4 misverstanden over back-ups die jij kunt voorkomen
24/11/2021Streef naar herstelzekerheid met de juiste back-up oplossingen
26/01/2022Onverwachte incidenten zoals brand, cyberbedreigingen en stroomstoringen kunnen ervoor zorgen dat je bedrijf volledig of gedeeltelijk stil komt te liggen. Hoewel sommige dingen in het leven onvermijdelijk zijn kun je wel de schade beperken en de bedrijfscontinuïteit waarborgen door het maken van een bedrijfscontinuïteitsplan (BCP). De belangrijkste kern bij het maken van een BCP is een Business Impact Analyse (BIA).
In deze blog vertellen we je meer over het uitvoeren en het belang van een BIA. Hoewel een BIA de kern is van een BCP kan het uitvoeren van een BIA ook een hulpmiddel zijn voor compliance. Een BIA kan helpen bij het in kaart brengen van de huidige beveiligingsmaatregelen en gaten in de bestaande compliance-overeenkomsten identificeren.
Wat houdt een BIA in?
Bij het uitvoeren van een BIA worden kritieke bedrijfsprocessen in kaart gebracht en verbonden aan alle middelen die nodig zijn om deze kritieke bedrijfsprocessen te blijven uitvoeren. Bij de benodigde middelen kun je denken aan software en hardware maar ook bepaalde functies binnen het bedrijf.
Tijdens of na het vastleggen van deze kritieke bedrijfsprocessen wordt er gekeken naar de waarschijnlijke impact en schade bij het uitvallen van deze processen. Hierbij gaat het niet alleen om financiële schade maar bijvoorbeeld ook om reputatieschade, schade bij belanghebbende of mogelijke juridische vervolging.
Een BIA geeft je meer controle en inzicht in de kritieke bedrijfsprocessen en de benodigdheden om deze processen te blijven uitvoeren of snel te kunnen herstellen na een incident
Na het uitvoeren van je BIA kun je een BCP opstellen om je bedrijfscontinuïteit te waarborgen. In je BCP geef je aan wat je bij een incident moet doen om je kritieke bedrijfsprocessen te herstellen. Om je BIA actueel te houden is het belangrijk om hem regelmatig na te lopen.
Vaak wordt een BIA verward met een risicoanalyse. Toch zijn het 2 verschillende processen met verschillende uitkomsten. Een risicoanalyse laat zien welke risico’s je bedrijf loopt en hoe je deze kunt beperken. Terwijl een BIA laat zien hoe snel je na een incident de bedrijfsprocessen weer op gang moet krijgen om verdere schade te voorkomen.
Hoewel het 2 verschillende processen zijn is het aan te raden ze beide uit te voeren. Een BIA versterkt je risicoanalyse omdat een risico wordt gedefinieerd als kans x impact, waarbij impact niet altijd duidelijk is.
Het uitvoeren van een BIA
Er is geen standaard methode voor het uitvoeren van een BIA en zal voor elk bedrijf verschillend zijn. Afhankelijk van de grootte van het bedrijf en de bedrijfsprocessen die van belang zijn. Er zijn echter wel verschillende richtlijnen die je kunt volgen voor het uitvoeren van een BIA. Wij geven hieronder een aantal belangrijke stappen die je kunt nemen bij het uitvoeren van een BIA.
1 – Stel een team samen
Bereid het uitvoeren van de BIA voor door een team samen te stellen. Dit kan een team zijn dat bestaat uit medewerkers van de verantwoordelijke afdelingen. Het is ook mogelijk om bij het uitvoeren van een BIA hulp in te schakelen van een extern bedrijf. Samen met het team wordt er besproken hoe informatie wordt verzameld en binnen welk tijdsbestek.
2 – Inventariseer kritieke bedrijfsprocessen
Verzamel informatie over de bedrijfsprocessen en maak hierbij onderscheid tussen kritieke en niet kritieke processen. Het verzamelen van deze informatie kun je doen door het te bespreken met de verantwoordelijke medewerkers. Je kunt eventueel ook een vragenlijst maken.
3 – Bepaal de impact van het uitvallen van een proces
Bekijk per proces wat de impact is als deze uitvalt, doe dit samen met de verantwoordelijke voor dat proces. Bijv. de impact wanneer systemen niet meer toegankelijk zijn door een cyberaanval. Kijk hierbij niet alleen naar financiële schade maar ook naar gevolgschade zoals reputatieschade. Zet alle processen op deze manier in een overzichtelijke schema. Hiermee creëer je een duidelijk overzicht van de kritieke processen waarvan het uitvallen grote gevolgen heeft. Processen met de grootste impact zet je boven aan de lijst.
4 – Verzamel de middelen die de continuïteit kunnen garanderen
Onderzoek welk middelen er nodig zijn om de continuïteit van een bepaald proces te kunnen garanderen of snel te kunnen herstellen. Dit kan een bepaalde hardware of software zijn maar ook medewerkers of specifieke handeling.
5 – Bepaal je Recovery Time Objective (RTO)
Met RTO wordt de maximale toelaatbare hersteltijd bedoeld. Hiermee bepaal je binnen welk tijdsbestek een proces moet zijn hersteld voordat de uitval impact heeft op de bedrijfsvoering. Bepaal voor elk proces de RTO, deze is niet voor elk proces gelijk. Bijv. uitval van systemen zal minder snel impact hebben op de salarisadministratie dan op de dienstverlening richting klanten.
6 – Bepaal je Recovery Point Objective (RPO)
RPO is het maximaal toelaatbare dataverlies. Bij sommige incidenten is het niet altijd mogelijk om alle schade te herstellen. Door een RPO te bepalen weet je tot welk niveau dataverlies acceptabel is. Dataverlies boven je RPO kunnen gevolgen hebben voor het bedrijf.
7 – Schakel hulp in
Ongeacht je branche en bedrijfsgrootte is het jouw verantwoordelijkheid om regelmatig een BIA uit te voeren. Vergeet niet dat een effectieve BIA je bedrijfscontinuïteit waarborgt. Daarnaast is een BIA een goede aanvulling op je risicoanalyse en creëert het controle en bewustwording. Door beter voorbereid te zijn op onverwachte incidenten verklein je de impact op je uptime, reputatie en inkomsten.
BIA en risicoanalyse is een stevige basis voor je BCP en zorgt in combinatie met een cybersecurityplan voor een robuuste cybersecurity. Weet je niet goed waar je moet beginnen? Wij helpen je graag verder, neem contact met ons op voor een gratis adviesgesprek.