Agustinas 1022 OF 1004, Santiago

+569 3179 0476

contacto@gaconsultingsolutions.com

Integración de ISO 22301: 2019 con ISO/IEC 27001: 2022. Continuidad y seguridad de la información

Por Mariángela Gatta

3 de junio de 2025

En tu organización implementan ISO/IEC 27001 y están orgullosos. Es un trabajo duro, pero pueden dormir tranquilos. Solo que son víctimas de un ataque ransomware que encripta los servidores. Y aunque los datos están respaldados, no hay un plan de continuidad, así que pasan 3 semanas tratando de regresar a la normalidad y en el camino pierden millones.

En el otro lado del país, un banco guarda sus respaldos en una ubicación lejos de la empresa, aunque en la misma zona sísmica de la compañía. Un terremoto destruye todo. ¿Y si hubiesen contado con seguridad de la información y continuidad del negocio? Habrían almacenado sus datos en otra región, posiblemente. O también se podría disponer de un plan de recuperación de desastres impecable, con centros de respaldo en 3 países, pero sin cifrado de las comunicaciones internas, existiendo el riesgo de ser hackeados.

Lo que tratamos de decirte mediante estos ejemplos de situaciones que terminaron mal es que la seguridad de la información y la continuidad del negocio no son islas separadas, sino que forman parte del mismo continente. Mantener las operaciones a costa de la pérdida reputacional o vulneración de datos sensibles no es una opción, como tampoco lo es la protección de la información mientras la organización se paraliza. Compaginar estos elementos fundamentales lleva a la fortaleza organizacional. Vivimos en tiempos riesgosos y cambiantes, no aptos para tener un plan de continuidad que algún día revisaremos o controles de seguridad solo por si el auditor pregunta. La presión por proteger los activos de información y mantener las operaciones esenciales pesa sobre empresas grandes, medianas y pequeñas.

La norma ISO/IEC 27001: 2022 se consolida como escudo protector de la confidencialidad, integridad y disponibilidad de la información. Nos ayuda a prevenir, gestionar y atender los riesgos de seguridad de la información. Respectivamente, ISO 22301: 2019 nos asiste ante interrupciones de operaciones, de modo que minimicemos el impacto de estas y aseguremos una pronta recuperación de las funciones críticas.

¿Qué pasa si no implementamos ambos sistemas de manera integrada? Se duplican los esfuerzos en un equipo de seguridad y otro de continuidad, con documentos, procesos, presupuesto y auditorías separadas. ¿El resultado? Lagunas en la cobertura de los sistemas de gestión, redundancias indeseables y una logística mal orquestada. Si no conectan, se pierde eficiencia e inclusive eficacia. Sería como tener un bunker, pero con la puerta averiada. 

La integración crea un ecosistema de resiliencia potente. Estamos hablando de una visión holística donde la seguridad de la información es un pilar de la continuidad del negocio, y la continuidad, a su vez, garantiza que la información segura esté disponible cuando más se necesita. Si implementas un SGSI y un SGCN tendrás dos poderes complementarios que traen beneficios tangibles: reducción de costos, eficiencia operacional, resiliencia organizacional, cumplimiento normativo simplificado, mejora de la reputación y confianza de clientes y partes interesadas.

Puntos de sinergia: una implementación eficaz

Integrar las normas ISO 22301 e ISO/IEC 27001 no tiene por qué ser difícil. Ambos estándares comparten la misma estructura armonizada (Anexo SL), para favorecer su alineación. ¿En qué puntos convergen ambas? 

  • Evaluación de riesgos : La evaluación de riesgos de ISO/IEC 27001 identifica las amenazas a la seguridad de la información, mientras que la evaluación de riesgos de ISO 22301 identifica amenazas de interrupción. Si fusionamos los dos procesos obtenemos una visión global de los riesgos, cosa que nos permite priorizar y asignar recursos de manera efectiva. 
  • Gestión de incidentes: ISO/IEC 27001 nos enseña a gestionar incidentes de seguridad de la información, mientras que ISO 22301 se orienta a la gestión de incidentes de continuidad. Al crear un proceso que aborde la seguridad y la continuidad, podemos responder de forma rápida y coordinada, para minimizar los daños y acelerar la recuperación.
  • Controles y estrategias de tratamiento: Muchos controles de seguridad de la información tienen como propósito la continuidad del negocio: la disponibilidad de los sistemas, las copias de seguridad, la recuperación de desastres (DRP) o la gestión de cambios. Si integramos, implementamos controles de manera óptima. 
  • Concientización y capacitación: Ambos estándares requieren que el personal esté consciente y preparado para sus responsabilidades y relevancia en seguridad y continuidad. Al integrar es posible disponer de un programa de concientización y capacitación que cubra ambos temas, para reforzar la importancia de la resiliencia en todos los niveles de la organización. 
  • Auditorías internas y revisión por la dirección: Las auditorías internas combinadas y revisiones por la dirección conjuntas ahorran tiempo y recursos. Además, brindan una visión coherente del rendimiento del sistema de gestión integrado, lo que facilita la toma de decisiones estratégicas. 

Cuando la alta dirección esté comprometida con la integración de los sistemas de gestión, podrás tener un equipo diverso y talentoso, con un objetivo en común: garantizar la seguridad y la continuidad. Y desde allí podrán ver, en conjunto, con qué cuenta la organización y desde dónde comenzarán a construir. 

Contenido relacionado

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Expertos en Sistemas de Gestión
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.