Veel organisaties beschikken over Business Impact Analyses (ofwel BIA’s) per Business Unit of per Afdeling als instrument om een helder beeld te verkrijgen en te behouden van eisen, wensen, verwachtingen en benodigdheden van Business Units of Afdelingen ten aanzien van bedrijfscontinuïteitvoorzieningen. Dit artikel gaat in op de inhoud en gangbare verschijningsvormen van Business Impact Analyses en op de kosten van het actueel houden van Business Impact Analyses. Vervolgens wordt een werkwijze beschreven die er op gericht is om het rendement van Business Impact Analyses te optimaliseren.
De inhoud van Business Impact Analyses (BIA’s)
Business Impact Analyses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:
• de processen van de Business Unit op hoofdlijnen
• de herstelprioriteiten van die processen (Recovery Time Objectives – RTO’s)
• de benodigde werkplekken, applicaties, voorraden, archieven, apparatuur en overige objecten
• het maximaal toelaatbaar dataverlies bij verstoringen (Recovery Point Objectives – RPO’s)
• de leden van het Crisis Team van de betreffende Business Unit
• vitale leveranciers van de Business Unit
• Business Noodprocedures per proces.
Gangbare verschijningsvormen van Business Impact Analyses (BIA’s)
In de meeste organisaties worden Business Impact Analyses in Word of in PowerPoint bijgehouden. Benodigde applicaties en overige objecten worden soms in een Excel bijlage gespecificeerd, waarbij soms ook BIV (Beschikbaarheid, Integriteit, Vertrouwelijkheid) classificaties worden vermeld van de benodigde applicaties, voorraden, archieven, apparatuur en andere objecten.
Vaak hanteren organisaties een BIA template, om te bereiken dat de structuur en inhoud van
Business Impact Analyses in ieder geval redelijk vergelijkbaar en integreerbaar zijn.
Het is echter zeker niet ongebruikelijk dat binnen één organisatie de verschillende Business Units hun Business Impact Analyses in verschillende tools (sommigen in Word, anderen in PowerPoint of in Excel) opmaken met verschillende structuren en verschillende hoofdstukindelingen.
Vaak hanteren de diverse Business Units ook verschillende namen voor dezelfde applicaties, verschillende schalen voor RTO’s en RPO’s of verschillende classificatie schalen ter indicatie van de BIV (Beschikbaarheid, Integriteit, Vertrouwelijkheid) classificaties van benodigde objecten. Er zijn voorbeelden waarin een classificatie van 1,2,3 voor Hoog, Middel, Laag in verschillende Business Units exact andersom werd gehanteerd.
De mate van vergelijkbaarheid en integreerbaarheid van informatie in de Business Impact Analyses van de verschillende Business Units wordt in dat geval uiteraard beperkt.
Het onderhouden van Business Impact Analyses kost tijd, en dus ook geld
De meest toegepaste werkwijze om Business Impact Analyses te onderhouden is dat een Quality Officer de procesmanagers interviewt aan de hand van de huidige Business Impact Analyses om zicht te krijgen op recente veranderingen in RTO ‘s, RPO’s, benodigde applicaties en andere zaken, leden van het Crisis Team, et cetera binnen hun proces.
Zowel de Quality Officer als de procesmanager die de input levert besteden dan ca. een halve dag aan het interview en misschien nog enige tijd om de Business Impact Analyse bij te werken en te controleren.
Een ervaringscijfer is dat het aantal processen per Business Unit varieert van 6 tot 12 processen. Operationele processen hebben veelal meer wijzigingen dan ondersteunende processen.
Bij een interview van halve dag per proces tussen de Quality Officer en procesmanager en een gemiddelde van 8 processen per Business Unit kan het per Business Unit in totaal ca. 8 dagen vergen om een actuele Business Impact Analyse te produceren.
In een organisatie met 5 operationele Business Units en 3 ondersteunende Business Units worden per periodieke update dan indicatief, zonder dat dat misschien direct zichtbaar wordt, 40 – 50 dagen besteed om over actuele Business Impact Analyses te kunnen beschikken.
En vaak blijken vervolgens Continuity managers, Security Managers, Service Level Managers en Auditors voor eigen doeleinden ook nog zelf bij de Business Units langs te gaan om eigen interviews te houden en eigen op Business Impact Analyses gelijkende vastleggingen te maken. In die situatie worden zonder dat dat misschien direct zichtbaar is, hieraan soms wel honderden dagen tijd besteed. Dat roept de terechte vraag op hoe het rendement van die investering kan worden geoptimaliseerd.
Het verborgen rendement van goede Business Impact Analyses (BIA’s)
Om een indruk te krijgen van het verborgen rendement van Business Impact Analyses moet worden gekeken naar de manier waarop de Business Impact Analyses op dit moment in veel organisaties worden gebruikt.
Dan blijkt dat Business Impact Analyses in veel organisatie helaas niet meer dan ‘papieren tijgers’ blijken te zijn, die vooral worden gemaakt omdat dat in normenkaders als de ISO 27001 standaard voor Informatiebeveiliging of de ISO 22301 standaard voor Business Continuity Management wordt gevraagd. Het zijn situatiebeschrijvingen zonder specifieke functie of toegevoegde waarde.
In andere organisaties, met name in organisaties die met BIA templates werken, wordt vaak gezien dat een Continuity Manager of Security Manager zich opwerpt als coördinator om met name de applicaties met RTO’s en BIV classificaties te verzamelen en te verwerken tot Excel totaaloverzichten.
Soms slagen die Business Continuity Managers of Information Security Managers er in om met veel inspanningen en handwerk die totaaloverzichten ook nog te vertalen naar Business Continuity Plannen, Disaster Recovery Plannen of Security Plannen, waarin de te herstellen items op volgorde van RTO of BIV classificatie voor alle Business Units gezamenlijk, worden gepresenteerd met beoogde herstelmaatregelen, teams en status op hoofdlijnen. Dat dit in grote organisaties een monnikenwerk is, moge duidelijk zijn.
In de meeste gevallen worden die Excel totaaloverzichten doorgegeven aan ICT afdelingen om te dienen als input voor Configuratie Management Databases (CMDB’s).
Daarmee wordt dan impliciet vaak ook de verantwoordelijkheid of de verwachting doorgeschoven naar die ICT afdelingen om op basis van deze totaaloverzichten Business Continuity Plannen, Disaster Recovery Plannen of Security Plannen te produceren.
De betreffende ICT afdelingen zullen de Excel totaaloverzichten dan vaak handmatig invoeren of door imports proberen te integreren in hun CMDB’s. Dat kan een foutgevoelig traject zijn, zeker indien de Business Units verschillende, afwijkende namen hanteren voor applicaties dan de ICT afdelingen zelf. Het rendement van al het werk dat in de Business Impact Analyses is gestoken, wordt hierdoor beperkt.
Optimaliseren van het rendement van Business Impact Analyses (BIA’s)
Om het rendement van Business Impact Analyses te optimaliseren dient aan een aantal eenvoudige eisen te worden voldaan:
1. eenduidigheid van structuur van Business Impact Analyses
2. eenduidigheid in detail van uitwerking van Business Impact Analyses
3. eenduidigheid van namen van applicaties, voorraden, archieven, apparatuur en overige objecten
4. eenduidigheid van schalen voor het benoemen van RTO’s , RPO’s en BIV classificaties
5. enkelvoudige vastlegging van informatie voor Quality Officers, Continuity managers, Security Managers, Service Level Managers en Auditors
6. geautomatiseerde integratie van de informatie uit Business Impact Analyses
In conventionele tweedimensionale tools zoals Word, Excel en Powerpoint is deze eenduidigheid over de verschillende Business Units niet goed af te dwingen. Het belangrijkste instrument om dat te realiseren is dan inderdaad het gebruik van BIA templates.
Het gebruik van BIA templates kan tot op zekere hoogte wel de eenduidigheid opleveren. Het leidt echter niet tot enkelvoudige vastlegging en geautomatiseerde integreerbaarheid van die vastleggingen.
De organisatie moet nog steeds handmatig alle input integreren tot totaaloverzichten als basis voor Continuity Plannen, Security Plannen, Recovery Plannen of Audit Plannen.
De enige manier om zowel eenduidigheid en enkelvoudigheid als geautomatiseerde integreerbaarheid van vastleggingen van Business Impact Analyses af te dwingen is het gebruik van relationele tooling.
Het rendement van relationele tooling
De relationele BCPI tooling zal organisaties helpen om het grote verborgen rendement uit de Business Impact Analyses aan te boren. In onderstaande figuur worden de te verwachten besparingen in tijd weergegeven, gebaseerd op jarenlange praktijkervaring.
In deze werkwijze worden Business Impact Analyses slechts éénmalig geproduceerd en kunnen die worden hergebruikt voor het automatisch genereren van herstellijsten, plannen, draaiboeken, testplannen en testrapportages voor scenario’s op het gebied van Continuity, Security, Integrity, Availability én Audit.
Uitgaande van een halfjaarlijkse update van 8 Business Impact Analyses, welke vervolgens 5 Continuity, Security, Integrity, Availability en Audit scenario’s voeden, is de jaarlijks haalbare indicatieve tijdsbesparing ca. 175 dagen. Dit komt neer op een rendement ter hoogte van de integrale kosten van ca. 1 FTE.
Stel, een organisatie wil kunnen beschikken over plannen, draaiboeken en testplannen voor dreigingen van verlies van Integriteit, Beschikbaarheid of Beveiliging van enkele ICT configuraties of informatiesystemen (door fouten, storingen of opzettelijk handelen) en voor verlies van meerdere kernlocaties.
Die organisatie zal al snel 10 scenario’s actueel willen houden en, alleen al op het maken van rapporten en overzichten, de tijdsbesteding van ca. 2 FTE kunnen besparen. Die FTE’s kunnen nu, in plaats van op het moeizaam produceren en onderhouden van overzichten, gericht worden op het managen van risico’s!
Naarmate het aantal te onderhouden scenario’s toeneemt, nemen ook de besparingen toe ten opzichte van een situatie waarin conventionele hulpmiddelen als Word, Excel of PowerPoint worden toegepast. Dat komt omdat elk aanvullend scenario in enkele minuten tijd, betrouwbaar kan worden bijgewerkt.
Tegelijkertijd zal de organisatie ervaren dat de kwaliteit van de BIA’s, herstellijsten, plannen, draaiboeken en testplannen alleen maar toeneemt: de relationele en geïntegreerde vastlegging gaat dienen als Knowledge Management Systeem voor de organisatie.
Bijdrage aan complexiteitsreductie
De eenvoudige, geautomatiseerde ordening van te herstellen objecten uit de Business Impact Analyses naar business value, maximale uitvaltermijn (RTO), Beschikbaarheid, Integriteit of Vertrouwelijkheid (BIV) gaat bovendien enorm bijdragen aan complexiteitsreductie. De business value van componentgroepen wordt zichtbaar in de ICT infrastructuur en is direct te herleiden naar de afhankelijke business processen. Dat helpt ICT beheerorganisatie en ICT beveiligingsorganisatie zeer om optimale architecturen te kiezen.
Van die complexiteitsreductie mag in de toekomst nog veel meer aanvullend rendement worden verwacht. Dat is pas echt het verborgen rendement van Business Impact Analyses.
Voor meer informatie: www.bcpi.eu
