Save the date: Treffen des BCM-GrĂŒpple Stuttgart am 11. Juni

Das BCM-GrĂŒpple ist am 11. Juni ab 14:00 Uhr zu Gast bei ComBack in Oberreichenbach (Anfahrtsbeschreibung-CITA). Neben einer FĂŒhrung durch das ehemalige  Ausweichzentrum der Landesregierung BW werden wir uns in diesem Termin inhaltlich der Business Impact Analyse widmen. Die BIA ist und bleibt eines der Kernelemente des BCM und stellt bei der DurchfĂŒhrung hohe Anforderungen. Wir versuchen, die Fragen und Probleme gemeinsam zu erörtern und Good Practices herauszufinden. Die Treffen des BCM-GrĂŒpple sind offen fĂŒr alle Interessierte. Bitte melden Sie sich bei admin@bcm-news oder doodle zu dem Termin an, damit wir disponieren können.

Wichtiger organisatorischer Hinweis:

FĂŒr den Zutritt ist aus SicherheitsgrĂŒnden zwingend ein Lichtbildausweis erforderlich!

Rainer HĂŒbert: Warum die Business Impact Analyse (BIA) nicht funktioniert

Das Business Continuity und Resiliency Journal hat zusammen mit continuitycentral einen Wettbewerb “Business Continuity Paper of the Year 2012” ausgeschrieben. Rainer HĂŒbert, MBCI aus Hannover, hat dafĂŒr einen Artikel “Why the Business Impact Analysis does not work” eingereicht, der als einer der sechs besten BeitrĂ€ge des Wettbewerbs im Journal veröffentlicht wurde, wie continuitycentral berichtete: http://www.continuitycentral.com/feature0974.html.

Wer Herrn HĂŒbert seine Email-Adresse schickt (rh@rex-systems.de), dem sendet er diesen Artikel gerne zu.

Rainer HĂŒbert ist ĂŒbrigens offenbar nicht der Einzige, der so denkt.

Hier ein weiterer Beitrag, der Àhnlich argumentiert:

http://www.ez-planner.net/the-bia-survey-an-effort-in-futility

 

Anmerkungen der Redaktion:

Die Thesen von Rainer HĂŒbert in diesem Artikel werden sicherlich nicht von jedem BCMer geteilt. Wir freuen uns auf Ihre Kommentare und eine interessante Diskussion hierzu in den BCM-News zu diesem Artikel.

Downtime Cost Calculator online und fĂŒr Smartphones

Einen ganz interessanten Downtime Cost Calculator gibt es online und als Smartphone-Application von Storagepipe.

Mit den Kalkulator können die finanziellen SchÀden eines Ausfalls kalkuliert werden.

Auf Basis des Jahresgewinns und der jĂ€hrlichen GeschĂ€ftsstunden wird der finanzielle Ausfall fĂŒr den Vertrieb kalkuliert.

FĂŒr den ProduktivitĂ€tsverlust wird die Anzahl der Mitarbeiter und der durchschnittliche Stundensatz zugrunde gelegt. FĂŒr Sales und ProduktivitĂ€t kann jeweils ĂŒber einen Schieberegler der Impact durch das Schadensereignis in Prozent eingestellt werden.

Nach dem DrĂŒcken des Start-Buttons “Panic” beginnt die App mit der Berechnung des Schadens in Dollar bis “Pause” gedrĂŒckt wird. Ein nettes Gimmick, um finanzielle Schadensfolgen illustrieren zu können. Eine Business Impact Analyse ist natĂŒrlich etwas ganz Anderes.

http://downtimecost.com/

Literatur: A Practical Approach to Business Impact Analysis

Die Business Impact Analyse BIA ist eines der HerzstĂŒcke im Business Continuity Management. Wenngleich die Ziele und Ergebnistypen einer BIA in den BCM Standards wie BS 25999-1 und -2 klar definiert sind, der Weg zum Ziel ist nicht so eindeutig und “viele Wege fĂŒhren nach Rom”. FĂŒr die BIA gibt es keinen “best practice” oder  “one fits all”-Ansatz. AbhĂ€ngig von der GrĂ¶ĂŸe und KomplexitĂ€t einer Organisation, der zur VerfĂŒgung stehenden Mittel fĂŒr Mitarbeiter, Technologie und Zeit fĂŒr die DurchfĂŒhrung einer BIA, können die methodischen AnsĂ€tze, die zum Ziel fĂŒhren ganz unterschiedlich aussehen. Insofern lernt man bei der Business Impact Analyse nie aus. Zahlreiche, zum Teil heftig gefĂŒhrte Diskussionen in Online-Foren, zum Beispiel um die exakte Deutung der Begrifflichkeiten RTO und MTPoD zeigen, dass auch noch weitere methodische Entwicklungsarbeit bei der BIA notwendig ist. Wer sich also mit Lesestoff zu dem aus meiner Sicht spannendsten und interessantesten Part des BCM versorgen möchte, kann jetzt beim BSI das neue Buch von Ian Charters “A Practical Approach to Business Impact Analysis” erwerben.

Über Leserkommentare zum Buch wĂŒrde ich mich sehr freuen.

Nachtrag:

Das Buch gibt es als Download- und Paperback-Version. Ein erster Blick in das Buch weckt die Neugierde: da scheint wirklich ein rundes Werk zur BIA vorzuliegen. Also LektĂŒre fĂŒr das nahe Wochenende.

BIA-Template

Die Webseite SearchDisasterRecovery.com hat einen Beispiel-Fragenkatalog fĂŒr einen BIA-Fragebogen sowie ein Word-Template fĂŒr einen BIA-Fragebogen zur VerfĂŒgung gestellt. Templates kann man ja grundsĂ€tzlich nie genug haben. WĂ€hrend ich den Fragenkatalog fĂŒr die BIA-Fragen sehr umfassend und hilfreich  finde, ist das Word-Template zum AusfĂŒllen zu wenig strukturiert und damit auch nur sehr schwer auswertbar. Ich bin zudem kein Freund umfangreicher textlicher Beschreibungen und ErlĂ€uterungen in BIA-Fragebögen. Word und Excel bieten mittlerweile umfangreiche und leicht einsetzbare Formularfunktionen (Bsp. Drop-Down-Felder), die das AusfĂŒllen fĂŒr den Fachbereich und die nachfolgende Auswertung durch das BCM extrem vereinfachen. Ein GesprĂ€ch, in dem der ausgefĂŒllte Fragebogen einmal gemeinsam durchgegangen wird, ist zum VerstĂ€ndnis des GeschĂ€fts ohnehin viel zielfĂŒhrender.

im BCM-Forum sammle ich ĂŒbrigens die öffentlichen Templates, denen ich habhaft werden kann.

Webkurs Notfallmanagement auf Basis des BSI 100-4

Das Bundesamt fĂŒr Sicherheit in der Informationstechnik BSI bietet einen Webkurs zum Notfallmanagement nach BSI 100-4 an. Anhand eines Beispielunternehmens, der RECPLAST GmbH, werden die einzelnen Schritte zur Umsetzung des Notfallmanagements plastisch verdeutlicht. Der Webkurs kann Schritt fĂŒr Schritt durchgearbeitet werden oder es können einzelne Module zur Bearbeitung ausgewĂ€hlt werden. ErgĂ€nzend steht der gesamte Kurs sowie die Beschreibung des Beispielunternehmens als pdf zur VerfĂŒgung.

FĂŒr Einsteiger in das Thema BCM ist dieser Online-Kurs eine einfache und kostengĂŒnstige Möglichkeit sich mit den Basics des Business Continuity Managements vertraut zu machen und den doch zuweilen trockenen Stoff anschaulich und praxisorientiert prĂ€sentiert zu bekommen.

Effizienzsteigerung durch SelbstbeschrÀnkung

(Gastbeitrag von Dr. Christian ZĂ€nker)

Die Umsetzung des Business Continuity Managements leidet oftmals an mangelnder Effizienz, weil seine Schnittstellen unzureichend genutzt und nicht eindeutig definiert sind.  UngeklĂ€rte Verantwortlichkeiten und Kompetenzen zwischen den Steuerungsfunktionen im Unternehmen fĂŒhren zu Reibungsverlusten und beeintrĂ€chtigen die QualitĂ€t der erhobenen Daten und der auf ihrer Basis ermittelten Anforderungen. Weiterlesen…

BIA-Tool fĂŒr das iPhone, iPad und iPod touch [update]

FĂŒr die DurchfĂŒhrung der BIA gibt es verschiedene LösungsansĂ€tze wie selbstgebaute Fragebögen auf Basis von Office (Word, excel etc.), webbasierte Questionnaires und Abfragemasken in BCM-Tools. Nachdem viele Lösungen, die frĂŒher nur auf dem PC nutzbar waren, mittlerweile als App in das iPhone Einzug halten, war es nur eine Frage der Zeit, bis die BIA auch als App auf das iPhone kommt. Weiterlesen…

Sungard veröffentlicht Business Disruption Analysis 2009 fĂŒr Großbritannien

Sungard,weltweit einer der fĂŒhrenden Service-Provider fĂŒr BCM- und Availability Services, hat seine Analyse der Ursachen fĂŒr GeschĂ€ftsprozessunterbrechungen in UK veröffentlicht. Grundlage der Analyse ist die Inanspruchnahme der BCM-Services durch die Kunden in UK.

Erstmalig waren hĂ€ufiger “workplace disruptions” mit 56 Prozent hĂ€ufiger die Ursache fĂŒr GeschĂ€ftsunterbrechungen als hardwarebedingte Ursachen. Insgesamt ist die Zahl der Aktivierung der BCM-Lösungen bei Sungard UK gegenĂŒber dem Vorjahr um 56 Prozent gestiegen.

Einen starken Anstieg bei den Ursachen fĂŒr GeschĂ€ftsunterbrechungen sieht Sungard bei der Unterbrechung der Stromversorgung, deren Anzahl sich geegnĂŒber dem Vorjahr verdoppelt hat,sowie dem Ausfall von Kommunikationssystemen mit einem rapiden Anstieg von 1.300 Prozent gegenĂŒber dem Vorjahr.

Quelle: Sungard Availability Services 02-06-2010

Die Analyse von sungard bezieht sich zwar ausschließlich auf Großbritannien, die Ergebnisse lassen sich aus meiner Sicht aber auch auf Deutschland ĂŒbertragen. Die Risiken des Ausfalls von ArbeitsplĂ€tzen werden gegenĂŒber den technologischen / IT-Risiken hĂ€ufig unterschĂ€tzt. So ist die Absicherung der Stromversorgung fĂŒr die IT durch Netzersatzanlagen Standard. Dies ermöglicht das geordnete Herunterfahren der IT-Systeme oder auch den von der regulĂ€ren Stromversorgung unabhĂ€ngigen Betrieb der IT-Systeme.

FĂŒr die FortfĂŒhrung der GeschĂ€ftsprozesse ist jedoch, neben der VerfĂŒgbarkeit der IT, die Stromversorgung der ArbeitsplĂ€tze und der GebĂ€ude von entscheidender Bedeutung. Die Clients und Bildschirme benötigen eine Stromversorgung (auch Laptops nach einer gewissen Zeit). Drucker, Telefonie, FaxgerĂ€te und weitere Peripherie fĂ€llt ohne Stromversorgung unmittelbar aus. In vielen Unternehmen gibt es farblich gekennzeichnete StromanschlĂŒsse, die kenntlich machen sollen, dass diese Dose notstromversorgt ist. Doch ist sie das tatsĂ€chlich, auch nach zahlreichen Umbauten und UmzĂŒgen? HĂ€ngt statt dem PC der Kaffevollautomat der Abteilung an der Dose? Sind tatsĂ€chlich die kritischen ArbeitsplĂ€tze sowie die zugewiesenen AusweicharbeitsplĂ€tze mit Notstrom versorgt?

Die gleichen Fragestellung gelten fĂŒr Router, Switches und Server, die ĂŒber das gesamte GebĂ€ude verteilt sind, sowie viele zentrale GebĂ€udefunktionen (Licht, Klima, AufzĂŒge, Steuerungselektronik).

Auch der Ausfall der Wasserversorgung, der Toiletten oder der Klimatisierung zieht den Ausfall von ArbeitsplĂ€tzen nach sich. Evakuierung von GebĂ€uden auf Grund von Sprengstofffunden bei Bauarbeiten, Gaslecks oder Bombendrohungen sind weitere Ursachen fĂŒr AusfĂ€lle von ArbeitsplĂ€tzen, die nicht IT-bedingt sind.

Die reine Fokussierung auf technologische und hardwaretechnische Ursachen greift daher zu kurz. Nach dem Motto “die IT ist abgesichert, bei einem Stromausfall kann das GeschĂ€ft weitergehen”. Auch hier hilft eine Business Impact Analyse, indem die fĂŒr das GeschĂ€ft kritischen ArbeitsplĂ€tze identifiziert und entsprechende Ersatzlösungen konzipiert und getestet werden.

Risiko “Weihnachten”

Die Feuerwehr meldet, dass die Anzahl der WohnungsbrĂ€nde zum Jahresende deutlich zunimmt. Mit jeder Woche kommt ein Risikofaktor “brennende Kerze” hinzu. Zudem werden die AdventskrĂ€nze trocken und entzĂŒnden sich schneller. Insgesamt nimmt die Anzahl der WohnungsbrĂ€nde jedoch ab. Der Trend geht zum elektrischen Licht. Doch obwohl die Anzahl der WohnungsbrĂ€nde zurĂŒckgeht bleibt das Schadensniveau stabil. Dies liegt daran, dass die EinrichtungsgegenstĂ€nde wie zum Beispiel Fernseher immer wertvoller und teurer werden. Das Risiko setzt sich eben aus Eintrittswahrscheinlichkeit und Schadenshöhe zusammen. Kann man im Haushalt den potentiellen Schaden noch relativ schnell per Augenschein ermitteln, dient im BCM die Business Impact Analyse hierzu. Die ZusammenhĂ€nge sind komplexer und neben dem finanziellen Schaden sind auch nicht-monetĂ€re Schadensfolgen wie Image- und Reputationsschaden oder Verstösse gegen gesetzliche und aufsichtsrechtliche Bestimmungen in Unternehmen zu berĂŒcksichtigen. Eine sinkende (gefĂŒhlte) Eintrittswahrscheinlichkeit könnte dazu verleiten, das Risiko als geringer zu betrachten. HĂ€ufig stehen sinkenden Eintrittswahrscheinlichkeiten steigende Impacts zum Beispiel aus dem Unternehmens-, Umsatz und Kundenwachstum oder durch die Anschaffung teurer Anlagen (Produktionsanalgen, IT) gegenĂŒber. Eine Business Impact Analyse deckt diese ZusammenhĂ€nge auf und ist daher elementarer Bestandteil des Risiko- und Business Continuity Managements.