Field notes

La Sua BIA È Probabilmente un Foglio di Calcolo Compilato da Qualcuno da Solo.

Template gratuito di Business Impact Assessment. Tre sezioni. Matrice di impatto preconfigurata. Pronto per ISO 22301.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min di lettura
Your BIA Is Probably a Spreadsheet Someone Filled In Alone.

Parliamo della BIA che vive nella vostra cartella condivisa.

Quella in cui l'IT ha compilato le valutazioni d'impatto un martedì pomeriggio, l'ha inviata al responsabile BC per una "revisione", e nessuno l'ha più toccata fino a quando l'auditor l'ha chiesta.

La conoscete bene.

Le colonne sono tutte "Alto." O tutte "Medio." Nessuno ricorda cosa significano le soglie. Nessun RTO. Nessun MTPoD. Nessuna dipendenza di sistema. Nessuna colonna di contingenza, perché nessuno ha pensato a cosa succede dopo che il foglio di calcolo viene approvato.

E quando arriva la vera interruzione? Nessuno apre la BIA. Perché la BIA non dice nulla di utile.

Questa è la BIA che stiamo sostituendo.

Perché la maggior parte delle BIA fallisce

Una BIA non è un modulo. È una conversazione. E la maggior parte delle organizzazioni salta la conversazione e va direttamente al modulo.

Ecco cosa va storto:

  • L'IT la fa da solo. La BIA è un esercizio di business. Se il CFO, il responsabile delle Operations e il responsabile delle Vendite non erano in sala, la vostra BIA è una supposizione in un foglio di calcolo.
  • I livelli di impatto non hanno definizione. "Alto" non significa nulla se non avete definito cosa significa "Alto" in euro, in clienti persi, in esposizione regolatoria.
  • Copre i sistemi ma dimentica le persone. L'ERP fermo è un problema. L'intero team Finance che non riesce a lavorare è un problema diverso.
  • Copre i sistemi ma dimentica le sedi. Se la sede centrale è inaccessibile, il vostro piano di contingenza funziona davvero?
  • Manca la dimensione temporale. Perdere la posta elettronica per 4 ore è fastidioso. Perderla per 10 giorni è catastrofico. Una BIA senza una matrice impatto-nel-tempo è una fotografia, non un'analisi.
  • RTO e MTPoD sono assenti. Se non definite con quale velocità un sistema deve essere ripristinato e per quanto tempo il business può tollerare l'interruzione, il team DR sta lavorando a intuito.

Cosa abbiamo costruito

Abbiamo costruito il template di BIA che utilizziamo effettivamente negli incarichi di consulenza ISO 22301. Poi lo abbiamo reso gratuito.

Tre sezioni di valutazione. Un framework di definizione degli impatti. Zero ambiguità.

Sezione 1: Persone

ColonnaCosa rilevaDipartimento / FunzioneOgni unità di business, non solo l'ITPrioritàAlto / Medio / Basso: classificazione della criticità del dipartimentoResponsabile del dipartimentoTitolare nominato, non "la persona responsabile"Numero di dipendentiFull-time, part-time, collaboratori esterni: il numero di persone incide sul recoveryLuogo di lavoroDa dove operano: orienta la pianificazione delle sedi alternativeImpatto nel tempoMatrice a 4 livelli: 0-1 giorni, 2-4 giorni, 5-10 giorni, >10 giorniDipendenze dai sistemiQuali sistemi sono indispensabili per questo team

Non è solo un elenco di dipartimenti. È una mappa di come il vostro business si inceppa quando le persone non possono lavorare.

Sezione 2: Sistemi

ColonnaCosa rilevaCosa faLinguaggio semplice, non il nome commerciale del fornitoreCome si chiamaIl nome effettivo del sistemaChi lo usaQuali team dipendono da questo sistemaRTORecovery Time Objective: con quale rapidità deve essere ripristinatoMTPoDMaximum Tolerable Period of DisruptionImpatto nel tempoStessa matrice a 4 livelli: escalation da Basso a CatastroficoDipendenzePersone, funzioni, dipartimenti che dipendono da essoContingenzaCosa attivate quando questo sistema va giù

Pre-compilato con i sistemi più comuni: applicazione core, contabilità, HR, posta elettronica, archiviazione file, sito web, web hosting, gestione del codice sorgente, CRM, più righe vuote per i vostri sistemi.

Sezione 3: Sedi

ColonnaCosa rilevaNome della sedeSede centrale, filiali, data centerDove si trovaIndirizzo fisicoChi la usaQuali team hanno base lìRTOCon quale rapidità la sede deve tornare operativaMTPoDPeriodo massimo tollerabile senza questa sedeImpatto nel tempoStessa matrice di escalation a 4 livelliDipendenzeTeam e funzioni interessatiContingenza"Lavoro da remoto" non è sempre la risposta: qual è la vostra?

"La maggior parte delle BIA omette completamente le sedi. Poi arriva l'alluvione e nessuno sa quali team sono coinvolti, quali sistemi erano ospitati lì, o dove devono andare le persone."

Definizioni dei livelli di impatto

Il template include un foglio dedicato che definisce quattro livelli di impatto:

LivelloSoglia finanziariaCosa significaCatastrofico>£100.000Rischio per la vita. Il business non riesce a rispettare gli obblighi legali. Possibile cessazione dell'attività.Alto£30.000–£50.000Danno eccezionale. Potenziale perdita di clienti e contratti.Medio£10.000–£30.000Danno interno percepito. Basso rischio per l'operatività. Impatto limitato sui clienti.Basso<£10.000Impatto minimo o nullo.

"Personalizzate le soglie in base alla vostra organizzazione, ma mantenete la struttura. Il punto è che quando qualcuno seleziona 'Alto', tutti in sala sanno esattamente cosa significa."

A chi è destinato

  • Responsabili BC che conducono la loro prima BIA, o che rivedono una mal fatta
  • CISO e risk manager che devono collegare il disaster recovery IT all'impatto sul business
  • Implementatori ISO 22301 che necessitano di evidenze documentate della BIA per la certificazione
  • Organizzazioni soggette a NIS2 , l'articolo 21 richiede misure di continuità operativa, e la BIA è il punto di partenza
  • Entità regolate da DORA , gli articoli 11–12 richiedono test di continuità ICT fondati sull'analisi d'impatto
  • Consulenti stanchi di costruire template di BIA da zero per ogni cliente

Come utilizzarlo

  • Iniziate dalle Persone. Portate i responsabili di dipartimento in sala. Non solo l'IT. Compilate insieme priorità, numero di persone, sedi e impatto nel tempo.
  • Passate ai Sistemi. Per ogni sistema, definite RTO e MTPoD. Compilate la matrice degli impatti. Documentate la contingenza: "ci penseremo" non è una contingenza.
  • Coprite le Sedi. Ogni sito fisico. Cosa succede se non è disponibile per un giorno? Una settimana? Due settimane?
  • Calibrate con il foglio dei livelli di impatto. Assicuratevi che tutti concordino su cosa significa "Catastrofico" prima che chiunque inizi a valutare.
  • Revisione trimestrale. Una BIA vecchia di 12 mesi è fantascienza. I sistemi cambiano, le persone si spostano, le priorità evolvono.

Scaricalo

Personalizzate le soglie finanziarie, aggiungete i vostri dipartimenti e sistemi, e avrete una BIA funzionante in un pomeriggio. Non una perfetta, una reale. La perfezione viene dopo.

👉 Scarica il template di Business Impact Assessment, Gratuito

Volete andare oltre?

La BIA è il primo passo. La metodologia, i workshop, i casi di studio: è questo che trasforma un foglio di calcolo in un programma.

Tutti i corsi: Certificati o Rimborsati.

Cyber Academy, cyberacademy.net

Non insegniamo teoria. Insegniamo a sopravvivere.

Vuoi la prossima nota dal campo nella tua casella di posta?

La newsletter The GRC Brief. Cinque link e un breve commento, ogni lunedì alle 8:00 CET. Tre minuti di lettura.