Wenn der Geschäftsbetrieb stärker abhängig von IT-Dienstleistungen wird oder IT sogar im Mittelpunkt steht, müssen wir anfangen zu überlegen, was wäre wenn – und wie wir uns darauf vorbereiten.
Die meisten Investitionsentscheidungen beruhen auf dem Nutzen, den uns das Investment bringen soll, oder der Rendite, die wir von dem Geld erwarten, das wir investieren. Dabei dominieren meistens zwei Aspekte: Es gibt entweder eine unternehmerische Chance, die wir nutzen wollen oder wir wollen unsere Nettogewinne erhöhen, indem wir die Effizienz und Effektivität unserer Geschäftstätigkeit verbessern.
Kritische Abhängigkeit durch IT
In dem Ausmaß, in dem der Geschäftsbetrieb stärker abhängig von IT-Dienstleistungen wird oder wenn die IT sogar im Mittelpunkt steht, müssen wir deren mögliche Anfälligkeit in unsere Überlegungen einbeziehen.
Dazu diesen die folgenden Fragen:
- Was wäre, wenn ein kritischer IT-Service für einen Tag, eine Woche oder einen Monat nicht verfügbar wäre? Könnte das Geschäft das überleben?
- Was wäre, wenn wichtige Informationen beschädigt würden? Könnte sich das Unternehmen davon erholen?
- Was würde passieren, wenn vertrauliche Informationen kompromittiert oder öffentlich gemacht werden würden? Wie hoch wäre der Verlust?
Business Impact Assessment zur Kalkulation des Risikos
In der unserer Praxis erstellen wir ein Business Impact Assessment (BIA), um die Auswirkungen eines Sicherheits- oder Zuverlässigkeitsrisikos für das Unternehmen zu verstehen. Ergebnisse der Folgenabschätzung (Business Impact Assessment, BIA) sind Criticality-, Availability- und Integritybewertungen (CAI) für den Service.
Das Vertraulichkeits-, Integritäts- und Verfügbarkeitsmodell (CAI-Triade) ist in Informationssicherungsmodellen allgemein anerkannt. Wir verwendeen diese CAI-Bewertungen für Betriebsbereitschafts-Entscheidungen (Operational Readiness). Ein großer Vorteil dses Ansatzes besteht darin, dass durch die frühzeitige Bestimmung der strategischen Bedeutung des Dienstes die nachfolgenden Entscheidungen daran ausgerichtet werden. So können bessere Entscheidungen schneller getroffen werden.
Einige Beispiele für Entscheidungen, die mit den CAI-Bewertungen einfacher gemacht werden können:
- Keine Investitionen in hohe Verfügbarkeit für einen Dienst, auf den man ohne weiteres für einige Wochen verzichten kann.
- Höhere Investition in Compliance- und Sicherheitskontrollen bei in Europa tätigen Unternehmen (GDPR), deren Service vertrauliche Informationen enthält.
- Ist der Service strategisch wichtig für das Unternehmen und wird zukünftig ein hohes Entwicklungsvolumen erwartet? Dann ist ein Investment in DevOps tooling angeraten.
Fazit: Business Impact Assessment unterstützt Strategie
Wenn die Digitalisierung derzeit für Ihre Organisation noch nicht von strategischer Bedeutung ist, wird sie es in naher Zukunft sicher sein. Allerdings wird nicht jeder digitale Dienst für die Geschäftstätigkeit Ihres Unternehmens entscheidend sein. Ein Business Impact Assessment richtet das Investitionsprofil am Risikoprofil aus und gewährleistet eine zweckmäßige Budgetschätzung. BIA unterstützt so wirkungsvoll die Strategie Ihres Unternehmens.