Tugas Kuliah Proteksi dan Tehnik Keamanan Sistim Informasi Nama Mahasiswa: Usep Solehudin (7204000403)
Laporan ke-3 Penyusunan Paper
Judul Bab:
Perencanaan Keberlanjutan Bisnis dan Pemulihan dari Bencana Draft Isi: Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) adalah dua hal yang sangat penting dalam proses bisnis, namun jarang menjadi prioritas karena alasan harganya mahal dan sulit penerapannya. Apalagi bencana adalah hal yang umumnya diyakini karena faktor alam yang tak dapat diprediksi dan tak dapat dicegah atau pun dihindari, sehingga kalangan bisnis berkeyakinan bahwa pelanggan mereka akan memaklumi hal ini. Namun demikian dengan perkembangan tehnologi informasi, maka ditemukan tehnologi yang dapat menjamin keberlanjutan bisnis dan pemulihan dari bencana, yang lebih murah dan mudah penerapannya. Bahkan BCP dan DRP telah menjadi standar tersendiri bagi kalangan bisnis terutama yang berhubungan jalannya proses bisnis (aplikasi) dan penyimpanan data. Tujuan dari BCP dan DRP adalah menjaga bisnis tetap beroperasi meskipun ada gangguan dan menyelamatkan sistem informasi dari dampak bencana lebih lanjut.
A. Pengertian dan Perbedaan 1. Pengertian Business Continuity Plan (BCP) BCP adalah proses otomatis atau pun manual yang dirancang untuk mengurangi ancaman terhadap fungsi-fungsi penting organisasi, sehingga menjamin kontinuitas layanan bagi operasi yang penting. 2. Pengertian Disaster Recovery Plan (DRP) DRP adalah prosedure yang dijalankan saat BCP berlangsung (in action) berupa langkahlangkah untuk penyelamatan dan pemulihan (recovery) khususnya terhadap fasilitas IT dan sidtem informasi. 3. Perbedaan antara BCP dengan DRP Tujuan akhir dari BCP dan DRP adalah sama yaitu menjamin keberlangsungan proses bisnis penting/utama. DRP merupakan bagian atau subset dari strategi yang ada pada BCP dalam menghadapi bencana yang mengancam keberlangsungan proses bisnis penting. Pada saat bisnis requirement berubah dan mengharuskan adanya pemulihan/penyiapan dari fungsi-fungsi bisnis yang penting, maka solusi/rencana yang dibuat adalah berupa BCP. Dalam banyak kasus BCP tidak dikontrol oleh unit TI, biasanya ditangani oleh bagian sekuriti organisasi atau keuangan.
Sedangkan DRP adalah murni domain dari TI, bagian TI-lah yang menghasilkan DRP. Segala sesuatu umumnya berfokus kepada “bagaimana memulihkan sistem data mereka”. Namun demikian perencanaan memerlukan keterlibatan unit lain dan dukungan dari DRP yang scopenya lebih besar.
B. Business Contiunity Plan 1. Manfaat BCP Proses perencanaan suatu business continuity plan (BCP) akan memungkinkan organisasi menemukan dan mengurangi (reduce) ancaman-ancaman, merespon (respond) suatu peristiwa ketika peristiwa itu terjadi, pulih (recover) dari dampak langsung suatu peristiwa dan akhirnya mengembalikan (restore) operasi seperti semula. Reduce, respond, recover dan restore ini lebih dikenal sebagai Empat R di BCP. 2. Business Continuity dan Service Level Agreements • • • • •
Role of the Service Level Agreement Assessing the Impacts of a Service Disruption Continuity Risks and Vendor Selection Command Control and Communications Structure Common Oversights in Establishing Service Level Agreements
3. Dua puluh Fakta tentang keberlanjutan bisinis 1. Prevention costs less than recovery, and it’s faster. 2. If the real estate is cheap, there’s a reason. 3. Don’t put all your eggs in one basket. 4. When disaster strikes, the first thing to disappear is your plan. 5. When disaster strikes, competitors notice. 6. The first time your insurance policy is absolutely crystal clear is after the disaster. 7. Your home, life and automobile are insured … that should just about cover it – not. 8. The ‘Three Ps’ of disaster planning: People, Property, Priorities (business), and here’s three more: Practice, Practice, Practice 9. Tailor your business continuity investments to likely threats and key priorities. 10. Protect your people first, because if something goes wrong everything else can be replaced. 11. Recovery is like a recipe: everything has to come together at the right time and in a useable form. 13. If leaders haven’t been part of the planning process then don’t expect them to follow the plan. 14. Your employees’ first priority is their families. 15. Employees will do extraordinary things to help recover, but be prepared to provide direction. 16. Disasters have a way of sorting out your friends. 17. Regional disasters have a way of mandating priorities you weren’t even aware of. 18. Recovery planning software manages your plan data, it won’t plan for you. 19. The title says ‘20 Truths.’ Never believe what you read, particularly in a drp. 20. Always expect proof.
4. Pengembangan BCP • Pembuatan Cakupan dan Rencana • Businis Impact Assessment (BIA) • Pembuatan BCP • Persetujuan dan Implementasi
5. Proses Pembuatan BCP • Pertimbangan dalam BCP • Komponen/Format BCP
C. Disaster Recovery Plan 1. Manfaat DRP • Melindungi organisasi dari kegagalan layanan komputer utama • Meminimalisasi risiko organisasi terhadap penundaan (delay) dalam penyediaan layanan • Menjamin kehandalan dari sistem yang sedia melalui pengetesan dan simulasi • Meminimalisasi proses pengambilan keputusan oleh personal/manusia selama bencana. 2. Pengertian Bencana dan Jenisnya Bencana dalam kaitan berpotensi mengancam keberlangsungan proses bisnis. Bencana meliputi yang alami dan karena manusia baik disengaja maupun tidak.
3. Modeling events to affect a recovery Tingkatan kejadian bencana bedasarkan luas dampaknya terhadap lingkup organisasi, dan pemulihannya. 4. Proses Pengembangan DRP
• •
Perencanaan Keberlanjutan Pemrosesan Data Pemeliharaan Rencana Pemulihan Data
5. Format DRP • Identifikasi Komponen Keberlanjutan Bisnis yang menjadi fokus • Batasan yang akan dilindungi • Prioritas fungsi-fungsi bisnis • Menentukan Lokasi, frekuensi dan kebutuhan waktu • Menentukan Biaya yang diperlukan 6. Strategi Pemulihan • Pada mainframe atau fasilitas jaringan: o Duplikasi Fasilitas Proses Informasi o Hot sites o Warm sites o Cold sites o Perjanjian dengan perusahaan lain • Strategi telekomunikasi o Network redundancy o Alternative routing o Long haul network diversity o Protection of local loop o Voice recovery • Strategi keberlanjutan bisnis o Tidak melakukan apa-apa sampai fasiltas pemulihan berfungsi
o o o
Melakukan prosedur manual Fokus pada proses penting Pakai PC hanya untuk data capture dengan pengolahan minimal
7. Integrasi backup and recovery
8. Pemilihan lokasi pemulih dari bencana • Jarak dari Fasilitas Utama • Potensi Risiko dari Bencana • Ketersediaan staff setempat • Ketersediaan dan kualitas tenaga listrik/baterei • Nearby Fiber Routes • Specific IT Criteria • Tax Incentive
9. Sistem pemulihan berbasis Internet • Internet based data backup • Encrypted data transmission between local and remote site • Real-time data backup • Automatic services switching
10. Disaster Recovery Procedures
11. Disaster Recovery Center
D. Implementasi (BCP/DRP untuk small bisnis) Sasaran utama dari rencana pemulihan bencana ini adalah untuk membantu meyakinkan sistem operasional yang berkelanjutan mencakup ketersediaan data. Sasaran khusus dari rencana ini termasuk : A) Untuk menjelaskan secara rinci langkah-langkah yang harus diikuti B) Untuk meminimisasi kebingungan, kekeliruan, dan biaya bagi perusahaan. C) Untuk bekerja cepat dan lengkap atas pemulihan bencana. D) Untuk menyediakan proteksi yang berkelanjutan terhadap aset IT. Tugas-Tugas: 1. Manajemen Team Leader Bertanggung jawab penuh untuk mengkoordinir strategi pemulihan bencana. Meyakinkan bahwa seluruh karyawan sadar atas kebijakan pemulihan bencana dan tanggung jawab mereka untuk melindungi informasi perusahaan.Tugas-tugas antara lain: * Memimpin pemulihan bencana * Mengumumkan rencana pemulihan bencana. * Menunjuk Koordinator pemulihan bencana.
2. Koordinator Pemulihan Bencana Bertanggung jawab Untuk mengkoordinir pengembangan pemulihan bencana seperti digambarkan oleh kebijakan. Mengarahkan implementasi dan uji coba rencana. Tugas-tugas antara lain: * Mengkoordinasikan seluruh aktifitas karyawan terhadap pemulihan bencana. * Menyelenggarakan program kesadaran pemulihan bencana ke Departemen IT dan departemen terkait. * Bertanggung jawab untuk menjaga inventori aset IT yang terkini. * Mengelola pengetesan dan laporan hasil tes. 3. Koordinator Pemulihan Bencana Bertanggung jawab Untuk mengkoordinir pengembangan pemulihan bencana seperti digambarkan oleh kebijakan. Mengarahkan implementasi dan uji coba rencana. Tugas-tugas. * Mengkoordinasikan seluruh aktifitas karyawan terhadap pemulihan bencana. * Menyelenggarakan program kesadaran pemulihan bencana ke Departemen IT dan departemen terkait. * Bertanggung jawab untuk menjaga inventori aset IT yang terkini. * Mengelola pengetesam dan laporan hasil tes
E. Best Practices dan Issu lainnya 1. Best practices for prevention, recovery • Backup • Covering Prevention • Consructing a Cure • Combating the Unknown
2. Issu-issu Disaster Recovery lainnya
Referensi: 1. Buku a. The CISSP, Wiley. b. Managing the IT Resources, Luftman 2. Internet a. www.drj.com b. http://ebizzasia.com/0109-2003/callcenter,0109,02.htm c. http://www.chiefsecurityofficers.com/bcp.html 3. Materi Kuliah
