Business Impact Analyse

De Business Impact Analyse (BIA) is de eerste fase richting een Security Assessment. De basis is een beschrijving van het businessproces dat voorwerp uitmaakt van het assessment. Uit de analyse van dit businessproces volgt een lijst van assets. Een asset is elk item wat een waarde heeft voor de onderneming. 

Voorbeelden van assets zijn:
  • Hardware: bv laptops, servers, printers, maar ook mobiele telefoons of USB memory sticks.
  • Software: niet enkel aangekochte software, maar ook freeware.
  • Informatie: niet enkel digital (databanken, bestanden in PDF, Word, Excel en andere formaten), maar ook op papier of in eender welke andere vorm.
  • Infrastructuur: bv kantoorgebouwen, nutsvoorzieningen of airconditioning omdat deze van invloed kunnen zijn op de beschikbaarheid van informatie.
  • Mensen kunnen ook bekeken worden als assets omdat ook zij veel informatie in hun hoofd hebben welke vaak niet onder een andere vorm beschikbaar is. 
  • Geoutsourcete diensten: juridische diensten of schoonmaakdiensten, maar ook online diensten zoals Dropbox of Gmail. Dit zijn geen assets in de strikte zin, maar deze diensten moeten worden gecontroleerd zoals assets zodat ze vaak mee worden opgenomen in de assetlijst.
Voor elk van de assets wordt bekeken wat de impact is van:
  • Het verlies van confidentialiteit: het publiek beschikbaar worden van de asset
  • Het verlies van integriteit: onverwachte aanpassingen aan de asset
  • Het verlies van beschikbaarheid: het (tijdelijk) niet meer kunnen beschikken over de asset
De impact wordt onderverdeeld in 4 niveaus:
  • Verwaarloosbaar: 
    • Heeft een verwaarloosbare impact
  • Marginaal:
    • Vergt enige inspanning, brengt de organisatie niet in gevaar
    • Zorgt voor moeilijke gesprekken met een of enkele klanten
  • Kritisch:
    • Vergt een belangrijke inspanning om de organisatie te laten voortbestaan
    • Zorgt voor moeilijke gesprekken met meerdere klanten of een of enkele partners of leveranciers
  • Catastrofaal:
    • Brengt het voortbestaan van de organisatie in gevaar
    • Zorgt voor moeilijke gesprekken met alle klanten, partners of leveranciers of met een of meerdere regelgevers
Als laatste stap wordt gekeken naar de bedreigingen die inwerken op de assets. 
Tabel met bedreigingen en scores
De combinatie van de impact op de assets en de karakteristieken van de bedreiging, geven een goede indicatie van het risico dat de organisatie loopt.

Wil je zelf ook een Business Impact Analyse laten maken?