BIA, RTO/RPO y plan de continuidad en 3 segundos.
ISO 22301 es la norma internacional de continuidad de negocio. IgeraIndustria hace consultable cada requisito: análisis de impacto (BIA), definición de RTO y RPO por proceso crítico, planes de continuidad (BCP), ejercicios de simulacro y auditorías. El responsable de continuidad encuentra la respuesta en segundos.
El 80% de las empresas tienen un BCP que nunca han probado
La continuidad de negocio es la disciplina que más se pospone hasta que ocurre el incidente. Cuando falla el ERP, se inunda el almacén o un ciberataque paraliza los servidores, las empresas sin BCP testado pierden semanas de recuperación que podrían haberse reducido a horas. ISO 22301 proporciona el marco para evitarlo.
60%
de las pymes que sufren un incidente grave cierran en los siguientes 6 meses por no tener plan de continuidad.
74.000€
coste medio de inactividad por hora en empresas medianas. Sin RTO definido, el impacto es imprevisible.
80%
de empresas tienen un BCP escrito pero nunca testado. Un BCP no probado es papel mojado en el momento del incidente.
45 min
tiempo medio para encontrar el BCP actualizado en una crisis. IgeraIndustria lo localiza y lo hace consultable en segundos.
El responsable de continuidad dedica horas a buscar qué requiere exactamente la cláusula 8.2.2 para el BIA, cómo definir los RTO de los procesos críticos o qué diferencia hay entre un ejercicio de mesa (tabletop) y un simulacro completo. IgeraIndustria responde esas preguntas en segundos, con cita exacta del requisito ISO 22301, para que el equipo de continuidad se centre en implementar planes que funcionen de verdad.
Consulta ISO 22301 instantánea por requisito
IgeraIndustria localiza el requisito exacto que aplica a cada pregunta y responde con la metodología, la documentación obligatoria y los errores más frecuentes que detectan los auditores de certificación ISO 22301.
Análisis de Impacto en Negocio (BIA)
Metodología completa de BIA según cláusula 8.2.2: identificación de actividades críticas, criterios de impacto (financiero, reputacional, regulatorio, operacional), determinación de MTPD, RTO y RPO por proceso. Qué aprueba la dirección y con qué periodicidad se revisa.
Definición de RTO y RPO por proceso crítico
Cómo determinar el RTO y RPO de cada proceso o sistema: diferencia entre lo que IT puede hacer y lo que el negocio necesita. Relación entre RTO, MTPD (Máximo Período de Interrupción Tolerable) y las estrategias de recuperación seleccionadas (cláusula 8.3).
Planes de Continuidad de Negocio (BCP)
Estructura mínima del BCP según ISO 22301 cláusula 8.4.4: propósito y alcance, condiciones de activación, roles y responsabilidades de recuperación, procedimientos de comunicación, pasos de recuperación por escenario y criterios de vuelta a la normalidad.
Ejercicios y simulacros (cláusula 8.5)
Tipos de ejercicios: tabletop exercise, prueba técnica de failover, simulacro completo. Qué documenta cada uno, cómo planificarlos, qué rol juega la dirección y cómo gestionar las desviaciones detectadas para cerrar el ciclo de mejora continua.
Evaluación de riesgos de continuidad
ISO 22301 cláusula 8.2.3: identificación de amenazas (ciberataques, fallos IT, desastres naturales, pérdida de proveedores clave, pandemias) y evaluación de su probabilidad e impacto. Relación entre el análisis de riesgos y las estrategias de continuidad seleccionadas.
Revisión por la dirección y mejora continua
Entradas obligatorias a la revisión por la dirección (cláusula 9.3): resultados de ejercicios, incidentes reales activados, cambios en el contexto de la organización, desempeño del SGCN. Salidas: decisiones sobre recursos y mejoras. Qué acta verifica el auditor.
Soporte completo a auditorías ISO 22301
Tanto para auditorías internas como para visitas de organismos de certificación, IgeraIndustria proporciona el soporte que el equipo de continuidad necesita en cada fase del ciclo de auditoría.
Análisis de brechas vs ISO 22301:2019
Compara el estado actual del SGCN con los requisitos de cada cláusula. Identifica qué requisitos están implementados, cuáles parcialmente y cuáles ausentes. Especialmente útil para empresas que migran desde ISO 22301:2012 o que implementan el SGCN por primera vez.
Checklist de documentación obligatoria por cláusula
Para cada cláusula de ISO 22301:2019, IgeraIndustria indica qué información documentada es obligatoria: política de continuidad (5.3), BIA (8.2.2), estrategias (8.3), planes BCP (8.4.4), resultados de ejercicios (8.5) y registros de auditoría interna (9.2).
Simulacro de auditoría con preguntas reales
IgeraIndustria formula las preguntas que habitualmente hacen los auditores de certificación ISO 22301: «¿Cómo determinaron el MTPD del proceso de facturación?», «¿Cuándo se activó el BCP por última vez?», «¿Qué desviaciones se detectaron en el último simulacro?»
Cierre de no conformidades de auditoría
Soporte al proceso de respuesta a NCs: análisis de causa raíz, definición de acción correctiva, plazo y responsable. Las NCs más frecuentes en ISO 22301 son BCP sin activar nunca, RTO no verificados con pruebas técnicas y BIA no revisado en más de 12 meses.
Verificación de RTO/RPO con evidencias
¿Cómo demostrar que los RTO son alcanzables? IgeraIndustria explica qué evidencias validan los auditores: resultados de pruebas de failover, registros de recuperación de backups, tiempos de activación del plan de emergencia y comparación con el RTO definido en el BIA.
Comunicación y gestión de crisis (cláusula 8.4.3)
Requisitos de comunicación durante una interrupción: protocolo de alerta y activación del BCP, comunicación interna a empleados, comunicación externa a clientes y proveedores, notificación a reguladores si aplica. Cómo documentar el árbol de llamadas y los portavoces autorizados.
Las 4 cláusulas clave de ISO 22301:2019
Estas cláusulas concentran la mayor parte de las no conformidades en auditorías de certificación ISO 22301. IgeraIndustria las explica con los requisitos exactos, ejemplos prácticos y los errores más habituales en su implementación.
8.2.2 — BIA (Análisis de Impacto en Negocio)
La cláusula más crítica de ISO 22301. El BIA debe identificar las actividades críticas de la organización, evaluar el impacto de su interrupción en función del tiempo (financiero, reputacional, legal, operacional) y determinar el MTPD, RTO y RPO de cada una. El BIA debe ser aprobado por la alta dirección y revisado como mínimo cuando cambien los procesos críticos o el contexto de negocio. Un BIA sin firma de la dirección o con datos de hace más de 2 años es NC automática en auditoría.
8.3 — Estrategias y soluciones de continuidad
Sobre la base del BIA, la organización debe definir e implementar estrategias para garantizar que los procesos críticos pueden recuperarse dentro del RTO definido. Las estrategias típicas incluyen: sites alternativos, acuerdos con proveedores de respaldo, teletrabajo estructurado, acuerdos de nivel de servicio con IT para recuperación, y contratos de suministro alternativo. Los auditores verifican que las estrategias son proporcionales al impacto identificado en el BIA y que existen contratos o acuerdos formalizados que las respaldan.
8.4 — Planes de Continuidad de Negocio (BCP)
ISO 22301 cláusula 8.4 exige que los BCP incluyan: propósito y alcance, condiciones de activación, procedimientos de respuesta a la interrupción, roles y responsabilidades nombrados, recursos necesarios, comunicaciones durante la crisis y criterios de vuelta a la operación normal. Un error frecuente es tener un único BCP genérico en lugar de planes específicos por escenario (fallo IT, incendio, pérdida de personal clave, fallo de proveedor crítico). Los auditores también verifican que los BCP son accesibles sin depender de los sistemas que podrían estar caídos durante el incidente.
8.5 — Ejercicios y pruebas del BCP
Sin pruebas, el BCP es teórico. La cláusula 8.5 exige un programa de ejercicios con objetivos definidos, distintos tipos de pruebas (desde tabletop exercises hasta simulacros completos con activación real) y documentación de los resultados. Los hallazgos de cada ejercicio deben alimentar un plan de mejora con responsable y plazo. Las aseguradoras que cubren pérdida de beneficio por interrupción de negocio aceptan mejor los siniestros cuando existe evidencia de un programa de pruebas del BCP. Es la cláusula donde más diferencia hay entre empresas con SGCN maduro y empresas con ISO 22301 de papel.
Cómo funciona IgeraIndustria para ISO 22301
Cinco pasos desde la carga del sistema de continuidad hasta la respuesta con requisito exacto, documentación obligatoria y recomendaciones de implementación.
Indexas tu sistema de gestión de continuidad de negocio
Subes tu BIA, los planes BCP por escenario, los resultados de ejercicios y simulacros previos, el registro de incidentes activados y las estrategias de continuidad aprobadas. IgeraIndustria los procesa junto con la norma ISO 22301:2019 completa en menos de 24 horas.
Conectas el asistente al equipo de continuidad
Embed en el portal de gestión de continuidad, Teams, Slack o como bot de WhatsApp para el responsable del SGCN. Una línea de código. Accesible desde móvil para consultas durante incidentes reales.
El responsable de continuidad pregunta en lenguaje natural
«¿Qué debe incluir el BIA según ISO 22301?», «¿Cómo defino el RTO del proceso de facturación?», «¿Qué diferencia hay entre MTPD y RTO?», «¿Con qué frecuencia hay que probar el BCP?»
IgeraIndustria busca en 2 capas de conocimiento
Primero en tu documentación interna (BIA, BCPs, resultados de ejercicios, estrategias de continuidad), luego en la norma ISO 22301:2019 indexada con todos sus requisitos, definiciones y notas de aplicación.
Respuesta con cláusula, requisitos y documentación obligatoria
La respuesta cita la cláusula ISO 22301 aplicable, indica qué documentación es obligatoria y cómo debe ser aprobada, y advierte de los errores más frecuentes que detectan los auditores de certificación en esa área.
IgeraIndustria en acción — cláusula 8.2.2 ISO 22301
Consulta sobre RTO de sistemas críticos resuelta en menos de 3 segundos con la referencia exacta a ISO 22301 cláusula 8.2.2.
Responsable de Continuidad
¿Cómo defino el RTO de nuestros sistemas críticos según ISO 22301? ¿Qué diferencia hay con el MTPD?
IgeraIndustria
ISO 22301:2019 — Cláusula 8.2.2 BIA: RTO y MTPD
MTPD (Máximo Período de Interrupción Tolerable):
- • Tiempo máximo que la organización puede soportar sin el proceso antes de consecuencias inaceptables
- • Lo determina el negocio (Dirección, Finanzas, Comercial) — no IT
- • Ejemplo: proceso de pedidos → MTPD = 24h (después hay pérdida de clientes)
RTO (Recovery Time Objective):
- • Tiempo máximo para recuperar el proceso/sistema — DEBE ser menor que el MTPD
- • Lo fija el negocio; IT valida si es alcanzable con las estrategias actuales
- • Si RTO IT > MTPD negocio → hay que invertir en estrategias de recuperación más rápidas
⚠️ El BIA (cl.8.2.2) debe documentar MTPD y RTO de cada proceso crítico, aprobado por la alta dirección
✓ ISO 22301:2019 Cláusula 8.2.2 · Confianza: 99,5%
400
empleados empresa logística
-70%
tiempo de recuperación en incidentes
✓ OK
BCP testado y aprobado por aseguradora
Sufríamos un ciberataque de ransomware hace dos años y tardamos 3 semanas en recuperar operaciones. Desde que implementamos ISO 22301 con ayuda de IgeraIndustria para resolver las dudas sobre el BIA y los RTO, nuestro BCP define exactamente qué hacer en cada escenario. El último simulacro lo superamos en 4 horas. La aseguradora lo validó y redujo la prima un 18%.
*Testimonio representativo basado en resultados de clientes reales
Preguntas frecuentes — ISO 22301:2019
¿Qué es ISO 22301 y para qué sirve?
ISO 22301:2019 es la norma internacional para Sistemas de Gestión de Continuidad de Negocio (SGCN). Establece los requisitos para planificar, implementar, mantener y mejorar la capacidad de una organización para continuar operando durante interrupciones críticas. A diferencia de ISO 9001 (calidad) o ISO 14001 (medio ambiente), ISO 22301 se centra en la resiliencia operacional: qué hace la empresa cuando fallan sus sistemas críticos, cuando un proveedor deja de suministrar o cuando una catástrofe impide el acceso a las instalaciones. La norma exige un Análisis de Impacto en Negocio (BIA), definir RTO/RPO por proceso crítico, elaborar Planes de Continuidad de Negocio (BCP) y probarlos con ejercicios y simulacros periódicos.
¿Qué diferencia hay entre RTO y RPO?
RTO (Recovery Time Objective) y RPO (Recovery Point Objective) son los dos parámetros fundamentales de continuidad de negocio. El RTO define el tiempo máximo aceptable para recuperar un proceso o sistema después de una interrupción: si el RTO del sistema ERP es de 4 horas, la organización debe ser capaz de tenerlo operativo en menos de 4 horas. El RPO define la cantidad máxima aceptable de datos que se pueden perder, expresada en tiempo: si el RPO de la base de datos de pedidos es de 1 hora, los backups deben realizarse al menos cada hora. ISO 22301 (cláusula 8.2.2) exige que el BIA determine el RTO y RPO de cada proceso crítico, y que las estrategias de continuidad los satisfagan. Un error frecuente es confundir RTO con el tiempo real de recuperación del departamento de IT, que habitualmente es mayor.
¿Qué es un BIA (Análisis de Impacto en Negocio)?
El Business Impact Analysis (BIA) es el proceso central de ISO 22301. Identifica y prioriza los procesos y actividades críticas de la organización, evalúa el impacto de su interrupción en el tiempo (financiero, reputacional, regulatorio, operacional) y determina los RTO y RPO mínimos para cada uno. El BIA responde: ¿qué procesos son más críticos? ¿cuánto tiempo puede la empresa sobrevivir sin ellos? ¿qué recursos (personas, tecnología, proveedores) son imprescindibles? La cláusula 8.2.2 de ISO 22301 describe los requisitos del BIA. Sin un BIA actualizado y aprobado por la dirección, es imposible definir estrategias de continuidad proporcionales ni superar una auditoría de certificación. IgeraIndustria resuelve consultas sobre metodología BIA, criterios de impacto, periodicidad de revisión y formato de informe.
¿Con qué frecuencia hay que probar el Plan de Continuidad de Negocio (BCP)?
ISO 22301 (cláusula 8.5) exige que la organización programe y realice ejercicios y pruebas del BCP a intervalos planificados para verificar que los planes funcionan en la práctica. La norma no prescribe una frecuencia mínima exacta, pero los organismos de certificación esperan al menos un ejercicio completo (simulacro) al año, además de pruebas parciales (tabletop exercises, pruebas técnicas de failover, pruebas de comunicaciones) con mayor frecuencia. Los resultados de los ejercicios deben documentarse, y las desviaciones detectadas deben generar acciones de mejora. Una de las NCs más frecuentes en auditorías ISO 22301 es tener un BCP escrito pero nunca probado, o con una última prueba realizada hace más de 24 meses.
¿ISO 22301 es obligatoria o voluntaria?
ISO 22301 es una norma voluntaria a nivel global: ninguna ley obliga a certificarse en ella. Sin embargo, ciertos sectores la exigen contractualmente: entidades financieras (regulación DORA en Europa desde 2025 impone requisitos de resiliencia operacional equivalentes), infraestructuras críticas, operadores de telecomunicaciones y grandes grupos industriales frecuentemente incluyen ISO 22301 como requisito en sus contratos con proveedores críticos. Además, algunas aseguradoras reducen primas de pólizas de interrupción de negocio cuando la empresa puede demostrar un SGCN certificado o al menos un BCP testado. Para pymes, la certificación formal no siempre es necesaria: implementar los requisitos de la norma (BIA, BCP, simulacros) sin certificarse formalmente ya aporta valor significativo.
¿Cuánto tiempo lleva implementar ISO 22301 desde cero?
Una implementación completa de ISO 22301 desde cero hasta certificación requiere habitualmente entre 6 y 18 meses, dependiendo del tamaño de la organización, la complejidad de sus procesos y los recursos dedicados. Las fases principales son: análisis de contexto y brecha (1-2 meses), BIA y evaluación de riesgos (2-3 meses), diseño de estrategias y redacción del BCP (2-4 meses), formación y concienciación (1 mes), realización de ejercicio/simulacro (1 mes) y auditoría de certificación (1-2 meses). IgeraIndustria acelera este proceso respondiendo consultas sobre qué requiere cada cláusula, qué documentación es obligatoria y qué errores evitar en cada fase, reduciendo el tiempo dedicado a investigación documental hasta un 70%.
Planes IgeraIndustria ISO 22301
Sin permanencia. Cancela cuando quieras.
Starter
Para pymes que quieren implementar un SGCN básico según ISO 22301 sin contratar una consultora externa y preparar su primer BCP documentado.
- ISO 22301:2019 preindexada
- Consultas sobre BIA y RTO/RPO
- Checklist documentación obligatoria
- 1.000 consultas/mes
- Widget para responsable de continuidad
- Soporte por email
Professional
Para empresas con SGCN activo, auditorías periódicas, programa de ejercicios y necesidad de soporte continuo al equipo de continuidad y crisis.
- ISO 22301 + documentación interna indexada
- BCP y BIA consultables en tiempo real
- Soporte a ejercicios y simulacros
- 5.000 consultas/mes
- Alertas de cambios normativos
- Soporte prioritario
Enterprise
Para grupos industriales con ISO 22301 integrada con ISO 27001 (seguridad) y DORA, múltiples sites y equipos de crisis distribuidos.
- Multi-site y multi-norma
- ISO 22301 + ISO 27001 + DORA integradas
- Gestión de crisis asistida en tiempo real
- Consultas ilimitadas
- SLA 99,9% uptime
- Customer success dedicado
BIA, BCP y simulacros bajo control. Empieza hoy.
- Prueba gratis 14 días — sin tarjeta de crédito
- ISO 22301:2019 completa preindexada desde el día 1
- Sube tu BIA, BCP y resultados de ejercicios para hacerlos consultables en segundos
- Soporte para definir RTO/RPO y preparar auditorías de certificación
