Parliamo della BIA che vive nella vostra cartella condivisa.
Quella in cui l'IT ha compilato le valutazioni d'impatto un martedì pomeriggio, l'ha inviata al responsabile BC per una "revisione", e nessuno l'ha più toccata fino a quando l'auditor l'ha chiesta.
La conoscete bene.
Le colonne sono tutte "Alto." O tutte "Medio." Nessuno ricorda cosa significano le soglie. Nessun RTO. Nessun MTPoD. Nessuna dipendenza di sistema. Nessuna colonna di contingenza, perché nessuno ha pensato a cosa succede dopo che il foglio di calcolo viene approvato.
E quando arriva la vera interruzione? Nessuno apre la BIA. Perché la BIA non dice nulla di utile.
Questa è la BIA che stiamo sostituendo.
Perché la maggior parte delle BIA fallisce
Una BIA non è un modulo. È una conversazione. E la maggior parte delle organizzazioni salta la conversazione e va direttamente al modulo.
Ecco cosa va storto:
- L'IT la fa da solo. La BIA è un esercizio di business. Se il CFO, il responsabile delle Operations e il responsabile delle Vendite non erano in sala, la vostra BIA è una supposizione in un foglio di calcolo.
- I livelli di impatto non hanno definizione. "Alto" non significa nulla se non avete definito cosa significa "Alto" in euro, in clienti persi, in esposizione regolatoria.
- Copre i sistemi ma dimentica le persone. L'ERP fermo è un problema. L'intero team Finance che non riesce a lavorare è un problema diverso.
- Copre i sistemi ma dimentica le sedi. Se la sede centrale è inaccessibile, il vostro piano di contingenza funziona davvero?
- Manca la dimensione temporale. Perdere la posta elettronica per 4 ore è fastidioso. Perderla per 10 giorni è catastrofico. Una BIA senza una matrice impatto-nel-tempo è una fotografia, non un'analisi.
- RTO e MTPoD sono assenti. Se non definite con quale velocità un sistema deve essere ripristinato e per quanto tempo il business può tollerare l'interruzione, il team DR sta lavorando a intuito.
Cosa abbiamo costruito
Abbiamo costruito il template di BIA che utilizziamo effettivamente negli incarichi di consulenza ISO 22301. Poi lo abbiamo reso gratuito.
Tre sezioni di valutazione. Un framework di definizione degli impatti. Zero ambiguità.
Sezione 1: Persone
ColonnaCosa rilevaDipartimento / FunzioneOgni unità di business, non solo l'ITPrioritàAlto / Medio / Basso: classificazione della criticità del dipartimentoResponsabile del dipartimentoTitolare nominato, non "la persona responsabile"Numero di dipendentiFull-time, part-time, collaboratori esterni: il numero di persone incide sul recoveryLuogo di lavoroDa dove operano: orienta la pianificazione delle sedi alternativeImpatto nel tempoMatrice a 4 livelli: 0-1 giorni, 2-4 giorni, 5-10 giorni, >10 giorniDipendenze dai sistemiQuali sistemi sono indispensabili per questo team
Non è solo un elenco di dipartimenti. È una mappa di come il vostro business si inceppa quando le persone non possono lavorare.
Sezione 2: Sistemi
ColonnaCosa rilevaCosa faLinguaggio semplice, non il nome commerciale del fornitoreCome si chiamaIl nome effettivo del sistemaChi lo usaQuali team dipendono da questo sistemaRTORecovery Time Objective: con quale rapidità deve essere ripristinatoMTPoDMaximum Tolerable Period of DisruptionImpatto nel tempoStessa matrice a 4 livelli: escalation da Basso a CatastroficoDipendenzePersone, funzioni, dipartimenti che dipendono da essoContingenzaCosa attivate quando questo sistema va giù
Pre-compilato con i sistemi più comuni: applicazione core, contabilità, HR, posta elettronica, archiviazione file, sito web, web hosting, gestione del codice sorgente, CRM, più righe vuote per i vostri sistemi.
Sezione 3: Sedi
ColonnaCosa rilevaNome della sedeSede centrale, filiali, data centerDove si trovaIndirizzo fisicoChi la usaQuali team hanno base lìRTOCon quale rapidità la sede deve tornare operativaMTPoDPeriodo massimo tollerabile senza questa sedeImpatto nel tempoStessa matrice di escalation a 4 livelliDipendenzeTeam e funzioni interessatiContingenza"Lavoro da remoto" non è sempre la risposta: qual è la vostra?
"La maggior parte delle BIA omette completamente le sedi. Poi arriva l'alluvione e nessuno sa quali team sono coinvolti, quali sistemi erano ospitati lì, o dove devono andare le persone."
Definizioni dei livelli di impatto
Il template include un foglio dedicato che definisce quattro livelli di impatto:
LivelloSoglia finanziariaCosa significaCatastrofico>£100.000Rischio per la vita. Il business non riesce a rispettare gli obblighi legali. Possibile cessazione dell'attività.Alto£30.000–£50.000Danno eccezionale. Potenziale perdita di clienti e contratti.Medio£10.000–£30.000Danno interno percepito. Basso rischio per l'operatività. Impatto limitato sui clienti.Basso<£10.000Impatto minimo o nullo.
"Personalizzate le soglie in base alla vostra organizzazione, ma mantenete la struttura. Il punto è che quando qualcuno seleziona 'Alto', tutti in sala sanno esattamente cosa significa."
A chi è destinato
- Responsabili BC che conducono la loro prima BIA, o che rivedono una mal fatta
- CISO e risk manager che devono collegare il disaster recovery IT all'impatto sul business
- Implementatori ISO 22301 che necessitano di evidenze documentate della BIA per la certificazione
- Organizzazioni soggette a NIS2 , l'articolo 21 richiede misure di continuità operativa, e la BIA è il punto di partenza
- Entità regolate da DORA , gli articoli 11–12 richiedono test di continuità ICT fondati sull'analisi d'impatto
- Consulenti stanchi di costruire template di BIA da zero per ogni cliente
Come utilizzarlo
- Iniziate dalle Persone. Portate i responsabili di dipartimento in sala. Non solo l'IT. Compilate insieme priorità, numero di persone, sedi e impatto nel tempo.
- Passate ai Sistemi. Per ogni sistema, definite RTO e MTPoD. Compilate la matrice degli impatti. Documentate la contingenza: "ci penseremo" non è una contingenza.
- Coprite le Sedi. Ogni sito fisico. Cosa succede se non è disponibile per un giorno? Una settimana? Due settimane?
- Calibrate con il foglio dei livelli di impatto. Assicuratevi che tutti concordino su cosa significa "Catastrofico" prima che chiunque inizi a valutare.
- Revisione trimestrale. Una BIA vecchia di 12 mesi è fantascienza. I sistemi cambiano, le persone si spostano, le priorità evolvono.
Scaricalo
Personalizzate le soglie finanziarie, aggiungete i vostri dipartimenti e sistemi, e avrete una BIA funzionante in un pomeriggio. Non una perfetta, una reale. La perfezione viene dopo.
👉 Scarica il template di Business Impact Assessment, Gratuito
Volete andare oltre?
La BIA è il primo passo. La metodologia, i workshop, i casi di studio: è questo che trasforma un foglio di calcolo in un programma.
- ISO 22301 Lead Implementer, metodologia BIA, strategie di BC, progettazione degli esercizi
- ISO 27001 Lead Implementer, perché sicurezza delle informazioni e continuità operativa sono inseparabili
- DORA Lead Manager, continuità ICT per gli enti finanziari
- NIS2 Lead Implementer, per le entità essenziali e importanti ai sensi di NIS2
Tutti i corsi: Certificati o Rimborsati.
Cyber Academy, cyberacademy.net
Non insegniamo teoria. Insegniamo a sopravvivere.
