Rekomendasi Rencana Tanggap Darurat Dan Penentuan Prioritas Pemulihan Aplikasi Kritikal Pada Keadaan Darurat Di Bank X

T E K N O S I M 2009 Yogyakarta, 12 November 2009 Rekomendasi Rencana Tanggap Darurat Dan Penentuan Prioritas Pemulihan Aplikasi Kritikal Pada Keadaan Darurat Di Bank X Erlinda Muslim, Zulkarnain, dan Luciana Rachel Sentausa Departemen Teknik Industri Fakultas Teknik Universitas Indonesia, Depok 16424 Email : [email protected], [email protected], [email protected] Intisari Kehadiran bencana tidak dapat diduga atau dihindari. Definisi bencana sendiri telah mengalami perubahan makna dari bencana alam menjadi keadaan darurat yang berpengaruh negatif bagi kelangsungan bisnis dan industri. Dalam menjalankan proses bisnis Bank X terdapat beberapa potensi gangguan yang secara langsung maupun tidak langsung dapat mengganggu proses bisnis Bank X. Bagi Bank X, terjadinya gangguan tidak hanya mengakibatkan kerugian sesaat, namun akan bertambah parah apabila Bank X tidak mampu mengembalikan proses bisnis utama dalam periode waktu yang dapat diterima. Untuk mengantisipasi hal tersebut, perlu direncanakan kegiatan-kegiatan yang diperlukan dalam memulihkan keadaan dan proses bisnis pasca terjadinya bencana yang tepat dan sesuai dengan karakteristik Bank X. Pertimbangan dalam melakukan pemulihan keadaan pasca bencana antara lain proses bisnis yang diprioritaskan, aset yang dibutuhkan, waktu tertunda yang dapat diterima, biaya yang dapat ditoleransi serta prioritas pemulihan dan derajat kritikalitas dari masing-masing aset. Penelitian ini difokuskan pada 9 aplikasi kritikal yang dimiliki Bank X, yang akan membahas secara lebih detail tentang analisa dampak bencana terhadap kelangsungan proses bisnis masing-maisng aplikasi, penentuan prioritas pemulihan dan rekomendasi metode backup sebagai upaya pemulihan aplikasi kritikal pada saat terjadi keadaan darurat. Kata Kunci: Rencana tanggap darurat, rencana pemulihan, bencana, backup aplikasi kritikal

Pendahuluan Dalam menjalankan suatu proses bisnis, sebuah organisasi dituntut untuk selalu siap dalam mengantisipasi segala kemungkinan, termasuk terjadinya hal-hal yang tidak diinginkan, seperti bencana dan bahaya. Seiring dengan perkembangan zaman, bencana berkembang tidak hanya disebabkan oleh peristiwa alam. Terorisme yang marak belakangan ini, menambah potensi terjadinya bencana, baik dalam bentuk pengeboman, pembajakan maupun tindakan anarkis berupa perusakan terhadap aset-aset penting dalam suatu organisasi. Bencana terjadi dengan frekuensi yang tidak menentu dan akibat yang ditimbulkannya meningkat bagi mereka yang tidak mempersiapkan diri terhadap kemungkinan-kemungkinan timbulnya bencana. Rencana pencegahan dan perbaikan terhadap bencana dapat membantu melindungi semua aset organisasi, termasuk sumber daya manusia, pekerjaan, data-data penting, dan fasilitas organisasi. Bank X sebagai Bank Sentral, mempunyai tugas untuk menetapkan dan melaksanakan kebijakan moneter, mengatur dan menjaga kelancaran sistem pembayaran, serta mengatur dan mengawasi bank. Dalam menjalankan tugasnya tersebut, Bank X juga menjalankan manajemen internal. Kelancaran Pelaksanaan tugas Bank X didukung oleh Teknologi Informasi yang aman dan handal. Teknologi Informasi yang aman dan handal memiliki karakteristik antara lain memiliki tingkat kerahasiaan, integritas, dan ketersediaan yang tinggi. Hal ini sangat diperlukan mengingat Bank X sebagai Bank Sentral banyak mengelola informasi yang bersifat rahasia maupun yang memiliki nilai yang tinggi. Di sisi lain, ancaman terhadap Teknologi Informasi semakin hari semakin meningkat. Untuk itu diperlukan berbagai upaya dan langkah untuk meningkatkan Pengamanan dan Pemulihan Teknologi Informasi Bank X. Salah satu aset teknologi informasi terpenting yang dibutuhkan Bank X dalam menjalankan proses bisnisnya adalah sistem aplikasi. Aplikasi merupakan perangkat lunak yang dirancang dan dibuat untuk memenuhi kebutuhan tertentu dalam rangka mendukung pelaksanaan tugas. Tujuan dari penelitian ini adalah melakukan kajian untuk mengetahui kriteria dari sautu aplikasi yang dikateorikan kritikal, berdasarkan hasil analisa kritikalitas, serta memberikan usulan mengenai pemilihan metode backup untuk masing-masing aplikasi kritikal sebagai bagian dari rencana Jurusan Teknik Mesin dan Industri FT UGM ISBN 978-602-8125-51-2

127

T E K N O S I M 2009 Erlinda Muslim, Zulkarnain, Luciana Rachel Sentausa tanggap darurat dan strategi pemulihan pada saat terjadi bancana. Pada penelitian ini akan dilakukan penentuan prioritas pemulihan dan analisa kritikalitas terhadap masing-masing aplikasi kritikal yang telah ditetapkan oleh Forum Manajemen Teknologi Informasi Bank X (FMTI Bank X), menyusun kajian Business Impact Analysis (BIA) untuk masing-masing aplikasi kritikal, membuat rekomendasi penentuan kriteria aplikasi kritikal di Bank X, serta membuat rekomendasi pemilihan metode backup sebagai elemen penting dalam rencana tanggap darurat dan strategi pemulihan untuk aplikasi kritikal pada saat terjadi bencana Metode Penelitian Pengumpulan data dilakukan dengan kuesioner. Adapun informasi yang diperoleh melalui kuesioner ini adalah karakteristik masing-masing aplikasi kritikal yang terdapat di Bank X. Hasil dari kuesioner ini akan digunakan sebagai dasar penentuan RTO (Recovery Time Objective) dan RPO (Recovery Point Objective) untuk masing-masing aplikasi kritikal dimana pada tahap ini akan dilakukan analisis dampak bencana terhadap aplikasi kritikal sehingga perlu dilakukan treatment berupa pemilihan jenis dan metode backup yang tepat terhadap masing-masing aplikasi sesuai dengan prioritas pemulihan aplikasi kritikal pada keadaan darurat. Selain itu, hasil pengolahan data kuesioner juga akan digunakan sebagai bahan rekomendasi kepada FMTI (Forum Manajemen Teknologi Informasi) Bank X dalam penentuan kriteria aplikasi kritikal berdasarkan karakteristik yang dimiliki oleh masing-masing aplikasi kritikal. Penyebaran kuesioner dilakukan kepada dua kelompok responden. Kelompok responden pertama berasal dari Tim Pengembangan dan Pemeliharaan Aplikasi Direktorat Teknologi Informasi (PPA-DTI) sedangkan kelompok responden yang kedua merupakan personil dari unit kerja pemilik aplikasi kritikal. Berikut ini merupakan 9 aplikasi kritikal yang telah ditetapkan oleh Forum Manajemen Teknologi Informasi Bank X yang merupakan objek dari penelitian ini seperti yang terlihat pada tabel I, serta satuan kerja pemilik aplikasi kritikal ditampilkan pada tabel II. Tabel I. Aplikasi Kritikal di Bank X No No 1 2 3 4 5

Aplikasi KL1 KL2 AKT SSB DVS1

6

DVS2

7 8 9

DVS3 LPB WSB

Proses Bisnis Transaksi Settlement Kliring antar bank Pengelolaan sistem akunting Transaksi surat berharga Pengelolaan Transaksi Devisa Front office transaksi foreign exchange Sarana settlement transaksi treasury Pelaporan data oleh Bank Umum Pengawasan Perbankan Nasional

1 2 3 4 5 6 7 8 9

Tabel II. Satuan Kerja Pemilik Aplikasi Kritikal Aplikasi User (Satuan Kerja Pemilik Aplikasi) Direktorat Akunting dan Sistem KL1 DASP Pembayaran Direktorat Akunting dan Sistem KL2 DASP Pembayaran AKT DKI Direktorat Keuangan Intern SSB DPM Direktorat Pengelolaan Moneter DVS1 DPD Direktorat Pengelolaan Devisa DVS2 DPD Direktorat Pengelolaan Devisa DVS3 DPD Direktorat Pengelolaan Devisa Unit Khusus Manajemen LPB UKMI Informasi Direktorat Perizinan dan WSB DPIP Informasi Perbankan

Hasil dan Pembahasan Data yang didapat dari hasil penyebaran kuesioner kemudian diolah untuk mengetahui karakteristik aplikasi kritikal. Dari hasil pengolahan data, didapatkan beberapa informasi yang menjadi karaketeristik aplikasi kritikal, diantaranya adalah volume transaksi harian, nilai nominal transaksi harian, jumlah bank peserta, umlah KBX (Kantor Bank X di Indonesia selain kantor pusat), serta jumlah KPw (Kantor Perwakilan Bank X di luar negeri). Nilai Potential Downtime Cost dihitung dengan melihat kerugian finansial dari jumlah transaksi yang gagal dilakukan pada saat terjadi bencana. Pada Tabel III akan ditampilkan rekapitulasi hasil pengolahan data kuesioner kajian RPORTO aplikasi kritikal sebagai berikut:

Jurusan Teknik Mesin dan Industri FT UGM ISBN 978-602-8125-51-2

128

T E K N O S I M 2009 Erlinda Muslim, Zulkarnain, Luciana Rachel Sentausa Aplikasi Kritikal KL1 KL2 AKT SSB DVS1 DVS2 DVS3 LPB WSB

Tabel III. Rekapitulasi Data Kajian RPO-RTO Aplikasi Kritikal Volume Nilai Bank Proses Bisnis transaksi/ transaksi/hari KBX KPw Peserta hari (juta rupiah) Transaksi Settlement 50,000 240,000,000 > 100 37 4 Kliring antar bank 350,000 5,000,000 > 100 37 0 Pengaturan sistem akunting 23,000 130,000,000 61-80 37 4 Transaksi Surat Berharga 3,000 50,000,000 > 100 0 0 Transaksi Devisa 500 45,000 0 0 0 Transaksi Devisa 500 45,000 0 0 0 Transaksi Devisa 500 45,000 0 0 0 Pelaporan Bank Umum 0 0 > 100 37 0 Pengawasan Perbankan 0 0 0 37 0

Potential Downtime Cost (rupiah) 4,800,000,000 14,285,714 5,652,173,913 16,666,666,667 90,000,000 90,000,000 90,000,000 900,000 0

3.1. Prioritas Pemulihan Aplikasi Kritikal Untuk menentukan nilai prioritas pemulihan aplikasi kritikal digunakan Failure Mode, Effect, and Criticality Analysis (FMECA) sebagai alat bantu (tools) dalam melakukan analisa risiko. Terdapat dua tahapan yang dilakukan dalam FMECA, yaitu penentuan prioritas pemulihan dengan FMEA (Failure Mode, Effect Analysis) serta analisa kritikalitas melalui Criticality Analysis (CA). Pada FMEA dilakukan identifikasi terhadap potential failure mode, potential failure cause, serta potential failure effects untuk masing-masing aplikasi kritikal. Hasil pengolahan data dengan FMECA ditampilkan pada tabel IV. Prioritas pemulihan dilakukan berdasarkan nilai Risk Priority Number (RPN) yang didapatkan dengan rumus: RPN = Severity x Occurrence x Detection (1) Dimana: Severity: Penilaian dampak bencana Occurrence: Potensi terjadinya kegagalan dalam sebuah sistem atau proses Detection: Kemampuan deteksi suatu kontrol terhadap potensi kegagalan sistem atau proses Nilai Severity dan Occurrence ditentukan dengan mengacu pada Manajemen Risiko Bank X mengenai kriteria umum penentuan nilai dampak dan kecenderungan. Ketentuan dari Manajemen Risiko Bank X menggunakan skala 1-10, dengan klasifikasi untuk tiga kategori, yaitu LOW (skala 13), MEDIUM (skala 4-6), dan HIGH (skala 7-10). Manajemen Risiko Bank X melakukan penilaian dampak dari empat sudut pandang yaitu strategi, reputasi, operasional dan finansial. Risiko strategi merupakan risiko penetapan dan pelaksanaan rencana strategis dan kebijakan Bank X yang berdampak signifikan pada publik, dan penetapan dan pelaksanaan kebijakan dan atau peraturan pihak eksternal yang dapat berdampak pada pelaksanaan fungsi, tugas dan eksistensi Bank X. Reputasi berkaitan dengan risiko opini/persepsi stakeholder atau pemberitaan negatif yang dapat membentuk opini/persepsi negatif dan atau menurunkan kepercayaan stakeholder terhadap Bank X. Sedangkan risiko operasional merupakan risiko kelemahan proses bisnis internal, sumber daya manusia, dan sistem atau faktor eksternal. Dampak dari sisi finansial didapat dengan menghitung nilai nominal yang terjadi akibat kegagalan transaksi. Untuk menentukan nilai detection, penulis menggunakan referensi dari IPOMS (Indonesian Productions and Operations Management Society) yang juga menggunakan rentang skala dari nilai 1 hingga 10.

Jurusan Teknik Mesin dan Industri FT UGM ISBN 978-602-8125-51-2

129

aplikasi

aplikasi

aplikasi

aplikasi

aplikasi

aplikasi

Sistem down

Sistem down

Sistem down

Sistem down

Sistem down

Sistem down

SSB

DVS1

DVS2

DVS3

LPB

WSB

Bencana alam

Bencana alam

Bencana alam

Bencana alam

Bencana alam

Bencana alam

Bencana alam

Bencana alam

Bencana alam

Potential Failure Cause transaksi

transaksi

surat

W = Weight (Bobot)

Tidak terpenuhinya fungsi pengawasan perbankan

Terhambatnya proses pelaporan oleh bank umum

Terhambatnya proses penyelesaian transaksi devisa

Terhambatnya proses penyelesaian transaksi devisa

Terhambatnya proses penyelesaian transaksi devisa

Kegagalan berharga

Kegagalan sistem anggaran dan transaksi akunting

Proses kliring terhambat

Kegagalan settlement

Potential Failure Effect

Jurusan Teknik Mesin dan Industri FT UGM ISBN 978-602-8125-51-2

Keterangan: S = Strategi F = Finansial O = Operasional R = Reputasi

aplikasi

aplikasi

aplikasi

Sistem down

Sistem down Sistem down

Potential Failure Mode

AKT

KL2

KL1

Aplikasi Kritikal

10

10

9

9

9

9

9

9

10

S

0.3

0.3

0.3

0.3

0.3

0.3

0.3

0.3

0.3

W

7

7

9

9

9

9

8

8

10

O

0.2

0.2

0.2

0.2

0.2

0.2

0.2

0.2

0.2

W

7

8

8

8

8

9

7

9

9

R

Dampak

0.3

0.3

0.3

0.3

0.3

0.3

0.3

0.3

0.3

W

1

1

1

1

1

7

5

1

5

F

0.2

0.2

0.2

0.2

0.2

0.2

0.2

0.2

0.2

W

7

7

8

8

8

9

8

8

9

Seve rity

8

8

8

8

8

8

8

8

8

Occur rence

6

6

6

6

6

6

6

6

6

Detec tion

336

336

384

384

384

432

384

384

432

RPN

130

3

3

2

2

2

1

2

2

1

Rank

T E K N O S I M 2009 Erlinda Muslim, Zulkarnain, Luciana Rachel Sentausa Tabel IV. Failure Mode, Effect, and Criticality Analysis (FMECA)

T E K N O S I M 2009 Erlinda Muslim, Zulkarnain, Luciana Rachel Sentausa Tahapan selanjutnya dalam pengolahan data adalah melakukan analisas kritikalitas (Criticality Analysis, CA). Analisa kritikalitas ini dilakukan dengan menggunakan matriks kritikalitas. Penulis menggunakan referensi matriks dari NIST (National Institute of Standards and Technology) dimana pada matriks tersebut terdapat dua elemen risiko yaitu probability of failure dan severity of impact. Nilai severity of impact didapatkan dari hasil pengolahan data sebelumnya, yaitu dengan menjumlahkan hasil perkalian masing-masing kategori dampak dan bobotnya. Sedangkan untuk penentuan nilai probability of failure dilakukan dengan menggunakan parameter nilai p,dimana nilai p merupakan durasi waktu maksimum downtime yang masih dapat ditoleransi (maximum tolerable downtime) dibagi dengan lamanya durasi keseluruhan window time dari masing-masing aplikasi kritikal. Untuk penentuan nilai probability of failure dalam melakukan analisa kritikalitas menggunakan klasifikasi yang ditetapkan oleh USA Military Standard. Hasil pemetaan nilai severity of impact dan probability of failure untuk masing-masing aplikasi kritikal yang terdapat di Bank X kemudian diolah dengan menggunakan matriks kritikalitas sehingga didapatkan kategori criticality untuk masing-masing aplikasi kritikal, yang ditampilkan pada Tabel V. Tabel V. Criticality Analysis (CA) Aplikasi Kritikal

Severity of Impact

Probability of failure

Criticality

KL1

9

HIGH

0.2581

A

HIGH

KL2

7

HIGH

0.3077

A

HIGH

AKT

8

HIGH

0.2667

A

HIGH

SSB

9

HIGH

0.3478

A

HIGH

DVS1

8

HIGH

0.375

A

HIGH

DVS2

8

HIGH

0.375

A

HIGH

DVS3

8

HIGH

HIGH

7

HIGH

0.375 0.1111

A

LPB

B

HIGH

WSB

7

HIGH

0.1111

B

HIGH

Berdasarkan analisa kritikalitas, ternyata untuk seluruh aplikasi kritikal yang ada menghasilkan nilai ”HIGH”. Dengan hasil pengolahan data ini dapat dijadikan sebagai salah satu rekomendasi untuk penentuan kriteria aplikasi kritikal. 3.2 Usulan Penentuan Kriteria Aplikasi Kritikal FMTI Bank X telah menetapkan 9 buah aplikasi yang masuk ke dalam kategori kritikal. Namun sampai saat ini belum ada ketentuan yang baku mengenai kriteria atau parameter apa yang menjadi dasar penentuan kategori kritikal dari suatu aplikasi. Berdasarkan pengolahan data maupun analisis yang telah dilakukan penulis dalam penelitian ini, maka penulis bermaksud mengajukan rekomendasi dalam penentuan kriteria aplikasi kritikal. Diharapkan usulan ini dapat menjadi masukan bagi FMTI Bank X. Jika suatu ketika akan dikembangkan aplikasi baru di Bank X, maka aplikasi tersebut dapat diketahui apakah masuk ke dalam kategori kritikal atau tidak, dengan melihat kriteria atau parameter sebagai berikut: 1. Proses bisnis aplikasi kritikal harus menunjang salah satu dari fungsi 3 pilar Bank X, yaitu: Kebijakan moneter, sistem pembayaran, serta pengawasan perbankan nasional. 9 aplikasi kritikal yang telah ditetapkan FMTI Bank X telah memenuhi persyaratan ini. 2. Memiliki nilai RPO (Recovery Point Objective) dan RTO (Recovery Time Objective) yang tidak lebih dari 24 jam. Nilai RPO diukur dari besarnya jumlah data yang hilang yang masih dapat ditoleransi pada saat terjadi keadaan darurat, sedangkan nilai RTO merupakan waktu toleransi maksimum jika terjadi downtime terhadap suatu aplikasi krtitikal pada keadaan darurat. 3. Memiliki tingkat kritikalitas
HIGH Berdasarkan hasil analisa kritikalitas, suatu aplikasi dapat dikatakan kritikal jika menghasilkan nilai HIGH pada kategori criticality. Hal ini terbukti untuk 9 aplikasi yang telah ditentukan FMTI Bank Jurusan Teknik Mesin dan Industri FT UGM ISBN 978-602-8125-51-2

131

T E K N O S I M 2009 Erlinda Muslim, Zulkarnain, Luciana Rachel Sentausa X, seperti yang telah ditampilkan pada tabel V. 3.3 Rekomendasi Metode Backup Aplikasi Kritikal Tujuan akhir dari penelitian ini adalah memberikan rekomendasi yang terkait dengan pemilihan metode backup sebagai upaya pemulihan aplikasi kritikal pada keadaan darurat. Rekomendasi disusun dengan melihat nilai RTO dan RPO dari masing-masing aplikasi kritikal berdasarkan acuan dari beberapa referensi. Untuk penentuan strategi pemulihan, penelitian ini menggunakan referensi dari Veritas. Tabel VI merupakan rekomendasi yang diberikan penulis dalam pemilihan metode backup sebagai alternatif strategi pemulihan aplikasi kritikal pada keadaan darurat, dengan mempertimbangkan nilai RTO dan RPO serta hasil dari analisa kritikalitas dan prioritas pemulihan untuk masing-masing aplikasi kritikal yang terdapat di Bank X. Terdapat tiga jenis metode backup yang direkomendasikan untuk diimplementasikan sebagai alternatif strategi pemulihan aplikasi kritikal pada keadaan darurat di Bank X. Hal ini ditentukan berdasarkan nilai RTO dan RPO untuk masing-masing aplikasi kritikal. Ketiga metode tersebut adalah mirroring/clustering, synchronous replication, serta asynchronous replication. Tabel VI. Rekomendasi Metode Backup Berdasarkan Prioritas Pemulihan Aplikasi Kritikal pada Keadaan Darurat RTO Aplikasi

Criticality

Rekomendasi Metode Backup RTO

KL1 SSB KL2 AKT DVS1 DVS2 DVS3 LPB WSB

HIGH HIGH HIGH HIGH HIGH HIGH HIGH HIGH HIGH

RPO

Rank 1 1 2 2 2 2 2 3 3

0 dtk 0 dtk 2 jam 2 jam 3 jam 3 jam 3 jam < 18 jam < 18 jam

Tier 1 1 2 2 2 2 2 2 2

RPO 0 dtk 0 dtk < 5 mnt < 5 mnt < 5 mnt < 5 mnt < 5 mnt < 24 jam < 24 jam

Tier A A B B B B B B B

Mirroring / Clustering Mirroring / Clustering Synchronous Replication Synchronous Replication Synchronous Replication Synchronous Replication Synchronous Replication Asynchronous Replication Asynchronous Replication

Kesimpulan Penelitian ini menghasilkan beberapa hal, yaitu: 1. Penentuan prioritas pemulihan dan analisa kritikalitas untuk masing-masing aplikasi kritikal yang terdapat di Bank X 2. Kajian analisis dampak bencana terhadap proses bisnis (business impact analysis) untuk masingmasing aplikasi kritikal di Bank X 3. Usulan Penentuan Kriteria Aplikasi Kritikal yang dimiliki oleh Bank X 4. Rekomendasi pemilihan metode backup sebagai upaya pemulihan aplikasi kritikal pada saat terjadi bencana dan atau keadaan darurat di Bank X. Daftar Pustaka Karen Dye. (2002). Determining Business Risk For New Project and Risk Analysis. Disaster Recovery Journal, volume 15, Issue 2, Spring Marianne Swanson. (2003), Contingency Planning Guide for Information Technology Systems. National Institute of Standards and Technology, Washington DC, Hal. 103 Nick W. Carter. (1991). Disaster Management: A Disaster Manager’s Handbook. Asian Development Bank, Hal. 10 Ronald L. Krutz dan Russell Dean Vines. (2003). The CISSP Prep Guide. Gold Edition, Wiley Publishing Inc, Hal. 44 Thomas Wahle dan Greg Beatty. (2002). Emergency Management Guide forBusiness & Industry. Federal Emergency Management Agency, Washington DC, Vol.2, Hal.15 Tom Piseelo. (2003). How Much is enough? Disaster Recovery Journal, Volume 16, Issue 1 Jurusan Teknik Mesin dan Industri FT UGM ISBN 978-602-8125-51-2

132