Business Impact Analyse

Jun 9, 2020 von Yanik Botta

Das Erarbeiten von möglichen Risiko- oder Krisenszenarien ist Teil des Jobs als Security Consultant. Was bis vor kurzem jedoch oft noch als hypothetische Denkaufgabe abgetan wurde, ist nun plötzlich ein völlig realistisches Szenario. Durch die COVID-19 Pandemie erleben wir hautnah, was es heisst, eine Krise bewältigen zu müssen. Einige Unternehmen wurden von der Pandemie kalt erwischt, andere hatten vorgesorgt und bereits konkrete Pläne bereit, wie sie ihre Tätigkeit trotz neuen Umständen bestmöglich fortsetzen können.

Um gerade in Krisenzeiten sein Schiff durch den Sturm manövrieren zu können, ist es wichtig, auf Pläne und Vorsorgemassnahmen zurückgreifen zu können, die bereits vor der Krise ausgearbeitet und im besten Fall sogar getestet wurden. Zugegeben, welche Ausmasse eine solche Pandemie annehmen kann, war schwierig vorherzusehen. Dennoch oder gerade deshalb, ist es von grosser Bedeutung, ein umfassendes Business Continuity Management (BCM) etabliert zu haben.

Vorbereitung ist Alles

Beispiele, die das Fehlen eines BCM verdeutlichen, konnten wir im Rahmen unserer Beratungstätigkeit diverse Male hautnah miterleben: So stand eine Organisation plötzlich vor einem Ressourcenengpass ihres Remote-Zugangs, da von einem Tag auf den anderen plötzlich alle Mitarbeitenden ins Homeoffice geschickt wurden. Die Frage, welche Geschäftsprozesse nun priorisiert werden sollen, musste erst diskutiert werden, was, in Anbetracht des vorhandenen Drucks in dieser Krisensituation, relativ hitzig enden kann.

Oder die Situation, dass ein wichtiger Mitarbeitender plötzlich erkrankt und ausfällt: Können Geschäftsprozesse auch ohne diese Person fortgeführt werden? Wie lange könnte meine Organisation ohne einen bestimmten funktionierenden Geschäftsprozess auskommen? Fragen, die ad-hoc beantwortet werden müssen und in einer, schon an sich sehr intensiven und schwierigen Zeit, zusätzlichen Druck erzeugen.

Die Vorteile, solche Fragen wie in den Beispielen genannt, bereits vor einer Krise zu behandeln, liegen auf der Hand. Doch wie erlange ich diese Erkenntnisse, um mein Business Continuity Management auf ein verlässliches Fundament zu stellen?

Business Impact Analyse

Die Business Impact Analyse (BIA) ist ein Instrument, das im Business Continuity Management eingebettet ist, um Antworten auf diese Fragen zu liefern. Unter der grundlegenden Annahme, dass ein Prozess oder ein Service nicht mehr zur Verfügung steht, wird das damit verbundene Schadensausmass für die Organisation ermittelt. Aufgrund dieser Erkenntnisse können wichtige KPIs wie die maximal tolerierbare Ausfallzeit (MTA), den maximalen Datenverlust (RPO – Recovery Point Objective) oder die Wiederherstellungszeit (RTO – Recovery Time Objective) identifiziert werden. Diese Angaben wiederum dienen der Bewertung und Priorisierung von Ressourcen oder IT-Applikationen.

Die BIA analysiert also die wichtigen Geschäftsprozesse einer Organisation und bietet wichtige Messgrössen, welche als Grundlage für weitere Business Continuity Aktivitäten dienen.

Messbarkeit und Priorisierung

Übertragen auf die beiden obigen Beispiele hätte die BIA klare Antworten liefern können. Die Priorisierung von Services oder Prozessen bei einem Ressourcenengpass hätte bereits bestanden und würde auf einer fundierten Analyse basieren. Die Zeit und Nerven der hitzigen Diskussion hätten in die Umsetzung, respektive Kommunikation der Massnahmen investiert werden können.

Auch für die Beurteilung des Ausfalls der Schlüsselperson kann die BIA wichtige Metriken bereitstellen: Welche Ressourcen benötige ich, um den Geschäftsprozess mit einem minimalen Aufwand fortzusetzen? Wie lange kann ich ohne diesen Prozess auskommen? Fragen, die die Business Impact Analyse beantworten kann.

Die Coronakrise hat uns leider einmal mehr aufgezeigt, dass jeder von Krisen heimgesucht werden kann. Redguard kann Sie dabei unterstützen, Ihre IT-Notfallvorsorge zu planen und damit die Fortsetzung ihrer Geschäftsprozesse auch in Krisenzeiten sicherzustellen - beispielsweise mit Hilfe einer Business Impact Analyse.


< zurück