Com garantir la continuïtat de l’activitat. Reflexió sobre la governança de la informació.

L’any passat llegíem la notícia que l’Ajuntament de Baltimore havia estat afectat per un atac informàtic que havia segrestat totes les seves dades i durant dies no va poder donar servei a la ciutadania i va afectar serveis crítics perquè no tenia una política de backups per a molts dels seus sistemes, no tenia establerts mecanismes de recuperació i molts dels documents eren emmagatzemats pels usuaris en les seves màquines. La despesa que això va suposar i les pèrdues econòmiques posteriors són evidents però sobretot l’impacte que va tenir sobre la ciutat i la conscienciació de la necessitat d’una bona planificació de la governança de la informació.

L’accés a la informació en el món digital és més fràgil però alhora és vital perquè les organitzacions funcionin, per aconseguir la continuïtat digital. I què entenem per continuïtat digital? L’habilitat d’utilitzar la informació quan la necessitem i durant el temps que es necessiti. Existeix fins i tot l’ISO 22301 “Business continuity management system” que ens evidencia que la informació digital és més vulnerable que el paper en molts sentits per la dependència amb el software i hardware, perquè pot emmagatzemar-se en múltiples llocs, a què és fàcil perdre context i metadades requerits per a entendre la informació o a què les auditories d’accés o canvis es poden perdre dificultant la confiança en la informació. És per això que s’han de prendre mesures per assegurar que la informació estigui disponible, accessible, estigui completa i fiable, el mateix repte que la preservació digital que fan de la continuïtat digital una manera d’explicar la preservació des d’un punt de vista més enfocat al negoci i a la necessitat final de l’organització i l’usuari: l’accés i l’ús. I en situacions de canvis tecnològics, d’organització o de situacions inesperades s’evidència encara més la necessitat. Governs com el d’Austràlia tenen una Política de continuïtat com a complement d’altres polítiques de govern digital com a estratègia de governança de la informació i els Arxius tenen un paper important com també a Nova Zelanda on els Arxius tenen un “Digital Continuity Action Plan” o el cas dels Arxius Anglesos.

 Per garantir la continuïtat digital es comença per entendre de quina informació es disposa i es genera, com s’utilitza per a desenvolupar les activitats de l’organització i el valor que té. ¿Però existeix aquesta identificació de la informació de les activitats més importants o què es considerin de més risc per al funcionament de l’organització? ¿Existeix un pla de contingència i es prenen mesures per a minimitzar els riscos de pèrdua o dificultat d’accés? En el món dels arxius basem la nostra metodologia en la Gestió Documental i un dels principals àmbits d’actuació és la identificació i avaluació de la informació. Per a nosaltres és bàsica l’ISO 21946 “Identificació i valoració per a la gestió de documents” i la utilització de la teoria dels valors dels documents per identificar si la documentació s’ha de conservar o no segons el seu valor amb la tasca que realitza la Comissió Nacional d’Accés, Avaluació i Tria Documental (CNAATD) en compliment de la legislació vigent a Catalunya.

L’ISO 21946 gira entorn de la necessitat d’identificar i avaluar les funcions d’una organització per a després implantar mesures que garanteixin la gestió de la documentació. Tota organització hauria de tenir avaluada i identificada tota la informació per a conèixer quina informació és més essencial o no per al desenvolupament de la seva activitat, és a dir, per aconseguir la continuïtat digital. Al mateix temps des dels àmbits més tecnològics es treballa en la seguretat dels sistemes d’informació per a garantir l’accés utilitzant el que estableix l’Esquema Nacional de Seguretat (ENS) que ens marca que s’ha d’identificar on es troba la informació i categoritzar-la segons “l’impacte que pot tenir sobre l’organització un incident que afecti la seguretat de la informació dels sistemes” (RD 3/2010) i l’afectació que té per donar el servei.

Cerca la disponibilitat, integritat, confidencialitat, autenticitat i traçabilitat de la informació, els mateixos objectius que cerca la gestió documental i la continuïtat digital. ¿Aquesta classificació de l’ENS és la mateixa que la classificació que es fa al món dels arxius quant s’avalua o dels nivells de la LOPD? Segons el CCN CERT les qualificacions que fa la LOPD i l’ENS són independents. ¿Però com considerar totes aquestes categoritzacions de la informació no complementàries? ¿No estem duplicant esforços i perdent una visió global de la governança de la informació que seria més eficient? Quan llegim l’ISO de continuïtat digital ens destaca la necessitat de treballar des de diferents àmbits de la informació i de manera conjunta. Això tindria més sentit perquè l’objectiu de tots és el mateix. Tots avaluem el risc de la informació, uns es centren en les dades personals, altres en el sistema i altres en els documents o les funcions, però tots acaben realitzant una tasca d’anàlisi complementària. La valoració del risc de la informació va lligada al context, a la funció, i això és el que s’avalua des dels arxius. ¿No seria lògic lligar-ho al Quadre de classificació funcional com a eina vertebradora per a la identificació i categorització?

Tornant a la necessitat d’accedir a la informació és important que els sistemes ens garanteixin que serem capaços d’accedir, que es controla l’accés o l’eliminació o que podem confiar en la informació. ¿Està preparat el sistema per a capturar les dades i gestionar-les per a garantir el seu ús i continuïtat digital? És bàsic en la implantació de qualsevol aplicació o sistema d’informació que establim processos i requeriments per a una correcta gestió de la informació com marca l’ISO 16175-2 “Processes and functional requirements for software for managing records”. Si volem utilitzar la informació i garantir l’accés, primer s’ha d’identificar quina informació es genera dintre dels sistemes, quines dades són importants i es converteixen en evidència de l’activitat de l’organització, per tal d’establir un sistema de governança. Millor fer-ho sempre d’inici abans que sigui massa tard o costos pel volum de dades que tenim. No importa que el sistema sigui docucèntric o datacèntric, potser serà més o menys complicat, però s’haurà d’estructurar i analitzar quines dades s’utilitzen, com i quin cicle de vida/retenció s’aplica. El mateix succeeix amb els serveis al núvol tipus serveis de missatgeria o solucions com Microsoft Office 365. Aquests serveis donen agilitat, escalabilitat i flexibilitat i en situacions com el teletreball s’evidència la seva utilitat i beneficis, no es pot negar. Però la responsabilitat de gestionar i assegurar que la informació es gestiona correctament i donant compliment a la normativa vigent no desapareix. Aquests tipus de serveis tenen també els seus riscos: perdre la propietat i control de la informació cap als proveïdors del servei al núvol, perdre l’accés a les dades o que es mantinguin el temps necessari o problemes d’incompliment normatiu pel que fa a la protecció de les dades de caràcter personal o a la seguretat. Riscos que es minimitzen establint condicions en el contracte. Una eina molt útil per a saber que hauríem de tenir en compte i establir les nostres condicions és el treball que Interpares va realitzar:
https://interparestrust.org/assets/public/dissemination/NA14_20160226_CloudServiceProviderContracts_Checklist_Final.pdf
Al final s’han de considerar els riscos i mitigar-los i no deixar-se emportar per la urgència o la immediatesa. Però sobretot establir en aquests sistemes una estratègia de governança de la informació. Pot ser tan senzill com definir una estructura, una nomenclatura i un cicle de vida de la informació. No obstant, això ens hauria de fer reflexionar sobre la necessitat de tenir una estratègia global de la governança de la informació que tingués en compte tots els aspectes que hem anat enumerant.

En situacions d’emergència o de contingència és quan ens adonem si els sistemes estan preparats i les organitzacions tenen els protocols i la preparació per a fer-ne front i garantir la continuïtat digital, la continuïtat de la seva activitat, una activitat que sense accés a la informació es veu minvada. Tenir estratègies i polítiques de governança de la informació amb mesures i inversió més enllà d’un simple document aprovat és imprescindible. I des de l’àmbit dels Arxius i la Gestió Documental no deixarem de treballar amb aquest objectiu.