Save the date: Treffen des BCM-Grüpple Stuttgart am 11. Juni

Das BCM-Grüpple ist am 11. Juni ab 14:00 Uhr zu Gast bei ComBack in Oberreichenbach (Anfahrtsbeschreibung-CITA). Neben einer Führung durch das ehemalige  Ausweichzentrum der Landesregierung BW werden wir uns in diesem Termin inhaltlich der Business Impact Analyse widmen. Die BIA ist und bleibt eines der Kernelemente des BCM und stellt bei der Durchführung hohe Anforderungen. Wir versuchen, die Fragen und Probleme gemeinsam zu erörtern und Good Practices herauszufinden. Die Treffen des BCM-Grüpple sind offen für alle Interessierte. Bitte melden Sie sich bei admin@bcm-news oder doodle zu dem Termin an, damit wir disponieren können.

Wichtiger organisatorischer Hinweis:

Für den Zutritt ist aus Sicherheitsgründen zwingend ein Lichtbildausweis erforderlich!

Rainer Hübert: Warum die Business Impact Analyse (BIA) nicht funktioniert

Das Business Continuity und Resiliency Journal hat zusammen mit continuitycentral einen Wettbewerb “Business Continuity Paper of the Year 2012” ausgeschrieben. Rainer Hübert, MBCI aus Hannover, hat dafür einen Artikel “Why the Business Impact Analysis does not work” eingereicht, der als einer der sechs besten Beiträge des Wettbewerbs im Journal veröffentlicht wurde, wie continuitycentral berichtete: http://www.continuitycentral.com/feature0974.html.

Wer Herrn Hübert seine Email-Adresse schickt (rh@rex-systems.de), dem sendet er diesen Artikel gerne zu.

Rainer Hübert ist übrigens offenbar nicht der Einzige, der so denkt.

Hier ein weiterer Beitrag, der ähnlich argumentiert:

http://www.ez-planner.net/the-bia-survey-an-effort-in-futility

 

Anmerkungen der Redaktion:

Die Thesen von Rainer Hübert in diesem Artikel werden sicherlich nicht von jedem BCMer geteilt. Wir freuen uns auf Ihre Kommentare und eine interessante Diskussion hierzu in den BCM-News zu diesem Artikel.

Downtime Cost Calculator online und für Smartphones

Einen ganz interessanten Downtime Cost Calculator gibt es online und als Smartphone-Application von Storagepipe.

Mit den Kalkulator können die finanziellen Schäden eines Ausfalls kalkuliert werden.

Auf Basis des Jahresgewinns und der jährlichen Geschäftsstunden wird der finanzielle Ausfall für den Vertrieb kalkuliert.

Für den Produktivitätsverlust wird die Anzahl der Mitarbeiter und der durchschnittliche Stundensatz zugrunde gelegt. Für Sales und Produktivität kann jeweils über einen Schieberegler der Impact durch das Schadensereignis in Prozent eingestellt werden.

Nach dem Drücken des Start-Buttons “Panic” beginnt die App mit der Berechnung des Schadens in Dollar bis “Pause” gedrückt wird. Ein nettes Gimmick, um finanzielle Schadensfolgen illustrieren zu können. Eine Business Impact Analyse ist natürlich etwas ganz Anderes.

http://downtimecost.com/

Literatur: A Practical Approach to Business Impact Analysis

Die Business Impact Analyse BIA ist eines der Herzstücke im Business Continuity Management. Wenngleich die Ziele und Ergebnistypen einer BIA in den BCM Standards wie BS 25999-1 und -2 klar definiert sind, der Weg zum Ziel ist nicht so eindeutig und “viele Wege führen nach Rom”. Für die BIA gibt es keinen “best practice” oder  “one fits all”-Ansatz. Abhängig von der Größe und Komplexität einer Organisation, der zur Verfügung stehenden Mittel für Mitarbeiter, Technologie und Zeit für die Durchführung einer BIA, können die methodischen Ansätze, die zum Ziel führen ganz unterschiedlich aussehen. Insofern lernt man bei der Business Impact Analyse nie aus. Zahlreiche, zum Teil heftig geführte Diskussionen in Online-Foren, zum Beispiel um die exakte Deutung der Begrifflichkeiten RTO und MTPoD zeigen, dass auch noch weitere methodische Entwicklungsarbeit bei der BIA notwendig ist. Wer sich also mit Lesestoff zu dem aus meiner Sicht spannendsten und interessantesten Part des BCM versorgen möchte, kann jetzt beim BSI das neue Buch von Ian Charters “A Practical Approach to Business Impact Analysis” erwerben.

Über Leserkommentare zum Buch würde ich mich sehr freuen.

Nachtrag:

Das Buch gibt es als Download- und Paperback-Version. Ein erster Blick in das Buch weckt die Neugierde: da scheint wirklich ein rundes Werk zur BIA vorzuliegen. Also Lektüre für das nahe Wochenende.

BIA-Template

Die Webseite SearchDisasterRecovery.com hat einen Beispiel-Fragenkatalog für einen BIA-Fragebogen sowie ein Word-Template für einen BIA-Fragebogen zur Verfügung gestellt. Templates kann man ja grundsätzlich nie genug haben. Während ich den Fragenkatalog für die BIA-Fragen sehr umfassend und hilfreich  finde, ist das Word-Template zum Ausfüllen zu wenig strukturiert und damit auch nur sehr schwer auswertbar. Ich bin zudem kein Freund umfangreicher textlicher Beschreibungen und Erläuterungen in BIA-Fragebögen. Word und Excel bieten mittlerweile umfangreiche und leicht einsetzbare Formularfunktionen (Bsp. Drop-Down-Felder), die das Ausfüllen für den Fachbereich und die nachfolgende Auswertung durch das BCM extrem vereinfachen. Ein Gespräch, in dem der ausgefüllte Fragebogen einmal gemeinsam durchgegangen wird, ist zum Verständnis des Geschäfts ohnehin viel zielführender.

im BCM-Forum sammle ich übrigens die öffentlichen Templates, denen ich habhaft werden kann.

Webkurs Notfallmanagement auf Basis des BSI 100-4

Das Bundesamt für Sicherheit in der Informationstechnik BSI bietet einen Webkurs zum Notfallmanagement nach BSI 100-4 an. Anhand eines Beispielunternehmens, der RECPLAST GmbH, werden die einzelnen Schritte zur Umsetzung des Notfallmanagements plastisch verdeutlicht. Der Webkurs kann Schritt für Schritt durchgearbeitet werden oder es können einzelne Module zur Bearbeitung ausgewählt werden. Ergänzend steht der gesamte Kurs sowie die Beschreibung des Beispielunternehmens als pdf zur Verfügung.

Für Einsteiger in das Thema BCM ist dieser Online-Kurs eine einfache und kostengünstige Möglichkeit sich mit den Basics des Business Continuity Managements vertraut zu machen und den doch zuweilen trockenen Stoff anschaulich und praxisorientiert präsentiert zu bekommen.

Effizienzsteigerung durch Selbstbeschränkung

(Gastbeitrag von Dr. Christian Zänker)

Die Umsetzung des Business Continuity Managements leidet oftmals an mangelnder Effizienz, weil seine Schnittstellen unzureichend genutzt und nicht eindeutig definiert sind.  Ungeklärte Verantwortlichkeiten und Kompetenzen zwischen den Steuerungsfunktionen im Unternehmen führen zu Reibungsverlusten und beeinträchtigen die Qualität der erhobenen Daten und der auf ihrer Basis ermittelten Anforderungen. Weiterlesen…

BIA-Tool für das iPhone, iPad und iPod touch [update]

Für die Durchführung der BIA gibt es verschiedene Lösungsansätze wie selbstgebaute Fragebögen auf Basis von Office (Word, excel etc.), webbasierte Questionnaires und Abfragemasken in BCM-Tools. Nachdem viele Lösungen, die früher nur auf dem PC nutzbar waren, mittlerweile als App in das iPhone Einzug halten, war es nur eine Frage der Zeit, bis die BIA auch als App auf das iPhone kommt. Weiterlesen…

Sungard veröffentlicht Business Disruption Analysis 2009 für Großbritannien

Sungard,weltweit einer der führenden Service-Provider für BCM- und Availability Services, hat seine Analyse der Ursachen für Geschäftsprozessunterbrechungen in UK veröffentlicht. Grundlage der Analyse ist die Inanspruchnahme der BCM-Services durch die Kunden in UK.

Erstmalig waren häufiger “workplace disruptions” mit 56 Prozent häufiger die Ursache für Geschäftsunterbrechungen als hardwarebedingte Ursachen. Insgesamt ist die Zahl der Aktivierung der BCM-Lösungen bei Sungard UK gegenüber dem Vorjahr um 56 Prozent gestiegen.

Einen starken Anstieg bei den Ursachen für Geschäftsunterbrechungen sieht Sungard bei der Unterbrechung der Stromversorgung, deren Anzahl sich geegnüber dem Vorjahr verdoppelt hat,sowie dem Ausfall von Kommunikationssystemen mit einem rapiden Anstieg von 1.300 Prozent gegenüber dem Vorjahr.

Quelle: Sungard Availability Services 02-06-2010

Die Analyse von sungard bezieht sich zwar ausschließlich auf Großbritannien, die Ergebnisse lassen sich aus meiner Sicht aber auch auf Deutschland übertragen. Die Risiken des Ausfalls von Arbeitsplätzen werden gegenüber den technologischen / IT-Risiken häufig unterschätzt. So ist die Absicherung der Stromversorgung für die IT durch Netzersatzanlagen Standard. Dies ermöglicht das geordnete Herunterfahren der IT-Systeme oder auch den von der regulären Stromversorgung unabhängigen Betrieb der IT-Systeme.

Für die Fortführung der Geschäftsprozesse ist jedoch, neben der Verfügbarkeit der IT, die Stromversorgung der Arbeitsplätze und der Gebäude von entscheidender Bedeutung. Die Clients und Bildschirme benötigen eine Stromversorgung (auch Laptops nach einer gewissen Zeit). Drucker, Telefonie, Faxgeräte und weitere Peripherie fällt ohne Stromversorgung unmittelbar aus. In vielen Unternehmen gibt es farblich gekennzeichnete Stromanschlüsse, die kenntlich machen sollen, dass diese Dose notstromversorgt ist. Doch ist sie das tatsächlich, auch nach zahlreichen Umbauten und Umzügen? Hängt statt dem PC der Kaffevollautomat der Abteilung an der Dose? Sind tatsächlich die kritischen Arbeitsplätze sowie die zugewiesenen Ausweicharbeitsplätze mit Notstrom versorgt?

Die gleichen Fragestellung gelten für Router, Switches und Server, die über das gesamte Gebäude verteilt sind, sowie viele zentrale Gebäudefunktionen (Licht, Klima, Aufzüge, Steuerungselektronik).

Auch der Ausfall der Wasserversorgung, der Toiletten oder der Klimatisierung zieht den Ausfall von Arbeitsplätzen nach sich. Evakuierung von Gebäuden auf Grund von Sprengstofffunden bei Bauarbeiten, Gaslecks oder Bombendrohungen sind weitere Ursachen für Ausfälle von Arbeitsplätzen, die nicht IT-bedingt sind.

Die reine Fokussierung auf technologische und hardwaretechnische Ursachen greift daher zu kurz. Nach dem Motto “die IT ist abgesichert, bei einem Stromausfall kann das Geschäft weitergehen”. Auch hier hilft eine Business Impact Analyse, indem die für das Geschäft kritischen Arbeitsplätze identifiziert und entsprechende Ersatzlösungen konzipiert und getestet werden.

Risiko “Weihnachten”

Die Feuerwehr meldet, dass die Anzahl der Wohnungsbrände zum Jahresende deutlich zunimmt. Mit jeder Woche kommt ein Risikofaktor “brennende Kerze” hinzu. Zudem werden die Adventskränze trocken und entzünden sich schneller. Insgesamt nimmt die Anzahl der Wohnungsbrände jedoch ab. Der Trend geht zum elektrischen Licht. Doch obwohl die Anzahl der Wohnungsbrände zurückgeht bleibt das Schadensniveau stabil. Dies liegt daran, dass die Einrichtungsgegenstände wie zum Beispiel Fernseher immer wertvoller und teurer werden. Das Risiko setzt sich eben aus Eintrittswahrscheinlichkeit und Schadenshöhe zusammen. Kann man im Haushalt den potentiellen Schaden noch relativ schnell per Augenschein ermitteln, dient im BCM die Business Impact Analyse hierzu. Die Zusammenhänge sind komplexer und neben dem finanziellen Schaden sind auch nicht-monetäre Schadensfolgen wie Image- und Reputationsschaden oder Verstösse gegen gesetzliche und aufsichtsrechtliche Bestimmungen in Unternehmen zu berücksichtigen. Eine sinkende (gefühlte) Eintrittswahrscheinlichkeit könnte dazu verleiten, das Risiko als geringer zu betrachten. Häufig stehen sinkenden Eintrittswahrscheinlichkeiten steigende Impacts zum Beispiel aus dem Unternehmens-, Umsatz und Kundenwachstum oder durch die Anschaffung teurer Anlagen (Produktionsanalgen, IT) gegenüber. Eine Business Impact Analyse deckt diese Zusammenhänge auf und ist daher elementarer Bestandteil des Risiko- und Business Continuity Managements.

BCM-Awareness durch Übungen

BCM-Awareness oder gar BCM-Kultur sind ein Dauerthema im Business Continuity Management. Was soll erreicht werden? BCM soll wie selbstverständlich in die täglichen Entscheidungen und Handlungen einfliessen. Insbesondere bei Entscheidungen, die die Sicherheit und Überlebensfähigkeit des Unternehmens entscheiden. Wenn zum Beispiel unbewusst single points of failure geschaffen werden durch die Zusammenlegung von Standorten, Outsourcing oder Änderungen in der IT-Infrastruktur wie die Umstellung von klassischer Telefonie auf Voice over IP-Technik. Weiterlesen…