Business impact-analyse
Een business impactanalyse (BIA) wordt in het kader van het business continuity management (BCM) binnen een organisatie gebruikt om de kritieke processen van de niet kritieke processen te scheiden. Door de ICT-systemen, gebouwen, medewerkers, externe partijen, enz. die noodzakelijk zijn voor het uitvoeren van deze kritieke processen te bepalen, kan men ook de kritieke middelen bekomen.
Een BIA is een eerste stap in het proces van het opmaken van een business continuity plan (BCP). Het zorgt voor de belangrijkste elementen waar men zich op moet focussen bij de uitwerking van een BCP.
Uitvoering van een BIA
[bewerken | brontekst bewerken]Om de kritieke bedrijfsprocessen vast te leggen, gaat men samen met de verantwoordelijken ervan kijken naar de waarschijnlijke impact bij het uitvallen van een proces en de snelheid waarmee de schade zich manifesteert. Het is belangrijk dat niet enkel financiële schade wordt beschouwd, maar eveneens reputatieschade, schade aan personeel en andere belanghebbenden, mogelijke juridische vervolging en/of het in de problemen brengen van strategische doelen. Een kritiek proces is dus een proces waarvan de impact van de discontinuïteit onacceptabel groot is. Hoe snel de schade onacceptabel wordt, bepaalt dan de prioriteit die men moet geven aan het herstellen ervan.
De kritieke middelen kan men vervolgens bekomen, door te gaan uitzoeken welke middelen er noodzakelijk zijn om de continuïteit van een proces te garanderen. Onder middelen verstaan we alle benodigdheden voor de uitvoering van een proces, gaande van ICT-systemen en papierwerk tot de werknemers en gebouwen.
Aan de hand van deze informatie kan er voor elk element een recovery time objective (RTO) (herstellingstijdsdoel) vastgelegd worden. Een RTO is de tijd waarna een proces/middel na een onderbreking moet teruggebracht zijn op een aanvaardbaar niveau, om een onacceptabele impact op de organisatie te vermijden.
Ten slotte moet er ook nog bepaald worden hoeveel data er verloren mag gaan, beter bekend als de recovery point objective (RPO). De RPO is het punt in de tijd tot waar men minimaal de gegevens moet kunnen herstellen. Het is dus de acceptabele hoeveelheid aan dataverlies uitgedrukt in tijd.
Voordelen van een BIA
[bewerken | brontekst bewerken]Het uitvoeren van een BIA helpt om de business-continuity-managementplannen van een organisatie te baseren op wat de business nodig heeft. Als deze afstemming niet gebeurt, zouden er bijvoorbeeld disaster-recoveryplannen (DRP's) (herstellingsplannen) kunnen opgesteld worden voor niet kritieke middelen en zouden er onnodige kosten kunnen gedaan worden voor de back-up van niet kritieke middelen. Omgekeerd zou er natuurlijk ook te weinig aandacht kunnen besteed worden aan kritieke middelen, waarvan men het belang niet kent.
De uitvoering van een BIA helpt ook de verantwoordelijken binnen een organisatie bewust te worden, welke activiteiten het meest kritiek zijn voor de volledige organisatie. Dit kan zeker van pas komen bij het uitbreken van een crisis, waar men bepaalde processen prioriteit zal moeten geven.