ISO 27001BIA

Business Impact Analysis: come farla in mezza giornata

BIA in azienda significa quasi sempre fogli Excel infiniti. Ecco un format leggero che produce risultati utili in 4 ore.

2 min di lettura

TL;DR

La BIA in mezza giornata: format leggero che produce una matrice processi × impatto utilizzabile. 4 ore, 2 workshop con i process owner, output un PDF di 5 pagine. Sufficiente per ISO 27001:2022 e NIS2.

Perché serve la BIA

La BIA (Business Impact Analysis) collega processi business e sistemi ICT. Senza, non si possono difendere RTO e RPO dichiarati. ISO 27001:2022 controllo A.5.30 e NIS2 articolo 21 la richiedono di fatto.

Il format leggero in 4 ore

Ora 1 — Identificazione processi (workshop con management)

Lista dei processi business (max 20). Per ciascuno:

  • nome del processo;
  • owner;
  • input/output principali;
  • frequenza (continuo, giornaliero, mensile).

Ora 2 — Quantificazione impatto

Per ogni processo, 3 numeri:

  • MTPD (Maximum Tolerable Period of Disruption): oltre quanto tempo si chiude l'azienda?
  • costo orario del fermo (mancato fatturato + costo persone ferme + penali);
  • costo della perdita dati (per quanto tempo arretrare è accettabile?).

Ora 3 — Mappatura dipendenze ICT

Per ogni processo:

  • sistemi ICT necessari;
  • dati di input;
  • servizi esterni richiesti (SaaS, autenticazione);
  • ruoli necessari.

Ora 4 — Documentazione e approvazione

Mettere insieme i risultati in un PDF di 5 pagine:

  • 1 pagina sintesi;
  • 1 pagina metodologia;
  • 2 pagine matrice processi × impatto;
  • 1 pagina mapping ICT.

Far firmare al management.

Errori comuni

  • troppi processi: oltre 20 si perde focus. Aggrupare.
  • stime senza dati: usare dati storici aziendali, non opinioni.
  • non aggiornarla: vale 24 mesi, poi rifare.

Output utili

Dalla BIA si derivano direttamente:

  • RTO/RPO target per processo;
  • elenco sistemi critici;
  • priorità di restart;
  • requisiti per il piano DR.

FAQ

Posso fare BIA da solo (senza coinvolgere il business)?

No. Il valore della BIA è il coinvolgimento dei process owner. Senza, è un esercizio IT-only inutile.

Devo certificare la BIA?

No, è documentazione interna. Va però datata e firmata.

BIA e risk assessment sono la stessa cosa?

No. BIA quantifica l'impatto. Risk assessment valuta probabilità e impatto. Sono complementari.

Per il risk assessment, Risk assessment per il DR. Per A.5.30, Annex A.5.30.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo