Certificación ISO con alcance definido, verificación pública y operación local en Argentina. Por qué G-CERTI

Inicio/Normas ISO/ISO 22301

Certificación ISO 22301

ISO 22301 para resiliencia, crisis y continuidad operativa.

Sirve cuando el cliente pide evidencia de continuidad, recuperación, dependencia de proveedores y respuesta ante interrupciones. G-CERTI Argentina ayuda a encuadrar alcance, sedes, dotación y tiempos antes de iniciar una auditoría formal.

ARScotización local y factura argentina
Federalauditoría remota, híbrida y multisede
Globalverificación pública en gcerti.org

Hay operaciones que no se pueden dar el lujo de detenerse. Un banco que procesa pagos, un data center que sostiene servicios de terceros, una planta que abastece una cadena de exportación, un prestador de salud: cuando la interrupción llega —un corte de energía prolongado, un incidente de ciberseguridad, una inundación, la caída de un proveedor único—, la pregunta que decide todo no es si va a pasar, sino cuánto tarda la organización en volver a operar y cuánto pierde mientras tanto.

ISO 22301 es la norma internacional que da estructura a esa respuesta. Certifica que una organización tiene un Sistema de Gestión de Continuidad del Negocio (SGCN) capaz de anticipar interrupciones, priorizar lo que debe seguir funcionando, y recuperar la operación dentro de tiempos que la propia organización definió y probó. No es un plan guardado en un cajón: es un sistema que se mantiene vivo, se ensaya y se audita. La edición vigente es ISO 22301:2019, con la misma Estructura Armonizada de ISO que ISO 9001, ISO/IEC 27001 o ISO 45001, de modo que quien ya certifica bajo otra norma reconoce la arquitectura y suma continuidad con menos fricción.

Alcance

Qué certifica (y qué no)

ISO 22301 certifica el sistema de gestión de una organización para la continuidad del negocio. No certifica que la organización nunca vaya a sufrir una interrupción —eso nadie puede garantizarlo—, sino que existe un mecanismo estructurado para prepararse, responder y recuperarse.

Lo que la norma exige demostrar, en términos concretos:

  • Que la organización identificó sus actividades críticas y entiende qué pasa si se detienen (mediante un Análisis de Impacto en el Negocio, o BIA por su sigla en inglés).
  • Que definió cuánto tiempo puede tolerar que cada actividad esté caída (el RTO, Recovery Time Objective) y cuánta información puede permitirse perder (el RPO, Recovery Point Objective).
  • Que evaluó los riesgos de interrupción y eligió estrategias para tratarlos.
  • Que tiene planes de continuidad y de recuperación documentados, con roles y responsables claros.
  • Que esos planes se prueban —ejercicios y simulacros— y se corrigen según lo que el ejercicio revela.
  • Que la dirección está involucrada, hay indicadores, auditorías internas y tratamiento de las no conformidades.

Lo que no hace: no es una certificación de producto ni de persona, no reemplaza a la seguridad de la información (ISO/IEC 27001) aunque se integra muy bien con ella, y no promete un resultado. Un certificado dice que el sistema cumple los requisitos de la norma en el alcance auditado; no dice que la empresa sea inmune.

Estructura

La norma por dentro: cláusulas 4 a 10

ISO 22301:2019 sigue la Estructura Armonizada de ISO (la misma secuencia de cláusulas 4 a 10 que comparten las normas de sistemas de gestión). Entender el mapa ayuda a saber qué mira una auditoría.

CláusulaQué exigeEn criollo
4. Contexto de la organizaciónEntender la organización, las partes interesadas, y definir el alcance del SGCN¿Qué operación estamos protegiendo y ante quién respondemos?
5. LiderazgoCompromiso de la dirección, política de continuidad, roles y responsabilidades¿La dirección se hace cargo o es un proyecto de un área suelta?
6. PlanificaciónAcciones para tratar riesgos y oportunidades, objetivos de continuidad¿Qué riesgos de interrupción enfrentamos y qué nos proponemos?
7. ApoyoRecursos, competencia, concientización, comunicación, información documentada¿Tenemos gente, medios y documentación para sostenerlo?
8. OperaciónEl corazón de la norma: control operacional (8.1), BIA y evaluación de riesgos (8.2), estrategias y soluciones (8.3), planes y procedimientos (8.4) y programa de ejercicios (8.5)¿Sabemos qué es crítico, en cuánto lo recuperamos, y lo probamos?
9. Evaluación del desempeñoSeguimiento, medición, análisis, auditoría interna, revisión por la dirección¿Medimos si funciona y la dirección lo revisa?
10. MejoraNo conformidad y acción correctiva (10.1), mejora continua (10.2)¿Aprendemos de los ejercicios, incidentes y hallazgos?

El peso de la norma está en la cláusula 8. Ahí viven el BIA, la evaluación de riesgos, la selección de estrategias de continuidad y —el punto donde muchas organizaciones flaquean— el programa de ejercicios: un plan que existe pero nunca se probó no sobrevive a una auditoría seria, y mucho menos a una crisis real.

A diferencia de ISO/IEC 27001 o ISO/IEC 42001, ISO 22301 no tiene un Anexo de controles al estilo del Anexo A. Los requisitos se cumplen en el cuerpo de la norma; la organización diseña sus propias soluciones de continuidad en función de su análisis, no eligiendo de una lista predefinida.

Demanda local

Quién la necesita en Argentina

La continuidad del negocio dejó de ser una preocupación abstracta. En la Argentina, la exigencia llega por cuatro caminos concretos.

El regulador financiero

El BCRA sostiene, dentro de sus Lineamientos para la Gestión de Riesgos en las Entidades Financieras, un capítulo específico de resiliencia operacional (Comunicación "A" 8249, vigente desde septiembre de 2025) que exige a bancos y entidades financieras contar con planes de continuidad del negocio, probarlos periódicamente y mantenerlos alineados con su marco de riesgo operacional. ISO 22301 no es la norma que el BCRA exige nominalmente, pero le da a esa expectativa un lenguaje auditable y una certificación verificable por un tercero independiente.

Servicios e infraestructura crítica

Data centers, nube y hosting, telecomunicaciones, distribuidoras de energía, transporte, logística de cadena de frío, prestadores de salud. La interrupción de la organización interrumpe a muchos otros, y por eso los contratos con clientes grandes incluyen cada vez más cláusulas de continuidad, SLA de recuperación y auditorías de resiliencia. Un certificado responde por adelantado la pregunta que todo cliente crítico termina haciendo: ¿qué pasa si ustedes se caen?

Exportación y clientes internacionales

Una empresa argentina que exporta o que es proveedora de una casa matriz o de una cadena de valor global se enfrenta, cada vez con más frecuencia, a cuestionarios de resiliencia de proveedores. El comprador no audita la Argentina país por país: le pide a su proveedor un certificado internacional reconocible. ISO 22301 viaja: se entiende igual en Buenos Aires que en Frankfurt o en Texas.

Licitaciones y pliegos

En pliegos de servicios críticos —tecnología, energía, salud, seguridad— la continuidad operativa empieza a aparecer como requisito o como puntaje diferencial. Presentarse con ISO 22301 certificada convierte una promesa ("tenemos plan de contingencia") en evidencia verificable por un tercero independiente: exactamente lo que un comité de evaluación necesita para asignar puntaje sin discrecionalidad.

Sectores

Dónde suele evaluarse por sector

La norma es transversal, pero en la Argentina se concentra donde la interrupción es más cara y más visible.

  • Fintech, procesadoras de pago y servicios financieros. El sector donde la continuidad es casi condición de existencia. Suele certificarse junto con ISO/IEC 27001, porque un incidente de seguridad y una interrupción operativa son con frecuencia el mismo evento visto desde dos ángulos.
  • Tecnología, SaaS, data centers y hosting. La resiliencia es parte del producto: si el servicio se cae, el cliente del cliente se cae. Los contratos B2B lo exigen.
  • Energía, oil & gas y servicios de Vaca Muerta. Operaciones críticas, cadenas de proveedores exigentes, y operadoras grandes que auditan la continuidad de sus contratistas como parte de la calificación de proveedores.
  • Salud y dispositivos médicos. Prestadores, laboratorios y logística de insumos donde una interrupción tiene consecuencias directas sobre pacientes.
  • Logística, transporte y cadena de frío. Donde una caída rompe cadenas físicas que no se recuperan con un backup.
  • Organismos y servicios públicos digitales. Donde la continuidad del servicio al ciudadano es un mandato en sí mismo.

Una lectura honesta: ISO 22301 rinde donde hay una operación crítica real que proteger. Certificarla "por tenerla", sobre un alcance inflado o artificial, no agrega valor y aumenta el riesgo de hallazgos en auditoría. El alcance del certificado debe describir actividades reales.

Integración

Sus normas hermanas

La continuidad rara vez viaja sola. En la práctica argentina, ISO 22301 se integra con:

Combinaciones frecuentes

  • ISO/IEC 27001 (seguridad de la información). La combinación más frecuente. Un ciberincidente es a la vez una brecha de seguridad y una interrupción operativa; certificar ambas cubre el evento desde los dos lados. Comparten estructura, así que el esfuerzo incremental es menor.
  • ISO 9001 (calidad). Muchas organizaciones que ya sostienen un sistema de calidad suman continuidad sobre la misma arquitectura de gestión.
  • ISO/IEC 20000-1 (gestión de servicios de TI) en organizaciones tecnológicas donde la continuidad del servicio es el objeto del contrato.

Por qué integrarlas conviene

Certificar más de una norma sobre un sistema integrado cuesta menos que certificarlas por separado, y muestra al mercado una organización que gestiona la resiliencia de forma coherente, no en compartimentos.

La certificación de un sistema de gestión sigue el marco de ISO/IEC 17021-1, la norma que regula a los organismos de certificación. El organismo que certifica no implementa ni prepara el sistema del cliente: auditar lo que uno mismo construyó rompería la imparcialidad que exige esa norma. La formación de personas es una cosa; la certificación de la empresa es otra, con decisión técnica independiente. Ese muro es lo que hace que el certificado valga ante un regulador, un cliente internacional o un comité de licitación.

Para un número real sobre tu operación, con el alcance acotado a las actividades que de verdad importa proteger.

Cotizar certificación ISO 22301

Ruta de certificación

Cómo se prepara una propuesta seria.

Datos para cotizar

  • Razón social, CUIT y contacto responsable.
  • Sedes incluidas y actividad principal.
  • Dotación total y procesos cubiertos.
  • Estado del sistema: nuevo, migración, vigilancia o recertificación.

Resultado esperado

  • Propuesta con etapas y condición técnica.
  • Auditoría planificada según alcance.
  • Certificado verificable si la decisión técnica es favorable.
  • Seguimiento durante el ciclo de certificación.

Sectores

Sectores argentinos donde suele evaluarse ISO 22301.

Preguntas frecuentes

Preguntas sobre ISO 22301 en Argentina.

¿Qué certifica exactamente ISO 22301?

Certifica el sistema de gestión de continuidad del negocio de una organización: que existe un mecanismo estructurado para identificar las actividades críticas, definir tiempos de recuperación tolerables, planificar la respuesta ante interrupciones y probar esos planes. No certifica un producto ni una persona, y no garantiza que la organización nunca sufra una interrupción.

¿ISO 22301 es obligatoria en Argentina?

No es de cumplimiento legal general obligatorio. Ahora bien, en el sector financiero el BCRA exige, dentro de su marco de resiliencia operacional (Comunicación "A" 8249), que las entidades cuenten con planes de continuidad del negocio probados —sin nombrar a ISO 22301 como norma obligatoria—, y en muchos contratos con clientes críticos y en pliegos de servicios esenciales la continuidad se exige o se puntúa. ISO 22301 es el vehículo reconocido internacionalmente para demostrarla ante terceros.

¿Cuánto tarda certificar ISO 22301?

Depende del alcance, la dotación, las sedes y del estado del sistema. Un sistema ya maduro que solo necesita auditarse recorre el proceso más rápido que uno que recién se está ordenando. El plazo se define en la propuesta formal, después de acotar el alcance. No se comunica un número genérico porque sería falso: cada operación es distinta.

¿Qué diferencia hay entre ISO 22301 e ISO/IEC 27001?

ISO/IEC 27001 gestiona la seguridad de la información —confidencialidad, integridad y disponibilidad de los datos—. ISO 22301 gestiona la continuidad de la operación ante cualquier interrupción, sea o no informática (un corte de energía, una inundación y la caída de un proveedor también entran). Se solapan en la parte de disponibilidad y por eso se certifican juntas con frecuencia, pero responden a preguntas distintas.

¿La formación en ISO 22301 certifica a mi empresa?

No. La formación es académica y profesional: forma personas. La certificación de una empresa requiere una auditoría y una decisión técnica independiente del organismo de certificación. Son dos cosas separadas, y esa separación es lo que le da valor al certificado.

¿Necesito un plan de continuidad antes de llamar para certificar?

Para certificar, el sistema tiene que existir: hace falta el análisis de impacto, los tiempos de recuperación definidos, los planes y evidencia de que se probaron. Si el sistema todavía no existe, la certificadora no puede construirlo por vos —eso rompería la imparcialidad—; lo que sí puede hacer es acotar el alcance y darte una propuesta clara de auditoría para cuando el sistema esté listo.

WhatsApp