BIA Business Impact Analysis.

Una BIA è l'analisi strutturata che quantifica l'impatto di un'interruzione su ciascuna attività critica nel tempo. Gli output includono il recovery time objective, il recovery point objective e il minimum business continuity objective. Input obbligatorio per ISO 22301 e DORA. Eseguita correttamente, diventa il documento che il board legge davvero.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyResilience & continuityAll entries

Il punto di vista di Cyber Academy

Una BIA è l'analisi strutturata che quantifica l'impatto di un'interruzione su ciascuna attività critica nel tempo. Gli output includono il recovery time objective, il recovery point objective e il minimum business continuity objective. Input obbligatorio per ISO 22301 e DORA. Eseguita correttamente, diventa il documento che il board legge davvero.

Cosa fa davvero una BIA

Una Business Impact Analysis risponde a una domanda da cui dipende il resto del programma di continuità: se questa attività si ferma, quanto diventa grave la situazione, e quanto velocemente? Si prende ciascuna attività di business, la si proietta nel tempo e si descrivono le conseguenze della sua interruzione a ogni intervallo. Alcune attività fanno male nel giro di minuti, l'elaborazione dei pagamenti o lo sportello accettazioni di un ospedale. Altre possono restare ferme per giorni prima che qualcuno al di fuori del team se ne accorga. La BIA è ciò che distingue le due, in modo che le scarse risorse di ripristino vadano dove il danno si accumula più rapidamente e non dove siede il manager che alza di più la voce.

L'impatto è valutato su più dimensioni, non solo la perdita di ricavi. La perdita finanziaria è quella più ovvia, ma una BIA seria cattura anche l'esposizione normativa e legale, le penali contrattuali, la sicurezza delle persone e il danno reputazionale. Una conseguenza banale in euro può essere esistenziale in termini di fiducia. Il senso di guardare attraverso le dimensioni è che l'attività in cima alla lista sul piano economico raramente è la stessa che è in cima alla lista sul piano legale o della sicurezza, e il consiglio deve vederle tutte prima di stabilire le priorità.

Dall'impatto agli obiettivi

La BIA non si ferma alla descrizione. Produce i numeri su cui si costruisce la strategia di ripristino. Man mano che l'impatto cresce nel tempo, si raggiunge il punto in cui diventa inaccettabile. Quella soglia fissa il recovery time objective, il periodo massimo tollerabile in cui l'attività può restare ferma. Il recovery point objective deriva dallo stesso esercizio sul versante dei dati: quanto lavoro recente, misurato in tempo, può essere perso prima che l'interruzione causi un danno inaccettabile. Il minimum business continuity objective descrive il livello operativo ridotto che si deve sostenere durante l'interruzione, non il servizio completo, ma abbastanza per restare vitali.

Questi output sono l'input formale alla strategia di continuità. Un recovery time objective è un requisito imposto alla soluzione di ripristino, non un desiderio. Se la BIA dice che un'attività deve essere ripristinata entro una finestra stretta, la strategia e il budget devono garantirlo, oppure l'organizzazione deve accettare consapevolmente lo scarto. È per questo che la BIA è il documento che dovrebbe essere approvato dai responsabili di business e letto dal consiglio, anziché redatto dall'IT in isolamento.

Dove si colloca la BIA negli standard

Secondo ISO 22301, la BIA è un passo obbligatorio per istituire un sistema di gestione della continuità operativa. Lo standard si aspetta che si determinino le attività che supportano la fornitura di prodotti e servizi, si valutino gli impatti nel tempo del loro mancato svolgimento e li si usi per fissare tempi prioritizzati di ripresa. La BIA alimenta direttamente la valutazione del rischio e la scelta della strategia di continuità. Secondo DORA, la stessa logica si applica alla resilienza operativa digitale: ci si aspetta che le entità finanziarie comprendano l'impatto di un'interruzione sulle loro funzioni critiche o importanti, e quella comprensione parte da un'analisi d'impatto.

Una BIA non è una valutazione del rischio, e confondere le due indebolisce entrambe. La valutazione del rischio chiede cosa potrebbe causare un'interruzione e quanto è probabile. La BIA è deliberatamente agnostica rispetto alle minacce: chiede quanto fa male un'interruzione a prescindere dalla causa, che l'innesco sia un attacco informatico, un'alluvione o un fornitore inadempiente. Le si conduce come esercizi complementari. La BIA dice cosa deve essere protetto e quanto rapidamente deve riprendersi; la valutazione del rischio dice cosa è più probabile che lo minacci. Insieme giustificano dove va l'investimento in continuità.

In pratica, una BIA si ripete secondo un ciclo e dopo un cambiamento rilevante, perché attività, dipendenze e tolleranze derivano. Il fornitore che l'anno scorso era periferico è ora sul vostro percorso critico; il processo che potevate perdere per due giorni è ora a contatto con il cliente. Una BIA vecchia di due ristrutturazioni è decorazione.

Frequently asked questions

01Qual è la differenza tra una BIA e una valutazione del rischio?

Una valutazione del rischio guarda a cosa potrebbe andare storto e quanto è probabile. Una BIA guarda a quanto fa male se un'attività si ferma, a prescindere dalla causa. Sono complementari: la BIA prioritizza cosa proteggere, la valutazione del rischio identifica le minacce che incombono su di esso.

02Quali output dovrebbe produrre una BIA?

Come minimo, un elenco prioritizzato delle attività critiche, l'impatto nel tempo dell'interruzione di ciascuna e i conseguenti obiettivi di ripristino: il recovery time objective, il recovery point objective e il minimum business continuity objective. Questi alimentano direttamente la strategia di continuità.

03Una BIA è obbligatoria per ISO 22301?

Sì. ISO 22301 richiede che l'organizzazione determini le proprie attività critiche e valuti gli impatti nel tempo della loro interruzione nell'ambito dell'istituzione del sistema di gestione della continuità operativa. La BIA è il meccanismo che soddisfa questo requisito.

04Chi dovrebbe essere titolare della BIA e convalidarla?

I responsabili delle attività di business, non l'IT da sola. Le persone responsabili di ciascuna attività devono concordare le sue valutazioni d'impatto e i suoi obiettivi di ripristino, perché sono loro a portare la conseguenza e il loro accordo è ciò che fa reggere i numeri davanti a un incidente reale.

05Con quale frequenza dovrebbe essere aggiornata una BIA?

Secondo un ciclo regolare e dopo qualsiasi cambiamento significativo dell'organizzazione, dei suoi processi, delle sue dipendenze o dei suoi fornitori. Attività e tolleranze derivano nel tempo, quindi una BIA non aggiornata può prioritizzare le cose sbagliate quando un incidente effettivamente accade.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.