Cómo preparar a tu empresa para una crisis
mayo 7, 2026
Gestión de crisis y continuidad de negocio: qué cubre cada una y por qué las dos importan
mayo 25, 2026
ISO 22361: qué es, para qué sirve y quién debería conocerlo en una empresa
ISO 22361:2022 es el estándar internacional de directrices para la gestión de crisis. Fue publicado por la Organización Internacional de Normalización en 2022 y es el primer estándar de la familia ISO dedicado específicamente a este tema — distinto de ISO 22301, que cubre la continuidad de negocio, y de ISO 31000, que cubre la gestión del riesgo.
Este artículo explica qué cubre el estándar, en qué se diferencia de otras normas ISO, y qué tipo de organizaciones y profesionales tienen razones concretas para conocerlo y aplicarlo.
Qué tipo de estándar es ISO 22361
Antes de entrar al contenido, vale aclarar una distinción técnica que tiene implicaciones prácticas: ISO 22361 es un estándar de directrices, no de requisitos.
Un estándar de requisitos — como ISO 22301 o ISO 9001 — define lo que una organización debe cumplir para obtener una certificación de sistema de gestión. Se puede auditar, certificar y renovar. Un estándar de directrices — como ISO 22361 o ISO 31000 — establece principios, marcos de referencia y orientaciones que una organización puede adoptar para estructurar su programa. No se certifica como sistema, pero sí se puede usar como base para formar equipos, diseñar programas y desarrollar competencias profesionales.
Esto significa que adoptar ISO 22361 no requiere pasar una auditoría de certificación. Lo que requiere es que las personas responsables de la gestión de crisis en la organización entiendan el marco, lo puedan aplicar y lo puedan comunicar internamente.
Qué cubre el estándar
ISO 22361 está estructurado en torno a tres elementos: principios, marco de referencia y proceso. Juntos, definen qué debería guiar las decisiones de un equipo de crisis, cómo debería estar organizado el programa, y cómo debería funcionar desde la preparación hasta la recuperación.
Principios
El estándar establece los criterios que deberían guiar la toma de decisiones durante una crisis: gobernanza clara, ética en las decisiones, gestión del riesgo y aprendizaje continuo. Estos principios no son declaraciones genéricas — son los criterios con los que se evalúa si una respuesta fue bien conducida o no.
Marco de referencia
Define la estructura organizacional del programa: liderazgo y compromiso de la dirección, roles y responsabilidades del equipo de gestión de crisis, recursos necesarios, y cómo se integra el programa con el resto de la organización. Sin este marco, los planes y protocolos no tienen un gobierno que los sustente.
Proceso
Cubre las fases operativas: preparación — que incluye evaluación de capacidades, diseño de protocolos y entrenamiento —, respuesta — con los pasos desde la detección hasta la estabilización — y recuperación y aprendizaje post-evento. Dentro del proceso, el estándar desarrolla con particular detalle dos temas: la toma de decisiones bajo presión y la comunicación de crisis, incluyendo el manejo de redes sociales.
En qué se diferencia de ISO 22301 e ISO 31000
La confusión entre estas tres normas es frecuente, especialmente en organizaciones que ya tienen alguna de ellas implementada.
ISO 31000 es el marco de gestión del riesgo. Cubre la identificación, análisis y tratamiento de riesgos en condiciones normales de operación. No está diseñado para la respuesta bajo presión ni para la gestión de la comunicación en una crisis.
ISO 22301 es el estándar de requisitos para sistemas de gestión de continuidad de negocio. Se enfoca en mantener las operaciones críticas ante interrupciones. Como se mencionó en el artículo anterior de esta serie, continuidad de negocio y gestión de crisis son disciplinas distintas con objetivos distintos.
ISO 22361 cubre lo que las otras dos no cubren: el gobierno estratégico de la respuesta cuando el evento ya ocurrió o está ocurriendo, la comunicación con grupos de interés bajo condiciones de incertidumbre, y los criterios de decisión cuando las opciones tienen consecuencias difíciles. Es el estándar específico para gestión de crisis.
Quién debería conocerlo
ISO 22361 es relevante para cualquier profesional con responsabilidades directas o de soporte en la respuesta a crisis corporativas. Eso incluye a quienes trabajan en gestión del riesgo, continuidad de negocio, seguridad corporativa, comunicación institucional, legal y dirección general — especialmente en organizaciones grandes donde una crisis puede involucrar a varios de esos equipos al mismo tiempo.
También es relevante para consultores que acompañan a organizaciones en el diseño o evaluación de sus programas de gestión de crisis, y para auditores que revisan la madurez de esos programas.
El perfil que más se beneficia del estándar no es el de alguien que está empezando a explorar el tema, sino el de alguien que ya tiene responsabilidades en esta área y necesita un marco reconocido internacionalmente para estructurar, documentar y comunicar su programa.
Cómo se usa en la práctica
Adoptar ISO 22361 en una organización no empieza por redactar documentos. Empieza por entender qué cubre el estándar, evaluar el estado actual del programa frente a ese marco, e identificar las brechas.
Las organizaciones que lo usan como referencia lo hacen de distintas formas: algunas lo adoptan como estructura base para diseñar su programa desde cero, otras lo usan para auditar y actualizar un programa existente, y otras lo utilizan para formar a las personas que van a conducir la respuesta — lo que incluye certificaciones profesionales como la CM-22361.
En cualquiera de esos usos, el punto de partida es el mismo: saber en qué estado está el programa actual antes de decidir qué construir o mejorar.
