Nieuws & Blogs – Waarom is een Business Impact Analyse essentieel voor uw informatiebeveiliging?

0
434

Het belang van een (correcte) uitvoering van een Business Impact Analyse (BIA) wordt regelmatig onderschat. De directe, praktische meerwaarde is niet direct inzichtelijk voor belangrijke stakeholders waardoor zij niet altijd budget en tijd wensen vrij te maken voor deze belangrijke exercitie. Desalniettemin is een BIA van groot belang voor uw informatiebeveiliging, en raad ik er iedereen aan één uit te voeren. Het levert grote voordelen op voor uw risicoanalyses en is de kern van uw Business continuïteitsplan (BCP). In deze eerste blog van een serie van vier leg ik u graag uit waarom een BIA zo belangrijk is.

Blogserie

  1. Waarom is een Business Impact Analyse essentieel voor uw informatiebeveiliging?
  2. Hoe voer ik een Business Impact Analyse uit?
  3. Hoe stel ik een Business Continuïteitsplan op?
  4. Wat is Business Continuïteitsmanagement?

Wat is een BIA?

Een BIA voert u uit door uw kritieke bedrijfsprocessen overzichtelijk te maken, en deze te verbinden aan alle resources die u nodig heeft om deze kritieke bedrijfsprocessen continu te blijven uitvoeren. Bij benodigde resources kunt u denken aan applicaties en leveranciers, maar ook aan bepaalde functies. Als onderdeel van de analyse bepaalt u ook welk impact op de business voor u niet meer acceptabel is. Aan de hand van deze maximale accepteerbare impactsniveaus kunnen we bepalen hoe lang een kritiek bedrijfsproces ‘offline’ kan zijn voordat we dat niveau bereiken. Dit noemen we de ‘maximum acceptable outage’ (MAO).

Voorbeeld:

U stelt vast dat het wegvallen van de klantenservice na 8 uur een onacceptabele impact met zich meebrengt. Dit betekent dat een verstoring van het bedrijfsproces rondom klantenservice, of één of meerdere resources die nodig zijn voor dit proces binnen 8 uur opgelost dient te worden.

Een BIA geeft u dus meer controle en meer inzicht in uw bedrijfskritische processen, en de benodigdheden voor deze processen. Het is het startsignaal voor een passende businesscontinuïteit. In de tweede blog van deze serie zullen we uitgebreid ingaan op de stappen die u moet doorlopen om de BIA correct uit te voeren, maar om een beter beeld te krijgen van wat u moet doen voor een BIA kunt u denken aan de volgende stappen:

  1. Maak een overzicht van uw kritieke processen;
  2. Definieer de mogelijke impact op uw business;
  3. Stel acceptabele niveaus van impact op de kritieke processen vast, en koppel tijden aan de verschillende impact niveaus;
  4. Voer, n.a.v. stap 3, een leveranciersassessment uit;
  5. Voer, n.a.v. stap 3, een applicatieassessment uit;
  6. Stel continuïteitsvoorwaarden op voor uw kritieke processen.

Business Continuïteitsplan

Na het uitvoeren van de BIA kunt u een BCP opstellen om te voorkomen dat de business door een calamiteit of een dreiging wordt onderbroken. U geeft dus antwoord op de volgende vraag: wat heeft u (altijd) nodig om uw business te continueren?

Ook hier zult u kijken naar de MAO om te beoordelen hoe je deze tijd gaat onderverdelen in het herstellen van de verschillende mogelijke storingen. In de derde blog van deze serie zullen we hier dieper op in gaan. Belangrijk is wel om te onthouden dat een BCP anders is dan een Disaster Recovery Plan dat erop ziet om de Business na een calamiteit te herstellen. Deze twee plannen gaan vaak wel hand in hand.

Risicoanalyses

Het is niet onverstandig om een BIA alvorens of gelijktijdig aan risicoanalyses uit te voeren. Een risico wordt namelijk gedefinieerd door KANS X IMPACT, waarbij de IMPACT voor de business vaak niet helemaal duidelijk is. De impact wordt veelal gedefinieerd als: ‘de impact op de beschikbaarheid, integriteit of vertrouwelijkheid (BIV) van bepaalde informatie of informatie dragende- of verwerkende middelen’. Dit is vooral een operationele impact. Deze ‘impact’ heeft vaak een vrije simpele kwantificatie (zoals: we hebben er geen/veel last van). 

Voorbeeld:

U stelt vast dat het wegvallen van een applicatie een hoge impact heeft op de beschikbaarheid van informatie (U heeft er veel last van).

Uiteraard is het tot hieraan toe vrij logisch, maar welke betekenis heeft de aantasting van de BIV op informatie nu eigenlijk voor uw business?  

Om te voorkomen dat businessimpact een gevoelsmatige inschatting wordt van degene die een risico definieert kunt u de businessimpact kwantificeren. Dat is precies wat u doet aan het begin van een BIA. Door deze impact te kwantificeren heeft u niet alleen een goed overzicht op de mogelijke impact op de BIV van informatie of informatie dragende- of verwerkende middelen, maar heeft u ook direct een duidelijk verhaal naar de business toe wanneer jullie het over risico’s hebben. Voor de business wordt het dan ook makkelijker om keuzes te maken over gedefinieerde risico’s.

Tot slot

Een correcte uitvoering van de BIA moet tot een passend BCP leiden die de continuïteit van uw business ten alle tijden zal waarborgen. Iets wat op zichzelf al de tijd en het geld waard is, want de ongewenste onderbreking van uw business kan vaak snel in de kosten oplopen. Daarnaast helpt de BIA een beeld te geven over uw informatiebeveiligingsrisico’s die uw business stakeholders ook zullen begrijpen. Ook hier zorgt de BIA voor meer bewustzijn en controle. Bovendien wordt hiermee ook inzichtelijk gemaakt dat informatiebeveiliging in het belang is van de business, en dat het geen doel op zich is. Nu u weet waarom een BIA belangrijk is voor uw organisatie wilt u vast meer weten over de concrete uitvoering daarvan. Dat leest u in de tweede blog van deze serie van vier. 

Source link

Vorig artikelThe most influential people in UK technology
Volgend artikelSamen het tekort aan cloud engineers oplossen