y gestionar los riesgos: descubrir qué
actividades del negocio y administrativas son más críticas y qué riesgos / amenazas pueden
afectarlas; y luego tratar sistemáticamente esos riesgos.

Las estrategias y soluciones que se implementarán generalmente son políticas,

procedimientos, roles y responsabilidades, datos e información, componentes técnicos /
físicos (instalaciones, software, equipos, planes, recursos técnicos -especialistas); todas
estas tareas se combinan inteligentemente en la elaboración de Planes de Continuidad del
Negocio, Planes de Contingencia departamentales (geográficos, especializados como
Epidemias), Planes de Recuperación de Desastres (DRPs), entre otros.

En ISO 22301:2019 se plantea cómo combinar estructuradamente todos estos elementos en

el Sistema de Gestión de la Continuidad del Negocio (BCMS).

Contenido de ISO 22301:2019

Son 10 secciones. las secciones 4 a 10 son obligatorias y estan alineadas al ciclo PDCA,
todos sus requisitos deben implementarse para cumplir con el estándar. El estándar incluye
estas secciones:
4. Contexto de la organización: define los requisitos para comprender los problemas
externos e internos, las partes interesadas y sus requisitos, y define el alcance del BCMS.

 4.1 Comprensión de la organización y su contexto.

 4.2 Comprender las necesidades y expectativas de las partes interesadas.

 4.3 Determinar el alcance del sistema de gestión de continuidad del negocio.

 4.4 Sistema de gestión de la continuidad del negocio.

5. Liderazgo: define las responsabilidades de la alta dirección, estableciendo los roles,

responsabilidades y autoridades, y los contenidos de la política de continuidad del negocio
de alto nivel.

 5.1 Liderazgo y compromiso.

 5.2 Política.

 5.3 Roles, responsabilidades y autoridades.

6. Planificación: define los requisitos para abordar riesgos y oportunidades, establecer los
objetivos de continuidad del negocio y planificar cambios en el BCMS.

 6.1 Acciones para abordar riesgos y oportunidades.

 6.2 Objetivos de continuidad del negocio y planes para alcanzarlos.

 6.3 Planificación de cambios en el sistema de gestión de continuidad del negocio.

7. Soporte: define los requisitos de disponibilidad de recursos, competencias,

conocimiento, comunicación y control de documentos y registros.

 7.1 Recursos.

 7.2 Competencia.

 7.3 Conciencia.

 7.4 Comunicación.

 7.5 Información documentada.

8. Operación: define la implementación de análisis de impacto en el negocio, evaluación y

tratamiento de riesgos, estrategias de continuidad del negocio, soluciones, planes y
procedimientos, programa de ejercicios (pruebas) y evaluación de la documentación, y
capacidades de continuidad del negocio para lograr los objetivos de continuidad del
negocio.

 8.1 Planificación y control operacional.

8.2 Análisis de impacto en el negocio y evaluación de riesgos.

 8.3 Estrategias y soluciones de continuidad en el negocio.

 8.4 Planes y procedimientos de continuidad en el negocio.

 8.5 Programa de ejercicios.

 8.6 Evaluación de la documentación y las capacidades de continuidad del negocio.

9. Evaluación del desempeño: define los requisitos de monitoreo, medición, análisis,

evaluación, auditoría interna y revisión de la administración.

 9.1 Monitoreo, medición, análisis y evaluación.

 9.2 Auditoría interna.

 9.3 Revisión de la gerencia.

10. Mejora: define los requisitos para no conformidades, correcciones, acciones correctivas
y mejora continua.

 10.1 No conformidad y acción correctiva.

 10.2 Mejora continua.

Cambios Realizados

Nombre de la norma. Ha pasado de «Societal security Business continuity management

systems Requirements» a «Security and resilience Business continuity management
systems -Requirements».

Entre los cambios a DEFINICIONES tenemos:

En la cláusula 3 "Términos y definiciones", se modificaron, redefinieron, eliminaron y

agregaron varios términos. Los principales cambios incluyen:

 ELIMINACION de los términos BCM (por fin !!!), BCP, invocación, MAO.
 REDEFINICION del termino BCMS.
En la versión de 2012, “apetito por el riesgo” se definió como la “cantidad y tipo de riesgo
que una organización está dispuesta a perseguir o retener”. La versión 2019 elimina el
término. El “apetito por el riesgo” no solo es un tema subjetivo, sino que, en última
instancia, también es irrelevante: lo que importa no es el riesgo que una organización está
dispuesta a asumir, sino el nivel en el que el impacto de no reanudar las actividades sería
inaceptable para una organización.

Los términos y definiciones se actualizaron para incluir la Plataforma de navegación en

línea ISO y la Electropedia IEC; plataformas de información basadas en la web.

En cuanto a cambios en CONTEXTO DE LA ORGANIZACIÓN:

Se reducen requisitos a lo esencial para BCM. La nueva versión 2019 establece la

necesidad de definir y determinar simplemente problemas externos e internos de la empresa
y su contexto, pero sin especificar lo que esto conlleva. No dice que elementos tener en
cuenta, ni incluye requisitos a documentar para este proceso.

En cuanto a cambios en LIDERAZGO:

La cláusula 5 sobre Liderazgo fue recortada -participación de la alta dirección (5.2). Alta
dirección concentrada en lo necesario.

Aunque en la versión anterior se requería una participación activa en el ejercicio y la

prueba y todas las etapas, la nueva versión es más pragmática y se enfoca en lo que es
realmente necesario para mantener el sistema de gestión. 

En cuanto a cambios en PLANIFICACION Y SOPORTE.

Se mejoró la cláusula 6 sobre Planificación, concentrándose en los objetivos de continuidad

del negocio y la planificación para lograrlos.

La cláusula 7 sobre Soporte fue simplificada.

En cuanto a cambios en OPERACION.

La Cláusula 8 (Operación) aborda el núcleo de la continuidad del negocio. La estructura de

las sub-cláusulas no se modificó mucho, se mejoraron las nuevas adiciones al contenido.

La Sección 8.2.2 sobre Análisis de impacto en el negocio (BIA) ahora estipula que el BIA
debe definir los tipos de impacto y los criterios relevantes como punto de partida. Si bien
muchas organizaciones ya definen tipos de impacto en su BIA, la versión 2019 lo hace
obligatorio.

En la Sección 8.3 se ha cambiado el nombre “Estrategia de Continuidad de Negocios” a

“Estrategias y Soluciones de Continuidad de Negocios”. Demuestra pragmatismo con el
interés en encontrar estrategias y soluciones para posibles impactos o riesgos específicos
(en 8.3.2) , en lugar de concentrarse en desarrollar una gran estrategia para garantizar la
continuidad.

La cláusula 8.4 (anteriormente denominada "Establecer e implementar procedimientos de

continuidad de negocios") ha sido renombrada a "Planes y procedimientos de continuidad
de negocios", concentrándose en la "Estructura de respuesta" (8.4.2), "Advertencia y
comunicación" (8.4.3), "Planes de continuidad de negocio” (8.4.4) y “Recuperación”
(8.4.5).

Una sub-cláusula sobre "Programa de ejercicios" (8.5) reemplaza la sub-cláusula

anteriormente llamada "Ejercicio y prueba".

En cuanto a cambios en MEJORAMIENTO.

La cláusula 9 sobre "Evaluación del desempeño y la cláusula 10 " Mejora " se simplifico,
considerando los nuevos requisitos para alinearse con todas las normas de sistema de
gestión de ISO.

Cronología y transición

 Más de 4600 empresas tienen un certificado ISO 22301 (hasta 2019).

 Habrá un período de transición de tres años. Todos los certificados en la versión
2012 perderían su validez en el 2022.
 No hay cambios estructurales importantes, lo que facilita la transición para las
empresas que ya dispongan de la certificación. 

Si tienen consultas, necesidades de capacitación o asesoría, escríbanme a

jolaya@espol.edu.ec, a sus ordenes.

Keywords: #ISO22301 #disasterrecovery #riesgos #transformaciondigital

#continuidadnegocio #gestionderiesgos #RiesgoOperativo 22301:2019, 24762, Resilience,
Continuidad, Sostenibilidad, #Seguridad, 22301, 22313, 22398, 22317, NIST

Referencias:

•Construir / Implementar un Plan de Continuidad del Negocio y un BCMS que funcionen

https://www.linkedin.com/pulse/construir-implementar-un-plan-de-continuidad-del-y-
olaya-t-phd

•Cronología de las Normas, Marcos, Estándares, Modelos : Ultimas Décadas – Resumen de

Jorge E.Olaya T. https://www.linkedin.com/pulse/cronolog%C3%ADa-de-las-normas-
marcos-est%C3%A1ndares-modelos-olaya-t-phd/

•https://advisera.com/27001academy/what-is-iso-22301/
•ITIL 4 (2019) y la Co-Creación de Valor con 34 prácticas de Gestión de Servicios
https://lnkd.in/exrpGhz

•Lo que no debe hacer al implementar con la Norma ISO 22301 para Continuidad del
Negocio http://noen22301.blogspot.com/

•Gestion de Riesgos combinando Business Analytics y herramientas de Business

Intelligence https://www.amazon.com/dp/B01MYM3WP6

•ISO 22301:2019 ¿Qué cambiará? PECB https://insights.pecb.com/iso-22301-revision-

changes/ 

•https://info.advisera.com/27001academy/free-download/project-checklist-for-iso-22301-
implementation

•Ciclo de Vida actualizado de la Gestión de Proyectos

https://www.linkedin.com/pulse/ciclo-de-vida-actualizado-la-gesti%25C3%25B3n-
proyectos-jorge-e-olaya-t-phd

•COSO ERM 2017 establece un antes y un después en la Gestión de Riesgos, tal como
ocurrió con COSO ERM 2004 https://www.linkedin.com/pulse/coso-erm-2017-establece-
un-antes-y-despu%C3%A9s-en-la-de-olaya-t-phd?published=t 

•https://info.advisera.com/27001academy/free-download/checklist-of-iso22301-mandatory-
documentation

•ISO Tools https://www.isotools.org/2019/02/26/gestion-de-continuidad-del-negocio-

revision-de-iso-22301/ 

•Estrategia de Servicios de TI en Ecuador y Latinoamérica/

http://estrategiadeserviciosti.blogspot.com/ 

•Pasos críticos para fortalecer la seguridad informática (cyber security)

https://www.linkedin.com/pulse/pasos-cr%C3%ADticos-para-fortalecer-la-seguridad-
cyber-olaya-t-phd?published=t 

•Visión evolucionada de la Gestión Integral de Riesgos

https://www.linkedin.com/pulse/visi%C3%B3n-evolucionada-de-la-gesti%C3%B3n-
integral-riesgos-olaya-t-phd?trk=v-feed&lipi=urn%3Ali%3Apage
%3Ad_flagship3_detail_base%3BA6bohXK7SIrSsRr%2BpCDSlA%3D%3D

•¿Cuáles son las referencias apropiadas para las mejores prácticas globales de la Gerencia
de Proyectos ? https://www.linkedin.com/pulse/cu%C3%A1les-son-las-referencias-
apropiadas-para-mejores-de-olaya-t-phd/
•Controlando y Monitoreando Proyectos con PMBOK® Guide –6ta Edición
https://www.linkedin.com/pulse/controlando-y-monitoreando-proyectos-con-pmbok-guide-
olaya-t-phd/

•Buenas practicas de Mejoramiento Continuo

http://mejoramientocontinuoitilcsi.blogspot.com/