Sichern Sie sich 4 KOSTENLOSE Monate mit Conformio zur Umsetzung von ISO 27001

Fünf Tipps für eine erfolgreiche Geschäftsauswirkungsanalyse


Sie haben sich sicherlich gefragt, warum Sie eine Geschäftsauswirkungsanalyse (GAA) durchführen müssen, nachdem Sie die Risikoeinschätzung durchgeführt haben. Sie haben alle Risiken erkannt, nicht wahr? Sie haben viel Zeit für die Analyse Ihres Unternehmens aufgewendet – warum dann noch eine weitere Analyse?

Nun, ist der Zweck einer GAA ist etwas anderes. Im betrieblichen Kontinuitätsmanagement dreht sich alles um Zeit – es ist egal, ob Sie Ihre geschäftlichen Aktivitäten wiederherstellen, wenn dies nicht in angemessener Zeit geschieht. „Angemessen“ ist das, was die GAA festlegt. Ihr Hauptzweck ist es herauszufinden, welches Recovery Time Objective für jede kritische Aktivität innerhalb eines Unternehmens gilt.

Diese Art der Analyse wird oft auf die leichte Schulter genommen – erstens ist sichert Unternehmen normalerweise nicht bewusst, dass falsche Ergebnisse unnötige Kosten verursachen oder zu einer unpassenden Strategie des betrieblichen Kontinuitätsmanagements führen können. Ebenso wird der benötigte Aufwand für die Durchführung einer GAA unterschätzt.

Deshalb gebe ich hier einige Tipps, wie Ihre Geschäftsauswirkungsanalyse effizienter wird:

Behandeln Sie es als (Mini-)Projekt. Definieren Sie die für die Umsetzung verantwortliche Person sowie seine oder ihre Position. Definieren Sie Anwendungsbereich, Ziele und Zeitrahmen.

Machen Sie Ihre Hausaufgaben, bereiten Sie einen guten Fragebogen vor. Mit einem gut strukturierten Fragebogen sparen Sie eine Menge Zeit und erzielen Sie genauere Ergebnisse. Die Normen BS 25999-1 und BS 25999-2 geben Ihnen eine recht gute Vorstellung dessen, was enthalten sein muss – unter anderem müssen Sie Auswirkungen von Vorfällen erkennen und bestimmen, wie sich diese im Zeitablauf verändern. Sie müssen die benötigten Ressourcen für die Wiederherstellung erkennen usw. Es ist empfehlenswert, sowohl qualitative als auch quantitative Fragen einzusetzen, um Auswirkungen zu ermitteln.

Definieren Sie klare Kriterien. Wenn Ihr Gesprächspartner Werte zum Beispiel von 1 bis 5 zuweisen muss, so erklären Sie genau, wofür diese fünf Noten stehen. Es ist nicht ungewöhnlich, dass dasselbe Ereignis von Mitarbeitern in niedrigeren Positionen als Katastrophe bewertet wird, während leitende Angestellte dessen Auswirkungen als mäßig beurteilen.

Datenerfassung durch menschliche Interaktion. Die besten Ergebnisse werden erzielt, wenn ein Fachmann im betrieblichen Kontinuitätsmanagement ein Interview mit dem Verantwortlichen für eine kritische Aktivität führt. Auf diese Weise werden viele offene Fragen geklärt und ausgewogene Antworten gegeben. Sollten die Gespräche nicht durchführbar sein, führen Sie mit allen Beteiligten mindestens einen Workshop durch, so dass sie alles fragen können, was auf sie beunruhigend wirkt. Anders ausgedrückt: Sie sollten nicht nur die Fragebögen zusenden und auch noch schimpfen, wenn sie nicht rechtzeitig zurückgeschickt wurden.

Legen Sie die Recovery Time Objectives erst fest, nachdem Sie alle Abhängigkeiten erkannt haben. Zum Beispiel könnten Sie durch den Fragebogen feststellen, dass der maximal tolerierbare Störungszeitraum für die kritische Aktivität „A“ 2 Tage beträgt. Der maximal tolerierbare Störungszeitraum für die kritische Aktivität „B“ beträgt jedoch nur 1 Tag und kann ohne die Hilfe der kritischen Aktivität A nicht wiederhergestellt werden. Dies bedeutet, dass das Recovery Time Objective für „A“ 1 Tag anstelle von 2 Tagen ist.

Nach meiner Erfahrung sind die Ergebnisse der GAA oft anders als erwartet – in der Regel ist das Recovery Time Objective länger als ursprünglich gedacht, und die BIA deckt Abhängigkeiten einiger Ressourcen auf, die eigentlich ein Single Point of Failure sind. Aber das Beste daran ist, dass die Geschäftsauswirkungsanalyse die effizienteste Möglichkeit ist, damit die Mitarbeiter über das Unerwartete nachdenken – wenn sie ein solches Bewusstsein schaffen, erhöhen Sie die Überlebenschancen Ihres Unternehmens.

Dieses kostenlose Webinar hilft Ihnen auch bei der: Implementing Business Impact Analysis according to ISO 22301.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.