Waarom is een Business Impact Analyse essentieel voor je informatiebeveiliging?

Het belang van een (correcte) uitvoering van een Business Impact Analyse (BIA) wordt regelmatig onderschat. De directe, praktische meerwaarde is niet direct inzichtelijk voor belangrijke stakeholders waardoor zij niet altijd budget en tijd wensen vrij te maken voor deze belangrijke exercitie. Desalniettemin is een BIA van groot belang voor je informatiebeveiliging, en raad ik er iedereen aan één uit te voeren. Het levert grote voordelen op voor je risicoanalyses en is de kern van je Business continuïteitsplan (BCP). In deze eerste blog van een serie van vier leg ik je graag uit waarom een BIA zo belangrijk is.

Blogserie

  1. Waarom is een Business Impact Analyse essentieel voor je informatiebeveiliging?
  2. Hoe voer ik een Business Impact Analyse uit?
  3. Hoe stel ik een Business Continuïteitsplan op?
  4. Wat is Business Continuïteitsmanagement?

Wat is een BIA?

Een BIA voer je uit door je kritieke bedrijfsprocessen overzichtelijk te maken, en deze te verbinden aan alle resources die je nodig hebt om deze kritieke bedrijfsprocessen continu te blijven uitvoeren. Bij benodigde resources kun je denken aan applicaties en leveranciers, maar ook aan bepaalde functies. Als onderdeel van de analyse bepaal je ook welk impact op de business voor jou niet meer acceptabel is. Aan de hand van deze maximale accepteerbare impactsniveaus kunnen we bepalen hoe lang een kritiek bedrijfsproces ‘offline’ kan zijn voordat we dat niveau bereiken. Dit noemen we de ‘maximum acceptable outage’ (MAO).

Voorbeeld:

Je stelt vast dat het wegvallen van de klantenservice na 8 uur een onacceptabele impact met zich meebrengt. Dit betekent dat een verstoring van het bedrijfsproces rondom klantenservice, of één of meerdere resources die nodig zijn voor dit proces binnen 8 uur opgelost dient te worden.

Een BIA geeft je dus meer controle en meer inzicht in je bedrijfskritische processen, en de benodigdheden voor deze processen. Het is het startsignaal voor een passende businesscontinuïteit. In de tweede blog van deze serie zullen we uitgebreid ingaan op de stappen die je moet doorlopen om de BIA correct uit te voeren, maar om een beter beeld te krijgen van wat je moet doen voor een BIA kun je denken aan de volgende stappen:

  1. Maak een overzicht van je kritieke processen;
  2. Definieer de mogelijke impact op jouw business;
  3. Stel acceptabele niveaus van impact op de kritieke processen vast, en koppel tijden aan de verschillende impact niveaus;
  4. Voer, n.a.v. stap 3, een leveranciersassessment uit;
  5. Voer, n.a.v. stap 3, een applicatieassessment uit;
  6. Stel continuïteitsvoorwaarden op voor je kritieke processen.

Business Continuïteitsplan

Na het uitvoeren van de BIA kun je een BCP opstellen om te voorkomen dat de business door een calamiteit of een dreiging wordt onderbroken. Je geeft dus antwoord op de volgende vraag: wat heb je (altijd) nodig om jouw business te continueren?

Ook hier zul je kijken naar de MAO om te beoordelen hoe je deze tijd gaat onderverdelen in het herstellen van de verschillende mogelijke storingen. In de derde blog van deze serie zullen we hier dieper op in gaan. Belangrijk is wel om te onthouden dat een BCP anders is dan een Disaster Recovery Plan dat erop ziet om de Business na een calamiteit te herstellen. Deze twee plannen gaan vaak wel hand in hand.

Risicoanalyses

Het is niet onverstandig om een BIA alvorens of gelijktijdig aan risicoanalyses uit te voeren. Een risico wordt namelijk gedefinieerd door KANS X IMPACT, waarbij de IMPACT voor de business vaak niet helemaal duidelijk is. De impact wordt veelal gedefinieerd als: ‘de impact op de beschikbaarheid, integriteit of vertrouwelijkheid (BIV) van bepaalde informatie of informatie dragende- of verwerkende middelen’. Dit is vooral een operationele impact. Deze ‘impact’ heeft vaak een vrije simpele kwantificatie (zoals: we hebben er geen/veel last van). 

Voorbeeld:

Je stelt vast dat het wegvallen van een applicatie een hoge impact heeft op de beschikbaarheid van informatie (Je hebt er veel last van).

Uiteraard is het tot hieraan toe vrij logisch, maar welke betekenis heeft de aantasting van de BIV op informatie nu eigenlijk voor jouw business?  

Om te voorkomen dat businessimpact een gevoelsmatige inschatting wordt van degene die een risico definieert kun je de businessimpact kwantificeren. Dat is precies wat je doet aan het begin van een BIA. Door deze impact te kwantificeren heb je niet alleen een goed overzicht op de mogelijke impact op de BIV van informatie of informatie dragende- of verwerkende middelen, maar heb je ook direct een duidelijk verhaal naar de business toe wanneer jullie het over risico’s hebben. Voor de business wordt het dan ook makkelijker om keuzes te maken over gedefinieerde risico’s.

Tot slot

Een correcte uitvoering van de BIA moet tot een passend BCP leiden die de continuïteit van jouw business ten alle tijden zal waarborgen. Iets wat op zichzelf al de tijd en het geld waard is, want de ongewenste onderbreking van je business kan vaak snel in de kosten oplopen. Daarnaast helpt de BIA een beeld te geven over je informatiebeveiligingsrisico’s die je business stakeholders ook zullen begrijpen. Ook hier zorgt de BIA voor meer bewustzijn en controle. Bovendien wordt hiermee ook inzichtelijk gemaakt dat informatiebeveiliging in het belang is van de business, en dat het geen doel op zich is. Nu je weet waarom een BIA belangrijk is voor je organisatie wil je vast meer weten over de concrete uitvoering daarvan. Dat lees je in de tweede blog van deze serie van vier. 

Terug naar overzicht