Business Impact Analysis podle ZKB: proč nestačí znát rizika, ale i dopady incidentu

Business Impact Analysis

Organizace často začínají kybernetickou bezpečnost evidencí aktiv a hodnocením rizik. To je správný krok, ale sám o sobě nestačí. Pokud dojde k výpadku klíčové služby, ransomwarovému útoku, selhání dodavatele nebo dlouhodobé nedostupnosti systému, vrcholné vedení organizace potřebuje rychle vědět něco velmi konkrétního: co musí být obnoveno jako první, kolik hodin výpadku je ještě přijatelné a jaké dopady bude mít narušení provozu na zákazníky, finance, smluvní závazky nebo regulatorní povinnosti.

Právě k tomu slouží Business Impact Analysis, zkráceně BIA. Pomáhá organizaci pochopit skutečný dopad narušení služeb, procesů a podpůrných aktiv. V kontextu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů je BIA důležitá pro řízení kontinuity činností, obnovu služeb a správné stanovení cílů při stanovení plánů kontinuity činností a plánů obnovy.

Co je Business Impact Analysis

Business Impact Analysis je analýza dopadů narušení činností organizace. Neřeší primárně to, jaká hrozba může nastat nebo jaká je její pravděpodobnost. Od toho slouží hodnocení rizik. BIA se ptá jinak: co se stane, pokud služba, proces nebo systém nebude dostupný?

BIA pomáhá vedení organizace pochopit, jaké následky může mít výpadek konkrétní služby, procesu nebo systému. Výsledkem není pouze seznam důležitých systémů, ale především rozhodnutí, které služby jsou pro organizaci kritické a v jakém čase a do jakého bodu musí být obnoveny. Prakticky BIA pomáhá určit, co je pro organizaci skutečně důležité, když nastane problém.

Proč BIA souvisí se zákonem o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti a jeho prováděcí předpisy kladou důraz na systematické řízení kybernetické bezpečnosti. Organizace musí znát své regulované služby, všechna svá primární a podpůrná aktiva, odpovědnosti, rizika a možná implementovaná bezpečnostní opatření. Aby však bylo možné tato bezpečnostní opatření nastavit smysluplně, je potřeba rozumět také dopadům narušení.

Právě zde má BIA zásadní význam. Pomáhá propojit regulovanou službu s procesy, systémy, lidmi, dodavateli a dalšími aktivy, která jsou pro její fungování nezbytná. Díky tomu organizace lépe chápe, co by se stalo při výpadku konkrétního systému nebo služby a jaké následky by tento výpadek měl.

Bez BIA může organizace sice evidovat aktiva a rizika, ale nemusí být schopna správně určit priority. Některý systém může na první pohled vypadat technicky důležitě, ale jeho výpadek nemusí mít zásadní dopad na poskytování služby. Naopak méně nápadná aktiva, například integrační rozhraní, dodavatelská služba nebo databáze, můžou být pro provoz zcela kritická.

Co má být výstupem BIA

Dobře zpracovaná BIA by měla dát organizaci konkrétní odpovědi. U každé klíčové služby nebo procesu by mělo být jasné, jaké dopady by měl výpadek, jak dlouho je výpadek ještě přijatelný a co je potřeba obnovit jako první.

Typickými výstupy BIA jsou zejména:

  • určení kritických služeb a procesů,
  • vyhodnocení dopadů jejich narušení,
  • stanovení priorit obnovy,
  • určení závislostí na systémech, datech, lidech, lokalitách a dodavatelích,
  • stanovení požadované doby obnovy,
  • stanovení přijatelné ztráty dat,
  • přiřazení odpovědných osob.

Klíčové metriky, které BIA definuje:

MTPD (Maximum Tolerable Period of Disruption) – maximální tolerovatelná doba narušení, říká, jak dlouho může být služba nebo proces nedostupný, než se dopady stanou pro organizaci nepřijatelné.

RTO (Recovery Time Objective) – požadovaná doba obnovy, určuje, do kdy má být služba obnovena po incidentu nebo jejím výpadku.

RPO (Recovery Point Objective) – požadovaný bod obnovy dat, říká, jakou ztrátu dat v čase si organizace může dovolit. Jinými slovy, zda je přijatelné obnovit data například ze zálohy staré jednu hodinu, jeden den nebo delší období.

Tyto hodnoty nejsou pouze o technických parametrech. Jedná se také o manažerská rozhodnutí. Pokud vrcholné vedení organizace stanoví, že určitá služba musí být obnovena do čtyř hodin, musí tomu odpovídat technická architektura, zálohování, kapacity týmu, smlouvy s dodavateli i postupy obnovy.

Jak BIA navazuje na evidenci aktiv a analýzu rizik

BIA by neměla vznikat izolovaně jako samostatná tabulka bez vazby na ostatní části systému řízení kybernetické bezpečnosti. Naopak by měla vycházet z dat, která organizace už má nebo by měla mít k dispozici.

Základním vstupem je přehled regulovaných služeb a stanovený rozsah řízení kybernetické bezpečnosti. Na něj navazuje evidence primárních, podpůrných a technických aktiv. Díky tomu lze určit, které procesy, systémy, aplikace, databáze, osoby, lokality nebo dodavatelé jsou pro poskytování služby důležité.

Dalším vstupem je hodnocení rizik. To pomáhá určit, jaké hrozby a zranitelnosti mohou aktiva ovlivnit. BIA do tohoto pohledu doplňuje provozní a obchodní dopad. Společně pak tyto informace umožňují rozhodnout, jaká bezpečnostní opatření jsou skutečně potřebná a jakou mají mít prioritu.

Pokud například BIA ukáže, že výpadek určité služby má po několika hodinách zásadní dopad na zákazníky nebo regulatorní povinnosti, měla by se tato informace promítnout do plánů řízení kontinuity činností, plánů obnovy, zálohování, řízení incidentů, smluv s dodavateli i plánu zvládání rizik.

Jak BIA zpracovat v praxi

1. Identifikujte klíčové procesy

Nejprve s vrcholným vedením a garanty aktiv určete hlavní činnosti organizace: co generuje největší hodnotu, co je nezbytné pro poskytování regulované služby a bez čeho organizace nedokáže fungovat.

2. Stanovte dopady a závislosti

U procesů, služeb a aktiv zahrnutých do stanoveného rozsahu řízení kybernetické bezpečnosti určete, jaké škody vzniknou při jeho výpadku například po 2, 4, 24 nebo 48 hodinách. Současně zmapujte závislosti: IT systémy, aplikace, data, dodavatele, zaměstnance, pracoviště nebo komunikační kanály.

3. Definujte minimální úroveň poskytovaných služeb, RTO a RPO

Na základě vyhodnocených dopadů stanovte minimální úroveň poskytovaných služeb, kterou musí organizace udržet nebo obnovit při narušení. Následně určete RTO a RPO. RTO říká, do kdy musí být služba, proces nebo systém obnoven. RPO určuje, jakou ztrátu dat v čase si organizace může dovolit. Tyto metriky se stanou závazným zadáním pro IT oddělení a bezpečnostní specialisty.

4. Nechte výstupy schválit vrcholným vedením

Výsledky, priority obnovy a akceptovatelnou míru dopadů musí schválit vrcholné vedení organizace. Právě vrcholné vedení rozhoduje, jaké riziko a jaké finanční nebo provozní dopady jsou ještě přijatelné.

5. Promítněte BIA do praxe (BCP a DRP)

Výsledky BIA použijte jako zadání pro tvorbu plánů kontinuity činností (BCP) a plánů obnovy po havárii (DRP). Pokud BIA stanoví, že kritický systém musí být obnoven do dvou hodin, musí tomu odpovídat architektura, zálohování, smlouvy s dodavateli i testování obnovy.

Typické chyby při zpracování BIA

Nejčastější chybou je, že organizace zpracuje BIA pouze formálně. Vznikne dokument, který existuje pro audit, ale nikdo s ním dál nepracuje. Hodnoty RTO a RPO jsou vyplněné odhadem, nejsou odsouhlasené garanty aktiv a nejsou promítnuté do plánů řízení kontinuity činností či plánů obnovy stanovených organizací.

Dalším problémem je příliš úzký pohled na aktiva. BIA se často redukuje na seznam aplikací a serverů. Jenže služba obvykle závisí také na lidech, dodavatelích, datech, integračních vazbách, dokumentaci nebo fyzickém pracovišti. Pokud tyto závislosti nejsou popsány, plán obnovy může při skutečném incidentu selhat.

Častou chybou je také neaktuálnost. Organizace se mění, zavádí nové systémy, mění dodavatele, upravuje procesy a rozšiřuje služby. Pokud se BIA neaktualizuje, rychle přestane odpovídat realitě. To je zvlášť problematické u organizací, které vedou BIA v oddělených tabulkách bez návaznosti na evidenci aktiv a hodnocení rizik.

Rizikové je i to, když BIA není propojena s řízením dodavatelů. Pokud je kritická služba závislá na externím poskytovateli, musí tomu odpovídat smluvní požadavky, dostupnost služby, reakční doby a postupy při incidentu. Jinak může organizace sice interně požadovat obnovu do několika hodin, ale dodavatelský vztah tomu nebude odpovídat.

BIA jako praktický nástroj pro rozhodování

Správně zpracovaná BIA pomáhá vrcholnému vedení organizace pochopit, kam soustředit zdroje, které služby chránit prioritně a jaké investice do bezpečnosti, dostupnosti a obnovy mají největší význam.

BIA také pomáhá při komunikaci mezi vrcholným vedením, IT, bezpečností a garanty aktiv. Technické týmy často řeší dostupnost systémů, kapacity, zálohování nebo obnovu infrastruktury. Vrcholné vedení naopak potřebuje rozumět dopadům na provoz, zákazníky a povinnosti organizace. BIA tyto pohledy propojuje.

Díky tomu lze lépe rozhodovat například o tom, které systémy potřebují vysokou dostupnost, kde je nutné zkrátit dobu obnovy, kde je potřeba upravit zálohování, u kterých dodavatelů zpřísnit smluvní požadavky nebo které scénáře incidentů je vhodné testovat.

Jak může pomoct Cybreg

V praxi bývá nejtěžší udržet BIA aktuální a propojenou s ostatními oblastmi kybernetické bezpečnosti. Pokud je vedena pouze v samostatném Excelu, rychle se oddělí od evidence aktiv, hodnocení rizik, dodavatelů, odpovědných osob a bezpečnostních opatření.

Cybreg pomáhá tato data evidovat na jednom místě a udržovat mezi nimi vazby. Organizace tak může propojit regulované služby, procesy, aktiva, rizika, bezpečnostní opatření, odpovědné osoby a dodavatele. Díky tomu lze BIA využívat nejen jako podklad pro audit, ale jako živý nástroj pro řízení kontinuity a kybernetické bezpečnosti.

Pokud se změní služba, aktivum, dodavatel nebo riziko, je možné lépe vyhodnotit, jaký dopad má tato změna na celkovou bezpečnostní dokumentaci a nastavení bezpečnostních opatření. To je zásadní zejména u organizací, které potřebují průběžně prokazovat, že mají kybernetickou bezpečnost řízenou systematicky, nikoli pouze formálně.

Sdílejte:

Klíčové kontakty:

Související příspěvky

Digitální služby pod drobnohledem EU

Digitální služby pod drobnohledem EU

Nařízení o digitálních službách: regulace, na kterou se často zapomíná V poslední době se prakticky nemluví o ničem jiném než o směrnici NIS2 a novém zákoně o kybernetické bezpečnosti. Firmy intenzivně řeší, zda do nové regulace spadnou, v jakém režimu a jaké povinnosti z toho pro ně vyplynou.

Přečtěte si více ...