Texticulillo nº 12: Continuidad del Negocio y Auditoría de Sistemas

@iTTiresearch | 2iTTi | The [Digital] Accountability Think Tank
Bibliotecaclásica
PublicadaporiTTi,“Bibliotecaclásica”estáconcebidacomounaserie,noperiódica,deviejos
textos,conelpropósitodeofrecerunasegundavidaaciertosescritosque,ajuiciodeleditor,
mantienensuvigenciaapesardeltiempotranscurridodesdesupublicaciónoriginal.
Conello,sebusca,además,provocaralgunasreflexionesentrelacomunidadcorporativasobre
unavariedaddetemasque,bajoeldenominadorcomúndelusodelodigitalenlas
organizaciones,contribuyanacrearunaculturaéticaderendicióndecuentasenrelaciónalas
decisionestomadassobreelreferidouso.
SobreiTTi®
iTTi|The[Digital]AccountabilityThinkTankes la fuente de análisis independiente, sin ánimo
de lucro, para aquellos líderes corporativos que buscan opinión objetiva, y consejo, sobre el papel
de lo digital en el éxito de sus negocios.
iTTi aspira a fomentar una mayor conciencia ética entre consejeros y ejecutivos con relación a su
responsabilidad última sobre los activos de información clave para la organización.
iTTi se centra en el análisis de la aplicación y uso de lo digital en las entidades de hoy; pero, sobre
todo, presta atención a las consecuencias de las decisiones tomadas en dichos ámbitos, esto es,
las consecuencias derivadas de la forma en que se gobiernan tales temas desde los órganos de
administración de las sociedades.
Porfavor,remitasusconsultasa:[email protected]
PuedeVd.seguiraiTTien:
LinkedIn:https://www.linkedin.com/company/itti-the-digital-accountability-think-tank
X:https://x.com/iTTiresearch(@iTTiresearch)
Slideshare: https://www.slideshare.net/iTTi_news
Lasimágenesempleadasalolargodeldocumentohansidocreadasy/oeditadasmedianteIAgenerativa.

@iTTiresearch | 3iTTi | The [Digital] Accountability Think Tank
Comentario del editor

@iTTiresearch | 4iTTi | The [Digital] Accountability Think Tank
Cualquiera que afirme que el principal objetivo de un empresa privada -frente
a la pretendida, a priori, finalidad social de las empresas públicas- es el excesivamente
simplista ¡ganar dinero!, estará incurriendo en un grave error. Por encima de cualquier otra
consideración, la principal meta de toda compañía privada es -habrá de ser, desde una
perspectiva de buen gobierno corporativo- garantizar su perdurabilidad, la permanencia y
continuidad de su actividad, en el tiempo. Solo de ese modo tendrá sentido plantearse otros
objetivos. [Presumiblemente, el más importante -pero, en segundo lugar-, el referido más
arriba].
La obviedad del anterior razonamiento es evidente, por simple: la inexistencia, la
desaparición, de la empresa invalidará automáticamente cualquier otra pretensión de
rentabilidad y beneficio -por ejemplo, para los que hasta ese momento hayan sido sus
propietarios o accionistas-. ¡Sencillamente, ya no aplicará!
El cortoplacismo que, en gran medida, rige, hoy, la vida corporativa -lamentablemente, no es
la única que rige; también rige otras vidas- es uno de los principales inhibidores para la
continuidad de los negocios. El caso Enron, por lo muy documentado y divulgado -véase
Enron. Los tipos que estafaron a América-, resulta uno de los más paradigmáticos. En él -y en
el propio documental- queda ampliamente reflejada la incompatibilidad entre la meta de
“ganar dinero”, planteada como meta prioritaria, y la de mantenerse en el mercado.
¡Pregúntenles, si no, a los accionistas de la compañía! Eso, por no hablar de sus empleados y,
por tanto, futuros jubilados, destinatarios últimos de sus fondos de pensiones.
El tema, ampliamente discutido en los foros profesionales sobre buen gobierno corporativo,
se materializa en la ‘contaminación’ -desde la perspectiva del conflicto de intereses- que
muestran los consejos de administración, cuando en ellos participan miembros de los
propios equipos directivos de las compañías. Estos consejeros ejecutivos, particularmente,
cuando haya suculentas primas por resultados sobre la mesa, deberán equilibrar dos fuerzas
contrapuestas: a) de un lado, su particular interés por alcanzar un rápido crecimiento,
garantizándose, con ello, su gratificación personal; b) y, de otro, el de sus representados en el
consejo, esto es, la junta de accionistas -y, por tanto, el de toda la propiedad-, quienes,
presumiblemente, querrán ver el beneficio mantenido en el tiempo y no sólo en un momento
puntual. ¡Ni Lay, ni Skilling alcanzaron dicho equilibrio!

@iTTiresearch | 5iTTi | The [Digital] Accountability Think Tank
Al hilo de esta necesidad de garantizar una larga vida a los negocios, como premisa de otros
éxitos empresariales, Manolo Palao acerca a iTTi este nuevo Texticulillo en el que expone
el papel que, en este asunto, juegan las tecnologías de la información y las comunicaciones
-en lenguaje de hoy, lo digital-.

@iTTiresearch | 6iTTi | The [Digital] Accountability Think Tank
Continuidad del Negocio y
Auditoría de Sistemas
Texticulillo nº 12
de Manolo Palao
Copyright ©, 2002-2025, Manolo Palao.
Publicadooriginalmenteenelinviernode 2002 a 2003.

@iTTiresearch | 7iTTi | The [Digital] Accountability Think Tank
En una entrega previa de esta serie, ya he subrayado la revolución que, para la
ASITIC (1), supuso la publicación, por parte de ISACA (2)(3), del marco de referencia de
buenas prácticas CobiT, en 1996.
CobiT es un instrumento para la gobernanza de los SITIC (4), puesto a disposición de
directivos y auditores, para facilitar el buen gobierno y el control de los sistemas de que
aquellos se ocupan.
La revolución que CobiT supuso fue la de plantear la gestión de la totalidad de los SITIC al
servicio de la empresa (u organismo).
Y uno de los objetivos primordiales de toda empresa es la continuidad de sus operaciones; al
menos, las vitales.
***
El enfoque hacia la gestión de la continuidad del negocio ha ido evolucionando con el
tiempo, adoptando en los últimos años formas más estratégicas e integradas.
Comenzó hablándose de recuperación ante desastres, después se habló de reanudación de la
operativa del negocio y, sólo posteriormente, se ha tratado la continuidad del negocio (5). Yo
me atreví, hace unos años, a pronosticar que ese planteamiento evolucionaría hacia el de la
continuidad de la cadena logística (6).
A toda empresa le interesa sobrevivir, con costes controlados, a una alteración o interrupción
de sus operaciones.
Los atentados del 11-S, y sus consecuencias, han aumentado la concienciación por estos
temas (7).
Los accidentes u otros amenazadores incidentes también acarrean, en ocasiones, graves
consecuencias. Cuando escribo estas líneas la prensa dice que “la compañía Iberia logró ayer
por la mañana, tras 21 horas de caos absoluto, resolver la avería que la ha obligado a cancelar
48 vuelos y que ha provocado retrasos en otros 970” (8).

@iTTiresearch | 8iTTi | The [Digital] Accountability Think Tank
***
Convencionalmente, podemos clasificar las perturbaciones a la buena marcha de la empresa
como incidencias, siniestros y catástrofes.
Las incidencias son disfunciones menores -en ocasiones usuales- que el sistema productivo
absorbe (y, a veces, corrige automáticamente). Ejemplos de ellas pueden ser las averías
locales, las interrupciones breves o los errores corregibles con un esfuerzo limitado.
Los siniestros son perturbaciones mayores que pueden causar interrupciones de horas o días
y conllevar costes -de prevención, de detección y/o de corrección- significativos.
Las catástrofes son siniestros mayores que pueden suponer una larga interrupción de las
operaciones y llevar al cierre definitivo de la empresa. Según un estudio de la Universidad de
Tejas, relativo a fábricas, “tras una catástrofe, un 43% nunca reabre, un 51% sobrevive, pero
está fuera del mercado en 2 años y sólo el 6% logra sobrevivir a largo plazo” (9).
Incidencias, siniestros y catástrofes pueden ser directos o indirectos -a través de los SITIC, que
es lo que aquí nos concierne; o por otros servicios (el eléctrico, por ejemplo)-. Un fuego en la
fábrica sería un siniestro directo; una inundación en el centro de cálculo lo sería indirecto
para la empresa entera, con la concepción de la informática al servicio de la empresa antes
expuesta. Muchas empresas tienen una alta y creciente dependencia de sus SITIC, lo que
desdibuja esa distinción entre directo e indirecto.
La empresa debe partir de una clasificación de sus SITIC. Una clasificación usual permite
hablar de sistemas críticos -no pueden ser reemplazados por métodos manuales; el coste de
la interrupción es muy alto-, vitales -durante un período breve pueden ser ejecutados a
mano-, sensibles -pueden realizarse manualmente durante períodos largos, a costes
razonables- y no críticos -pueden interrumpirse durante plazos largos, a coste bajo-.
Un estudio de la Universidad de Minnesota, citado (10) por el Prof. Dr. D. Jorge Ramió
Aguirre, de la Universidad Politécnica de Madrid, indica períodos críticos de recuperación
para los sistemas de información -al objeto de no poner en peligro la supervivencia de las
organizaciones a las que sirven-: inferiores a los siete días (con carácter general, en todos los
sectores), e inferiores a los dos días (en el sector financiero).
Para los distintos sistemas -y según su criticidad en el tiempo- hay que tener previstas
medidas, que deben estar recogidas en un plan integrado de continuidad del negocio,
debidamente actualizado, difundido -Kodak (11), por ejemplo, lo hace a través de su intranet-
y probado.

@iTTiresearch | 9iTTi | The [Digital] Accountability Think Tank
Entre las medidas preventivas figuran el tener copias actualizadas de programas y datos en
un almacén remoto, disponer de líneas de comunicaciones redundantes y tener probado un
centro de cálculo alternativo, también, remoto. Esto último admite diversas variantes -de
distinto coste y eficacia-, desde un acuerdo de reciprocidad de ayuda con otra empresa, a
tener centros de cálculo redundantes, con una instalación más o menos básica, o con una
completa.
Los ASITIC tienen formación y experiencia especializadas para ayudar a establecer dichos
planes y para comprobar la idoneidad de su gestión.
CobiT contiene excelentes recomendaciones para directivos y auditores de SITIC, en relación
con la continuidad del negocio.
***
El portal Contingency Planning (12) -lamentablemente sólo en inglés- reúne una variedad de
informaciones y servicios relacionados con la continuidad del negocio. Nadie interesado en
este tema debería dejar de registrarse y de estudiarlo.
En su sección dedicada a “Defensas ante Interrupciones” (del inglés, Disruption Defenses)
(13), trata los diversos riesgos con un amigable formato de ficha técnica, con los siguientes
apartados: “Causa y Efecto”; “Dónde y Cuándo”; “Medidas Mitigadoras”; “Tras el Siniestro”;
“Consejo del Experto” y “Un Caso Real”.
No me resisto -por si alguien cree que ya tiene su plan de continuidad bastante completito- a
ofrecer la lista, ordenada alfabéticamente, de los riesgos (14) contemplados en esas fichas:
•accesos no autorizados
•adicciones en el puesto de trabajo
•apagones
•ataques con virus [biológicos]
•ataques de denegación de servicio
•clima invernal
•conflictos laborales
•crimen de cuello blanco
•disfunciones en entregas
•emergencias médicas
•espionaje
•factor humano

@iTTiresearch | 10iTTi | The [Digital] Accountability Think Tank
•fallos de ordenador
•fallos de suministro de energía
•falta de mano de obra
•falta de registros
•fuego
•fusiones y adquisiciones
•huracanes
•instalaciones con varias empresas usuarias
•interrupciones de transporte
•inundaciones
•moral de los empleados
•piratas informáticos
•planificación de sucesiones
•problemas legales
•publicidad negativa
•reubicación del negocio
•riesgos biológicos
•riesgos medioambientales
•síndrome del edificio enfermo
•temas relacionados con la plantilla
•terremotos
•tormentas de nieve
•tormentas eléctricas
•tormentas invernales
•tornados
•tumultos
•violencia en el puesto de trabajo
•virus de ordenador
(1) Nota del editor: Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.
(2) Nota del editor: Antigua Asociación para el Control y la Auditoría de los Sistemas de Información (del inglés,
Information Systems Audit and Control Association) con una audiencia objetivo que, no obstante los auditores
de sistemas, en la actualidad se extiende a todo profesional con intereses en torno al uso de lo digital dentro de
las organizaciones.

@iTTiresearch | 11iTTi | The [Digital] Accountability Think Tank
(3) Nota del editor: En realidad, sería ISACF, la entonces existente Information Systems Audit and Control
Foundation (Fundación para el Control y la Auditoría de los Sistemas de Información), quien alumbrara CobiT en
1996.
Esta rama investigadora de ISACA desaparecería dos años más tarde, en 1998, a favor de ITGI, IT Governance
Institute (Instituto para la Gobernanza de las TI), hoy también extinguido.
Desde 2020, ISACA concentra su actividad educativa en una nueva fundación, la ISACA Foundation.
La desaparición del IT Governance Institute ha supuesto -a nuestro juicio- un paso atrás en el camino de
fomentar el buen Gobierno Corporativo de las TI -en lenguaje de hoy, Gobierno Corporativo de “lo digital”-,
particularmente entre el colectivo de directivos no-TI de las organizaciones.
(4) Nota del editor: Sistemas de Información y Tecnologías de la Información y las Comunicaciones.
(5) Nota del editor: Sin duda, el término de moda, hoy, es resilience -la ‘resiliencia‘ como, con toda probabilidad,
diría Palao-, la elasticidad de que deberían estar dotadas las organizaciones a fin de ser capaces de resistir ante
adversidades relevantes que afecten a sus sistemas de información y de recuperar su ‘forma’ original, su
operativa previa al impacto. Piensen en el comportamiento de los modernos edificios japoneses tras recibir el
envite de un terremoto.
(6) Nota del editor: Es de destacar la capacidad premonitoria del autor -sitúense Vds. en 2002-, habida cuenta
del papel clave que las cadenas de suministro tienen, hoy (2025), en cualquier estrategia mínimamente seria de
mitigación del riesgo de naturaleza digital.
(7) Los atentados terroristas suicidas de Al Qaeda, ejecutados el 11 de septiembre de 2001 en los Estados
Unidos, causaron 2.996 muertos y alrededor de 25.000 heridos. En muchos sentidos fueron un hito histórico.
Provocaron un aumento global de las tensiones geopolíticas, un reforzamiento de muchos poderes ejecutivos,
con priorización de la seguridad sobre otros derechos, reforzamiento de las tecnologías de vigilancia masiva,
análisis de datos, seguimiento digital y sistemas biométricos. A nivel macro, produjeron cambios en normas
sobre fronteras, inmigración, control de pasaportes, flujos financieros, y operativa aeroportuaria, entre otros. A
nivel micro, muchas empresas -sobre todo grandes y multinacionales- reforzaron su interés por temas como los
tratados aquí. También condujeron a intervenciones militares en Afganistán e Irak.
Las casi seiscientas páginas del “Informe de la Comisión del 11-S” (The 9/11 Commission Report), del Gobierno
de los EEUU, recogen información bastante amplia al respecto.
(8) Fuente: Diario “El País“. Madrid, 9 de noviembre de 2002. Un texto de Verónica Martín/Carlos E. Cué.
(9) Nota del editor: El informe de la Universidad de Texas -fechado, supuestamente, hacia 1987- a que alude el
autor no resulta, a fecha de hoy, fácil de localizar, ni de atribuir.
No obstante, los datos y el informe, en sí mismo, son una referencia clásica en el campo de la recuperación ante
desastres, que han venido siendo citados desde hace más de dos décadas en ponencias, informes de terceros y
acciones publicitarias de fabricantes de soluciones y/o servicios de continuidad de negocio.
La referencia más viable donde pudieron haberse citado estos datos inicialmente es la obra del especialista Jon
Willian Toigo, Disaster Recovery Planning. Preparing for the Unthinkable, cuya primera edición data de 1989.
(10) La tabla de ‘tiempos de recuperación ante desastres’ del Prof. Ramió se puede consultar en la diapositiva
150 de su “Curso de Seguridad Informática y Criptografía”, dado en Madrid, en 2003.
El estudio de la Universidad de Minnesota aparece fechado en 1996.

@iTTiresearch | 12iTTi | The [Digital] Accountability Think Tank
(11) Kodak, que aparece aquí como paradigma de las buenas prácticas en materia de comunicación interna,
suele citarse, desde hace casi dos décadas, como ejemplo de fracaso ante la trasformación digital.
Fundada en 1888, revolucionó la fotografía analógica, al hacerla accesible para las masas con cámaras fáciles de
usar y película flexible. Su apogeo fue en el siglo XX, dominando el mercado. Sin embargo, por su falta de
adaptación a la era digital (a pesar de haber inventado la primera cámara digital), en 2012 entró en concurso de
acreedores.
Hoy, Kodak se centra en la impresión, software y servicios comerciales, muy lejos de su antiguo poder.
(12) El antiguo portal de Internet Contingency Planning estaba localizado a finales de 2002 en la dirección-e
http://www.contingencyplanning.com. Hoy día, la referencia más cercana es el portal australiano CPMA,
Contingency Planning & Management Australia, accesible en https://www.contingencyplanning.com.au/; pero
que poco tiene que ver con el enfoque en los sistemas de información, de interés aquí.
Lamentablemente, parece que el portal original operó desde 1996 a 2003. ¡Pena (la vida media de la mayoría de
las empresas occidentales es de 10-20 años, según varias estimaciones)!
Fuentes alternativas actuales son:
•The Business Continuity Institute (BCI)
•Disaster Recovery Institute International (DRI International)
•ISACA
•National Institute of Standards and Technology (NIST)
•ISO 22301
•ISO/IEC 27031
(13) Nota del editor: Véase (12).
(14) Nota del editor: Ya sabe que, a nuestro criterio, estos catálogos de riesgos, no lo son; son de amenazas.

@iTTiresearch | 13iTTi | The [Digital] Accountability Think Tank
Firmas

@iTTiresearch | 14iTTi | The [Digital] Accountability Think Tank
MIGUEL GARCÍA-MENÉNDEZ, CGEIT, CISM, CISA, CRISC, CDPSE
Miembroplatinode ISACA
Co-fundador, Director General y Director de Análisis
iTTi | The [Digital] Accountability Think Tank
MANOLOPALAO,CGEIT,CCA,CISM,CISA
Miembro platino de ISACA
Co-fundador, Director de Operaciones y Analista Principal
iTTi | The [Digital] Accountability Think Tank
Autor del Texticulillo
Editor de la presente edición

@iTTiresearch | 15iTTi | The [Digital] Accountability Think Tank
Otros títulos
de la colección

@iTTiresearch | 16iTTi | The [Digital] Accountability Think Tank
Son títulos anteriores de la colección “Texticulillos” los siguientes:
1.Arquímedes y la Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-1-arquimedes-y-la-auditoria-de-
sistemas/283001998
2.Juvenal y la Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-2-juvenal-y-la-auditoria-de-
sistemas/283027242
3.Teseo y la Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-3-teseo-y-la-auditoria-de-
sistemas/283058889
4.Independencia y Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-4-independencia-y-auditoria-de-
sistemas/283106841
5.Competencia y Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-5-competencia-y-auditoria-de-
sistemas/283127229
6.Evidencia y Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-6-evidencia-y-auditoria-de-
sistemas/283150543
7.Fraude y Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-7-fraude-y-auditoria-de-
sistemas/283296869
8.Riesgo y Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-8-riesgo-y-auditoria-de-
sistemas/283311827
9.El Burro Flautista y la Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-9-el-burro-flautista-y-la-auditoria-de-
sistemas/283493603
10.San Agustín y la Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-10-san-agustin-y-la-auditoria-de-
sistemas/283535038

@iTTiresearch | 17iTTi | The [Digital] Accountability Think Tank
11.DC y Auditoría de Sistemas (2025)
URL:: https://es.slideshare.net/slideshow/texticulillo-n-11-dc-y-auditoria-de-
sistemas/283723083

@iTTiresearch | 18iTTi | The [Digital] Accountability Think Tank
Copyright©2011-2025,iTTi|The[Digital]AccountabilityThinkTank.Todoslosderechosreservados.
The
[Digital]
Accountability
Think Tank