”A” din BIA înseamnă ”analiză”

/ 14 aprilie 2021

Ghidul EBA/GL/2019/04 (preluat de BNR) precizează:

Ca parte a bunei gestionări a continuității activității, instituțiile financiare trebuie să realizeze o analiză de impact asupra activității (BIA), analizând expunerea lor la întreruperi grave ale activității și evaluând, din punct de vedere cantitativ și calitativ, impactul potențial al acestora (inclusiv asupra confidențialității, integrității și disponibilității), folosind date interne și/sau externe (de exemplu, date de la furnizorii terți, relevante pentru un proces aferent activității, sau date disponibile public care pot fi relevante pentru analiza de impact asupra activității) și analize pe bază de scenarii. Analiza de impact asupra activității trebuie să țină seama și de nivelul critic al funcțiilor aferente activității, al proceselor suport, al terților și al activelor informaționale identificate și clasificate și de interdependențele acestora

Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale, din 09.11.2020 precizează:

OSE definește o procedură privind managementul asigurării disponibilității serviciului esențial, în caz de incident de securitate cibernetică.

Ce este BIA?

BIA (Analiza Impactului asupra Activității) măsoară impactul potențial, cuantificabil și calificabil pe care îl are în timp întreruperea oricărei funcțiuni economice a unei organizații, indiferent de motiv. Această cuantificare devine ulterior baza pe care se dezvoltă BCP – Planul de Asigurare a Continuității Activității

BIA nu este nici o evaluare a riscurilor nici o analiză a amenințărilor. De exemplu, dacă trebuie să estimăm pierderea potențială ca urmare a distrugerii clădirii în care se lucrează, nu vom discuta cu managerii unităților funcționale ci cu oameni care au expertiză în domeniul imobiliar/construcții și pot estima astfel de costuri. Analiza riscurilor identifică riscurile operaționale (riscurile IT sînt riscuri operaționale), controalele care pot reduce riscurile și monitorizează riscurile reziduale.

BIA identifică impactul cuantificabil (măsurabil) și calificabil (de obicei reputațional) care apare în cazul în care o unitate funcțională nu mai poate opera, indiferent de motiv. BIA trebuie abordată/definită ca un proces (vezi ISO 22317):

  • trebuie să fie continuu pentru că datele analizei trebuie să fie mereu actuale:
  • trebuie să te asiguri că ai un flux continuu de date curente privind starea departamentelor și funcțiilor din organizație;
  • trebuie să stabilești un ciclu în care departamentele vor revizui și își vor actualiza datele pe o bază anuală sau (de preferință) mai frecventă.
  • dezvoltarea inițială este cea mai dificilă. După aceasta, este vorba doar de o revizuire periodică pentru a observa ceea ce s-ar fi putut schimba în cazul fiecărei unități.

Un BCP care nu este dezvoltat sau ghidat de rezultatele unei analize a impactului asupra activității (BIA) este în cel mai bun caz o presupunere: de obicei este incomplet și nu poate funcționa așa cum ar trebui în timpul unei recuperări reale.

Pentru ca o organizație să stabilească cu acuratețe obiectivele de recuperare și să cunoască prioritățile de redresare, este esențial să se știe unde ar putea apărea impactul și cât de mult ar pierde în fiecare domeniu/funcțiune. BIA nu numai că se asigură că folosim resursele în mod corespunzător pentru protejarea celor mai critice active ale companiei, salvează, de asemenea, cheltuielile inutile de aplicare a unui nivel inadecvat de resurse pentru zonele mai puțin critice.

Cum procedăm

Cum în multe cazuri BIA este o cerință legală/de reglementare iar asta înseamnă ”responsabilitatea managementului”, primul pas îl presupune o discuție la nivel executiv. Pentru ca o instituție să stabilească cu acuratețe obiectivele de recuperare și să stabilească și prioritățile de redresare, este esențial să se știe unde ar putea apărea impactul și cât de mare/critic ar fi acesta în fiecare domeniu al organizației.

Apoi stabilim obiective:

  • Identificăm impactul pe care întreruperea funcționării oricărui departament/funcțiune îl are asupra organizației
  • explicăm cît mai simplu și ușor de înțeles acest impact
  • definim un proces de culegere a datelor cît mai ușor pentru conducătorii unităților funcționale.

De exemplu:

  • ”Unde” se poate produce un impact critic financiar (cuantificabil) și care este valoarea potențială a impactului?
  • ”Unde” ar putea avea loc un impact critic reputațional (calificat) și care este valoarea potențială a impactului?
  • ”Cînd” va avea loc impactul critic și care este efectul impactului în timp?

Dar ”Unde „poate însemna lucruri foarte diferite și la fel de importante. Eu pot să înțeleg ”în ce direcție” iar intervievatul să înțeleagă în ce județ/localitate. La fel și în cazul ”Cînd”. Stabilirea ”impactului” este sarcina cea mai dificilă pentru că așa cum spuneam trebuie să se bazeze pe ceva măsurat, dovedit și suficient de dinamic pentru că se schimbă pe măsură ce compania evoluează. Nu vom cunoaște definiția adecvată a impactului critic până cînd nu vom implementa un proces BIA care să poată ține pasul cu schimbările din organizație. Ceea ce este considerat non-critic astăzi ar putea deveni mîine critic.

Impactul poate să apară în departamente sau funcții diferite ale organizației și în moduri diferite. Asta înseamnă că tipurile diferite de impact pot avea măsurători diferite pentru a determina amploarea impactului potențial. Cum nu există o regulă general valabilă rezultă că fiecare organizație trebuie să aloce timp, să își stabilească/definească propriile ”categorii de impact” înainte de a culege date.

Exemplul meu

Categorii impact/Impact0 -SCĂZUT1- SEMNIFICATIV2- PUTERNIC3- MAJOR/CRITIC
Afectarea reputației/imagineMentiuni negative in mijloacele……Mentiuni negative in mijloacele de difuzare in masa cu impact local extins, regional sau national …..Publicitate negativa mai mult de 2 zile consecutive ….Publicitate negativa in mijloacele de difuzare in masa ……
OperaționalDeteriorarea relatiei cu un clientPierderea unei tranzactii sau/ si a unui clientPierderea unui grup de clientiPierderea unui portofoliu
FinanciarPierderi financiare nesemnificative (0-XXX Lei)Pierderi financiare minore (XXX- YYY Lei)Pierderi financiare mari (YYY- ZZZ Lei)Pierderi financiare foarte mari (peste ZZZ Lei)
ReglementareNu exista sanctiuni sau cel mult exista o recomandare a Autoritaților de Reglementare Amendă sau avertisment din partea Autorităților de Reglementare Suspendarea temporara a unei activitățiÎnchidere/suspendare definitivă afacere 
LegalNu exista sanctiuniSanctiune internaRaspundere civila in legatura cu ……Sancțiuni penale….

Exemplu din ISO22317

Pe baza momentului în timp în care un departament se confruntă cu un impact cuantificabil CRITIC se vor stabili:

  • RTO -Obiectivul de recuperare = timpul maxim în care o resursă de sistem poate rămâne indisponibilă înainte de apariția unui impact inacceptabil asupra altor resurse de sistem.
  • RPO – Obiectivul momentului de recuperare = momentul în timp (în trecut), înainte de o întrerupere la care trebuie recuperate datele (având în vedere cea mai recentă copie de rezervă a datelor)

In template we trust – greșeli observate în practică

  • Întrebarea și situația cele mai comune pe care le-am constat: ”știi/ai un model bun de BIA?”

Dacă nu știi ce vrei să obții prin BIA nu vei ști niciodată dacă ”template-ul” sau oferta consultantului vor fi satisfăcătoare. Știi că BIA trebuie să includă o evaluare a tuturor funcțiilor/proceselor organizației. Dar dacă organizația este structurată pe departamente, iar un departament are mai multe funcții, care au mai multe procese care au mai multe activități, care au dependențe în amonte și în aval, intra și inter-departamente, furnizori……..Dar dacă are altă structurare organizatorică?

  • A doua greșeală pe care am observat-o ține de ”delegare”.

La întrebări ar trebuie să răspundă conducătorul funcțiunii. Dacă decide că este oportun să delege, este ok dar asta nu înseamnă că nu trebuie să își asume ”răspunsurile”/datele furnizate.

  • Nu a fost definit „Cel mai rău scenariu”.

Trebuie stabilit de la început la ce scenariu se raportează impactul: sediul este indisponibil? Serverele și implicit aplicațiile nu sînt disponibile 28 de ore? Scenariul este decizia managementului nu a nivelului operațional. Managementul de la cel mai înalt nivel este răspunzător.

  • Nu se definesc toți termenii sau se folosesc definițiile ”tehnice”

Nu toți angajații înțeleg ”legaleza”, nu toți angajații înțeleg limbajul financiar contabil, nu toți angajații înțeleg termenii și acronimele din IT. Definițiile din domeniul BCM (Business Continuity Management) ar trebui adaptate la limbajul comun.

  • În chestionarele pentru culegerea datelor se folosesc intervale de numere/valori prea generale, mai degrabă decât să se solicite numere/ intervale specifice/granulare (am făcut această greșeală în trecut și am folosit scale de măsurare și cu 10 valori….). Ori de cîte ori este posibil ar trebui folosite numere precise.
  • Lipsa dependențelor dintre procese

Se identifică gradul de criticalitate al unui procers dar nu se stabilesc dependențele față de alte procese.

Concluzii

BIA identifică PROCESELE care sînt CRITICE pentru SUPRAVIEȚUIREA unei organizații în cazul producerii unui incident/dezastru/criză majoră.

________________________________________________________________________________________________

Mai multe detalii în

ISO 22301 – Societal security – Business continuity management systems

ISO 22317 – Societal security – Business continuity management systems – Guidelines for business impact analysis (BIA)

Articole similare

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.