fbpx

Mikä on Business Impact Analysis eli BIA ja mitä hyötyä sen tekemisestä on?

Onko organisaationne tehnyt suunnitelmia liiketoiminnan jatkuvuuden varmistamiseksi? Onko jatkuvuuden hallinta riittävällä tasolla? Mistä sen tietää?

Yksi oleellinen työkalu jatkuvuuden hallinnan, disaster recovery -suunnittelun ja tietoturvatyön arvioinnissa on Business Impact Analysis eli BIA.

BIA

Tässä kirjoituksessa saat vastauksia mm. seuraaviin kysymyksiin:

  • Mitä business impact -analyysi eli BIA oikein tarkoittaa?
  • Mitä hyötyä Business impact -analyysista on?
  • Miksi johtajan olisi hyvä teettää Business Impact Analysis (BIA)?

Aloitetaan kuitenkin siitä, mitä liiketoiminnan jatkuvuuden hallinta on ja miten se liittyy BIAn tekemiseen.

Mistä liiketoiminnan jatkuvuuden hallinnassa on kyse?

Liiketoiminnan jatkuvuuden hallinta eli business continuity management keskittyy organisaation toimintakyvyn palauttamiseen sen jälkeen, kun jotain odottamatonta on tapahtunut.

Odottamattomia tapahtumia voivat olla esimerkiksi:

  • Konesalissa olevien fyysisten laitteiden vikaantuminen
  • Konesali-infraan liittyvät ongelmat kuten sähkökatkot, jäähdytyksen pettäminen, vesivahingot
  • Tietoliikenneongelmat, jonka seurauksena konesali ei olekaan saatavilla
  • Pelkkä konfiguraatiovirhe aiheuttaa usein katkoja
  • Luonnononnettomuudet
  • Tuotantolaitoksen tuhoutuminen esimerkiksi tulipalossa
  • Pandemia
  • Sota tai konflikti, jonka vuoksi menetetään yhteys konesaliin. Voi olla, että koko konesali menetetään
  • Haittaohjelma, jonka vuoksi koko ympäristö joudutaan ajamaan alas ja palauttamaan kaikki järjestelmät varmuuskopioista
  • Pilviympäristössä yksi vaarallisimmista skenaarioista on admin-tunnusten joutuminen vääriin käsiin. Sen seurauksena voidaan menettää jopa koko it-infra ja varmuuskopiot

Liiketoiminnan jatkuvuuden hallinta pyrkii varmistamaan palautumiskyvyn tällaisissa odottamattomissa tilanteissa.

Jotta palautuminen ja toiminnan jatkaminen olisi mahdollista, pitää tietysti tietää, minkä toiminnan jatkaminen on tärkeää. Siksi jatkuvuudenhallinnassa on tärkeää tunnistaa prosessit ja palvelut, joita pyritään erityisesti turvaamaan.

Jatkuvuuden hallinta ja standardit

Jatkuvuuden hallintaa käsitellään standardissa ISO 22301:2019. Tässä standardissa määritellään liiketoiminnan jatkuvuuden hallintajärjestelmän rakenne ja siihen liittyviä vaatimuksia.

ISO 22313:2020 on puolestaan standardi, johon on koottu jatkuvuuden hallinnan parhaita käytäntöjä.

Myös monelle tutumpi tietoturvastandardi ISO 27001:2017 käsittelee liiketoiminnan jatkuvuuden hallintaa.

IT:n näkökulmasta jatkuvuussuunnitelman tekeminen lähtee siitä, että inventoidaan IT-ympäristö ja priorisoidaan järjestelmät ja infrakomponentit niiden kriittisyyden mukaan.

Järjestelmien kriittisyyden määrittelyssä auttaa business impact analysis. Mistä siis on kyse? Käsitellään nyt sitä.

Mikä Business Impact Analysis eli BIA on?

Business Impact Analysis (BIA) eli liiketoiminnan vaikutusanalyysi pyrkii selvittämään, miten erilaiset tapahtumat vaikuttavat yrityksen liiketoimintaprosesseihin. Liiketoiminnan vaikutusanalyysiä käytetään osana riskianalyysia silloin, kun halutaan ymmärtää jatkuvuuteen liittyviä riskejä.

Liiketoiminnan vaikutusanalyysin avulla pyritään tunnistamaan, millaisia vaikutuksia erilaisilla skenaarioilla voi olla liiketoimintaan.

Käytännössä BIA etenee niin, että käydään läpi erilaisia skenaarioita ja pyritään arvioimaan, millaisia vaikutuksia skenaariolla olisi järjestelmiin ja sitä kautta liiketoimintaan.

Näiden arvioiden perusteella voidaan päätellä, mitkä tietojärjestelmät ovat kriittisimpiä ja millaisia vaikutuksia niiden menettämisellä toimintaan on.

Tietysti joka organisaatiossa osataan ilman määrämuotoisen vaikutusanalyysinkin tekemistä sanoa, mitkä järjestelmät ovat tärkeimpiä. Sitä ei kuitenkaan ehkä ihan suoraan osata sanoa, mitä jonkin järjestelmän menettämisestä oikeasti seuraa ja mihin kaikkeen sillä on vaikutuksia.

BIAn avulla voi määritellä IT-järjestelmän Recovery Time Objective (RTO), toipumisen ehdoton takaraja (MTPD) ja aika, jolta dataa saa enintään hävitä (RPO).

Jos haluat virkistää muistia sen suhteen, mitä RTO, RPO ja MTPD tarkoittavat, voit tutustua kirjoitukseeni, jonka teema on Tunnetko nämä neljä (4) jatkuvuudenhallinnan termiä?

ISO 22317:2021 on tuore standardi, jossa käsitellään liiketoiminnan vaikutusanalyysiä ja sen tekemistä.

BIA on siis työkalu, jonka pitäisi kiinnostaa jokaista tietohallintojohtajaa. Miksi olen sitä mieltä? Käsitellään seuraavaksi sitä, mitä hyötyä BIAn tekemisestä on.

Mitä hyötyä BIA:n tekemisestä on?

Tässä osuudessa käsittelen sitä, mitä hyötyä liiketoiminnan vaikutusanalyysin tekemisestä on. Tunnistan itse ainakin seuraavia hyötyjä:

  • BIA auttaa määrittelemään keskeisiä jatkuvuuden hallinan parametreja, kuten Recovery Time Objectiven (RTO), Recovery Point Objectiven (RPO) ja Maximum Time Period of Disruption (MTPD)
  • BIAn tuloksena saadaan hyvä arvio erilaisten ikävien tapahtumien seurauksista. Tämä auttaa johtajia ymmärtämään, millaisia riskejä tietojärjestelmiin liittyy
  • BIA auttaa tunnistamaan yksittäisiä heikkoja kohtia varautumisessa ja toimii sitä kautta pohjana kehitystoimista päätettäessä.
  • Jos johto ei ymmärrä, miksi tietoturvajärjestelyihin kannattaa laittaa rahaa, BIA auttaa konkretisoimaan erilaisten katkojen ja tietoturvaongelmien todellisia kustannuksia.
  • BIA auttaa arvioimaan, miten paljon esim. disaster recovery -järjestelyihin kannattaa investoida. Vanha totuus on, että varautumisiin ei kannata investoida enempää kuin mitä suojattavan kohteen arvo on.
  • Business impact -analyysin avulla pystytään ymmärtämään järjestelmien välisiä riippuvuuksia ja vaikutuksia koko organisaation toimintaan
  • Oikein tehtynä BIAn avulla voidaan saada euromääräisiä arvioita jonkin skenaarion seurauksille.
  • BIA auttaa palautumisjärjestelyiden priorisoinnissa. Sen avulla rajoitetutkin investoinnit voidaan kohdistaa paremmin kuin ilman BIAn tekemistä.
  • BIAn tekeminen maksaa itsensä takaisin liiketoiminnan keskeytysvakuutuksien ja cyber-vakuutusten hintojen kautta. Kun vakuutusyhtiö pystyy arvioimaan riskejä paremmin, riskien hinnoittelu laskee.
  • Vaikutusanalyysia voi käyttää erilaisten palvelu- ja arkkitehtuurivaihtoehtojen arvioimiseen. Esimerkiksi Keski-Eurooppaan sijoitetun pilvipalvelun riskejä voi yrittää arvioida BIAn avulla.

Voidaankin sanoa, että BIA on työkalu, jonka pitäisi kiinnostaa niin jokaista tietohallintojohtajaa kuin toimitusjohtajaakin.

Mihin Business Impact -analyysia voi käyttää?

BIA on hyvä työkalu, kun pyritään ymmärtämään, miten kriittinen jokin yksittäinen järjestelmä tai koko IT on liiketoiminnalle. BIA auttaa arvioimaan, kannattaako jonkin toiminnan turvaamiseen investoida, miten käsitellä syntyneitä jäännösriskejä jne.

Julkishallinnon puolella BIA on osa jatkuvuuden hallinnan työkaluja. BIAn avulla voidaan priorisoida eri toimintoja kriisitilanteissa.

Yksityisellä puolella BIA toimii ylimmän johdon työkaluna riskien hallinnassa. Jos esim. järjestelmät ovat poissa käytöstä, BIAn avulla voidaan laskea, mitä se maksaa liiketoiminnalle.

Mitä Business Impact -analyysin pitäisi tuottaa tuloksena? Lue eteenpäin, niin saat tietää.

Miten BIAn tulokset voi esittää?

Business Impact -analyysin tuloksia voi esittää ainakin kolmella eri tavalla. Näiden hyödyt ja käyttötavat eroavat toisistaan.

1. Tapa: BIAn avulla prosessit tai järjestelmät voidaan luokitella kriittisyyden mukaan

Vaikutuksia voi tietysti kuvata myös numeerisesti jonkin ennalta määritellyn skaalan avulla. Julkishallinnon puolella tällainen lähestyminen toimii, koska poikkeusoloissa toimintaa pitää pyrkiä priorisoimaan.

Niistä toiminnoista, jotka saavat suuremman arvon analyysissa, pyritään poikkeusoloissa pitämään kiinni pidempään.

Esimerkki

Hyvä esimerkki toiminnan priorisoimisesta on koronakriisi ja muiden sairauksien hoitaminen.

Kun koronapotilaat alkoivat täyttää sairaaloita, leikattiin muista, vähemmän tärkeistä toiminnoista. Ei-kiireellisiä leikkauksia siirrettiin ja hoitohenkilökuntaa ja laitteistoa varatiin koronapotilaiden hoitamiseen. Tässä ei ehkä tehty määrämuotoista vaikutusanalyysia, mutta periaate on sama.

Prosessien ja järjestelmien luokittelu toimii silloin, jos pyritään asettamaan järjestelmiä tai prosesseja kriittisyysjärjestykseen.

Yritysten maailmassa luokittelu toimisi hyvin esimerkiksi katastrofisuunnittelun pohjana. Kriittisimmät prosessit pyritään turvaamaan ensin ja sen vuoksi kriittisimmät järjestelmät pyritään katastrofin sattuessa saattamaan toimintakuntoon ensin.

2. Tapa: BIA voi esittää tulokset sanallisesti

Vaikutusanalyysin tulokset voi esittää sanallisesti, jolloin pyritään kuvailemaan, mitä jostakin tapahtumasta voisi seurata.

Ongelmaksi tässä lähestymisessä tulee se, että sanallisen kuvaillun tapahtuman todellista merkitystä on vaikea hahmottaa. Mitä sitten, jos järjestelmä X voisi olla alhaalla viikon tai kaksi. Tulosten ymmärtäminen vaatii tulkintaa.

Tämä johtuu siitä, että analyysissä on jätetty yksi olennainen vaihe tekemättä. Tuloksia ei ole käännetty kielelle, jota jokainen johtaja ymmärtää, nimittäin euroiksi.

3. Tapa: BIA toimii tehokkaimmin, kun tulokset esitetään euroissa

Jos halutaan viestiä jonkin tapahtuman vaikutuksia tehokkaasti, kannattaa vaikutukset kuvata euromääräisesti. Kun johdolle kerrotaan, mitä jokin ongelma tarkoittaa euroissa, menetettynä liikevaihtona ja tuloksena, asian merkitys on paljon helpompi hahmottaa.

Yhteenveto

IT:n toimivuudella on yhä enemmän merkitystä yritysten liiketoiminnalle ja julkisten organisaatioiden kyvylle tuottaa haluttua palvelua. Siksi jatkuvuuden hallinta on yhä tärkeämpää.

Toimitusjohtajan kannattaa kysyä omalta IT-yksiköltä, millä tasolla varautuminen on. Heikko varautuminen ja uusien riskien ilmaantuminen voi osoittautua merkittäväksi liiketoimintariskiksi.

Tietohallintojohtajan ongelma on usein se, ettei ole selkeitä vaatimuksia, miten hyvin pitää varautua eri skenaarioihin. Siksi oikein mitoitettujen varautumisjärjestelyidenkään toteuttaminen ei ole helppoa.

Liiketoiminnan vaikutusanalyysin tekeminen keskeisten tietojärjestelmien tai prosessien osalta voi olla avartava keskustelu, joka jokaisessa organisaatiossa kannattaisi käydä.

Mistä löytää lisätietoa?

Julkishallinnon puolella on käytössä VAHTI-ohje (Toiminnan jatkuvuuden hallinta). Vaikka ohje käsitteleekin jatkuvuuden hallintaa laajemmin, on siellä osuuksia, joissa puhutaan BIAn tekemisestä.

Lue juttu, jossa kerrotaan Oras Groupille tekemästäni projektista, jossa pohjimmiltaan oli kyse juuri liiketoiminnan vaikutusanalyysin tekemisestä. Löydät kirjoituksen täältä.

Tutustu ISO-standardeihin:

  • ISO 22301:2019 (Liiketoiminnan jatkuvuuden hallintajärjestelmä)
  • ISO 22313:2020 (Jatkuvuuden hallinnan parhaita käytäntöjä)
  • ISO 22317:2021 (Ohjeita liiketoiminnan vaikutusanalyysin tekemiseen. Saatavilla tällä hetkellä vain englanniksi)

Pääset hankkimaan standardit SFS:n verkkokaupasta.

Käsittelen seuraavassa kirjoituksessa sitä, miten liiketoiminnan vaikutusanalyysin voi käytännössä tehdä. Tilaa uutiskirjeeni, niin saat tiedon, kun kirjoitus ilmestyy.

Tilaa uutiskirjeeni

Saat tiedon uusista artikkeleista suoraan sähköpostiisi.

Annan luvan tallentaa tietoni ja hyväksyn tietosuojakäytännön.

Vieritä ylös