Business-Impact-Analyse ( BIA )

BIA
@Adobe @dizain

Checkliste für eine Business Impact Analyse ( BIA ): 10 Verbesserungen Ihrer BIA-Strategie

Eine Business-Impact-Analyse ( BIA ) ist ein kritischer Teil der Business-Continuity-Planung ( BCP ). Vermeiden Sie mit dieser BIA-Checkliste potenzielle Störungen und sorgen Sie für einen reibungslosen Ablauf des Planungsprozesses.

Bei der Erstellung eines Business-Continuity-Plans ( BCP ) ist es entscheidend, potenzielle Bedrohungen zu erkennen und zu vermeiden und sich auf das Schlimmste vorzubereiten. Eine Business-Impact-Analyse liefert die Informationen, die zur Bewältigung möglicher Störungen erforderlich sind, vorausgesetzt, Sie machen Ihre Hausaufgaben. Das Befolgen einer gründlichen Checkliste für die Analyse der Geschäftsauswirkungen wird Ihre Disaster Recovery-Strategie stärken.

Eine Business-Impact-Analyse ist von zentraler Bedeutung für die Entwicklung von Plänen für die Geschäftskontinuität und die Notfallwiederherstellung (BC/DR). Eine BIA ist eine Aufstellung der Anforderungen an die Wiederherstellbarkeit, eine Hierarchie von Prioritäten und der Wertbeitrag zurUnterstützung der Investitionen der Unternehmensleitung in Datensicherungen, alternativen Einrichtungen, Duplikatsausrüstung und andere Ressourcen. Sie zeigt die Schwachstellen einer Organisation auf und zeigt, was vor einer Katastrophe getan werden muss, um die Bedürfnisse des Unternehmens zu erfüllen, und was bis zum Eintreten einer Katastrophe aufgeschoben werden kann.

Eine Business-Impact-Analyse ( BIA ) ist ein komplexer Prozess, so dass es viel Raum für Fehler gibt. Glücklicherweise gibt es einige wichtige Möglichkeiten, um sicherzustellen, dass Ihnen bei der Durchführung Ihrer Analyse kein Schritt entgeht. Die Verwendung einer BIA-Vorlage kann helfen, zusammen mit den Schritten, die wir im Folgenden erläutern. Die Planung ist je nach Organisation und Branche unterschiedlich, daher sollten Sie sich beim Durchgehen der Checkliste für die Business-Impact-Analyse ( BIA ) notieren, welche Schritte, Geschäftsprozesse und Anwendungen Sie bei der Planung hervorheben möchten.

10 Möglichkeiten zur Verbesserung Ihrer Business-Impact-Analyse ( BIA )

Ziehen Sie eine Unterbrechung der Geschäftsfunktionen zusätzlich zu den Anwendungen in Betracht. Der Treiber einer Business-Impact-Analyse ist das Geschäft. Die erste Frage, die behandelt werden muss, ist, welche Auswirkungen es auf die gesamte Organisation hätte, wenn eine Geschäftsfunktion nicht ausgeführt werden könnte. Die zweite Frage ist, auf welche Anwendungen sich diese Funktion stützt. Einige Planer könnten geneigt sein, Anwendungen zu priorisieren. Diese ist zwar kritisch, aber die Aufrechterhaltung der Geschäftskontinuität und die schnellstmögliche Inbetriebnahme von Systemen ist in der heutigen Zeit, in der jede Ausfallzeit als inakzeptabel gilt, von entscheidender Bedeutung.

Berücksichtigen Sie Ihre gesamte IT-Umgebung. Geschäftsanwender wissen zwar, auf welche Anwendungen sie sich verlassen, aber sie wissen oft nicht, auf welche anderen Anwendungen oder Infrastruktur diese Anwendungen angewiesen sind. Bei der Bestimmung der relativen Bedeutung vonAnwendungen muss der Analytiker die Gesamtheit der IT-Umgebung verstehen: Server, Speicher, Netzwerk, Infrastruktur und das Portfolio der Anwendungen als Ganzes.

Berücksichtigen Sie Gewinn und Verlust unter verschiedenen Umständen. Sie sollten sich nicht fragen: "Wenn Anwendung X nicht laufen könnte, wie viel Geld würde verloren gehen? Das wirft zu viele andere Fragen auf, wie zum Beispiel: Können Verluste bei der Wiederherstellung des Systems aufgeholt werden? Würde ein Ausfall nicht nur Umsätze, sondern auch Kunden verlieren? Wie viel Verlust ist auf eine bestimmte Anwendung zurückzuführen? Bei der Durchführung einer Business-Impact-Analyse ( BIA ) werden oft finanzielle Informationen gesammelt, die dann bei der Festlegung der Rückforderungsanforderungen nicht verwendet werden, weil sie zu kompliziert sind. Sie sollten die Gewinn- und Verlustauswirkungen eines längeren Ausfalls sowie die Kapital- und Betriebskosten der Wiederherstellung berücksichtigen.

Eine Risikobewertung erfüllt eine völlig andere Geschäftsfunktion als eine Business-Impact-Analyse( BIA )

Erkennen Sie nicht-finanzielle Verluste, wie den Verlust Ihres guten Rufs. Finanzielle Verluste stellen zwar für jede Organisation eine kritische Bedrohung dar, sind aber nicht die einzige Sorge der Unternehmensleitung. Die Auswirkungen auf den Ruf und die Kundenbindung lasten möglicherweise schwerer auf ihren Köpfen. Es kann sein, dass Manager nicht vollständig verstehen, wie ihre Funktionin das Geschäftsmodell ihres Unternehmens passt, so dass sie das gesamte finanzielle Risiko auf ihre eigenen Maßnahmen zurückführen könnten, anstatt das gesamte Unternehmen zu betrachten. Stellen Sie sicher, dass jeder den Ruf des Unternehmens im Auge behält, wenn er potenzielle Unterbrechungen und Ausfallzeiten plant.

Berücksichtigen Sie Überlegungen für Unternehmens- und andere Awendungen. Einige Anwendungen sind wichtiger als andere, weil sie dem Unternehmen als Ganzes dienen. Daher gibt eskeinen einzelnen Manager, der die Gesamtbedeutung dieser Anwendungen angeben kann. Eine Anwendung, die eine einzige Geschäftsfunktion erfüllt oder viele Funktionen auf unterschiedliche Weise erfüllt, wird jedoch möglicherweise nicht so leicht wahrgenommen. Nehmen Sie eine Bestandsaufnahme der Anwendungen vor, die Ihr Unternehmen am häufigsten verwendet und auf die es sich verlässt, und achten Sie bei Ihrer Analyse unbedingt darauf, diese Anwendungen zu berücksichtigen.

Betrachten Sie Rechenzentrumsanwendungen. Für einige Anwendungen - wie die Betriebssysteme, Datenbankmanagementsysteme und Rechenzentrumswerkzeuge, die Geschäftsanwendungen ermöglichen - gibt es keine direkten Bezugspersonen. Es ist leicht zu sagen, dass die Infrastruktur vor allen Anwendungen wiederhergestellt werden muss, aber das bedeutet nicht, dass das Betriebssystem auf einem Server, der Analysen durchführt, vor den Kredit-, Handels- oder Inventarsystemen wiederhergestellt werden sollte.

Unterscheiden Sie zwischen einer Business-Impact-Analyse ( BIA ) und einer Risikobewertung. Bei einer Risikobewertung wird bestimmt, was einen Ausfall verursachen könnte; eine Analyse der geschäftlichen Auswirkungen zeigt die Auswirkungen, falls es zu einem Ausfall kommen sollte. Eine Risikobewertung ist vorteilhaft, weil sie einer Organisation hilft, kritische Bedrohungen zu erkennen und sich auf sie vorzubereiten, was bei der Zuweisung und Priorisierung von DR-Ressourcen und der Planung helfen kann. Eine Risikobewertung erfüllt eine völlig andere Geschäftsfunktion als eine Business-Impact-Analyse ( BIA ). Stellen Sie also sicher, dass Sie die eine nicht als Ersatz oder Abkürzung für die andere verwenden. Das Problem bei einer Business-Impact-Analyse ( BIA ) liegt in den Folgen, die sich aus Unterbrechungen unterschiedlicher Dauer ergeben, unabhängig von der Ursache.

Eine Risikobewertung bestimmt die Wahrscheinlichkeit, dass eine Organisation von potenziellen Katastrophen getroffen wird.

Verstehen Sie, dass Risikoakzeptanz nicht bedeutet, an allen Ecken und Kanten zu sparen. Es ist ein langwieriger Prozess, eine ganze Checkliste für die Analyse der Geschäftsauswirkungen durchzugehen, so dass einige Manager möglicherweise keine Zeit für die Bestimmung der Auswirkungen eines Ereignisses aufwenden wollen, wenn sie bereit sind, die Ausfallzeit für eine bestimmte Anwendung zu akzeptieren. Eine akzeptable Ausfallzeit für eine Abteilung kann jedoch für

die Organisation als Ganzes inakzeptabel sein, so dass selbst eine überschaubare Auswirkung noch in Betracht gezogen werden sollte.

Schließen Sie den gesamten BIA-Prozess ab. Manchmal erscheint das Ergebnis einer Analyse den Geschäftsführern offensichtlich, so dass sie automatisch die Antwort vorwegnehmen, ohne den gesamten BIA-Prozess durchlaufen zu müssen. Annahmen können in 80 % der Fälle zu korrekten Ergebnissen führen, aber das bedeutet, dass sie in 20 % der Fälle falsch sind, und das bietet reichlich Gelegenheit für Fehler bei der Anzahl der Geschäftsfunktionen und Anwendungen in einer bestimmten Organisation. Dies lässt Raum für die ungenaue Analyse von Anwendungen, und Sie werden es nicht wissen, bis eine Katastrophe eintritt.

Unterschätzen Sie die BIA-Ergebnisse nicht. Die Wiederherstellung nach einer Katastrophe ist teuer, aber das ist kein Grund, bei den Ergebnissen einer Analyse der Geschäftsauswirkungen ein Blatt vor den Mund zu nehmen. Ein Geschäftsführer kann die finanziellen, betrieblichen oder rufschädigenden Auswirkungen der Nichtverfügbarkeit seiner Anwendungen aufgrund der wahrgenommenen Kosten der Wiederherstellbarkeit unterbewerten. Von allen potentiellen Fehlern, die während einer Analyse der Auswirkungen auf das Unternehmen gemacht werden könnten, ist dies der heimtückischste, weiler absichtlich die Gesamtaussage über den Wiederherstellungsbedarf untergräbt, die eine Business-Impact-Analyse ( BIA ) erstellen soll. Es ist verständlich, dass sich Manager heute vielleicht mehr Sorgen um das Budget machen als um einen Vorfall, der vielleicht nicht einmal in der Zukunft eintritt,aber sie stellen eine potenziell untragbare Risikobelastung für das Unternehmen dar.

Es gibt eine Reihe von Elementen, die bei der Durchführung einer BIA zu berücksichtigen sind.

Die richtige Analyse der Auswirkungen auf Ihr Unternehmen

Insgesamt sollten Sie Business-Impact-Analysen ( BIA ) unvoreingenommen durchführen und den Fakten folgen, wohin sie auch immer führen mögen. Bestehende Vorurteile können zerschlagen werden, aber wenn die Vorurteile zuverlässig wären, wäre eine Checkliste für die Analyse der Geschäftsauswirkungen überhaupt nicht notwendig. In viel zu vielen Organisationen wird die so genannte Business-Impact-Analyse für Informationssysteme in einer schnellen Besprechung zwischeneinigen wenigen IT-Managern durchgeführt.

Ein IT-Notfallwiederherstellungsplan ist eine Teilmenge eines Business-Continuity-Plans, und die Kritikalität einer Anwendung hängt von der Kritikalität der Geschäftsfunktionen ab, die sich auf sie stützen. Die Geschäftsfunktionen jeder Organisation sind komplex und voneinander abhängig. In großen Unternehmen können sie so miteinander verwoben sein, dass es eine Herkulesarbeit ist, die relativen Auswirkungen des einen gegenüber dem anderen zu verstehen. Aber es ist eine lohnende Anstrengung, nicht nur, damit die Unternehmensleitung in die Werthaltigkeit investieren kann, sondern auch wegen der Einblicke, die sie in die Komplexität der Unternehmen gewährt.

Sie haben Fragen oder benötigen Unterstützung für die Erstellung einer Business-Impact-Analyse ( BIA ) – rufen Sie uns an – 04532-2767803

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen