El concepte de “continuïtat de negoci” es defineix com la capacitat d’una organització per mantenir les seves operacions i serveis durant una disrupció o interrupció, la qual s’entén com un incident, esperat o no, que causa una desviació negativa no planificada de les operacions d’acord amb els objectius de l’organització.
En aquest sentit, les administracions públiques hi tenen un paper fonamental, perquè són les responsables de prestar serveis públics essencials a la ciutadania i, per tant, han de garantir que, en una situació de contingència, els serveis es continuen prestant sota unes condicions predefinides que minimitzin la possible pèrdua d’informació i el temps de falta de servei.
La transformació digital que s’ha produït els últims anys, els nous escenaris i l’avenç de les tecnologies han provocat que els sistemes d’informació que donen suport a aquests serveis públics estiguin cada vegada més exposats, cosa que afecta tant les administracions públiques com les seves cadenes de subministraments i, en última instància, els ciutadans.
Per això, i amb l’objectiu de protegir els sistemes i la informació dels ciutadans, el Reial Decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat, estableix els principis, mesures i polítiques que han d’implementar les administracions públiques. Entre aquestes mesures tenim les relatives a la continuïtat del servei.
En primer lloc, s’ha de fer una anàlisi d’impacte sobre els serveis en què s’estudiï detalladament com afectaria una situació crítica o desastre a la prestació del servei, identificant les parts o processos més crítics, valorant l’impacte sobre la seva interrupció i definint els recursos necessaris per a la seva continuïtat en cada cas.
Pla de continuïtat
Els resultats d’aquesta anàlisi seran la base sobre la qual es construirà el Pla de continuïtat que identificarà les funcions, responsabilitats i activitats que calgui dur a terme en cas de desastre que impedeixi que el servei es presti sota les seves condicions i amb els mitjans habituals. Entre d’altres:
- Els components del comitè de crisi que pren la decisió d’aplicar el pla després d’avaluar la crisi i les seves conseqüències.
- Els responsables de la comunicació amb les parts afectades.
- Equip responsable de la recuperació del sistema d’informació.
El pla ha d’incloure la previsió dels recursos alternatius dels quals s’ha de disposar per poder continuar prestant el servei: instal·lacions, comunicacions, equipament, personal, proveïdors…
Tots els mitjans alternatius han d’estar planificats per mitjà dels acords o contractes corresponents.
El pla ha d’incloure instruccions per a la coordinació entre tots els elements i s’hi han de detallar punts de contacte, canals de comunicació i obligacions que permetin assolir la recuperació del desastre.
L’organització ha de proporcionar formació específica sobre el pla a totes les persones afectades.
Pla de proves
Les accions, passos i mesures previstos en el pla de continuïtat han de ser sotmesos a proves periòdiques per detectar-hi possibles errors o deficiències. Les proves han de cobrir d’alguna manera tot el conjunt d’accions previstes per dur-les a terme en situació de crisi i, per tant, han d’implicar les persones responsables o amb un rol definit dins del pla.
Una vegada fetes les proves, cal generar un informe en què s’incloguin les incidències ocorregudes i el pla de millora per tractar-les totes.
A més, aquest informe ha de contenir la informació sobre l’eficiència del pla i els temps d’execució obtinguts, de manera que se’n pugui avaluar la millora, en comparació amb els resultats de proves anteriors.
ISO 22301
ISO 22301 és la norma internacional per a la gestió de la continuïtat de negoci. Té com a objectiu ajudar les organitzacions a estar preparades i millorar la seva capacitat de reacció en cas de desastre o de situació de crisi que afecti els seus serveis.
La preocupació de les organitzacions per saber respondre adequadament en cas d’un atac cibernètic, un desastre natural, un error informàtic, etc. és cada vegada més gran, atesa la creixent complexitat de l’entorn en el qual es presten els seus serveis.
Això es reflecteix en el volum de certificats de compliment amb ISO 22301 emesos els últims anys. Entre el 2019 i el 2021, el nombre de certificacions ha crescut més d’un 30 % a escala mundial, xifra que suposa un dels increments més grans de tot el conjunt de normes ISO, segons dades de les enquestes ISO Survey.
Responsabilitat de les administracions públiques
Les administracions públiques, com a prestadores de serveis essencials als ciutadans, han d’assegurar-se de la seva continuïtat en cas que es produeixi qualsevol desastre o contingència, per a la qual cosa cal garantir que els proveïdors que formen part de la cadena de subministrament d’aquests serveis disposen de sistemes de gestió de continuïtat de negoci. Els proveïdors podran oferir aquesta garantia a les administracions públiques mitjançant la seva certificació.
A Gestiona, com a proveïdor crític de les administracions públiques, hem certificat el Sistema de Gestió de Continuïtat de Negoci en ISO 22301 amb l’objectiu de garantir la capacitat adequada per respondre a possibles atacs o errors que puguin comprometre la disponibilitat del servei prestat i de les dades personals dels ciutadans.
