1 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
74% Perusahaan Pernah Mengalami Bencana yang Berakibat Gangguan pada Operasi Bisnis 2 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Apakah perusahaan pernah mengalami disaster
(gangguan/bencana) yang mengganggu beroperasinya bisnis
Tidak 26%
Pernah Pernah 74%
perusahaan? Sumber: SHARING VISIONTM, DRP/BCP Survey, n = 20 (dari 10 perusahaan), Mei-Juni 2009
3 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
74%
Sedikit Perusahaan di Indonesia Melakukan Risk Assessment dalam Pengelolaan Bencana
4 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Dalam kaitannya dengan pengelolaan bencana, apakah perusahaan
Tidak 47%
pernah melakukan risk
assessment terhadap aset perusahaan ? Sumber: SHARING VISIONTM, DRP/BCP Survey, n = 20 (dari 10 perusahaan), Mei-Juni 2009
5 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Pernah
Pernah 53%
53%
Risk Assessment
6 of 57
2
Business Impact Analysis
3
Mitigasi Risiko
1
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
1
Risk Assessment Analisis Kritikal Aset Analisis Ancaman Analisis Risiko
7 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Aset Kritikal (1) Identifikasi aset
8 of 57
Identifikasi nilai dari aset
Analisis Aset Kritikal
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Aset Kritikal (2) Berdasarkan PBI No. 09/15/PBI/2007 Identifikasi aset
aset TI terbagi menjadi 5 kategori : •Perangkat Keras •Perangkat Lunak •Jaringan Telekomunikasi •Data/Informasi •Sumber Daya Manusia
9 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Aset Kritikal (3) Identifikasi nilai dari aset
Nilai –nilai yang dijadikan kriteria adalah : • Nilai bagi organisasi (Value to Organization)
•Cost to Replace •Threat likelihood
•Vulnerability •Maximum Acceptable Outage Time
(MAOT) 10 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Aset Kritikal (4) Perhitungannya dilakukan dengan Analisis Aset Kritikal
menggunakan kategori nilai sebagai
berikut : • Severity of Threat • Kategori nilai vulnerability • Severity of Consequences (skala 0-100)
11 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Contoh Analisis Aset Kritikal - 1 Value
Severity of Consequence value x cost x MAOT scaled to 100
Ave rage (of LxV)
Threat Average of Likelihood x Vulnerability scaled to 1
Risk Rating Severity x Threat
Risk Category
12
0.9
72
0.32
0.44
31.89
MEDIUM
4
24
0.9
63
0.32
0.44
27.90
MEDIUM
3
3
24
0.9
54
0.32
0.44
23.91
MEDIUM
ATI005
3
3
24
0.9
54
0.32
0.44
23.91
MEDIUM
5 OPICS Server
ATI016
5
5
2
1
100
0.42
0.57
57.14
HIGH
Primary SKN 6 Server
ATI017
5
5
2
1
100
0.42
0.57
57.14
HIGH
ATI018
5
5
2
1
100
0.42
0.57
57.14
HIGH
8 SID Server
ATI020
4
4
12
0.9
72
0.32
0.44
31.89
MEDIUM
9 SMF Server
ATI021
3
3
24
0.9
54
0.32
0.44
23.91
MEDIUM
10 AIMS Server
ATI022
3
3
150
0.75
45
0.32
0.44
19.93
LOW
11 KYC Server
ATI023
5
5
2
1
100
0.37
0.53
52.86
HIGH
Kode Asset
Value to Org. Index
Cost to Change Index
Assessment MAOT
1 Proxy Server
ATI001
4
4
2 SMTP Server
ATI003
3
3 RCO Server
ATI004
4 DSM Server
No
7
Asset Name
Secondary SKN Server
12 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Ancaman Identifikasi ancaman
13 of 57
Identifikasi aksi dari ancaman
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Identifikasi risiko dari ancaman
Contoh Register Ancaman ID RISIKO
KATEGORI RISIKO
RTI004
Kesalahan sistem TI dalam melakukan pengolahan data.
Sistem Teknologi Informasi
RTI010
Kehilangan historis data
Sistem Teknologi Informasi
RTI011
Kehilangan aset
Sistem Teknologi Informasi
RTI030
Kebocoran data dan informasi perusahaan.
Keamanan Informasi
RTI005
Kegagalan penerapan sistem TI.
RTI007
Kegagalan migrasi sistem.
RTI027
Penambahan biaya perawatan.
RTI045 RTI048 14 of 57
RISIKO
Penurunan tingkat kepercayaan mitra usaha. Penurunan produktivitas kinerja karyawan.
Sistem Teknologi Informasi Sistem Teknologi Informasi Sistem Teknologi Informasi Sumber Daya Manusia Sumber Daya Manusia
DESKRIPSI RISIKO
Sistem TI yang digunakan untuk mengolah data dan informasi mengalami kesalahan. Bank tidak dapat melakukan penelusuran apabila ada kesalahan dalam proses bisnis yang dilakukan. Perusahaan kehilangan aset yang dimiliki. Data dan informasi mengenai perusahaan diketahui oleh pihak yang tidak bertanggungjawab. Penerapan sistem TI dalam perusahaan mengalami kesalahan. Migrasi sistem yang dilakukan mengalami kegagalan. Biaya perawatan aset yang dilmiliki oleh perusahaan bertambah. Tingkat kepercayaan mitra usaha kepada perusahaan menurun. Produktivitas kerja karyawan perusahaan menurun.
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
RISIKO INHEREN
High
High High High Medium Medium Low Low Low
Analisis Risiko (1) Risiko-risiko yang termasuk dalam kategori High Risk
• Kesalahan sistem TI dalam melakukan pengolahan data • Kegagalan sistem TI yang mendukung produk/proses bisnis • Kehilangan historis data • Kehilangan aset 15 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Risiko (2) Risiko-risiko yang termasuk dalam kategori High Risk
• Kebocoran data dan informasi perusahaan • Kebocoran data dan informasi nasabah
• Pemadaman listrik • Kegagalan jaringan komunikasi • Kerusakan jaringan komunikasi 16 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Contoh Register Risiko ID RISIKO
RISIKO
KATEGORI RISIKO
DESKRIPSI RISIKO
Ketidaksesuaian persepsi dan RTI001 ekspektasi dalam penyusunan kebutuhan pembuatan sistem TI.
Sistem Teknologi Informasi
RTI002
Penambahan biaya perawatan.
Sistem Teknologi Informasi
RTI003
Kehilangan data dan informasi.
Keamanan Informasi
RTI004
Kehilangan integritas data dan informasi.
Keamanan Informasi
RTI005
Kebakaran
Sumber Daya Tenaga
Kebakaran.
RTI006
Pemadaman listrik
Sumber Daya Tenaga
Pemadaman listrik.
RTI007
Opini publik yang negatif.
Kepatuhan
Opini publik kepada perusahaan yang negatif karena ada suatu hal yang berakibat buruk bagi perusahaan.
Medium
RTI008
Sanksi dari pemerintah karena tidak mematuhi peraturan.
Kepatuhan
Sanksi yang diberikan pemerintah kepada perusahaan karena tidak mematuhi peraturan yang berlaku.
Medium
17 of 57
Ketidaksesuaian antara persepsi pembuat sistem TI dan ekspektasi dari pengguna sistem TI dalam masa pembuatannya. Biaya perawatan aset yang dilmiliki oleh perusahaan bertambah. Data dan informasi yang dimiliki perusahaan hilang. Data dan informasi perusahaan tidak terintegrasi.
RISIKO INHEREN
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Medium Low Medium Medium Medium High
Matriks Peta Risiko BENCANA Kebakaran Banjir Petir Gempa bumi Tsunami Asap Gunung meletus Pandemik Chemical or Biological Hazard Gangguan listrik Gangguan jaringan komunikasi Hacker Cracker Virus Kelompok massa 18 of 57
1 x x x x x x x
x
x x
RISIKO YANG DIAKIBATKAN DARI BENCANA Keterangan : 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 1 : Kerusakan aset x x x x x x x 2 : Kerusakan infrastruktur x x x x x x x 3 : Kerusakan data center 4 : Kerusakan jaringan komunikasi x x x x x x x 5 : Kecelakaan karyawan x x x x x x x 6 : Kebakaran x x x x x x x 7 : Pemadaman aliran listrik x x x x x 8 : Pemadaman pelayanan x x x x x x kepada pelanggan 9 : Penambahan biaya perawatan x x x 10: Kehilangan aset x x x 11: Kehilangan data dan informasi x x x x x x x 12: Kerusakan sistem aplikasi x x x x x 13: Kebocoran data & informasi perusahaan x x x x 14: Kehilangan integritas data & x x x x informasi x x x 15: Pencurian data dan informasi x x x x x x x x 16: Kegagalan sistem
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
2
19 of 57
Business Impact Analysis
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kebakaran Data Center Menyebabkan Portal Pembayaran Down Selama 12 Jam
20 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kebakaran data center di Seattle’s Fisher Plaza menyebabkan Authorize.net (payment portal) mengalami downtime lebih dari 12 jam. Ribuan merchant tidak dapat memproses pembayaran kartu kredit melalui website tersebut. Sumber: www.datacenterknowledge.com , Juli 2009
21 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Dampak Serangan Security Pada Perusahaan PERUSAHAAN KECIL
PERUSAHAAN BESAR
Gangguan bisnis
£ 8,000 - £15,000 Over 1- 2 days
£ 80,000 - £ 130,000 Over 1 – 2 days
Waktu untuk merespon gangguan
£ 600 - £ 1,200 2 – 4 man-days
£ 2,500 - £ 5,000 6-13 man-days
Biaya langsung untuk merespon gangguan
£ 1,000 - £ 2,000
£ 4,000 - £ 8,000
Kerugian langsung (aset, denda)
£ 500 - £ 1,000
£ 4,000 - £8,000
Rusak reputasi
£ 50 - £ 200
£ 2,000 - £ 15,000
Rata-rata total biaya dari kejadian terburuk
£ 10,000 - £ 20,000
£ 90,000 - £ 170,000
Sumber: Information security breaches survey 2008; PWC, UK
22 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kasus perusahaan UK
Prosedur Perhitungan BIA
23 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kategori Dampak Terhentinya Layanan di Perusahaan (1) • Efek minor pada organisasi a. Tidak berdampak pada pelanggan,
b. Perusahaan mengalami sedikit kerugian c. Namun tidak bedampak pada proses bisnis
24 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kategori Dampak Terhentinya Layanan di Perusahaan (2) • Efek moderate pada satu unit a. Tidak berdampak pada layanan terhadap pelanggan b. Membuat kerugian finansial yang medium c. Dampak yang kecil dalam proses bisnis 25 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kategori Dampak Terhentinya Layanan di Perusahaan (3) • Efek moderate pada organisasi/banyak unit a. Keterlambatan cukup lama dalam menyediakan layanan bagi pelanggan b. Moderate delay in critical path, kerugian finansial yang
medium c. Dampak yang cukup besar pada proses bisnis 26 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kategori Dampak Terhentinya Layanan di Perusahaan (4) • Efek catastrophic pada satu unit a. Perlunya usaha untuk mempertahankan keberadaan pelanggan b. Major delay in critical path,
c. Kerugian finansial yang besar d. Dampak yang besar terhadap proses bisnis yang penting 27 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kategori Dampak Terhentinya Layanan di Perusahaan (5) • Efek catastrophic pada seluruh organisasi a. Kehilangan pelanggan b. Ketidakmampuan men-deliver proyek c. Kerugian keuangan dalam jumlah sangat besar d. Dampak yang sangat besar dalam proses bisnis yang
penting 28 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
MINOR
Kategori Dampak Terhentinya Layanan di Perusahaan (6)
Level 1
Level 2 (effect on a unit)
Level 3 (effect on many units)
Level 4 (effect on a unit)
Level 5 (effect on many units) 29 of 57
MODERATE
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
CATASTROPIC
Menentukan Critically Category
Criticality Scale: High (>=60 to 100); Medium (>10 to 60); Low (1 to 10) 30 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Contoh Perhitungan Business Impact Analysis (1) Kategori Layanan Back Office Layanan Payroll Service Aset (perangkat keras, perangkat lunak, jaringan dan
Aplikasi HRIS
3
3
4
60
60
80
MAOT
100
100
4
Skala Nilai MAOT
0.1
0.1
0.8
6
6
64
LOW
LOW
HIGH
telekomunikasi ) Dampak Terhentinya Layanan Severity of Impact if Application Stop
Overall Rating Criticality 31 of 57
Cisco Catalyst 3750,
Server Axapta
Nokia Firewall IP520
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Contoh Perhitungan Business Impact Analysis (2) Kategori Layanan OPICS
Layanan Reporting Transaction
Aplikasi OPICS,
Cisco Catalyst 3750,
Swift
Nokia Firewall IP520
5
5
4
Stop
100
100
80
MAOT
12
12
4
Skala Nilai MAOT
0.3
0.3
0.8
Overall Rating
30
30
64
MEDIUM
MEDIUM
HIGH
Aset (perangkat keras, perangkat
Server OPICS
lunak, jaringan dan
telekomunikasi ) Dampak Terhentinya Layanan Severity of Impact if Application
Criticality 32 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Contoh Perhitungan Business Impact Analysis (3) Overall Rating = Severity of Impact if Appl Stop * Skala Nilai MAOT
33 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Vital Record Harus Memperoleh Prioritas Utama (1) NAMA DOKUMEN
34 of 57
KODE
DESKRIPSI
Laporan Harian
ATI123
Laporan yang dilakukan untuk transaksi setiap end of day
Laporan Mingguan
ATI124
Laporan yang dilakukan untuk transaksi setiap end of week
Laporan Bulanan
ATI125
Laporan yang dilakukan untuk transaksi setiap end of month
Laporan Tahunan
ATI126
Laporan yang dilakukan untuk transaksi setiap end of year
Dokumen SOP BTN
ATI127
Dokumen yang mengatur tentang prosedur dan aturan pelaksanaan operasional BTN
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Vital Record Harus Memperoleh Prioritas Utama (2) NAMA DOKUMEN
35 of 57
KODE
DESKRIPSI
Dokumen Security BTN
ATI128
Dokumen yang mengatur kebijakan, kebutuhan keamanan informasi BTN
Dokumen Struktur Organisasi Divisi TI BTN
ATI129
Dokumen yang berisi tentang alur kerja secara struktural dan fungsional Divisi TI BTN
Dokumen Daftar Aset BTN
ATI130
Dokumen yang berisi seluruh aset yang dimiliki oleh BTN
Dokumen BCP
ATI131
Dokumen yang mengatur rencana-rencana proses pemulihan jika terjadi suatu bencana
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
3 Mitigasi Resiko
36 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kasus Mitigasi Akibat Bencana pada Data Center (1) Data center di Green Bay, Wisconsin
Kasus
mengalami kebakaran, Maret 2008, menghancurkan 75 server, router, dan
switch. Diperlukan hingga 10 hari untuk menjadikan web site para pelanggan kembali online. 37 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kasus Mitigasi Akibat Bencana pada Data Center (1) CEO Rick Chernick menyebutkan bahwa
Mitigasi
kedepannya mereka akan: •
Membuat rencana backup data center agar kondisi offline tidak berlangsung terlalu lama
•
Mengasuransikan data center dari kemungkinan bencana serupa
•
Melengkapi peralatan alarm untuk
mengurangi kerusakan yang potensial 38 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kasus Mitigasi Akibat Bencana pada Data Center (2) Data center tersebar (geographically dispersed DC) Multi-DC strategy, sehingga tidak perlu bergantung pada single DC Membuat backup power untuk DC Prosedur pemenuhan ruangan dengan gas untuk menggantikan Oksigen dan mengacaukan proses pembakaran pada bencana kebakaran
Fasilitas sprinkler jika dengan gas belum bisa menghentikan pembakaran 39 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kasus Seattle Data Center
Risiko yang Ditimbulkan Akibat Bencana Kerusakan aset
Kecelakaan karyawan
Kerusakan infrastruktur
Kebakaran
Kerusakan data center
Kerusakan jaringan komunikasi
Pemadaman Aliran Listrik
Pelayanan kepada pelanggan terganggu
Prosedur Mitigasi Akibat/Dampak dari Bencana 40 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kerusakan dan Kehilangan Aset
41 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kerusakan Infrastruktur
42 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kerusakan Data Center
43 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kerusakan Jaringan Komunikasi Kerjasama tidak hanya dengan satu vendor jaringan komunikasi Segera hubungi vendor lainnya bila jaringan salah satu vendor rusak Perubahan vendor jaringan komunikasi
Mendokumentasikan kerusakan jaringan komunikasi untuk pertimbangan kerjasama dengan vendor selanjutnya Hubungi tim jaringan komunikasi
Konfigurasi ulang jaringan komunikasi yang ada
Melakukan konfigurasi ulang sesuai prosedur yang ada
• Perawatan jarkom secara rutin • Membentuk tim jaringan komunikasi Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Maintenance 44 of 57
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kecelakaan Karyawan & Penambahan Biaya Perawatan Peningkatan keamanan kantor
Penanganan kecelakaan karyawan
• Bentuk tim keamanan • Periksa siapa saja yang memasuki wilayah kantor • Letakkan CCTV di beberapa tempat • Periksa setiap sudut kantor setiap harinya
Peningkatan keamanan infrastruktur kantor
Program keselamatan kerja karyawan
• Bentuk tim keamanan • Letakkan semua infrastruktur ditempat yang aman • Berikan asuransi jiwa kepada semua karyawan • Bekerja sama dengan perusahaan asuransi jiwa
Asuransi jiwa karyawan
Penambahan biaya perawatan 45 of 57
Alokasikan biaya perawatan
Berikan asuransi
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, karyawan jiwa or Biological Hazard, Gangguan Listrik, Petir, Gempa Bumi,untuk Tsunami, Asap, Gunung Meletus, Pandemik, Chemical Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
• Training untuk karyawan • Buat prosedur semua kegiatan • Gunakan peralatan pengaman • Bentuk dan latih tim medis • Menjaga supply peralatan kesehatan • Simpan nomor kontrak darurat • Periksa daftar informasi kontak darurat dan instruksi P3K • Sosialisasi P3K • Karyawan dilarang melakukan hal-hal berbahaya didalam kantor
Prosedur Mitigasi Risiko Kebakaran Pembuatan dan sosialisasi prosedur penanganan saat terjadi kebakaran
46 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Pemadaman Aliran Listrik Pengadaan genset pada data center Pengadaan UPS untuk menjaga cadangan daya komputer
47 of 57
• Menyiapkan beberapa UPS pada komputer terutama komputer-komputer yang digunakan untuk layanan• Siapkan beberapa layanan penting genset pada data center • Melakukan pengecekan • Cek genset secara rutin UPS secara rutin • Letakkan genset di lokasi • UPS diletakkan di lokasi yang aman yang aman • Siapkan genset • Menyiapkan UPS cadangan cadangan Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Gangguan pada Pelayanan Pelanggan
• Perbaikan kinerja karyawan • Memberikan training kepada karyawan • Melakukan survey terhadap kinerja karyawan
• Membuat sarana bagi pelanggan untuk menyampaikan kritik Strategi Sebelum Bencana (1) :bagi (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, danBanjir, saran • Memberikan hadiah yang kinerjanya baik Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, • Melakukan penilaian kinerja karyawan mulai dari pertama kali bekerja
48 of 57
• Melakukan survey terhadap keluhankeluhan pelanggan
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kehilangan, Kebocoran, Pencurian & Kehilangan Integritas Data & Informasi:
49 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
PENINGKATAN PENGAMANAN SISTEM
PENYUSUNAN PROSEDUR PENGAMANAN INFORMASI
• Baca petunjuk pemasangan • Dipasang oleh ahlinya • Tambahkan beberapa fitur pengamanan tambahan • Lengkapi dengan deteksi gangguan keamanan jaringan
• Buat dokumen prosedur sesuai peraturan • Komunikasikan prosedur pada semua pihak yang berkepentingan • Lakukan update prosedur pengamanan informasi Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
• Batasi pengakses data dan informasi, dokumentasikan pihak yang memiliki hak akses • Membuat password • Membuat prosedur untuk akses informasi • Berikan sangsi pada pelanggar 50 of 57
PEMASANGAN FILEWALL PADA SISTEM
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kegagalan Sistem
51 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
PENINGKATAN PENGAMANAN PADA SISTEM
PEMASANGAN FIREWALL PADA SISTEM
• Lakukan training • Baca petunjuk kepada karyawan pemasangan • Lakukan survey • Dipasang oleh ahlinya terhadap kinerja • Tambahkan beberapa karyawan fitur pengamanan • Beri penilaian terhadap kinerja tambahan karyawan • Lengkapi dengan deteksi gangguan keamanan Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus,jaringan Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
•Batasi hak akses pada sistem •Membuat password pada setiap sistem •Membuat prosedur untuk mengakses sistem 52 of 57
PERBAIKAN KINERJA KARYAWAN
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Matrix Tim Penanggung Jawab RISIKO YANG DIAKIBATKAN Kerusakan asets Kerusakan infrastruktur Kerusakan data center Kerusakan jaringan komunikasi Kecelakaan karyawan Kebakaran Pemadaman aliran listrik Gangguan pelayanan kepada pelanggan Penambahan biaya perawatan Kehilangan aset Kehilangan data & informasi Kerusakan sistem aplikasi Kebocoran data & informasi perusahaan Kehilangan integritas data & informasi Pencurian data & informasi Kegagalan sistem 53 of 57
PIHAK YANG BERTANGGUNG JAWAB 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 Keterangan : x x x x x 1 : Tim IT Risk Management & DRP x x x x 2 : Tim Infrastruktur IT x x 3 : Tim Perangkat lunak & basis data x x 4 : Tim Monitoring & x x x Support x x x 5 : Tim Manajemen Aset x x x x
x
x
x
x x
x
x
x
x x
x
x x x
x
x
x
x
x x
x x
x x
x x
x
6 7 8 9 10 11 12 13 14 15 16 17
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
: Tim Perencana IT : Tim Infrastruktur : Tim Security : Tim Kebijakan TI : Tim Helpdesk : Tim Data Processing : Tim QA : Tim Inovasi : Tim Monitoring & Support : Tim arsitektur informasi : Tim data warehouse : Tim pengembangan aplikasi
Penutup (1) Strategi yang dilakukan sebelum bencana dimulai dengan meng-asses aset perusahaan, kemungkinan terjadinya bencana beserta risiko dan dampaknya 54 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Penutup (2) Kelengkapan assesment & ketepatan
perhitungan dampak bisnis akan menentukan efektifitas strategi penanggulangan bencana &
business continuity, termasuk biaya & waktu yang akan digunakan. 55 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Penutup (3) STRATEGI SEBELUM BENCANA
STRATEGI SAAT BENCANA
STRATEGI SETELAH BENCANA
Emergency Response Evakuasi
Pengobatan Darurat Penyelamatan Aset Aktivasi DRC Back Up
Recovery Box
• • • • • • 56 of 57
• Kajian Kerusakan Paska Bencana • Pemulihan Paska Bencana • Implementasi Disaster Recovery Plan
Pemulihan Sumber Daya Komunikasi Pemulihan Processing System Pemulihan Data Pemilihan Lokasi Alternatif Pengadaan Barang dalam Keadaan Darurat Penggunaan Asuransi
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Merci bien
Arigatoo Matur Nuwun Hatur Nuhun Matur se Kelangkong
Syukron Kheili Mamnun Danke Terima Kasih 57 of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
