Julia Carolina Daud
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)
OUTLINE
BAB I
PENDAHULUAN
BAB II DASAR TEORI
BAB III METODE
PENGERJAAN TA
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
OUTLINE
BAB IV HASIL PENCARIAN DATA DAN MANAJEMEN RISIKO
BAB V PEMBUATAN DOKUMEN DRP
BAB VI
KESIMPULAN DAN SARAN
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
BAB I PENDAHULUAN
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Permasalahan
Bagaimana melakukan manajemen risiko untuk mengetahui ancaman, kerentanan dan dampak akibat suatu kejadian.
Bagaimana cara melakukan pemulihan bencana ketika terdapat kejadian dalam waktu yang singkat namun seluruh infrastruktur aman.
Bagaimana membuat dokumentasi DRP berdasarkan hasil framework ISO/IEC 24762: 2008 di Pusat Data dan Jaringan BTSI Institut Teknologi Sepuluh Nopember Surabaya
Tujuan
Untuk Mengetahui dampak risiko yang mempengaruhi proses bisnis
Menghasilkan dokumen DRP beserta pedoman, aktifitas, prosedur serta formulir untuk BTSI dengan menggunakan ISO/IEC 24762: 2008 yang berfungsi untuk memberikan arahan dan pedoman dalam melakukan pemulihan bencana.
Batasan Masalah
1. Manajemen risiko menggunakan NIST (National Institute of Standards and Technology) 2. Pembuatan dokumen yang dilakukan menggunakan framework standard internasional ISO/IEC 24762: 2008 3. Pembuatan tugas akhir ini hanya mencakup mengenai bencana alam, buatan manusia dan bencana akibat lingkungan yang menyerang TI yang ada di Pusat Data dan Jaringan BTSI 4. Proses pengerjaan dokumentasi pada bidang TI ITS yang tugas pokok dan fungsinya dilaksanakan oleh BTSI 5. Batasan pengerjaan hanya di lingkup Pusat Data dan Jaringan 6. Penilaian resiko dilakukan secara kualitatif
DASAR TEORI
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Karakterisasi Sistem
Manajemen Risiko dengan Menggunakan NIST
Identifikasi Ancaman Identifikasi Kerentanan Penentuan Kemungkinan Analisa Dampak
Disaster
Disaster Recovery Plan (DRP)
ISO/IEC 24762: 2008
METODE PENGERJAAN TUGAS AKHIR
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
PERUMUSAN MASALAH 1. Mencari permasalahan yang ada pada Pusat Data dan Jaringan BTSI ITS 2. Merumuskan masalahan yang sudah terdaftar
PENETAPAN TUJUAN Menetapkan tujuan yang merupakan jawaban dari permasalahan yang telah teridentifikasi
STUDI LITERATUR Sumber rujukan informasi dari berbagai sumber terkait tentang Disaster Recovery Plan (DRP)
KELUARAN Daftar permasalahan yang akan diangkat menjadi sumber pengerjaan tugas akhir
KELUARAN Daftar tujuan yang ingin dicapai dengan pengerjaan tugas akhir ini
KELUARAN Referensi sumber sebagai pembanding DRP
VERIFIKASI DATA Menentukan bahwa model bekerja dan berjalan dengan benar sesuai dengan langkah-langkah yang dilakukan.
MANAJEMEN RISIKO Menilai risiko, mengetahui kerentanan, kelemahan suatu sistem, menentukan dampak berdasarkan NIST
PENYUSUNAN DOKUMEN DRP Penbuatan dokumen DRP sesuai dengan ISO 24762 : 2008
PENYUSUNAN BUKU TUGAS AKHIR Penbuatan dokumen DRP sesuai dengan ISO 24762 : 2008
KELUARAN Data telah terverifikasi dan dapat dilakukan penilaian risiko
KELUARAN Daftar risiko, peluang, dampak serta aset.
KELUARAN Draft berisi kumpulan-kumpulan daftar apa saja yang harus ada dalam sebuah buku pedoman DRP serta kumpulan data yang sesuai dengan kondisi terkini
KELUARAN Dokumen DRP sesuai standar ISO/IEC 24762: 2008 yang mampu menjadi guideline dalam melakukan pemulihan akibat bencana.
PENGUMPULAN DATA DAN MANAJEMEN RISIKO
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Studi Kasus BTSI
Badan Teknologi Sistem Informasi Subbagian Jaringan dan Sistem Informasi Pusat Pengelolaan dan Layanan TI
Pusat Pengembangan Sistem Informasi
Pusat Data dan Pelaporan
Proses Bisnis
1. Penyediaan informasi dan layanan publik 2. Menampung berbagai macam layanan utama seperti Email, DNS, Website, dan Streaming 3. Menampung server-server yang dimiliki oleh jurusan-jurusan atau unit-unit di lingkungan ITS. 4. Mengelola sistem dan infrastruktur jaringan ITS (melakukan troubleshooting) 5. Mengelola kelistrikan yang mendukung infrastruktur Pusat Data dan Jaringan yaitu antara lain genset, UPS dan lain sebagainya 6. Menghubungi vendor apabila terdapat kerusakan pada hardware yang tidak dapat ditangani oleh tim internal 7. Menjamin keamanan Sistem Informasi 8. Pelayanan dan Perawatan untuk server-server ITS yang berada di bawah tanggung jawab divisi
Manajemen Risiko Karakterisasi Sistem Daftar Sistem TI
Penilaian Risiko
Daftar Personal TI Identifikasi ancaman dan Gangguan
Identifikasi Kerentanan Penilaian Risiko
Risiko Teridentifikasi Risiko karena kebakaran Risiko kerusakan akibat air Risiko gempa bumi Risiko akibat kesalahan user Risiko sabotase oleh karyawan Risiko akibat virus Risiko karena terjadinya hacking Risiko karena adanya pencurian Risiko penyalahgunaan hak akses untuk kepentingan pribadi Risiko kegagalan telekomunikasi dan jaringan Risiko kegagalan hardware dan software Risiko kegagalan proses back up Risiko kegagalan aplikasi software Risiko kegagalan recovery backup data Risiko karena tegangan listrik tidak stabil
Dampak Bisnis Daftar Proses Bisnis
Keterangan
Penyediaan informasi dan layanan publik
Untuk mengetahui mengenai infor terbaru Dapat berjalan jika proses bisnis terganggu dari ITS
Menampung berbagai macam layanan Seluruh domain yang menggunakan domain utama seperti Email, DNS, Website, dan its.ac.id merupakan proses bisnis utama. Streaming seperti FRS Online dan autentifikasi email jika ingin menggunakan internet. Menampung server-server yang dimiliki oleh Jika terjadi bencana pada ITSnet, maka jurusan-jurusan atau unit-unit di lingkungan proses bisnis pihak-pihak yang meletakkan ITS. server di ITSnet akan terganggu. Contoh: Akses DIGILIB Mengelola kelistrikan yang mendukung Jika terjadi bencana pada ITSnet, maka infrastruktur Pusat Data dan Jaringan yaitu proses bisnis seluruh pihak, baik itu proses antara lain genset, UPS dan lain sebagainya bisnis ITSnet sendiri maupun pihak-pihak terkait akan terganggu dan menyebabkan dampak yang vital karena dapat mengakibatkan lumpuhnya proses bisnis Mengelola kelistrikan yang mendukung Jika terjadi bencana pada ITSnet, maka infrastruktur Pusat Data dan Jaringan yaitu proses bisnis seluruh pihak, baik itu proses antara lain genset, UPS dan lain sebagainya bisnis ITSnet sendiri maupun pihak-pihak terkait akan terganggu dan menyebabkan dampak yang vital karena dapat mengakibatkan lumpuhnya proses bisnis
Ketergantungan
Sangat Tergantung
Sangat Tergantung
Sangat Tergantung
Sangat Tergantung
Dampak Bisnis (Cont’d) Daftar Proses Bisnis
Keterangan
Ketergantungan
Menjamin keamanan Sistem Informasi
Kemanan sistem informasi merupakan hal Sangat Tergantung yang sangat penting untuk menunjang kerahasiaan, kepercayaan dan ketersediaan data Pelayanan dan Perawatan untuk server- Pelayanan dan perawatan server merupakan Sangat tergantung server ITS yang berada di bawah tanggung kunci sukses dari jalannya proses bisnis. Jika jawab divisi ITSnet. pelayanan tidak dilakukan maka pihak ITSnet akan kehilangan kepercayaan, dan jika perawatan server tidak dilakukan maka dapat mengakibatkan kerusakan pada server
Keterangan : •Sangat tergantung: Proses bisnis hanya bisa berjalan jika jaringan menuju server masing – masing proses binis terhubung. •Tergantung : Jika jaringan menuju server masing – masing proses bisnis terputus, masih bisa menggunakan jaringan ke server lain. Misalnya jaringan internet untuk akses internet, maka masih bisa menggunakan jaringa intranet untuk mengakses website. •Tidak tergantung : proses bisnis bisa berjalan walaupun proses bisnis Pusat Data dan Jaringan terputus.
Kontrol yang ada di BTSI Risiko
Risiko karena kebakaran
Kontrol
Keterangan
Risiko kerusakan akibat air
Prosedur Operasi Baku Alat Tertulis Pemadam Kebakaran (APAR), Checklist pemeliharaan APAR Belum ada control Tidak Tertulis
Risiko gempa bumi
Belum ada kontrol
Tidak tertulis
Risiko akibat kesalahan user
Belum ada kontrol
Tidak tertulis
Risiko sabotase oleh karyawan
Risiko serangan virus
Kebijakan Open Recruitment per Sebagian tertulis dan sebagian semester, Prosedur Recruitment, tidak tertulis Standar Spesifikasi Minimal untuk SDM serta Mahasiswa Magang, Prosedur Operasi Baku Pelatihan SDM Belum ada kontrol Tidak tertulis
Risiko karena terjadinya hacking
Belum ada kontrol
Tidak tertulis
Risiko karena adanya pencurian
Belum ada kontrol
Tidak tertulis
Risiko penyalahgunaan hak akses Kebijakan Open Recruitment per Sebagian tertulis dan sebagian untuk kepentingan pribadi semester, Prosedur Recruitment, tidak tertulis Standar Spesifikasi Minimal untuk SDM serta Mahasiswa Magang, Prosedur Operasi Baku Pelatihan SDM
Kontrol yang ada di BTSI (cont’d) Risiko kegagalan Terdapapat bisnis proses Tertulis telekomunikasi dan jaringan diagram prosedur perawatan/ monitoring jaringan Risiko kegagalan hardware Belum ada kontrol Tidak tertulis dan software Risiko kegagalan proses back Adanya Prosedur Backup up dengan Redundance Hard Tidak tertulis Disk Risiko kegagalan aplikasi Belum ada kontrol Tidak tertulis software Risiko kegagalan backup data
recovery Sistem Infrastruktur
Monitoring Bentuk kontrol berupa aplikasi monitoring, namun tidak ada dokumentasi prosedur tertulis Risiko karena tegangan listrik Prosedur Operasi Tertulis tidak stabil Uniteruptible Power Supply (UPS), Checklist pemeliharaan UPS
PEMBUATAN DOKUMEN DRP
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Langkah-langkah pembuatan DRP
Panduan Dokumen Disaster Recovery Plan
Pembuatan dokumen berdasarkan ISO 24762: 2008
Kebijakan berdasarkan klausul yang ada di ISO/IEC 24762
Prosedur Kegiatan
Formulir berdasarkan kebijakan
KESIMPULAN DAN SARAN
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Kesimpulan
• •
•
•
Berdasarkan pencarian data yang telah dilakukan dalam tugas akhir ini, maka dapat disimpulkan bahwa: Disaster Recovery Plan merupakan salah satu aspek penting dalam mendukung keberlangsungan bisnis setelah terjadinya bencana, untuk mempertahakan semua pihak yang terlibat pada bisnis tersebut termasuk konsumen dan pelaku bisnis itu sendiri. Penyusunan DRP memerlukan studi awal untuk menentukan DRP yang paling optimal yang sesuai dengan kemampuan dan kebutuhan organisasi, serta manfaat yang diharapkan oleh organisasi dari DRP tersebut. Tingginya biaya dan usaha yang harus dilakukan oleh organisasi dalam penyusunan dan penerapan DRP membuat organisasi menghadapi kendala yang tidak ringan dan perlu penetapan skala prioritas yang tepat, sesuai dengan strategi bisnis dan kemampuan organisasi. Studi kasus pada infrastruktur Pusat Data dan Jaringan menghasilkan beberapa temuan yang kontradiktif yaitu tingginya tingkat kebergantungan para pengguna terhadap layanan jaringan komputer tetapi rendahnya tingkat pengetahuan pengguna dalam pengamanan data dari bencana. Pihak pengelola jaringan komputer Institut juga tidak memiliki rencana dan mekanisme yang jelas untuk menghadapi bencana, khususnya yang terkait dengan bencana skala kecil pada jaringan komputer seperti serangan virus, serangan hacker, kegagalan hardware atau gangguan infrastruktur seperti terputusnya listrik, kebakaran dan lain-lain
Saran
- Perlu dilakukan penelitian kembali pada bagian BTSI yang lain terkait pembuatan DRP, mengingat Teknologi dan Komunikasi memiliki potensi risiko yang besar - Pembuatan DRP tidak berhenti begitu saja setelah DRP telah dibuat. Harus dilakukan evaluasi dan perbaikan rencana DRP secara kontinu. Harus diadakan perubahan pada DRP. Begitu juga setelah sebuah bencana terjadi, harus dilakukan evaluasi, apakah DRP telah memenuhi harapan organisasi untuk pulih dari bencana yang menimpa.
