BAB 2 LANDASAN TEORI Didalam sebuah perusahaan, menjaga keberlangsungan proses bisnis yang merupakan core bisnis perusahaan adalah sesuatu yang wajib. Bab ini akan difokuskan pada landasan teori yang digunakan dalam perancangan business continuity plan serta disaster recovery plan yang sesuai dengan kebutuhan Qeon Interactive.
2.1. Definisi Bencana Menurut (S. Arie Priambodo, 2009) bencana adalah suatu kejadian alam, buatan manusia, atau perpaduan antara keduanya yang terjadi secara tiba-tiba sehingga menimbulkan dampak negatif yang dahsyat bagi kelangsungan kehidupan. Dalam kejadian bencana tersebut, unsur yang terkait langsung atau terpengaruh harus merespons dengan melakukan tindakan perbaikan guna menyesuaikan sekaligus memulihkan kondisi seperti semula atau menjadi lebih baik. Menurut (Barnes, 2001) bencana dalam hubungannya dengan disaster recovery plan adalah segala sesuatu yang mengganggu berjalannya proses bisnis sehingga menghambat suatu perusahaan dalam menjalankan fungsinya. Bencana umumnya dianggap melumpuhkan jika bencana tersebut meniadakan salah satu atau lebih sumber daya berikut: sumber daya manusia, fasilitas, komunikasi, daya, serta akses informasi. Dalam hal ini metode perencanaan business continuity plan sangat tepat diberlakukan.
8
9
Gambar 2.1: Statistik Bencana Indonesia 2015 (www.bpnb.go.id)
2.1.1. Klasifikasi Bencana Menurut (Snedaker, 2007), kriteria ancaman dibagi kepada 4 tipe ancaman, diantaranya adalah: 1. Natural/Environtmental Threats Merupakan ancaman yang disebabkan oleh bencana alam, atau gangguan yang terjadi secara natural. Contoh ancamannya antara lain adalah, fire; flood; storm; earthquake; pandemic. 2. Human-caused Threats Merupakan ancaman yang disebabkan oleh ulah manusia. Contoh ancamannya adalah theft, sabotage, vandalism; labor disputes; terrorism; civil unrest. 3. Infrastructure Threats Merupakan ancaman yang disebabkan adanya kerusakan ataupun gangguan dari segi infrastruktur perusahaan. Contoh ancamannya
10
adalah building specific failure; non-IT equipment failure; heating/cooling failure; electricity failure. 4. IT-Specific Threats Merupakan ancaman yang disebabkan oleh sistem teknologi informasi. Contoh ancamannya antara lain cyber threat; virus, worm, malware; system failure. Sedangkan menurut (S. Arie Priambodo, 2009), bencana dapat dikelompokkan menjadi dua, yaitu: bencana alam, dan bencana nonalamiah. Klasifikasi ini akan dijabarkan dengan lebih jelas sebagai berikut: 1. Bencana alam (natural disaster) a. Bencana alam endogen Bencana alam endogen disebabkan oleh gaya-gaya yang berasal dari bagian dalam bumi, atau yang juga dikenal dengan sebutan gaya endogen (geologis). Yang termasuk dalam bencana alam endogen adalah gempa bumi, letusan gunung berapi, dan tsunami. b. Bencana alam eksogen Bencana alam eksogen merupakan bencana alam yang disebabkan oleh faktor angin dan hujan (klimatologis). Contoh bencana alam eksogen adalah banjir, badai, angin puting beliung, kekeringan, dan kebakaran alami hutan.
11
c. Bencana alam ekstra-terestrial Bencana alam ekstra-terestrial adalah bencana alam yang terjadi di luar angkasa, contoh: hantaman meteor. Benda-benda langit
yang
terjatuh
mengenai
permukaan
bumi
akan
menimbulkan pengaruh yang cukup besar pada kondisi bumi. d. Bencana environmental Bencana environmental adalah bencana yang disebabkan oleh perubahan kondisi lingkungan sehingga menyulitkan pengerjaan hal – hal yang sebelumnya dapat dilakukan. Bencana jenis ini mencakup pencemaran lingkungan (air, udara, tanah, suara), dan penyebaran wabah penyakit (epidemi). 2. Bencana non-alamiah (unnatural disaster) a. Bencana sosial Bencana yang disebabkan oleh ketidakstabilan kondisi sosial masyarakat di suatu tempat pada suatu waktu. Bencana social mencakup peperangan, kerusuhan, aksi anarki, pemogokan pegawai, konflik budaya, dan lain sebagainya. b. Bencana teknikal (technical failure disaster) Bencana yang berkaitan dengan malfungsi teknologi. Bencana jenis ini mencakup kerusakan data, sistem informasi, alat dan perlengkapan, dan lain-lain. c. Bencana antropogenikal Selain dari berbagai macam bencana yang sudah dijabarkan sebelumnya, bencana juga dapat disebabkan oleh
12
faktor manusia, baik secara sengaja maupun tidak. Bencana jenis ini sangat beragam dan dapat dikatakan lebih kerap terjadi dibandingkan dengan jenis bencana lainnya. Contoh bencana karena
manusia
misalnya,
ancaman
bom,
cyber
attack,
penghapusan data secara tidak sengaja, pencurian, dan lain sebagainya.
2.1.2. Dampak Bencana Menurut (Wallace & Webber, 2004) bencana dapat dibedakan berdasarkan tingkatan risikonya. Tingkatan risiko ini dikenal sebagai The Five Layer of Risk, yang didefinisikan sebagai berikut: a. Layer 1: External Risks Dampak bencana yang timbul tidak hanya mempengaruhi fasilitas, aset, dan lokasi organisasi tetapi juga lingkungan sekitar organisasi. Umumnya disebabkan karena bencana alam, seperti banjir, gempa, dan lain sebagainya. b. Layer 2: Facility Wide Risks Dampak bencana yang timbul hanya mempengaruhi organisasi saja secara lokal. Umumnya disebabkan karena tidak tersedianya utilitas dasar yang diperlukan oleh organisasi tersebut, seperti listrik, jaringan telepon, dan lainnya. c. Layer 3: Data System Risks Dampak bencana yang timbul mempengaruhi ketersediaan dan integritas dari data dan sistem informasi yang digunakan
13
oleh organisasi tersebut. Umumnya disebabkan karena faktor kerusakan atau intrusi pada sistem keamanan jaringan/data yang digunakan. d. Layer 4: Departemental Risks Dampak bencana yang timbul hanya mempengaruhi satu atau beberapa bagian dari organisasi, sehingga organisasi hanya mengalami dampak tidak langsung, seperti tidak tetapi juga lingkungan sekitar organisasi. Umumnya disebabkan karena bencana sosial seperti, demonstrasi karyawan di suatu cabang/departemen, dan lain sebagainya. e. Layer 5: Desk Risks Dampak bencana yang timbul hanya mempengaruhi tingkat individu/personel, tidak mempengaruhi organisasi secara langsung maupun besar. Contoh bencana dengan risiko ini antara
lain:
terhapusnya
berkas
di
komputer
pekerja,
mengakibatkan pekerjaannya tidak dapat selesai tepat waktu.
2.1.3. Sistem Tanggap Bencana Menurut (S. Arie Priambodo, 2009) sistem tanggap bencana berfungsi sebagai panduan tindakan dalam menghadapi bencana. Sistem tanggap bencana meliputi 4 tahap, yaitu: 1. Mitigation: Pengurangan – Pencegahan Mitigation atau Mitigasi merupakan tahapan atau langkah memperingan risiko yang ditimbulkan oleh bencana. Dalam
14
mitigasi terdapat dua bagian penting yakni pengurangan dan pencegahan terjadinya bencana. 2. Preparedness: Perencanaan – Persiapan Merupakan kesiapsiagaan dalam menghadapi terjadinya bencana. Ada dua bagian penting dalam kesiapsiagaan, yakni adanya perencanaan yang matang dan persiapan yang memadai sehubungan dengan tingkat risiko bencana. 3. Response: Penyelamatan – Pertolongan Merupakan tindakan tanggap bencana yang meliputi dua unsur
terpenting,
yakni
tindakan
penyelamatan
dan
pertolongan. Pertama-tama tindakan tanggap bencana tersebut ditujukan untuk menyelamatkan dan menolong jiwa manusia baik secara personal, kelompok maupun masyarakat secara keseluruhan. Kedua, ditujukan untuk menyelamatkan harta benda yang berhubungan dengan keberlangsungan hidup usaha personal, kelompok maupun masyarakat selanjutnya. 4. Recovery: Pemulihan – Pengawasan Merupakan tahap atau langkah pemulihan sehubungan dengan kerusakan atau akibat yang ditimbulkan oleh bencana. Dalam tahap ini terdapat dua bagian, yakni pemulihan dan pengawasan yang ditujukan untuk memulihkan keadaan ke kondisi semula – atau setidak-tidaknya menyesuaikan kondisi pascabencana – guna keberlangsungan hidup dan usaha selanjutnya.
15
Keempat tahapan di atas saling terkait dan tidak terpisahkan satu sama lain, dengan tidak menutup kemungkinan adanya tambahan yang disesuaikan dengan kebutuhan.
2.2. Business Continuity Plan dan Disaster Recovery Plan Metode business continuity plan (BCP) dan disaster recovery plan (DRP), diperlukan untuk mendukung sistem tanggap bencana. Domain dari BCP dan DRP semuanya adalah mengenai bisnis, domain ini berasumsi bahwa kejadian terburuk telah terjadi. BCP berfungsi untuk melakukan pembuatan, perencanaan dan frame-work untuk menjamin bahwa proses bisnis dapat terus berlanjut dalam keadaan emergensi. Sedangkan DRP mengarah kepada pemulihan yang cepat dari keadaan emergensi atau bencana, sehingga hanya mengakibatkan dampak minimum bagi perusahaan. BCP dan DRP adalah dua hal yang sangat penting didalam proses bisnis, namun jarang menjadi prioritas karena adanya alasan memerlukan biaya yang sangat mahal dan sulit penerapannya. Apalagi bencana adalah hal yang umumnya diyakini karena faktor alam yang tak dapat diprediksi dan tak dapat dicegah atau pun dihindari, sehingga kalangan bisnis berkeyakinan bahwa pelanggan mereka akan memaklumi hal ini. (Blokdijk, 2008) mengungkapkan bahwa BCP dan DRP membantu perusahaan mempersiapkan kegiatan pemulihan dari bencana. Tetapi sebelum rencana tersebut dibuat, sangat penting bahwa risiko serta dampak potensial dapat dikaji dengan baik, hal ini merupakan fondasi dari BCP dan DRP.
16
Menurut (Krutz & Vines, 2003) BCP dan DRP ditujukan untuk memenuhi kebutuhan bisnis dalam menghadapi gangguan-gangguan terhadap operasi perusahaan. Business Continuity Plan dan Disaster Recovery Plan adalah meliputi persiapan, pengujian dan pemutakhiran tindakan-tindakan yang diperlukan untuk melindungi proses bisnis fital (critical business) terhadap dampak dari kegagalan jaringan dan sistem utama. Dilingkup manajemen perusahaan harus memahami persiapan yang dibutuhkan untuk melakukan tindakan-tindakan spesifik yang diperlukan saat adanya kegagalan atau penundaan operasi bisnis suatu perusahaan. Perusahaan
–
perusahaan
yang
ingin
menampilkan
tingkat
profesionalisme yang lebih baik dan fokus pada perlindungan dan meningkatkan nilai stakeholder, semakin melihat bahwa business continuity plan diperlukan sebagai langkah menghindari interupsi bisnis dan dampaknya dalam ongkos maupun hal-hal lainnya yang tinggi nilainya. Dan seiring dengan perkembangan teknologi informasi, maka ditemukan teknologi yang dapat menjamin keberlanjutan bisnis dan pemulihan dari bencana, yang lebih murah dan mudah penerapannya. Bahkan BCP dan DRP telah menjadi standar tersendiri bagi kalangan bisnis terutama yang berhubungan jalannya proses bisnis (aplikasi) dengan penyimpanan data. Tujuan dari BCP dan DRP adalah menjaga bisnis tetap beroperasi meskipun ada gangguan dan menyelamatkan sistem informasi dari dampak bencana lebih lanjut. Proses perencanaan suatu BCP akan memungkinkan perusahaan menemukan dan mengurangi (reduce) ancaman-ancaman, melakukan respon (respond) terhadap suatu peristiwa ketika peristiwa itu terjadi, melakukan
17
pemulihan (recover) dari dampak langsung terhadap suatu peristiwa dan akhirnya mengembalikan (restore) operasi seperti semula. Reduce, respond, recover dan restore, proses ini dikenal dengan nama Empat R di BCP. BCP dan DRP merupakan perencanaan yang hanya tertulis dalam kertas, perencanaan yang baik tentunya akan mampu terlaksana dan tepat guna saat dilaksanakan. Sehingga adanya persiapan BCP dan DRP yang baik, serta pengetesan yang dilakukan bisa sesuai dengan keadaan sebenarnya, serta upaya pemeliharaannya menjadi ukuran terhadap kemampuan perusahaan dalam menghadapi ancaman atau bencana. Dengan memiliki rencana yang jelas mengenai apa yang harus dilakukan selama dan setelah gangguan serius terjadi, perusahaan tentunya dapat memastikan bahwa gangguan itu hanya berdampak minimal pada proses bisnis utamanya, dan layanan yang layak kepada klien tetap bisa berlanjut.
2.3. Definisi Business Continuity Plan Menurut (Snedaker, 2007) business continuity plan adalah metodologi yang digunakan untuk membuat dan menyetujui rencana dalam mempertahankan kelangsungan operasional bisnis sebelum, selama atau sesudah bencana yang mengganggu. Perencanaan keberlangsungan bisnis dibuat untuk mencegah tertundanya aktivitas bisnis normal. BCP didisain untuk melindungi proses bisnis vital dari kerusakan atau bencana yang terjadi secara alamiah atau perbuatan manusia, dan kerugian yang ditimbulkan dari tidak tersedianya proses bisnis normal (rutin, seperti biasa). Business continuity plan merupakan strategi digunakan untuk meminimalisir efek
18
dari gangguan dan mengupayakan berjalannya kembali proses bisnis suatu perusahaan. Tujuan dari BCP adalah untuk meminimalisir efek dari kejadian atau bencana tersebut dalam sebuah perusahaan. Manfaat utama dari business continuity plan adalah untuk menurunkan risiko kerugiaan keuangan dan meningkatkan kemampuan perusahaan untuk memulihkan diri dari bencana atau gangguan sesegera mungkin. Perencanaan keberlangsungan bisnis juga harus dapat membantu meminimalisir biaya dan mengurangi risiko sehubungan dengan kejadian bencana tersebut. Menurut (Krutz & Vines, 2003), BCP perlu memperhatikan semua area proses informasi kritis dari perusahaan, berikut hal – hal yang perlu diperhatikan: •
LAN, WAN, dan server
•
Hubungan telekomunikasi dan komunikasi data
•
Lokasi dan ruang kerja
•
Aplikasi, software, dan data
•
Media dan tempat penyimpanan rekaman/data
•
Proses produksi dan staf-staf yang bekerja
(Krutz & Vines, 2003) juga menjelaskan bahwa prioritas nomor satu dari semua perencanaan keberlangsungan bisnis dan pemulihan bencana adalah selalu people first, mengutamakan manusianya. Sementara kita membahas mengenai pentingnya kapital, kembali beroperasinya aktivitas bisnis normal, dan issu keberlanjutan bisnis lainnya, perhatian utama yang harus ditangani dalam perencanaan adalah untuk mengeluarkan atau menghindarkan manusia (pegawai) akan bahaya dari suatu bencana. Jika pada saat yang bersamaan ada pertentangan
19
apakah menyelamatkan hardware atau data ketimbang manusia terhadap ancaman bahaya fisik, perlindungan untuk manusia harus yang diutamakan. Keselamatan dan evakuasi personel harus menjadi komponen pertama dalam perencanaan menghadapi bencana. BCP dapat menjadi bagian dari upaya pembelajaran perusahaan yang membantu mengurangi risiko operasional, terkait dengan kontrol manajemen informasi yang lemah. Proses ini dapat terintegrasi dengan meningkatkan keamanan informasi dan praktik manajemen risiko.
2.4. Proses Business Continuity Plan Didalam membangun sebuah BCP dibutuhkan informasi – informasi dari beberapa bagian yang berbeda seperti pengetahuan mengenai pengoperasian, pemahaman mengenai fungsi – fungsi bisnis yang penting di dalam pengoperasian, penentuan waktu sasaran pemulihan (recovery) untuk fungsi – fungsi ini, memahami ancaman lokal, pengetahuan mengenai regulasi lokal, dan beberapa hal lainnya. Menurut (FFIEC, 2015) (Federal Financial Institutions Examination Council), terdapat 4 proses penting didalam business continuity plan, yaitu: 1. Analisis dampak bisnis (Business Impact Analysis) 2. Identifikasi risiko (Risk Assessment) 3. Manajemen risiko (Risk Management) 4. Pemantauan risiko dan pengujian (Risk Monitoring and Testing) Keempat proses diatas merepresentasikan suatu siklus berlanjut yang perlu ditingkatkan dari waktu ke waktu berdasarkan perubahan dari ancaman
20
potensial, operasi bisnis, rekomendasi audit, dan hasil test. Sebagai tambahan, proses ini sebaiknya mencakup tiap – tiap kritikal fungsi bisnis dan teknologi yang mendukungnya. Seperti kebijakan, standarisasi, dan proses yang terintegrasi kedalam keseluruhan proses rencana kelangsungan bisnis (business continuity plan).
Gambar 2.2: Tahap Pembuatan BCP (Puspitasari, 2011)
2.4.1. Business Impact Analysis Business impact analysis (BIA) merupakan landasan awal dalam proses penyusunan BCP. Melalui proses identifikasi dampak bisnis,
21
identifikasi aktivitas yang kritikal, dan penentuan target waktu pemulihan, serta
pengukuran
standar
operasi
minimal
yang
dibutuhkan.
Business impact analysis (BIA) adalah proses mengidentikasi, menganalisa, dan menentukan dampak yang terjadi pada kelangsungan proses bisnis di perusahaan seandainya terjadi gangguan/bencana yang menimbulkan terhentinya operasional dari bisnis proses tersebut. Tujuan
dari
business
impact
analysis
ini
adalah
untuk
mendapatkan:
Informasi yang menyeluruh mengenai fungsi organisasi dan proses bisnis.
Informasi kepada manajemen mengenai Recovery Time Objective.
Informasi mengenai kebutuhan minimal dalam penyelenggaraan organisasi (minimum resources).
Metodologi yang digunakan adalah :
Identifikasi proses bisnis
Interdependensi antar proses bisnis dan tingkat kritikal proses bisnis
Identifikasi kebutuhan minimum
Menetapkan Recovery Time Objective (RTO) melalui metodologi Enterprise Risk Management dan Business Impact Analysis.
Hal-hal yang harus diperhatikan dalam business impact analysis adalah :
22
Tingkat kritikal dan ketergantungan antar proses bisnis serta prioritisasi
Tingkat ketergantungan terhadap pihak penyedia jasa TI/Non Ti
Tingkat Recovery Time Objectives dan Recovery Point Objectives
Tingkat minimum Resource Requirement
Identifikasi dampak potensial dari suatu kejadian
Dampak Disaster terhadap seluruh fungsi bisnis
Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan
Kemampuan dan kemampuan petugas (termasuk petugas pengganti)
Pertimbangan dampak hukum dan pemenuhan ketentuan terkait.
2.4.1.1.
Impact Criticality
Impact criticality bertujuan untuk mengklasifikasikan fungsi-fungsi didalam perusahaan, fungsi mana yang kritis yang sangat penting bagi proses bisnis perusahaan, fungsi mana yang hanya sekedar penting, serta fungsi mana yang kurang penting sehingga dapat di abaikan atau ditunda pemulihannya. (Snedaker, 2007) membagi sistem peringkat untuk melakukan assessment kekritisan proses/fungsi menjadi 4 kategori sebagai berikut :
Kategori 1 : Fungsi Kritis – Mission Critical Bisnis proses dan fungsi yang memberikan dampak paling
besar kepada operasi perusahaan dan potensi untuk pemulihan. Atau dengan kata lain proses apa yang harus ada dalam perusahaan untuk melakukan fungsinya. Hal yang dapat
23
dilakukan untuk memfokuskan responden mengenai fungsifungsi
yang
mission
critical
adalah
misalnya
dengan
menanyakan tiga sampai lima hal apa saja yang akan mereka lakukan ketika sebuah bencana reda.
Kategori 2 : Fungsi Esensial – Vital Terkadang ada beberapa fungsi bisnis yang berada di
antara mission critical dengan important. Tidak semua organisasi membutuhkan kategori ini, salah satu ciri sebuah organisasi tidak membutuhkan kategori ini adalah ketika sebuah organisasi tidak dapat membedakan antara mission critical dengan vital (Snedaker, 2007). Fungsi vital mungkin saja memasukkan fungsi-fungsi seperti pengkajian yang mungkin sekilas tidak tampak seperti sebuah fungsi yang mission critical di dalam rangka memulihkan organisasi untuk dapat berjalan kembali secepat mungkin, namun dapat menjadi vital bagi kemampuan organisasi untuk dapat berfungsi penuh lebih dari sekedar pulih dari bencana.
Kategori 3 : Fungsi yang dibutuhkan – Important Ketidakadaan fungsi dan proses bisnis yang penting
(important) tidak akan menghentikan bisnis dari beroperasi di waktu dekat, namun fungsi-fungsi dan bisnis proses tersebut biasanya memiliki dampak jangka panjang ketika mereka tidak ada atau tidak berfungsi sebagaimana mestinya. Fungsi dan bisnis proses ini biasanya memiliki dampak finansial dan legal.
24
Biasanya juga terhubung lintas unit fungsional dan lintas sistem bisnis. Dalam perspektif TI biasanya sistem ini termasuk di dalamnya email, database, akses internet dan perangkat lunak bisnis yang digunakan untuk menjalankan fungsi-fungsi pendukung. Recovery time objective (RTO) dari sistem-sistem ini biasanya dalam hitungan hari atau minggu.
Kategori 4 : Fungsi yang diinginkan – Minor Fungsi dan bisnis proses minor biasanya tidak akan
dibutuhkan dalam jangka waktu dekat dan yang jelas tidak akan dibutuhkan selama operasi bisnis perusahaan belum berjalan sebagaimana mestinya.
2.4.1.2.
Target Waktu Pemulihan
Target waktu pemulihan berhubungan erat dengan impact criticality. Makin penting suatu aktivitas atau fungsi biasanya makin kecil juga waktu pemulihannya.
Maximum Tolerable Downtime (MTD): pada beberapa literatur disebut juga sebagai MTPD (Maximum Tolerable Period of Distrupment) sesuai namanya adalah besar waktu maksimum sebuah bisnis dapat menoleransi ketidakadaan sebuah fungsi bisnis. Semakin kritis sebuah fungsi bisnis biasanya akan memiliki MTD yang semakin kecil.
Recovery Time Objective (RTO): yaitu waktu yang tersedia untuk memulihkan sistem dan sumber daya yang
25
terganggu. Secara definisi RTO harus lebih kecil dari MTD.
Work Recovery Time (WRT): adalah langkah-langkah tambahan yang perlu dilakukan supaya bisnis dapat berjalan kembali setelah sistem (perangkat lunak,perangkat keras dan konfigurasi) dikembalikan (restore). Secara definisi MTD adalah penggabungan dari RTO dengan WRT atau bisa dituliskan sebagai: MTD = RTO + WRT
Recovery Point Objective (RPO): Banyaknya kehilangan data yang dapat ditoleransi oleh sistem bisnis kritis perusahaan. Sebagai contoh ketika sebuah perusahaan melakukan
backup
secara
realtime
maka
dapat
disimpulkan toleransi kehilangan data perusahaan tersebut hampir tidak ada. Sementara itu jika sebuah perusahaan melakukan backup setiap satu minggu sekali maka toleransi kehilangan data perusahaan tersebut maksimal adalah satu minggu. Gambar di bawah ini menggambarkan hubungan antara keempat terminology tersebut.
26
Gambar 2.3: Kerangka Waktu Pemulihan (Snedaker, 2007)
Poin 1 : Recovery Point Objective - maksimum kehilangan jumlah data berdasarkan jadwal backup dan kebutuhan masing-masing organisasi.
Poin 2 : Recovery Time Objective - durasi waktu yang dibutuhkan untuk menyalakan kembali sistem-sistem yang kritis.
Poin 3 : Work Recovery Time - durasi waktu yang dibutuhkan untuk mengembalikan data berdasarkan RPO dan untuk memasukkan data yang dihasilkan dari proses manual selama masa gangguan.
Poin 2 dan 3 : Maximum Tolerable Downtime - Durasi dari RTO + WRT.
Poin 4 : Test, verifikasi dan melanjutkan operasi normal.
2.4.2. Risk Assessment Risk assessment adalah proses identifikasi risiko yang dihadapi suatu organisasi, identifikasi terhadap fungsi kritikal untuk menjamin
27
kelangsungan operasional bisnis, serta memperoleh gambaran dalam pengendalian bisnis fungsi untuk mengurangi resiko kerugian apabila terjadi gangguan. Menurut (Kopp, 2011) identifikasi risiko adalah bagian dari rencana BCP yang mendokumentasikan risiko yang terkait dengan gangguan dari operasi bisnis utama atau proses. Risiko didefinisikan sebagai kombinasi dari seberapa besar kemungkinan operasi utama akan terganggu, seberapa banyak waktu sebelum bisnis mengalami dampak negatif dari kehilangan/berhentinya operasional, dan berapa banyak gangguan ini akan mengganggu kinerja bisnis. Risiko operasional adalah potensi seluruh gangguan dalam proses operasional suatu organisasi atau perusahaan yang menyebabkan kerugian dimasa yang akan datang (future losses) atau terjadi fluktuasi pendapatan dimasa yang akan datang. Tujuan dilakukannya risk assessment adalah sebagai berikut : •
Menentukan tingkat risiko dari berbagai jenis resiko.
•
Menentukan pengendalian dari jenis resiko.
•
Mengukur dampak dan kuantitas berbagai jenis resiko.
•
Menentukan kebjakan dalam rangka mengambil keputusan terhadap risiko yang berdampak besar. Cakupan Risiko Risk Assesment:
•
Operasional Proses
•
Operasional Sumber Daya Manusia
•
Operasional Sistem Teknologi Informasi
28
•
Faktor Eksternal Proses dan Prosedur Risk Assessment:
A.
Identifikasi Risiko, yaitu: •
Mengetahui dimana saja resiko berada
•
Mengetahui penyebab timbulnya resiko
•
Mengetahui metode yang digunakan untuk mengidentifikasi keberadaan dan penyebab resiko
• B.
Mengetahui pengendalian yang ada bila resiko itu terjadi.
Identifikasi Risiko, yaitu: •
Kuantitatif : analisis berdasarkan angka-angka nyata (nilai financial) terhadap biaya pembangunan keamanan dan besarnya kerugian yang terjadi.
•
Kualitatif : Sebuah analisis yang menentukan resiko tantangan organisasi dimana penilaian tersebut dilakukan berdasarkan institusi, tingkat keahlian dalam menilai jumlah resiko yang mungkin terjadi dan potensi kerusakannya.
Hal-hal yang harus diperhatikan dalam Risk assessment: •
Membuat prioritisasi kemungkinan gangguan yang terjadi berdasarkan tingkat kerusakan dan kemungkinan terjadinya.
•
Membuat suatu gap analisis dengan membandingkan BCP atau DRP atau Contingency Plan yang dimiliki saat ini dengan hasil Risk assessment.
29
•
Melakukan analisis resiko yang akan timbul bagi perusahaan dan stakeholders akibat adanya gangguan atau bencana.
2.4.3. Risk Management Risk management merupakan langkah ketiga dalam proses rencana kelangsungan bisnis (business continuity plan). Manejemen risiko adalah proses mengidentifikasi, menaksir, dan mengurangi risiko – risiko sampai pada batas yang dapat diterima melalui pengembangan (development), implementasi (implementation) dan maintenance. Menurut (Karkoszka, 2013), operasional dari manajemen risiko dapat digambarkan sebagai proses yang berhubungan dengan risiko yang memadai berdasarkan kuantitas atau kualitas. Oleh karena itu manajemen risiko pertama – tama harus mencakup identifikasi berbagai risiko dan penilaian risiko, kemudian melakukan kegiatan yang memungkinkan untuk meminimalkan risiko. Rencana kelangsungan bisnis (Business continuity plan) harus : •
Berdasar kepada Business impact analysis dan risk assessment yang telah ditelaah.
•
Didokumentasikan dalam program yang tertulis.
•
Telah diperiksa dan disetujui oleh senior management paling tidak setahun sekali.
•
Terbuka untuk karyawan.
30
•
Dikelola
dengan
baik
ketika
proses
pengembangan
dan
pemeliharaan dari BCP dilakukan oleh pihak ketiga (outsource). •
Perhatian khusus terhadap langkah yang harus diambil pada saat terjadi gangguan.
•
Fleksikbel merespon ancaman yang tidak terduga dan perubahan kondisi internal.
•
Fokus terhadap efek yang dihasilkan oleh ancaman yang dapat mengganggu operasional bisnis.
•
Dikembangkan berdasarkan asumsi yang masuk akal dan analisis yang saling berkaitan.
•
Efektif dalam meminimalkan gangguan dari service dan kerugian financial melalui implementasi BCP.
2.4.4. Risk Monitoring and Testing Risk monitoring and testing adalah langkah terahkir dalam proses rencana kelangsungan bisnis (business continuity plan). Risk monitoring dan testing memastikan bahwa BCP dalam sebuah perusahaan dapat berjalan dengan baik melalui: •
Penggabungan BIA and risk assessment ke dalam BCP dan testing program.
•
Pengembangan testing program perusahaan.
•
Penetapan dari aturan dan tanggung jawab dalam implementasi testing program.
31
•
Evaluasi dari testing program dan hasil test oleh menejemen senior dan unit kerja.
•
Penilaian dari testing program dan hasil testing oleh pihak independent.
•
Revisi dari BCP dan testing program berdasarkan perubahan operasi bisnis, audit, dan rekomendasi dari pemeriksaan dan hasil test.
2.5. Definisi Disaster Recovery Plan Menurut (Karim, 2011), disaster recovery plan (DRP) adalah deskripsi mengenai bagaimana bisnis bereaksi terhadap setiap peristiwa internal atau eksternal, untuk memastikan bahwa operasi bisnis kritis harus tetap berjalan tanpa adanya hambatan. Tujuan dari DRP adalah untuk mengurangi konsekuensi dari bencana dan melakukan tindakan yang tepat untuk mempertahankan sumber daya berharga. Di sisi lain, business continuity plan (BCP) menggambarkan metode dan prosedur yang telah digunakan oleh bisnis untuk menjamin bahwa fungsi penting harus berjalan setelah bencana. Proses ini harus dilakukan untuk fungsi yang luas perusahaan untuk mengurangi kerugian finansial, meningkatkan layanan
pelanggan
dan
mengurangi
kejadian
destruktif
yang
dapat
mempengaruhi nama, proses, likuiditas dan reputasi pasar. Kesimpulannya, disaster recovery plan adalah prosedur yang dijalankan saat BCP berlangsung, berupa langkah-langkah untuk penyelamatan dan pemulihan (recovery) khususnya terhadap fasilitas IT dan sistem informasi.
32
Disaster recovery plan merupakan pengaturan yang komprehensif berisikan tindakan-tindakan konsisten yang harus dilakukan sebelum, selama, dan setelah adanya kejadian (bencana) yang mengakibatkan hilangnya sumber daya sistem informasi secara bermakna. DRP berisikan prosedur untuk merespon kejadian emergensi, menyediakan operasi backup cadangan selama sistem terhenti, dan mengelola proses pemulihan serta penyelamatan sehingga mampu meminimalisir kerugian yang dialami oleh organisasi. Tujuan utama dari disaster recovery plan dijelaskan (Krutz & Vines, 2003) adalah untuk menyediakan kemampuan atau sumber daya untuk menjalankan proses vital pada lokasi cadangan sementara waktu dan mengembalikan fungsi lokasi utama menjadi normal dalam batasan waktu tetentu, dengan menjalankan prosedur pemulihan cepat, untuk meminimalisir kerugian perusahaan. Menurut (O'brien, 2005) banyak perusahaan terutama peritel e-commerce online dan grosir , penerbangan, bank, serta ISP, dibuat tidak berdaya karena kehilangan kekuatan komputasi selama beberapa jam. Itulah alasan mengapa organisasi mengembangkan prosedur pemulihan dari bencana (disaster recovery) serta mensahkannya sebagai rencana pemulihan dari bencana (disaster recovery plan, DRP). Rencana itu menspesifikasikan karyawan mana yang akan berpartisipasi dalam pemulihan dari bencana serta apa tugas mereka nantinya, hardware, software, dan fasilitas apa yang akan digunakan, serta prioritas aplikasi yang akan diproses. Kesepakatan dengan berbagai perusahaan lainnya untuk penggunaan fasilitas alternative sebagai lokasi pemulihan dari bencana dan penyimpanan di
33
luar kantor dari data base organisasi, juga merupakan bagian dari usaha pemulihan dari bencana yang efektif. Disaster recovery plan atau DRP adalah penerapan dari business continuity plan (BCP) atau disebut juga “BCP in action” yaitu implementasi BCP saat terjadi bencana. DRP akan memberikan langkah – langkah pada perusahaan jika terjadi bencana. DRP akan mengurangi kebingungan yang terjadi saat ada bencana dan meningkatkan kemampuan perusahaan saat menghadapi keadaan krisis. Pada saat ada kejadian bencana tentunya perusahaan tidak akan memiliki waktu banyak untuk membuat rencanan pemulihan dilokasi bencana saat terjadi. Dengan perencanaan yang baik dan proses simulasi sebelum benar ada kejadian bencana, maka perusahaan akan dapat memperkirakan kemampuannya dalam menghadapi suatu bencana. Supaya perbaikan dapat dilakukan dengan lancar, maka perlu adanya perencanaan untuk ini yang biasanya disebut dengan disaster recovery plan (DRP). (Krutz & Vines, 2003) menjelaskan bahwa secara umum manfaat atau tujuan penyusunan disaster recovery plan (DRP) bagi perusahaan adalah : •
Melindungi organisasi dari kegagalan layanan komputer utama.
•
Meminimalisasi risiko organisasi terhadap penundaan (delay) dalam penyediaan layanan.
•
Menjamin kehandalan dari sistem yang tersedia melalui pengetesan dan simulasi.
•
Meminimalisasi proses pengambilan keputusan oleh personal/manusia selama bencana.
34
Mungkin saja sebuah perusahaan tidak memerlukan disaster recovery plan. Jika perusahaan tersebut memiliki unit bisnis yang dapat bertahan selama masa interupsi, atau bisa saja perusahaan tersebut tidak memiliki area proses vital yang diperlukan beberapa jenis pemulihan bencana. Dalam hal ini, disaster recovery plan mungkin tidak perlu diterapkan oleh perusahaan tersebut. Menurut (Brooks, Bedernjak, Juran, & Merryman, 2002), proses dari disaster recovery plan digambarkan sebagai berikut:
Gambar 2.4: Proses Disaster Recovery Plan (Brooks, Bedernjak, Juran, & Merryman, 2002)
2.5.1. Strategi Disaster Recovery Plan Strategi disaster recovery plan secara menyeluruh untuk memastikan bahwa sistem dapat dipulihkan dengan cepat dan efektif menyusul gangguan yang terjadi.
35
1.
Backup and Restore. Metode ini merupakan strategi untuk memperbaiki system operasi
secara cepat dan efektif pada saat terjadi gangguan. Metode ini menangani dampak gangguan dan downtime yang diidentifikasi dalam BIA dan diintegrasikan ke dalam arsitektur sistem selama fase Pengembangan. Pendekatan beberapa alternatif harus dipertimbangkan ketika mengembangkan dan membandingkan strategi, termasuk biaya, downtime maksimal, keamanan, prioritas pemulihan, dan integrasi dengan yang lebih besar, tingkat organisasi rencana kontingensi. Jenis – jenis proses backup & restore yang dapat digunakan:
Mirror & Replication, proses backup yang dilakukan yaitu dengan membangun data yang sama sesuai dengan data produksi perusahaan, serta melibatkan proses penyalinan dari server primer ke server sekunder. (Snedaker, 2007)
SAN Backup, Storage Area Network merupakan sebuah jaringan area penyimpanan jaringan berkecepatan tinggi yang didedikasikan untuk penyimpanan data. (Snedaker, 2007)
Tape Backup, Tape backup adalah proses backup yang menggunakan device tape serta catridge yang bertujuan melindungi dan mengembalikan data yang hilang, rusak, atau dihapusnya informasi, sehingga menjaga integritas data. (Krutz & Vines, 2003)
36
2.
Backup Storage and Offsite Data Sistem data harus didukung secara teratur. Kebijakan harus
menentukan frekuensi minimum dan ruang lingkup backup (misalnya, harian atau mingguan, bertahap atau penuh) berdasarkan kekritisan data dan frekuensinya. Kebijakan backup data harus menunjuk lokasi yang tersimpan, file data-penamaan konvensi, frekuensi Media rotasi, dan metode untuk mengangkut data offsite. Data dapat didukung pada disk magnetik, pita, atau disk optik, seperti compact disc (CD). Metode spesifik dipilih untuk melakukan backup harus didasarkan pada ketersediaan sistem data dan persyaratan integritas. Metode-metode ini mungkin termasuk electronic vaulting, network storage dan tape library systems. Banyak vendor yang menawarkan bisnis untuk menyimpan cadangan data offsite. Data komersial fasilitas penyimpanan secara khusus dirancang untuk media arsip dan melindungi data dari gangguan. Ketika memilih sebuah fasilitas penyimpanan offsite dan vendor, kriteria berikut harus dipertimbangkan: •
Wilayah geografis: jarak dari organisasi dan probabilitas dari site penyimpanan yang terkena bencana sama dengan site utama organisasi.
•
Aksesibilitas: Lamanya waktu yang diperlukan untuk mengambil data dari penyimpanan dan jam operasi fasilitas penyimpanan itu.
37
•
Keamanan: keamanan kemampuan metode pengiriman, fasilitas penyimpanan dan personil, semua harus memenuhi persyaratan keamanan data itu.
•
Lingkungan: kondisi struktural dan lingkungan dari fasilitas penyimpanan (yaitu, suhu, kelembaban, pencegahan kebakaran, dan kontrol manajemen daya).
•
Biaya: biaya pengiriman, biaya operasional, dan respon bencana / pemulihan layanan.
3.
Alternate Sites Terlepas dari jenis situs alternatif yang dipilih, fasilitas harus
mampu mendukung operasi sistem seperti yang ditentukan dalam rencana kontingensi. Ketiga jenis site alternatif umumnya dikategorikan dalam hal kesiapan operasional adalah cold sites, warm sites dan hot sites. •
Cold sites, biasanya fasilitas dengan ruang yang memadai dan infrastruktur (listrik, telekomunikasi sambungan, dan kontrol lingkungan) untuk mendukung recovery system informasi.
•
Warm sites, sebagian dilengkapi ruang kantor yang menyediakan beberapa atau semua sistem perangkat keras, perangkat lunak, telekomunikasi, dan sumber listrik.
•
Hot Sites, adalah fasilitas untuk mendukung kebutuhan sistem dan dikonfigurasi dengan sistem perangkat keras yang diperlukan, infrastruktur pendukung dan dukungan personil.
38
Tiga sites diatas adalah sites alternatif yang paling umum. variasi untuk sites lainnya adalah: •
Mobile Sites are self-contained, kerang diangkut custom pas dengan telekomunikasi tertentu dan peralatan sistem yang diperlukan untuk memenuhi persyaratan sistem.
•
Mirrored Sites, berisi dengan fasilitas redundant dengan real-time mirroring informasi secara otomatis. sites ini identik dengan sites utama dalam segala hal teknis.
4.
Equipment Replacement Tiga strategi dasar yang ada untuk mempersiapkannya adalah:
•
Vendor Agreements. Service-Level Agreement (SLA) dengan perangkat keras, perangkat lunak, dan dukungan vendor yang dibuat untuk layanan pemeliharaan darurat. SLA harus menentukan seberapa cepat vendor merespon setelah diberitahu. Perjanjian tersebut juga harus memberikan status prioritas organisasi untuk pengiriman peralatan pengganti atas peralatan yang dibeli untuk operasi normal. SLA selanjutnya harus mendiskusikan apa status prioritas yang didapatkan organisasi jika terjadi bencana yang melibatkan beberapa klien vendor. Rincian negosiasi ini harus didokumentasikan dalam SLA, yang harus dipertahankan dengan contingency plan.
•
Equipment Inventory. Peralatan yang dibutuhkan dapat dibeli di muka dan disimpan di lokasi yang aman. Sebuah organisasi harus berkomitmen
dengan sumber daya keuangan untuk membeli
39
peralatan ini di muka, dan peralatan bisa menjadi usang atau tidak cocok untuk digunakan dari waktu ke waktu karena perubahan kebutuhan sistem teknologi. •
Existing Compatible Equipment. Peralatan yang sama dan kompatibel tersedia untuk digunakan oleh organisasi kontingensi.
5.
Cost Considerations Organisasi harus memastikan bahwa strategi yang dipilih dapat
diterapkan secara efektif dengan personil dan sumber daya keuangan. Biaya setiap jenis situs alternatif, penggantian peralatan, dan pilihan penyimpanan
berdasarkan
pertimbangan
terhadap
keterbatasan
anggaran. Organisasi harus melakukan analisis biaya-manfaat untuk mengidentifikasi strategi kontingensi optimal. 6.
Roles and Responsibilities Setelah memilih dan menerapkan strategi backup dan pemulihan
sistem, organisasi harus menunjuk tim yang tepat untuk menerapkan strategi. Setiap tim harus dilatih dan siap untuk merespon jika terjadi situasi yang membutuhkan aktivasi recovery. Personil pemulihan harus diserahkan kepada salah satu dari tim yang spesifik yang akan merespon masalah tersebut, memulihkan kemampuan, dan mengembalikan system untuk operasi normal. Untuk melakukannya, recovery team perlu memahami dengan jelas upaya pemulihan tujuan tim, prosedur individu tim akan mengeksekusi, dan bagaimana saling ketergantungan antara recovery team dapat mempengaruhi strategi keseluruhan.
40
2.5.2. Pemilihan Lokasi Pemulihan dari Bencana Menurut (Bick, 2004), dalam pemilihan lokasi alternatif untuk memulihkan bisnis dari bencana, perlu dipertimbangkan hal-hal berikut: •
Jarak dari Fasilitas Utama, pilihlah lokasi yang tidak terlalu dekat dan juga terlalu jauh dari gedung utama yaitu sekitar 30 kilometer.
•
Potensi Risiko dari Bencana, apakah lokasi tersebut juga memiliki risiko terkena bencana, carilah tempat yang minim terkena ancaman atau dampak bencana.
•
Ketersediaan staff setempat, apakah ada staff setempat yang bisa mengoperasikan proses bisnis utama.
•
Ketersediaan dan kualitas tenaga listrik/baterei, apakah tenaga listrik atau baterai tersedia, dan apakah mencukupi untuk waktu lebih dari 27 jam.
•
Nearby Fiber Routes, untuk kepentingan jaringan komunikasi data, alangkah lebih baik kalau tidak jauh dari jarul kabel fiber, dan kalau memungkinkan kita bias minta ijin atau mendaftar menggunakan jalur kabel tersebut.
•
Specific IT Criteria, teknologi informasi dapat berfungsi pada lokasi tersebut, batasan jarak harus menjadi perhatian perlengkapan jaringan.
•
Tax Incentive, Lokasi tertentu atau di luar perkotaan mungkin akan jauh lebih murah biayanya.
41
2.5.3. Pengujian Disaster Recovery Plan Pengujian DRP sangatlah penting, DRP memiliki banyak elemen yang berupa teori sampai mereka benar-benar diuji dan disahkan. Pengujian rencana harus dilaksanakan sesuai dengan urutannya, mengikuti standar yang ditetapkan, dan disimulasikan pada keadaan sebenarnya. (Krutz & Vines, 2003) menjelaskan bahwa ada lima bentuk pengujian disaster recovery plan yaitu: •
Check List Test. Ini adalah preliminary step dari pengujian. Setiap unit manajemen akan mereview apakah perencanaan sesuai dengan prosedur dan critical area dari organisasi.
•
Structured walk-through test. Tes dilakukan melalui pertemuan antar perwakilan dari tiap unit manajemen untuk membahas seluruh isi dari perencanaan.
Tujuannya
adalah
untuk
memastikan
bahwa
perencanaan secara akurat merefleksikan kemampuan organisasi dalam memulihkan diri dari bencana secara sukses, setidaknya on paper. •
Simulation test. Salama pengujian dengan melakukan simulasi, semua orang dibagian operasional dan support harus memandang bahwa keadaan emergensi terjadi seperi sebenarnya agar sesuai dengan kenyataannya nanti. Simulasi tes ini bertujuan untuk melihat kesiapan personnel bila ada kejadian bencana.
•
Paralel test. Simulasi dilakukan pada semua rencana pemulihan. Parallel berarti proses pengujian berjalan secara paralel dengan proses
42
sebenarnya. Tujuannya adalah memastika supaya sistem yang utama (critical) dapat tetap berjalan pada lokasi alternatif backup. •
Full-interuption test. Ini adalah tes yang sangat berisiko karena kejadian bencana (dampak) benar-benar diterapkan. Namun ini adalah cara terbaik untuk menguji recovery plan, apakah dapat berjalan atau tidak.
2.5.4. Pemeliharaan Rencana Pemulihan Data (Krutz & Vines, 2003) menjelaskan bahwa disaster recovery plan sering sudah out of date atau tidak sesuai lagi dengan kondisi perusahaan atau perkembangan yang terjadi disekitar baik ancaman bencana maupun tingkat persaingan. Perusahaan mungkin telah mereorganisasi dan mungkin saja unit bisnis critical telah berbeda dari saat direncanakan dahulu. Perubahan infrastruktur jaringan juga akan merubah lokasi atau konfigurasi dari hardware, software dan komponan lainnya. Juga mungkin karena masalah administrasi seperti turn over dari pegawai dan berkurangnya ketertarikan pegawai terhadap masalah Business Continuity Plan dan Disaster Recovery Plan. Apapun alasannya, pemeliharaan perlu direncanakan sebelumnya supaya BCP dan DRP selalu up date dan berguna. Sangatlah penting untuk membuat prosedur pemeliharaaan BCP dan DRP dalam sebuah organisasi dengan menggunakan job description yang mensetralisasi tanggung jawab pengupdate-an. Mungkin juga diperlukan prosedur audit yang melaporkan secara periodik mengenai status dari perencanaan. Juga
43
penting adalah jangan sampai berbagai versi rencana masih ada, ini akan menimbulkan kebingungan dan bisa memperparah kondisi emergensi. Jangan lupa untuk selalu menganti versi yang lama dengan yang baru dan menuliskan teks versi pada tiap perencaaan.
2.5.5. Disaster Recovery Procedures Menurut (Krutz & Vines, 2003) ada dua tim yang akan berperan saat terjadi bencana yaitu tim pemulihan dan tim penyelamatan. Tim pemulihan bertanggung jawab terhadap pemulihan fungsi bisnis kritis (utama), langkah awalnya adalah memastikan penggunaan alternatif operasi dan data bisa berlangsung baik secara otomatis maupun manual. Sedangakan tim penyelamatan terpisah dari tim pemulihan dan memiliki tanggung jawab yang berbeda. Tim penyelamat bertanggung jawab untuk secara cepat membersihkan, mengurangi bahaya/dampak, memperbaiki, menyelamatkan infrastruktur utama setelah bencana terjadi. Ini temasuk juga penyelamatan manusia. Sasaran utama dari rencana pemulihan bencana ini adalah untuk membantu meyakinkan sistem operasional yang berkelanjutan mencakup ketersediaan data. Sasaran khusus dari rencana pemulihan bencana ini termasuk : •
Menjelaskan secara rinci langkah-langkah yang harus diikuti.
•
Meminimisasi kebingungan, kekeliruan, dan biaya bagi perusahaan.
44
•
Bekerja cepat dan lengkap atas pemulihan dan penyelamatan dari bencana.
•
Menyediakan proteksi yang berkelanjutan terhadap aset TI.
2.6. Penelitian Terdahulu Dalam hal ini, penelitian terdahulu akan dibagi berdasarkan penelitian yang diambil dari beberapa jurnal, serta akan diambil juga dari master thesis yang berhubungan dengan BCP dan DRP. 1. (Karim, 2011)
Penelitian ini menyajikan desain konseptual untuk mengukur faktor-faktor BCP, kesiapsiagaan bencana melalui penggunaan indikator statistik.
Penelitian ini dilakukan dengan menganalisis hasil dari kuesioner yang disebarkan tentang perencanaan kelangsungan bisnis di sektor keuangan.
Sangat penting untuk menunjukkan bahwa tidak ada proses BCP yang akan berhasil tanpa adanya kepemimpinan manajemen senior.
2. (Prazeres & Lopes, 2013)
Dengan semakin meningkatnya ketergantungan pada proses bisnis untuk layanan elektronik dan tradisional, wajib bagi setiap organisasi untuk ikut serta merencanakan BCP.
45
Metodologi penelitian yang digunakan adalah penelitian-tindakan serta dengan observasi.
Metodologi yang digunakan memungkinkan modularitas dan mempercepat pekerjaan.
3. (Puspitasari, 2011)
Perancangan Kebijakan Business Continuity berfokus pada Business Impact Analysis (BIA).
Pengembangan BCP merupakan tahapan yang dilakukan setelah organisasi menentukan strategi risk mitigation mana yang dipilih.
Dengan adanya Kebijakan Business Continuity, organisasi akan mempunyai payung hukum yang dapat digunakan untuk menjaga dan memelihara kelangsungan proses bisnis.
4. (Yahya, 2013)
Penelitian ini menggunakan proses penyusunan BCP berdasarkan Federal Financial Institutions Examination Council.
Metodologi yang digunakan dalam penelitian ini adalah studi lapangan serta studi kepustakaan yang berhubungan dengan BCP dan DRP.
Melakukan pengembangan BCP dengan tahapan – tahapan yang menentukan
strategi
keberlangsungan
bisnis
dan
mendokumentasikan tindakan yang mengacu pada hasil – hasil dari penentuan strategi tersebut. Perbedaan penelitian yang dilakukan penulis dengan penelitian terdahulu ada pada objek penelitian. Dimana penulis menjadikan Qeon Interactive, yang
46
merupakan salah satu perusahaan game online, sebagai objek penelitian untuk melakukan studi kasus mengenai BCP dan DRP. Framework yang digunakan oleh penulis adalah best practice yang mengacu kepada jurnal, buku, serta master thesis terdahulu yang berhubungan dengan BCP dan DRP.
