Hoe maak je een Bedrijfsimpactanalyse (BIA)?
Bij een Bedrijfsimpactanalyse (BIA) inventariseer je hoe de verschillende business units werken, welke bedrijfskritische processen afhankelijk zijn van IT en welke gevolgen bepaalde risico’s kunnen hebben voor dat specifieke proces, maar ook voor de andere bedrijfsactiviteiten.
De risico’s die je ziet, rangschik je op prioriteit. Hoe groot is de impact op het bedrijf als het risico zich voltrekt? Zo zullen sommige risico’s impact hebben op de hele organisatie en andere slechts een klein onderdeel raken. Soms zullen de operationele en financiële verliezen groot zijn, soms is het minder gemakkelijk om de impact te kwantificeren, zoals bij reputatieschade.
Na een bedrijfsimpactanalyse heb je een duidelijk beeld van de belangrijkste mogelijke gevolgen van een incident voor je bedrijf. Zowel de praktische problemen, als de mogelijke kosten ervan. Het doel is om te bepalen hoe (in)tolerant de bedrijfskritische applicaties en -diensten zijn voor een mogelijke storing en wat de maximaal aanvaardbare downtime ervan mag zijn.
Daarna kun je de mogelijke opties evalueren om hun resistentie te verhogen en het risico op onderbreking te reduceren. Dit natuurlijk met de bedoeling om de dienstverlening binnen een aanvaardbare tijdsspanne te kunnen herstellen.
Drie berekeningen
Er zijn drie belangrijke berekeningen die gedaan moeten worden bij het opstellen van een BIA.
-
Bereken je Recovery Time Objective (RTO)
Recovery Time Objective is de streeftijd waarbinnen een bepaalde functie, proces of dienst opnieuw operationeel moet zijn na een storing, om onaanvaardbare gevolgen voor de bedrijfsactiviteiten te vermijden.
Hierbij is het dus van belang om te berekenen hoe snel je organisatie zich moet kunnen herstellen. Op basis daarvan bepaal je welke maatregelen en budgetten nodig zijn om de bedrijfscontinuïteit zo goed mogelijk te verzekeren. -
Bereken je Recovery Point Objective (RPO)
Recovery Point Objective beschrijft het tijdsinterval dat mag voorbijgaan zonder dat de hoeveelheid verloren data de maximum toelaatbare drempel overschrijdt.
De RPO bepaal je op basis van de tijd tussen twee back-ups en de hoeveelheid gegevens die tussen die twee back-ups verloren kunnen gaan. -
Bereken je Service Delivery Objectives (SDO's)
Hierbij staat centraal het vaststellen van het minimum adequaat niveau te bepalen dat tijdens de alternatieve processen door bedrijfsfuncties moet worden bereikt.
RPO's, RTO's en SDO's kunnen worden gebruikt om back-up- en redundantiebeleid te bepalen. Zorg dat afspraken met je afnemer(s) en/of IT-dienstverlener(s) met betrekking tot RPO, RTO en SDO duidelijk zijn vastgelegd.
Een BIA is onderdeel van je bedrijfscontinuïteitsplan (BCP). Bekijk hoe je een BCP opstelt.
Productiestop poliovaccin in Bilthoven kan gevolgen hebben voor volksgezondheid elders in de wereld
Door een cyberaanval met ransomware kwam de productie van een poliovaccin bijna tot stilstand. De eerste prioriteit was om de schade zoveel mogelijk te beperken. "We hebben heel goed gekeken naar de impact van het uitzetten van systemen op onze productie", vertelt Peter Lakenman, directeur Informatiemanagement bij Bilhoven Biologicals (BBio). Temperatuurbewaking van koelingsinstallaties moest tijdelijk op zicht en met de hand worden gedaan.