El Sector público tiene en la Administración electrónica un aliado imprescindible para ofrecer un servicio más eficiente y de mayor calidad a los ciudadanos.

Con el gran volumen de información que gestionan las AAPP se hace imprescindible que los servicios soportados por los sistemas de información estén bien definidos, se comuniquen entre sí y permitan la interoperabilidad con sistemas de otras administraciones.

A pesar de todo, los servicios online no tienen que ser implantados con vistas a ofrecer únicamente una imagen de modernidad, sino para obtener una serie de ventajas como puede ser la agilidad, el servicio 24 horas o cualquier otro requisito que se haya estudiado con antelación.

Por ejemplo, la implantación de servicios Cloud porque “está de moda” o porque “otros ayuntamientos lo hacen”, sin un adecuado análisis de las necesidades y requerimientos por parte de la Administración que los contrata, puede suponer un error difícil de subsanar y justificar. De la misma forma, el argumento del ahorro de costes, que realmente existe, tampoco puede ser el único motivo para implantar servicios Cloud.

Uno de los servicios en la Nube más habituales es el relacionado con la gestión de backup remoto. Si bien la implantación de estas herramientas es fundamental para cualquier organización, es necesario plantearse una serie de cuestiones a fin de poder dimensionar bien el servicio, evitando encontrarnos con una estructura que no puede hacer frente a las necesidades reales de backup.

Pensemos que las copias de seguridad se contemplan en la medida de seguridad [mp.info.9] del Esquema Nacional de Seguridad (ENS), que señala “Se realizarán copias de seguridad que permitan recuperar datos perdidos, accidental o intencionadamente, con una antigüedad determinada”. Está claro que esa antigüedad la marcará el Análisis de Impacto en el Negocio (BIA, por sus siglas en inglés) que hayamos efectuado previamente, aunque únicamente el ENS obliga su realización para sistemas de categoría MEDIA o ALTA.

En relación a las copias de seguridad, el ENS sigue diciendo “Estas copias poseerán el mismo nivel de seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerará la conveniencia o necesidad, según proceda, de que las copias de seguridad estén cifradas para garantizar la confidencialidad”.
Aquí es donde vemos que deben tenerse en cuenta muchos aspectos a la hora de elegir una solución de backup remoto en el Cloud, siendo una Administración pública quién contrata:

  • ¿Tenemos bien definida, identificada e inventariada la información que vamos a respaldar?
  • ¿Disponemos de un procedimiento que me permita actualizar los elementos a copiar en función de los cambios que se produzcan en las aplicaciones y las bases de datos?
  • ¿Qué periodicidad va a tener la copia, y por qué? ¿Cada día, cada semana, cada hora…?
  • Si son incrementales en un ciclo semanal ¿Cuánto tiempo puedo necesitar para una restauración total?
  • ¿Durante cuánto tiempo voy a almacenar las diferentes copias realizadas (período de retención)? ¿Tengo definido el tiempo de vida válido?
  • ¿Almacenaré copias mensuales o anuales, por ejemplo, con mayor período de retención?
  • ¿Tengo establecidas alertas en caso de fallo del proceso de copias? ¿Quién las recibe y cómo debe actuar?
  • ¿Tengo establecidos procedimientos para las pruebas de restauración y los llevo a la práctica?
  • ¿Tengo establecidos procedimientos para la restauración y recuperación en caso de fallos o perdida de información real?
  • ¿Existen acuerdos de prestación de servicios que regulen como se realizan y almacenan las copias?
  • ¿Las copias contienen datos personales? ¿Dónde se almacenan realmente las copias? ¿Se almacenan fuera de la Unión Europea? ¿Soy consciente de que puede significar una Transferencia Internacional de Datos (TID)?
  • ¿Tengo suscrito un contrato de Encargado del Tratamiento con el proveedor? ¿Está redactado acorde con el art. 28 RGPD, ahora qué pronto será de aplicación el nuevo Reglamento General Europeo?
  • ¿La información que almacena en servicios online está cifrada?  El canal de comunicaciones a través de internet, ¿es seguro?

Como se puede ver en esta lista que no pretende ser exhaustiva, la realización de copias de seguridad remotas para una Administración pública no consiste simplemente en contratar un servicio adecuado y económico, sino que es fundamental definir correctamente las necesidades funcionales y de seguridad, cómo se va a llevar a cabo y saber si la ejecución es conforme a lo previsto por las diferentes normativas en materia de privacidad (RGPD) y Seguridad (ENS) que, para las AAPP, son indisociables en calidad de garantes de los derechos fundamentales de los ciudadanos en el ámbito de sus competencias.