IT GOVERNANCE NEWSLETTER
ISSUE 1 - MEI 2014
IT NEWS
IT TALK
IT CLIP
Hearbleed Hati yang luka akibat suka curhat
Wawancara dengan Ibu Ira Kurniawan Senior Consultant IT
300.000 “Server” Masih Rentan Heartbleed
page 8
page 10
page 18
KEEPING YOU UP-TO-DATE WITH THE LATEST NEWS FROM THE IT GOVERNANCE
IT EDITORIAL
MAY HOT TRAINING
Halo IT Professional.. Apa yang akan anda lakukan apabila server data center yang ada di perusahaan anda mati total dan semua operasioanal bergantung pada informasi yang ada dalam data center tersebut? Panik? Newsletter Mei ini mengulas mengenai Business Continuity Managment yang memberikan solusi dan antisipasi yang tepat untuk menanggulangi kekacuan yang bisa saja timbul dalam suatu proses bisnis agar bisnis itu bisa tetap berjalan.
Salam IT, Anastasia P.Ambarsari
CISM Exam Preparation 19-23 CIRSC Exam Preparation 19-23 Internal Audit Based On Iso 20001 21-23 ITSM Audit Based On Iso 20001 21-23
JUNE HOT TRAINING
Editor InChief Anastasia P.Ambarsari Melanie Kurnia
Creative MaryaUlfah
EditoralStaff Happy Elynn
Information www.itgid.org
Contributor Ira Kurniawati
IT HOT EVENT
Ged. Permata Kuningan Kawasan Bisnis Epicentrum JakartaSelatan 12980 P:021-29069519 F:021-83708681
TIM IT EDITORIAL
SMKI Awareness Based On Iso 4-6 Lead Auditor Iso 20001 2-6 Lead Implementer Based On Iso 22301 2-4 Internal Audit Based On so 22301 16-18 BCM Audit Based On Iso 9-11
IT REPORT
KUPAS TUNTAS ISO 22301:2012
Sejarah Business continuity management systems ? Pada kesempatan ini saya tidak akan membahas terlalu banyak mengenai Business Countinuity Management Systems, tetap disini saya akan banyak bercerita berkaitan dengan standar/framework (kerangka kerja) nya. Pertama saya akan menceritakan sejarah standar/kerangka kerja ( framework ) dari Business Countinuity ManagementSystems. Bisa dilihat dari gambar dibawah ini bahwa Business Countinuity Management Systems telah ada sejak tahun 1995 dengan diawali framework NFPA 1600 dan hingga saat ini BusinessCountinuity Management Systems sudah mengalami 9 kali update framework yang terakhir dibungkus dengan nama ISO 22301:2012. Sekarang saya tidak akan bercerita tentang framework Business Countinuity Management Systems sebelum ISO 22301, disini saya hanya bercerita KHUSUS ISO 22301:2012. Mari kita kupas satu-satu Mahluk apakah ISO 22301:2012?
Apa ISO 22301:2012? Nama lengkap dari standar ini adalah ISO 22301:2012 Societal security-Business continuity management systems–Requirements. Standar ini ditulis oleh para ahli kelangsungan bisnis terkemuka dan memberikan kerangka terbaik untuk mengelola kelangsungan bisnis dalam suatu organisasi. Standar ISO 22301:2012 yang mengatur pedoman Business Continuity Management System atau Sistem Tata Kelola Organisasi (Bisnis) secara Berkelanjutan, akan memampukan organisasi untuk memiliki daya hidup (survival), daya tumbuh (growing) dan daya kreasi
IT REPORT (vreativity) secara berkelanjutan dengan tetap memperhatikan faktor risiko dan lingkungan persaingan. Salah satu fitur yang membedakan standar ini dibandingkan dengan kelangsungan bisnis kerangka / standar lainnya adalah bahwa organisasi dapat disertifikasi oleh lembaga sertifikasi yang terakreditasi, dengan dapat membuktikan kepatuhan terhadap pelanggan, mitra, pemilik dan pemangku kepentingan lainnya. Apa hubungan ISO 22301:2012 dengan BS 25999-2? Standar ISO 22301: 2012 yang ada saat ini merupakan standar yang menggantikan BS 25999-2 , dua stan dari ini agak mirip, tapi ISO 22301 dapat dianggap upgrade dari BS 25999-2. Apa Persamaan dan Perbedaan antara ISO 22301:2012 dengan BS 25999-2? Catatan : *: No Change or negligible Change, ** : Moderate Change, *** : Major IT NEWS Change
Apa manfaat dari Penerapan Standar ISO 22301:2012 Continuity?
Tabel Persamaan dan perbedaan antara ISO 22301:2012 dengan BS 259992
Bila diterapkan dengan benar, Business Continuity Management System akan mengurangi kemungkinan insiden yang mengganggu, dan jika insiden tersebut terjadi organisasi akan siap untuk merespon dengan cara dan tepat, dengan demikian secara drastis mengurangi potensi kerusakan dari kejadian tersebut.
IT REPORT Siapa yang dapat menerapkan standar ini? Setiap organisasi–besar atau kecil, untuk profit atau non-profit, swastaor publik. Standar in idisusun sedemikian rupa sehingga berlaku untuk setiap ukuran atau jenis organisasi. Bagaimana business continuity masuk kedalam manajemen secara keseluruhan? Kelangsungan bisnis merupakan bagian dari manajemen risiko secara keseluruhan dalam suatu perusahaan, dengan tumpang tindih daerah dengan manajemen keamanan informasi dan manajemen IT. Dan dapat digambarkan seperti gambar dibawah ini :
Gambar keterkaitan business continuity dengan area lainnya.
Apa isi konten dari ISO 22301:2012?
IT REPORT IT REPORT Dokumen apa yang harus ada untuk menerapkan ISO 22301 :2012? Untuk organisasi/perusahaan yang akan mengimplementasikan standar ISO 22301 :2012, berikut adalah dokumen yang harus dimiliki :
IT NEWS
HEARTBLEED Hati yang Luka Akibat Suka Curhat
IT NEWS Kalau Anda boleh memilih teman, apakah akan memilih teman yang banyak cerita dan ramah dibandingkan dengan teman yang kerjanya diam saja dan kalau ditanya ia hanya akan menjawab secukupnya. Tidak pernah memberikan informasi lebih dari yang diminta. Kemungkinan besar banyak yang akan memilih teman yang ramah, banyak cerita tanpa diminta. Ditanya sedikit, dia langsung cerita banyak, apalagi kalau dapat teman yang sukanya curhat, tidak ditanya pun dia akan nyerocos menceritakan tentang dirinya dan masalah yang dihadapinya. Kira-kira hal inilah yang terjadi dalam kasus heartbleed, dimana server komputer yang seharusnya memberikan informasi secukupnya, karena adanya cacat pemrograman dia jadi curhat dan memberikan informasi lebih dari yang diminta. Celakanya, informasi yang dimilikinya dan menjadi sarana Curhat adalah informasi sensitif arena ia bertugas menangani pengamanan akses pengguna, maka informasi yang dibocorkannya sangat berbahaya dan berpotensi merugikan pengguna layanan server ini. Kira-kira inilah gambaran tentang heartbleed.
Heartbeat berfungsi memonitor kesiapan sistem dengan cara mengirimkan 'heartbeat request' yang biasanya berisi teks yang harus dijawab oleh komputer penerima ke komputer pengirim. Karena fungsi komputer OpenSSL adalah menjaga keamanan pengakses, maka sifat yang harus dimiliki oleh OpenSSL adalah bisa menjaga rahasia dan menjawab secukupnya kalau ditanya. Ibaratnya Anda bekerja di perusahaan yang memiliki informasi sensitif/badan intelijen dan mengetahui banyak hal rahasia, maka makin sedikit Anda bicara akan makin baik dan makin banyak Anda bicara kemungkinan anda membocorkan informasi makin besar. Kesalahan yang dikandung oleh Heartbleed adalah kelemahan penanganan atas pertanyaan/request ke server yang jika dirancang dengan sedemikian rupa akan menyebabkan server langsung curhat. Celakanya, yang dicurhatkan adalah informasi kredensial pengakses lain yang seharusnya dirahasiakan olehnya. Hal inilah yang dikhawatirkan oleh para pengamat sekuriti. Apa yang Harus Dilakukan ?
Heartbleed adalah bug (cacat program) yang terkandung di dalam Heartbeat. Heartbeat adalah ekstensi (program pendukung) bagi OpenSSL. OpenSSL adalah protokol pengamanan otentikasi open source yang paling banyak digunakan oleh penyedia layanan di internet yang membutuhkan pengamanan kriptografi otentikasi seperti Google, YouTube, Mine Craft, Dropbox,Wikipedia,Yahoo,Go Daddy, Facebook dan AmazonWebService.
Vaksincom banyak mendapatkan pertanyaan dari pengguna awam, apa yang harus dilakukan dalam mengantisipasi Heartbleed ini. Pada saat-saat awal munculnya celah keamanan ini, jujur saja sangat sedikit yang bisa dilakukan oleh pengguna jasa layanan karena celah keamanannya ada di webserver dan pengguna jasa layanan tidak memiliki akses untuk memperbaiki celah keamanan tersebut.
Selain itu Open SSL juga banyak digunakan oleh aplikasi pihak ketiga seperti Password Manager, termasuk banyak produk hardware seperti Cisco dan Juniper.
5
IT TALK
Wawancara Dengan
IRA KURNIAWATI
SENIOR CONSULTANT PROXSIS IT
IT TALK MENGENAL BUSINESS COUNTINUITY MANAGEMENT SYSTEM (BCMS) Kelangsungan bisnis (Business Countinuity) Business Countinuity adalah? Business Continuity (BC) didefinisikan sebagai kemampuan organisasi untuk melanjutkan pengiriman produk atau jasa pada tingkat yang telah ditetapkan dan dapat diterima menyusul insiden yang mengganggu. (Sumber: ISO 22301:2012) Mengapa Perlu BusinessCountinuity ? BusinessCountinuity antara lain karena : Kita tidak bisa menjamin kondisi selalu ideal untuk menjalankan ? kegiatan bisnis perusahaan. Kondisi diluar normal tidak dapat dikendalikan sehingga seringkali ? menyebabkan “Sudden & massive lost” Terdapat cukup banyak hal yang tidak dapat dicegah, namun yang ? bisa dilakukan adalah mengurangi dampaknya. Sebagai pemenuhan prasyaratan dari stakeholder organisasi ? (stakeholder : pemerintah, principle, customer, dsb). Apa yang dimaksud dengan kondisi diluar normal? Kondisi diluar normal adalah kondisi dimana organisasi / perusahaan tidak dapat mengantisipasi kondisi tersebut.Contohnya adalah :
Natural Disaster : banjir, gempa bumi, gunung meletus. Man-made disaster : sabotase, peperangan, serangan teroris. Main Facility Failure : kegagalan supplay listrik, kegagalan system pendingin dan lain sebagainnya. GovernmentalIssue : Pemohokan, embargo ekonomi, dan sebagainya Penyebaran Penyakit Menular dan sebagainnya Bagaimana jika terjadi Kondisi Diluar Normal? Kondisi di luar normal (kondisi bahaya) adalah kondisi-kondisi yang tidak direncanakan dan berpotensi menimbulkan kerugian yang cukup besar bagi perusahaan. Jika terjadi kondisi ini maka hal yang perlu dilakukan adalah menentukan nilai Maximum Tolerable Disruption Periode. (MTDP). Maximum Tolerable Disruption Periode (MTDP) adalah Berapa lama waktu layanan tidak berfungsi dan bisa ditoleransi oleh pengguna Karena MTDP adalah waktu yang bisa ditoreransi oleh pengguna, maka penentapan MTDP harus dilakukan bersama-sama dengan (persetujuan) pengguna. MTDL adalah obyektif yang dilihat dari sudut pandang unit pengguna/user yang melakukan kegiatan operasional. Selanjutnya dari sudut penyedia layanan perlu memperhitungkan waktu yang dibutuhkan dalam melakukan pemulihan layanan. Ada 2 objektif yang harus diperhitungkan, yaitu: ?
Recovery Time Objectives (RTO) adalah lama waktu yang dibutuhkan untuk pemulihan sistem dan data.Jika antar komponen layanan atau service component terjadi dependency, maka waktu recovery dihitung secara serial untuk komponen-komponen yang interdepencency.Jika antar komponen layanan tidak saling bergantung, recovery time dapat dihitung secara paralel antara komponen layanan.
IT TALK ?
Recovery Point Objectives (RPO) adalah ambang berapa banyak data yang boleh hilang sejak terakhir backup dilakukan. Jika backup dilakukan sekali sehari pada malam hari, sementara kerusakan sistem/storage dapat terjadi beberapa menit sebelum proses backup dijalankan, maka nilai RPO adalah 24 jam. Dengan kata lain RPO merupakan pernyataan berapa lama suatu informasi/data boleh hilang.
BusinessCountinuity Management Apa yang dimaksud dengan BusinessCountinuity Management ? BuninessContinuity Management (BCM) adalah manajemen holistic mulai dari menyediakan langkah-langkah kebijakan, identifikasi risiko, struktur organisasi dan tanggung jawab, mekanisme kerja sertaprosedur operasional dalam upaya pemulihan organisasi dan aktivitasnya. Mengapa perlu BusinessCountinuity ManagementSystem (BCMS)? Business Continuity Management (BCM) menjadi suatu keharusan karena bertujuan untuk mempersiapkan dan melatih perusahaan agar mempunyai ketahanan dalam operasional bisnis kritikal, sehingga apabila terjadi bencana atau gangguan proses operasional bisnis tersebut akan tetap berjalan.
Definisi dan pemahaman awal sangat penting untuk mengetahui secara lengkap Scope BCM dan kaitannya dengan aktivitas lain di perusahaan lain seperti Enterprise Risk Management (ERM), atau aktifitas operasional. Hal tersebut juga diperlukan untuk mengatur organisasi pelaksana BCM di perusahaan. Untuk mencapai ketahanan terhadap crisis atau bencana yang tak terduga, perusahaan harus menyiapkan BCM Strategy yang akan dituangkan dalam bentuk penetapan kebijakan, pengembangan dokumen Plan (BCP, CMP) dan implementasi resource yang diperlukan dalam rangka continuity tersebut.
Business Continuity Management (BCM) menjadi suatu keharusan karena bertujuan untuk mempersiapkan dan melatih perusahaan agar mempunyai ketahanan dalam operasional bisnis kritikal
Scope BCM adalah sesuatu yang strategik ditinjau dari aspek kebutuhan pelanggan, finansial, reputasi, hukum dan regulasi serta stakeholder. Jika sebuah produk masuk ke dalam scope, maka keseluruhan aktifitas yang mendukung harus masuk dalam pembahasan BCP yang dibuat.
BCM perusahaan bisa bekerja dengan baik pada saat disaster apabila
semua faktor penting dari pendukungnya siap pada tempatnya kapansaja. Untuk mencapai hal tersebut perusahaan harus terus menerus memperbaiki BCM lewat proses testing, reviwing, maintaining dan auditing.
Pertimbangan diluar diluar scope yang harus diperhatikan adalah produk/layanan yang sudah akan terminasi, dang roduk dengan proporsi pendapatan kecil (margin kecil). Seharusnya BCM ditetapkan pada setiap lini perusahaan, namun kadang-kadang hal ini perlu dilakuakan secara bertahap.
IT TALK Jika produk dan layanan ini cukup banyak dimulai dari yang paling besar “value” nya untuk perusahaanm jadi perusahaan dapat menentukan mana yang lebih penting. Dari produk dan layanan yang terpilih, tentukan divisi utama yang mengirim layanan tersebut. Dengan demikian, akan diperoleh divisi apa saja yang masuk dalam scope BCM ini. Bagaimana menyusun BusinessCountinuity ManagementSystem (BCMS)? Dokumentasi Business Countinuity Management System (BCMS) terdiri atas dua dokumentasi yaitu : 1. BCMStrategis, dan; 2. BusinessContinuity Plan (BCP). Dokumen BCM Strategy yaitu suatu dokumen yang memuat segala asumsi dan analisa yang diperlukan, yang menjadi acuan bagi pembuatan dokumen BCP. Dokumen Business Continuity Plan (BCP) yaitu suatu panduan operasional untuk kondisi sebelum /saat/sesudah kondisi di luar normal terjadi. Adapun langkah-langkah untuk penyusunan Business Countinuity ManagementSystem (BCMS)Strategy adalah : 1 . Kebijakan Pembentukan dan Penetapan Ruang Lingkup Dokumen kebijakan Business Countinuity Management System (BCMS) dibuat untuk menggambarkan komitmen dan prinsip-prinsip dasar dari BCMS. Selain membuat kebijakan BCMS maka dilakukan penetapan ruang lingkup, penetapan ruang lingkup ini dilakukan untuk membatasi effort dan “Proof on concept”. Prinsip penentuan scope disarankan adalah area yang paling kritikal namun paling mudah dilakukan. Hal-hal yang menjadi batasan dalam scope adalah :
-
PhysicalArea Proses Bisnis Organisasi Asset
2 . Pendefinisian KondisiAbnormal Setelah menentukan ruang lingkup dari BCMS lakukan analisa untuk menentukan kondisi abnormal yang mungkin dari ruang lingkup BCM yang telah ditetapkan. Kondisi abnormal ini ditentukan untuk memudahkan dalam melakukan BIA (Business ImpactAnalysis) pada tahapan BCMS selanjutnya. 3 . Business ImpactAnalysis (BIA) Apa itu Business ImpactAnalysis (BIA)? Analisa dampak bisnis/business impact analysis (BIA) merupakan salah satu bagian dari rencana kelanjutan bisnis/business continuity planning (BCP) organisasi yang menggambarkan potensi risiko organisasi. Analisa dampak bisnis/business impact analysis (BIA) adalah proses mengidentikasi, menganalisa, dan menentukan dampak yang terjadi pada kelangsungan bisnis proses di organisasi seandainya terjadi gangguan/bencana yang menimbulkan terhentinya operasional dari bisnis proses tersebut. BagaimanaTahapan Penyusunan Business ImpactAnalysis (BIA)? Efektifitas dari suatu BCP akan sangat bergantung pada kemampuan manajemen untuk secara tepat mengidentifikasi kritis tidaknya berbagai proses kerja atau aktivitas yang ada sebelum BCP disusun atau dikaji ulang. Dengan demikian Business ImpactAnalysis (BIA) merupakan dasar dari penyusunan
IT TALK keseluruhan BCP. Hal-hal yang harus dianalisis dalam BIA meliputi: a. Tingkat kepentingan (criticality) masing-masing proses bisnis dan ketergantungan antar proses bisnis serta prioritisasi yang diperlukan; b. Tingkat Maximum Tolerable Outage/Recovery Time Objective
e. Dampak disaster terhadap seluruh departemen dan fungsi bisnis, bukan hanya terhadap data processing; f. Estimasi downtime maksimum yang dapat ditoleransi dan tingkat toleransi atas kehilangan data dan terhentinya proses bisnis serta dampak downtime terhadap kerugian finansial;
(berapa lama usaha dapat bekerja tanpa sistem atau fasilitas yang mengalami gangguan dan atau berapa cepat sistem atau fasilitas tersebut harus berfungsi kembali); c. Tingkat Minimum Resources Requirement (personil, data dan
g. Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan; h. Kemampuan dan pengetahuan petugas mengenai Contingency Plan dan ketersediaan petugas pengganti di tempat pemulihan; i. Dampak hukum dan pemenuhan ketentuan yang terkait, seperti
kelengkapan sistem serta fasilitas yang diperlukan secara minimal agar bisnis bisa pulih dan berjalan); d. Dampak potensial dari kejadian yang bersifat tidak spesifik dan tidak dapat dikontrol terhadap proses bisnis dan pelayanan kepada nasabah;
“
ketentuan mengenai kerahasiaan data. Dalam melakukan Business Impact Analysis, satuan kerja masing-masing unit bisnis perlu memperhatikan bahwa BCP yang akan disusun bukan hanya untuk total disaster namun untuk berbagai situasi bencana dan gangguan mulai dari yang minor, major sampai dengancatastrophic. Dengan demikian dampak yang harus diperhatikan bukan hanya yang dapat diukur dengan jelas (tangible impact) seperti penalti akibat keterlambatan
Analisa dampak bisnis/business impact analysis (BIA) adalah proses mengidentikasi, menganalisa, dan menentukan dampak yang terjadi pada kelangsungan bisnis
“
pembayaran bunga atau biaya lembur pegawai, namun juga yang tidak dapat diukur secara jelas (intangible impact) seperti kesulitan konsumen memperoleh pelayanan. 4. RiskAssessment Risk assessment adalah metode yang sistematis untuk menentukan apakah suatu organisasi memiliki resiko yang dapat diterima atau tidak.
IT TALK
IT TALK Risk assessment merupakan kunci dalam perencanan pemulihan bencana. Risk assessment mencakup risk identification, risk analysis dan risk evaluation. a. Risk identification adalahmengidentifikasi resiko yang mungkin terjadi , risk identification bertujuan untuk mengkategorikan resiko – resiko yang dapat mempengaruhi organisasi. . Hasil dari risk identification adalah sebuah daftar resiko yang dapat memudahkan management resiko pada tahap selanjutnya b. Risk Analysis adalah menganalisis resiko yang mungkin terjadi pada suatu organisasi yang ditimbulkan oleh potensi alam maupun manusia. Risk analysis menghasilkan sebuah laporan analisis resiko untuk menentukan efek samping, kerugian, ancaman dan digunakan untuk menyusun penanggulangan terhadap serangan atau bencana yang mungkin terjadi. c. Risk Evaluation adalah Pembentukan hubungan antara resiko dan manfaat dari potensi bahaya yang ditimbulkan.Meliputi evaluasi dari semua informasi yang dikumpulkan untuk menentukan besarnya kerugian yang ditimbulkan bencana. Risk evaluation mengevaluasi langkah apa yang akan diambil untuk mengatasi dampak dari suatu bencana. Jenis bencana berdasarkan kerusakan yang ditimbulkan dibagi menjadi 2, yaitu : 1. Minor Disaster Bencana kecil yang ditimbulkan baik dari alam ataupun dari kesalahan
manusia Contoh : gempa kecil, mouse rusak, gangguan listrik, serangan penyakit yang menyebabkan karyawan yang memegang posisi penting, perampokan, operator error, kebocoran, pemadaman listrik, dll 2. Mayor Disaster Bencana besar yang menyebabkan sistem informasi benar – benar terhenti tanpa toleransi Contoh : gempa bumi, tsunami, kebakaran, kerusakan hardware pada server, kerusakan jaringan, serangan hacker, perang, terorisme, kegagalan telekomunikasi, ledakan, dll 5. Formulasi Strategi Keberlangsungan Penyusunan strategi keberlangsungan dilakukan dengan cara : a. Petakan komponen-komponen pendukung suatu sumber daya yang akan dikelalo keberlangsungannya. b. Tentukan Recovery Time objective (RTO) dan khusus untuk komponen yang berupa informasi, tentukan juga Recovery Point Objective (RPO), sehingga MTDPdari sumber daya yang akan dikelola dapat tercapai. 6. BusinessContinuity Plan (BCP) Apa itu BusinessContinuity Plan (BCP)? Business Continuity Plan (BCP) adalah suatu kreasi dan validasi perencanaan logistik tentang bagaimana organisasi dapat mengembalikan atau memulihkan fungsi dari bagian organisasinya uang rusak setelah terjadinya bencana atau gangguan (Zhao et al., 2012). Dalam bahasa lain,BCP adalah rencana
IT TALK suatu organisasi bertahan dalam menghadapi bencana yang terjadi. Saat ini semakin banyak perusahan yang membutuhkkan layanan jaringan untuk menjalankan proses bisnisnya, oleh karena itu, keamanan informasi menjadi lebih penting dari sebelumnya, apalagi jika dihubungkan dengan bencana yang terjadi namun tidak terprediksikan sebelumnya. BCP menjadi salah satu perencanaan yang bertujuan meminimalkan dampak terjadinya bencana tersebut.
BagaimanaTahapan Penyusunan BusinessContinuity Plan? Berikut ini tahapan penyusunan BisnisContinuity Plan (BCP) : 1. Mengorganisasi Proyek Penyusunan BCP Pada tahap ini dilakukan perencanaan pembuatan dokumen Business Continuity Plan (BCP) yang meliputi : ?
Tujuan BCP ? Ruang Lingkup ? StrukturOrganisasi Proyek ? Jadwal Pelaksanaan BCP 2. Mengidentifikasi dan Menganalisa Dampak Resiko Pada tahap ini dilakukan identifikasi dan analisa dampak potensial apa sajakah yang dapat terjadi serta bagaimana akibatnya terhadap operasional bisnis. 3. Mempersiapkan Kondisi Darurat Persiapan kondisi darurat dilakukan dengan : ? Menentukan strateti back-up (penyelamatan) dan recovery (pemulihan) untuk setiap prediksi bencana
? Menentukan prosedur untuk menghadapi kondisi darurat.
1. MenentukanTindakan Pemulihan Bisnis Tindakan pemulihan bisnis dilakukan dengan cara menentukan personil / tim yang bertanggung jawab dan menentukan prosedur yang dilakukan untuk pemulihan bisnis. 2. Melakukan Pengujian BCP Pengujian terhadap BCP ini dilakukan dengan menguji sistem BCP yang disusun serta melakukan evaluasi dan perbaikan sistem BCP 3. Melakukan Pelatihan BCP Pelatihan dilakukan dengan sosialisasi dan pelatihan BCP kepada seluruh pegawai khususnya serta mengevaluasi hasil pelatihan tersebut. 4. Melakukan PemeliharaanSistem BCP Pada tahap ini dilakukan dengan peninjauan ulang BCP yang dibuat dan membuat prosedur kebijakan untuk melakukan perubahan. Apa Manfaat dengan adanya BCP? Manfaat utama dari pendekatan Business Continuity Plan adalah membantu mencapai keyakinan yang memadai ketersediaan proses bisnis dan fungsi “endto-end” yang penting dengan biaya yang efektif dan efisien. Fokus utama adalah pada persyaratan pemulihan bisnis. Pemangku Kepentingan Bisnis bekerjasama untuk melaksanakan rencana darurat dan pengaturan yang sesuai dengan kebutuhan mereka. Sangat dipercaya bahwa relevansi dari program kontinuitas bisnis tergantung pada proses bisnis yang mendasarinya diambil dalam konteks dan tujuan strategi manajemen.Tujuan bisnis harus mendorong strategi pemulihan. Hal ini adalah kombinasi pengalaman kontinuitas (keberlanjutan), teknologi “knowhow”, dan pengetahuan industri untuk fokus secara efisien pada apa yang penting dan untuk membantu memfokuskan waktu dan sumber daya pada solusi kesinambungan yang tepat.
IT EVENT
TRAINING IT MASTERPLAN Training IT Masterplan yang dilaksanakan pada 12-14 Mei 2014 bertempak di Gedung Permata Kuningan Lt.17, Jakarta. Training ini diikuti oleh Sdr.Ernest S.Kom dan Sdr.Giancana Siahaan S.Kom dari PT.TOTAL BP serta Sdr.Rudi Darmawan Sinaga dari PT.Telkom Sigma.
IT CLIP 300.000 "Server" Masih Rentan Heartbleed
Seperti dikutip dari The Verge, jumlah yang didapatkan oleh Graham belum termasuk semua server yang memanfaatkan OpenSSL sehingga mungkin ada sistem lain yang lolos dari perhitungannya.Heartbleed ditemukan setelah tim peneliti keamanan komputer di Universitas Michigan, Amerika Serikat, menggunakan pemindai jaringan open source yang disebut ZMap. ZMap dikembangkan di Universitas Michigan oleh Asisten Profesor J Alex Halderman dan mahasiswa pascasarjana ilmu komputer,Zakir Durumeric dan EricWusterow. Zmap berguna untuk mencari server internet yang rentan terhadap Heartbleed, yang berpotensi digunakan untuk mencuri username, password, nomor kartu kredit, dan informasi penting lain.Celah keamanan ini ditemukan pada OpenSSL, sebuah protokol sekuriti open-source yang digunakan untuk enkripsi informasi sensitif melalui fungsi SSL (secure sockets layer) di banyak layanan berbasis internet. Dengan mengeksploitasi celah Heartbleed pada OpenSSL, peretas bisa mencuri informasi, meskipun sebuah situs atau penyedia layanan sudah melakukan enkripsi (ditandai dengan gambar "gembok" dan prefiks "https:" pada URL).Heartbleed berimbas pada semua situs dan layanan yang menjalankan OpenSSL versi 1.0.1 hingga 1.01f. Versi-versi OpenSSL yang rawan tersebut sudah banyak dipakai sejak Mei 2012.Artinya, selama dua tahun, celah ini telah beredar tanpa terdeteksi di semua penyedia layanan yang menggunakan enkripsiOpenSSL, mulai dari aplikasi, situs internet, hingga institusi perbankan.Masalahnya menjadi besar karena OpenSSL digunakan oleh 66 persen dari semua bagian jaringan internet untuk mengenkripsi data sehingga celah keamanan tersebar luas.
Sudah sebulan lalu, celah keamanan Heartbleed ditemukan pada sejumlah layanan situs yang memakai protokol OpenSSL untuk enkripsi data pengguna. Meski sudah diberi peringatan keras, lebih dari 300.000 server layanan internet dilaporkan masih rentan terhadap Heartbleed. Peneliti keamanan komputer, Robert David Graham, melakukan pemindaian terhadap 1,5 juta server yang memanfaatkan protokol OpenSSL. Dari jumlah tersebut, Graham menemukan 318.239 server masih rentan terhadap Heartbleed.
Sebagian nama layanan yang terkena dampak Heartbleed bisa dilihat dalam sebuah daftar yang dibuat pada 8 April 2014. Semenjak daftar tersebut dipublikasikan, beberapa penyedia layanan, antara lain Facebook, Yahoo, Gmail, Tumblr, dan Dropbox, telah menyalurkan patch untuk menambal celah keamanan yang ada. Source: http://tekno.kompas.com/read/2014/05/10/0907110/300.000.Server.Masih.Re ntan.Heartbleed
Consulting and Management Solutions
ABOUT US
PROXSIS CONSULTANT - PT. PROXIS SOLUSI BISNIS PROXSIS IT - PT PROXSIS GLOBAL SOLUSI SYNERGI SOLUSI - PT. SINERGI SOLUSI INDONESIA PROXSIS INC. SURABAYA - PT.PROXSIS MANAJEMEN INTERNASIONAL PROXSIS FOOD AND AGRO PROXSIS ENVIRO AND ENERGY MANAGENT PROXSIS ADVANCE QUALITY AND ASSET MANAGEMENT PROXSIS ADVANCE QUALITY AND ASSET MANAGEMENT PROXSIS BPM SECURE INC. - IT SECURITY SOLUTION AND SERVICES PROXSIS TAX AND ACCOUNTING SERVICES - PROXSIS TAX
Consulting Group
Professionals Development and Knowledge Center ISC - INDONESIA SAFETY CENTER IPQI - INDONESIA PRODUCTIVITY AND QUALITY INSTITUTE ITG.ID - IT GOVERNANCE INDONESIA INDONESIA TAX CENTER
IT GOVERNANCE INDONESIA INDONESIA TAX CENTER
- BUSINESS CONTINUITY MANAGEMENT - PERSONAL EXAM PREPARATION - IT GOVERNANCE & MANAGEMENT - IT SECURITY - QUALITY MANAGEMENT SYSTEM - IT RISK MANAGEMENT - GREEN IT
- COMPANY INCOME TAX - PERSONAL INCOME TAX - EMPLOYEE INCOME TAX - WITHOLDING TAX - VALUE ADDED TAX - TAX AUDIT - TRANSFER PRICING - TAX ACCOUNTING
INDONESIA SAFETY CENTER - ADVANCE & CERTIFIED SAFETY - AK3 - HSE & SAFETY MANAGEMENT - ISO - HEALTH & INDUSTRIAL HYGINE
INDONESIA PRODUCTIVITY AND QUALITY INSTITUTE - ADVANCE QUALITY - BUSINESS PROCESS MGT. - FOOD AND AGRO - ENVIRO AND ENERGY
IT GOVERNANCE INDONESIA Permata Kuningan lt. 17 Kawasan Bisnis Epicentrum HR. Rasuna Said Jl. Kuningan Mulia Kav.9C Telp: 021 29069519 Fax: 021 8370 8681