Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

Vergelijkbare documenten
Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

bcpi.eu BCPI BCPI Visie De BCPI Visie kan als volgt worden weergegeven:

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST?

De IT en infrastructuur direct weer up-and-running na een incident

Inleiding Wat is twin datacenter? Waarom implementeren organisaties twin datacenter oplossingen? Business Continuity Management (BCM)

Business Continuity Management

bcpi.eu Inleiding Agile

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

ISM: BPM voor IT Service Management

VKA Self Assessment Report: Volwassenheidsscan IT processen. Uw positie

Taakcluster Operationeel support

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Saxion Data Security Beleid. Het data security beleid voor afvoer of hergebruik van gegevensdragers

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Een Information Security Management System: iedereen moet het, niemand doet het.

ISM en Lean, natuurlijke bondgenoten

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

KIM. Slimme acties ondernemen

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

Exact Group B.V., All rights belong to their respective owners.

Een compleet financieel beeld met 1 druk op de knop

Gemeente Alphen aan den Rijn

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

BIM + DCIM = optimaal ontwerpen, bouwen en beheren (+ een gunstige TCO) Leo van Ruijven Principal Systems Engineer Croon Elektrotechniek BV TBI

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Bedrijfscontinuïteit met behulp van een BCMS

Verlaag uw energiekosten. met de Smart Energy Software van I-Real

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

Update branche RI&E Waterschappen

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Van Samenhang naar Verbinding

Professionalisering van Levensduurverlenging

Ivo Opstelten Minister van Veiligheid en Justitie Postbus EH DEN HAAG

Optimaliseer uw infrastructuur met virtualisatie en SAN

J.H. van den Berg. Versie 1.0 Mei 2011

SESSIE 1.3 GEBRUIK: NATUURGEWELD

Informatiebeveiligingsbeleid

VULNERABILITY ANALYTICS & MANAGEMENT PORTAL

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Security Management Een principle-based aanpak met ISM & FSM

Zet de stap naar certificering!

BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren.

Doxis Informatiemanagers

NO HANDS ACCOUNTING VAN INVOEREN NAAR ADVISEREN

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, (t.a.v. J. van der Meer)

Transavia ISM. Agenda

Business Impact Analyse (BIA) Hoe doe je dat?

Informatiebeveiliging: Hoe voorkomen we issues?

Project Portfolio Management Altijd en overal inzicht PMO

ADVISIE SERVICE SOLUTIONS

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Vragenlijst ten behoeve van opstellen continuïteitsplan

I-FourC Technologies. Digitaal en mobiel werken in de juridische praktijk. 1 => 3 x 3

Service- en Supportvoorwaarden (Servicecontract software)

Management. Analyse Sourcing Management

De visie van Centric op datamanagement

4.1 Simulatie in de analysefase

Als beveiligingssystemen IT-systemen zijn, waarom worden ze dan niet beheerd door de. IT-afdeling? Over Thimo Keizer

De volgende stap naar certificering!

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

Alle diensten via één loket, hoe gaan we dat organiseren! Marco van Dijke (Manager dienst ICT, ROC Zeeland) Bas van Dorst (Sales Director, Planon)

ICT Management. Leerprocessen en hun invloed op de kwaliteit van IT-servicemanagement. Kortere terugverdientijd door het versnellen van het leerproces

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

Identify and mitigate your IT risk

RIE Manager voor SOM MBO

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

ICT en Medische Technologie. Waar MT en ICT samen komen

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Implementatie eboard. Nederlandse Board gebruikersdag. Fred Elgers, Hoofd Controlling

Informatiebeveiligingsbeleid

Quick scan data kwaliteit. Andre Bal

Proefexamen ITIL Foundation

GASTVRIJ EN ALERT

Technische architectuur Beschrijving

Inhoud. Back-up 3. Beschikbaarheid 4. ExtraVar ontzorgt met unieke cloud diensten 5. ExtraVar en de cloud 7. ExtraVar - Cloud Diensten

B l u e D o l p h i n

Resultaatgerichte monitoring in het Amphia Ziekenhuis

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Bantopa Terreinverkenning

Toepassen van ISO 22000: denken vanuit risico s en kansen

Factsheet SECURITY SCANNING Managed Services

Datagestuurde Auditing Sociaal Domein In control komen op 3 levels of defence

Lifecycle Management: opereren onder architectuur. Jan Willem van Veen

Dé cloud bestaat niet. maakt cloud concreet

De Nederlandsche Bank N.V. mei Toetsingskader Business Continuity Management Financiële Kerninfrastructuur

Portfoliomanagement software van Thinking Portfolio

NieuwsBrief. CompLions. Inhoudsopgave nr.03. Klik hier als u de onderstaande nieuwsbrief niet goed kunt lezen.

SOLVENCY II Hoe een integrale aanpak van de Solvency II pijlers leidt tot een efficiënt en betrouwbaar risicomanagement- en rapportageproces

DATAMODELLERING CRUD MATRIX

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam.

AFSTUDEEROPDRACHT Arjowiggins Security B.V. Opdracht Profiel Contactpersoon

Transcriptie:

(BIA s) Veel organisaties beschikken over BIA s ofwel Business Impact Analyses per Business Unit of per Afdeling. Hierna gaan we verder uit van Business Impact Analyses op Business Unit niveau. Dit artikel gaat in op de inhoud en gangbare verschijningsvormen van Business Impact Analyses en op de kosten van het actueel houden van Business Impact Analyses. Vervolgens wordt een werkwijze beschreven die er op gericht is om het rendement van Business Impact Analyses te optimaliseren. De inhoud van Business Impact Analyses (BIA s) Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van: de processen van de Business Unit op hoofdlijnen de herstelprioriteiten van die processen (Recovery Time Objectives RTO s) het maximaal toelaatbaar dataverlies bij verstoringen (Recovery Point Objectives RPO s) de benodigdewerkplekken, applicaties, voorraden, archieven, apparatuur en overige objecten de leden van het Crisis Team van de betreffende Business Unit vitale leveranciers van de Business Unit Sommige Business Impact Analyses vermelden ook nog de Business Noodprocedures per proces en de BIV (Beschikbaarheid, Integriteit, Vertrouwelijkheid) classificaties van de benodigde applicaties, voorraden, archieven, apparatuur en andere objecten. Gangbare verschijningsvormen van Business Impact Analyses (BIA s) In de meeste organisaties worden Business Impact Anlayses in Word of in PowerPoint bijgehouden. Benodigde applicaties en overige objecten worden soms ook in een Excel bijlage gespecificeerd. Vaak hanteren organisaties een BIA template, om te bereiken dat de structuur en inhoud van Business Impact Analyses in ieder geval redelijk vergelijkbaar of integreerbaar zijn. Het is echter zeker niet ongebruikelijk dat verschillende Business Units binnen één organisatie hun Business Impact Analyses in verschillende tools (Word, PowerPoint, Excel) opmaken met verschillende structuren en verschillende hoofdstukindelingen. In veel gevallen hanteren de diverse Business Units verschillende namen voor dezelfde applicaties, verschillende schalen van RTO s en RPO s of verschillende classificatie schalen ter indicatie van de BIV (Beschikbaarheid, Integriteit, Vertrouwelijkheid) classificaties van benodigde objecten. Er zijn voorbeelden waarin een classificatie van 1,2,3 voor Hoog, Middel, Laag in verschillende Business Units exact andersom werd gehanteerd. De mate van vergelijkbaarheid en integreerbaarheid van de informatie in de Business Impact Analyses van de verschillende Business Units wordt in dat geval uiteraard zeer beperkt. BCPI 2017 2

Het onderhouden van Business Impact Analyses kost tijd, en dus ook geld De meest toegepaste werkwijze om Business Impact Analyses te onderhouden is dat een Quality Officer aan de hand van de huidige Business Impact Analyses de procesmanagers interviewt om zicht te krijgen op recente veranderingen in RTO s, RPO s, benodigde applicaties en andere zaken, leden van het Crisis Team, et cetera binnen hun proces. Zowel de Quality Officer als de procesmanager die de input levert besteden dus ca. een halve dag aan het interview en misschien nog enige tijd om de Business Impact Analyse bij te werken en te controleren. Een ervaringscijfer is dat het aantal processen per Business Unit varieert van 6 tot 12 processen. Operationele processen hebben veelal meer wijzigingen dan ondersteunende processen. Bij een interview van halve dag per proces tussen de Quality Officer en procesmanager en een gemiddelde van 8 processen per Business Unit kan het in totaal ca. 8 dagen vergen om een actuele Business Impact Analyse te produceren. In een organisatie met 5 operationele Business Units en 3 ondersteunende Business Units worden per periodieke update dan indicatief, zonder dat dat misschien direct zichtbaar wordt, 40 50 dagen besteed om over actuele Business Impact Anlayses te kunnen beschikken. En vaak blijken vervolgens Continuity managers, Security Managers, Service Level Managers en Auditors voor hun eigen doelen ook nog eens zelf bij de Business Units langs te gaan om eigen interviews te houden en eigen op Business Impact Analyses gelijkende vastleggingen te maken. In die situatie worden zonder dat dat misschien direct zichtbaar is, hieraan soms wel honderden dagen tijd besteed. Dat roept de terechte vraag op hoe het rendement van die investering kan worden geoptimaliseerd. Het rendement van goede Business Impact Analyses (BIA s) Om een indruk te krijgen van het rendement van Business Impact Analyses moet worden gekeken naar de manier waarop de Business Impact Analyses op dit moment in veel organisaties worden gebruikt. Dan blijkt dat Business Impact Anlayses in veel organisatie helaas niets meer dan papieren tijgers blijken te zijn, die vooral worden gemaakt omdat dat in normenkaders als de ISO 27001 standaard voor Informatiebeveiliging of de ISO22301 standaard voor Business Continuity Management wordt gevraagd. Het zijn situatiebeschrijvingen zonder specifieke functie of toegevoegde waarde. In andere organisaties, met name in organisaties die met BIA templates werken, wordt vaak gezien dat een Business Continutiy Manager of Information Security Manager zich opwerpt als coördinator om met name de RTO s, RPO s en BIV classificaties te verzamelen en om te werken naar Excel totaaloverzichten. Heel soms slagen die Business Continutiy Managers of Information Security Managers er in om met heel veel inspanningen en handwerk die totaaloverzichten ook nog te vertalen naar Business Continuity Plannen, BCPI 2017 3

Disaster Recovery Plannen of Security Plannen, waarin de te herstellen items op volgorde van RTO, RPO of BIV classificatie voor alle Business Units gezamenlijk worden gepresenteerd met de beoogde herstelmaatregelen op hoofdlijnen. Dat dit in grote organisaties een monnikenwerk is, moge duidelijk zijn. In de meeste gevallen worden die Excel totaaloverzichten gewoon doorgegeven aan ICT afdelingen om te dienen als input voor Configuratie Management Databases (CMDB s). Daarmee wordt dan impliciet vaak ook de verantwoordelijkheid of de verwachting doorgeschoven naar die ICT afdelingen om op basis van deze totaaloverzichten Business Continuity Plannen, Disaster Recovery Plannen of Security Plannen te produceren. De betreffende ICT afdelingen zullen de Excel totaaloverzichten dan vaak handmatig invoeren of door imports proberen te integreren in hun CMDB s. Dat kan een foutgevoelig traject zijn, zeker indien de Business Units verschillende of afwijkende namen hanteren voor applicaties dan de ICT afdelingen zelf. Het rendement van al het werk dat in de Business Impact Analyses is gestoken, wordt hierdoor beperkt. Optimaliseren van het rendement van Business Impact Analyses (BIA s) Om het rendement van Business Impact Analyses te optimaliseren dient aan een aantal eenvoudige eisen te worden voldaan: 1. eenduidigheid van structuur van Business Impact Analyses 2. eenduidigheid in detail van uitwerking van Business Impact Analyses 3. eenduidigheid van namen van applicaties, voorraden, archieven, apparatuur en overige objecten 4. eenduidigheid van schalen voor het benoemen van RTO s, RPO s en BIV classificaties 5. enkelvoudige vastlegging van informatie voor Quality Officers, Continuity managers, Security Managers, Service Level Managers en Auditors 6. geautomatiseerde integratie van de informatie uit Business Impact Analyses In conventionele tweedimensionale tools zoals Word, Excel en Powerpoint is deze eenduidigheid over de verschillende Business Units niet goed af te dwingen. Het belangrijkste instrument om dat te realiseren is dan inderdaad het gebruik van BIA templates. Het gebruik van BIA templates kan tot op zekere hoogte wel de eenduidigheid opleveren. Het leidt echter niet tot enkelvoudige vastlegging en geautomatiseerde integreerbaarheid van die vastleggingen. De organisatie moet nog steeds handmatig alle input integreren tot totaaloverzichten als basis voor Continuity Plannen, Security Plannen, Recovery Plannen of Audit Plannen. De enige manier om zowel eenduidigheid en enkelvoudigheid als geautomatiseerde integreerbaarheid van vastleggingen van Business Impact Anlayses af te dwingen is gebruik van relationele tooling. BCPI 2017 4

bcpi.eu Het rendement van relationele tooling De relationele BCPI tooling zal organisaties helpen om het grote verborgen rendement uit de Business Impact Analyses aan te boren. In onderstaande figuur worden de te verwachten besparingen in tijd weergegeven, gebaseerd op jarenlange praktijkervaring. 11 Indicatieve tijdsbesparing per scenario en per jaar Per scenario / per jaar Ca. 16 dagen Ca. 6 dagen Ca. 8 dagen Ca. 5 dagen Dagen totaal 175 = 1 FTE Eliminatie dubbele analyses & registraties Hogere kwaliteit Plannen & maatregelen Lagere kosten Aandacht verschuift van Maken van overzichten naar Managen van Risico s BCMS / ISMS / DRMS 19.02.2016 BCPI R6 BCPI 2016 In deze werkwijze worden Business Impact Analyses slechts éénmalig geproduceerd en kunnen die worden hergebruikt voor het automatisch genereren van herstellijsten, plannen, draaiboeken, testplannen en testrapportages voor scenario s op het gebied van Continuity, Security, Integrity, Availability én Audit. Uitgaande van een halfjaarlijkse update van 8 Business Impact Analyses, welke vervolgens 5 Continuity, Security, Integrity, Availability en Audit scenario s voeden, is de jaarlijks haalbare indicatieve tijdsbesparing al ca. 175 dagen, dit komt neer op een rendement ter hoogte van de integrale kosten van ca. 1 FTE. Een organisatie die wil beschikken over plannen, draaiboeken en testplannen voor dreigingen van verlies van Integriteit, Beschikbaarheid of Beveiliging (door fouten, storingen of opzettelijk handelen) en voor verlies van meerdere kernlocaties. BCPI 2017 5

Die organisatie zal al snel 10 scenario s actueel willen houden en puur aan het maken van rapporten en overzichten de tijdsbesteding van ca. 2 FTE kunnen besparen. Die FTE s kunnen nu gericht worden op het managen van risico s in plaats van op het moeizaam produceren en onderhouden van overzichten! Naarmate het aantal te onderhouden scenario s toeneemt, nemen ook de besparingen toe ten opzichte van een situatie waarin alleen conventionele hulpmiddelen als Word, Excel of PowerPoint worden toegepast. Dat komt omdat elk aanvullend scenario in enkele minuten tijd, betrouwbaar kan worden bijgewerkt. Tegelijkertijd zal de organisatie ervaren dat de kwaliteit van de BIA s, herstellijsten, plannen, draaiboeken en testplannen alleen maar toeneemt: de relationele en geïntegreerde vastlegging gaat dienen als Knowledge Management Systeem voor de organisatie. Dit komt tot uitdrukking in onderstaande schema s. Die laten zien dat besparingen al direct optreden bij het modelleren van (wijzigingen in) de organisatie in BIA s en dat kostenbeparingen en kwaliteitsverbeteringen daarna alleen maar toenemen. Kosten Kwaliteit Bijdrage aan complexiteitsreductie De eenvoudige, geautomatiseerde ordening van te herstellen objecten vanuit de Business Impact Analyses naar business value, maximale uitvaltermijn (RTO), Beschikbaarheid, Integriteit of Vertrouwlijkheid (BIV) gaat bovendien enorm bijdragen aan complexiteitsreductie. De business value van componentgroepen wordt zichtbaar in de ICT infrastructuur en is direct te herleiden naar de afhankelijke business processen. Dat helpt ICT beheerorganisatie en ICT beveiligingsorganisatie zeer om optimale architecuren te kiezen. Van die complexiteitsreductie mag in de toekomst nog veel meer aanvullend rendement worden verwacht. Dat is pas echt het verborgen rendement van Business Impact Analyses. BCPI 2017 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback