UNIVERSITAS INDONESIA
PERANCANGAN BUSINESS CONTINUITY PLAN (BCP) TERHADAP LAYANAN TEKNOLOGI INFORMASI : STUDI KASUS INSTANSI ALT
KARYA AKHIR
DIDIT WINDHI HARMOKO 1106121673
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2014
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
UNIVERSITAS INDONESIA
PERANCANGAN BUSINESS CONTINUITY PLAN (BCP) TERHADAP LAYANAN TEKNOLOGI INFORMASI : STUDI KASUS INSTANSI ALT
KARYA AKHIR Diajukan sebagai satu syarat untuk memperoleh gelar Magister Teknologi Informasi
DIDIT WINDHI HARMOKO 1106121673
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2014
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
HALAMAN PERNYATAAN ORISINALITAS
ii
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
HALAMAN PENGESAHAN
iii
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
KATA PENGANTAR
Assalamu’alaikum Wr. Wb.
Segala puji dan syukur penulis ucapkan ke hadirat Allah SWT sembari mengharapkan ridho-Nya, yang telah melimpahkan rahmat-Nya sehingga penulis dapat menyelesaikan karya akhir yang berjudul “Perancangan Business Continuity Plan (BCP) terhadap layanan Teknologi Informasi : Studi Kasus Instansi ALT”. Karya akhir ini disusun sebagai salah satu persyaratan meraih gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer – Universitas Indonesia. Penulis menyadari sepenuhnya, bahwa sejak masa perkuliahan sampai pada penyusunan karya akhir ini tidak terlepas dari bantuan dan bimbingan berbagai pihak. Untuk itu pada kesempatan ini penulis ingin menyampaikan terima kasih dan penghargaan yang setinggitingginya kepada 1.
Bapak Rizal Fathoni Aji,M.Kom. selaku dosen pembimbing, yang telah menyediakan waktu, tenaga dan pikiran untuk mengarahkan dan memberikan bimbingan kepada saya dalam menyusun karya akhir ini;
2.
Seluruh dosen dan karyawan Magister Teknologi Informasi, Fakultas Ilmu Komputer – Universitas Indonesia;
3.
Orang tua dan adik saya yang telah memberikan doa dan dukungan tiada henti;
4.
Isteri dan anak tercinta, yang telah setia mendampingi dan memberikan semangat selama studi hingga tugas akhir ini selesai;
5.
Rekan-rekan di Sekretariat Wakil Presiden – Kementerian Sekretariat Negara;
6.
Teman-teman MTI SC 2011, atas kebersamaan kita selama ini; dan
7.
Semua pihak yang tidak dapat disebutkan namanya satu persatu.
iv
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
Penulis menyadari akan segala keterbatasan dan kekurangan dari isi maupun tulisan karya akhir ini. Oleh karena itu, kritik dan saran yang bersifat membangun dari semua pihak masih dapat diterima dengan senang hati. Semoga hasil penelitian ini dapat memberikan manfaat dan kontribusi bagi pengembangan ilmu pengetahuan di masa depan. Wassalamu’alaikum Wr. Wb.
Jakarta,
Juni 2014
Penulis
v
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS
vi
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
ABSTRAK
Nama Program Studi Judul
: : :
Didit Windhi Harmoko Magister Teknologi Informasi Perancangan Business Continuity Plan (BCP) terhadap layanan Teknologi Informasi. Studi kasus: Instansi ALT
Instansi ALT merupakan salah satu satuan kerja (satker) yang berada dibawah naungan Kementerian Sekretariat Negara (Kemensetneg) yang mempunyai tugas memberikan pelayanan prima kepada VVIP secara profesional, transparan dan akuntabel. Dalam penyelenggaraan kegiatan operasional, instansi ALT memanfaatkan peran teknologi informasi sebagai sarana pendukung pada lingkup internal maupun eksternal. Ketersediaan dan kehandalan layanan berbasiskan teknologi informasi merupakan hal yang sangat penting, sehingga perlu adanya perencanaan guna menjamin kesinambungan kegiatan bisnis yang diakibatkan oleh gangguan maupun bencana. Hal ini sesuai dengan tujuan strategis organisasi yang diperkuat oleh Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik pasal 17 ayat 1. Dikarenakan pentingnya hal tersebut, maka perlu dirancang rencana kesinambungan bisnis yang baik untuk instansi ALT. Proses perancangan Business Continuity Plan (BCP) yang dilakukan menggunakan kerangka acuan NIST SP 800-34 rev.1. Tahapan awal dalam perancangan BCP adalah melakukan identifikasi kebijakan, sistem informasi, perangkat keras maupun jaringan. Dilanjutkan dengan melakukan analisis dampak bisnis serta identifikasi dan penilaian risiko terhadap aset yang dimiliki oeleh instansi ALT. Kemudian menentukan strategis kesinambungan yang meliputi aspek pemulihan, evakuasi darurat maupun restorasi fungsi pada saat terjadi gangguan ataupun bencana. Pada akhirnya pembentukan manajemen krisis sebagai pelaksana proses kesinambungan bisnis. Hasil dari perancangan BCP ini diharapkan dapat membantu menjamin ketersediaan dan kehandalan layanan teknologi informasi yang ada pada instansi ALT ketika terjadi gangguan maupun bencana. Kata Kunci : Bencana, Business Continuity Plan, Kesinambungan Bisnis, Risiko xiii+ 80 halaman; 17 gambar; 22 tabel; 7 lampiran
vii
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
ABSTRACT
Nama Program Studi Judul
: : :
Didit Windhi Harmoko Magister Teknologi Informasi Business Continuity Plan (BCP) design to Information Technology services. A case study of the ALT agencies
ALT agencies is one unit of work under auspices the Ministry of State Secretariat (Kemensetneg) which has the task of providing excellent services to VVIP in a professional, transparent, and accountable. In the implementation of operational activities, ALT agencies are utilize role of information technology as a means of supporting in the internal and external scope. The availability and reliability of information technology-based services is an important thing, so it is necessary for planning to ensure continuity of business activity caused by disruption or disaster. This thing is in line with the strategic objectives of the organization and reinforced by Government Regulation No.82 Year 2012 about a implementation of Electronic Transaction System section 17 verse (1). Considering its importance, it is necessary to have a good business continuity plan for ALT agencies. The design process of the Business Continuity Plan (BCP) were performed using the NIST SP 800-34 rev.1 framework as a reference. Early stages in the design BCP is to identify policy, information systems, hardware and networks. Followed by conducting a business impact analysis and risk assessment as well as the identification of the assets owned by ALT agency. Then determine are strategic aspects of sustainability which includes recovery, emergency evacuation and restoration of function in the event of a disaster or disruption.Finally, the establishment of crisis management as the process of implementing a business continuity. Results from the BCP design is expected to help ensuring the availability and reliability of existing information technology services when an interrupt and disasters to ALT agencies. Key Word : Disaster, Business Continuity Plan, Business Continuity, Risk xiii+ 80pages; 17figures; 22tables; 7attachments
viii
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
DAFTAR ISI HALAMAN JUDUL.............................................. Error! Bookmark not defined. HALAMAN PENGESAHAN............................................................................................ iii KATA PENGANTAR ........................................................................................................iv ABSTRAK .........................................................................................................................vii ABSTRACT...................................................................................................................... viii DAFTAR GAMBAR ..........................................................................................................xi DAFTAR TABEL.............................................................................................................. xii DAFTAR LAMPIRAN ..................................................................................................... xiii BAB 1 PENDAHULUAN ................................................................................................. 1 1.1. Latar Belakang..................................................................................................... 1 1.2. Perumusan Masalah ............................................................................................. 2 1.3. Ruang Lingkup .................................................................................................... 5 1.4. Tujuan dan Manfaat ............................................................................................. 5 1.5. Sistematika Penulisan .......................................................................................... 5 BAB 2 TINJAUAN PUSTAKA ........................................................................................ 7 2.1. Pengertian Business Continuity ........................................................................... 7 2.1.1. Business Continuity Management(BCM) ................................................. 7 2.1.2. Business Continuity Plan (BCP) ............................................................... 9 2.2. Tahapan Penyusunan BCP................................................................................. 10 2.3. Analisa Dampak Bisnis (Business Impact Analysis) ......................................... 11 2.4. Penilaian Risiko (Risk Assessment) ................................................................... 11 2.5. NIST SP 800-34 rev.1 ....................................................................................... 14 2.6. Virtualisasi ......................................................................................................... 16 2.7. Penelitian Rujukan............................................................................................. 19 2.8. Theoritical Framework ...................................................................................... 20 BAB 3 METODOLOGI PENELITIAN .......................................................................... 22 3.1. Tahapan Penelitian ............................................................................................ 22 3.2. Metode Pengumpulan Data ............................................................................... 24 3.3. Metode Analisis Data ........................................................................................ 25 BAB 4 PROFILE ORGANISASI .................................................................................... 26 4.1. Gambaran Umum .............................................................................................. 26 4.2. Rencana Strategis .............................................................................................. 29 BAB 5 PEMBAHASAN ................................................................................................. 31 5.1. Identifikasi Kebijakan dan Regulasi .................................................................. 31 5.2. Identifikasi Sistem Informasi............................................................................. 32 5.3. Identifikasi Perangkat Keras .............................................................................. 33 5.4. Identifikasi Jaringan .......................................................................................... 36 5.5. Analisa Dampak Bisnis (Business Impact Analysis) ......................................... 38 5.6. Identifikasi dan Penilaian Risiko ....................................................................... 46 5.7. Strategi Kesinambungan Bisnis ......................................................................... 64 5.7.1 Aspek Pemulihan Bencana ...................................................................... 64 5.7.2. AspekEvakuasi Darurat .......................................................................... 68 5.7.3. Aspek Restorasi Fungsi .......................................................................... 71 5.8. Struktur Organisasi Tim Business Continuity Plan ........................................... 71 5.8.1. BCP Coordinator .................................................................................... 73
ix
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
5.8.2. Alternated BCP Coordinator................................................................... 74 5.8.3. Tim Damaged Assesment ....................................................................... 74 5.8.4. Tim Networks, Servers and Applications Recovery ............................... 75 5.8.5. Tim Databases Recovery ........................................................................ 75 5.8.6. Tim PC and Software Recovery ............................................................. 75 5.8.7. Tim Telecommunication Recovery ........................................................ 76 BAB 6 PENUTUP .......................................................................................................... 77 6.1. Kesimpulan ........................................................................................................ 77 6.2. Saran .................................................................................................................. 78 DAFTAR PUSTAKA ....................................................................................................... 79
LAMPIRAN .......................................................................................................... 81
x
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
DAFTAR GAMBAR
Gambar 1.1. Diagram Tulang Ikan...............................................................
4
Gambar 2.1. Framework BCM.....................................................................
8
Gambar 2.2. Business Continuity Process Life Cycle..................................
10
Gambar 2.3. Risk Management Process.......................................................
12
Gambar 2.4. Contingency Planning Process................................................
14
Gambar 2.5. Skema Full Virtualization........................................................
18
Gambar 2.6. Skema Partial Virtualization...................................................
18
Gambar 2.7. Skema Hardware-assisted Virtualization................................
19
Gambar 2.8. Theoritical Framework............................................................
21
Gambar 3.1. Tahapan Penelitian...................................................................
22
Gambar 4.1. Struktur Organisasi instansi ALT............................................
27
Gambar 4.2. Struktur Organisasi Pengelola TI.............................................
28
Gambar 5.1. Proses Bisnis pada instansi ALT.............................................
31
Gambar 5.2. Topologi Jaringan LAN instansi ALT.....................................
36
Gambar 5.3. Topologi Jaringan WAN instansi ALT....................................
37
Gambar 5.4. Topologi Jaringan Situs Alternatif........................................... 70 Gambar 5.5. Susunan Tim BCP instansi ALT.............................................. 72
xi
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
DAFTAR TABEL
Tabel 1.1. Daftar gangguan layanan TI........................................................
3
Tabel 5.1. Identifikasi Sistem Informasi pada instansi ALT........................
32
Tabel 5.2. Identifikasi Perangkat Keras pada instansi ALT........................
34
Tabel 5.3. Pemetaan Sistem Informasi dengan layanan pada instansi ALT.
38
Tabel 5.4. Rekapitulasi data kuisioner pada instansi ALT...........................
40
Tabel 5.5. Analisis Dampak Bisnis terhadap Sistem Informasi....................
42
Tabel 5.6. Kebutuhan RTO dan RPO...........................................................
44
Tabel 5.7. Komponen Sistem Informasi.......................................................
45
Tabel 5.8. Prioritas pemulihan Sistem Informasi.........................................
46
Tabel 5.9. Faktor kelemahan dan ancaman terhadap aset............................
47
Tabel 5.10. Tingkatan kecenderungan..........................................................
50
Tabel 5.11. Tingkatan dampak......................................................................
50
Tabel 5.12. Penilaian kecenderungan dan dampak terhadap aset.................
51
Tabel 5.13. Matriks nilai risiko.....................................................................
54
Tabel 5.14. Tingkatan nilai risiko.................................................................
54
Tabel 5.15. Penilaian risiko beserta rencana perbaikan................................
55
Tabel 5.16. Prioritas risiko terhadap aset.....................................................
62
Tabel 5.17. Keterkaitan hubungan antara Sistem Informasi dan aset..........
63
Tabel 5.18. Kebutuhan teknologi pemulihan...............................................
64
Tabel 5.19. Kritera situs pemulihan.............................................................
67
Tabel 5.20. Daftar Nomor Telepon Layanan Darurat di DKI Jakarta.........
69
Tabel 5.21. Daftar Kontak tim BCP pada instansi ALT...............................
73
xii
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
DAFTAR LAMPIRAN
Lampiran 1.Transkrip hasil wawancara.......................................................
81
Lampiran 2.Identifikasi pengaruh Sistem Informasi Website.....................
84
Lampiran 3.Identifikasi pengaruh Sistem Informasi Keuangan..................
86
Lampiran 4.Identifikasi pengaruh Sistem Informasi Kehadiran.................
88
Lampiran 5.Identifikasi pengaruh Sistem Informasi Persuratan..................
90
Lampiran 6.Identifikasi pengaruh Sistem Informasi Perpustakaan.............
92
Lampiran 7.Identifikasi pengaruh Sistem Informasi Email.........................
94
xiii
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
BAB 1 PENDAHULUAN
Bab ini berisikan tentang latar belakang melakukan penelitian, perumusan masalah, ruang lingkup masalah, tujuan serta manfaat penelitian tentang perancangan Business Continuity Plan pada instansi ALT. 1.1. Latar Belakang Instansi ALT merupakan salah satu satuan kerja dari lembaga pemerintah yang berfungsi sebagai pendukung administrasi bagi VVIP. Dalam fungsi administrasi, instasi ALT mengimplemetasikan Teknologi Informasi yang memadai sebagai salah satu misi organisasi. Layanan Teknologi Informasi yang digunakan saat ini dibedakan dalam dua kategori yaitu internal dan eksternal. Maksud kategori internal ialah layanan TI baik infrastruktur maupun aplikasi yang peruntukannya khusus para pegawai di lingkungan instansi ALT, sedangkan kategori eksternal ialah layanan TI yang peruntukannya umum atau publik.
Layanan TI yang
bersinggungan dengan publik adalah merupakan sarana ataupun media penyampaian informasi mengenai kiprah VVIP serta kebijakan pemerintah, dan sarana komunikasi selain telepon ataupun surat. Untuk layanan yang digunakan khusus internal instansi ALT adalah merupakan alat bantu dalam pengelolaan anggaran yang bersumber dari APBN serta pencatatan kehadiran kerja pegawai sebagai upaya dalam penerapan displin sesuai Peraturan Pemerintah Nomor 53 Tahun 2010. Dalam kondisi saat ini kedua katagori tersebut layanan TI berperan sebagai enabler kegiatan operasional pada instasi ALT. Sebagai enabler idealnya layanan TI dituntut dapat memberikan kinerja yang optimal, namun realitasnya masih sering dijumpai kendala-kendala yang menghambat kegiatan operasional instansi ALT.
1
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
2
1.2. Perumusan Masalah Berdasarkan latar belakang yang telah dikemukakan, bahwa layanan TI belum dapat memenuhi kebutuhan kegiatan operasional di lingkungan instansi ALT. Kondisi saat ini infrastruktur layanan TI pada instansi ALT bersifat heterogen. Perangkat lunak yang mendukung layanan TI dikembangkan oleh beragam vendor. Perangkat keras yang dimiliki rata-rata sudah berumur lebih dari 6 tahun dengan keterbatasan kapasitas penyimpanan. Dalam operasional sehari-hari belum menerapkan sistem monitoring yang dapat memberikan peringatan dini akan adanya gangguan terhadap perangkat keras maupun perangkat lunak, sehingga dapat meminimalisir terjadinya gangguan. Permasalah lain adalah sumber daya manusia sebagai pengelola layanan TI. Saat ini jumlah pengelola layanan TI pada instansi ALT tidak sebanding dengan kapasitas layanan TI yang harus ditangani, serta pengetahuan yang belum mencukupi. Sehingga untuk pengelolaan layanan TI secara teknis masih tergantung penuh oleh pihak ketiga. Dalam struktur organisasi pengelolaan TI di instansi ALT, terdapat pembagian tugas dan fungsi yang secara implisit tumpang tindih. Hal ini terdefinisikan berdasarkan Peraturan Menteri Sekretaris Negara No.2 Tahun 2011 tentang organisasi dan tata kelola Kementerian Sekretariat Negara pada pasal 394 yang berbunyi: 1.
Subbagian Jaringan Informasi dan Aplikasi mempunyai tugas melakukan pengelolaan dan pengendalian jaringan informasi internal dan pengelolaan aplikasi informasi.
2.
Subbagian Pemeliharaan dan Perawatan Sistem Informasi mempunyai tugas melakukan pemeliharaan dan perawatan sistem informasi.
Sehingga prosedur pemeliharaan layanan TI belum dapat dijalankan secara optimal. Selain itu instansi ALT belum mempunyai prosedur mengenai kesinambungan usaha atas layanan TI, sehingga saat terjadi gangguan hal yang dilakukan hanyalah memberikan pengertian serta pengumuman.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
3
Tanggal 30
Tabel1.1. Daftar gangguan layanan TI Masalah Durasi
September Terjadi gangguan pada
2013
website resmi instansi
3
jam,
Dampak
9 Website tidak
menit
dapat diakses
ALT, penyebab
maupun di
gangguan komunikasi
perbaharui
terhadap IIX DNS
informasinya
Server 3 Oktober 2013
Terjadi gangguan pada
1 jam, 26 Terhenti aktivitas
email, penyebab jalur
menit
pengiriman
internet dari PT. Telkom
maupun
terputus karena
penerimaan Email
perangkat gateway yang rusak 13 2013
Nopember Terjadi gangguan pada
3 hari
Mesin absensi
mesin absensi gedung 1,
tidak menyetorkan
penyebab koneksi LAN
data secara online
terputus karena switch rusak serta lokasi penempatan berubah 25 2013
Nopember Mesin absensi gedung 5
5 hari
Data diambil
datanya tidak bisa
secara manual
menyetorkan data secara online, penyebab terjadi IP duplikasi
Permasalahan pada faktor kebijakan berupa belum ada rencana stategis TI, sehingga pelaksanaan program kerja Bagian TI pada instansi ALT bersifat instruksional. Sedangkan dalam pelaksanaan realisasi penggunaan APBN diatur dalam Peraturan Presiden No. 70 Tahun 2012 tentang Pengadaan Barang dan Jasa Pemerintah, permasalahan adalah minimnya informasi maupun standarisasi Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
4
barang dan/atau jasa sebagai pedoman dalam penentuan Harga Perkiraan Sendiri (HPS). Berikut ini merupakan gambaran dalam perumusan permasalahan yang tertuang dalam diagram Fish Bone.
Gambar 1.1. Diagram Tulang Ikan
Melihat besarnya potensi kebutuhan layanan Teknologi Informasi dalam memenuhi kebutuhan kegiatan operasional yang dipengaruhi oleh kebijakan, sumber daya manusia, proses dan infrastruktur. Penulis menitikberatkan pada faktor proses yaitu belum adanya prosedur BCP, dimana suatu layanan yang baik didukung oleh proses yang efektif. Penulis dalam penelitian ini untuk membuat pemodelan BCP yang sesuai dengan kebutuhan instansi ALT. Penelitian ini akan menjawab pertanyaan penelitian “Bagaimana rancangan Business Continuity Plan (BCP) guna meningkatkan kesinambungan
layanan Teknologi
Informasidalam mendukung kegiatan operasional?”
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
5
1.3. Ruang Lingkup Ruang lingkup penelitian ini adalah perancangan rencana kesinambungan usaha (Business Contunuiy Plan) terhadap layanan TI pada instansi ALT. Penelitian ini diawali dengan melakukan studi literatur mengenai Business Continuity Plan, sehingga diperoleh kerangka kerja yang menjadi acuan dalam perancangan Business Continuity Plan (BCP). Pembahasan hanya dilakukan sebatas perancangan
Business
Continuity Plan
(BCP), dan tidak menyertakan
implementasi (deliver), uji coba (testing) maupun pemeliharaan (maintenance).
1.4. Tujuan dan Manfaat Tujuan dari penelitian ini adalah untuk mengetahui dan menentukan rancangan rencana kesinambungan usaha (Business Continuity Plan) terhadap layanan teknologi informasi yang memadai bagi instasi ALT. Manfaat dari penelitian ini adalah untuk memberikan masukan kepada pihak manajemen instansi ALT mengenai prosedur rencana kesinambungan usaha layanan teknologi informasi dalam pemenuhan kegiatan operasional. Selain itu organisasi dapat melindungi fungsi usaha vital terhadap gangguan, serta dapat melakukan proses pemulihan dengan tepat dan cepat. Sehingga kualitas layanan terhadap pengguna terjaga.
1.5. Sistematika Penulisan Dalam penyusunan proposal penelitian ini penulis membagi tulisan ke dalam 6 bab sebagai berikut : a.
Bab 1 adalah bagian pendahulan menguraikan penjelasan latar belakang beserta dengan rumusan permasalahan dan ruang lingkup penelitian, tujuan dan manfaat penelitian dan sistematika dari penulisan.
b.
Bab 2 adalah Studi literatur, bagian yang menguraikan berbagai teori-teori maupun referensi yang digunakan untuk mendukung penelitian ini. Pada bagian ini akan diuraikan teori mengenai hal-hal pokok mengenai Business Continuity Plan beserta kerangka kerjanya.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
6
c.
Bab 3 adalah bagian yang berisi penjelasan metodologi penelitian yang digunakan yang mencakup kerangka penelitian, kerangka berpikir dan metoda pengumpulan data .
d.
Bab 4 berisi profile instansi ALT, tugas dan fungsi organisasi serta tim pengelola layanan teknologi informasi.
e.
Bab 5 berisi analisis penulis terhadap data yang sudah dikumpulkan, sehingga menghasilkan rancangan rencana kesinambunganusahaterhadap layanan teknologi informasi pada instansi ALT.
f.
Bab 6 merupakan bab penutup pada karya akhir dan pada bab ini penulis akan memberikan kesimpulan dan saran atas permasalahan yang diteliti serta kelanjutan yang dapat dilakukan di penelitian ini.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
BAB 2 TINJAUAN PUSTAKA
Pada bab ini menjelaskan mengenai teori-teori yang berkaitan dengan perancangan business continuity plan,
penelitian rujukan yang dilakukan
sebelumnya dalam penanganan keadaan kontigensi, serta perumusan theoritical framework. 2.1. Pengertian Business Continuity Business Continuity mengalami perkembangan dalam beberapa tahun belakang. Hal ini dapat terlihat ada perkembangan kebutuhan pada semua sektor dan tipe organisasi, dimana pertama kali diperuntukan pada organisasi yang sudah mapan dengan miliki kebijakan yang ketat atas tingkat risiko yang tinggi (Jamie Watters, 2010). Pada dasarnya semua organisasi telah menyadari akan pentingnya suatu Business Continuity. Karena faktor penyebab adanya suatu insiden gangguan yang mengancam keberlangsungan siklus bisnis. Untuk perlu suatu mekanisme yang menjamin kontinuitas fungsi bisnis utama dalam segala keadaan (Jim Burtles, 2007). Mekanisme tersebut dinamakan Business Continuity Management, dengan salah satu unsur didalamnya Business Continuity Plan. 2.1.1. Business Continuity Management(BCM) Terdapat definisi mengenai BCM yang didapat dari beberapa literatur, sebagai berikut: a.
ManajemenKesinambunganBisnis / Business Continuity Management (Jamie Watters,2010) adalah perpaduan antara proses dan displin. Proses adalah perputaran secara bertahap dalam memastikan aktifitas kritis berjalan dengan semestinya. Displin merupakan sekumpulan individual maupun tim dalam organisasi yang bertanggungjawab berfungsinya tahapan dari daur hidup kesinambungan bisnis (business continuity life cycle).
b.
Business Continuity Management(BS 25999-2:2007, 2.4) merupakan proses manajemen
secara
holistik
7
pada
organisasi
dengan
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
8
mengidentifikasi timbulnya peluang ancaman yang berdampak terhadap operasional bisnis, dalam penerapannya membentuk suatu kerangka kerja yang dapat memberikan ketahanan serta kemampuan merespon secara efektif demi menjaga kepentingan stakeholder, reputasi, brand dan kegiatan pengembangan. c.
Business Continuity Management (Jim Burtles,2007) merupakan manajemen disiplin, proses dan teknik yang bertujuan dalam mendukung kontinuitas operasi dari fungsi bisnis utama dalam segala keadaan.
d.
Business Continuity Management (Vlasta Svata,2013) diibaratkan seperti payung yang dapat melingkupi berbagai aktifitas dan dokumen yang berbeda. Hal itu tercermin pada gambar 2.1. yang mengilustrasikan situasi keterhubungan antar aktifitas-aktifitas dan dokumen yang terkait terhadap BCM.
Gambar 2.1. Framework BCM (sumber:Journal of system integration, 2013 )
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
9
Pada gambar diatas aktifitas dan dokumen dapat dikelompokan berdasarkan asas fungsinya, yaitu:
Aktifitas manajemen meliputi Business Risk Management, IT Risk Management,
Business
Continuity
Management,
IT
Continuity
Management.
Dokumen meliputi Business Impact Analysis, Business Continuity Plan dan Disaster Recovery Plan.
Regulasi meliputi COSO ERM, ISO norm dan peraturan terkait lainnya.
Aktifitas penjaminan yaitu melaksanakan Audit.
2.1.2. Business Continuity Plan (BCP) Terdapat definisi mengenai BCP yang didapat dari beberapa literatur, sebagai berikut : a.
Business Continuity Plan (Jim Burtles,2007) adalah rencana yang proaktif dan komprehensif dalam mendukung kontinuitas operasi dari fungsi bisnis utama dalam segala keadaan.
b.
Business Continuity Plan (NIST SP800-34,2010) merupakan dokumen yang memuat instruksi ataupun prosedur mengenai bagaimana organisasi menjamin proses bisnis sesaat dan setelah terjadi gangguan.
c.
Business Continuity Plan (PP no.82, 2012) adalah suatu rangkaian proses yang dilakukan untuk memastikan terus berlangsungnya kegiatan dalam kondisi mendapatkan gangguan atau bencana.
d.
Menurut ISO 22301 bahwa Business Continuity Plan didefinisikan merupakan dokumen prosedur petunjuk pelaksanaan organisasi guna merespon, memulihkan, memperbaiki dan memulai kembali hal-hal dasar operasional dalam keadaan terjadi gangguan (Vlasta Svata,2013).
e.
Business Continuity Plan (PBI No.9/15/PBI/2007)
adalah kebijakan dan
prosedur yang memuat rangkaian kegiatan yang terencana dan terkoordinir mengenai
langkah-langkah
pengurangan
risiko,
penanganan
dampak
gangguan/bencana dan proses pemulihan agar kegiatan operasional Bank dan pelayanan kepada nasabah tetap dapat berjalan.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
10
2.2. Tahapan Penyusunan BCP Dalam penyusunan BCP melalui tahapan-tahapan yang mengalir secara sekuensial dan saling keterkaitan, sehingga membentuk suatu siklus hidup Business Continuity
Plan
Understan d
Maintain
Deliver
Test
Gambar 2.2. Business Continuity Process Life Cycle (sumber:Jamie Watters, 2010 )
Tahapan pertama dimulai dari Understand yaitu mengetahui proses-proses kritis, lanjut ke tahap Plan yaitu merencanakan pemeliharaan, lanjut ke tahap Deliver yaitu memberi dukungan atas solusi yang dirancang, lanjut ke tahap Test yaitu mengeksekusi atau menguji-coba, sampai ke tahap Maintain yaitu melakukan pemeliharaan dan kembali berkelanjutan ke tahap awal (Jamie Watters, 2010). Menurut Jamie Watters,2010 hal-hal yang harus dimiliki suatu organisasi dalam mengimplentasi Business Continuity adalah a.
Kebijakan terkait Business Continuity
b.
Mendefinisikan proses-proses bisnis
c.
Alat bantu dan kerangka kerja yang digunakan sebagai acuan
d.
Seseorang yang bertanggung-jawab
e.
Rencana kegiatan yang terkait Business Continuity
f.
Tanggung jawab yang jelas terkait kegiatan Business Continuity
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
11
2.3. Analisa Dampak Bisnis (Business Impact Analysis) Proses identifikasi dan pembobotan terhadap dampak yang timbul akibat gangguan dilihat dari sudut pandang finansial maupun non finansial (Jim Burtles,2007). Menurut NIST SP800-34,2010 BIA adalah mengidentifikasikan dan memprioritaskan faktor-faktor kritis dalam proses bisnis organisasi. Tahapan dalam melakukan BIA: a.
Determine mission/business processes and recovery criticality Mengidentifikasikan dampak yang timbul terhadap gangguan sistem yang mendukung proses bisnis baik berupa penghentian proses (outage) dan perkiraan waktu henti (estimated downtime). Perkiraan waktu henti menentukan toleransi waktu maksimum saat pemulihan.
b.
Identify resource requirements Mengidentifikasikan sumber daya mencakup fasilitas, personil, peralatan, software, file data, komponen sistem dan lain sebagainya guna melanjutkan proses bisnis organisasi.
c.
Identify recovery priorities for system resources Menentukan tingkatan prioritas sumber daya pada kegiatan pemulihan bisnis proses.
2.4. Penilaian Risiko (Risk Assessment) Proses untuk mengetahui dampak potensial dan kaitannya terhadap enterprise serta identifikasi aktifitas yang dapat mengurangi dampak. Hal ini termasuk dalam tahap kedua pada Risk Management (Jim Burtles,2007). Manajemen risiko ini perlu diimplementasi sedemikian rupa sehingga tidak hanya sekedar untuk memenuhi persyaratan kepatuhan (compliance), manajemen risiko perlu dipahami dan diterapkan sehingga dapat dirasakan manfaatnya (CDA,2013). Proses-proses dalam manajeman risiko dapat terlihat dalam diagram berikut:
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
12
Gambar 2.3. Risk Management Process (sumber:CDA, 2013 ) a.
Context definition Dalam proses ini adalah mendefinisikan berbagai macam hal agar di dapat kerangka kerja manajemen risiko (risk management framework) yang akan digunakan. Hal-hal yang didefinisikan antara lain: tujuan, sasaran, ruang lingkup, sumber daya, peran dan tanggungjawab, struktur risiko, pendekatan manajemen risiko, kriteria risiko (dampak, kecederungan, bobot), batasan risiko, pendekatan dalam merespon risiko, pemantauan risiko, manajemen kerugian.
b.
Risk identification Proses menentukan dan mendokumentasikan risiko yang dihadapi oleh organisasi, berdasarkan pengenalan ancaman, kerawanan, aset dan kontrol. Hasil dari tahap ini berupa daftar risiko (risk register).
c.
Risk assessment & analysis Pada proses ini dilakukan penilaian terhadap risiko dengan metode kuantitatif, dan akan terbentuk pemeringkatan dan profile dari risiko yang akan diterapkan pengontrolan.
d.
Risk mitigation Pada proses ini profile risiko yang ada diklasifikasikan dalam beberapa kriteria pilihan yaitu: Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
13
1) Risk Avoidance, kegiatan atau kondisi untuk menghindari risiko. 2) Risk
Mitigation,
kegiatan
yang
dilakukan
demi
mengurangi
kecenderungan dan/atau dampak terhadap risiko. 3) Risk Sharing (Transfer), melimpahkan sebagian atau memindahkan risiko kepada pihak diluar dari organisasi. 4) Risk Acceptance, penerimaan terhadap kecenderungan maupun dampak atas risiko yang ada. Dari kriteria pilih diatas maka dapat diterapkan kontrol yang diharapkan mengurangi risiko, adapun tipe kontrol yang dapat digunakan antara lain: 1) Preventive controls, yaitu kontrol untuk mencegah terjadinya risk events termasuk didalamnya directive controls dan deterrent controls. Kontrol ini berjalan sebelum terjadinya risk events. 2) Detective controls, kontrol yang memberitahu terjadinya risk events. Kontrol ini berjalan saat risk events terjadi. 3) Corrective controls, kontrol untuk memperbaiki risk events yang terjadi, memitigasi kerusakan (damage control) dan/atau mengembalikan kendali. Kontrol ini berjalan sesudah terjadinya risk event. Keluaran dari proses mitigasi adalah berupa daftar
kontrol (control
register). e. Risk monitoring and evaluation Pada tahapan ini adalah melakukan pantauan maupun mengevaluasi terhadap risiko-risiko dengan prioritas tertinggi dengan menggunakan indikator risiko (strategic, management/tactical, operational). f. Communication and reporting Proses ini merupakan pendokumentasian terhadap tahapan proses yang ada.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
14
2.5. NIST SP 800-34 rev.1 NIST Special Publication 800-34 standar yang keluarkan oleh National Institute of Standars and Technology dalam naungan U.S Department of Commerce, merupakan
pedoman
dalam
penyusunan
rencana
penanganan
darurat
(Contingency Planning). Pokok bahasan rekomendasi penyediaan strategi dan teknik umum untuk semua sistem berdasarkan jenis platform sebagai berikut: b. Client/Server system; c. Telekomunikasi system; dan d. Mainframe system.
Gambar 2.4. Contingency Planning Process (sumber: NIST SP 800-34 rev.1, 2010 )
Proses Contingency Planning didefinisikan menjadi tujuh tahapan, yaitu: 1. Develop Contingency Planning Process, menentukan kebijakan proses rencana kontinjensi pada organisasi dapat berupa peraturan perundangundangan
pemerintahan
setempat
maupun
standarisasi
internasional.
Kebijakan ini harus dapat bersifat melekat dan menyeluruh serta didukung oleh pimpinan tertinggi dalam organisasi.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
15
2. Conduct Business Impact Analysis, mengidentifikasikan dan memprioritaskan faktor-faktor kritis dalam proses bisnis organisasi. Tahapan dalam melakukan BIA: a. Determine mission/business processes and recovery criticality Mengidentifikasikan dampak yang timbul terhadap gangguan sistem yang mendukung proses bisnis baik berupa penghentian proses (outage) dan perkiraan waktu henti (estimated downtime). Perkiraan waktu henti menentukan toleransi waktu maksimum saat pemulihan. b. Identify resource requirements Mengidentifikasikan sumber daya mencakup fasilitas, personil, peralatan, software, file data, komponen sistem dan lain sebagainya guna melanjutkan proses bisnis organisasi. c. Identify recovery priorities for system resources Menentukan tingkatan prioritas sumber daya pada kegiatan pemulihan bisnis proses. 3. Identify Preventive Controls, menentukan tindakan control pencegahan yang didasarkan atas hasil identifikasi celah kerawanan serta analisis dampak gangguan sehingga dapat menstabilkan proses bisnis. 4. Create Contingency Strategies, menerapkan strategi kesinambungan bersifat menyeluruh pada proses mitigasi risiko yang meliputi kegiatan menyalin (backup), pemulihan (recovery), perencanaan keadaan darurat (contingency planning), pengujian (testing), dan pemeliharaan (maintenance). 5. Develop Contingency Plan, membuat dokumen mengenai rencanan keadaan darurat (contingency plan) yang memuat faktor kritis, analisa dampak gangguan, kontrol pencegahan, dan strategi pemulihan bisnis proses organisasi. 6. Plan Testing, Training and Exercises, melakukan pengujian (testing) terhadap strategi keadaan darurat agar organisasi dapat diukur tingkat kesiapan maupun efektifitas rencana keadaan darurat. Secara berkala organisasi harus melakukan pembelajaran (training) maupun pelatihan (exercise) agar memupuk tingkat kewaspadaan, kesiapan serta pemahaman atas strategi rencana keadaan darurat (Contingency Plan). Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
16
7. Plan Maintenance, melakukan reviu berkala terhadap dokumen rencana keadaan darurat (contingency plan document) atas keakuratan dan kompleksitas proses bisnis yang disesuaikan dengan perubahan organisasi. Unsur-unsur yang menjadi focus dalam melakukan reviu yaitu: a. Kebutuhan mengenai operasional (operational requirements); b. Kebutuhan mengenai keamanan (security requirements); c. Petunjuk teknis (technical procedures); d. Perangkat keras, lunak serta perangkat pendukung lainnya (tergantung jenis, speksifikasi dan jumlah); e. Informasi atas anggota tim penanganan keadaan darurat; f. Informasi representasi pihak ketiga, termasuk pengelola lokasi alternatif; g. Kebutuhan fasilitas sarana dan prasarana pada lokasi alternatif; h. Data yang bersifat vital baik fisik maupun digital. 2.6. Virtualisasi Virtualisasi adalah teknologi yang mengizinkan sistem komputer untuk membuat suatu sistem komputer bayangan di dalam sistem komputer tersebut. Secara umum teknologi virtualisasi mengacu pada cara menyembuyikan detail teknis melalui enkapsulasi, dengan tujuan untuk mempermudah proses modifikasi suatu sistem komputer atau data tanpa harus mengubah keseluruhan dari sistem komputer tersebut (Efrizal Zaida,2013). Pemanfaatan virtualisasi berguna untuk mengurangi jumlah fisik server, mengefisiensikan sumber daya server, meningkatkan ketersediaan server, membantu dalam pemulihan bencana, membantu dalam pelaksanaan pengujian dan pengembangan, serta mewujudkan administrasi server yang terpusat (Adriana, 2009). Teknologi virtualisasi menawarkan dengan berbagai kelebihan dari masingmasing metode virtualisasi, yang intinya agar terlepas dari ketergantungan secara fisik. Berikut beberapa keuntungan menggunakan teknologi virtualisasi (Efrizal Zaida,2013): a.
Penghematan, dengan virtualisasi pemanfaatan hardware lebih optimal dikarenakan adanya pengurangan penggunaan server fisik yang berimbas pada pengurangan biaya alat pendingin serta listrik. Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
17
b.
Menyederhanakan memonitor
pengelolaan
beberapa
server
dan dapat
pemeliharaan, dilakukan
dalam
secara
virtualisasi
terpadu
serta
menyederhanakan proses instalasi aplikasi dalam sistem. c.
Reliabilitas, dengan mengurangi jumlah server fisik maka infrastruktur akan menjadi lebih reliabel.
d.
Kemudahan backup, server-server yang berjalan pada sebuah mesin virtual dapat disimpan dalam sebuah image yang berisi seluruh konfigurasi sistem.
e.
Kemudahan standarisasi hardware, virtualisasi melakukan emulasi dan enkapsulasi hardware sehingga proses pengenalan dan pemindahan suatu hardware tertentu tidak menjadi masalah.
f.
Kemudahan upgrade, proses untuk penggantian maupun upgrade spesifikasi server mudah dilakukan
Software atau Firmware yang menciptakan mesin virtual pada hardware host sehingga memperbolehkan beberapa sistem operasi berjalan sekaligus dalam suatu komputer secara bersamaan disebut Hypervisor atau Virtual Machine Monitor (Efrizal Zaida,2013). Berikut beberapa kategori yang termasuk dalam lingkup virtualisasi, yaitu (Clark Scheffy, 2007): 1.
FullVirtualization, merupakan skema virtualisasi dengan memvirtualisasikan seluruh perangkat keras untuk sistem operasi tamu (guest). Menggunakan hypervisor sebagai penyelia yang mengemulasikan kode virtualisasi sistem operasi tamu dengan perangkat keras fisik, sehingga dapat menimbulkan banyak proses yang tentunya membutuhkan sumber daya yang besar.
Gambar 2.5. Skema Full Virtualization (sumber:Virtualization for Dummies, 2007)
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
18
2.
Partial Virtualization (paravirtualization), skema virtualisasi ini masih menggunakan hypervisor untuk berbagi akses perangkat keras kepada sistem operasi tamu. Namun pembedaannya pengemulasian kode virtualisasi sudah terintegrasi dengan sistem operasi, sehingga adanya peningkatan kinerja dibandingkan pada metode virtualisasi penuh.
Gambar 2.6. Skema Partial Virtualization (sumber:Virtualization for Dummies, 2007)
3.
Hardware-assisted Virtualization, skema virtualisasi tetap menggunakan hypervisor dalam mengemulasikan kode virtualisasi pada sistem operasi tamu. Namun posisi hypervisor terintegrasi pada arsitektur CPU sehingga dapat mengefektifkan emulasi kode virtualisasi guna meningkatkan kinerja operasional.
Gambar 2.7. Skema Hardware-assisted Virtualization (sumber:Virtualization for Dummies, 2007)
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
19
2.7. Penelitian Rujukan Pada tahun 2013, Prabowo Priyo Ardhianto melakukan penelitian yang berjudul “ Perancangan Business Continuity Plan (BCP): Studi Kasus PT. ABC”.Dalam penelitian ini penggalian permasalahan berdasarkan pada SDM, teknologi, lingkungan organisasi, serta prosedur dan standarisasi. Kerangka kerja penelitian berdasarkan BS-25999-1 dan BCI GPG 2008, sehingga terbentuk pola tahapan dalam perancangan BCP yang diawali dengan pembuatan kebijakan BCM sebagai landasan regulasi dalam melaksanankan BCP. Tahapan selanjutnya melakukan analisa dampak terhadap aset-aset yang mempengaruhi kegiatan operasional akibat terjadinya bencana, sehingga dapat diperkirakan kebutuhan pada proses pemulihannya serta penilaian terhadap risiko yang ada. Berdasarkan penilaian risiko dapat menentukan strategi yang ditetapkan dalam menjaga kesinambungan kegiatan operasional. Pada akhirnya dapat disusun secara sistematis menjadi dokumen perencanaan kesinambungan kegiatan (BCP). Penelitian selanjutnya pada tahun 2013, dilakukan oleh Andri Setiyaji dengan judul “Perancangan Disaster Recovery Plan di Badan Meteorlogi Klimatologi dan Geofisika (BMKG)”. Bertujuan untuk dapat meningkatkan ketersediaan layanan (service availability) dan kehandalan (reliability) pada semua proses bisnis di BMKG Pusat dan UPT. Kerangka kerja yang sebagai acuan adalah NIST SP 80030 tentang Risk Management Guide for Information Technology Systems. Tahapan awal dengan mengidentifikasi komponen aset sistem layanan yang kemungkinan berpengaruh terhadap proses bisnis di BMKG. Langkah selanjutnya melakukan penilaian risiko (risk assessment) yang dimulai dengan melakukan analisa value chain untuk menentukan proses inti BMKG serta analisa aset sistem informasi guna mengetahui aset yang bersifat kritikal. Tahapan selanjutnya dalam penilaian risiko
adalah
mengidentifikasikan
ancaman
(Threat)
dan
kelemahan
(Vulnerability) serta melakukan riviu kontrol yang telah diterapkan. Berikutnya melakukan determinasi kecenderungan (likelihood) dan analisa dampak (impact analysis). Akhirnya dapat ditentukan pemeringkatan risiko dan nilai risikonya, sehingga
dengan
demikian
dapat
diketahui
kontrol-kontrol
yang
direkomendasikan. Setelah tahapan penilaian risiko yaitu melakukan mitigasi Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
20
risiko (Risk Mitigation) serta analisa rencana kontijensi (Contigency Plan Analysis) terhadap aset-aset yang bersifat kritikal. Dengan demikian tersusunlah rancangan DRP untuk BMKG. Pada tahun 2014, Nanda Zannibua Harisma melakukan penelitian pada Direktorat Jenderal Administrasi Hukum Umum yang diberi judul “Perancangan Disaster Recovery Plan (DRP) pada Instansi Pemerintah : Studi kasus Direktorat Jenderal Administrasi
Hukum
Umum
Kementerian
Hukum
dan
HAM”.Dalam
penelitiannya melakukan analisa dampak kegagalan sistem terhadap bisnis yang dimiliki organisasi, dengan berpedoman pada NIST SP 800-34 rev.1 sebagai kerangka kerja. Penelitian ini
untuk
menentukan kebutuhan teknologi
mengkaitkan Business Impact Analysis (BIA), RTO dan RPO sebagai acuan dalam memetakan layanan-layanan TI yang dimiliki, berdasarkan konsep Seven Tier of Disaster Recovery yang pertama kali dikemukakan oleh SHARE yang bekerja sama dengan IBM. Penelitian ini memiliki beberapa persamaan dengan ketiga penelitian sebelumnya. Penelitian ini memiliki kemiripan pada penelitian oleh Prabowo Priyo Ardhiatno dan Nanda Zannibua Harrisma yaitu melakukan tahap analisa dari kegagalan terhadap layanan TI yang mengakibatkan terkandalanya proses bisnis organisasi, serta tahapan metodologi dimana antara BS-25999-1 dan NIST SP 800-34 memiliki karakteristik sama. Sedangkan pada penelitian Andri Setiyaji dapat menjadi pertimbangan dalam melakukan proses penilaian risiko (risk assessment).
2.8. Theoritical Framework Berlandaskan pada teori-teori, metodologi serta penelitian-penelitian sebelumnya terkait mengenai Business Continuity Plan, maka terbangunlah theoretical framework sebagai berikut:
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
21
Gambar 2.8. Theoretical Framework Dari gambar diatas, dapat dilihat bahwa dalam perancangan business continuity plan pada instansi ALT dipengaruhi oleh faktor teori-teori, best practise, penelitian sebelumnya, kondisi khas instansi ALT serta kebijakan maupun peraturan perundang-undangan yang berlaku. Perancangan BCP ini pada dasarnya adanya gap antara kondisi saat ini dengan kebijakan organisasi dalam mewujudkan layanan prima, hal ini di perkuat dengan peraturan
perundang-undangan
yang
berlaku
untuk
merancang
dalam
mengantisipasi keadaan darurat dan menjaga kesinambungan kegiatan organisasi (PP No.82 tahun 2012). Dalam melakukan perancangan BCP ini dibutuhkan teoriteori dan best practise pendukung yang relevan, serta perbandingan dengan organisasi lain. Sehingga diharapkan dapat digunakan untuk melengkapi kekurangan-kekurangan
yang
ada
pada
perancangan
BCP
ini.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
BAB 3 METODOLOGI PENELITIAN
Pada bab ini akan menjelaskan mengenai langkah-langkah penelitian yang dilakukan guna menghasilkan rancangan Business Continuity Plan untuk instansi ALT. 3.1. Tahapan Penelitian Gambaran umum mengenai langkah-langkah penelitian yang dilakukan, sebagai berikut:
Gambar 3.1. Tahapan Penelitian
22
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
23
Penjelasan terhadap diagram alur penelitian sebagai berikut: Tahap 1: Perumusan Masalah Penelitian ini dimulai dengan mengidentifikasi masalah yang terjadi pada pengelolaan layanan teknologi informasi di instansi ALT. Komponen-komponen yang terkait dituangkan dalam rangkaian diagram tulang ikan, sehingga akan diketahui akar permasalahan dari objek penelitian tersebut. Demi memfokuskan penelitian di pilih salah satu akar permasalahan untuk dijadikan tema penelitian. Dalam hal ini tema penelitian yang akan dilakukan mengenai perancangan rencana kesinambungan bisnis (Business Continuity Plan) layanan teknologi informasi yang belum dimiliki oleh instansi ALT, sehingga belum dapat memenuhi kebutuhan kegiatan operasional. Tahap 2: Studi Literatur Pada tahap ini dilakukan pengumpulan sumber rujukan berupa teori, metodologi serta kerangka kerja (framework) yang bersumber dari buku, jurnal, dan tesis yang sesuai dengan tema penelitian. Literatur yang terkumpul akan dijadikan acuan pemahaman pada penyusunan kerangka kerja teoritis dengan melakukan pendekatan Construct, Compare, Consice, Constrast dan Criticism sehingga menghasilkan suatu kerangka kerja teoritis guna menyelesaikan masalah yang menjadi objek pada penelitian ini. Tahap 3: Penghimpunan Data Pada tahap ini akan dilakukan penghimpunan data yang diperlukan terkait tema penelitian. Data maupun informasi yang dihimpun berupa hasil wawancara, kuisioner, dokumen dan pengamatan langsung dari pihak terkait pengelola layanan teknologi informasi pada instansi ALT. Tahap 4: Analisa Dampak Bisnis Pada tahap ini akan dilakukan analisa terhadap data-data yang terkumpul dengan menggunakan metodologi maupun kerangka kerja yang dipilih sebagai acuan, sehingga dapat diidentifikasikan dampak yang timbul dari risiko yang ada beserta skala prioritasnya.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
24
Tahap 5: Identifikasi Kontrol Pencegahan Pada tahap ini akan dilakukan penentuan kontrol-kontrol terhadap risiko dengan skala prioritas tertinggi, guna meminimalisir dampak yang ditimbulkan dari risiko tersebut. Tahap 6: Strategi Kesinambungan Pada tahap ini melakukan penentuan strategi penanggulangan gangguan yang meliputi evakuasi, pemulihan, serta pengembalian fungsi. Tahap 7: Kesimpulan dan Saran Pada tahap ini merupakan kesimpulan terhadap hasil penelitian yang dilakukan, serta jawaban atas research question yang dibuat pada tahap perumusan masalah. Saran yang dibuat merupakan kelanjutan maupun pengembangan terhadap penelitian ini.
3.2. Metode Pengumpulan Data Dalam proses perancangan rencana kesinambungan bisnis (BCP) dibutuhkan data, teori dan metodologi yang baik. Penelitian ini menggunakan 2 jenis data yaitu data kualitatif dan kuantitatif. Data yang bersifat kualitatif berupa data aset SI/TI sebagai dasar untuk melakukan analisis BIA dan penilaian risiko, sedangkan data yang bersifat kuantitatif berupa RTO dan RPO yang diperoleh melalui wawancara dengan masing-masing pengguna sistem informasi, yang digunakan untuk menentukan strategi dan teknologi yang dibutuhkan untuk masing-masing layanan TI. Pengumpulan data-data tersebut melalui metode pendekatan yang berbeda. Data kuantitatif diperoleh dari kuisioner yang dibagikan kepada pegawai instasi ALT, mulai dari tingkatan pimpinan hingga staf yang menggunaka layanan TI. Data ini pada tahapan BIA digunakan untuk menentukan tingkat kepentingan sehingga dapat menggambarkan dampak dari bencana atau gangguan terhadap bisnis instasi ALT. Data kualitatif berupa aset SI/TI diperoleh dari laporan daftar aset SI/TI serta observasi langsung.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
25
Selanjutnya data-data yang telah terkumpul akan digunakan sebagai bahan untuk melakukan analisa-analisa yang dibutuhkan dalam perancangan Business Continuity Plan.
3.3. Metode Analisis Data Dalam melakukan perancangan business continuity plan ini, kerangka kerja yang digunakan adalah NIST SP 800-34 rev.1 memuat langkah-langkah yang antara lain BIA, kontrol pencegahan, strategi dan rencana kontigensi. Faktor utama yang dibutuhkan dalam perancangan BCP yaitu strategi yang digunakan untuk pemulihan aset SI/TI, penentuan teknologi pada masing-masing sistem informasi, dan SDM yang melaksanakan kegiatan. Indikator terhadap faktor utama tersebut diperoleh dari hasil Business Impact Analysis (BIA) serta dikuatkan atas kebutuhan RTO dan RPO pada masing-masing layanan TI. Dalam melakukan business impact analysis menggunakan data aset SI dan TI yang dimiliki yang diperoleh melalui hasil identifikasi aset, serta data kebutuhan RTO dan RPO yang diperoleh dari hasil wawancara dengan pengguna layanan TI pada instansi ALT. Hasil akhir pada tahap analisis ini berupa daftar tingkat prioritas pemulihan dari masing-masing sistem informasi. Penentuan tingkat prioritas pemulihan berdasarkan pada ekpektasi serta dampak ketidaktersediaan layanan TI bagi pengguna. Atas dasar tingkat prioritas pemulihan layanan TI tersebut, selanjutnya dapat ditentukan teknologi yang sesuai dalam menjamin kesinambungan bisnis dengan menggunakan konsep virtualisasi. Untuk memastikan rancangan business continuity plan dapat diimplementasikan dengan baik, perlu tim business continuity
dengan tugas yang sesuai dan
berdasarkan atas kemampuan yang dimiliki oleh masing-masing anggotannya. Dalam pembentukan tim ini hal yang harus menjadi perhatian yaitu pada kondisi dan
karakteristik
khas
yang
dimiliki
oleh
instansi
ALT.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
BAB 4 PROFILE ORGANISASI
Pada bab ini akan menjelaskan mengenai gambaran umum, visi, misi, tugas dan fungsi serta struktur organisasi instansi ALT.
4.1. Gambaran Umum Instansi ALT adalah salah satu Satuan Kerja (Satker) yang berada dibawah Kementerian Sekretariat Negara (Kemensetneg). Instasi ALT dipimpin oleh seorang Sekretaris Utama (Sestama) yang bertanggung jawab kepada Menteri Sekretaris Negara (Mensesneg). Dalam pelaksanaan tugas keseharian, tidak selalu Sestama melaksanakan tugas dari Mensesneg, namun Sestama dapat menerima penugasan langsung dari VVIP. Perlu diketahui bahwasannya VVIP merupakan akronim dari RI-2, yang digunakan sepanjang penulisan pada karya akhir ini. Tugas utama Sestama yaitu memberikan dukungan teknis dan administrasi kerumahtanggaan dan keprotokolan kepada VVIP, serta analisa dalam rangka pengambilan kebijakan VVIP dalam penyelenggaraan pemerintahan dan pembangunan. Dukungan yang diberikan tersebut dapat berupa data, informasi dan analisis dalam bidang politik, ekonomi, sosial, budaya dan pertahanan keamanan,
penyelenggaraan
pelayanan
kerumahtanggaan,
pelayanan
keprotokolan, penyiapan dan pelaksanaan acara kenegaraan, penyiapan dan pelaksanaan acara perjalanan VVIP, koordinasi kegiatan layanan informasi, pelaksanaan hubungan dan kerjasama dengan lembaga negara, perencanaan program dan anggaran keuangan, pengelolaan dana operasional VVIP dan koordinasi dengan Tim Dokter Kepresidenan. Berdasarkan Peraturan Menteri Sekretaris Negara Nomor 2 Tahun 2011 tentang Organisasi dan Tata Kelola Kementerian Sekretariat Negara, maka instansi ALT dibagi menjadi lima kedeputian. Dalam tiap-tiap kedeputian dibagi menjadi biro, bagian dan subbagian, yang secara hirarki akan bertanggungjawab dengan struktur diatasnya.
Adapun
bagan
instansi
ALT
26
digambarkan
sebagai
berikut:
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
27
Gambar 4.1. Struktur Organisasi instansi ALT
Unsur kepangkatan di instansi ALT dikenal dengan nama Eselon, dengan urutan tertinggi yaitu Eselon 1 sampai yang terendah yaitu Eselon 4. Penyetaraan antara kepangkatan dengan jabatan sebagai berikut: 1. Eselon 1 diperuntukan bagi jabatan setingkat Deputi. 2. Eselon 2 diperuntukan bagi jabatan setingkat Kepala Biro. 3. Eselon 3 diperuntukan bagi jabatan setingkat Kepala Bagian. 4. Eselon 4 diperuntukan bagi jabatan setingkat Kepala Subbagian. Pengelolaan TI pada instansi ALT berada pada tingkatan Eselon 3 sebagai pemilik program kegiatan dengan membawahi 2
jajaran tingkatan Eselon 4 sebagai
pelaksana program kegiatan, yang keseluruhannya dibawah naungan tingkatan Eselon 2 sebagai penanggungjawab kegiatan. Hirarki pengelolaan TI tertuang dalam bagan sebagai berikut:
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
28
Gambar 4.2. Struktur Pengelolaan TI
Penjelasan mengenai tugas dan fungsi terhadap pengelola TI pada instansi ALT, tertuang pada Peraturan Menteri Sekretaris Negara Nomor 2 Tahun 2011 berbunyi sebagai berikut: a.
Pasal 391: Bagian Teknologi Informasi mempunya tugas melaksanakan pengelolaan, pengendalian, pengembangan, pemeliharaan dan perawatan sistem informasi.
b.
Pasal 392 : Dalam melaksanakan tugas sebagaimana dimaksud dalam pasal 391, Bagian Teknologi Informasi menyelenggarakan fungsi: 1) Pengelolaan dan pengendalian jaringan informasi; 2) Pengembangan aplikasi informasi; 3) Pengembangan sistem informasi; dan 4) Pemeliharaan dan perawatan sistem informasi.
c.
Pasal 393 : Bagian Teknologi Informasi terdiri atas: Subbagian Jaringan Informasi dan Aplikasi; dan Subbagian Pemeliharaan dan Perawatan Sistem Informasi.
d.
Pasal 394 : Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
29
1) Subbagian Jaringan Informasi dan Aplikasi mempunyai tugas melakukan pengelolaan
dan
pengendalian
jaringan
informasi
internal
dan
pengelolaan aplikasi informasi di lingkungan instasi ALT. 2) Subbagian Pemeliharaan dan Perawatan Sistem Informasi mempunyai tugas melakukan pemeliharaan dan perawatan sistem informasi. 4.2. Rencana Strategis Instansi ALT dalam menjalankan operasional kenegaraan dan pemerintahan berpedoman pada Rencana Strategis tahun 2010-2014 yang telah direvisi sebagai berikut : A.
Visi Terwujudnya instansi ALT yang profesional, transparan dan akuntabel dalam rangka memberikan pelayanan prima kepada VVIP
B.
Misi 1) Meningkatkan kualitas sumber daya manusia dalam rangka optimalisasi dukungan teknis dan administrasi kepada VVIP. 2) Meningkatkan sarana dan prasaran kerja yang memadai dalam rangka mewujudkan efektifitas dan efesiensi dukungan teknis dan administrasi kepada VVIP. 3) Meningkatkan kualitas kinerja dalam rangka penyiapan bahan untuk perumusan kebijakan VVIP di bidang politik, kesejahteraan rakyat, ekonomi, serta dukungan pengawasan penyelenggaraan pemerintahan dan pembangunan.
C.
Tujuan Strategis Agar visi dan misi instansi ALT dapat dilaksanakan dengan optimal dengan memperhatikan potensi, peluang, ancaman dan tantangan. Menetapkan bahwa tujuan strategis adalah “Terselenggaranya dukungan teknis dan administrasi
yang
prima
kepada
VVIP
dalam
penyelenggaraan
pemerintahan.” D.
Sasaran Strategis Berdasarkan pertimbangan akan berbagaiaspek yang mempengaruhi pencapaian tujuan strategis organisasi, maka secara spesifik sasaran strategis adalah: Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
30
1) Terwujudnya
kelancaran
tugas
VVIP
dalam
perumusan
dan
pengambilan kebijakan; 2) Terwujudnya kelancaran pelayanan kerumahtanggaan dan keprotokolan bagi VVIP. E.
Arahan Kebijakan Langkah-langkah berupa program indikatif demi pencapaian visi, misi, tujuan, dan sasaran strategis sebagai berikut: 1) Peningkatan kualitas sumber daya manusia; 2) Peningkatan akuntabilitas kinerja dan efektivitas kelembagaan; 3) Peningkatan akuntabilitas, transparasi, efektifitas dan efesiensi dalam pengelolaan anggaran, sarana dan prasarana; 4) Peningkatan kualitas dukungan teknis dan pelayanan administrasi.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
BAB 5 PEMBAHASAN
Bab ini berisikan pemaparan mengenai analisa perancangan BCP terhadap layanan TI yang dilakukan berdasarkan metodologi yang telah ditentukan sebelumnya, untuk menjawab permasalahan penelitian.
5.1. Identifikasi Kebijakan dan Regulasi Perencanaan keberlangsungan bisnis (BCP) bukan hanya berlandaskan pada suatu pengalaman terakibat bencana, melainkan harus pada suatu kebutuhan operasional suatu organisasi, berikut gambaran proses bisnis intansi ALT.
Gambar 5.1. Proses Bisnis pada instansi ALT
Menurut NIST SP800-34 dalam merencanakan keberlangsungan bisnis (BCP) perlu berlandaskan pada suatu kebijakan yang telah terdifinisikan sebelumnya pada suatu organisasi maupun peraturan perundang-undangan yang berlaku. Pada instansi ALT kebijakan perlunya perancangan BCP berlandaskan pada tujuan strategis yaitu “ Terselenggaranya dukungan teknis dan administrasi yang prima 31
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
32
kepada RI-2 dalam penyelenggaraan pemerintahaan”. Secara implisit dimaksud semua layanan TI yang berfungsi memberikan dukungan teknis dan administrasi haruslah berkondisi siap sedia saat digunakan. Hal ini diperkuat dengan terbitnya Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, tertuang pada pasal 17 ayat 1 yang berbunyi “Penyelenggaraan Sistem Elektronik untuk pelayanan publik wajib memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai risiko dari dampak yang ditimbulkannya”. 5.2. Identifikasi Sistem Informasi Instansi ALT dalam mengembangkan dan memanfaatkan Sistem Informasi terbagi dalam 2 jenis yaitu yang bersifat internal dan eksternal. Sistem informasi yang bersifat internal dimaksud adalah memproses kebutuhan layanan yang peruntukan bagi pengguna di lingkungan organisasi ataupun unit kerja tertentu. Sedangkan Sistem Informasi yang bersifat eksternal dimaksud adalah memproses kebutuhan layanan yang peruntukan bagi pengguna di dalam maupun luar lingkungan organisasi ataupun keseluruhan unit kerja. Sebagian besar Sistem Informasi pada instansi ALT berbasis Web yang berjalan baik menggunakan Sistem Operasi Linux maupun Windows Server, hanya Sistem Informasi Keuangan yang masih berbasis Client-Server yang berjalan menggunakan Sistem Operasi Windows Server. Berikut sistem informasi yang terdapat pada instansi ALT saat ini :
Tabel 5.1 Identifikasi Sistem Informasi pada Instansi ALT No.
Sistem Informasi
1
Website Instansi ALT
2
Email
Deskripsi Website ini merupakan situs web resmi instansi ALT. Digunakan sebagai sarana diseminasi informasi kepada masyarakat mengenai kegiatan yang dilakukan oleh VVIP, tamu negara, tamu asing maupun kesekretariatan. Email resmi instansi ALT. Digunakan sebagai sarana komunikasi secara elektronik baik internal maupun eksternal di lingkungan instansi ALT.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
33
Tabel 5.1 Identifikasi Sistem Informasi pada Instansi ALT (lanjutan) No.
Sistem Informasi
3
Sistem Informasi Keuangan
4
Sistem Informasi Kehadiran
5
Sistem Informasi Persuratan
6
Sistem Informasi Perpustakaan
Deskripsi Sistem informasi ini berupa sistem yang berbasis Client-Server yang terhubungan dalam jaringan intranet (LAN), untuk dapat menggunakannya komputer pengguna harus terinstalasi oleh aplikasi client. Sistem informasi ini merupakan sarana dalam proses pengelolaan keuangan pada instansi ALT. Sistem informasi ini merupakan sarana dalam proses pengelolaan data kehadiran pegawai serta pegawai kontrak. Sistem ini berbasis web yang terhubung dalam jaringan intranet (LAN) instansi ALT sehingga mempermudah dalam pengelolaan maupun pengaksesan. Sistem informasi ini merupakan sarana dalam pengelolaan surat masuk maupun keluar sehingga dapat terpantau jejak rekamnya. Sistem ini berbasis web yang terhubung dalam jaringan intranet (LAN) instansi ALT sehingga mempermudah dalam pengelolaan maupun pengaksesan, namun penggunaan terbatas hanya oleh Bagian Persuratan serta Tata Bisnis Pimpinan Sistem informasi ini merupakan sarana dalam pengelolaan bahan pustaka. Sistem ini berbasis web yang terhubung dalam jaringan intranet (LAN) instansi ALT sehingga mempermudah dalam pengelolaan maupun pengaksesan.
Sistem informasi diatas sebagian besar diperuntukan pengguna internal organisasi, namun hanya Website yang dapat memberikan layanan cenderung untuk mendiseminasikan informasi.
5.3. Identifikasi Perangkat Keras Layanan TI pada instasnsi ALT dalam operasional keseharian di dukung oleh beberapa perangkat keras baik sebagai penginput, pemroses, dan penyimpan ataupun penayang data. Berikut mengenai perangkat keras yang digunakan oleh layanan TI pada instansi ALT saat ini:
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
34
Tabel 5.2 Identifikasi Perangkat Keras pada Instansi ALT No. Perangkat SERVER 1 IBM x-346
Jumlah
Tahun
Deskripsi
2
2006
Dipergunakan untuk Website server
1
2006
Dipergunakan untuk Email Server
Spesifikasi: Proc. Intel Xeon 3.6 GHz; RAM: 8 GB; HDD:6x 146 GB 2
IBM x-346 Spesifikasi: Proc. Intel Xeon 3.6 GHz; RAM: 8 GB; HDD:6x 146 GB
3
IBM x-3650 M2
1
2009
4
spesifikasi: Proc. Intel Xeon Quadcore 2.26 GHz; RAM: 2 GB; HDD: 2x146 GB IBM x-336
Digunakan untuk Sistem Informasi Keuangan
3
2006
Digunakan untuk Sistem Informasi Kehadiran, Persuratan dan Perpustakaan
3
2006
1
2011
7
Mikrotik RB1200-1U Cisco 3750G 24 port
2
2006
Router Internet dan VPN Bandwidth Mgt, Firewall, DNS Core switch
8
Cisco 2690 24 port
14
9
Allied Telesis 24 port
20
spesifikasi: Proc. Intel Xeon 3.6 GHz; RAM: 4 GB; HDD: 2x 146 GB SWITCH 5 Cisco 2821 6
PERIPHERAL 10 APC SURT10000RMXLi 11 Biometric Handkey
2006,2011 Distribution switch manageable 2006,2011 Distribution switch unmanageable
1
2009
5
2009
UPS untuk ruang server Mesin penginput data kehadiran dengan cara memindai kontur telapak tangan Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
35
Tabel 5.2 Identifikasi Perangkat Keras pada Instansi ALT (lanjutan) No. Perangkat PERIPHERAL 12 Linksys WAP54G 13
Jumlah
Tahun
3
2006
3
2011
Linksys WAP610N-SG
Deskripsi Access point untuk ruang rapat Access point untuk ruang rapat
Instansi ALT memiliki ruang data center sebagai pusat penempatan perangkatperangkat TI yaitu server, router, bandwidth management, core maupun distribusi switch, serta UPS. Namun ada beberapa server yang ditempatkan pada data center ISP yaitu server website dan email, dengan alasan agar layanan tidak terganggu oleh lalu lintas data yang digunakan instansi ALT. Kondisi data center instansi ALT yang berada pada lantai 2 gedung 2 pada Sekretariat A berukuran 4x4m, dapat dikatakan cukup memadai dengan telah menggunakan raise floor serta penyediaan rack 45U sejumlah 3 unit . Walaupun demikian terdapat beberapa kekurangan yang dimiliki oleh data center ini yaitu: a.
Pendingin ruangan yang digunakan bukanlah yang khusus diperuntukkan data center dengan fungsi hanya mendinginkan ruangan, sehingga tidak bisa mengatur suhu mesin server serta kelembabannya.
b.
Ruangan data center telah dilengkapi detektor bahaya kebakaran, namun belum ada penyediaan alat pemadam kebakaran didalam ruangan.
c.
Salah satu sisi pembatas berupa dinding kaca yang sebagian permukaan tertutup, sehingga mudah untuk terpantau oleh orang yang diluar serta kemungkinan jebol karena sifat kaca mudah pecah.
d.
Pintu ruang data center belum menggunakan pengamanan khusus yang dapat meminimalkan duplikasi kunci.
e.
Belum ada CCTV yang dapat mencuplik kegiatan saat berada pada area ruang data center secara baik.
f.
Pengguna sumber listrik berasal dari satu sumber yang di backup oleh UPS yang hanya dapat bertahan kurang dari 30 menit, serta dukungan genset untuk lingkup satu gedung. Sehingga apabila terjadi penurunan pasokan listrik dukungan cadangan pasokan dari UPS maupun genset kurang memadai dalam menjaga stabilitas layanan. Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
36
Selain itu penempatan perangkat distribusi switch pada beberapa lokasi pada Sekretariat A kurang memadai, sehingga memperpendek masa operasional. Untuk melihat keterhubungan antar perangkat keras dapat dilihat pada gambar berikut.
Gambar 5.2.Topologi Jaringan LAN instansi ALT Sementara untuk jaringan LAN di instansi ALT hampir keseluruhan menggunakan koneksi kabel dan tersegmentasi berdasarkan lokasi gedung dalam membedakan para pengguna. Namun pada area beberapa ruang pertemuan atau rapat menggunakan koneksi nirkabel (wireless), dilengkapi sandi dengan pengamanan standar WPA2 agar dapat terhubung. Sebagai load balancer dan firewall maupun DNS menggunakan Mikrotik, agar menjamin pemanfaatan bandwidth menjadi stabil.
5.4. Identifikasi Jaringan Untuk jaringan WAN instansi ALT mempunyai 5 koneksi dedicated yang diselenggarakan oleh PT. Telkom dengan menggunakan media fiber optik,yaitu : Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
37
a.
Internet pada Sekretariat A dengan bandwidth sebesar 20 Mbps ratio 1:1, termasuk backup link dengan bandwidth sebesar 2 Mbps Asimetris ratio 1:4.
b.
Internet pada kediaman resmi VVIP dengan bandwidth sebesar 4 Mbps ratio 1:1, termasuk backup link dengan bandwidth sebesar 2 Mbps Asimetris ratio 1:4.
c.
Internet pada rumah dinas Sekretaris VVIP dengan bandwidth sebesar 2 Mbps ratio 1:1, termasuk backup link dengan bandwidth sebesar 2 Mbps Asimetris ratio 1:4.
d.
Virtual Private Network (VPN) yang menghubungkan antar Sekretariat pada lokasi A dengan Sekretariat pada lokasi B dengan bandwidth sebesar
4
Mbps ratio 1:1. e.
Colocation Server dengan Bandwidth sebesar 4 Mbps ratio 1:1 untuk penempatan layanan dan perangkat TI yang bersifat eksternal (Web).
PT. Telkom memberikan SLA (Service Level Agreement) sebesar 99,90%, guna menjamin kesediaan semua layanannya yang. Berarti semua layanan hanya boleh mati (down) selama 8,76 jam selama kurun waktu pelaksanaan kontrak.
Gambar 5.3.Topologi Jaringan WAN instansi ALT Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
38
5.5. Analisa Dampak Bisnis (Business Impact Analysis) Analisa dampak bisnis bertujuan untuk mengetahui besaran dampak yang ditimbulkan oleh gangguan layanan TI terhadap operasional organisasi, meliputi dampak yang tangible seperti aspek financial maupun dampak yang intangible seperti reputasi organisasi. Selain itu BIA bertujuan menghasilkan rekomendasi dalam melakukan kegiatan pemulihan terhadap sistem informasi, sebab terpampang gambaran mengenai dampak masing-masing sistem informasi apabila mengalami kegagalan (down). Beberapa unit kerja pada instansi ALT telah memanfaatkan sistem informasi guna menjalankan proses layanan/bisnis, pemetaan sistem informasi terhadap layanan dapat dilihat pada tabel berikut.
Tabel 5.3 Pemetaan Sistem Informasi dengan layanan pada Instansi ALT No.
1
Nama Sistem Informasi Website
2
Sistem Informasi Keuangan
3
Sistem Informasi Kehadiran
Layanan
Merupakan sarana penyebarluasan informasi kegiatan VVIP, tamu negara, tamu asing dan kegiatan kesekretariatan Merupakan sarana yang membantu dalam proses pengelolaan keuangan dan pengurusan dana operasional VVIP serta dana bantuan kemasyarakatan maupun operasional kesekretariatan Merupakan sarana yang membantu dalam proses pengelolaan kehadiran seluruh pegawai dan non pegawai
Pengelola
Bidang Diseminasi Informasi
Pengguna
Masyarakat umum baik dalam negeri maupun luar negeri
Bagian Perbendaharaan
Bagian Kepegawaian
Bagian Perbendahara an Pejabat Pembuat Komitmen Bendahara Pembantu Rekan pihak ketiga Seluruh pegawai dan pegawai kontrak pada instansi ALT
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
39
Tabel 5.3 Pemetaan Sistem Informasi dengan layanan pada Instansi ALT (lanjutan) No. Nama Layanan Pengelola Pengguna Sistem Informasi Merupakan sarana Bagian Seluruh 4 Email komunikasi secara Teknologi pegawai pada elektronik baik Informasi instansi ALT internal maupun eksternal di lingkungan instansi ALT Merupakan sarana Bagian Bagian 5 Sistem Informasi yang membantu dalam Persuratan Persuratan serta Persuratan proses pengelolaan Tata Bisnis surat yang masuk Pimpinan maupun keluar serta jejak jelajahnya
6
Sistem Informasi Perpustakaan
Merupakan sarana Bagian yang membantu dalam Pengelolaan proses pengelolaan Perpustakaan bahan pustaka (inventarisir,peminjam an dan pengembalian), yang diperuntukan pada kebutuhan internal instansi ALT
Seluruh pegawai dan pegawai kontrak pada instansi ALT
Dalam upaya penghimpunan data, maka dilakukan kegiatan wawancara serta kuisioner pada sejumlah perwakilan para pengguna maupun pengelola layanan TI. Hal ini guna memperoleh penilaian pengaruh layanan TI terhadap tujuan strategis, reputasi, finansial serta kegiatan operasional pada lingkup instansi ALT dengan menggunakan penilaian skala likert, berikut penentuan waktu toleransi gangguan maupun kehilangan data,dapat dilihat pada tabel dibawah ini.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
40
Tabel 5.4Rekapitulasi datakuisioner pada Instansi ALT No.
Nama Sistem Informasi
Tujuan Strategi
Finansial
Faktor Pengaruh Reputasi Kegiatan Operasional 5 4
Responden RTO
RPO
1 Jam
1 Jam
1
Website
5
1
2
Sistem Informasi Keuangan
5
5
4
4
7 Jam
1 Jam
3
Sistem Informasi Kehadiran
3
5
3
2
12 Jam
24 Jam
4
Sistem Informasi Persuratan
4
-
3
4
24 Jam
24 Jam
5
Sistem Informasi Perpustakaan
3
-
3
3
24 Jam
48 Jam
Asisten Deputi Dokumentasi dan Diseminasi Informasi Perwakilan Bagian Perbendaharaan yaitu Kepala Subbagian Kas & Pembayaran Perwakilan Bagian Kepegawaian yaitu Kepala Subbagian Tata Usaha Kepegawaian Perwakilan Bagian Persuratan yaitu Pengadministrasi Umum II Perwakilan Bagian Pengelolaan Perpustakaan yaitu Kepala Subbagian Penyajian Bahan Pustaka
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
41
Tabel 5.4Rekapitulasi datakuisioner pada Instansi ALT(lanjutan) No.
6
Nama Sistem Informasi Email
Faktor Pengaruh Reputasi Kegiatan Operasional 5 4
Tujuan Strategi
Finansial
5
2
4
-
4
5
-
4
-
Responden RTO
RPO
12 Jam
12 Jam
4
12 Jam
24 Jam
-
5
24 Jam
24 Jam
4
3
12 Jam
24 Jam
Perwakilan dari Deputi Bidang Politik yaitu Asdep Dokumentasi dan Diseminasi Informasi Perwakilan dari Deputi Bidang Tata Kelola Pemerintahan yaitu Kepala Subbidang APIP Perwakilan dari Deputi Bidang Ekonomi yaitu Kepala Subbidang Kerjasama Perdagangan Internasional Perwakilan dari Deputi Bidang Kesejahteraan Rakyat yaitu Kepala Subbidang Kesehatan
Keterangan: Skala Likert : 1 = Sangat Rendah; 2 = Rendah; 3 = Sedang; 4 = Tinggi; 5 = Sangat Tinggi Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
42
Berdasarkan penghimpunan data diatas, penentuan kritikalitas suatu sistem informasi dinilai dari kuantitas pengguna/stakeholder yang merasakan dampak pemanfaatan dari layanan tersebut. Berikut gambaran dampak tangible dan intangible terhadap sistem informasi pada instansi ALT, dapat dilihat pada tabel berikut. Tabel 5.5Analisis dampak bisnis terhadap Sistem Informasi No.
Nama Sistem Informasi
1
Website
2
Sistem Informasi Keuangan
3
Sistem Informasi Kehadiran
Dampak terhadap gangguan Nyata (Tangible) Tidak Nyata (Intangible) Pengaruh terhadap Terhambatnya finansial sangat rendah pencapaian tujuan strategis organisasi Buruknya reputasi organisasi, terkait dengan UU No.14 Tahun 2008 tentang Keterbukaan Informasi Publik Terhambatnya kegiatan operasional organisasi dalam publikasi dokumentasi dan diseminasi informasi Terhambatnya proses Terhambatnya pembayaran dengan pencapaian tujuan perkiraan senilai organisasi Rp. 10 miliar setiap Buruknya reputasi bulannya organisasi dalam proses pengelolaan keuangan Terhambatnya kegiatan operasional organisasi dalam pembayaran maupun pencairan uang
Terhambatnya penyusunan rekapitulasi tunjangan kinerja dengan perkiraan senilai Rp. 1,5 miliar setiap bulannya
Terhambatnya pencapaian tujuan organisasi Buruknya reputasi organisasi dalam proses pencatatan kehadiran pegawai
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
43
Tabel 5.5Analisis dampak bisnis terhadap Sistem Informasi (lanjutan) No.
Nama Sistem Informasi
3
Sistem Informasi Kehadiran
4
Email
5
Sistem Informasi Persuratan
6
Sistem Informasi Perpustakaan
Dampak terhadap gangguan Nyata (Tangible) Tidak Nyata (Intangible) Terhambatnya Terhambatnya penyusunan kegiatan operasional rekapitulasi uang organisasi dalam makan dengan penyusunan laporan perkiraan senilai rekapitulasi kehadiran Rp. 250 juta setiap pegawai bulannya Pengaruh terhadap Terhambatnya finansial rendah pencapaian tujuan strategi organisasi Buruknya reputasi organisasi dalam penyediaan sarana komunikasi Terhambatnya kegiatan operasional organisasi dalam proses komunikasi maupun pertukaran data Terhambatnya pencapaian organisasi Cukup buruk reputasi organisasi dalam proses administrasi surat masuk/keluar Terhambatnya kegiatan operasional organisasi dalam pengelolaan surat masuk/keluar Cukup menghambat pencapaian tujuan strategis organisasi Cukup buruk reputasi organisasi dalam pengelolaan bahan pustaka Cukup menghambat kegiatan operasional organisasi dalam pengelolaan bahan pustaka
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
44
Data yang terhimpun terhadap sistem informasi Email diperoleh dari beberapa perwakilan responden, namun dalam proses analisa disimpulkan mengguna penilaian dengan tingkatan tertinggi. Tahapan selanjutnya adalah menentukan kebutuhan RTO dan RPO terhadap masing-masing sistem informasi yang ada pada instansi ALT. Hal ini diperoleh berdasarkan dari hasil wawancara dan kuisioner kepada para pengelola maupun pengguna masing-masing sistem informasi, dapat dilihat pada tabel 5.5. Tabel 5.6Kebutuhan RTO dan RPO No. Nama Sistem Informasi 1 Website
RTO 1 Jam
RPO 1 Jam
2
Sistem Informasi Keuangan
7 Jam
1 Jam
3
Sistem Informasi Kehadiran
12 Jam
24 Jam
4
Email
12 Jam
12 Jam
5
Sistem Informasi Persuratan
24 Jam
24 Jam
6
Sistem Informasi Perpustakaan
24 Jam
48 Jam
Berdasarkan hasil wawancara yang dilakukan, ditemukan ada ekspetasi kebutuhan RTO maupun RPO yang berbeda oleh beberapa responden. Oleh karenanya pemilihan RTO maupun RPO ditetapkan berdasarkan pada nilai yang paling kecil atau rendah. Hal yang perlu diketahui selain analisa dampak masing-masing sistem informasi terhadap layanan, adalah kebutuhan komponen untuk masing-masing sistem informasi agar menjalankan proses layanan. Kebutuhan ini perlu diketahui untuk menggambarkan ketergantungan sistem informasi terhadap perangkat keras maupun lunak, sehingga proses pemulihan dapat dilakukan secara efektif dan efisien. Kebutuhan komponen untuk masing-masing sistem informasi dapat dilihat pada tabel 5.7.
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
45
Tabel 5.7Komponen Sistem Informasi No.
1
2
3
4
5
6
Nama Sistem Informasi Website
Sistem Informasi Keuangan
Sistem Informasi Kehadiran Email
Sistem Informasi Persuratan Sistem Informasi Perpustakaan
Komponen
Web Server Database Server Server
Jenis/Platform/OS
Deskripsi
Linux PHP/SunOne WebServer 6.0 MySQL
Dedicated pada server IBM x-346
Windows Server 2008/IIS
Dedicated pada server IBM x3650 M2
Database Server PC
MySQL
Web Server
ASP.Net/IIS/Windo ws 2003 MS-SQL Server 2008 Zimbra CS/Linux Centos MySQL
Database Server Web Server Database Server Web Server
Windows XP/Vista/7/later
Linux PHP/RHEL
Database Server Web Server
MySQL
Database Server
MySQL
Linux PHP/RHEL
Komputer tertentu yang telah terinstalasi aplikasi client untuk dapat menggunakan sistem informasi keuangan Dedicated pada server IBM x-336
Dedicated pada server IBM x-346
Dedicated pada server IBM x-336
Dedicated pada server IBM x-336
Dengan mempertimbangkan hasil analisa sebelumnya, maka tahapan akhir dalam BIA adalah menentukan tingkatan prioritas pemulihan yang dapat dilakukan terhadap sistem informasi. Prioritas pemulihan sistem informasi pada instansi ALT, dapat dilihat pada tabel dibawah ini.
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
46
Tabel 5.8Prioritas pemulihan Sistem Informasi
No
Sistem Informasi
1 2
Sistem Informasi Keuangan Email
3
Website
4
Sistem Informasi Kehadiran Sistem Informasi Persuratan Sistem Informasi Perpustakaan
5 6
Tujuan Strategis
Finansial
Reputasi
Kegiatan Operasional
Sangat Tinggi Rendah
Tinggi
Tinggi
Sangat Tinggi Sangat Tinggi Sedang
Tinggi
Rendah
Tinggi
Sedang
Tinggi
Sedang
Sedang
Sedang
Sangat Tinggi Sangat Tinggi Sangat Tinggi Sedang
Sangat Rendah Sangat Tinggi
Tinggi
5.6. Identifikasi dan Penilaian Risiko Identifikasi risiko adalah tahapan untuk mengetahui risiko-risiko yang dimungkinkan terjadi serta dapat mengganggu penyelenggaraan kegiatan pelayanan secara elektronik pada instansi ALT. Manfaatnya dapat menentukan tahapan dalam melakukan mitigasi risiko tersebut. Faktor yang dapat menimbulkan risiko adalah kelemahan (vulnerabilities) dan ancaman (threat). Kelemahan adalah kekurangan yang dimiliki suatu asset sehingga mengakibatkan suatu ancaman. Ancaman adalah segala suatu yang memanfaatkan suatu kelemahan guna dapat merusak aset. Yang dimaksud dengan asset yaitu sumber daya yang mendukung kegiatan penyelenggaraan pelayanan secara elektronik pada instansi ALT, baik berupa sumber daya manusia (people), proses (process), serta teknologi (technology). Berikut hasil identifikasi risiko terhadap aset yang mendukung layanan TI beserta faktor kelemahan dan ancamannya :
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
47
Tabel 5.9Faktor kelemahan dan ancaman terhadap aset No.
Aset
1
Jaringan Internet (WAN)
2
Jaringan Intranet (LAN)
3
Server
4
Storage
5
Firewall
Kelemahan (Vulnerabilities) Menggunakan sat jalur backbone yang disediakan oleh provider Sistem monitoring sering tidak update dan tidak real time Sistem pengkabelan tidak menggunakan pengaman tambahan Tidak menggunakan label untuk membedakan Tidak melakukan perawatan dan pendokumentasian secara rutin Tidak ada jalur backbone Utilitas rendah karena terisi oleh satu aplikasi Tidak ada server cadangan Umur perangkat ada yang sudah diatas 7 tahun Tidak ada sistem monitoring server Kemampuan penyimpanan tergantung pada kapasitas yang dimiliki oleh masing-masing server Tidak memiliki perangkat penyimpan khusus seperti NAS ataupun SAN Perangkat yang ada belum memiliki kemampuan sebagai IDS maupun IPS
Ancaman (Threat) Jalur backbone mengalami gangguan atau putus
Hewan pengerat Sulit mendeteksi jalur gangguan Lambat dalam proses perbaikkan Sulit untuk penambahan jalur
Kerusakan perangkat Penyusupan maupun sabotase
Kehilangan data akibat kerusakan perangkat Penyusup ataupun sabotase
Kejahatan Cyber Malicious Code (Virus,Worm, Trojan,dll) Malware
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
48
Tabel 5.9Faktor kelemahan dan ancaman terhadap aset (lanjutan) No.
Aset
5
Firewall
6
Perangkat Jaringan (Router, Switch,Hub,AP)
7
Perangkat Absensi
8
Ruang Colocation Ruang Server
9
Kelemahan (Vulnerabilities) Perangkat belum memiliki kemampuan Belum mengintegrasikan semua perangkat dalam sistem monitoring yang terpadu Belum menerapakan Wireless LAN Controllers Beberapa perangkat ditempatkan pada lokasi yang kurang memadai Otentifikasi hanya pada salah satu telapak tangan Beberapa perangkat masih memiliki kapasitas penyimpanan sebesar 5000 records Struk tidak menggunakan jenis huruf serta kertas yang khusus Tidak ada sistem monitoring kapasitas kertas struk Validasi pencatatan belum secara realtime dan hanya menggantungkan pada struk yang tercetak Tidak ada akses ke sistem monitoring Lokasi sering dilewati oleh pegawai lain Pintu masuk belum menggunakan pengamanan khusus Tidak ada aturan bagi yang berkunjung
Ancaman (Threat)
Kerusakan perangkat Perubahan konfigurasi maupun sabotase Sulit dalam melakukan perbaikkan maupun perawatan
Data tidak tercatat Manipulasi struk
Sulit mengetahui utilitas perangkat Kebakaran Gempa Bumi Sabotase Pencurian
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
49
Tabel 5.9Faktor kelemahan dan ancaman terhadap aset (lanjutan) No.
Aset
9
Ruang Server
10
Sumber Listrik
11
Pengendali Suhu dan Kelembaban
12
Backup File
13
Dokumen Teknis dan SOP
14
SDM TI
Kelemahan (Vulnerabilities) Tidak ada CCTV Tidak ada jalur untuk evakuasi Pasokan listrik hanya dari satu sumber yaitu PLN Mekanisme pengaktifan genset tidak secara automatis Menggunakan perangkat pendingin ruangan Tidak memiliki sistem monitoring suhu dan kelembaban Belum mekanisme backup maupun restore secara berkala Belum memiliki perangkat yang dikhususkan sebagai NAS ataupun SAN Belum terdokumentasi segala kegiatan instalasi,konfigurasi,pe rbaikkan, serta pemeliharaan baik perangkat lunak maupun keras Belum adanya SOP Kurangnya pemahaman teknis mengenai TI Rendahnya sikap team works Belum ada wadah untuk berbagi ilmu
Ancaman (Threat)
Listrik mati Kenaikan ataupun penurunan tegangan secara mendadak Perangkat rusak Suhu dan kelembaban tidak stabil
Kehilangan data
Dibutuhkan dalam proses penanganan gangguan maupun pengembangan sistem informasi
Sakit Acuh terhadap pekerjaan Tugas yang tidak terkait mengenai TI
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
50
Selanjutnya dalam melakukan identifikasi risiko adalah mengetahui tingkat kecenderungan
(likelihood) terjadinya risiko dan dampak (impact) yang
ditimbulkan oleh risiko terhadap masing-masing asset. Penetapan tingkatan kecenderungan dan dampak risiko mengunakan tiga jenis tingkatan yaitu rendah, sedang dan tinggi. Penjelasan mengenai masing-masing tingkatan dapat dilihat padatabel berikut.
Tabel 5.10Tingkatan kecenderungan Tingkatan Kecenderungan Jarang Sedang
Sering
Deskripsi Tingkatan Kecenderungan Kemungkinan adanya risiko kecil terjadi pada beberapa waktu mendatang Kemungkinan adanya risiko sedang terkait riwayat timbulnya risiko yang pernah terjadi pada waktu yang lampau Kemungkinan adanya risiko besar terkait riwayat timbulnya risiko yang sering terjadi pada waktu yang lampau
Tabel 5.11Tingkatan dampak Tingkatan Dampak Rendah
Sedang
Tinggi
Deskripsi Tingkatan Dampak Dampak yang diakibatkan oleh risiko menyebabkan timbulnya gangguan terhadap layanan TI, namun tidak menghambat kegiatan operasional organisasi Dampak yang diakibatkan oleh risiko menyebabkan timbulnya gangguan terhadap layanan TI cukup besar, namun cukup menghambat kegiatan operasional organisasi Dampak yang diakibatkan oleh risiko menyebabkan timbulnya gangguan terhadap layanan TI sangat besar, namun menghambat kegiatan operasional organisasi
Berikut hasil penetapan tingkatan kecederungan dan dampak terhadap aset dalam mendukung layanan TI:
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
51
Tabel 5.12Penilaian kecenderungan dan dampak terhadap aset No.
Aset
Kecenderungan (Likelihood) Sedang
Dampak (Impact) Tinggi
1
Jaringan Internet (WAN)
2
Jaringan Intranet (LAN)
Sering
Sedang
3
Server
Sedang
Tinggi
4
Storage
Sedang
Tinggi
5
Firewall
Sering
Tinggi
Deskripsi Pernah terjadi gangguan yang tidak dapat diperkirakan dan membutuhkan waktu yang cukup lama untuk berpindah backbone Memerlukan waktu untuk mengidentifikasi jalur kerusakan Minim dalam pendokumentasia n karena sering terjadi perubahan tatanan ruang kerja Kurangnya koordinasi antar pengguna dengan Bagian TI dalam pemasangan hub ataupun Access Point Memerlukan waktu yang cukup lama untuk memfungsikan kembali aplikasi jika ada server yang mengalami kerusakan Kemungkinan kehilangan data cukup besar saat terjadi gangguan Merupakan pemicu terjadinya gangguan terhadap sistem informasi maupun perangkat
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
52
Tabel 5.12Penilaian kecenderungan dan dampak terhadap aset (lanjutan) No.
Aset
Kecenderungan (Likelihood) Sedang
Dampak (Impact) Tinggi
6
Perangkat Jaringan (Router,Switch, Hub,AP)
7
Deskripsi
Perangkat Absensi
Sedang
Tinggi
Sulit melakukan absensi jika telapak tangan mengalami cidera ataupun penyakit
8
Ruang Colocation
Jarang
Sedang
Penanganan gangguan dilakukan oleh tim internal provider penyedia
9
Ruang Server
Sedang
Tinggi
Memerlukan waktu yang cukup lama untuk melakukan pemeriksaan dan perbaikkan saat terjadi gangguan Keamanan lingkungan lokasi yang kurang memadai
10
Sumber Listrik
Sedang
Sedang
Memerlukan waktu untuk memfungsikan sumber listrik alternative
Memerlukan waktu yang cukup lama untuk melakukan pemeriksaan dan perbaikkan saat terjadi gangguan Masa pakai perangkat dipengaruhi oleh kondisi penempatan yang kurang memadai
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
53
Tabel 5.12Penilaian kecenderungan dan dampak terhadap aset (lanjutan) No.
Aset
Kecenderungan (Likelihood) Sedang
Dampak (Impact) Tinggi
11
Pengendali Suhu dan Kelembaban
12
Backup file
Sedang
Tinggi
13
Dokumen teknis dan SOP
Sedang
Sedang
14
SDM TI
Sedang
Sedang
Deskripsi Dikarenakan bukan perangkat pendingin khusus untuk data center/ruang server, maka daya tahan utilitas perangkat sanggat rendah Belum memiliki sistem backup file yang terintegrasi dengan sistem informasi, oleh karenanya backup dilakukan atas kesadaran pengguna Dibutuhkan dalam proses penanganan gangguan maupun pengembangan sistem informasi Kurangnya pemerataan kemampuan teknis individual Rendahnya sikap kerjasama dikarenakan pembebanan penyelesaiaan tugas cederung pada individu yang berkompeten
Berdasarkan tingkatan kecenderungan dan dampak dapat diperoleh tingkatan nilai risiko yang melekat pada masing-masing aset.
Penetapan nilai risko dengan
melakukan pembandingan antara tingkat kecenderungan dengan tingkat dampak, sehingga terbentuk matriks nilai risiko yang terlihat pada tabel 5.13. Penjelasan mengenai tingkatan nilai risiko dapat dilihat pada tabel 5.14.
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
54
Tabel 5.13Matrik nilai risiko Dampak
Kecenderungan Rendah (10) Rendah (1) Rendah (5) Rendah (10)
Jarang (0.1) Sedang (0.5) Sering (1.0)
Sedang (50) Rendah (5) Sedang (25) Sedang (50)
Tinggi (100) Rendah (10) Sedang (50) Tinggi (100)
Tabel 5.14Tingkatan nilai risiko Tingkatan Nilai Risiko Rendah
Sedang
Tinggi
Deskripsi Tingkatan Nilai Risiko Hasil evaluasi yang menyatakan bahwa risiko yang dimiliki oleh aset rendah, maka perlu ditentukan langkah untuk perbaikan atau menerima risiko tersebut Hasil evaluasi yang menyatakan bahwa risiko yang dimiliki oleh aset sedang, maka perlu ditentukan penyusunan rencana perbaikan dalam jangka waktu tertentu Hasil evaluasi yang menyatakan bahwa risiko yang dimiliki oleh aset besar, maka perlu ditentukan penyusunan rencana perbaikan dalam jangka waktu secepatnya
Tahapan selanjutnya adalah melakukan penentuan prioritas dan menyusun rencana aksi guna memitigasi risiko yang ada. Dasar untuk penentuan prioritas adalah nilai risiko pada aset, berarti aset yang mempunyai nilai risiko tinggi lebih diutamakan. Jika ada aset dengan nilai risiko yang sama tinggi, maka aset yang mempunyai tingkatan dampak tinggi dapat diprioritaskan. Selanjutnya jika ada aset yang mempunyai tingkatan kecenderungan dan dampak yang sama, maka penentuan prioritas didasari atas analisis aset yang mempunyai pengaruh terhadap keberlangsungan bisnis instansi ALT. Berikut susunan penilaian risiko beserta rencana perbaikan untuk masing-masing aset, dapat dilihat pada tabel 5.15.
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
55
Tabel 5.15Penilaian risiko beserta rencana perbaikan No 1
Aset Jaringan Internet (WAN)
2
Jaringan Intranet (LAN)
Kelemahan (Vulnerability) Menggunakan sat jalur backbone yang disediakan oleh provider Sistem monitoring sering tidak update dan tidak real time
Sistem pengkabelan tidak menggunakan pengaman tambahan Tidak menggunakan label untuk membedakan Tidak melakukan perawatan dan pendokumentasian secara rutin Tidak ada jalur backbone
Ancaman (Threat) Jalur backbone mengalami gangguan atau putus
Hewan pengerat Sulit mendeteksi jalur gangguan Lambat dalam proses perbaikkan Sulit untuk penambahan jalur
Kecenderungan (Likelihood) Sedang 0.4
Dampak (Impact) Tinggi 90
Nilai Risiko
Rencana Perbaikan
Sedang 36
Sering 0.7
Sedang 40
Sedang 28
Provider penyedia harus menyiapkan jalur cadangan yang berbeda backbone Memasang sistem monitoring pada tiaptiap perangkat router sebagai pembanding sistem monitoring yang disediakan oleh provider Melakukan inventarisir jalur dengan memberikan label Melakukan perawatan rutin serta pembaharuan dokumentasi jalur LAN Merancang penempatan jalur backbone yang strategis
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
56
Tabel 5.15Penilaian risiko beserta rencana perbaikan (lanjutan) No 3
Aset Server
4
Storage
Kelemahan (Vulnerability) Utilitas rendah karena terisi oleh satu aplikasi Tidak ada server cadangan Umur perangkat ada yang sudah diatas 7 tahun Tidak ada sistem monitoring server Kemampuan penyimpanan tergantung pada kapasitas yang dimiliki oleh masing-masing server Tidak memiliki perangkat penyimpan khusus seperti NAS ataupun SAN
Ancaman (Threat) Kerusakan perangkat Penyusupan maupun sabotase
Kehilangan data akibat kerusakan perangkat Penyusup ataupun sabotase
Kecenderungan (Likelihood) Sedang 0.5
Dampak (Impact) Tinggi 100
Nilai Risiko
Rencana Perbaikan
Sedang 50
Menerapkan virtualisasi server sehingga ada perangkat yang bisa sebagai cadangan Menerapkan sistem monitoring server
Sedang 0.5
Tinggi 100
Sedang 50
Mengadakan server khusus NAS/SAN Membangun backup server secara terpadu untuk semua sistem informasi yang ada
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
57
Tabel 5.15Penilaian risiko beserta rencana perbaikan (lanjutan) No
Aset
5
Firewall
6
Perangkat Jaringan
Kelemahan Ancaman (Threat) (Vulnerability) Perangkat yang ada Kejahatan Cyber belum memiliki Malicious Code kemampuan sebagai (Virus,Worm, IDS maupun IPS Trojan,dll) Perangkat belum Malware memiliki kemampuan sebagai Anti Virus terpadu
Belum mengintegrasikan (Router,Switch,Hub, semua perangkat AP) dalam sistem monitoring yang terpadu Belum menerapakan Wireless LAN Controllers
Kerusakan perangkat Perubahan konfigurasi maupun sabotase Sulit dalam melakukan perbaikkan maupun perawatan
Kecenderungan (Likelihood) Sering 0.9
Dampak (Impact) Tinggi 100
Nilai Risiko
Rencana Perbaikan
Tinggi 90
Sedang 0.4
Tinggi 80
Sedang 32
Mengadakan perangkat yang memiliki kemampuan sebagai IDS maupun IPS serta Anti Virus yang terpadu Melakukan monitoring dan menganalisa terhadap lalu lintas data Melakukan filter ataupun pembatasan terhadap port-port yang tidak dibutuhkan Menerapkan sistem monitoring pada setiap perangkat Melakukan pemeliharaan rutin dan pendokumentasian Merancang tata letak perangkat yang memadai
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
58
Tabel 5.15Penilaian risiko beserta rencana perbaikan (lanjutan) No 6
7
Aset
Kelemahan (Vulnerability) Perangkat Jaringan Beberapa perangkat ditempatkan pada (Router,Switch,Hub, lokasi yang kurang AP) memadai
Ancaman (Threat)
Otentifikasi hanya pada salah satu telapak tangan Beberapa perangkat masih memiliki kapasitas penyimpanan sebesar 5000 records Struk tidak menggunakan jenis huruf serta kertas yang khusus Tidak ada sistem monitoring kapasitas kertas struk
Data tidak tercatat Manipulasi struk
Perangkat Absensi
Kecenderungan (Likelihood) Sedang 0.4
Dampak (Impact) Tinggi 80
Nilai Risiko
Rencana Perbaikan
Sedang 32
Membangun sistem control untuk perangkat Wireless LAN
Sedang 0.4
Tinggi 90
Sedang 36
Dibuatkan otentifikasi alternatif selain telapak tangan Merancang jenis huruf dan kertas yang khusus Menambahkan modul pengontrolan kertas struk Memperbaiki sistem informasi agar validasi pencatatan dapat secara realtime
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
59
Tabel 5.15Penilaian risiko beserta rencana perbaikan (lanjutan) No
Aset
7
Perangkat Absensi
8
Ruang Colocation
9
Ruang Server
Kelemahan (Vulnerability) Validasi pencatatan belum secara realtime dan hanya menggantungkan pada struk yang tercetak Tidak ada akses ke sistem monitoring Lokasi sering dilewati oleh pegawai lain Pintu masuk belum menggunakan pengamanan khusus Tidak ada aturan bagi yang berkunjung Tidak ada CCTV Tidak ada jalur untuk evakuasi
Ancaman (Threat)
Kecenderungan (Likelihood) Sedang 0.4
Dampak (Impact) Tinggi 90
Nilai Risiko
Sulit mengetahui utilitas perangkat
Jarang 0.1
Sedang 50
Rendah 5
Sedang 0.5
Tinggi 100
Sedang 50
Kebakaran Gempa Bumi Sabotase Pencurian
Rencana Perbaikan
Sedang 36
Melakukan kunjungan fisik secara berkala dan meminta akun akses sistem monitoring Merancang lokasi yang memadai dengan fasilitas sistem keamanan khusus (CCTV,Access Card,Trap Door), jalur evakuasi, sistem pendingin dan kelembaban serta sistem suplai listrik yang sesuai standar
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
60
Tabel 5.15Penilaian risiko beserta rencana perbaikan (lanjutan) No 10
Aset Sumber Listrik
11
Pengendali Suhu
dan Kelembaban
12
Backup File
Kelemahan (Vulnerability) Pasokan listrik hanya dari satu sumber yaitu PLN Mekanisme pengaktifan genset tidak secara automatis Menggunakan perangkat pendingin ruangan Tidak memiliki sistem monitoring suhu dan kelembaban Belum mekanisme backup maupun restore secara berkala Belum memiliki perangkat yang dikhususkan sebagai NAS ataupun SAN
Ancaman (Threat)
Kecenderungan (Likelihood) Sedang 0.5
Dampak (Impact) Sedang 50
Nilai Risiko
Rencana Perbaikan
Sedang 25
Modifikasi genset dengan sensor tegangan yang dapat automatis aktif Menambah kapasitas UPS pada ruang server
Perangkat rusak Suhu dan kelembaban tidak stabil
Sedang 0.5
Tinggi 90
Sedang 45
Mengadakan perangkat pendingin khusus untuk ruang server dengan sistem pengendalian suhu dan kelembaban automatis
Kehilangan data
Sedang 0.5
Tinggi 100
Sedang 50
Mengadakan server khusus NAS/SAN Membangun backup server secara terpadu untuk semua sistem informasi yang ada
Listrik mati Kenaikan ataupun penurunan tegangan secara mendadak
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
61
Tabel 5.15Penilaian risiko beserta rencana perbaikan (lanjutan) No 13
Aset Dokumen Teknis dan SOP
14
SDM TI
Kelemahan (Vulnerability) Belum terdokumentasi segala kegiatan instalasi,konfigurasi ,perbaikkan, serta pemeliharaan baik perangkat lunak maupun keras Belum adanya SOP
Kurangnya pemahaman teknis mengenai TI Rendahnya sikap team works Belum ada wadah untuk berbagi ilmu
Ancaman (Threat) Dibutuhkan dalam proses penanganan gangguan maupun pengembangan sistem informasi
Sakit Acuh terhadap pekerjaan Tugas yang tidak terkait mengenai TI
Kecenderungan (Likelihood) Sedang 0.5
Dampak (Impact) Sedang 50
Nilai Risiko
Rencana Perbaikan
Sedang 25
Sedang 0.4
Sedang 50
Sedang 20
Melakukan koordinasi dengan pihak diluar bagian TI untuk mensinergikan pola dan prosedur kinerja, sehingga akan terbentuk SOP yang jelas Membuat dokumen teknis yang memuat kompilasi kegiatan bagian TI secara berkala Dibutuhkan wadah maupun sarana untuk meningkatkan kemampuan teknis dan berbagi ilmu, sehingga dapat memupuk sikap kerjasama yang baik
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
62
Tabel 5.16Prioritas risiko terhadap aset No.
Aset
Nilai Kecenderungan 0.9
Nilai Dampak 100
Nilai Risiko 90
1
Firewall
2
Server
0.5
100
50
3
Storage
0.5
100
50
4
Ruang Server
0.5
100
50
5
Backup File
0.5
100
50
6
0.5
90
45
7
Pengendali suhu dan Kelembaban Jaringan Internet (WAN)
0.4
90
36
8
Perangkat Absensi
0.4
90
36
9
0.4
80
32
10
Perangkat Jaringan (Router, Switch, Hub,AP) LAN
0.7
40
28
11
Sumber Listrik
0.5
50
25
12
0.5
50
25
13
Dokumen Teknis dan SOP SDM TI
0.4
50
20
14
Ruang Colocation
0.1
50
5
Berdasarkan tabel di atas maka dapat di interprestasikan nilai risiko terhadap asetaset yang ada sebagai berikut: Tinggi skala 100-51, Sedang skala 50-11, Rendah skala < 10. Pedoman dasar dalam penyediaan perangkat pendukung layanan TI pada situs alternatif ataupun DRC, dapat dilihat pada tabel keterkaitan hubungan (interdependencies) antara sistem informasi dengan aset pendukung berikut ini:
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
63
Tabel 5.17Keterkaitan hubungan antara sistem informasi dan aset No. 1
Aset
Website
Sistem Informasi Keuangan
Sedang
3
Jaringan Internet (WAN) Jaringan Intranet (LAN) Server
4
Storage
5
7
Firewall Perangkat Jaringan (Router,Switch, Hub,AP) Perangkat Absensi
8
Ruang Colocation
9
Ruang Server
Sedang
10
Sumber Listrik Pengendali Suhu dan Kelembaban Backup File Dokumen Teknis dan SOP SDM TI
2
6
11 12 13 14
Sistem Informasi Sistem Informasi Email Kehadiran
Sistem Informasi Persuratan
Sistem Informasi Perpustakaan
Sedang Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Tinggi
Tinggi
Tinggi
Tinggi
Tinggi
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang Rendah
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
64
5.7. Strategi Kesinambungan Bisnis Langkah-langkah strategi dalam pemulihan terhadap gangguan pada instansi ALT harus dilihat dari tiga aspek yaitu pemulihan bencana (disaster recovery), evakuasi darurat (emergency evacuation), dan restorasi fungsi (function restore). Aspek pemulihan bencana merupakan kegiatan pemulihan terhadap teknologi informasi baik berupa perangkat keras maupun perangkat lunak yang menunjang kegiatan proses bisnis. Aspek evakuasi darurat merupakan tahapan-tahapan dalam upaya penyelamatan aset pendukung kegiatan proses bisnis. Sedangkan aspek restorasi fungsi merupakan tahapan-tahapan dalam upaya menormalisasikan fungsi-fungsi layanan penunjang kegiatan proses bisnis yang berada pada lokasi alternatif. 5.7.1. Aspek Pemulihan Bencana Penentuan dalam pemilihan teknologi pemulihan terhadap gangguan, berdasarkan pada kebutuhan RTO dan RPO dari hasil analisa dampak bisnis (BIA). Pada tabel 5.18 dapat dilihat kebutuhan teknologi pemulihan untuk masing-masing sistem informasi pada instansi ALT. Tabel 5.18Kebutuhan teknologi pemulihan No. 1
Sistem Informasi Website
Kegiatan Operasional Tinggi
Rentang Waktu RTO RPO 1 Jam 1 Jam
Teknologi Pemulihan Backup : Mirrored system and database replication Strategi: Hot site
2
Sistem Informasi Keuangan
Tinggi
7 Jam
1 Jam
Backup : Mirrored system and database replication Strategi: Hot site
3
Sistem Informasi Kehadiran
Rendah
12 Jam
24 Jam
Backup : Tape/CD /Flashdisk backup Strategi: Cool site
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
65
Tabel 5.18Kebutuhan teknologi pemulihan (lanjutan) No. 4
Sistem Informasi Email
Kegiatan Operasional Tinggi
Rentang Waktu RTO RPO 12 Jam 12 Jam
5
Sistem Informasi Persuratan
Tinggi
24 Jam
24 Jam
6
Sistem Informasi Perpustakaan
Sedang
24 Jam
48 Jam
Teknologi Pemulihan Backup : Mirrored system and database replication, increamental backup Strategi: Hot site Backup : Mirrored system and database replication, increamental backup Strategi: Hot site Backup : Optical backup, full backip Strategi: Warm site
Dilihat pada tabel diatas dapat tergambar bahwa strategi backup pada sistem informasi yang kritikal membutuhkan penduplikasian sistem serta basis data. Hal demikian membutuhkan alokasi anggaran dalam penyediaan perangkat keras dengan kapasitas penyimpanan yang memadai. Sebagai solusinya semua sistem informasi di instansi ALT dapat menggunakan pemanfaatan teknologi virtualisasi. Dengan teknologi virtualisasi dapat mengoptimalkan penggunaan server yang ada, sehingga memudahkan pelaksanaan pemulihan dengan mereplikasikan semua sistem informasi beserta basis data. Selain itu konsep virtualisasi dapat mengefisienkan kebutuhan pembiayaan. Metode backup yang dapat diterapkan adalah increamental backup maupun full backup. Increamental backup dapat diterapkan pada sistem informasi yang mempunyai transaksi rutin dengan kebutuhan RPO kecil. Full backup dapat diterapkan pada sistem informasi yang mempunyai transaksi tidak rutin dengan kebutuhan RPO besar atau waktu yang cukup lama.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
66
Dari tabel kebutuhan strategi pemulihan terdapat 4 sistem informasi dengan strategi recovery tergolong Hot site, dan masing-masing 1 sistem informasi dengan strategi recovery tergolong Warm site dan Cool site. Untuk itu perlu dipertimbangkan upaya penyediaan situs alternatif guna mendukung proses pemulihan pada situs utama. Berdasarkan identifikasi asset-aset pada instansi ALT ada dua lokasi yang bisa dijadikan sebagai situs alternatif yaitu Sekretariat B dan ruang colocation. Berikut kriteria dalam menentukan situs alternatif, dapat dilihat pada table berikut.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
67
Tabel 5.19Kriteria situs pemulihan No.
Kategori
Lokasi
Status
Jarak
Sirkulasi
Backup Listrik
Technical Support
Daya Tampung
Telco. Last mile
1
Cool / Warm
Sekretariat B
Milik
< 5 km
AC
UPS tidak ada
Hari dan jam kerja
Maks. 9 server pada rack 45U
Sewa Provider via Fiber Optik
2
Hot
Ruang Colocation
Sewa
> 5 km
HVAC
UPS redundant
7 hari seminggu selama 24 jam
Maks. 9 server pada rack 45U
Sewa Provider via Fiber Optik
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
68
5.7.2.
AspekEvakuasi Darurat
Pada melaksanakan proses penanggulangan gangguan, perlu adanya strategi yang sesuai dengan tingkat dampak yang ditimbulkan. Sehingga langkah yang diambil dapat lebih tepat dan cepat. Dalam implementasinya yang harus pastikan adalah kebutuhan teknologi pemulihan yang diperlukan telah terpenuhi sebelumnya. Pada
aspek
evakuasi
proses
penanggulangan
gangguan
ketika
terjadi
gangguan/bencana dapat diklasifikasikan menjadi 3 fase, yaitu: a.
Respon awal Ketika terjadi gangguan maupun bencana yang harus mendapatkan pemberitahuan segala informasi adalah BCP coordinator. Kemudian menghubungi
tim damage assessment
guna menginformasikan
dan
menugaskan untuk menjalankan prosedur assessment. Selanjutnya tim damage assessment melaksanakan prosedur assessment untuk memperoleh informasi mengenai besaran kerusakan serta perkiraan waktu yang dibutuhkan untuk pemulihan. Hasil assessment oleh tim damage assessment segera dilaporkan kepada BCP coordinator, agar dapat ditentukan tahapan selanjutnya. Jika tingkat kerusakan akibat gangguan/bencana kecil, sehingga tidak menghambat kegiatan operasional apabila dilakukan sedikit kegiatan perbaikan atau perkiraan waktu yang dibutuhkan untuk pemulihan kurang dari 1 jam, maka secepatnya dilakukan kegiatan perbaikan dan pengujian agar layanan TI dapat berjalan kembali. Apabila ada kehilangan data, dapat dilakukan proses restore dari hasil backup yang terakhir. Jika tingkat kerusakan akibat gangguan/bencana cukup besar, sehingga menghambat kegiatan operasional atau perkiraan waktu yang dibutuhkan untuk pemulihan lebih dari 1 jam, maka langkah selanjutnya adalah melakukan persiapan situs backup (DRC) untuk segera beroperasi. Apabila gangguan/bencana yang terjadi memerlukan bantuan dari pihakpihak yang berwenang seperti polisi, pemadam kebakaran dan ambulan, maka
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
69
BCP coordinator dapat menginformasikan kejadian gangguan/bencana kepada pihak tersebut. Berikut tabel daftar nomor telepon pihak berwenang.
Tabel 5.20Daftar Nomor Telepon Layanan Darurat di DKI Jakarta No. 1 2 3 4 5 6 7 8 b.
Nama Layanan Darurat Ambulan Polisi PLN Pemadam Kebakaran PDAM Wilayah Timur Telepon atau Internet PMI DKI Jakarta RSPAD Gatot Subroto
Nomor Telepon 118 112 123 113 021-5772010 147 / 0800-1-835566 / 021-3863000 021-3909422 021-3441008
Penyiapan situs alternatif dan pengoperasian DRC BCP
Coordinator
menyatakan
pengaktifan
situs
alternatif,
dengan
memerintahkan seluruh tim BCP untuk segera menyiapkan sarana dan prasarana layanan TI. Kemudian tim server, network and application recovery dengan persediaan perangkat yang ada segera melakuan instalasi, konfigurasi dan pengujian terhadap perangkat server yang tervirtualisasikan sebagai wadah bagi sistem informasi beserta basis datanya yang berada pada ruang colocation maupun perangkat jaringan yang berada pada situs alternatif misalkan
pada
Sekretariat
B.
Pada
waktu
yang
bersamaan
tim
telecommunication recovery menyiapkan jalur komunikasi data berupa link dedicated untuk internet maupun VPN yang menghubungkan antara ruang colocation dengan situs alternatif. Bersama dengan tim server, network and application recovery berkoodinasi dalam pengujian jalur tersebut. Tim database recovery dapat melakukan restorasi dari media backup ke masing-masing server yang telah disiapkan sesuai urutan prioritasnya. Selanjutnya tim PC and software recovery dapat melakukan instalasi, konfigurasi dan pengujian terhadap perangkat komputer pengguna. Semua tim teknis kemudian melakukan testing terhadap seluruh sistem sesuai dengan fungsi dari tim masing-masing. Ketika proses persiapan situs backup maupun situs alternatif telah selesai, maka masing-masing kepala tim melaporkan kepada BCP Coordinator bahwa situs backup maupun alternatif dapat Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
70
beroperasi. Berikut rancangan diagram arsitekturnya topologi jaringan saat terjadi gangguan ataupun bencana.
Gambar 5.4Topologi Jaringan Situs Alternatif
c.
Pengoperasian penuh situs alternatif dan DRC Apabila seluruh persiapan seperti perangkat keras, perangkat lunak, perangkat jaringan, jalur komunikasi data, proses restore dan proses testing telah selesai, maka situs backup dengan resmi dapat diaktifkan. Sehingga sistem informasi yang memiliki tingkat kritikal yang tinggi pada instansi ALT sudah dapat berjalan normal. Jikalau masih ada sistem informasi yang belum berjalan normal, maka proses recovery terus dapat dilakukan hingga semua sistem informasi yang ada berjalan secara normal. Pada tahap ini diharapkan tim damage assessment sudah melaporkan kepada BCP Coordinator daftar peralatan dan perlengkapan yang dibutuhkan untuk
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
71
pemulihan situs utama, sehingga dapat segera diinformasikan kepada pihak manajemen instansi ALT untuk dapat melakukan proses pengadaan. 5.7.3. Aspek Restorasi Fungsi Untuk mengembalikan fungsi-fungsi layanan TI yang ada pada instansi ALT pada saat terjadi bencana, tahapan yang dilakukan sebagai berikut: a.
Tim damage assessment melakukan pemeriksaan fungsi sarana maupun prasarana pada situs utama seperti kelistrikan, pendinginan, jaringan, perlengkapan keamanan, dan lain-lain. Hal ini dapat dikoordinasikan dengan pihak ketiga dalam melakukan penyediaan, perbaikan serta penggantian kelengkapan sarana dan prasarana dimaksud.
b.
Tim server, network and application recovery dapat melakukan instalasi, konfigurasi dan pengujian terhadap perangkat server maupun jaringan.
c.
Tim telecommunication recovery menyiapkan jalur komunikasi data berupa link dedicated untuk internet maupun VPN yang menghubungkan antara situs alternatif dengan situs utama. Bersama dengan tim server, network and application recovery berkoodinasi dalam pengujian jalur tersebut.
d.
Tim database recovery dapat melakukan restorasi dari media backup ke masing-masing server yang telah disiapkan sesuai urutan prioritasnya.
e.
Tim PC and software recovery dapat melakukan instalasi, konfigurasi dan pengujian terhadap perangkat komputer pengguna.
f.
Hasil keseluruhan kegiatan restorasi akan di reviu oleh BCP Coordinator, apabila
dinyatakan sudah sesuai dan berjalan normal maka dapat
memerintahkan tim server, network and application recovery untuk melakukan penon-aktifan situs alternatif, sehingga kegiatan operasional kembali pada situs utama.
5.8. Struktur Organisasi Tim Business Continuity Plan Dalam kandungan NIST SP 800-34 tahapan setelah menetapkan strategi, yaitu tahapan pelaksana rencana kesinambungan bisnis (BCP). Pada tahapan ini menitikberatkan pembentukan manajemen krisis dalam melaksanakan proses BCP. Manajemen krisis ini merupakan organisasi yang susunannya terdiri dari tim yang memiliki tugas dan fungsi yang spesifik. Untuk itu perlu dibentuk rancangan Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
72
susunan
struktur
organisasi
tim
BCP
beserta
deskripsi
kewenangan
tanggungjawab maupun usulan penempatan posisi disesuaikan dengan jabatan yang ada pada organisasi instansi ALT. Susunan struktur organisasi tim BCP beserta daftar kontak dapat dilihat pada gambar dan tabel berikut.
Gambar 5.5. Susunan tim BCP padainstansi ALT
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
73
Tabel 5.21Daftar Kontak tim BCP pada instansi ALT No.
Peran
Nama
1
BCP Coordinator
Bpk. MNM
2
Alternated BCP Coordinator
Ibu AR
3
Damage Assessment Team
Ibu RM
4
Network, Server, Application Recovery Team Database Recovery Team
Bpk. DW
6
PC’s & Software Recovery Team
Bpk. S
7
Telecommunication Recovery Team
Bpk. RJ
5
5.8.1.
Ibu NW
Kantor
Seluler
Rumah
Email
+62212316406 ext.1519 +62212316406 ext.1507 +62212316406 ext.1524 +62212316406 ext.1523 +62212316406 ext.1517 +62212316406 ext.1315 +62212375100 ext.1225
0811-xxxx
021xxxxxxx
mnm@alt. go.id
0812-xxxx
021xxxxxxx
[email protected] .id
0812-xxxx
021xxxxxxx
[email protected]. id
0812-xxxx
021xxxxxxx
[email protected] .id
0856-xxxx
021xxxxxxx
[email protected] .id
0811-xxxx
021xxxxxxx
[email protected] .id
0811-xxxx
021701xxxx
rj@telkom. co.id
BCP Coordinator
Peranan utama Business Continuity Plan Coordinator adalah melakukan koordinasi dengan tim dalam memenuhi kebutuhan RTO dan RPO dari layanan TI yang telah ditetapkan. Selain itu tugas BCP Coordinator melakukan review untuk memastikan bahwa BCP yang tersusun telah sesuai dengan keadaan organisasi saat ini. BCP harus dilakukan evaluasi secara berkala, sehingga perubahan yang terjadi dapat terinformasikan dengan jelas kepada semua pihak terkait proses BCP. Untuk itu BCP Coordinator melakukan penjadwalan pengujian serta mendokumentasikan BCP, sehingga dapat diperoleh hal-hal yang menjadi kendala saat dilapangan. Kendala yang ditemui selanjutnya dituangkan dalam suatu rapat pleno, agar di dapat solusinya serta penjadwalan pengujian ulang. Tugas BCP Coordinator juga harus memastikan bahwa peralatan pendukung yang ada pada lokasi alternatif dapat memenuhi kebutuhan semua sistem layanan TI ketika terjadi bencana. Selain itu tugas BCP Coordinator dituntut mampu mengambil keputusan
yang
cepat
dan
tepat
disaat
terjadi
bencana
serta
dapat
mempertanggungjawabkan kepada pimpinan tertinggi. Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
74
Posisi ini tepat diperuntukan kepada orang yang mengetahui kondisi TI instasi ALT secara umum, dapat mengambil keputusan dan bertanggung jawab, serta memiliki kedekatan secara hirarki dengan eselon I maupun VVIP. Untuk itu saya menyarankan yang menduduki posisi ini adalah Kepala Biro Tata Bisnis dan Kepegawaian instasi ALT.
5.8.2.
Alternated BCP Coordinator
Alternated BCP Coordinator merupakan wakil koodinator dengan tugas dan fungsinya yang tidak jauh berbeda dengan koordinator.
Namun untuk
pengambilan keputusan tetap berada pada koordinator, kecuali jika koordinator berhalangan. Posisi ini tepat diperuntukan kepada orang yang mengetahui kondisi operasional TI instasi ALT secara umum, dapat mengambil keputusan dan bertanggung jawab, serta memiliki kedekatan secara hirarki dengan eselon II. Untuk itu saya menyarankan yang menduduki posisi ini adalah Kepala Bagian Teknologi Informasi instasi ALT.
5.8.3.
Tim Damaged Assesment
Tim ini bertugas mengawasi kendala-kendala yang muncul terkait operasional pada layanan TI serta dimungkinkan mengupayakan penanggulangannya agar tidak menimbulkan bencana. Tim ini juga bertugas melakukan penilaian terhadap kerusakan aset-aset layanan TI yang diakibatkan oleh bencana. Hasil penilaian tersebut secepatnya dapat dilaporkan kepada koordinator, sehingga dapat diputuskan untuk mengaktifkan lokasi alternatif / backup. Posisi ini tepat diperuntukan kepada orang yang mengetahui keluhan maupun komplain mengenai kondisi operasional layanan TI instasi ALT keseharian, dapat memberikan analisa penilaian terhadap aset-aset layanan TI. Untuk itu saya menyarankan yang menduduki posisi ini adalah Kepala Subbagian Pemeliharaan dan Perawatan Sistem Informasi instasi ALT.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
75
5.8.4.
Tim Networks, Servers and Applications Recovery
Tim ini bertugas memastikan secara teknis hal-hal terkait jaringan komputer, server serta sistem operasi dan perangkat lunak pendukung layanan TI dapat berfungsi dengan baik pada lokasi alternatif ketika bencana terjadi maupun ketika proses restorasi pada lokasi utama. Tim ini terdiri dari tim kecil yang sesuai dengan peran dan tanggungjawabnya masing-masing yaitu tim networks recovery, tim servers recovery dan tim applications recovery. Dalam melaksanakan tugasnya tim ini membutuhkan koordinasi dengan tim BCP lainnya yaitu tim damaged assessment, tim databases recovery, tim pc’s and softwares recovery dan tim telecommunication recovery. Posisi ini tepat diperuntukan kepada orang yang mengetahui secara umum mengenai topologi jaringan, server dan sistem informasi di instasi ALT. Untuk itu saya menyarankan yang menduduki posisi ini adalah Kepala Subbagian Jaringan Informasi dan Aplikasi.
5.8.5.
Tim Databases Recovery
Tugas tim ini adalah melakukan restorasi terhadap database sesuai dengan backup terakhir pada masing-masing sistem informasi yang ada baik pada lokasi alternatif ketika bencana serta pada lokasi utama ketika proses pemulihan. Dalam melaksanakan tugas tim ini berkoordinasi dengan tim lain khususnya tim networks, servers and applications recovery. Posisi yang tepat diperuntukan kepada orang yang menangani proses backup dan restore maupun memvalidasi antara sistem informasi dan database berfungsi sebagaimana mestinya. Untuk itu saya menyarankan yang menduduki posisi ini adalah staf Subbagian Jaringan Informasi dan Aplikasi yang secara fungsional sebagai pengolah data.
5.8.6.
Tim PC and Software Recovery
Tugas tim ini adalah melakukan perbaikan dan restorasi terhadap PC beserta perangkat lunak pendukung dapat berfungsi dengan normal baik pada lokasi alternative ketika bencana maupun pada lokasi utama ketika proses pemulihan. Dalam melaksanakan tugasnya tim ini dapat berkoordinasi dengan tim lainnya Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
76
yaitu tim damaged assessment dan tim networks, servers and applications recovery. Posisi yang tepat diperuntukan kepada orang yang bertanggungjawab dalam proses perbaikan dan restorasi terhadap PC’s beserta perangkat lunak pendukung lainnya, sehingga dapat berfungsi secara normal. Untuk itu saya menyarankan yang menduduki posisi ini adalah Kepala Subbagian Perawatan dan Pemeliharaan Perlengkapan.
5.8.7.
Tim Telecommunication Recovery
Tugas tim ini adalah melakukan penyediaan dan perbaikan jalur komunikasi data dapat berfungsi dengan normal baik pada lokasi alternatif ketika bencana maupun pada lokasi utama ketika proses pemulihan. Dalam melaksanakan tugasnya tim ini berkoordinasi dengan tim lain, khususnya tim networks, servers and applications recovery. Posisi yang tepat diperuntukan kepada orang yang bertanggungjawab terhadap penyediaan maupun perbaikan layanan komunikasi data. Dikarenakan layanan komunikasi data di alih daya kepada pihak ketiga, maka saya menyarankan yang menduduki posisi adalah Account Manager provider layanan komunikasi data tersebut.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
BAB 6 PENUTUP
Bab ini berisi kesimpulan dan saran hasil dari penelitian yang telah dilakukan. Semoga apa yang telah dihasilkan dalam penelitian ini dapat bermanfaat dan dijadikan landasan dalam perancangan business continuity plan di instansi ALT.
6.1. Kesimpulan Berdasarkan hasil penelitian perancangan business continuity plan terhadap layanan TI di instansi ALT, dapat diambil kesimpulan sebagai berikut: 1.
Layanan TI yang dimiliki oleh instansi ALT mampu membantu memberikan dukungan secara teknis maupun administrasi terhadap proses bisnis organisasi. Dengan demikian hal yang harus diperhatikan adalah menjamin ketersediaan terhadap layanan TI tersebut. Untuk itu perlu suatu rancangan rencana kesinambungan bisnis (Business Continuity Plan) terhadap layanan TI.
2.
Penentuan teknologi pemulihan terhadap gangguan/bencana yang sesuai untuk setiap layanan TI pada instansi ALT berdasarkan pada toleransi kegagalan sistem yang ditentukan oleh tingkat kerawanan sistem tersebut. Tingkat kerawanan sistem diperoleh dari analisa dampak bisnis yang berdasarkan pada aspek tujuan strategis, finansial, reputasi dan kegiatan operasional, sehingga diperoleh urutan layanan TI yang bersifat kritikal dan menjadi prioritas dalam proses pemulihan. Selain itu dipengaruhi oleh tingkat risiko yang melekat terhadap aset-aset pendukung layanan TI.
3.
Berdasarkan pada tahapan analisa sebelumnya diperoleh strategi teknologi yang dapat diterapkan dalam pemulihan gangguan/bencana pada layanan TI, di dominasi strategi Hot site dengan replikasi sistem maupun basis data menggunakan metode increamental backup.
4.
Penerapan strategi Hot site pada sistem yang bersifat kritis membutuhkan sumber daya serta alokasi anggaran yang cukup besar. 77
Guna
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
78
meminimalisiranggaran
dan
mengoptimalisasi
sumber
daya,dapat
menggunakan pemanfaatan teknologi virtualisasi dalam melakukan recovery dan backup terhadap masing-masing sistem informasi.
6.2. Saran Berikut ini adalah saran yang dapat diberikan: 1.
Penelitian lebih lanjut perlu dilakukan untuk dapat memberikan penilaian terhadap
tahapan
pengujian
maupun
pemeliharaan
pada
Business
ContinuityPlan (BCP). 2.
Business Impact Analysis (BIA) maupun penilaian risiko perlu dilakukan secara berkala minimum setahun sekali, hal ini guna menggali perubahan terhadap proses bisnis pada instansi ALT.
3.
Sebelum mengimplementasikan Business Continiuty Plan (BCP), alangkah baiknya melakukan peremajaan teknologi pada sumber daya yang ada sesuai dengan perkembang.
4.
Ruang lingkup penelitian ini tidak terpaku terhadap layanan TI saja, dapat dikembangkan secara menyeluruh pada instansi ALT.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
DAFTAR PUSTAKA
Ardhianto, Prabowo Priyo. (2013). Perancangan Business Continuity Plan (BCP): Studi Kasus PT. ABC, Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Burtles, Jim. (2007). Principles and Practice of Business Continuity – Tools and Techniques, Rothstein Associates Inc., Publisher. Cyber Defense Academy (2013). IT Risk Management, Jakarta : Diklat Teknis Kementerian Sekretariat Negara. Harisma, Nanda Zannibua. (2014). Perancangan Disaster Recovery Plan (DRP) pada Instansi Pemerintah: Studi kasus Direktorat Jenderal Administrasi Hukum Umum Kementerian Hukum dan HAM, Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Hiles, Andrew. Et al (2011). The Definitive Handbook of Business Continuity Management, A John Wiley & Sons, Ltd. Publication NIST SP 800-34 rev.1 (2010), Contingency Planning Guide for Federal Information Systems, National Institute of Standars and Technology, U.S. Department of Commerce. Peraturan Bank Indonesia No. 9/15/PBI/2007. Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, Bank Indonesia. Peraturan Menteri Sekretariat Negara No.2 Tahun 2011. Organisasi dan Tata Kelola Kementrian Sekretariat Negara, Kementerian Sekretariat Negara. Peraturan Pemerintah No.53 Tahun 2010. Disiplin Pegawai Negeri Sipil, Lembaran Negara No.74 Tahun 2010. Peraturan Pemerintah No.82 Tahun 2012. Penyelenggaraan Sistem dan Transaksi Elektronik, Lembaran Negara No.189 Tahun 2012. Scheffy, Clark. (2007). Virtualization for Dummies, Wiley Publishing, Inc Setiaji, Andri. (2013). Perancangan Disaster Recovery Plan di Badan Meteorlogi Klimatologi dan Geofisika (BMKG), Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Svata, Vlasta. (2013). System View of Business Continuity Management, Journal of system integration 2013/2.
79
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
80
Tangsook, Chomnaphas. (2007). BS 25999 – Business Continuity Management, BSI Group (Thailand) Co., Ltd. Uluwiyah, Ana. (2012). Virtualisasi Data Center Sebagai Salah Satu Alternatif Solusi Pencapaian Target E-Government Yang Efisien dan Efektif (Study kasus: Badan Pusat Statistik), Journal Magister of Technology Information School of Engineering and Informatics Institute Technology Bandung. Watters, Jamie. (2010). The Business Continuity Management – Desk Reference, Leverage Publishing. Zaida, Efrizal. (2013). Kupas Tuntas Teknologi Virtualisasi, Penerbit ANDI Yogyakarta.
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
81
Lampiran 1
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
82
Lampiran 1 (lanjutan)
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
83
Lampiran 1 (lanjutan)
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
84
Lampiran 2
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
85
Lampiran 2 (lanjutan)
Lampiran 3 Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
86
Lampiran 3 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
87
Lampiran 4 Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
88
Lampiran 4 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
89
Lampiran 5 Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
90
Lampiran 5 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
91
Lampiran 6 Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
92
Lampiran 6 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
93
Lampiran 7 Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
94
Lampiran 7 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
95
Lampiran 7 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
96
Lampiran 7 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
97
Lampiran 7 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
98
Lampiran 7 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
99
Lampiran 7 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
100
Lampiran 7 (lanjutan) Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014
101
Universitas Indonesia
Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014