Dlaczego tak ważne jest, aby dostawca usług outsourcingu payroll posiadał plan ciągłości działania?

Od kilku dni panuje gorąca atmosfera wokół tematu koronawirusa i związanej z nim kwarantanny. Powoduje to, że w trakcie rozprzestrzeniania się wirusa COVID-19 przedsiębiorstwo musi sprostać wyzwaniom i zagrożeniom dla ciągłości działania.

Dotyczy to także dostawców usług płacowych, ponieważ pracownicy ich klientów muszą otrzymać wynagrodzenie niezależnie od zaistnienia sytuacji kryzysowej.

Nie tylko z powodu koronawirusa, ale także postępującej globalizacji (powodującej, że każde zdarzenie zatacza coraz szersze kręgi) podmioty korzystające z outsourcingu płac powinny sprawdzić, czy ich dostawca przygotował procedury bezpieczeństwa, których celem jest zmniejszenie skutków takich zdarzeń.

Naszym zdaniem, kluczowe są 3 obszary:

• Utrzymanie i zarządzanie bezpieczeństwem danych w przestrzeni biurowej, celem utrzymania ograniczeń w dostępie do poufnych informacji;
• Bezpieczeństwo w strukturach IT, aby zapewnić podstawowe bezpieczeństwo danych oraz jakość usług;
• Plan Ciągłości Działania, wskazujący zasady oraz procedury działania w sytuacji kryzysowej

(np. pożaru, powodzi, cyberataku lub pandemii, które wstrzymują pracę biurową).

Naszym celem nie jest szczegółowe omówienie powyższych problemów, ale podkreślenie najważniejszych kwestii.

Utrzymanie i zarządzanie bezpieczeństwem danych w biurze

Dane o wynagrodzeniach oraz powiązane dane personalne to najbardziej poufne informacje w przedsiębiorstwie, a dostawcy usług płacowych zobowiązani są do tego, aby odpowiedzialnie zarządzać danymi, które zostały im powierzone. Warto wskazać, że wiele przedsiębiorstw przechowuje te informacje na nośnikach papierowych, zwłaszcza firmy z Europy Środkowo Wschodniej.

Czego powinniśmy oczekiwać od naszego dostawcy usług płacowych?

• elektronicznie kontrolowanego dostępu do przestrzeni biurowej;
• ograniczenie dostępu do papierowej dokumentacji klienta, zawierającej poufne dane;
• kontrola dostępu do serwerów;
• zapewnienia zasilania awaryjnego, aby zapewnić stałą dostawę energii elektrycznej oraz przygotowany plan wyłączenia serwerów;
• narzędzi do zarządzania zasobami firmy, aby zapewnić bezpieczeństwo dysków twardych oraz zagwarantować instalację najnowszych wersji oprogramowania;
• Przeszkolenia z zapewnienia bezpieczeństwa informacji dla pracowników, którzy mają dostęp do danych klientów.

Należy jednak zaznaczyć, że nie jest to pełna lista : w trakcie epidemii koronawirusa, pojawiają się liczne pytania dotyczące pracy zdalnej, także u dostawców usług payroll. Wymaga to szybkiego wykorzystania rozwiązań, które zapewniają bezpieczeństwo informacji wykorzystywanych poza biurem, oraz zwiększonego bezpieczeństwa dostępu do informacji, przy jednoczesnym zapewnieniu szybkości przesyłu danych. Dodatkowo, należy zapewnić narzędzia i aplikacje, które minimalizują wyzwania pracy zdalnej. Najczęściej wymaga to szybkiej reakcji od zespołu odpowiedzialnego za ten obszar i klarownego procesu decyzyjnego, który zapewnia odpowiednie zaadresowanie nieprzewidzianych problemów.

Bezpieczeństwo IT

Cyberbepieczeństwo to kluczowe wyzwanie współczesnego świata. Dostępne są coraz bardziej zaawansowane narzędzia cyfrowe, wymagające szczegółowej wiedzy od dostawcy usług płacowych.

• Wdrożenie odpowiednich procedur i szkolenie pracowników, aby wytworzyć świadomość i poczucie odpowiedzialnośći pracowników;
• Tworzenie kopii zapasowych i zarządzanie niepotrzebnymi danymi;
• Korzystanie z bezpiecznych, szyfrowanych kanałów do komunikacji i przechowywania informacji (zarządzanie informacjami zgodnie z RODO);
• Polityki w zakresie profili użytkowników i zarządzania hasłami;
• Wdrożenie mechanizmów weryfikacji tożsamości;
• Zarządzanie ryzykiem związanym z korzystaniem z usług dostawców i korzystanie z certyfikowanych partnerów;
• Korzystanie z nowoczesnych zabezpieczeń antywirusowych.

Plan Ciągłości Działania

Wskazane powyżej środki ostrożności dążą do ogólnego zabezpieczenia ciągłości działania przedsiębiorstwa. A co w przypadku katastrofy?

Dostawca usług payroll musi mieć odpowiedni plan ciągłości działania (z ang. business continuity plans, BCP), który uwzględnia potencjalne zagrożenia dla działalności firmy. Plan musi także zawierać odpowiednie procedury w razie wystąpienia zagrożenia.

Co powinien zawierać plan ciągłości działania?

• Powinien wskazać kluczowe obszary biznesu i funkcje, kluczowych pracowników, partnerów oraz podwykonawców którzy są zaangażowanie w określone procesy oraz ich wkład;
• Stworzyć plan komunikacji, wskazujący kluczowe osoby kontaktowe, łańcuch komunikacji oraz bieżącą informację o pracownikach i ich statusie w organizacji;
• Zaplanowane scenariusze podróży służbowej lub obligatoryjnej pracy zdalnej w razie nagłego zdarzenia, zapewniające odpowiednią infrastrukturę IT, która wesprze zdalny dostęp do informacji dla pracowników i klientów;
• Zapewni alternatywną przestrzeń do pracy dla kluczowych pracowników;
• Zapewni procedury zarządzania wiedzą dla kluczowych pracowników;
• Wskaże procedury dotyczące zabezpieczenia kluczowych informacji, dysków twardych oraz tworzenia kopii zapasowych;
• Kodeks dobrych praktyk;
• Informacje dotyczące komunikacji i edukacji pracowników oraz udziałowców w sprawie planu ciągłości działania i związanych z nim polityk;
• Praktyczne kwestie dotyczące częstego testowania oraz ulepszania instrukcji wskazanych w planie.

Plan ciągłości działania to poważne zadanie, którego stworzenie wymaga odpowiedniego zespołu menedżerów oraz pracowników. Jego ulepszanie to ciągły proces, zwłaszcza uwzględniając fakt, iż pojawiają się coraz nowsze zagrożenia.

Chcesz wiedzieć więcej? Przeczytaj nasz artykuł o tym, jak wybrać najlepszego dostawcę usług w zakresie outsourcingu płac.