Agjencia e Statistikave pa plan për vazhdim të punës në rast të dështimit të sistemeve të informacionit

Agjencia e Statistikave të Kosovës (ASK) nuk ka plan të vazhdimësisë së proceseve të punës në rast të ndonjë katastrofe natyrore, gabimi njerëzor apo dështimit të sistemeve të informacionit.

Kjo gjetje është evidentuar nga Zyra Kombëtare e Auditimit në raportin “Qeverisja, menaxhimi i operacioneve dhe siguria e sistemeve të teknologjisë së informacionit në Agjencinë e Statistikave të Kosovës”.

“Për t’u siguruar se proceset e punës në ASK mund të vazhdohen pa ndonjë problem dhe ndërprerje në rast të ndonjë katastrofe natyrore apo gabimi/keqpërdorimi njerëzor, ASK-ja duhet të ketë të krijuar një plan të vazhdimësisë së proceseve të punës dhe duhet të përcaktojë ekipet për reagime emergjente në rast të aktivizimit të këtij plani”, thuhet në raportin e Auditorit.

Në raportin e ZKA-së theksohet se ASK-ja nuk ka zhvilluar një plan të vazhdimësisë së biznesit, i cili do të ishte udhëzues i detajuar për reagim në rast të katastrofave apo dështimit të proceseve të punës dhe sistemit primar të teknologjisë së informacionit.

“Pa një menaxhim të duhur të vazhdimësisë së proceseve të punës, pronarët e proceseve të të dhënave dhe sistemeve mund të mos kenë sigurinë e nevojshme dhe të mjaftueshme që proceset e punës të mund të vazhdojnë të funksionojnë pas një ngjarjeje madhore/katastrofë apo dështimi të sistemeve primare”, vazhdon raporti i Auditorit.

Sipas Auditorit, mungesa e një programi praktik dhe kosto-efektive i menaxhimit të vazhdimësisë së proceseve të punës rrit rrezikun e dështimit të ASK-së, në rast të ndonjë katastrofe natyrore apo dështimi të sistemeve primare.

Auditori ka theksuar po ashtu se në ASK nuk janë përcaktuar ekipet për reagim emergjent. Për me tepër nuk janë përcaktuar rolet dhe përgjegjësitë që duhet t’i ketë ekipi për reagim emergjent.

Në raport është theksuar se mungesa e ekipit për reagim emergjent, i pamundëson ASK-së rikthimin në gjendje funksionale të proceseve kritike në rast të një ngjarjeje madhore.

“Proceset kryesore të punës duhet të identifikohen dhe të planifikohen masat e gjendjes së jashtëzakonshme sipas rrethanave, duke u bazuar në një vlerësim të proceseve të punës që janë më kritike”, ka potencuar Auditori.

Sipas Auditorit, ASK-ja për realizimin e një plani të vazhdimësisë së biznesit duhet të ketë të realizuar edhe një vlerësim lidhur me ndikimin e proceseve të punës në funksionimin adekuat të ASK-së, ku duhet të përcaktohen koha e reagimit, koha e rikthimit, periudha e humbjeve etj.

Gjetja tjetër e Auditorit është se në ASK nuk është bërë një vlerësim i proceseve të punës dhe ndikimi i tyre në ASK (BIA – Business Impact Analysis). Gjithashtu nuk është bërë një vlerësim i rreziqeve që do t’i mundësonte ASK-së t’i kuptojë kërcënimet e mundshme në procese të aktiviteteve kritike.

Mosrealizimi i një vlerësimi të proceseve dhe rreziqeve që i bartin ato procese, sipas Auditorit, i pamundëson ASK-së identifikimin e këtyre proceseve dhe rikthimin në punë të proceseve kritike në rast të ndonjë ngjarje madhore.

“Për të pasur një sistem funksional të planit të vazhdimësisë së biznesit, ASK-ja duhet të ketë një kopje rezervë të sistemeve dhe të dhënave në një lokacion ndryshe nga ai se ku janë të vendosura sistemet dhe të dhënat bazë për funksionimin e proceseve të ASK-së”, thuhet në raportin e auditimit.

Nga intervistat me personat përgjegjës në ASK dhe vëzhgimet e drejtpërdrejta, Auditori ka kuptuar se disa nga sistemet bëhen backup (kopje rezervë), mirëpo ruhen në të njëjtin lokacion me sistemet primare apo ruhen në lokacione të papërshtatshme dhe të pasigurta, si në disqe të jashtme personale të stafit apo email-a privat. Pavarësisht ruajtjes së kopjes rezervë për disa sisteme, për të njëjtat nuk janë përcaktuar koha dhe pika e rikthimit (RPO – Recovery Point Object dhe RTO – Recovery Time Object).

Auditori ka theksuar se mungesa e backup-it apo ruajtja në lokacione të papërshtatshme mund të ndikojë në humbje të të dhënave të rëndësishme në rast të dështimit të sistemit primar, si dhe ruajtja e backup në disqe personale dhe emaila privatë, mund të ndikojë në shpërndarje të të dhënave të ndjeshme te personat e paautorizuar.

Sipas Auditorit, plani i vazhdimësisë së biznesit dhe plani i rikuperimit të sistemeve të TI-së, duhet të testohet në periudha të caktuara për të verifikuar nëse ASK-ja mund t’i kthej proceset e punës në rast të ndonjë katastrofe natyrore apo dështimi të sistemeve.

Në raportin “Qeverisja, menaxhimi i operacioneve dhe siguria e sistemeve të teknologjisë së informacionit në Agjencinë e Statistikave të Kosovës” thuhet se në mungesë të planit dhe procedurës së vazhdimësisë së biznesit, si dhe qendrës së dytë rezervë, nuk bëhet as testimi për t’u siguruar se ASK-ja mund të vazhdojë proceset e punës në rast të ndonjë katastrofe, gjithashtu nuk na është ofruar dëshmi se kopjet rezervë të sistemeve që bëhen backup, janë testuar dhe të njëjtat mund të përdoren në rast të dështimit të sistemit primar.

Sipas Auditorit, mangësitë e identifikuara paraqesin rrezik të dështimit dhe humbjes së shënimeve dhe proceseve të punës së ASK-së.

“Mungesa e planit të vazhdimësisë së proceseve të punës ka ndikuar që ASK-ja të mos ketë të themeluar ekipin për reagim emergjent, në mosvlerësimin e rreziqeve në proceset e punës, në sistem joadekuat të ruajtjes së kopjes rezervë të sistemeve dhe të dhënave”, thuhet në raportin e auditimit.