Sebbene le sovratensioni e i vincoli associati alla pandemia siano una forma di rischio, le operazioni di sicurezza sociale possono essere interrotte da una serie di altre minacce, tra cui disastri naturali, eventi politici e crisi internazionali. Inoltre, il ruolo in continua espansione delle tecnologie dell'informazione e della comunicazione (TIC) nell'amministrazione della sicurezza sociale rende le organizzazioni vulnerabili a nuove minacce come guasti tecnologici, perdite di dati e attacchi informatici (ISS, 2022a). Il Business Continuity Management (BCM) consente agli istituti di previdenza sociale di anticipare, preparare e mitigare gli impatti di questi rischi. Il Istituto BCM definisce BCM un processo di gestione olistico che identifica potenziali minacce, impatti dalle minacce e per lo sviluppo di piani di risposta. Questi quadri consentono alle organizzazioni di costruire una resilienza che tuteli efficacemente gli interessi delle parti interessate. Una gestione prudente richiede alle istituzioni di sviluppare un piano di continuità operativa (BCP) per mantenere i servizi in tali situazioni proteggendo al contempo le risorse organizzative.

Lo sviluppo di un BCP segue in genere un approccio graduale (Figura 1). Il processo inizia con un'analisi completa dei processi aziendali (BPA), che mappa i flussi di lavoro, le attività, il personale, i sistemi, le risorse, i controlli, i dati e le strutture necessarie per l'esecuzione delle funzioni aziendali. Il BPA è seguito da una Business Impact Analysis (BIA), al fine di identificare quali funzioni sono critiche per le operazioni dell'organizzazione. Le informazioni raccolte attraverso il BPA e il BIA vengono quindi utilizzate per progettare le tecniche di mitigazione del rischio da coprire nel BCP. Il BCP viene testato e aggiornato prima che i dipendenti vengano formati. Il BCP richiede test, aggiornamenti e riqualificazione regolari.

Fonte: Balibek, Storkey e Yavuz, 2021

Data l'importanza del BCM per l'amministrazione della sicurezza sociale, l'International Social Security Association (ISSA) ha sviluppato una gamma di risorse per supportare le istituzioni membri per rafforzare la loro resilienza e mantenere la continuità aziendale. In particolare, il prossimo Linee guida ISSA sulla continuità e la resilienza nei servizi e nei sistemi di sicurezza sociale (ISSA, 2022c), e il Linee guida ISSA sul buon governo delineare strategie per la gestione del rischio sia dal punto di vista aziendale (linee guida 32-34) che ICT (linea guida 69) (ISSA, 2019a). Inoltre, parte G del Linee guida ISSA sulla qualità del servizio (ISSA, 2019c) stabilisce i principi del miglioramento continuo e la Parte F sottolinea l'importanza di sviluppare una cultura del servizio. Infine, ma non meno importante, la Linea Guida 12 del Linee guida ISSA sulle tecnologie dell'informazione e della comunicazione (ISSA, 2019b) e una nuova pubblicazione sulla resilienza operativa digitale (ISS, 2022a) approfondire gli aspetti della continuità operativa relativi alle TIC, dato che la resilienza operativa complessiva dipende sempre più dalla solidità dei servizi TIC.

Esperienze di gestione della continuità operativa dall'Asia e dal Pacifico

Un numero crescente di istituti di previdenza sociale in Asia e nel Pacifico riconosce l'importanza del BCM per un'efficace amministrazione della previdenza sociale. Esempi di buone pratiche della regione sono stati presentati durante il Forum virtuale sulla sicurezza sociale per l'Asia e il Pacifico e la 16a Conferenza Internazionale ISSA sulle tecnologie dell'informazione e della comunicazione nella sicurezza sociale (ICT 2022), webinar e attraverso altre attività ISSA. Questo articolo riassume le esperienze, le lezioni apprese e le sfide delle istituzioni membri nel mettere in pratica il BCM da due prospettive. In primo luogo, esamina gli approcci per rendere operativo il BCM e come diverse organizzazioni hanno affrontato alcune sfide specifiche. In secondo luogo, esamina alcuni dei risultati che un BCM operativo ha portato alle organizzazioni durante la pandemia.

Istituzione della gestione della continuità aziendale

Diverse istituzioni membri dell'ISSA hanno dimostrato l'efficacia di aver implementato il Business Continuity Management. Sebbene possano esserci diverse fasi di sviluppo, le esperienze mostrate di seguito forniscono una solida evidenza del valore di aver implementato le BCM indipendentemente dalla fase di sviluppo.

Fondo pensione per i dipendenti del servizio civile, Oman

Il Civil Service Employees Pension Fund (CSEPF) dell'Oman ha creato un sito di Business Continuity (BC) e un sito di Disaster Recovery (DR) per salvaguardare le funzioni aziendali da disastri naturali, rischi esterni e guasti tecnologici critici (CSEP, 2015). A tal fine, il CSEPF ha preso in considerazione una serie di fattori come la posizione, l'infrastruttura del data center, l'infrastruttura di comunicazione, lo spazio di lavoro e l'accessibilità e l'uso di macchine virtuali per garantire la disponibilità dei dati. Gli obiettivi chiave erano ridurre al minimo l'indisponibilità del servizio e la perdita di dati. In pratica, ciò ha comportato il monitoraggio del piano rispetto a due parametri di riferimento: (i) il Recovery Time Objective (RTO), ovvero il tempo impiegato per mettere in funzione il sistema o il processo, che era fissato a un giorno, e (ii) il Recovery Point Objective (RPO), ovvero quanti dati il ​​CSEPF era potenzialmente disposto a perdere nel peggiore dei casi misurato in termini di tempo, che era fissato a un'ora. Il CSEPF conduce test annuali per garantire la solidità dei piani di continuità operativa . Questi test sono progettati per essere realistici poiché i siti primari sono disconnessi. Gli obiettivi del test sono convalidare l'RPO e l'RTO; identificare i difetti e snellire il piano di continuità aziendale e formare il personale.

Autorità pubblica per la previdenza sociale, Oman

Il Business Continuity Management System (BCMS) istituito dalla Public Authority for Social Insurance (PASI) in Oman ha identificato potenziali minacce e definito protocolli per ridurre al minimo gli impatti su beni, persone e operazioni (PASI, 2015, 2021). PASI ha prima intrapreso un'analisi completa dell'impatto aziendale, ovvero "identificare le funzioni aziendali critiche (CBF) dell'organizzazione e analizzare il potenziale impatto dirompente sul business" (Ehi, 2021). Questa analisi ha informato i parametri di riferimento per l'obiettivo del tempo di ripristino e l'interruzione massima accettabile. I rischi identificati sono affrontati utilizzando un approccio delle 4T, ovvero Tollerare, Terminare, Trattare o Trasferire, in linea con l'Orientamento 7 sulla gestione del rischio dal Linee guida ISSA sul buon governo. I componenti chiave del BCMS includevano: (i) un piano di emergenza per evitare perdite di dati, (ii) un sito di ripristino di emergenza, (iii) un sito di continuità operativa, (iv) un manuale di gestione del sistema di salute e sicurezza sul lavoro, (v) una politica di lavoro a distanza, (vi) attivazione di comunicazioni digitali, (vii) un registro dei rischi di incidenti e incidenti, (viii) un sistema di ispezione intelligente per evitare i rischi delle ispezioni sul campo e (ix) esercitazioni periodiche di ripristino di emergenza e continuità operativa siti. Questo BCMS si è rivelato prezioso nel mantenimento dei servizi di routine durante la pandemia di COVID-19.

Organizzazione generale delle assicurazioni sociali (ex Agenzia per le pensioni pubbliche), Arabia Saudita

Nel rendere operativo il suo BCM, la Public Pension Agency (PPA), oggi parte dell'Organizzazione generale delle assicurazioni sociali (GOSI), dell'Arabia Saudita ha condotto per la prima volta un'analisi dell'impatto aziendale (PA, 2020). Ha quindi sviluppato un programma di continuità aziendale attraverso la preparazione di una strategia, politiche, piani e accordi a livello aziendale che le avrebbero consentito di affrontare efficacemente varie crisi e disastri. Al fine di implementare il programma in modo efficiente, nel 2013 è stato istituito un centro di ripristino di emergenza come centro di backup dei dati. Ogni anno sono state condotte campagne di sensibilizzazione per i dipendenti della PPA e le sue filiali, inclusi seminari, e-mail di sensibilizzazione e questionari. È stato inoltre istituito un centro alternativo fuori dalla capitale Riyadh e il piano di continuità operativa è stato testato con successo.

Gestire la continuità aziendale durante la pandemia

La ricerca su operazioni governative più ampie, incentrate principalmente sui paesi ad alto reddito, rileva che la maggior parte delle agenzie non includeva una pandemia come fattore di rischio nei loro valichi di frontiera prima della crisi del COVID-19. I BCP si sono concentrati sulla protezione delle operazioni da guasti del sistema e perdite di dati, con un focus limitato sul personale e su questioni non relative al sistema. Inoltre, i BCP esistenti erano orientati verso interruzioni del servizio a breve termine piuttosto che interruzioni prolungate (Balibek, Storkey e Yavuz, 2021). Pertanto, la maggior parte delle organizzazioni governative è stata costretta a rivedere i propri BCP durante la pandemia e le istituzioni di sicurezza sociale non sono state da meno.

Ufficio amministrativo delle pensioni delle Maldive

Il Maldives Pension Administration Office (MPAO) ha trasformato la sua infrastruttura ICT per creare resilienza e continuità aziendale nelle sue operazioni (MPAA, 2022). I sistemi legacy di MPAO si basavano su un'infrastruttura IT interna, backup manuali dei dati, dati su computer desktop, gestione manuale delle chiamate, comunicazione e collaborazione interne basate su e-mail e documentazione fisica. Di conseguenza, è stato difficile accedere ai dati e continuare le operazioni durante le emergenze. Per affrontare questo problema, l'MPAO ha iniziato a migrare la propria infrastruttura al cloud nel 2016. Inoltre, ha anche identificato i servizi per migliorare la collaborazione interna. Alcune delle applicazioni utilizzate includono Cloudrun, Pub Sub, Cloud SQL, BigQuery, Bucket, Google Workspace, Workplace by Facebook, Amazon Web Services Short Messing Service e Cloudflare. Tutti i servizi sono supportati da backup automatizzati e testati e processi di ripristino di emergenza. Tale più ampia trasformazione digitale è stata fondamentale per proteggere i servizi dell'MPAO dalla pandemia.

Organizzazione generale per le assicurazioni sociali, Arabia Saudita

In Arabia Saudita, GOSI ha avviato il lavoro a distanza e servizi automatizzati per rimanere resiliente durante la pandemia (SPETTACOLO, 2020). Questo programma ambizioso non doveva solo affrontare i rischi per la sicurezza e la privacy, ma anche procurarsi l'infrastruttura ICT necessaria (ad esempio laptop, sistemi, supporto IT) in mezzo alle carenze del mercato globale innescate dall'impennata della domanda.

GOSI ha seguito il Linee guida ISSA sulla tecnologia dell'informazione e della comunicazione, Linea guida 12 sulla gestione della continuità del servizio ICT, per garantire che tutti i servizi critici fossero disponibili per i clienti e che la disponibilità delle informazioni fosse mantenuta a livelli accettabili. Il GOSI ha istituito un comitato di risposta al COVID-19 che si è riunito su base settimanale per risolvere i problemi e mantenere la continuità aziendale. Ha trasferito una serie di servizi online creando una nuova filiale per coloro che cercavano un servizio di persona tramite appuntamenti prenotati in anticipo. Ha fornito laptop a tutti i dipendenti che svolgono funzioni critiche. Garantire la continuità aziendale richiedeva l'integrazione e il coordinamento con diverse parti esterne come l'IT, l'assicurazione contro la disoccupazione, lo scambio di dati e la salute. Durante tutto questo processo, il registro dei rischi per la continuità operativa e la sicurezza delle informazioni è stato aggiornato e monitorato.

Fondo Pensione Abu Dhabi, Emirati Arabi Uniti

Per ridurre al minimo le interruzioni all'inizio della crisi COVID-19, l'Abu Dhabi Pension Fund (ADPF) ha avviato un modello ibrido di lavoro che combinava in modo flessibile accordi in loco e a distanza (ADPF, 2021). Sebbene l'ADPF avesse una certa esperienza di lavoro a distanza dal 2018, la pandemia ha richiesto un rapido ampliamento a livello dell'organizzazione di queste capacità tenendo conto delle considerazioni sulla privacy, sul monitoraggio e sulla collaborazione dei dati. Nel 2015, l'ADPF aveva introdotto un servizio chiamato TAWASOL che consentiva agli utenti aziendali di accedere in remoto alle soluzioni ADPF e fornire servizi ai clienti. Nel 2018, l'ADPF ha introdotto un desktop intelligente sicuro che consente agli utenti aziendali di accedere al servizio ADPF al di fuori dei suoi locali.

All'inizio della pandemia, l'ADPF ha rivisto la sua analisi dell'impatto operativo per identificare i servizi critici e depriorizzare i servizi non critici per massimizzare le limitate risorse operative disponibili. Ad ogni divisione è stato chiesto di pianificare la propria disponibilità sia all'interno che all'esterno dei locali dell'organizzazione. L'ADPF ha ampliato la propria infrastruttura con soluzioni di automazione della continuità aziendale e della gestione delle crisi, comprese soluzioni per la gestione delle emergenze e notifiche di massa. Ha inoltre mantenuto la disponibilità delle risorse informatiche in caso di interruzioni del personale. L'ADPF ha adottato un software specializzato che ha aiutato a inserire a cascata gli obiettivi strategici nei piani operativi, fornendo ai manager la capacità di monitorare i progressi dell'intera organizzazione. L'infrastruttura di accesso remoto preesistente e l'esperienza di lavoro a distanza sono state fondamentali per il mantenimento dei servizi. Il successo del BCM è evidente dai sondaggi sul personale: il 100% del personale ha convenuto che l'ADPF ha fornito l'infrastruttura tecnica per supportare il lavoro a distanza senza interruzioni, di cui il 95% ha ritenuto che la qualità del lavoro in modalità remota fosse alla pari con quella in loco opera.

risultati

La tabella 1 riassume in che modo gli istituti di previdenza sociale hanno beneficiato dell'istituzione di un BCM. Mostra anche le istituzioni che indicano di aver applicato la gestione della continuità operativa durante uno shock, in particolare durante la pandemia di COVID-19.

Tabella 1. Esperienze delle istituzioni che utilizzano un BCM

Istituzione	Risultati ottenuti	Indicato che il BCM è stato applicato durante uno shock
CSEPF, Oman	RTO e RPO sono stati rispettivamente di 6 ore e 30 minuti, superando gli obiettivi fissati	Non
PASSAPORTO, proprio	Attivazione fluida del sistema di lavoro remoto utilizzando la tecnologia dell'infrastruttura desktop virtuale Continuità di oltre 90 servizi forniti in circostanze di pandemia	Sì
PPA/GOSI, Arabia Saudita	Sistemi attuali trasferiti dal centro principale al centro di ripristino di emergenza in 1 ora e 53 minuti, rispetto al benchmark di 2 ore Sistemi trasferiti dal centro di ripristino di emergenza al centro principale in 1 ora e 3 minuti, rispetto al benchmark di 2 ore Durante la pandemia, la PPA ha gestito 28 servizi elettronici; ha ricevuto oltre 25,000 chiamate al Customer Service Center e ha gestito 77 milioni di richieste di servizi integrati di governo, abilitati dal 98 per cento dei dipendenti al telelavoro	Sì
MPAO, Maldive	Lavoro a distanza facile durante il COVID-19, con un impatto minimo sui servizi	Sì
SPETTACOLO, Arabia Saudita	100% dei sistemi critici coperti dalla continuità del servizio Percentuale di successo del 100% nel test di trasferimento al centro di ripristino di emergenza 95% di conformità ai controlli esterni	Sì
ADPF, Emirati Arabi Uniti	Disponibilità del servizio del 99.9%. 83% di conformità agli accordi sul livello di servizio sugli incidenti di sicurezza delle informazioni Completate le esercitazioni di continuità operativa al 100%.	Non

Fattori critici di successo

L'esperienza delle istituzioni membri rivela diversi fattori chiave che sono essenziali per una gestione solida e affidabile della continuità operativa.

Un piano di continuità aziendale completo è il punto di partenza per una gestione efficace della continuità operativa. Il successo del CSEPF in Oman deriva da un piano con informazioni chiave su attività critiche, protocolli operativi standard in caso di eventi imprevisti, informazioni sul backup dei dati e del sito e protocolli di ripristino standard. È altrettanto importante che il BCP sia sviluppato in modo iterativo nel tempo e aggiornato dopo uno specifico evento di disastro. In effetti, il BCP e la strategia globale BCM presso il CSEPF hanno continuato ad evolversi dalla loro introduzione nel 2012.

La pianificazione e l'amministrazione del BCP richiedono una solida struttura organizzativa. Il personale appropriato è fondamentale per raggiungere i risultati del BCP. Ad esempio, il PASI in Oman ha messo in atto una struttura a più livelli con ruoli e responsabilità chiaramente definiti. Alla guida del BC e del comitato direttivo della crisi che ha preso le decisioni strategiche. A livello operativo sono stati creati un team funzionale e uno informatico. Le attività di queste squadre sono state coordinate da un coordinatore.

È importante eseguire test realistici del BCP mentre si gestiscono i rischi per il funzionamento di routine. Tutte le istituzioni membri hanno evidenziato la necessità di testare regolarmente il BCP per rilevare eventuali debolezze. Il CSEPF in Oman ha avvertito che i test realistici richiedono la causa deliberata di guasti del sistema primario e, pertanto, le agenzie devono prepararsi a interruzioni dei sistemi in esecuzione durante i test.

La continua sensibilizzazione e formazione dei dipendenti è fondamentale per rendere operativo il piano di continuità aziendale. Il PASI in Oman ha sottolineato l'importanza della gestione della continuità operativa e dei rispettivi ruoli per tutti i dipendenti. Il PPA in Arabia Saudita ha organizzato più di 30 workshop per promuovere una cultura del BCM. L'esperienza del National Social Security Administering Body for Employment (BPJS Ketenagakerjaan) in Indonesia ribadisce l'importanza della formazione: le principali preoccupazioni del processo dell'agenzia di BCM in 26 filiali e 10 uffici regionali erano la mancanza di comprensione dei doveri di ciascun personale e responsabilità e documenti BCP obsoleti incompleti (BPJS Occupazione, 2020).

Una strategia digitale è fondamentale per un BCM efficace, come rafforzato dalla crisi COVID-19. L'ADPF di Abu Dhabi ha scoperto che un'efficace collaborazione interna durante la pandemia non sarebbe stata possibile senza investimenti in soluzioni digitali per la comunicazione e la gestione delle prestazioni. Allo stesso modo, disporre di un'infrastruttura Cloud correttamente gestita era fondamentale per mantenere i servizi di MPAO alle Maldive. Queste esperienze sono state ribadite da istituti di previdenza sociale del sud-est asiatico durante un webinar ISSA. In Malesia, l'Organizzazione per la sicurezza sociale (PERKESO) ha identificato la non digitalizzazione dei file e l'infrastruttura limitata come limitazioni principali all'operatività del BCP durante la pandemia (Organizzazione di previdenza sociale, 2020).

Conclusione

In sintesi, un BCM completo è fondamentale per costruire operazioni di sicurezza sociale resilienti. Sebbene il BCP di ogni istituto sia unico, nell'analisi dei BCP efficaci emergono diversi aspetti comuni, che a loro volta sono alla base del BCM di successo. In primo luogo, dovrebbero considerare l'intera portata dei processi aziendali di front e back-office di un'istituzione, nonché le risorse umane e TIC. Quando si esegue un'analisi dell'impatto aziendale, le organizzazioni devono identificare le dipendenze esterne e includerle come parte della valutazione del rischio. In secondo luogo, è indispensabile una formazione adeguata sia a livello aziendale che di filiale delle organizzazioni. Terzo, un BCP non è un intervento una tantum. In effetti, molte istituzioni iniziano con "semplici" piani di ripristino di emergenza incentrati sulla tecnologia prima di passare a BCM su vasta scala. Quarto e correlato, il sistema BCM dovrà essere continuamente rivisto e aggiornato, non solo per riflettere le lezioni apprese dopo la catastrofe, ma anche per incorporare processi aziendali in evoluzione e meccanismi di erogazione dei servizi. In quinto luogo, i test regolari sono fondamentali: mentre i test possono simulare diversi livelli di guasto, un'esercitazione completa dovrebbe essere eseguita a intervalli definiti per test e garanzie complete. Infine, i BCP non dovrebbero limitarsi alle sole interruzioni a breve termine, come dimostrato dalla pandemia, è essenziale pianificare eventi prolungati.

La pandemia ha messo alla prova i BCM dell'organizzazione, con i risultati principali che sono stati i) una transizione graduale all'ambiente di lavoro remoto; ii) servizi di base e canali di consegna ripristinati entro i tempi previsti e iii) le organizzazioni sono state in grado di tenere il passo con l'aumento della domanda di servizi con un'adeguata soddisfazione del cliente. Una strategia esplicita per la resilienza operativa digitale è fondamentale dato il legame inestricabile tra le TIC e i servizi operativi (ISS, 2022a), come dimostrato dalle esperienze durante la pandemia.  

Le istituzioni membri dell'ISSA si sono già impegnate a migliorare sempre più le proprie capacità affrontando le diverse questioni legate alla creazione di un BCM completo. Supportando i membri, ISSA fornisce nuovi Linee guida sulla continuità e la resilienza nei servizi e nei sistemi di sicurezza sociale (ISSA, 2022b), che può essere applicato alle istituzioni in diverse fasi di sviluppo nel loro percorso verso istituzioni di sicurezza sociale più resilienti, garantendo la qualità del servizio, l'erogazione e una risposta adeguata in caso di eventuali shock sistemici.

Riferimenti