(BIA s) Veel organisaties beschikken over BIA s ofwel Business Impact Analyses per Business Unit of per Afdeling. Hierna gaan we verder uit van Business Impact Analyses op Business Unit niveau. Dit artikel gaat in op de inhoud en gangbare verschijningsvormen van Business Impact Analyses en op de kosten van het actueel houden van Business Impact Analyses. Vervolgens wordt een werkwijze beschreven die er op gericht is om het rendement van Business Impact Analyses te optimaliseren. De inhoud van Business Impact Analyses (BIA s) Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van: de processen van de Business Unit op hoofdlijnen de herstelprioriteiten van die processen (Recovery Time Objectives RTO s) het maximaal toelaatbaar dataverlies bij verstoringen (Recovery Point Objectives RPO s) de benodigdewerkplekken, applicaties, voorraden, archieven, apparatuur en overige objecten de leden van het Crisis Team van de betreffende Business Unit vitale leveranciers van de Business Unit Sommige Business Impact Analyses vermelden ook nog de Business Noodprocedures per proces en de BIV (Beschikbaarheid, Integriteit, Vertrouwelijkheid) classificaties van de benodigde applicaties, voorraden, archieven, apparatuur en andere objecten. Gangbare verschijningsvormen van Business Impact Analyses (BIA s) In de meeste organisaties worden Business Impact Anlayses in Word of in PowerPoint bijgehouden. Benodigde applicaties en overige objecten worden soms ook in een Excel bijlage gespecificeerd. Vaak hanteren organisaties een BIA template, om te bereiken dat de structuur en inhoud van Business Impact Analyses in ieder geval redelijk vergelijkbaar of integreerbaar zijn. Het is echter zeker niet ongebruikelijk dat verschillende Business Units binnen één organisatie hun Business Impact Analyses in verschillende tools (Word, PowerPoint, Excel) opmaken met verschillende structuren en verschillende hoofdstukindelingen. In veel gevallen hanteren de diverse Business Units verschillende namen voor dezelfde applicaties, verschillende schalen van RTO s en RPO s of verschillende classificatie schalen ter indicatie van de BIV (Beschikbaarheid, Integriteit, Vertrouwelijkheid) classificaties van benodigde objecten. Er zijn voorbeelden waarin een classificatie van 1,2,3 voor Hoog, Middel, Laag in verschillende Business Units exact andersom werd gehanteerd. De mate van vergelijkbaarheid en integreerbaarheid van de informatie in de Business Impact Analyses van de verschillende Business Units wordt in dat geval uiteraard zeer beperkt. BCPI 2017 2
Het onderhouden van Business Impact Analyses kost tijd, en dus ook geld De meest toegepaste werkwijze om Business Impact Analyses te onderhouden is dat een Quality Officer aan de hand van de huidige Business Impact Analyses de procesmanagers interviewt om zicht te krijgen op recente veranderingen in RTO s, RPO s, benodigde applicaties en andere zaken, leden van het Crisis Team, et cetera binnen hun proces. Zowel de Quality Officer als de procesmanager die de input levert besteden dus ca. een halve dag aan het interview en misschien nog enige tijd om de Business Impact Analyse bij te werken en te controleren. Een ervaringscijfer is dat het aantal processen per Business Unit varieert van 6 tot 12 processen. Operationele processen hebben veelal meer wijzigingen dan ondersteunende processen. Bij een interview van halve dag per proces tussen de Quality Officer en procesmanager en een gemiddelde van 8 processen per Business Unit kan het in totaal ca. 8 dagen vergen om een actuele Business Impact Analyse te produceren. In een organisatie met 5 operationele Business Units en 3 ondersteunende Business Units worden per periodieke update dan indicatief, zonder dat dat misschien direct zichtbaar wordt, 40 50 dagen besteed om over actuele Business Impact Anlayses te kunnen beschikken. En vaak blijken vervolgens Continuity managers, Security Managers, Service Level Managers en Auditors voor hun eigen doelen ook nog eens zelf bij de Business Units langs te gaan om eigen interviews te houden en eigen op Business Impact Analyses gelijkende vastleggingen te maken. In die situatie worden zonder dat dat misschien direct zichtbaar is, hieraan soms wel honderden dagen tijd besteed. Dat roept de terechte vraag op hoe het rendement van die investering kan worden geoptimaliseerd. Het rendement van goede Business Impact Analyses (BIA s) Om een indruk te krijgen van het rendement van Business Impact Analyses moet worden gekeken naar de manier waarop de Business Impact Analyses op dit moment in veel organisaties worden gebruikt. Dan blijkt dat Business Impact Anlayses in veel organisatie helaas niets meer dan papieren tijgers blijken te zijn, die vooral worden gemaakt omdat dat in normenkaders als de ISO 27001 standaard voor Informatiebeveiliging of de ISO22301 standaard voor Business Continuity Management wordt gevraagd. Het zijn situatiebeschrijvingen zonder specifieke functie of toegevoegde waarde. In andere organisaties, met name in organisaties die met BIA templates werken, wordt vaak gezien dat een Business Continutiy Manager of Information Security Manager zich opwerpt als coördinator om met name de RTO s, RPO s en BIV classificaties te verzamelen en om te werken naar Excel totaaloverzichten. Heel soms slagen die Business Continutiy Managers of Information Security Managers er in om met heel veel inspanningen en handwerk die totaaloverzichten ook nog te vertalen naar Business Continuity Plannen, BCPI 2017 3
Disaster Recovery Plannen of Security Plannen, waarin de te herstellen items op volgorde van RTO, RPO of BIV classificatie voor alle Business Units gezamenlijk worden gepresenteerd met de beoogde herstelmaatregelen op hoofdlijnen. Dat dit in grote organisaties een monnikenwerk is, moge duidelijk zijn. In de meeste gevallen worden die Excel totaaloverzichten gewoon doorgegeven aan ICT afdelingen om te dienen als input voor Configuratie Management Databases (CMDB s). Daarmee wordt dan impliciet vaak ook de verantwoordelijkheid of de verwachting doorgeschoven naar die ICT afdelingen om op basis van deze totaaloverzichten Business Continuity Plannen, Disaster Recovery Plannen of Security Plannen te produceren. De betreffende ICT afdelingen zullen de Excel totaaloverzichten dan vaak handmatig invoeren of door imports proberen te integreren in hun CMDB s. Dat kan een foutgevoelig traject zijn, zeker indien de Business Units verschillende of afwijkende namen hanteren voor applicaties dan de ICT afdelingen zelf. Het rendement van al het werk dat in de Business Impact Analyses is gestoken, wordt hierdoor beperkt. Optimaliseren van het rendement van Business Impact Analyses (BIA s) Om het rendement van Business Impact Analyses te optimaliseren dient aan een aantal eenvoudige eisen te worden voldaan: 1. eenduidigheid van structuur van Business Impact Analyses 2. eenduidigheid in detail van uitwerking van Business Impact Analyses 3. eenduidigheid van namen van applicaties, voorraden, archieven, apparatuur en overige objecten 4. eenduidigheid van schalen voor het benoemen van RTO s, RPO s en BIV classificaties 5. enkelvoudige vastlegging van informatie voor Quality Officers, Continuity managers, Security Managers, Service Level Managers en Auditors 6. geautomatiseerde integratie van de informatie uit Business Impact Analyses In conventionele tweedimensionale tools zoals Word, Excel en Powerpoint is deze eenduidigheid over de verschillende Business Units niet goed af te dwingen. Het belangrijkste instrument om dat te realiseren is dan inderdaad het gebruik van BIA templates. Het gebruik van BIA templates kan tot op zekere hoogte wel de eenduidigheid opleveren. Het leidt echter niet tot enkelvoudige vastlegging en geautomatiseerde integreerbaarheid van die vastleggingen. De organisatie moet nog steeds handmatig alle input integreren tot totaaloverzichten als basis voor Continuity Plannen, Security Plannen, Recovery Plannen of Audit Plannen. De enige manier om zowel eenduidigheid en enkelvoudigheid als geautomatiseerde integreerbaarheid van vastleggingen van Business Impact Anlayses af te dwingen is gebruik van relationele tooling. BCPI 2017 4
bcpi.eu Het rendement van relationele tooling De relationele BCPI tooling zal organisaties helpen om het grote verborgen rendement uit de Business Impact Analyses aan te boren. In onderstaande figuur worden de te verwachten besparingen in tijd weergegeven, gebaseerd op jarenlange praktijkervaring. 11 Indicatieve tijdsbesparing per scenario en per jaar Per scenario / per jaar Ca. 16 dagen Ca. 6 dagen Ca. 8 dagen Ca. 5 dagen Dagen totaal 175 = 1 FTE Eliminatie dubbele analyses & registraties Hogere kwaliteit Plannen & maatregelen Lagere kosten Aandacht verschuift van Maken van overzichten naar Managen van Risico s BCMS / ISMS / DRMS 19.02.2016 BCPI R6 BCPI 2016 In deze werkwijze worden Business Impact Analyses slechts éénmalig geproduceerd en kunnen die worden hergebruikt voor het automatisch genereren van herstellijsten, plannen, draaiboeken, testplannen en testrapportages voor scenario s op het gebied van Continuity, Security, Integrity, Availability én Audit. Uitgaande van een halfjaarlijkse update van 8 Business Impact Analyses, welke vervolgens 5 Continuity, Security, Integrity, Availability en Audit scenario s voeden, is de jaarlijks haalbare indicatieve tijdsbesparing al ca. 175 dagen, dit komt neer op een rendement ter hoogte van de integrale kosten van ca. 1 FTE. Een organisatie die wil beschikken over plannen, draaiboeken en testplannen voor dreigingen van verlies van Integriteit, Beschikbaarheid of Beveiliging (door fouten, storingen of opzettelijk handelen) en voor verlies van meerdere kernlocaties. BCPI 2017 5
Die organisatie zal al snel 10 scenario s actueel willen houden en puur aan het maken van rapporten en overzichten de tijdsbesteding van ca. 2 FTE kunnen besparen. Die FTE s kunnen nu gericht worden op het managen van risico s in plaats van op het moeizaam produceren en onderhouden van overzichten! Naarmate het aantal te onderhouden scenario s toeneemt, nemen ook de besparingen toe ten opzichte van een situatie waarin alleen conventionele hulpmiddelen als Word, Excel of PowerPoint worden toegepast. Dat komt omdat elk aanvullend scenario in enkele minuten tijd, betrouwbaar kan worden bijgewerkt. Tegelijkertijd zal de organisatie ervaren dat de kwaliteit van de BIA s, herstellijsten, plannen, draaiboeken en testplannen alleen maar toeneemt: de relationele en geïntegreerde vastlegging gaat dienen als Knowledge Management Systeem voor de organisatie. Dit komt tot uitdrukking in onderstaande schema s. Die laten zien dat besparingen al direct optreden bij het modelleren van (wijzigingen in) de organisatie in BIA s en dat kostenbeparingen en kwaliteitsverbeteringen daarna alleen maar toenemen. Kosten Kwaliteit Bijdrage aan complexiteitsreductie De eenvoudige, geautomatiseerde ordening van te herstellen objecten vanuit de Business Impact Analyses naar business value, maximale uitvaltermijn (RTO), Beschikbaarheid, Integriteit of Vertrouwlijkheid (BIV) gaat bovendien enorm bijdragen aan complexiteitsreductie. De business value van componentgroepen wordt zichtbaar in de ICT infrastructuur en is direct te herleiden naar de afhankelijke business processen. Dat helpt ICT beheerorganisatie en ICT beveiligingsorganisatie zeer om optimale architecuren te kiezen. Van die complexiteitsreductie mag in de toekomst nog veel meer aanvullend rendement worden verwacht. Dat is pas echt het verborgen rendement van Business Impact Analyses. BCPI 2017 6