BIA הינו תהליך ניתוח ומיפוי של תהליכים עסקיים בארגון, תוך קביעת חשיבותו ורגישותו של כל תהליך והבנת משמעויותיו העסקיות. תוצר תהליך BIA הינו מיפוי מלא של מערכות ותהליכים בארגון בסדר יורד. הערכות - DRP תיקח את תוצר ה - BIA ותממש/לא תממש אותה בהתאם לשיקולי עלות תועלת.
ה - BIA הינו שלב הכרחי בהערכות ל DRP, שכן ללא שלב זה לא ניתן לקבוע באופן אמין, אובייקטיבי ומוכח מהו הנזק שעשוי להגרם לארגון. ללא קביעת מידת הנזק הצפוי תתקשה הנהלת החברה לקבל החלטה בשיקולי עלות תועלת בהשקעה ב DRP.
ארגונים רבים ממהרים לתוך תהליכי DRP מבלי לקחת בחשבון את המשמעויות העסקיות ומתוך הנחה כי הם "מכירים את השטח". הלכה למעשה, בארגונים רבים מעולם לא בוצע ניתוח BIA והשיקולים בבחירת פתרונות DRP וקביעת המערכות לשעת חירום מבוססות על הערכות ולא על נתונים מהשטח.
תהליך ה - BIA כולל:
• מיפוי התהליכים העסקיים.
• מהן התשומות שנכנסות לתהליך זה ומי/מה מספק אותן (מידע/חומר גלם וכו').
• מהם התוצרים בתהליך ומהו יעדם?
• משך הזמן בו הארגון יכול לפעול ללא תהליך זה בחלוקה למקבצי זמן (עד 4 שעות, 4-8 שעות, 8-12 שעות, 12-24 שעות, 24-48 שעות וכו') בחלוקה ל RTO/RPO:
• RTO - מהו משך הזמן המקסימאלי בו הארגון יכול לפעול ללא התהליך.
• RPO - מהו משך זמן אובדן הנתונים המקסימאלי שהארגון מוכן לספוג בתהליך.
• ביצוע ניתוח של כימות כלכלי של הפסד עסקי בחלוקה למקטעי זמן:
• מיפוי נקודות זמן רגישות ביחס לתהליך (תחילת חודש/אמצע חודש/ מועד ספציפי במהלך החודש).
• חלופות קיימות לכל תהליך ותהליך (בין אם ידניות באופן עצמאי/כשירות מספק חיצוני וכו').
תוצרי התהליך:
• מיפוי כלל התהליכים (תשומות ותוצרים).
• מיפוי מערכות בכל תהליך (חומרה, תוכנה).
• מיפוי ספקים חיוניים הקשורים לכל תהליך.
• מיפוי השלכות נזק כלכליות ישירות בציר הזמן של העדר תהליך.
• הערכת נזקים נוספים (תדמית, רגולציה וכו')
• ניתוח RTO/RPO לכל תהליך.
• מיפוי רגישויות ספציפיות פר לתהיך (רגישות לזמן, מיקום וכו').
• טבלאת חלוקה (גבוה, בינוני, נמוך) לקביעת רגישות/חשיבות התהליך.
• המלצה של השקעה מינימאלית/מקסימאלית ב - DRP ביחס לתהליך בהנתן נזק שיגרום העדרו על פני זמן.
• תוכנית עבודה מפורטת להערכות מומלצת.
כעת, משקיים ניתוח תהליכים עסקי מסודר, מדורג ומכומת. ניתן להציד בפני הנהלת החברה את ההשלכות העסקיות, התדמיתיות, החוקיות האמיתיות הקיימות להעדרו של תהליך בארגון ומוך כך לקבל החלטה שרולה ומחושבת באשר לתהליכי DRP עתידיים.
אורן שני, מנכ"ל משותף SecAudit - כי הניסיון הוא ההבדל. SecAudit הינו משרד המתמחה בתחום הבקרה ואבטחת המידע. למשרד התמחויות מגוונות לרבות ביקורת פנימית, ביקורת מעילות והונאות, ביקורת מערכות מידע וסקרי סיכונים, אבטחת מידע ותחקור נתונים.
