Sistema de gestión de la continuidad empresarial Una práctica de la Autoridad Pública del Seguro Social

Transcripción

1 Buena práctica implementada desde: 2012 Buenas Prácticas en la Seguridad Social Sistema de gestión de la continuidad empresarial Una práctica de la Autoridad Pública del Seguro Social Autoridad Pública del Seguro Social Omán Año de publicación:

2 1 Resumen El Consejo de Administración de la Autoridad Pública del Seguro Social (Public Authority for Social Insurance (PASI)) ha decidido desarrollar e implementar el Sistema de gestión de la continuidad empresarial (Business Continuity Management System (BCMS)) para ayudar a prestar servicios de seguro social y protección social eficientes y fiables, y para alcanzar sus objetivos, del modo siguiente: Garantizar el continuo desempeño o la rápida reanudación de los servicios esenciales del seguro (registro, recaudación de cotizaciones e inspección) y las operaciones de apoyo a los beneficiarios durante una emergencia. Reducir o mitigar cualquier interrupción de los servicios del seguro. Proteger, prevenir las pérdidas y minimizar los daños a la vida, la propiedad y otros bienes. Establecer e implementar un Sistema de gestión de la continuidad empresarial minuciosamente documentado que tenga establecidos los planes y procesos necesarios. La capacidad de identificar de manera proactiva las consecuencias de la interrupción de la actividad. empresarial. Se requiere un BCMS, especialmente con el número creciente de amenazas naturales y de otro tipo en el mundo y en particular en la región, como: 1. Interrupción del suministro eléctrico o de las telecomunicaciones. 2. Fallo o daño de los sistemas y bases de datos de las TI. 3. Errores humanos, sabotajes o huelgas. 4. Information security-risk hacking, internal breaches. 5. Pirateo del riesgo de seguridad de la información, infracciones internas. 6. Incendios. 7. Desastres naturales: inundaciones, terremotos, huracanes.

3 2 CRITERIO 1 Qué tema/problema/desafío fue objeto de su buena práctica? La continuidad empresarial es un proceso que insume mucho tiempo y que requiere considerables recursos, con lo cual parte de los desafíos que plantea esta buena práctica, son los siguientes: Costo de la infraestructura: esto incluye el soporte físico (hardware), la infraestructura de la red, sitios apartados de recuperación de los desastres y lugares de trabajo alternativos. Incremento de los datos: esto significa que el aumento inesperado del volumen de datos y de sus requisitos derivados de las transacciones de los sistemas de seguros y de apoyo, como el aumento del almacenamiento, requiere frecuentes exámenes y supervisiones. Interrupción de la infraestructura: esto incluye componentes fuera del control inmediato de la PASI, como el suministro de electricidad y los servicios de telecomunicaciones. Aumento de la complejidad de las TI: las nuevas tendencias en material de tecnología, como la virtualización y la computación en nube, que afectan al nivel de recuperación de los sistemas. CRITERIO 2 Cuáles fueron los principales objetivos y resultados previstos? Objectives of an effective Business Continuity Management System Aportar un marco común basado en las mejores prácticas internacionales para gestionar la continuidad empresarial. Mejorar, de manera proactiva, los esfuerzos de resistencia cuando se afronta la interrupción de los servicios del seguro de valor clave. Ayudar a proteger y mejorar la reputación y la imagen de la PASI. Contribuir a abrir nuevos mercados para las inversiones, a través de la demostración del cumplimiento de las normas.

4 3 Aportar métodos probados de restablecimiento de la capacidad de los servicios del seguro de suministro fundamental hasta un nivel convenido y un calendario durante la interrupción. Identificar las oportunidades de mejora, entendiendo de qué manera funciona el PASI a diario. Resultados esperados del Sistema de gestión de la continuidad empresarial Se identifican y protegen los servicios claves del seguro social. Autoridad gubernamental pionera en la industria de la continuidad empresarial, en el Sultanato de Omán. Se habilitan las capacidades de gestión de incidentes. Los miembros del personal están formados para responder de manera eficaz. Los requerimientos de los grupos de interés son entendidos y pueden ser atendidos. El personal recibe un apoyo y una comunicación adecuados durante la interrupción. Está asegurada la cadena de suministro. Está protegida la reputación de la PASI. La PASI sigue dando cumplimiento a las obligaciones legales y reglamentarias, en caso de que existan. CRITERIO 3 Qué estrategia/enfoque innovador/a se adoptó para lograr los objetivos? Planificar. El proceso del "plan" establece objetivos, metas, controles, procesos y procedimientos para que el programa presente resultados, de conformidad con las políticas y los objetivos generales de la PASI. Hacer. El proceso "hacer" implementa y opera las políticas, los controles, los procesos y los procedimientos de continuidad empresarial. Esto incluye algunas acciones dirigidas a entender, elaborar estrategias, planificar y poner a prueba a la PASI de cara a los eventos relativos a la continuidad empresarial.

5 4 Verificar. Este proceso supervisa y examina el desempeño respecto de los objetivos y las políticas del sistema de gestión establecido e informa a la administración de los resultados para su revisión. El programa debería ser objeto de un examen interno para medir el desempeño del programa respecto de las políticas y los objetivos pre-definidos. Actuar. Este proceso mantiene y mejora el programa, adoptando medidas preventivas y correctivas, en base a los resultados del examen de la gestión y de reevaluación del campo de aplicación, de la política de continuidad empresarial y de los objetivos. También se prevé una práctica de gestión del proyecto, como las tareas de planificación, organización y gestión, y los recursos dirigidos a cumplir los objetivos, para desarrollar un programa de continuidad empresarial, como ocurre habitualmente, con las limitaciones de tiempo y de costos. CRITERIO 4 Se han utilizado de manera óptima los recursos y contribuciones para lograr los objetivos y los resultados previstos? Por favor, especifique qué evaluaciones, internas o externas, de la práctica se han efectuado y qué repercusiones/resultados se han observado/logrado hasta ahora. El Consejo de Administración de la PASI contrató a un consultor especializado para preparar todas las evaluaciones necesarias. Como consecuencia, se estableció una detallada hoja de ruta de continuidad empresarial. Se asignó asimismo un presupuesto independiente, con el fin de alcanzar los objetivos perseguidos por el BCMS. Este sistema de gestión es un proyecto en curso en el que se requiere que los progresos se midan de manera oportuna. Se utilizarán algunos métodos para medir la mejora, como: Auditoría (interna y externa): proceso formal de revisión imparcial que mide el programa del BCMS respecto de los estándares predefinidos. Autoevaluación: nuevas herramientas permiten que la organización evalúe sus progresos en la aplicación del BCMS. Garantía de calidad (QA): proceso dirigido a garantizar que los diversos productos del programa del BCMS reúnan los requisitos. Evaluación del desempeño: un examen del desempeño de las personas encargadas de las funciones y las responsabilidades del BCMS. Desempeño del proveedor: un examen de los proveedores de la PASI y del desempeño de su recuperación.

6 5 CRITERIO 5 Qué lecciones cabe extraer? En qué medida su buena práctica podría ser idónea para ser reproducida por otras instituciones de seguridad social? Una de las lecciones que se extraen es que, cuando el Sultanato de Omán estaba haciendo frente a condiciones meteorológicas especiales, la PASI aprendió que son fundamentales unas comunicaciones tempranas y claras. Dado que las tormentas y su impacto evolucionaron con el tiempo, fue esencial una rápida comunicación de esta información. La PASI fue ayudada por un Plan de Comunicaciones de la Crisis muy eficaz, como parte del programa de continuidad empresarial, para permitir unas comunicaciones rápidas y eficaces, incluida la notificación masiva, la utilización social de los medios de comunicación y las comunicaciones internas con el personal. Estas buenas prácticas pueden ser reproducidas, por regla general, por otras instituciones de seguridad social. De hecho, es de gran necesidad que se realicen para garantizar la continuidad de la prestación de los servicios del seguro.