El concepto de “continuidad de negocio” se define como la capacidad de una organización para mantener sus operaciones y servicios durante una disrupción o interrupción, entendida ésta como un incidente, esperado o no, que causa una desviación negativa no planificada de las operaciones de acuerdo con los objetivos de la organización.
En este sentido, las Administraciones Públicas desempeñan un papel fundamental al ser las responsables de la prestación de servicios públicos esenciales a la ciudadanía y, por tanto, deben garantizar que, en situación de contingencia, los servicios se siguen prestando bajo unas condiciones predefinidas que minimicen la posible pérdida de información y el tiempo de falta de servicio.
La transformación digital que se ha producido en los últimos años, los nuevos escenarios y el avance de las tecnologías, han provocado que los sistemas de información que dan soporte a estos servicios públicos estén cada vez más expuestos, afectando tanto a las Administraciones públicas como a sus cadenas de suministros y, en última instancia, a los ciudadanos.
Por ello y, con el objetivo final de proteger los sistemas y la información de los ciudadanos, el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, establece los principios, medidas y políticas que deben implementar las Administraciones Públicas. Entre estas medidas se encuentran las relativas a Continuidad del servicio.
En primer lugar, debe realizarse un análisis de impacto sobre los servicios en el que se estudie detalladamente cómo afectaría una situación crítica o desastre a la prestación del servicio, identificando las partes o procesos más críticos, valorando el impacto sobre su interrupción y definiendo los recursos necesarios para su continuidad en cada caso.
Plan de continuidad
Los resultados de este análisis serán la base sobre la que se construya el plan de continuidad que identificará las funciones, responsabilidades y actividades a realizar en caso de desastre que impida que el servicio se preste bajo sus condiciones y con los medios habituales. Entre otras:
- Los componentes del comité de crisis que toma la decisión de aplicar el plan tras evaluar la crisis y sus consecuencias.
- Los responsables de la comunicación con las partes afectadas.
- Equipo responsable de la recuperación del sistema de información.
El plan debe incluir la previsión de los recursos alternativos de los que debe disponerse para poder seguir prestando el servicio: instalaciones, comunicaciones, equipamiento, personal, proveedores…
Todos los medios alternativos deberán encontrarse planificados a través de los acuerdos o contratos correspondientes.
El plan incluirá instrucciones para la coordinación entre todos los elementos, detallando puntos de contacto, canales de comunicación y obligaciones que permitan alcanzar la recuperación del desastre.
La organización deberá proporcionar formación específica sobre el plan a todas las personas afectadas.
Plan de pruebas
Las acciones, pasos y medidas previstas en el plan de continuidad deben ser sometidas a pruebas periódicas para detectar posibles fallos o deficiencias en el mismo. Las pruebas deben cubrir de alguna manera a todo el conjunto de acciones previstas para su realización en situación de crisis y, por tanto, deben implicar a las personas responsables o con un rol definido dentro del plan.
Una vez realizadas las pruebas debe generarse un informe en el que se incluyan las incidencias ocurridas y el plan de mejora para tratar cada una de ellas.
Este informe además debe contener la información sobre la eficiencia del plan y los tiempos de ejecución obtenidos, de forma que pueda evaluarse su mejora, en comparación con los resultados de pruebas anteriores.
ISO 22301
ISO 22301 es la norma internacional para la Gestión de la Continuidad de negocio. Su objetivo es ayudar a las organizaciones a estar preparadas y mejorar su capacidad de reacción ante un desastre o una situación de crisis que afecte a sus servicios.
La preocupación de las organizaciones por saber responder adecuadamente ante un ciberataque, un desastre natural, un fallo informático, etc. es cada vez mayor dada la creciente complejidad del entorno en el que se prestan sus servicios.
Esto se refleja en el volumen de certificados de cumplimiento con ISO 22301 emitidos en los últimos años. Entre 2019 y 2021, el número de certificaciones ha crecido más de un 30% a nivel mundial; lo que supone uno de los mayores incrementos de todo el conjunto de normas ISO, según datos de las encuestas ISO Survey.
Responsabilidad de las Administraciones Públicas
Las Administraciones Públicas, como prestadoras de servicios esenciales a los ciudadanos deben asegurarse de su continuidad ante cualquier desastre o contingencia, para lo cual es necesario garantizar que los proveedores que forman parte de la cadena de suministro de estos servicios disponen de sistemas de gestión de continuidad de negocio. Los proveedores podrán ofrecer esta garantía a la Administración mediante su certificación.
En Gestiona, como proveedor crítico de las Administraciones Públicas, hemos certificado el Sistema de Gestión de Continuidad de Negocio en ISO 22301 con el objetivo de garantizar la capacidad adecuada para responder a posibles ataques o fallos que puedan comprometer la disponibilidad del servicio prestado y de los datos personales de los ciudadanos.