Hoy en día, tener un Plan de Continuidad Operativa (PCO) ya no es solo para las grandes empresas o para quedar bien en auditorías. Es algo que se está volviendo obligatorio, sobre todo en sectores críticos. En Chile, la Ley 21.663 lo deja claro: si eres un Operador de Importancia Vital (OIV), necesitas tener un plan real y funcional para seguir operando si pasa algo grave, como un ciberataque. Y ahí es donde la ISO 22301 entra en juego como una muy buena guía para armar ese plan con estructura y sentido.

La ISO 22301 es una norma que básicamente te enseña a estar preparado para lo peor sin entrar en pánico. Te ayuda a armar un sistema completo para que tu negocio siga funcionando, incluso si algo se cae. Lo mejor es que está muy alineada con lo que exige la ley chilena, así que seguirla te puede ahorrar varios dolores de cabeza. Y como verás a continuación, tener un PCO no solo protege a tu organización sino que también da confianza a clientes, autoridades y equipos internos.

Qué es ISO 22301 y por qué utilizarla en un PCO

La ISO 22301 es una norma internacional publicada por la International Organization for Standardization (ISO), pensada para ayudar a las organizaciones a prepararse ante interrupciones graves y mantener sus operaciones funcionando. Está centrada en la continuidad del negocio, y fue creada por especialistas de todo el mundo con un objetivo común: dar una estructura clara para enfrentar crisis como ciberataques, fallas técnicas, emergencias naturales o cualquier evento que pueda afectar la operación normal.

Esta norma sirve como una guía práctica para armar un Plan de Continuidad Operativa (PCO) bien pensado, realista y útil. Te ayuda a identificar procesos críticos, evaluar riesgos, definir tiempos de recuperación, y tener claro quién hace qué si todo se pone cuesta arriba. No importa el rubro o tamaño de la empresa, esta norma se adapta a cualquier organización que quiera estar lista para lo inesperado.

Ventajas de implementar la ISO 22301

• Proporciona una metodología estructurada y clara: ISO 22301 te entrega una hoja de ruta detallada: desde identificar los procesos críticos y evaluar riesgos, hasta definir roles y responsabilidades. Esta estructura evita improvisaciones y permite tomar decisiones informadas, incluso en momentos de presión. Todo está pensado para que el plan no se quede en el papel, sino que funcione en la práctica.
• Facilita la gestión de incidentes y minimiza impactos: Uno de los puntos fuertes de esta norma es que te prepara para actuar rápido cuando algo falla. Al tener procedimientos establecidos, las respuestas ante incidentes son más eficientes, lo que ayuda a contener el problema antes de que escale y a reducir el daño tanto operativo como reputacional.
• Mejora la capacidad de recuperación y resiliencia: Más allá de reaccionar ante una crisis, ISO 22301 ayuda a tu organización a volver a ponerse de pie rápido. Fortalece la capacidad interna para adaptarse, aprender y recuperarse, lo que se traduce en menos tiempo fuera de servicio y menos pérdidas financieras o de confianza.
• Cumple con requisitos regulatorios como los planteados por la Ley 21.663: La norma calza muy bien con lo que exige la Ley Marco de Ciberseguridad en Chile. Si estás obligado a contar con un Plan de Continuidad Operativa, como es el caso de los Operadores de Importancia Vital, seguir ISO 22301 te facilita mucho el camino: cumple con los estándares exigidos, incluye revisiones periódicas, ejercicios y documentación formal que las autoridades pueden solicitar.

Requisitos clave de la ISO 22301 para el PCO

Implementar un Plan de Continuidad Operativa (PCO) con base en la ISO 22301 no es simplemente redactar un protocolo y compartirlo en Slack. La norma exige establecer un Sistema de Gestión de Continuidad del Negocio (BCMS) que sea funcional, revisable y medible.

Para eso, define una serie de requisitos clave y documentos obligatorios que aseguran que el sistema está bien construido, alineado con los riesgos reales de la organización y preparado para ser auditado o mejorado. Estos documentos no solo ayudan a ordenar la gestión, sino que son la evidencia de que el plan no vive solo en teoría.

A continuación, te explicamos qué documentos exige la ISO 22301 y por qué son importantes:

• Lista de requisitos legales, normativos y otros compromisos (cláusula 4.2.2): Es un inventario donde se detalla todo lo que la organización debe cumplir, ya sea por ley, por contratos, o por estándares internos o sectoriales. Es clave para que el PCO esté alineado con tus verdaderas obligaciones.
• Alcance del BCMS y justificación de exclusiones (cláusula 4.3): Define a qué partes del negocio se aplica el sistema de continuidad y cuáles se excluyen (con motivos claros). Esto evita confusiones y delimita responsabilidades desde el principio.
• Política de continuidad operativa (cláusula 5.2): Es una declaración oficial donde la dirección define el enfoque de continuidad de la organización. Incluye quién se hace cargo de qué y cómo se comprometen los recursos para que el PCO funcione.
• Objetivos de continuidad del negocio (cláusula 6.2): Son metas medibles que la empresa quiere alcanzar con su sistema de continuidad. Ayudan a evaluar si el plan realmente está funcionando.
• Competencias del personal (cláusula 7.2): Define qué conocimientos y habilidades necesita el equipo para ejecutar el PCO. Sirve de base para capacitaciones o selección de personal clave.
• Planes y procedimientos de continuidad del negocio (cláusula 8.4): Este es el corazón del sistema: los pasos a seguir ante una interrupción, cómo se comunica la situación, cómo se recuperan los servicios y cómo se vuelve a operar normalmente.
• Comunicaciones documentadas con partes interesadas (cláusula 8.4.3.1): Aquí se registran correos, comunicados oficiales, instrucciones de autoridades, etc. Todo lo necesario para demostrar que la organización informó correctamente durante una crisis.
• Registros de la interrupción, acciones tomadas y decisiones clave (cláusula 8.4.3.1): Básicamente, un diario de lo que pasó durante el evento: qué se hizo, cuándo, quién lo hizo, y por qué. Puede ser una minuta, un checklist o un formulario.
• Datos y resultados del monitoreo y medición (cláusula 9.1.1): Evalúa si el sistema de continuidad está cumpliendo con los objetivos planteados. Estos datos permiten mejorar el sistema con base en hechos concretos.
• Programa de auditoría interna (cláusula 9.2): Es el calendario y planificación de auditorías internas que aseguran que el sistema está funcionando correctamente.
• Resultados de la auditoría interna (cláusula 9.2): Normalmente es un informe que resume lo observado, lo que funciona bien y lo que necesita corregirse.
• Resultados de la revisión por la dirección (cláusula 9.3): Son las conclusiones y decisiones que toma la alta dirección luego de revisar cómo va el sistema. Suelen documentarse como actas o informes breves.
• Naturaleza de las no conformidades y acciones tomadas (cláusula 10.1): Detalla qué problemas se encontraron en el sistema, sus causas y cómo se abordaron. Es clave para evitar que se repitan.
• Resultados de las acciones correctivas (cláusula 10.1): Describe lo que se hizo concretamente para eliminar la causa del problema detectado. Aquí se cierra el ciclo de mejora.

Todos estos documentos son la evidencia de que la continuidad operativa está bien pensada, es coherente con los riesgos reales del negocio y está lista para activarse cuando se necesite. Además, son clave para cumplir con auditorías internas, obtener la misma certificación de la ISO 22301, e incluso requerimientos legales como los de la Ley 21.663.

Elementos clave de la ISO 22301 para el PCO

La ISO 22301 se construye a partir de 10 cláusulas que cubren todo lo necesario para diseñar, ejecutar y mantener un Plan de Continuidad Operativa (PCO) que realmente funcione. Estas cláusulas no están puestas al azar: cada grupo corresponde a una etapa específica del sistema de gestión, desde el análisis inicial hasta la mejora continua. Hablamos de cinco grandes secciones: análisis, evaluación de riesgos, estrategia, implementación y monitoreo. Vamos parte por parte para que veas cómo todo encaja.

Análisis de Impacto en el Negocio (BIA)

Aquí comienza todo. El objetivo es entender cuáles son los procesos más críticos de tu organización y cuánto tiempo puedes permitirte estar sin ellos antes de que todo empiece a ir mal. Esta parte incluye la identificación y priorización de procesos clave, además de definir los tiempos máximos tolerables de interrupción (RTO/RPO, si hablamos técnico).

Las cláusulas 1 (Alcance), 2 (Referencias normativas) y 3 (Términos y definiciones) preparan el terreno: se definen los términos, el alcance del sistema y las bases sobre las que se va a construir el BCMS.

Evaluación de riesgos

Una vez que sabes qué es lo más importante, el siguiente paso es preguntarte: “¿Qué podría salir mal?”. En esta parte se identifican las amenazas más probables, como ciberataques, desastres naturales, errores humanos o cortes de energía. Y no solo se trata de listar riesgos, sino de analizar qué tan grave sería cada uno y qué tan probable es que ocurra.

Todo esto se trabaja en la Cláusula 4 (Contexto de la organización), que ayuda a entender el entorno interno y externo en el que opera la empresa. Este análisis y contexto de la organización son importantes, ya que no todos los riesgos aplican igual a todos los negocios.

Estrategia de continuidad operativa

Con los procesos críticos definidos y los riesgos identificados, es momento de elegir cómo vas a mantener o recuperar tus operaciones cuando ocurra una interrupción. Esta etapa se trata de definir estrategias concretas: backups, sitios alternos, redundancia, planes de comunicación, entre otros.

También se consideran las medidas preventivas para evitar que los incidentes ocurran en primer lugar. Esta etapa corresponde a la Cláusula 6 (Planificación), que se enfoca en establecer los objetivos, identificar riesgos y definir respuestas.

Implementación del Plan

Acá pasamos del diseño a la acción. Esta etapa incluye la documentación de los procedimientos, la asignación de recursos necesarios, y la definición clara de los roles y responsabilidades dentro del equipo. La idea es que, si algo ocurre, todos sepan qué hacer sin dudar.

Estas tareas están cubiertas en la Cláusula 5 (Liderazgo) y la Cláusula 7 (Apoyo), desde el compromiso de la alta dirección hasta la gestión de competencias y recursos.

Monitoreo, revisión y mejora continua

Un buen plan no se congela en el tiempo. Esta sección se asegura de que el PCO se mantenga actualizado, se pruebe regularmente y mejore con cada revisión. Involucra simulacros, auditorías internas, análisis de desempeño y acciones correctivas.

Esta última etapa del ciclo se aborda en la Cláusula 8 (Operación), la Cláusula 9 (Evaluación del desempeño) y la Cláusula 10 (Mejora). Aquí es donde se garantiza que el sistema se mantenga vivo, actualizado y útil con el tiempo.

Proceso práctico de implementación del PCO basado en ISO 22301

Llevar a la práctica un Plan de Continuidad Operativa alineado con ISO 22301 puede parecer un proyecto grande, pero con una hoja de ruta clara se vuelve totalmente manejable. Esta norma no solo te dice qué hacer, sino también cómo organizar cada paso. A continuación, te dejamos una guía práctica para implementarlo de forma ordenada y efectiva:

• Definir alcance y contexto del PCO: Antes de hacer cualquier análisis o redactar documentos, es clave entender qué áreas del negocio estarán cubiertas por el plan y en qué entorno opera tu organización. Esto permite enfocar los esfuerzos donde realmente importa.
• Realizar un Análisis de Impacto en el Negocio (BIA): Aquí se identifican los procesos críticos y se define cuánto tiempo puedes operar sin ellos antes de que haya consecuencias serias. Este análisis permite priorizar recursos y definir objetivos realistas de recuperación.
• Evaluar y gestionar los riesgos identificados: Una vez sabes qué es crítico, toca evaluar qué amenazas podrían interrumpir esos procesos: desde ciberataques hasta errores internos. Con ese mapa de riesgos, puedes tomar decisiones más informadas.
• Desarrollar estrategias y soluciones de continuidad operativa: En esta etapa defines las acciones concretas para seguir operando durante una crisis. Esto puede incluir planes de respaldo, sitios alternativos de trabajo o protocolos de comunicación interna y externa.
• Documentar procedimientos y roles: Todo lo anterior debe traducirse en instrucciones claras, con responsables definidos. Si algo pasa, cada persona debe saber qué hacer, cómo y cuándo. Eso se logra con procedimientos bien escritos y difundidos.
• Capacitar y concientizar a colaboradores: Un buen plan no sirve si la gente no lo conoce. Capacitar a los equipos y hacer campañas de concientización es clave para que el PCO se entienda y se pueda aplicar correctamente en todos los niveles.
• Realizar pruebas, simulacros y evaluaciones periódicas: Probar el plan en escenarios simulados ayuda a detectar errores antes de que se conviertan en problemas reales. Además, permite mantenerlo actualizado y ajustar lo que sea necesario con el tiempo.
• Buscar la certificación ISO 22301 del plan implementado: Finalmente, si quieres demostrar tu compromiso con la continuidad operativa, puedes optar por certificarte oficialmente. Esto no solo valida tu trabajo ante auditorías o clientes, sino que refuerza la cultura de resiliencia en tu organización.

A continuación, te dejamos una guía práctica para implementarlo de forma ordenada y efectiva:

‍

‍

Pero ojo: el PCO no es el único plan que deberías tener bajo la manga. Existen dos piezas clave que refuerzan la continuidad operativa y que muchas veces se pasan por alto: el DRP y el IRP.

DRP e IRP: Aliados invisibles del PCO

Cuando hablamos de continuidad operativa, solemos poner todo el foco en el PCO. Pero lo cierto es que este plan no vive solo en el universo de la resiliencia organizacional. Hay dos compañeros de batalla que muchas veces pasan desapercibidos, pero son clave para que todo funcione cuando la crisis golpea: el DRP y el IRP.

IRP – Incident Response Plan: El primero en responder

El IRP o plan de respuesta ante incidentes, es el plan que entra en acción cuando un incidente de seguridad ocurre o está en curso. Piensa en ciberataques, fugas de datos, ransomware, accesos no autorizados o incluso errores internos que comprometen información crítica.

• Su foco: detectar, contener, erradicar y aprender del incidente.
• Su rol con el PCO: gana tiempo y controla el daño, permitiendo que el PCO no se active innecesariamente o que, si se activa, lo haga con información clara y actualizada.
• Ejemplo: Si detectas un ransomware en tu red, el IRP define cómo aislarlo, a quién notificar, cómo analizarlo y qué evidencia recolectar. Luego, el PCO toma el relevo para asegurar que la operación siga funcionando mientras se resuelve el problema.

DRP – Disaster Recovery Plan: el plan técnico para recuperar tus sistemas

El DRP es el hermano más técnico del PCO. Se encarga de restaurar los sistemas tecnológicos que sustentan tu operación: servidores, redes, bases de datos, backups, acceso remoto, etc.

• Su foco: recuperar la infraestructura de TI tras una interrupción mayor (hardware dañado, pérdida de datos, caída de servicios críticos).
• Su rol con el PCO: es el músculo que hace posible la recuperación efectiva. Sin DRP, el PCO queda cojo.
• Ejemplo: Si tu datacenter colapsa por un corte eléctrico extendido, el DRP define cómo levantar tus sistemas en un sitio alterno o desde un backup en la nube, mientras el PCO asegura que tus operaciones no se detengan.

Tres planes, un solo objetivo: seguir operando

‍

¿Necesito tener los tres?

Idealmente, sí. Sobre todo si formas parte de un Operador de Importancia Vital (OIV) o prestas servicios esenciales, como define la Ley 21.663. Cada uno cumple un rol distinto pero complementario. Ignorar alguno puede dejarte ciego, cojo o mudo durante una crisis real.

Y si no puedes implementar los tres de inmediato, parte por el que te cubra los riesgos más probables en tu operación. Lo importante es no improvisar cuando el caos golpea la puerta.

‍

Beneficios concretos para la organización al integrar ISO 22301 y Ley 21.663

Implementar un Plan de Continuidad Operativa basado en ISO 22301 no solo es una buena práctica: en el contexto chileno, también es una forma inteligente de alinearse con la Ley 21.663 sin perder tiempo reinventando la rueda. Esta integración trae beneficios concretos que van más allá del cumplimiento: mejora la preparación, fortalece la operación diaria y proyecta una imagen de seriedad frente a terceros.

• Cumplimiento legal y reducción de riesgos regulatoriosISO 22301 entrega una estructura clara que responde a muchas de las exigencias de la Ley 21.663, como la certificación de planes, la revisión periódica o la designación de responsables. Aplicarla reduce el riesgo de sanciones y evita estar corriendo detrás del cumplimiento cuando ya es tarde.
• Mayor resiliencia frente a incidentes cibernéticos y otras amenazasLa norma te prepara no solo para reaccionar ante ciberataques, sino también para sobrellevar otros eventos disruptivos como desastres naturales, fallos técnicos o errores humanos. Eso se traduce en continuidad real del negocio, incluso en momentos complejos.
• Confianza incrementada ante stakeholders (clientes, proveedores, reguladores, inversores)Contar con un sistema de continuidad certificado genera confianza inmediata. Clientes y aliados ven que tu organización está preparada, y eso puede marcar la diferencia al competir por contratos, licitaciones o auditorías.
• Optimización de recursos mediante un enfoque sistemático y reconocido internacionalmenteISO 22301 ayuda a evitar duplicación de esfuerzos, improvisaciones y gastos innecesarios. Todo está planificado y documentado, lo que permite tomar decisiones más rápidas y con mejor uso de los recursos disponibles. Además, es un marco aceptado globalmente, lo que facilita alianzas y expansión.

Errores comunes al implementar un PCO (y cómo evitarlos sin morir en el intento)

Implementar un Plan de Continuidad Operativa (PCO) no es solo llenar una plantilla y guardarla en una carpeta compartida. Muchas organizaciones bien intencionadas caen en errores que, en una crisis real, pueden convertir el plan en papel mojado. Aquí van los tropiezos más comunes y cómo sortearlos:

• Tratarlo como un documento para la auditoría (y no como una herramienta viva)

“Sí, sí… tenemos un plan guardado en el drive. Lo hicimos cuando vino la auditoría”. Este es uno de los pecados capitales. Si el plan solo se desempolva cuando hay que mostrarlo a un regulador, ya perdiste. El PCO debe ser operativo, actualizado y conocido por quienes deben activarlo.

Qué hacer: Define responsables por área, revisa el plan al menos una vez al año y asegúrate de que sea parte de las capacitaciones y simulacros reales.

• No involucrar a toda la organización

“Eso lo ve el área de TI… nosotros seguimos con lo nuestro”. Un buen PCO no es cosa solo del equipo TI o del CISO. Las operaciones, recursos humanos, comunicaciones y hasta legal tienen un rol en la continuidad del negocio. Si solo un equipo conoce el plan, está destinado a fallar.

Qué hacer: Involucra a todas las áreas en el análisis de procesos críticos, roles y tiempos de recuperación. La continuidad es un deporte de equipo.

• Ignorar la dependencia de proveedores y servicios externos

“El proveedor del datacenter seguro tiene su propio plan… ¿cierto?”. Muchas organizaciones asumen que los servicios tercerizados estarán disponibles mágicamente cuando algo falle. Y cuando no es así, todo se viene abajo.

Qué hacer: Evalúa proveedores críticos como parte de tu análisis de riesgos. Solicita sus propios planes de continuidad y asegúrate de que tengan SLAs claros ante interrupciones.

• Saltarse el análisis de impacto real (BIA) y los riesgos

“Pongamos los procesos más obvios, total no es tan importante ese análisis”. Sin un buen BIA y evaluación de riesgos, el PCO es un castillo en el aire. No sabrás qué proteger, con qué prioridad, ni cuánto puedes resistir una interrupción.

Qué hacer: Invierte tiempo en hacer un análisis de impacto bien hecho. No es un lujo, es la base de todo lo demás.

• No probar el plan (y esperar que funcione perfecto el día D)

“Nunca lo hemos probado… pero se supone que funciona”. Un plan sin pruebas es como un simulacro de incendio sin fuego. Suena bien, pero nadie sabrá qué hacer cuando las cosas se pongan feas.

Qué hacer: Realiza simulacros al menos una vez al año, con escenarios realistas. Evalúa los resultados, mejora lo que no funcione y documenta todo.

• No actualizar el plan cuando cambian los procesos

“Ese procedimiento ya no existe, pero igual está en el PCO”. Los negocios cambian, los sistemas evolucionan y las personas rotan. Si no actualizas el plan con esos cambios, quedará obsoleto más rápido que un servidor sin parches.

Qué hacer: Revisa y actualiza el plan cada vez que haya un cambio importante en operaciones, tecnología o estructura organizacional.

• Dejarlo en manos de una sola persona

“Esto lo ve Pedro. Él sabe qué hacer”. Pedro puede ser un genio, pero si se va de vacaciones o cambia de trabajo, tu continuidad también se va con él.

Qué hacer: Documenta todo. Distribuye el conocimiento. Asegura que haya backups humanos para los roles críticos del plan.

Cuando prevenir es continuar

Implementar un PCO alineado con ISO 22301 no es solo una forma de cumplir con lo que exige la Ley 21.663, sino una muy buena decisión estratégica. Esta norma no solo te ayuda a marcar la casilla del cumplimiento, sino que te entrega una estructura clara y útil para mantener tu negocio en pie cuando las cosas se complican. Es práctica, flexible y está pensada para funcionar en situaciones reales, no solo en papel.

Si estás en Chile y formas parte de una organización clasificada como Operador de Importancia Vital, o prestas algún tipo de servicio esencial, este es el momento ideal para tomarse en serio la continuidad operativa. Adoptar ISO 22301 como base para tu plan no solo te pone en línea con la ley, también te da herramientas concretas para prepararte, responder y recuperarte con orden. No se trata de prevenir lo imposible, sino de estar listos para actuar cuando realmente importa.

¿Necesitas apoyo para proteger tus dispositivos y mantener tus operaciones seguras? Hablemos y veamos cómo Prey puede ayudarte a construir un plan que no se detiene.

‍

FAQ

¿Qué es la ISO 22301 y para qué sirve?

La ISO 22301 es una norma internacional que ayuda a las organizaciones a prepararse para eventos disruptivos, como ciberataques o desastres naturales, y seguir operando con el menor impacto posible. Sirve como guía para implementar un Plan de Continuidad Operativa (PCO) sólido, estructurado y adaptable a distintos tipos de organizaciones.

¿Es obligatorio seguir la ISO 22301 para cumplir con la Ley 21.663?

Depende. La Ley 21.663 exige SOLO a los Operadores de Importancia Vital (OIV) contar con planes de continuidad operativa. ISO 22301 es un estándar reconocido internacionalmente que cubre muchos de los requisitos de la ley, por lo que usarla facilita mucho el cumplimiento regulatorio y reduce riesgos de sanción.

¿Cuáles son las cláusulas de la ISO 22301 y qué cubren?

La ISO 22301 se compone de 10 cláusulas que forman la estructura del Sistema de Gestión de Continuidad del Negocio (BCMS). Cada una cumple un rol dentro del ciclo de diseño, implementación, monitoreo y mejora del plan. Estas son:

• Alcance – Define hasta dónde llega el sistema de gestión.
• Referencias normativas – Lista otras normas relacionadas (aunque esta cláusula suele ser informativa).
• Términos y definiciones – Establece un lenguaje común para evitar ambigüedades.
• Contexto de la organización – Analiza el entorno, las partes interesadas y los requisitos legales.
• Liderazgo – Establece el compromiso de la alta dirección con el BCMS.
• Planificación – Define los objetivos, riesgos y oportunidades del sistema.
• Apoyo – Detalla los recursos, competencias, comunicación y documentación necesarias.
• Operación – Cubre la planificación, control y ejecución de los planes de continuidad.
• Evaluación del desempeño – Incluye auditorías internas, revisiones y medición de resultados.
• Mejora – Se enfoca en tratar no conformidades y mejorar continuamente el sistema.

¿Qué beneficios tiene certificarme en ISO 22301?

Certificarse demuestra que tu organización está preparada para enfrentar interrupciones graves, genera confianza ante clientes y autoridades, optimiza recursos con un enfoque ordenado y facilita el cumplimiento de regulaciones como la Ley 21.663. Además, te da una ventaja competitiva frente a otras empresas del mismo rubro.

‍