Wat is een Business Impact Analyse, en hoe voer je deze uit?

Het uitvallen van kritische ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Het is daarom slim om potentiële bedreigingen en het effect ervan op de kritische bedrijfsprocessen vroegtijdig in kaart te brengen, om stagnatie van deze processen te voorkomen. Dit proces wordt ‘Business Continuïty Management (BCM)’ genoemd. Onderdeel van BCM vormt het uitvoeren van een Business Impact Analyse (BIA). Maar wat is een BIA en hoe voer je deze uit?

Wat is een Business Impact Analyse (BIA)?

Een BIA wordt gebruikt om inzicht te krijgen in de bedrijfskritieke processen en om deze te onderscheiden van de niet kritieke processen. Hiermee kun je inzichtelijk maken wat jouw gemeente minimaal nodig heeft om na een calamiteit de bedrijfsactiviteiten (ofwel publieke taak) te kunnen continueren. Een incident zoals brand, wateroverlast (lekkage) of stroomuitval in ruimten waar zich vitale ICT-voorzieningen bevinden kan namelijk grote gevolgen hebben voor de dienstverlening en de reputatie van de gemeente, maar ook voor de burger. In een BIA worden alle essentiële onderdelen beschreven, zoals applicaties, hardware, infrastructuur en mensen, die na een calamiteit nodig zijn om de kritische bedrijfsprocessen te herstarten.

Kritische bedrijfsprocessen

Want hoe lang kan de gemeente zonder een bepaald proces functioneren voordat het echt kritisch begint te worden? Er zijn bepaalde taken van de gemeente waar de burger van afhankelijk is en die grote gevolgen kunnen hebben voor de dienstverlening van de gemeente indien deze niet kunnen worden uitgevoerd. Uiteraard duurt dit bij het ene proces langer dan bij het andere. Zo heeft het aanvragen van Jeugdzorg of een paspoort een andere (hogere) prioriteit dan bijvoorbeeld het betalen van de gemeentelijke belasting.

De belangrijkste stap binnen een BIA is dus om te bepalen welke processen prioriteit krijgen in het geval van een calamiteit. Deze keuze wordt voornamelijk bepaald op basis van de impact die het heeft op de burger.

Stappenplan voor het uitvoeren van een BIA:

Eerder schreven we al een uitgebreide blog over Business Continuïty Management (BCM) . In deze blog zal ik verder ingaan op hoe je een BIA uitvoert. Bij het uitvoeren van een BIA wordt er met de verantwoordelijken binnen de gemeente gekeken naar wat de mogelijke impact en schade is bij het uitvallen van bepaalde processen en wordt inzichtelijk gemaakt wat de gemeente minimaal moet doen om na een incident haar bedrijfsactiviteiten te kunnen voortzetten. Hierbij is het stappenplan als volgt:

Stap 1: Dreigingsanalyse

Om te beginnen is het belangrijk om in kaart te brengen welke dreigingen relevant kunnen zijn voor de gemeente en welk effect elke dreiging kan hebben op de kritische bedrijfsprocessen. Denk hierbij aan dreigingen als brand, een overstroming, een elektrische storing, maar ook het hebben van geen internet- of DigiD-verbinding. Tijdens de dreigingsanalyse bepaal je per dreiging hoe groot de kans is dat deze voorkomt en welke impact hierbij hoort.

Stap 2: Definieer de belangrijkste processen

Vervolgens wordt er binnen elk onderdeel van de gemeente (bijvoorbeeld het Sociaal domein of Burgerzaken) in kaart gebracht welke processen van groot belang zijn voor het uitvoeren van de gemeentelijke dienstverlening. Gebruik hierbij het register van verwerkingen. Hierin zijn de belangrijke verwerkingen in het kader van de AVG in kaart gebracht. Let op, wanneer je de processen hebt gedefinieerd moet je niet alleen kijken naar de verschillende systemen die hiervoor gebruikt worden, maar ook naar de benodigde werkplekken, apparatuur of essentiële medewerkers die relevant zijn voor het uitvoeren van dit proces.

Stap 3: Bepaal de maximale uitvalsduur

Bepaal voor de processen die bij stap 2 gedefinieerd zijn na hoeveel tijd, dat dit proces niet meer uitgevoerd kan worden, het echt kritiek wordt voor de gemeente.
En dan spreken we niet over dat het “lastig” wordt om je taak uit te voeren, in dat geval is er namelijk vaak nog wel een workaround te verzinnen om de dienst toch nog te verlenen. Het gaat om de processen waarbij een workaround niet mogelijk of lang vol te houden is en het écht kritiek wordt. Denk hierbij aan tijdsintervallen van 4 uur, 1 dag, 2 tot 3 dagen, 1 week of 2 weken (wat in principe al aangeeft dat het niet echt kritiek is..).

Stap 4: Bepaal de impact op de burger

Bepaal in hoeverre het de burger raakt. Wat is de impact op de burger wanneer het proces er bij de gemeente uit ligt? Bijvoorbeeld: een vergunning aanvragen heeft een minder grote impact op de burger op de korte termijn, dan de uitgifte van paspoorten rond de zomervakantie.

Stap 5: Bepaal de financiële impact op de gemeente

Wanneer bepaalde processen niet meer kunnen worden uitgevoerd kan het zijn dat dit hoge herstelkosten met zich meebrengt, bijvoorbeeld om het probleem op te lossen maar ook in het geval dat het werk zich opstapelt doordat er een systeem uitligt. De gemeente moet dan extra mensen inhuren om de achterstand weg te werken. Daarnaast kunnen er financiële consequenties zijn doordat er claims van burgers komen door de geleden schade.

Stap 6: Maak een prioriteitenlijst

Wanneer je weet wat de scores zijn van stap 3 t/m 5, dan kun je een prioriteitenlijst opstellen van de processen en systemen die voor de gemeente relevant zijn. Deze prioriteitenlijst is het vertrekpunt voor het opzetten van een Business Continuïty Plan. In dit plan worden scenario’s beschreven die zich kunnen voordoen en wordt er een workaround, een tijdelijke oplossing, beschreven indien er een kritisch proces geraakt wordt. Op die manier kun je de schade beperken op het moment dat deze kritische processen onverhoopt uitvallen.

Kortom, wees voorbereid! Met een BIA krijg je meer grip en zicht op gevolgen van het uitvallen van kritische processen. Door adequaat op bedreigingen te reageren, kan de impact ervan worden geminimaliseerd.

Zeven ENSIA tips om (ook) te slagen voor de Suwinet audit
Van BIG naar BIO; wat zijn de verschillen?

Copyright © 2014-2018 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap