UNIVERSITAS INDONESIA PERANCANGAN BUSINESS CONTINUITY PLAN (BCP) TERHADAP LAYANAN TEKNOLOGI INFORMASI : STUDI KASUS INSTANSI ALT KARYA AKHIR

UNIVERSITAS INDONESIA

PERANCANGAN BUSINESS CONTINUITY PLAN (BCP) TERHADAP LAYANAN TEKNOLOGI INFORMASI : STUDI KASUS INSTANSI ALT

KARYA AKHIR

DIDIT WINDHI HARMOKO 1106121673

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2014

Perancangan Business …, Didit Windhi Harmoko, Fasilkom UI, 2014

UNIVERSITAS INDONESIA

PERANCANGAN BUSINESS CONTINUITY PLAN (BCP) TERHADAP LAYANAN TEKNOLOGI INFORMASI : STUDI KASUS INSTANSI ALT

KARYA AKHIR Diajukan sebagai satu syarat untuk memperoleh gelar Magister Teknologi Informasi

DIDIT WINDHI HARMOKO 1106121673

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2014


HALAMAN PERNYATAAN ORISINALITAS

ii

Universitas Indonesia


HALAMAN PENGESAHAN

iii



KATA PENGANTAR

Assalamu’alaikum Wr. Wb.

Segala puji dan syukur penulis ucapkan ke hadirat Allah SWT sembari mengharapkan ridho-Nya, yang telah melimpahkan rahmat-Nya sehingga penulis dapat menyelesaikan karya akhir yang berjudul “Perancangan Business Continuity Plan (BCP) terhadap layanan Teknologi Informasi : Studi Kasus Instansi ALT”. Karya akhir ini disusun sebagai salah satu persyaratan meraih gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer – Universitas Indonesia. Penulis menyadari sepenuhnya, bahwa sejak masa perkuliahan sampai pada penyusunan karya akhir ini tidak terlepas dari bantuan dan bimbingan berbagai pihak. Untuk itu pada kesempatan ini penulis ingin menyampaikan terima kasih dan penghargaan yang setinggitingginya kepada 1.

Bapak Rizal Fathoni Aji,M.Kom. selaku dosen pembimbing, yang telah menyediakan waktu, tenaga dan pikiran untuk mengarahkan dan memberikan bimbingan kepada saya dalam menyusun karya akhir ini;

2.

Seluruh dosen dan karyawan Magister Teknologi Informasi, Fakultas Ilmu Komputer – Universitas Indonesia;

3.

Orang tua dan adik saya yang telah memberikan doa dan dukungan tiada henti;

4.

Isteri dan anak tercinta, yang telah setia mendampingi dan memberikan semangat selama studi hingga tugas akhir ini selesai;

5.

Rekan-rekan di Sekretariat Wakil Presiden – Kementerian Sekretariat Negara;

6.

Teman-teman MTI SC 2011, atas kebersamaan kita selama ini; dan

7.

Semua pihak yang tidak dapat disebutkan namanya satu persatu.

iv



Penulis menyadari akan segala keterbatasan dan kekurangan dari isi maupun tulisan karya akhir ini. Oleh karena itu, kritik dan saran yang bersifat membangun dari semua pihak masih dapat diterima dengan senang hati. Semoga hasil penelitian ini dapat memberikan manfaat dan kontribusi bagi pengembangan ilmu pengetahuan di masa depan. Wassalamu’alaikum Wr. Wb.

Jakarta,

Juni 2014

Penulis

v



HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS

vi



ABSTRAK

Nama Program Studi Judul

: : :

Didit Windhi Harmoko Magister Teknologi Informasi Perancangan Business Continuity Plan (BCP) terhadap layanan Teknologi Informasi. Studi kasus: Instansi ALT

Instansi ALT merupakan salah satu satuan kerja (satker) yang berada dibawah naungan Kementerian Sekretariat Negara (Kemensetneg) yang mempunyai tugas memberikan pelayanan prima kepada VVIP secara profesional, transparan dan akuntabel. Dalam penyelenggaraan kegiatan operasional, instansi ALT memanfaatkan peran teknologi informasi sebagai sarana pendukung pada lingkup internal maupun eksternal. Ketersediaan dan kehandalan layanan berbasiskan teknologi informasi merupakan hal yang sangat penting, sehingga perlu adanya perencanaan guna menjamin kesinambungan kegiatan bisnis yang diakibatkan oleh gangguan maupun bencana. Hal ini sesuai dengan tujuan strategis organisasi yang diperkuat oleh Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik pasal 17 ayat 1. Dikarenakan pentingnya hal tersebut, maka perlu dirancang rencana kesinambungan bisnis yang baik untuk instansi ALT. Proses perancangan Business Continuity Plan (BCP) yang dilakukan menggunakan kerangka acuan NIST SP 800-34 rev.1. Tahapan awal dalam perancangan BCP adalah melakukan identifikasi kebijakan, sistem informasi, perangkat keras maupun jaringan. Dilanjutkan dengan melakukan analisis dampak bisnis serta identifikasi dan penilaian risiko terhadap aset yang dimiliki oeleh instansi ALT. Kemudian menentukan strategis kesinambungan yang meliputi aspek pemulihan, evakuasi darurat maupun restorasi fungsi pada saat terjadi gangguan ataupun bencana. Pada akhirnya pembentukan manajemen krisis sebagai pelaksana proses kesinambungan bisnis. Hasil dari perancangan BCP ini diharapkan dapat membantu menjamin ketersediaan dan kehandalan layanan teknologi informasi yang ada pada instansi ALT ketika terjadi gangguan maupun bencana. Kata Kunci : Bencana, Business Continuity Plan, Kesinambungan Bisnis, Risiko xiii+ 80 halaman; 17 gambar; 22 tabel; 7 lampiran

vii



ABSTRACT

Nama Program Studi Judul

: : :

Didit Windhi Harmoko Magister Teknologi Informasi Business Continuity Plan (BCP) design to Information Technology services. A case study of the ALT agencies

ALT agencies is one unit of work under auspices the Ministry of State Secretariat (Kemensetneg) which has the task of providing excellent services to VVIP in a professional, transparent, and accountable. In the implementation of operational activities, ALT agencies are utilize role of information technology as a means of supporting in the internal and external scope. The availability and reliability of information technology-based services is an important thing, so it is necessary for planning to ensure continuity of business activity caused by disruption or disaster. This thing is in line with the strategic objectives of the organization and reinforced by Government Regulation No.82 Year 2012 about a implementation of Electronic Transaction System section 17 verse (1). Considering its importance, it is necessary to have a good business continuity plan for ALT agencies. The design process of the Business Continuity Plan (BCP) were performed using the NIST SP 800-34 rev.1 framework as a reference. Early stages in the design BCP is to identify policy, information systems, hardware and networks. Followed by conducting a business impact analysis and risk assessment as well as the identification of the assets owned by ALT agency. Then determine are strategic aspects of sustainability which includes recovery, emergency evacuation and restoration of function in the event of a disaster or disruption.Finally, the establishment of crisis management as the process of implementing a business continuity. Results from the BCP design is expected to help ensuring the availability and reliability of existing information technology services when an interrupt and disasters to ALT agencies. Key Word : Disaster, Business Continuity Plan, Business Continuity, Risk xiii+ 80pages; 17figures; 22tables; 7attachments

viii



DAFTAR ISI HALAMAN JUDUL.............................................. Error! Bookmark not defined. HALAMAN PENGESAHAN............................................................................................ iii KATA PENGANTAR ........................................................................................................iv ABSTRAK .........................................................................................................................vii ABSTRACT...................................................................................................................... viii DAFTAR GAMBAR ..........................................................................................................xi DAFTAR TABEL.............................................................................................................. xii DAFTAR LAMPIRAN ..................................................................................................... xiii BAB 1 PENDAHULUAN ................................................................................................. 1 1.1. Latar Belakang..................................................................................................... 1 1.2. Perumusan Masalah ............................................................................................. 2 1.3. Ruang Lingkup .................................................................................................... 5 1.4. Tujuan dan Manfaat ............................................................................................. 5 1.5. Sistematika Penulisan .......................................................................................... 5 BAB 2 TINJAUAN PUSTAKA ........................................................................................ 7 2.1. Pengertian Business Continuity ........................................................................... 7 2.1.1. Business Continuity Management(BCM) ................................................. 7 2.1.2. Business Continuity Plan (BCP) ............................................................... 9 2.2. Tahapan Penyusunan BCP................................................................................. 10 2.3. Analisa Dampak Bisnis (Business Impact Analysis) ......................................... 11 2.4. Penilaian Risiko (Risk Assessment) ................................................................... 11 2.5. NIST SP 800-34 rev.1 ....................................................................................... 14 2.6. Virtualisasi ......................................................................................................... 16 2.7. Penelitian Rujukan............................................................................................. 19 2.8. Theoritical Framework ...................................................................................... 20 BAB 3 METODOLOGI PENELITIAN .......................................................................... 22 3.1. Tahapan Penelitian ............................................................................................ 22 3.2. Metode Pengumpulan Data ............................................................................... 24 3.3. Metode Analisis Data ........................................................................................ 25 BAB 4 PROFILE ORGANISASI .................................................................................... 26 4.1. Gambaran Umum .............................................................................................. 26 4.2. Rencana Strategis .............................................................................................. 29 BAB 5 PEMBAHASAN ................................................................................................. 31 5.1. Identifikasi Kebijakan dan Regulasi .................................................................. 31 5.2. Identifikasi Sistem Informasi............................................................................. 32 5.3. Identifikasi Perangkat Keras .............................................................................. 33 5.4. Identifikasi Jaringan .......................................................................................... 36 5.5. Analisa Dampak Bisnis (Business Impact Analysis) ......................................... 38 5.6. Identifikasi dan Penilaian Risiko ....................................................................... 46 5.7. Strategi Kesinambungan Bisnis ......................................................................... 64 5.7.1 Aspek Pemulihan Bencana ...................................................................... 64 5.7.2. AspekEvakuasi Darurat .......................................................................... 68 5.7.3. Aspek Restorasi Fungsi .......................................................................... 71 5.8. Struktur Organisasi Tim Business Continuity Plan ........................................... 71 5.8.1. BCP Coordinator .................................................................................... 73

ix



5.8.2. Alternated BCP Coordinator................................................................... 74 5.8.3. Tim Damaged Assesment ....................................................................... 74 5.8.4. Tim Networks, Servers and Applications Recovery ............................... 75 5.8.5. Tim Databases Recovery ........................................................................ 75 5.8.6. Tim PC and Software Recovery ............................................................. 75 5.8.7. Tim Telecommunication Recovery ........................................................ 76 BAB 6 PENUTUP .......................................................................................................... 77 6.1. Kesimpulan ........................................................................................................ 77 6.2. Saran .................................................................................................................. 78 DAFTAR PUSTAKA ....................................................................................................... 79

LAMPIRAN .......................................................................................................... 81

x



DAFTAR GAMBAR

Gambar 1.1. Diagram Tulang Ikan...............................................................

4

Gambar 2.1. Framework BCM.....................................................................

8

Gambar 2.2. Business Continuity Process Life Cycle..................................

10

Gambar 2.3. Risk Management Process.......................................................

12

Gambar 2.4. Contingency Planning Process................................................

14

Gambar 2.5. Skema Full Virtualization........................................................

18

Gambar 2.6. Skema Partial Virtualization...................................................

18

Gambar 2.7. Skema Hardware-assisted Virtualization................................

19

Gambar 2.8. Theoritical Framework............................................................

21

Gambar 3.1. Tahapan Penelitian...................................................................

22

Gambar 4.1. Struktur Organisasi instansi ALT............................................

27

Gambar 4.2. Struktur Organisasi Pengelola TI.............................................

28

Gambar 5.1. Proses Bisnis pada instansi ALT.............................................

31

Gambar 5.2. Topologi Jaringan LAN instansi ALT.....................................

36

Gambar 5.3. Topologi Jaringan WAN instansi ALT....................................

37

Gambar 5.4. Topologi Jaringan Situs Alternatif........................................... 70 Gambar 5.5. Susunan Tim BCP instansi ALT.............................................. 72

xi



DAFTAR TABEL

Tabel 1.1. Daftar gangguan layanan TI........................................................

3

Tabel 5.1. Identifikasi Sistem Informasi pada instansi ALT........................

32

Tabel 5.2. Identifikasi Perangkat Keras pada instansi ALT........................

34

Tabel 5.3. Pemetaan Sistem Informasi dengan layanan pada instansi ALT.

38

Tabel 5.4. Rekapitulasi data kuisioner pada instansi ALT...........................

40

Tabel 5.5. Analisis Dampak Bisnis terhadap Sistem Informasi....................

42

Tabel 5.6. Kebutuhan RTO dan RPO...........................................................

44

Tabel 5.7. Komponen Sistem Informasi.......................................................

45

Tabel 5.8. Prioritas pemulihan Sistem Informasi.........................................

46

Tabel 5.9. Faktor kelemahan dan ancaman terhadap aset............................

47

Tabel 5.10. Tingkatan kecenderungan..........................................................

50

Tabel 5.11. Tingkatan dampak......................................................................

50

Tabel 5.12. Penilaian kecenderungan dan dampak terhadap aset.................

51

Tabel 5.13. Matriks nilai risiko.....................................................................

54

Tabel 5.14. Tingkatan nilai risiko.................................................................

54

Tabel 5.15. Penilaian risiko beserta rencana perbaikan................................

55

Tabel 5.16. Prioritas risiko terhadap aset.....................................................

62

Tabel 5.17. Keterkaitan hubungan antara Sistem Informasi dan aset..........

63

Tabel 5.18. Kebutuhan teknologi pemulihan...............................................

64

Tabel 5.19. Kritera situs pemulihan.............................................................

67

Tabel 5.20. Daftar Nomor Telepon Layanan Darurat di DKI Jakarta.........

69

Tabel 5.21. Daftar Kontak tim BCP pada instansi ALT...............................

73

xii



DAFTAR LAMPIRAN

Lampiran 1.Transkrip hasil wawancara.......................................................

81

Lampiran 2.Identifikasi pengaruh Sistem Informasi Website.....................

84

Lampiran 3.Identifikasi pengaruh Sistem Informasi Keuangan..................

86

Lampiran 4.Identifikasi pengaruh Sistem Informasi Kehadiran.................

88

Lampiran 5.Identifikasi pengaruh Sistem Informasi Persuratan..................

90

Lampiran 6.Identifikasi pengaruh Sistem Informasi Perpustakaan.............

92

Lampiran 7.Identifikasi pengaruh Sistem Informasi Email.........................

94

xiii



BAB 1 PENDAHULUAN

Bab ini berisikan tentang latar belakang melakukan penelitian, perumusan masalah, ruang lingkup masalah, tujuan serta manfaat penelitian tentang perancangan Business Continuity Plan pada instansi ALT. 1.1. Latar Belakang Instansi ALT merupakan salah satu satuan kerja dari lembaga pemerintah yang berfungsi sebagai pendukung administrasi bagi VVIP. Dalam fungsi administrasi, instasi ALT mengimplemetasikan Teknologi Informasi yang memadai sebagai salah satu misi organisasi. Layanan Teknologi Informasi yang digunakan saat ini dibedakan dalam dua kategori yaitu internal dan eksternal. Maksud kategori internal ialah layanan TI baik infrastruktur maupun aplikasi yang peruntukannya khusus para pegawai di lingkungan instansi ALT, sedangkan kategori eksternal ialah layanan TI yang peruntukannya umum atau publik.

Layanan TI yang

bersinggungan dengan publik adalah merupakan sarana ataupun media penyampaian informasi mengenai kiprah VVIP serta kebijakan pemerintah, dan sarana komunikasi selain telepon ataupun surat. Untuk layanan yang digunakan khusus internal instansi ALT adalah merupakan alat bantu dalam pengelolaan anggaran yang bersumber dari APBN serta pencatatan kehadiran kerja pegawai sebagai upaya dalam penerapan displin sesuai Peraturan Pemerintah Nomor 53 Tahun 2010. Dalam kondisi saat ini kedua katagori tersebut layanan TI berperan sebagai enabler kegiatan operasional pada instasi ALT. Sebagai enabler idealnya layanan TI dituntut dapat memberikan kinerja yang optimal, namun realitasnya masih sering dijumpai kendala-kendala yang menghambat kegiatan operasional instansi ALT.

1



2

1.2. Perumusan Masalah Berdasarkan latar belakang yang telah dikemukakan, bahwa layanan TI belum dapat memenuhi kebutuhan kegiatan operasional di lingkungan instansi ALT. Kondisi saat ini infrastruktur layanan TI pada instansi ALT bersifat heterogen. Perangkat lunak yang mendukung layanan TI dikembangkan oleh beragam vendor. Perangkat keras yang dimiliki rata-rata sudah berumur lebih dari 6 tahun dengan keterbatasan kapasitas penyimpanan. Dalam operasional sehari-hari belum menerapkan sistem monitoring yang dapat memberikan peringatan dini akan adanya gangguan terhadap perangkat keras maupun perangkat lunak, sehingga dapat meminimalisir terjadinya gangguan. Permasalah lain adalah sumber daya manusia sebagai pengelola layanan TI. Saat ini jumlah pengelola layanan TI pada instansi ALT tidak sebanding dengan kapasitas layanan TI yang harus ditangani, serta pengetahuan yang belum mencukupi. Sehingga untuk pengelolaan layanan TI secara teknis masih tergantung penuh oleh pihak ketiga. Dalam struktur organisasi pengelolaan TI di instansi ALT, terdapat pembagian tugas dan fungsi yang secara implisit tumpang tindih. Hal ini terdefinisikan berdasarkan Peraturan Menteri Sekretaris Negara No.2 Tahun 2011 tentang organisasi dan tata kelola Kementerian Sekretariat Negara pada pasal 394 yang berbunyi: 1.

Subbagian Jaringan Informasi dan Aplikasi mempunyai tugas melakukan pengelolaan dan pengendalian jaringan informasi internal dan pengelolaan aplikasi informasi.

2.

Subbagian Pemeliharaan dan Perawatan Sistem Informasi mempunyai tugas melakukan pemeliharaan dan perawatan sistem informasi.

Sehingga prosedur pemeliharaan layanan TI belum dapat dijalankan secara optimal. Selain itu instansi ALT belum mempunyai prosedur mengenai kesinambungan usaha atas layanan TI, sehingga saat terjadi gangguan hal yang dilakukan hanyalah memberikan pengertian serta pengumuman.



3

Tanggal 30

Tabel1.1. Daftar gangguan layanan TI Masalah Durasi

September Terjadi gangguan pada

2013

website resmi instansi

3

jam,

Dampak

9 Website tidak

menit

dapat diakses

ALT, penyebab

maupun di

gangguan komunikasi

perbaharui

terhadap IIX DNS

informasinya

Server 3 Oktober 2013

Terjadi gangguan pada

1 jam, 26 Terhenti aktivitas

email, penyebab jalur

menit

pengiriman

internet dari PT. Telkom

maupun

terputus karena

penerimaan Email

perangkat gateway yang rusak 13 2013

Nopember Terjadi gangguan pada

3 hari

Mesin absensi

mesin absensi gedung 1,

tidak menyetorkan

penyebab koneksi LAN

data secara online

terputus karena switch rusak serta lokasi penempatan berubah 25 2013

Nopember Mesin absensi gedung 5

5 hari

Data diambil

datanya tidak bisa

secara manual

menyetorkan data secara online, penyebab terjadi IP duplikasi

Permasalahan pada faktor kebijakan berupa belum ada rencana stategis TI, sehingga pelaksanaan program kerja Bagian TI pada instansi ALT bersifat instruksional. Sedangkan dalam pelaksanaan realisasi penggunaan APBN diatur dalam Peraturan Presiden No. 70 Tahun 2012 tentang Pengadaan Barang dan Jasa Pemerintah, permasalahan adalah minimnya informasi maupun standarisasi Universitas Indonesia


4

barang dan/atau jasa sebagai pedoman dalam penentuan Harga Perkiraan Sendiri (HPS). Berikut ini merupakan gambaran dalam perumusan permasalahan yang tertuang dalam diagram Fish Bone.

Gambar 1.1. Diagram Tulang Ikan

Melihat besarnya potensi kebutuhan layanan Teknologi Informasi dalam memenuhi kebutuhan kegiatan operasional yang dipengaruhi oleh kebijakan, sumber daya manusia, proses dan infrastruktur. Penulis menitikberatkan pada faktor proses yaitu belum adanya prosedur BCP, dimana suatu layanan yang baik didukung oleh proses yang efektif. Penulis dalam penelitian ini untuk membuat pemodelan BCP yang sesuai dengan kebutuhan instansi ALT. Penelitian ini akan menjawab pertanyaan penelitian “Bagaimana rancangan Business Continuity Plan (BCP) guna meningkatkan kesinambungan

layanan Teknologi

Informasidalam mendukung kegiatan operasional?”



5

1.3. Ruang Lingkup Ruang lingkup penelitian ini adalah perancangan rencana kesinambungan usaha (Business Contunuiy Plan) terhadap layanan TI pada instansi ALT. Penelitian ini diawali dengan melakukan studi literatur mengenai Business Continuity Plan, sehingga diperoleh kerangka kerja yang menjadi acuan dalam perancangan Business Continuity Plan (BCP). Pembahasan hanya dilakukan sebatas perancangan

Business

Continuity Plan

(BCP), dan tidak menyertakan

implementasi (deliver), uji coba (testing) maupun pemeliharaan (maintenance).

1.4. Tujuan dan Manfaat Tujuan dari penelitian ini adalah untuk mengetahui dan menentukan rancangan rencana kesinambungan usaha (Business Continuity Plan) terhadap layanan teknologi informasi yang memadai bagi instasi ALT. Manfaat dari penelitian ini adalah untuk memberikan masukan kepada pihak manajemen instansi ALT mengenai prosedur rencana kesinambungan usaha layanan teknologi informasi dalam pemenuhan kegiatan operasional. Selain itu organisasi dapat melindungi fungsi usaha vital terhadap gangguan, serta dapat melakukan proses pemulihan dengan tepat dan cepat. Sehingga kualitas layanan terhadap pengguna terjaga.

1.5. Sistematika Penulisan Dalam penyusunan proposal penelitian ini penulis membagi tulisan ke dalam 6 bab sebagai berikut : a.

Bab 1 adalah bagian pendahulan menguraikan penjelasan latar belakang beserta dengan rumusan permasalahan dan ruang lingkup penelitian, tujuan dan manfaat penelitian dan sistematika dari penulisan.

b.

Bab 2 adalah Studi literatur, bagian yang menguraikan berbagai teori-teori maupun referensi yang digunakan untuk mendukung penelitian ini. Pada bagian ini akan diuraikan teori mengenai hal-hal pokok mengenai Business Continuity Plan beserta kerangka kerjanya.



6

c.

Bab 3 adalah bagian yang berisi penjelasan metodologi penelitian yang digunakan yang mencakup kerangka penelitian, kerangka berpikir dan metoda pengumpulan data .

d.

Bab 4 berisi profile instansi ALT, tugas dan fungsi organisasi serta tim pengelola layanan teknologi informasi.

e.

Bab 5 berisi analisis penulis terhadap data yang sudah dikumpulkan, sehingga menghasilkan rancangan rencana kesinambunganusahaterhadap layanan teknologi informasi pada instansi ALT.

f.

Bab 6 merupakan bab penutup pada karya akhir dan pada bab ini penulis akan memberikan kesimpulan dan saran atas permasalahan yang diteliti serta kelanjutan yang dapat dilakukan di penelitian ini.



BAB 2 TINJAUAN PUSTAKA

Pada bab ini menjelaskan mengenai teori-teori yang berkaitan dengan perancangan business continuity plan,

penelitian rujukan yang dilakukan

sebelumnya dalam penanganan keadaan kontigensi, serta perumusan theoritical framework. 2.1. Pengertian Business Continuity Business Continuity mengalami perkembangan dalam beberapa tahun belakang. Hal ini dapat terlihat ada perkembangan kebutuhan pada semua sektor dan tipe organisasi, dimana pertama kali diperuntukan pada organisasi yang sudah mapan dengan miliki kebijakan yang ketat atas tingkat risiko yang tinggi (Jamie Watters, 2010). Pada dasarnya semua organisasi telah menyadari akan pentingnya suatu Business Continuity. Karena faktor penyebab adanya suatu insiden gangguan yang mengancam keberlangsungan siklus bisnis. Untuk perlu suatu mekanisme yang menjamin kontinuitas fungsi bisnis utama dalam segala keadaan (Jim Burtles, 2007). Mekanisme tersebut dinamakan Business Continuity Management, dengan salah satu unsur didalamnya Business Continuity Plan. 2.1.1. Business Continuity Management(BCM) Terdapat definisi mengenai BCM yang didapat dari beberapa literatur, sebagai berikut: a.

ManajemenKesinambunganBisnis / Business Continuity Management (Jamie Watters,2010) adalah perpaduan antara proses dan displin. Proses adalah perputaran secara bertahap dalam memastikan aktifitas kritis berjalan dengan semestinya. Displin merupakan sekumpulan individual maupun tim dalam organisasi yang bertanggungjawab berfungsinya tahapan dari daur hidup kesinambungan bisnis (business continuity life cycle).

b.

Business Continuity Management(BS 25999-2:2007, 2.4) merupakan proses manajemen

secara

holistik

7

pada

organisasi

dengan



8

mengidentifikasi timbulnya peluang ancaman yang berdampak terhadap operasional bisnis, dalam penerapannya membentuk suatu kerangka kerja yang dapat memberikan ketahanan serta kemampuan merespon secara efektif demi menjaga kepentingan stakeholder, reputasi, brand dan kegiatan pengembangan. c.

Business Continuity Management (Jim Burtles,2007) merupakan manajemen disiplin, proses dan teknik yang bertujuan dalam mendukung kontinuitas operasi dari fungsi bisnis utama dalam segala keadaan.

d.

Business Continuity Management (Vlasta Svata,2013) diibaratkan seperti payung yang dapat melingkupi berbagai aktifitas dan dokumen yang berbeda. Hal itu tercermin pada gambar 2.1. yang mengilustrasikan situasi keterhubungan antar aktifitas-aktifitas dan dokumen yang terkait terhadap BCM.

Gambar 2.1. Framework BCM (sumber:Journal of system integration, 2013 )



9

Pada gambar diatas aktifitas dan dokumen dapat dikelompokan berdasarkan asas fungsinya, yaitu: 

Aktifitas manajemen meliputi Business Risk Management, IT Risk Management,

Business

Continuity

Management,

IT

Continuity

Management. 

Dokumen meliputi Business Impact Analysis, Business Continuity Plan dan Disaster Recovery Plan.



Regulasi meliputi COSO ERM, ISO norm dan peraturan terkait lainnya.



Aktifitas penjaminan yaitu melaksanakan Audit.

2.1.2. Business Continuity Plan (BCP) Terdapat definisi mengenai BCP yang didapat dari beberapa literatur, sebagai berikut : a.

Business Continuity Plan (Jim Burtles,2007) adalah rencana yang proaktif dan komprehensif dalam mendukung kontinuitas operasi dari fungsi bisnis utama dalam segala keadaan.

b.

Business Continuity Plan (NIST SP800-34,2010) merupakan dokumen yang memuat instruksi ataupun prosedur mengenai bagaimana organisasi menjamin proses bisnis sesaat dan setelah terjadi gangguan.

c.

Business Continuity Plan (PP no.82, 2012) adalah suatu rangkaian proses yang dilakukan untuk memastikan terus berlangsungnya kegiatan dalam kondisi mendapatkan gangguan atau bencana.

d.

Menurut ISO 22301 bahwa Business Continuity Plan didefinisikan merupakan dokumen prosedur petunjuk pelaksanaan organisasi guna merespon, memulihkan, memperbaiki dan memulai kembali hal-hal dasar operasional dalam keadaan terjadi gangguan (Vlasta Svata,2013).

e.

Business Continuity Plan (PBI No.9/15/PBI/2007)

adalah kebijakan dan

prosedur yang memuat rangkaian kegiatan yang terencana dan terkoordinir mengenai

langkah-langkah

pengurangan

risiko,

penanganan

dampak

gangguan/bencana dan proses pemulihan agar kegiatan operasional Bank dan pelayanan kepada nasabah tetap dapat berjalan.



10

2.2. Tahapan Penyusunan BCP Dalam penyusunan BCP melalui tahapan-tahapan yang mengalir secara sekuensial dan saling keterkaitan, sehingga membentuk suatu siklus hidup Business Continuity

Plan

Understan d

Maintain

Deliver

Test

Gambar 2.2. Business Continuity Process Life Cycle (sumber:Jamie Watters, 2010 )

Tahapan pertama dimulai dari Understand yaitu mengetahui proses-proses kritis, lanjut ke tahap Plan yaitu merencanakan pemeliharaan, lanjut ke tahap Deliver yaitu memberi dukungan atas solusi yang dirancang, lanjut ke tahap Test yaitu mengeksekusi atau menguji-coba, sampai ke tahap Maintain yaitu melakukan pemeliharaan dan kembali berkelanjutan ke tahap awal (Jamie Watters, 2010). Menurut Jamie Watters,2010 hal-hal yang harus dimiliki suatu organisasi dalam mengimplentasi Business Continuity adalah a.

Kebijakan terkait Business Continuity

b.

Mendefinisikan proses-proses bisnis

c.

Alat bantu dan kerangka kerja yang digunakan sebagai acuan

d.

Seseorang yang bertanggung-jawab

e.

Rencana kegiatan yang terkait Business Continuity

f.

Tanggung jawab yang jelas terkait kegiatan Business Continuity



11

2.3. Analisa Dampak Bisnis (Business Impact Analysis) Proses identifikasi dan pembobotan terhadap dampak yang timbul akibat gangguan dilihat dari sudut pandang finansial maupun non finansial (Jim Burtles,2007). Menurut NIST SP800-34,2010 BIA adalah mengidentifikasikan dan memprioritaskan faktor-faktor kritis dalam proses bisnis organisasi. Tahapan dalam melakukan BIA: a.

Determine mission/business processes and recovery criticality Mengidentifikasikan dampak yang timbul terhadap gangguan sistem yang mendukung proses bisnis baik berupa penghentian proses (outage) dan perkiraan waktu henti (estimated downtime). Perkiraan waktu henti menentukan toleransi waktu maksimum saat pemulihan.

b.

Identify resource requirements Mengidentifikasikan sumber daya mencakup fasilitas, personil, peralatan, software, file data, komponen sistem dan lain sebagainya guna melanjutkan proses bisnis organisasi.

c.

Identify recovery priorities for system resources Menentukan tingkatan prioritas sumber daya pada kegiatan pemulihan bisnis proses.

2.4. Penilaian Risiko (Risk Assessment) Proses untuk mengetahui dampak potensial dan kaitannya terhadap enterprise serta identifikasi aktifitas yang dapat mengurangi dampak. Hal ini termasuk dalam tahap kedua pada Risk Management (Jim Burtles,2007). Manajemen risiko ini perlu diimplementasi sedemikian rupa sehingga tidak hanya sekedar untuk memenuhi persyaratan kepatuhan (compliance), manajemen risiko perlu dipahami dan diterapkan sehingga dapat dirasakan manfaatnya (CDA,2013). Proses-proses dalam manajeman risiko dapat terlihat dalam diagram berikut:



12

Gambar 2.3. Risk Management Process (sumber:CDA, 2013 ) a.

Context definition Dalam proses ini adalah mendefinisikan berbagai macam hal agar di dapat kerangka kerja manajemen risiko (risk management framework) yang akan digunakan. Hal-hal yang didefinisikan antara lain: tujuan, sasaran, ruang lingkup, sumber daya, peran dan tanggungjawab, struktur risiko, pendekatan manajemen risiko, kriteria risiko (dampak, kecederungan, bobot), batasan risiko, pendekatan dalam merespon risiko, pemantauan risiko, manajemen kerugian.

b.

Risk identification Proses menentukan dan mendokumentasikan risiko yang dihadapi oleh organisasi, berdasarkan pengenalan ancaman, kerawanan, aset dan kontrol. Hasil dari tahap ini berupa daftar risiko (risk register).

c.

Risk assessment & analysis Pada proses ini dilakukan penilaian terhadap risiko dengan metode kuantitatif, dan akan terbentuk pemeringkatan dan profile dari risiko yang akan diterapkan pengontrolan.

d.

Risk mitigation Pada proses ini profile risiko yang ada diklasifikasikan dalam beberapa kriteria pilihan yaitu: Universitas Indonesia


13

1) Risk Avoidance, kegiatan atau kondisi untuk menghindari risiko. 2) Risk

Mitigation,

kegiatan

yang

dilakukan

demi

mengurangi

kecenderungan dan/atau dampak terhadap risiko. 3) Risk Sharing (Transfer), melimpahkan sebagian atau memindahkan risiko kepada pihak diluar dari organisasi. 4) Risk Acceptance, penerimaan terhadap kecenderungan maupun dampak atas risiko yang ada. Dari kriteria pilih diatas maka dapat diterapkan kontrol yang diharapkan mengurangi risiko, adapun tipe kontrol yang dapat digunakan antara lain: 1) Preventive controls, yaitu kontrol untuk mencegah terjadinya risk events termasuk didalamnya directive controls dan deterrent controls. Kontrol ini berjalan sebelum terjadinya risk events. 2) Detective controls, kontrol yang memberitahu terjadinya risk events. Kontrol ini berjalan saat risk events terjadi. 3) Corrective controls, kontrol untuk memperbaiki risk events yang terjadi, memitigasi kerusakan (damage control) dan/atau mengembalikan kendali. Kontrol ini berjalan sesudah terjadinya risk event. Keluaran dari proses mitigasi adalah berupa daftar

kontrol (control

register). e. Risk monitoring and evaluation Pada tahapan ini adalah melakukan pantauan maupun mengevaluasi terhadap risiko-risiko dengan prioritas tertinggi dengan menggunakan indikator risiko (strategic, management/tactical, operational). f. Communication and reporting Proses ini merupakan pendokumentasian terhadap tahapan proses yang ada.



14

2.5. NIST SP 800-34 rev.1 NIST Special Publication 800-34 standar yang keluarkan oleh National Institute of Standars and Technology dalam naungan U.S Department of Commerce, merupakan

pedoman

dalam

penyusunan

rencana

penanganan

darurat

(Contingency Planning). Pokok bahasan rekomendasi penyediaan strategi dan teknik umum untuk semua sistem berdasarkan jenis platform sebagai berikut: b. Client/Server system; c. Telekomunikasi system; dan d. Mainframe system.

Gambar 2.4. Contingency Planning Process (sumber: NIST SP 800-34 rev.1, 2010 )

Proses Contingency Planning didefinisikan menjadi tujuh tahapan, yaitu: 1. Develop Contingency Planning Process, menentukan kebijakan proses rencana kontinjensi pada organisasi dapat berupa peraturan perundangundangan

pemerintahan

setempat

maupun

standarisasi

internasional.

Kebijakan ini harus dapat bersifat melekat dan menyeluruh serta didukung oleh pimpinan tertinggi dalam organisasi.



15

2. Conduct Business Impact Analysis, mengidentifikasikan dan memprioritaskan faktor-faktor kritis dalam proses bisnis organisasi. Tahapan dalam melakukan BIA: a. Determine mission/business processes and recovery criticality Mengidentifikasikan dampak yang timbul terhadap gangguan sistem yang mendukung proses bisnis baik berupa penghentian proses (outage) dan perkiraan waktu henti (estimated downtime). Perkiraan waktu henti menentukan toleransi waktu maksimum saat pemulihan. b. Identify resource requirements Mengidentifikasikan sumber daya mencakup fasilitas, personil, peralatan, software, file data, komponen sistem dan lain sebagainya guna melanjutkan proses bisnis organisasi. c. Identify recovery priorities for system resources Menentukan tingkatan prioritas sumber daya pada kegiatan pemulihan bisnis proses. 3. Identify Preventive Controls, menentukan tindakan control pencegahan yang didasarkan atas hasil identifikasi celah kerawanan serta analisis dampak gangguan sehingga dapat menstabilkan proses bisnis. 4. Create Contingency Strategies, menerapkan strategi kesinambungan bersifat menyeluruh pada proses mitigasi risiko yang meliputi kegiatan menyalin (backup), pemulihan (recovery), perencanaan keadaan darurat (contingency planning), pengujian (testing), dan pemeliharaan (maintenance). 5. Develop Contingency Plan, membuat dokumen mengenai rencanan keadaan darurat (contingency plan) yang memuat faktor kritis, analisa dampak gangguan, kontrol pencegahan, dan strategi pemulihan bisnis proses organisasi. 6. Plan Testing, Training and Exercises, melakukan pengujian (testing) terhadap strategi keadaan darurat agar organisasi dapat diukur tingkat kesiapan maupun efektifitas rencana keadaan darurat. Secara berkala organisasi harus melakukan pembelajaran (training) maupun pelatihan (exercise) agar memupuk tingkat kewaspadaan, kesiapan serta pemahaman atas strategi rencana keadaan darurat (Contingency Plan). Universitas Indonesia


16

7. Plan Maintenance, melakukan reviu berkala terhadap dokumen rencana keadaan darurat (contingency plan document) atas keakuratan dan kompleksitas proses bisnis yang disesuaikan dengan perubahan organisasi. Unsur-unsur yang menjadi focus dalam melakukan reviu yaitu: a. Kebutuhan mengenai operasional (operational requirements); b. Kebutuhan mengenai keamanan (security requirements); c. Petunjuk teknis (technical procedures); d. Perangkat keras, lunak serta perangkat pendukung lainnya (tergantung jenis, speksifikasi dan jumlah); e. Informasi atas anggota tim penanganan keadaan darurat; f. Informasi representasi pihak ketiga, termasuk pengelola lokasi alternatif; g. Kebutuhan fasilitas sarana dan prasarana pada lokasi alternatif; h. Data yang bersifat vital baik fisik maupun digital. 2.6. Virtualisasi Virtualisasi adalah teknologi yang mengizinkan sistem komputer untuk membuat suatu sistem komputer bayangan di dalam sistem komputer tersebut. Secara umum teknologi virtualisasi mengacu pada cara menyembuyikan detail teknis melalui enkapsulasi, dengan tujuan untuk mempermudah proses modifikasi suatu sistem komputer atau data tanpa harus mengubah keseluruhan dari sistem komputer tersebut (Efrizal Zaida,2013). Pemanfaatan virtualisasi berguna untuk mengurangi jumlah fisik server, mengefisiensikan sumber daya server, meningkatkan ketersediaan server, membantu dalam pemulihan bencana, membantu dalam pelaksanaan pengujian dan pengembangan, serta mewujudkan administrasi server yang terpusat (Adriana, 2009). Teknologi virtualisasi menawarkan dengan berbagai kelebihan dari masingmasing metode virtualisasi, yang intinya agar terlepas dari ketergantungan secara fisik. Berikut beberapa keuntungan menggunakan teknologi virtualisasi (Efrizal Zaida,2013): a.

Penghematan, dengan virtualisasi pemanfaatan hardware lebih optimal dikarenakan adanya pengurangan penggunaan server fisik yang berimbas pada pengurangan biaya alat pendingin serta listrik. Universitas Indonesia


17

b.

Menyederhanakan memonitor

pengelolaan

beberapa

server

dan dapat

pemeliharaan, dilakukan

dalam

secara

virtualisasi

terpadu

serta

menyederhanakan proses instalasi aplikasi dalam sistem. c.

Reliabilitas, dengan mengurangi jumlah server fisik maka infrastruktur akan menjadi lebih reliabel.

d.

Kemudahan backup, server-server yang berjalan pada sebuah mesin virtual dapat disimpan dalam sebuah image yang berisi seluruh konfigurasi sistem.

e.

Kemudahan standarisasi hardware, virtualisasi melakukan emulasi dan enkapsulasi hardware sehingga proses pengenalan dan pemindahan suatu hardware tertentu tidak menjadi masalah.

f.

Kemudahan upgrade, proses untuk penggantian maupun upgrade spesifikasi server mudah dilakukan

Software atau Firmware yang menciptakan mesin virtual pada hardware host sehingga memperbolehkan beberapa sistem operasi berjalan sekaligus dalam suatu komputer secara bersamaan disebut Hypervisor atau Virtual Machine Monitor (Efrizal Zaida,2013). Berikut beberapa kategori yang termasuk dalam lingkup virtualisasi, yaitu (Clark Scheffy, 2007): 1.

FullVirtualization, merupakan skema virtualisasi dengan memvirtualisasikan seluruh perangkat keras untuk sistem operasi tamu (guest). Menggunakan hypervisor sebagai penyelia yang mengemulasikan kode virtualisasi sistem operasi tamu dengan perangkat keras fisik, sehingga dapat menimbulkan banyak proses yang tentunya membutuhkan sumber daya yang besar.

Gambar 2.5. Skema Full Virtualization (sumber:Virtualization for Dummies, 2007)



18

2.

Partial Virtualization (paravirtualization), skema virtualisasi ini masih menggunakan hypervisor untuk berbagi akses perangkat keras kepada sistem operasi tamu. Namun pembedaannya pengemulasian kode virtualisasi sudah terintegrasi dengan sistem operasi, sehingga adanya peningkatan kinerja dibandingkan pada metode virtualisasi penuh.

Gambar 2.6. Skema Partial Virtualization (sumber:Virtualization for Dummies, 2007)

3.

Hardware-assisted Virtualization, skema virtualisasi tetap menggunakan hypervisor dalam mengemulasikan kode virtualisasi pada sistem operasi tamu. Namun posisi hypervisor terintegrasi pada arsitektur CPU sehingga dapat mengefektifkan emulasi kode virtualisasi guna meningkatkan kinerja operasional.

Gambar 2.7. Skema Hardware-assisted Virtualization (sumber:Virtualization for Dummies, 2007)



19

2.7. Penelitian Rujukan Pada tahun 2013, Prabowo Priyo Ardhianto melakukan penelitian yang berjudul “ Perancangan Business Continuity Plan (BCP): Studi Kasus PT. ABC”.Dalam penelitian ini penggalian permasalahan berdasarkan pada SDM, teknologi, lingkungan organisasi, serta prosedur dan standarisasi. Kerangka kerja penelitian berdasarkan BS-25999-1 dan BCI GPG 2008, sehingga terbentuk pola tahapan dalam perancangan BCP yang diawali dengan pembuatan kebijakan BCM sebagai landasan regulasi dalam melaksanankan BCP. Tahapan selanjutnya melakukan analisa dampak terhadap aset-aset yang mempengaruhi kegiatan operasional akibat terjadinya bencana, sehingga dapat diperkirakan kebutuhan pada proses pemulihannya serta penilaian terhadap risiko yang ada. Berdasarkan penilaian risiko dapat menentukan strategi yang ditetapkan dalam menjaga kesinambungan kegiatan operasional. Pada akhirnya dapat disusun secara sistematis menjadi dokumen perencanaan kesinambungan kegiatan (BCP). Penelitian selanjutnya pada tahun 2013, dilakukan oleh Andri Setiyaji dengan judul “Perancangan Disaster Recovery Plan di Badan Meteorlogi Klimatologi dan Geofisika (BMKG)”. Bertujuan untuk dapat meningkatkan ketersediaan layanan (service availability) dan kehandalan (reliability) pada semua proses bisnis di BMKG Pusat dan UPT. Kerangka kerja yang sebagai acuan adalah NIST SP 80030 tentang Risk Management Guide for Information Technology Systems. Tahapan awal dengan mengidentifikasi komponen aset sistem layanan yang kemungkinan berpengaruh terhadap proses bisnis di BMKG. Langkah selanjutnya melakukan penilaian risiko (risk assessment) yang dimulai dengan melakukan analisa value chain untuk menentukan proses inti BMKG serta analisa aset sistem informasi guna mengetahui aset yang bersifat kritikal. Tahapan selanjutnya dalam penilaian risiko

adalah

mengidentifikasikan

ancaman

(Threat)

dan

kelemahan

(Vulnerability) serta melakukan riviu kontrol yang telah diterapkan. Berikutnya melakukan determinasi kecenderungan (likelihood) dan analisa dampak (impact analysis). Akhirnya dapat ditentukan pemeringkatan risiko dan nilai risikonya, sehingga

dengan

demikian

dapat

diketahui

kontrol-kontrol

yang

direkomendasikan. Setelah tahapan penilaian risiko yaitu melakukan mitigasi Universitas Indonesia


20

risiko (Risk Mitigation) serta analisa rencana kontijensi (Contigency Plan Analysis) terhadap aset-aset yang bersifat kritikal. Dengan demikian tersusunlah rancangan DRP untuk BMKG. Pada tahun 2014, Nanda Zannibua Harisma melakukan penelitian pada Direktorat Jenderal Administrasi Hukum Umum yang diberi judul “Perancangan Disaster Recovery Plan (DRP) pada Instansi Pemerintah : Studi kasus Direktorat Jenderal Administrasi

Hukum

Umum

Kementerian

Hukum

dan

HAM”.Dalam

penelitiannya melakukan analisa dampak kegagalan sistem terhadap bisnis yang dimiliki organisasi, dengan berpedoman pada NIST SP 800-34 rev.1 sebagai kerangka kerja. Penelitian ini

untuk

menentukan kebutuhan teknologi

mengkaitkan Business Impact Analysis (BIA), RTO dan RPO sebagai acuan dalam memetakan layanan-layanan TI yang dimiliki, berdasarkan konsep Seven Tier of Disaster Recovery yang pertama kali dikemukakan oleh SHARE yang bekerja sama dengan IBM. Penelitian ini memiliki beberapa persamaan dengan ketiga penelitian sebelumnya. Penelitian ini memiliki kemiripan pada penelitian oleh Prabowo Priyo Ardhiatno dan Nanda Zannibua Harrisma yaitu melakukan tahap analisa dari kegagalan terhadap layanan TI yang mengakibatkan terkandalanya proses bisnis organisasi, serta tahapan metodologi dimana antara BS-25999-1 dan NIST SP 800-34 memiliki karakteristik sama. Sedangkan pada penelitian Andri Setiyaji dapat menjadi pertimbangan dalam melakukan proses penilaian risiko (risk assessment).

2.8. Theoritical Framework Berlandaskan pada teori-teori, metodologi serta penelitian-penelitian sebelumnya terkait mengenai Business Continuity Plan, maka terbangunlah theoretical framework sebagai berikut:



21

Gambar 2.8. Theoretical Framework Dari gambar diatas, dapat dilihat bahwa dalam perancangan business continuity plan pada instansi ALT dipengaruhi oleh faktor teori-teori, best practise, penelitian sebelumnya, kondisi khas instansi ALT serta kebijakan maupun peraturan perundang-undangan yang berlaku. Perancangan BCP ini pada dasarnya adanya gap antara kondisi saat ini dengan kebijakan organisasi dalam mewujudkan layanan prima, hal ini di perkuat dengan peraturan

perundang-undangan

yang

berlaku

untuk

merancang

dalam

mengantisipasi keadaan darurat dan menjaga kesinambungan kegiatan organisasi (PP No.82 tahun 2012). Dalam melakukan perancangan BCP ini dibutuhkan teoriteori dan best practise pendukung yang relevan, serta perbandingan dengan organisasi lain. Sehingga diharapkan dapat digunakan untuk melengkapi kekurangan-kekurangan

yang

ada

pada

perancangan

BCP

ini.



BAB 3 METODOLOGI PENELITIAN

Pada bab ini akan menjelaskan mengenai langkah-langkah penelitian yang dilakukan guna menghasilkan rancangan Business Continuity Plan untuk instansi ALT. 3.1. Tahapan Penelitian Gambaran umum mengenai langkah-langkah penelitian yang dilakukan, sebagai berikut:

Gambar 3.1. Tahapan Penelitian

22



23

Penjelasan terhadap diagram alur penelitian sebagai berikut: Tahap 1: Perumusan Masalah Penelitian ini dimulai dengan mengidentifikasi masalah yang terjadi pada pengelolaan layanan teknologi informasi di instansi ALT. Komponen-komponen yang terkait dituangkan dalam rangkaian diagram tulang ikan, sehingga akan diketahui akar permasalahan dari objek penelitian tersebut. Demi memfokuskan penelitian di pilih salah satu akar permasalahan untuk dijadikan tema penelitian. Dalam hal ini tema penelitian yang akan dilakukan mengenai perancangan rencana kesinambungan bisnis (Business Continuity Plan) layanan teknologi informasi yang belum dimiliki oleh instansi ALT, sehingga belum dapat memenuhi kebutuhan kegiatan operasional. Tahap 2: Studi Literatur Pada tahap ini dilakukan pengumpulan sumber rujukan berupa teori, metodologi serta kerangka kerja (framework) yang bersumber dari buku, jurnal, dan tesis yang sesuai dengan tema penelitian. Literatur yang terkumpul akan dijadikan acuan pemahaman pada penyusunan kerangka kerja teoritis dengan melakukan pendekatan Construct, Compare, Consice, Constrast dan Criticism sehingga menghasilkan suatu kerangka kerja teoritis guna menyelesaikan masalah yang menjadi objek pada penelitian ini. Tahap 3: Penghimpunan Data Pada tahap ini akan dilakukan penghimpunan data yang diperlukan terkait tema penelitian. Data maupun informasi yang dihimpun berupa hasil wawancara, kuisioner, dokumen dan pengamatan langsung dari pihak terkait pengelola layanan teknologi informasi pada instansi ALT. Tahap 4: Analisa Dampak Bisnis Pada tahap ini akan dilakukan analisa terhadap data-data yang terkumpul dengan menggunakan metodologi maupun kerangka kerja yang dipilih sebagai acuan, sehingga dapat diidentifikasikan dampak yang timbul dari risiko yang ada beserta skala prioritasnya.



24

Tahap 5: Identifikasi Kontrol Pencegahan Pada tahap ini akan dilakukan penentuan kontrol-kontrol terhadap risiko dengan skala prioritas tertinggi, guna meminimalisir dampak yang ditimbulkan dari risiko tersebut. Tahap 6: Strategi Kesinambungan Pada tahap ini melakukan penentuan strategi penanggulangan gangguan yang meliputi evakuasi, pemulihan, serta pengembalian fungsi. Tahap 7: Kesimpulan dan Saran Pada tahap ini merupakan kesimpulan terhadap hasil penelitian yang dilakukan, serta jawaban atas research question yang dibuat pada tahap perumusan masalah. Saran yang dibuat merupakan kelanjutan maupun pengembangan terhadap penelitian ini.

3.2. Metode Pengumpulan Data Dalam proses perancangan rencana kesinambungan bisnis (BCP) dibutuhkan data, teori dan metodologi yang baik. Penelitian ini menggunakan 2 jenis data yaitu data kualitatif dan kuantitatif. Data yang bersifat kualitatif berupa data aset SI/TI sebagai dasar untuk melakukan analisis BIA dan penilaian risiko, sedangkan data yang bersifat kuantitatif berupa RTO dan RPO yang diperoleh melalui wawancara dengan masing-masing pengguna sistem informasi, yang digunakan untuk menentukan strategi dan teknologi yang dibutuhkan untuk masing-masing layanan TI. Pengumpulan data-data tersebut melalui metode pendekatan yang berbeda. Data kuantitatif diperoleh dari kuisioner yang dibagikan kepada pegawai instasi ALT, mulai dari tingkatan pimpinan hingga staf yang menggunaka layanan TI. Data ini pada tahapan BIA digunakan untuk menentukan tingkat kepentingan sehingga dapat menggambarkan dampak dari bencana atau gangguan terhadap bisnis instasi ALT. Data kualitatif berupa aset SI/TI diperoleh dari laporan daftar aset SI/TI serta observasi langsung.



25

Selanjutnya data-data yang telah terkumpul akan digunakan sebagai bahan untuk melakukan analisa-analisa yang dibutuhkan dalam perancangan Business Continuity Plan.

3.3. Metode Analisis Data Dalam melakukan perancangan business continuity plan ini, kerangka kerja yang digunakan adalah NIST SP 800-34 rev.1 memuat langkah-langkah yang antara lain BIA, kontrol pencegahan, strategi dan rencana kontigensi. Faktor utama yang dibutuhkan dalam perancangan BCP yaitu strategi yang digunakan untuk pemulihan aset SI/TI, penentuan teknologi pada masing-masing sistem informasi, dan SDM yang melaksanakan kegiatan. Indikator terhadap faktor utama tersebut diperoleh dari hasil Business Impact Analysis (BIA) serta dikuatkan atas kebutuhan RTO dan RPO pada masing-masing layanan TI. Dalam melakukan business impact analysis menggunakan data aset SI dan TI yang dimiliki yang diperoleh melalui hasil identifikasi aset, serta data kebutuhan RTO dan RPO yang diperoleh dari hasil wawancara dengan pengguna layanan TI pada instansi ALT. Hasil akhir pada tahap analisis ini berupa daftar tingkat prioritas pemulihan dari masing-masing sistem informasi. Penentuan tingkat prioritas pemulihan berdasarkan pada ekpektasi serta dampak ketidaktersediaan layanan TI bagi pengguna. Atas dasar tingkat prioritas pemulihan layanan TI tersebut, selanjutnya dapat ditentukan teknologi yang sesuai dalam menjamin kesinambungan bisnis dengan menggunakan konsep virtualisasi. Untuk memastikan rancangan business continuity plan dapat diimplementasikan dengan baik, perlu tim business continuity

dengan tugas yang sesuai dan

berdasarkan atas kemampuan yang dimiliki oleh masing-masing anggotannya. Dalam pembentukan tim ini hal yang harus menjadi perhatian yaitu pada kondisi dan

karakteristik

khas

yang

dimiliki

oleh

instansi

ALT.



BAB 4 PROFILE ORGANISASI

Pada bab ini akan menjelaskan mengenai gambaran umum, visi, misi, tugas dan fungsi serta struktur organisasi instansi ALT.

4.1. Gambaran Umum Instansi ALT adalah salah satu Satuan Kerja (Satker) yang berada dibawah Kementerian Sekretariat Negara (Kemensetneg). Instasi ALT dipimpin oleh seorang Sekretaris Utama (Sestama) yang bertanggung jawab kepada Menteri Sekretaris Negara (Mensesneg). Dalam pelaksanaan tugas keseharian, tidak selalu Sestama melaksanakan tugas dari Mensesneg, namun Sestama dapat menerima penugasan langsung dari VVIP. Perlu diketahui bahwasannya VVIP merupakan akronim dari RI-2, yang digunakan sepanjang penulisan pada karya akhir ini. Tugas utama Sestama yaitu memberikan dukungan teknis dan administrasi kerumahtanggaan dan keprotokolan kepada VVIP, serta analisa dalam rangka pengambilan kebijakan VVIP dalam penyelenggaraan pemerintahan dan pembangunan. Dukungan yang diberikan tersebut dapat berupa data, informasi dan analisis dalam bidang politik, ekonomi, sosial, budaya dan pertahanan keamanan,

penyelenggaraan

pelayanan

kerumahtanggaan,

pelayanan

keprotokolan, penyiapan dan pelaksanaan acara kenegaraan, penyiapan dan pelaksanaan acara perjalanan VVIP, koordinasi kegiatan layanan informasi, pelaksanaan hubungan dan kerjasama dengan lembaga negara, perencanaan program dan anggaran keuangan, pengelolaan dana operasional VVIP dan koordinasi dengan Tim Dokter Kepresidenan. Berdasarkan Peraturan Menteri Sekretaris Negara Nomor 2 Tahun 2011 tentang Organisasi dan Tata Kelola Kementerian Sekretariat Negara, maka instansi ALT dibagi menjadi lima kedeputian. Dalam tiap-tiap kedeputian dibagi menjadi biro, bagian dan subbagian, yang secara hirarki akan bertanggungjawab dengan struktur diatasnya.

Adapun

bagan

instansi

ALT

26

digambarkan

sebagai

berikut:



27

Gambar 4.1. Struktur Organisasi instansi ALT

Unsur kepangkatan di instansi ALT dikenal dengan nama Eselon, dengan urutan tertinggi yaitu Eselon 1 sampai yang terendah yaitu Eselon 4. Penyetaraan antara kepangkatan dengan jabatan sebagai berikut: 1. Eselon 1 diperuntukan bagi jabatan setingkat Deputi. 2. Eselon 2 diperuntukan bagi jabatan setingkat Kepala Biro. 3. Eselon 3 diperuntukan bagi jabatan setingkat Kepala Bagian. 4. Eselon 4 diperuntukan bagi jabatan setingkat Kepala Subbagian. Pengelolaan TI pada instansi ALT berada pada tingkatan Eselon 3 sebagai pemilik program kegiatan dengan membawahi 2

jajaran tingkatan Eselon 4 sebagai

pelaksana program kegiatan, yang keseluruhannya dibawah naungan tingkatan Eselon 2 sebagai penanggungjawab kegiatan. Hirarki pengelolaan TI tertuang dalam bagan sebagai berikut:



28

Gambar 4.2. Struktur Pengelolaan TI

Penjelasan mengenai tugas dan fungsi terhadap pengelola TI pada instansi ALT, tertuang pada Peraturan Menteri Sekretaris Negara Nomor 2 Tahun 2011 berbunyi sebagai berikut: a.

Pasal 391: Bagian Teknologi Informasi mempunya tugas melaksanakan pengelolaan, pengendalian, pengembangan, pemeliharaan dan perawatan sistem informasi.

b.

Pasal 392 : Dalam melaksanakan tugas sebagaimana dimaksud dalam pasal 391, Bagian Teknologi Informasi menyelenggarakan fungsi: 1) Pengelolaan dan pengendalian jaringan informasi; 2) Pengembangan aplikasi informasi; 3) Pengembangan sistem informasi; dan 4) Pemeliharaan dan perawatan sistem informasi.

c.

Pasal 393 : Bagian Teknologi Informasi terdiri atas: Subbagian Jaringan Informasi dan Aplikasi; dan Subbagian Pemeliharaan dan Perawatan Sistem Informasi.

d.

Pasal 394 : Universitas Indonesia


29

1) Subbagian Jaringan Informasi dan Aplikasi mempunyai tugas melakukan pengelolaan

dan

pengendalian

jaringan

informasi

internal

dan

pengelolaan aplikasi informasi di lingkungan instasi ALT. 2) Subbagian Pemeliharaan dan Perawatan Sistem Informasi mempunyai tugas melakukan pemeliharaan dan perawatan sistem informasi. 4.2. Rencana Strategis Instansi ALT dalam menjalankan operasional kenegaraan dan pemerintahan berpedoman pada Rencana Strategis tahun 2010-2014 yang telah direvisi sebagai berikut : A.

Visi Terwujudnya instansi ALT yang profesional, transparan dan akuntabel dalam rangka memberikan pelayanan prima kepada VVIP

B.

Misi 1) Meningkatkan kualitas sumber daya manusia dalam rangka optimalisasi dukungan teknis dan administrasi kepada VVIP. 2) Meningkatkan sarana dan prasaran kerja yang memadai dalam rangka mewujudkan efektifitas dan efesiensi dukungan teknis dan administrasi kepada VVIP. 3) Meningkatkan kualitas kinerja dalam rangka penyiapan bahan untuk perumusan kebijakan VVIP di bidang politik, kesejahteraan rakyat, ekonomi, serta dukungan pengawasan penyelenggaraan pemerintahan dan pembangunan.

C.

Tujuan Strategis Agar visi dan misi instansi ALT dapat dilaksanakan dengan optimal dengan memperhatikan potensi, peluang, ancaman dan tantangan. Menetapkan bahwa tujuan strategis adalah “Terselenggaranya dukungan teknis dan administrasi

yang

prima

kepada

VVIP

dalam

penyelenggaraan

pemerintahan.” D.

Sasaran Strategis Berdasarkan pertimbangan akan berbagaiaspek yang mempengaruhi pencapaian tujuan strategis organisasi, maka secara spesifik sasaran strategis adalah: Universitas Indonesia


30

1) Terwujudnya

kelancaran

tugas

VVIP

dalam

perumusan

dan

pengambilan kebijakan; 2) Terwujudnya kelancaran pelayanan kerumahtanggaan dan keprotokolan bagi VVIP. E.

Arahan Kebijakan Langkah-langkah berupa program indikatif demi pencapaian visi, misi, tujuan, dan sasaran strategis sebagai berikut: 1) Peningkatan kualitas sumber daya manusia; 2) Peningkatan akuntabilitas kinerja dan efektivitas kelembagaan; 3) Peningkatan akuntabilitas, transparasi, efektifitas dan efesiensi dalam pengelolaan anggaran, sarana dan prasarana; 4) Peningkatan kualitas dukungan teknis dan pelayanan administrasi.



BAB 5 PEMBAHASAN

Bab ini berisikan pemaparan mengenai analisa perancangan BCP terhadap layanan TI yang dilakukan berdasarkan metodologi yang telah ditentukan sebelumnya, untuk menjawab permasalahan penelitian.

5.1. Identifikasi Kebijakan dan Regulasi Perencanaan keberlangsungan bisnis (BCP) bukan hanya berlandaskan pada suatu pengalaman terakibat bencana, melainkan harus pada suatu kebutuhan operasional suatu organisasi, berikut gambaran proses bisnis intansi ALT.

Gambar 5.1. Proses Bisnis pada instansi ALT

Menurut NIST SP800-34 dalam merencanakan keberlangsungan bisnis (BCP) perlu berlandaskan pada suatu kebijakan yang telah terdifinisikan sebelumnya pada suatu organisasi maupun peraturan perundang-undangan yang berlaku. Pada instansi ALT kebijakan perlunya perancangan BCP berlandaskan pada tujuan strategis yaitu “ Terselenggaranya dukungan teknis dan administrasi yang prima 31



32

kepada RI-2 dalam penyelenggaraan pemerintahaan”. Secara implisit dimaksud semua layanan TI yang berfungsi memberikan dukungan teknis dan administrasi haruslah berkondisi siap sedia saat digunakan. Hal ini diperkuat dengan terbitnya Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, tertuang pada pasal 17 ayat 1 yang berbunyi “Penyelenggaraan Sistem Elektronik untuk pelayanan publik wajib memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai risiko dari dampak yang ditimbulkannya”. 5.2. Identifikasi Sistem Informasi Instansi ALT dalam mengembangkan dan memanfaatkan Sistem Informasi terbagi dalam 2 jenis yaitu yang bersifat internal dan eksternal. Sistem informasi yang bersifat internal dimaksud adalah memproses kebutuhan layanan yang peruntukan bagi pengguna di lingkungan organisasi ataupun unit kerja tertentu. Sedangkan Sistem Informasi yang bersifat eksternal dimaksud adalah memproses kebutuhan layanan yang peruntukan bagi pengguna di dalam maupun luar lingkungan organisasi ataupun keseluruhan unit kerja. Sebagian besar Sistem Informasi pada instansi ALT berbasis Web yang berjalan baik menggunakan Sistem Operasi Linux maupun Windows Server, hanya Sistem Informasi Keuangan yang masih berbasis Client-Server yang berjalan menggunakan Sistem Operasi Windows Server. Berikut sistem informasi yang terdapat pada instansi ALT saat ini :

Tabel 5.1 Identifikasi Sistem Informasi pada Instansi ALT No.

Sistem Informasi

1

Website Instansi ALT

2

Email

Deskripsi Website ini merupakan situs web resmi instansi ALT. Digunakan sebagai sarana diseminasi informasi kepada masyarakat mengenai kegiatan yang dilakukan oleh VVIP, tamu negara, tamu asing maupun kesekretariatan. Email resmi instansi ALT. Digunakan sebagai sarana komunikasi secara elektronik baik internal maupun eksternal di lingkungan instansi ALT.



33

Tabel 5.1 Identifikasi Sistem Informasi pada Instansi ALT (lanjutan) No.

Sistem Informasi

3

Sistem Informasi Keuangan

4

Sistem Informasi Kehadiran

5

Sistem Informasi Persuratan

6

Sistem Informasi Perpustakaan

Deskripsi Sistem informasi ini berupa sistem yang berbasis Client-Server yang terhubungan dalam jaringan intranet (LAN), untuk dapat menggunakannya komputer pengguna harus terinstalasi oleh aplikasi client. Sistem informasi ini merupakan sarana dalam proses pengelolaan keuangan pada instansi ALT. Sistem informasi ini merupakan sarana dalam proses pengelolaan data kehadiran pegawai serta pegawai kontrak. Sistem ini berbasis web yang terhubung dalam jaringan intranet (LAN) instansi ALT sehingga mempermudah dalam pengelolaan maupun pengaksesan. Sistem informasi ini merupakan sarana dalam pengelolaan surat masuk maupun keluar sehingga dapat terpantau jejak rekamnya. Sistem ini berbasis web yang terhubung dalam jaringan intranet (LAN) instansi ALT sehingga mempermudah dalam pengelolaan maupun pengaksesan, namun penggunaan terbatas hanya oleh Bagian Persuratan serta Tata Bisnis Pimpinan Sistem informasi ini merupakan sarana dalam pengelolaan bahan pustaka. Sistem ini berbasis web yang terhubung dalam jaringan intranet (LAN) instansi ALT sehingga mempermudah dalam pengelolaan maupun pengaksesan.

Sistem informasi diatas sebagian besar diperuntukan pengguna internal organisasi, namun hanya Website yang dapat memberikan layanan cenderung untuk mendiseminasikan informasi.

5.3. Identifikasi Perangkat Keras Layanan TI pada instasnsi ALT dalam operasional keseharian di dukung oleh beberapa perangkat keras baik sebagai penginput, pemroses, dan penyimpan ataupun penayang data. Berikut mengenai perangkat keras yang digunakan oleh layanan TI pada instansi ALT saat ini:



34

Tabel 5.2 Identifikasi Perangkat Keras pada Instansi ALT No. Perangkat SERVER 1 IBM x-346

Jumlah

Tahun

Deskripsi

2

2006

Dipergunakan untuk Website server

1

2006

Dipergunakan untuk Email Server

Spesifikasi: Proc. Intel Xeon 3.6 GHz; RAM: 8 GB; HDD:6x 146 GB 2

IBM x-346 Spesifikasi: Proc. Intel Xeon 3.6 GHz; RAM: 8 GB; HDD:6x 146 GB

3

IBM x-3650 M2

1

2009

4

spesifikasi: Proc. Intel Xeon Quadcore 2.26 GHz; RAM: 2 GB; HDD: 2x146 GB IBM x-336

Digunakan untuk Sistem Informasi Keuangan

3

2006

Digunakan untuk Sistem Informasi Kehadiran, Persuratan dan Perpustakaan

3

2006

1

2011

7

Mikrotik RB1200-1U Cisco 3750G 24 port

2

2006

Router Internet dan VPN Bandwidth Mgt, Firewall, DNS Core switch

8

Cisco 2690 24 port

14

9

Allied Telesis 24 port

20

spesifikasi: Proc. Intel Xeon 3.6 GHz; RAM: 4 GB; HDD: 2x 146 GB SWITCH 5 Cisco 2821 6

PERIPHERAL 10 APC SURT10000RMXLi 11 Biometric Handkey

2006,2011 Distribution switch manageable 2006,2011 Distribution switch unmanageable

1

2009

5

2009

UPS untuk ruang server Mesin penginput data kehadiran dengan cara memindai kontur telapak tangan Universitas Indonesia


35

Tabel 5.2 Identifikasi Perangkat Keras pada Instansi ALT (lanjutan) No. Perangkat PERIPHERAL 12 Linksys WAP54G 13

Jumlah

Tahun

3

2006

3

2011

Linksys WAP610N-SG

Deskripsi Access point untuk ruang rapat Access point untuk ruang rapat

Instansi ALT memiliki ruang data center sebagai pusat penempatan perangkatperangkat TI yaitu server, router, bandwidth management, core maupun distribusi switch, serta UPS. Namun ada beberapa server yang ditempatkan pada data center ISP yaitu server website dan email, dengan alasan agar layanan tidak terganggu oleh lalu lintas data yang digunakan instansi ALT. Kondisi data center instansi ALT yang berada pada lantai 2 gedung 2 pada Sekretariat A berukuran 4x4m, dapat dikatakan cukup memadai dengan telah menggunakan raise floor serta penyediaan rack 45U sejumlah 3 unit . Walaupun demikian terdapat beberapa kekurangan yang dimiliki oleh data center ini yaitu: a.

Pendingin ruangan yang digunakan bukanlah yang khusus diperuntukkan data center dengan fungsi hanya mendinginkan ruangan, sehingga tidak bisa mengatur suhu mesin server serta kelembabannya.

b.

Ruangan data center telah dilengkapi detektor bahaya kebakaran, namun belum ada penyediaan alat pemadam kebakaran didalam ruangan.

c.

Salah satu sisi pembatas berupa dinding kaca yang sebagian permukaan tertutup, sehingga mudah untuk terpantau oleh orang yang diluar serta kemungkinan jebol karena sifat kaca mudah pecah.

d.

Pintu ruang data center belum menggunakan pengamanan khusus yang dapat meminimalkan duplikasi kunci.

e.

Belum ada CCTV yang dapat mencuplik kegiatan saat berada pada area ruang data center secara baik.

f.

Pengguna sumber listrik berasal dari satu sumber yang di backup oleh UPS yang hanya dapat bertahan kurang dari 30 menit, serta dukungan genset untuk lingkup satu gedung. Sehingga apabila terjadi penurunan pasokan listrik dukungan cadangan pasokan dari UPS maupun genset kurang memadai dalam menjaga stabilitas layanan. Universitas Indonesia


36

Selain itu penempatan perangkat distribusi switch pada beberapa lokasi pada Sekretariat A kurang memadai, sehingga memperpendek masa operasional. Untuk melihat keterhubungan antar perangkat keras dapat dilihat pada gambar berikut.

Gambar 5.2.Topologi Jaringan LAN instansi ALT Sementara untuk jaringan LAN di instansi ALT hampir keseluruhan menggunakan koneksi kabel dan tersegmentasi berdasarkan lokasi gedung dalam membedakan para pengguna. Namun pada area beberapa ruang pertemuan atau rapat menggunakan koneksi nirkabel (wireless), dilengkapi sandi dengan pengamanan standar WPA2 agar dapat terhubung. Sebagai load balancer dan firewall maupun DNS menggunakan Mikrotik, agar menjamin pemanfaatan bandwidth menjadi stabil.

5.4. Identifikasi Jaringan Untuk jaringan WAN instansi ALT mempunyai 5 koneksi dedicated yang diselenggarakan oleh PT. Telkom dengan menggunakan media fiber optik,yaitu : Universitas Indonesia


37

a.

Internet pada Sekretariat A dengan bandwidth sebesar 20 Mbps ratio 1:1, termasuk backup link dengan bandwidth sebesar 2 Mbps Asimetris ratio 1:4.

b.

Internet pada kediaman resmi VVIP dengan bandwidth sebesar 4 Mbps ratio 1:1, termasuk backup link dengan bandwidth sebesar 2 Mbps Asimetris ratio 1:4.

c.

Internet pada rumah dinas Sekretaris VVIP dengan bandwidth sebesar 2 Mbps ratio 1:1, termasuk backup link dengan bandwidth sebesar 2 Mbps Asimetris ratio 1:4.

d.

Virtual Private Network (VPN) yang menghubungkan antar Sekretariat pada lokasi A dengan Sekretariat pada lokasi B dengan bandwidth sebesar

4

Mbps ratio 1:1. e.

Colocation Server dengan Bandwidth sebesar 4 Mbps ratio 1:1 untuk penempatan layanan dan perangkat TI yang bersifat eksternal (Web).

PT. Telkom memberikan SLA (Service Level Agreement) sebesar 99,90%, guna menjamin kesediaan semua layanannya yang. Berarti semua layanan hanya boleh mati (down) selama 8,76 jam selama kurun waktu pelaksanaan kontrak.

Gambar 5.3.Topologi Jaringan WAN instansi ALT Universitas Indonesia


38

5.5. Analisa Dampak Bisnis (Business Impact Analysis) Analisa dampak bisnis bertujuan untuk mengetahui besaran dampak yang ditimbulkan oleh gangguan layanan TI terhadap operasional organisasi, meliputi dampak yang tangible seperti aspek financial maupun dampak yang intangible seperti reputasi organisasi. Selain itu BIA bertujuan menghasilkan rekomendasi dalam melakukan kegiatan pemulihan terhadap sistem informasi, sebab terpampang gambaran mengenai dampak masing-masing sistem informasi apabila mengalami kegagalan (down). Beberapa unit kerja pada instansi ALT telah memanfaatkan sistem informasi guna menjalankan proses layanan/bisnis, pemetaan sistem informasi terhadap layanan dapat dilihat pada tabel berikut.

Tabel 5.3 Pemetaan Sistem Informasi dengan layanan pada Instansi ALT No.

1

Nama Sistem Informasi Website

2


3


Layanan

Merupakan sarana penyebarluasan informasi kegiatan VVIP, tamu negara, tamu asing dan kegiatan kesekretariatan Merupakan sarana yang membantu dalam proses pengelolaan keuangan dan pengurusan dana operasional VVIP serta dana bantuan kemasyarakatan maupun operasional kesekretariatan Merupakan sarana yang membantu dalam proses pengelolaan kehadiran seluruh pegawai dan non pegawai

Pengelola

Bidang Diseminasi Informasi

Pengguna

Masyarakat umum baik dalam negeri maupun luar negeri

Bagian  Perbendaharaan

Bagian Kepegawaian

Bagian Perbendahara an  Pejabat Pembuat Komitmen  Bendahara Pembantu  Rekan pihak ketiga Seluruh pegawai dan pegawai kontrak pada instansi ALT



39

Tabel 5.3 Pemetaan Sistem Informasi dengan layanan pada Instansi ALT (lanjutan) No. Nama Layanan Pengelola Pengguna Sistem Informasi Merupakan sarana Bagian Seluruh 4 Email komunikasi secara Teknologi pegawai pada elektronik baik Informasi instansi ALT internal maupun eksternal di lingkungan instansi ALT Merupakan sarana Bagian Bagian 5 Sistem Informasi yang membantu dalam Persuratan Persuratan serta Persuratan proses pengelolaan Tata Bisnis surat yang masuk Pimpinan maupun keluar serta jejak jelajahnya

6


Merupakan sarana Bagian yang membantu dalam Pengelolaan proses pengelolaan Perpustakaan bahan pustaka (inventarisir,peminjam an dan pengembalian), yang diperuntukan pada kebutuhan internal instansi ALT

Seluruh pegawai dan pegawai kontrak pada instansi ALT

Dalam upaya penghimpunan data, maka dilakukan kegiatan wawancara serta kuisioner pada sejumlah perwakilan para pengguna maupun pengelola layanan TI. Hal ini guna memperoleh penilaian pengaruh layanan TI terhadap tujuan strategis, reputasi, finansial serta kegiatan operasional pada lingkup instansi ALT dengan menggunakan penilaian skala likert, berikut penentuan waktu toleransi gangguan maupun kehilangan data,dapat dilihat pada tabel dibawah ini.



40

Tabel 5.4Rekapitulasi datakuisioner pada Instansi ALT No.

Nama Sistem Informasi

Tujuan Strategi

Finansial

Faktor Pengaruh Reputasi Kegiatan Operasional 5 4

Responden RTO

RPO

1 Jam

1 Jam

1

Website

5

1

2


5

5

4

4

7 Jam

1 Jam

3


3

5

3

2

12 Jam

24 Jam

4


4

-

3

4

24 Jam

24 Jam

5


3

-

3

3

24 Jam

48 Jam

Asisten Deputi Dokumentasi dan Diseminasi Informasi Perwakilan Bagian Perbendaharaan yaitu Kepala Subbagian Kas & Pembayaran Perwakilan Bagian Kepegawaian yaitu Kepala Subbagian Tata Usaha Kepegawaian Perwakilan Bagian Persuratan yaitu Pengadministrasi Umum II Perwakilan Bagian Pengelolaan Perpustakaan yaitu Kepala Subbagian Penyajian Bahan Pustaka



41

Tabel 5.4Rekapitulasi datakuisioner pada Instansi ALT(lanjutan) No.

6

Nama Sistem Informasi Email

Faktor Pengaruh Reputasi Kegiatan Operasional 5 4

Tujuan Strategi

Finansial

5

2

4

-

4

5

-

4

-

Responden RTO

RPO

12 Jam

12 Jam

4

12 Jam

24 Jam

-

5

24 Jam

24 Jam

4

3

12 Jam

24 Jam

Perwakilan dari Deputi Bidang Politik yaitu Asdep Dokumentasi dan Diseminasi Informasi Perwakilan dari Deputi Bidang Tata Kelola Pemerintahan yaitu Kepala Subbidang APIP Perwakilan dari Deputi Bidang Ekonomi yaitu Kepala Subbidang Kerjasama Perdagangan Internasional Perwakilan dari Deputi Bidang Kesejahteraan Rakyat yaitu Kepala Subbidang Kesehatan

Keterangan: Skala Likert : 1 = Sangat Rendah; 2 = Rendah; 3 = Sedang; 4 = Tinggi; 5 = Sangat Tinggi Universitas Indonesia


42

Berdasarkan penghimpunan data diatas, penentuan kritikalitas suatu sistem informasi dinilai dari kuantitas pengguna/stakeholder yang merasakan dampak pemanfaatan dari layanan tersebut. Berikut gambaran dampak tangible dan intangible terhadap sistem informasi pada instansi ALT, dapat dilihat pada tabel berikut. Tabel 5.5Analisis dampak bisnis terhadap Sistem Informasi No.


1

Website

2


3


Dampak terhadap gangguan Nyata (Tangible) Tidak Nyata (Intangible) Pengaruh terhadap  Terhambatnya finansial sangat rendah pencapaian tujuan strategis organisasi  Buruknya reputasi organisasi, terkait dengan UU No.14 Tahun 2008 tentang Keterbukaan Informasi Publik  Terhambatnya kegiatan operasional organisasi dalam publikasi dokumentasi dan diseminasi informasi  Terhambatnya proses  Terhambatnya pembayaran dengan pencapaian tujuan perkiraan senilai organisasi Rp. 10 miliar setiap  Buruknya reputasi bulannya organisasi dalam proses pengelolaan keuangan  Terhambatnya kegiatan operasional organisasi dalam pembayaran maupun pencairan uang 

Terhambatnya penyusunan rekapitulasi tunjangan kinerja dengan perkiraan senilai Rp. 1,5 miliar setiap bulannya

 

Terhambatnya pencapaian tujuan organisasi Buruknya reputasi organisasi dalam proses pencatatan kehadiran pegawai


43

Tabel 5.5Analisis dampak bisnis terhadap Sistem Informasi (lanjutan) No.


3


4

Email

5


6


Dampak terhadap gangguan Nyata (Tangible) Tidak Nyata (Intangible)  Terhambatnya  Terhambatnya penyusunan kegiatan operasional rekapitulasi uang organisasi dalam makan dengan penyusunan laporan perkiraan senilai rekapitulasi kehadiran Rp. 250 juta setiap pegawai bulannya Pengaruh terhadap  Terhambatnya finansial rendah pencapaian tujuan strategi organisasi  Buruknya reputasi organisasi dalam penyediaan sarana komunikasi  Terhambatnya kegiatan operasional organisasi dalam proses komunikasi maupun pertukaran data  Terhambatnya pencapaian organisasi  Cukup buruk reputasi organisasi dalam proses administrasi surat masuk/keluar  Terhambatnya kegiatan operasional organisasi dalam pengelolaan surat masuk/keluar  Cukup menghambat pencapaian tujuan strategis organisasi  Cukup buruk reputasi organisasi dalam pengelolaan bahan pustaka  Cukup menghambat kegiatan operasional organisasi dalam pengelolaan bahan pustaka


44

Data yang terhimpun terhadap sistem informasi Email diperoleh dari beberapa perwakilan responden, namun dalam proses analisa disimpulkan mengguna penilaian dengan tingkatan tertinggi. Tahapan selanjutnya adalah menentukan kebutuhan RTO dan RPO terhadap masing-masing sistem informasi yang ada pada instansi ALT. Hal ini diperoleh berdasarkan dari hasil wawancara dan kuisioner kepada para pengelola maupun pengguna masing-masing sistem informasi, dapat dilihat pada tabel 5.5. Tabel 5.6Kebutuhan RTO dan RPO No. Nama Sistem Informasi 1 Website

RTO 1 Jam

RPO 1 Jam

2


7 Jam

1 Jam

3


12 Jam

24 Jam

4

Email

12 Jam

12 Jam

5


24 Jam

24 Jam

6


24 Jam

48 Jam

Berdasarkan hasil wawancara yang dilakukan, ditemukan ada ekspetasi kebutuhan RTO maupun RPO yang berbeda oleh beberapa responden. Oleh karenanya pemilihan RTO maupun RPO ditetapkan berdasarkan pada nilai yang paling kecil atau rendah. Hal yang perlu diketahui selain analisa dampak masing-masing sistem informasi terhadap layanan, adalah kebutuhan komponen untuk masing-masing sistem informasi agar menjalankan proses layanan. Kebutuhan ini perlu diketahui untuk menggambarkan ketergantungan sistem informasi terhadap perangkat keras maupun lunak, sehingga proses pemulihan dapat dilakukan secara efektif dan efisien. Kebutuhan komponen untuk masing-masing sistem informasi dapat dilihat pada tabel 5.7.


45

Tabel 5.7Komponen Sistem Informasi No.

1

2

3

4

5

6

Nama Sistem Informasi Website


Sistem Informasi Kehadiran Email

Sistem Informasi Persuratan Sistem Informasi Perpustakaan

Komponen

Web Server Database Server Server

Jenis/Platform/OS

Deskripsi

Linux PHP/SunOne WebServer 6.0 MySQL

Dedicated pada server IBM x-346

Windows Server 2008/IIS

Dedicated pada server IBM x3650 M2

Database Server PC

MySQL

Web Server

ASP.Net/IIS/Windo ws 2003 MS-SQL Server 2008 Zimbra CS/Linux Centos MySQL

Database Server Web Server Database Server Web Server

Windows XP/Vista/7/later

Linux PHP/RHEL

Database Server Web Server

MySQL

Database Server

MySQL

Linux PHP/RHEL

Komputer tertentu yang telah terinstalasi aplikasi client untuk dapat menggunakan sistem informasi keuangan Dedicated pada server IBM x-336




Dengan mempertimbangkan hasil analisa sebelumnya, maka tahapan akhir dalam BIA adalah menentukan tingkatan prioritas pemulihan yang dapat dilakukan terhadap sistem informasi. Prioritas pemulihan sistem informasi pada instansi ALT, dapat dilihat pada tabel dibawah ini.


46

Tabel 5.8Prioritas pemulihan Sistem Informasi

No

Sistem Informasi

1 2

Sistem Informasi Keuangan Email

3

Website

4

Sistem Informasi Kehadiran Sistem Informasi Persuratan Sistem Informasi Perpustakaan

5 6

Tujuan Strategis

Finansial

Reputasi

Kegiatan Operasional

Sangat Tinggi Rendah

Tinggi

Tinggi

Sangat Tinggi Sangat Tinggi Sedang

Tinggi

Rendah

Tinggi

Sedang

Tinggi

Sedang

Sedang

Sedang

Sangat Tinggi Sangat Tinggi Sangat Tinggi Sedang

Sangat Rendah Sangat Tinggi

Tinggi

5.6. Identifikasi dan Penilaian Risiko Identifikasi risiko adalah tahapan untuk mengetahui risiko-risiko yang dimungkinkan terjadi serta dapat mengganggu penyelenggaraan kegiatan pelayanan secara elektronik pada instansi ALT. Manfaatnya dapat menentukan tahapan dalam melakukan mitigasi risiko tersebut. Faktor yang dapat menimbulkan risiko adalah kelemahan (vulnerabilities) dan ancaman (threat). Kelemahan adalah kekurangan yang dimiliki suatu asset sehingga mengakibatkan suatu ancaman. Ancaman adalah segala suatu yang memanfaatkan suatu kelemahan guna dapat merusak aset. Yang dimaksud dengan asset yaitu sumber daya yang mendukung kegiatan penyelenggaraan pelayanan secara elektronik pada instansi ALT, baik berupa sumber daya manusia (people), proses (process), serta teknologi (technology). Berikut hasil identifikasi risiko terhadap aset yang mendukung layanan TI beserta faktor kelemahan dan ancamannya :


47

Tabel 5.9Faktor kelemahan dan ancaman terhadap aset No.

Aset

1

Jaringan Internet (WAN)





2

Jaringan Intranet (LAN)

  

 3

Server

   

4

Storage





5

Firewall



Kelemahan (Vulnerabilities) Menggunakan sat jalur backbone yang disediakan oleh provider Sistem monitoring sering tidak update dan tidak real time Sistem pengkabelan tidak menggunakan pengaman tambahan Tidak menggunakan label untuk membedakan Tidak melakukan perawatan dan pendokumentasian secara rutin Tidak ada jalur backbone Utilitas rendah karena terisi oleh satu aplikasi Tidak ada server cadangan Umur perangkat ada yang sudah diatas 7 tahun Tidak ada sistem monitoring server Kemampuan penyimpanan tergantung pada kapasitas yang dimiliki oleh masing-masing server Tidak memiliki perangkat penyimpan khusus seperti NAS ataupun SAN Perangkat yang ada belum memiliki kemampuan sebagai IDS maupun IPS

Ancaman (Threat) Jalur backbone mengalami gangguan atau putus

 Hewan pengerat  Sulit mendeteksi jalur gangguan  Lambat dalam proses perbaikkan  Sulit untuk penambahan jalur

 Kerusakan perangkat  Penyusupan maupun sabotase

 Kehilangan data akibat kerusakan perangkat  Penyusup ataupun sabotase

 Kejahatan Cyber  Malicious Code (Virus,Worm, Trojan,dll)  Malware


48

Tabel 5.9Faktor kelemahan dan ancaman terhadap aset (lanjutan) No.

Aset

5

Firewall

6

Perangkat Jaringan (Router, Switch,Hub,AP)

7

Perangkat Absensi

8

Ruang Colocation Ruang Server

9

Kelemahan (Vulnerabilities)  Perangkat belum memiliki kemampuan  Belum mengintegrasikan semua perangkat dalam sistem monitoring yang terpadu  Belum menerapakan Wireless LAN Controllers  Beberapa perangkat ditempatkan pada lokasi yang kurang memadai  Otentifikasi hanya pada salah satu telapak tangan  Beberapa perangkat masih memiliki kapasitas penyimpanan sebesar 5000 records  Struk tidak menggunakan jenis huruf serta kertas yang khusus  Tidak ada sistem monitoring kapasitas kertas struk  Validasi pencatatan belum secara realtime dan hanya menggantungkan pada struk yang tercetak Tidak ada akses ke sistem monitoring  Lokasi sering dilewati oleh pegawai lain  Pintu masuk belum menggunakan pengamanan khusus  Tidak ada aturan bagi yang berkunjung

Ancaman (Threat)

 Kerusakan perangkat  Perubahan konfigurasi maupun sabotase  Sulit dalam melakukan perbaikkan maupun perawatan

 Data tidak tercatat  Manipulasi struk

Sulit mengetahui utilitas perangkat  Kebakaran  Gempa Bumi  Sabotase  Pencurian


49

Tabel 5.9Faktor kelemahan dan ancaman terhadap aset (lanjutan) No.

Aset

9

Ruang Server

 

10

Sumber Listrik

 

11

Pengendali Suhu dan Kelembaban

 

12

Backup File

 

13

Dokumen Teknis dan SOP

14

SDM TI



   

Kelemahan (Vulnerabilities) Tidak ada CCTV Tidak ada jalur untuk evakuasi Pasokan listrik hanya dari satu sumber yaitu PLN Mekanisme pengaktifan genset tidak secara automatis Menggunakan perangkat pendingin ruangan Tidak memiliki sistem monitoring suhu dan kelembaban Belum mekanisme backup maupun restore secara berkala Belum memiliki perangkat yang dikhususkan sebagai NAS ataupun SAN Belum terdokumentasi segala kegiatan instalasi,konfigurasi,pe rbaikkan, serta pemeliharaan baik perangkat lunak maupun keras Belum adanya SOP Kurangnya pemahaman teknis mengenai TI Rendahnya sikap team works Belum ada wadah untuk berbagi ilmu

Ancaman (Threat)

 Listrik mati  Kenaikan ataupun penurunan tegangan secara mendadak  Perangkat rusak  Suhu dan kelembaban tidak stabil

Kehilangan data

Dibutuhkan dalam proses penanganan gangguan maupun pengembangan sistem informasi

 Sakit  Acuh terhadap pekerjaan  Tugas yang tidak terkait mengenai TI


50

Selanjutnya dalam melakukan identifikasi risiko adalah mengetahui tingkat kecenderungan

(likelihood) terjadinya risiko dan dampak (impact) yang

ditimbulkan oleh risiko terhadap masing-masing asset. Penetapan tingkatan kecenderungan dan dampak risiko mengunakan tiga jenis tingkatan yaitu rendah, sedang dan tinggi. Penjelasan mengenai masing-masing tingkatan dapat dilihat padatabel berikut.

Tabel 5.10Tingkatan kecenderungan Tingkatan Kecenderungan Jarang Sedang

Sering

Deskripsi Tingkatan Kecenderungan Kemungkinan adanya risiko kecil terjadi pada beberapa waktu mendatang Kemungkinan adanya risiko sedang terkait riwayat timbulnya risiko yang pernah terjadi pada waktu yang lampau Kemungkinan adanya risiko besar terkait riwayat timbulnya risiko yang sering terjadi pada waktu yang lampau

Tabel 5.11Tingkatan dampak Tingkatan Dampak Rendah

Sedang

Tinggi

Deskripsi Tingkatan Dampak Dampak yang diakibatkan oleh risiko menyebabkan timbulnya gangguan terhadap layanan TI, namun tidak menghambat kegiatan operasional organisasi Dampak yang diakibatkan oleh risiko menyebabkan timbulnya gangguan terhadap layanan TI cukup besar, namun cukup menghambat kegiatan operasional organisasi Dampak yang diakibatkan oleh risiko menyebabkan timbulnya gangguan terhadap layanan TI sangat besar, namun menghambat kegiatan operasional organisasi

Berikut hasil penetapan tingkatan kecederungan dan dampak terhadap aset dalam mendukung layanan TI:


51

Tabel 5.12Penilaian kecenderungan dan dampak terhadap aset No.

Aset

Kecenderungan (Likelihood) Sedang

Dampak (Impact) Tinggi

1

Jaringan Internet (WAN)

2


Sering

Sedang

3

Server

Sedang

Tinggi

4

Storage

Sedang

Tinggi

5

Firewall

Sering

Tinggi

Deskripsi Pernah terjadi gangguan yang tidak dapat diperkirakan dan membutuhkan waktu yang cukup lama untuk berpindah backbone  Memerlukan waktu untuk mengidentifikasi jalur kerusakan  Minim dalam pendokumentasia n karena sering terjadi perubahan tatanan ruang kerja  Kurangnya koordinasi antar pengguna dengan Bagian TI dalam pemasangan hub ataupun Access Point Memerlukan waktu yang cukup lama untuk memfungsikan kembali aplikasi jika ada server yang mengalami kerusakan Kemungkinan kehilangan data cukup besar saat terjadi gangguan Merupakan pemicu terjadinya gangguan terhadap sistem informasi maupun perangkat


52

Tabel 5.12Penilaian kecenderungan dan dampak terhadap aset (lanjutan) No.

Aset



6

Perangkat Jaringan (Router,Switch, Hub,AP)

7

Deskripsi

Perangkat Absensi

Sedang

Tinggi

Sulit melakukan absensi jika telapak tangan mengalami cidera ataupun penyakit

8

Ruang Colocation

Jarang

Sedang

Penanganan gangguan dilakukan oleh tim internal provider penyedia

9

Ruang Server

Sedang

Tinggi

 Memerlukan waktu yang cukup lama untuk melakukan pemeriksaan dan perbaikkan saat terjadi gangguan  Keamanan lingkungan lokasi yang kurang memadai

10

Sumber Listrik

Sedang

Sedang

Memerlukan waktu untuk memfungsikan sumber listrik alternative

 Memerlukan waktu yang cukup lama untuk melakukan pemeriksaan dan perbaikkan saat terjadi gangguan  Masa pakai perangkat dipengaruhi oleh kondisi penempatan yang kurang memadai


53

Tabel 5.12Penilaian kecenderungan dan dampak terhadap aset (lanjutan) No.

Aset



11

Pengendali Suhu dan Kelembaban

12

Backup file

Sedang

Tinggi

13

Dokumen teknis dan SOP

Sedang

Sedang

14

SDM TI

Sedang

Sedang

Deskripsi Dikarenakan bukan perangkat pendingin khusus untuk data center/ruang server, maka daya tahan utilitas perangkat sanggat rendah Belum memiliki sistem backup file yang terintegrasi dengan sistem informasi, oleh karenanya backup dilakukan atas kesadaran pengguna Dibutuhkan dalam proses penanganan gangguan maupun pengembangan sistem informasi  Kurangnya pemerataan kemampuan teknis individual  Rendahnya sikap kerjasama dikarenakan pembebanan penyelesaiaan tugas cederung pada individu yang berkompeten

Berdasarkan tingkatan kecenderungan dan dampak dapat diperoleh tingkatan nilai risiko yang melekat pada masing-masing aset.

Penetapan nilai risko dengan

melakukan pembandingan antara tingkat kecenderungan dengan tingkat dampak, sehingga terbentuk matriks nilai risiko yang terlihat pada tabel 5.13. Penjelasan mengenai tingkatan nilai risiko dapat dilihat pada tabel 5.14.


54

Tabel 5.13Matrik nilai risiko Dampak

Kecenderungan Rendah (10) Rendah (1) Rendah (5) Rendah (10)

Jarang (0.1) Sedang (0.5) Sering (1.0)

Sedang (50) Rendah (5) Sedang (25) Sedang (50)

Tinggi (100) Rendah (10) Sedang (50) Tinggi (100)

Tabel 5.14Tingkatan nilai risiko Tingkatan Nilai Risiko Rendah

Sedang

Tinggi

Deskripsi Tingkatan Nilai Risiko Hasil evaluasi yang menyatakan bahwa risiko yang dimiliki oleh aset rendah, maka perlu ditentukan langkah untuk perbaikan atau menerima risiko tersebut Hasil evaluasi yang menyatakan bahwa risiko yang dimiliki oleh aset sedang, maka perlu ditentukan penyusunan rencana perbaikan dalam jangka waktu tertentu Hasil evaluasi yang menyatakan bahwa risiko yang dimiliki oleh aset besar, maka perlu ditentukan penyusunan rencana perbaikan dalam jangka waktu secepatnya

Tahapan selanjutnya adalah melakukan penentuan prioritas dan menyusun rencana aksi guna memitigasi risiko yang ada. Dasar untuk penentuan prioritas adalah nilai risiko pada aset, berarti aset yang mempunyai nilai risiko tinggi lebih diutamakan. Jika ada aset dengan nilai risiko yang sama tinggi, maka aset yang mempunyai tingkatan dampak tinggi dapat diprioritaskan. Selanjutnya jika ada aset yang mempunyai tingkatan kecenderungan dan dampak yang sama, maka penentuan prioritas didasari atas analisis aset yang mempunyai pengaruh terhadap keberlangsungan bisnis instansi ALT. Berikut susunan penilaian risiko beserta rencana perbaikan untuk masing-masing aset, dapat dilihat pada tabel 5.15.


55

Tabel 5.15Penilaian risiko beserta rencana perbaikan No 1

Aset Jaringan Internet (WAN)

2


Kelemahan (Vulnerability)  Menggunakan sat jalur backbone yang disediakan oleh provider  Sistem monitoring sering tidak update dan tidak real time

 Sistem pengkabelan tidak menggunakan pengaman tambahan  Tidak menggunakan label untuk membedakan  Tidak melakukan perawatan dan pendokumentasian secara rutin  Tidak ada jalur backbone

Ancaman (Threat) Jalur backbone mengalami gangguan atau putus

 Hewan pengerat  Sulit mendeteksi jalur gangguan  Lambat dalam proses perbaikkan  Sulit untuk penambahan jalur

Kecenderungan (Likelihood) Sedang 0.4

Dampak (Impact) Tinggi 90

Nilai Risiko

Rencana Perbaikan

Sedang 36

Sering 0.7

Sedang 40

Sedang 28

 Provider penyedia harus menyiapkan jalur cadangan yang berbeda backbone  Memasang sistem monitoring pada tiaptiap perangkat router sebagai pembanding sistem monitoring yang disediakan oleh provider  Melakukan inventarisir jalur dengan memberikan label  Melakukan perawatan rutin serta pembaharuan dokumentasi jalur LAN  Merancang penempatan jalur backbone yang strategis



56

Tabel 5.15Penilaian risiko beserta rencana perbaikan (lanjutan) No 3

Aset Server

   

4

Storage





Kelemahan (Vulnerability) Utilitas rendah karena terisi oleh satu aplikasi Tidak ada server cadangan Umur perangkat ada yang sudah diatas 7 tahun Tidak ada sistem monitoring server Kemampuan penyimpanan tergantung pada kapasitas yang dimiliki oleh masing-masing server Tidak memiliki perangkat penyimpan khusus seperti NAS ataupun SAN

Ancaman (Threat)  Kerusakan perangkat  Penyusupan maupun sabotase

 Kehilangan data akibat kerusakan perangkat  Penyusup ataupun sabotase



Nilai Risiko

Rencana Perbaikan

Sedang 50

 Menerapkan virtualisasi server sehingga ada perangkat yang bisa sebagai cadangan  Menerapkan sistem monitoring server

Sedang 0.5

Tinggi 100

Sedang 50

 Mengadakan server khusus NAS/SAN  Membangun backup server secara terpadu untuk semua sistem informasi yang ada



57

Tabel 5.15Penilaian risiko beserta rencana perbaikan (lanjutan) No

Aset

5

Firewall

6

Perangkat Jaringan

Kelemahan Ancaman (Threat) (Vulnerability)  Perangkat yang ada  Kejahatan Cyber belum memiliki  Malicious Code kemampuan sebagai (Virus,Worm, IDS maupun IPS Trojan,dll)  Perangkat belum  Malware memiliki kemampuan sebagai Anti Virus terpadu

 Belum mengintegrasikan (Router,Switch,Hub, semua perangkat AP) dalam sistem monitoring yang terpadu  Belum menerapakan Wireless LAN Controllers

 Kerusakan perangkat  Perubahan konfigurasi maupun sabotase  Sulit dalam melakukan perbaikkan maupun perawatan

Kecenderungan (Likelihood) Sering 0.9


Nilai Risiko

Rencana Perbaikan

Tinggi 90

Sedang 0.4

Tinggi 80

Sedang 32

 Mengadakan perangkat yang memiliki kemampuan sebagai IDS maupun IPS serta Anti Virus yang terpadu  Melakukan monitoring dan menganalisa terhadap lalu lintas data  Melakukan filter ataupun pembatasan terhadap port-port yang tidak dibutuhkan  Menerapkan sistem monitoring pada setiap perangkat  Melakukan pemeliharaan rutin dan pendokumentasian  Merancang tata letak perangkat yang memadai



58


7

Aset

Kelemahan (Vulnerability) Perangkat Jaringan  Beberapa perangkat ditempatkan pada (Router,Switch,Hub, lokasi yang kurang AP) memadai

Ancaman (Threat)

 Otentifikasi hanya pada salah satu telapak tangan  Beberapa perangkat masih memiliki kapasitas penyimpanan sebesar 5000 records  Struk tidak menggunakan jenis huruf serta kertas yang khusus  Tidak ada sistem monitoring kapasitas kertas struk

 Data tidak tercatat  Manipulasi struk

Perangkat Absensi



Nilai Risiko

Rencana Perbaikan

Sedang 32

 Membangun sistem control untuk perangkat Wireless LAN

Sedang 0.4

Tinggi 90

Sedang 36

 Dibuatkan otentifikasi alternatif selain telapak tangan  Merancang jenis huruf dan kertas yang khusus  Menambahkan modul pengontrolan kertas struk  Memperbaiki sistem informasi agar validasi pencatatan dapat secara realtime



59

Tabel 5.15Penilaian risiko beserta rencana perbaikan (lanjutan) No

Aset

7

Perangkat Absensi

8

Ruang Colocation

9

Ruang Server

Kelemahan (Vulnerability)  Validasi pencatatan belum secara realtime dan hanya menggantungkan pada struk yang tercetak Tidak ada akses ke sistem monitoring  Lokasi sering dilewati oleh pegawai lain  Pintu masuk belum menggunakan pengamanan khusus  Tidak ada aturan bagi yang berkunjung  Tidak ada CCTV  Tidak ada jalur untuk evakuasi

Ancaman (Threat)



Nilai Risiko

Sulit mengetahui utilitas perangkat

Jarang 0.1

Sedang 50

Rendah 5

   

Sedang 0.5

Tinggi 100

Sedang 50

Kebakaran Gempa Bumi Sabotase Pencurian

Rencana Perbaikan

Sedang 36

Melakukan kunjungan fisik secara berkala dan meminta akun akses sistem monitoring Merancang lokasi yang memadai dengan fasilitas sistem keamanan khusus (CCTV,Access Card,Trap Door), jalur evakuasi, sistem pendingin dan kelembaban serta sistem suplai listrik yang sesuai standar



60


Aset Sumber Listrik

 

11

Pengendali Suhu



dan Kelembaban 

12

Backup File





Kelemahan (Vulnerability) Pasokan listrik hanya dari satu sumber yaitu PLN Mekanisme pengaktifan genset tidak secara automatis Menggunakan perangkat pendingin ruangan Tidak memiliki sistem monitoring suhu dan kelembaban Belum mekanisme backup maupun restore secara berkala Belum memiliki perangkat yang dikhususkan sebagai NAS ataupun SAN

Ancaman (Threat)


Dampak (Impact) Sedang 50

Nilai Risiko

Rencana Perbaikan

Sedang 25

 Modifikasi genset dengan sensor tegangan yang dapat automatis aktif  Menambah kapasitas UPS pada ruang server

 Perangkat rusak  Suhu dan kelembaban tidak stabil

Sedang 0.5

Tinggi 90

Sedang 45

Mengadakan perangkat pendingin khusus untuk ruang server dengan sistem pengendalian suhu dan kelembaban automatis

Kehilangan data

Sedang 0.5

Tinggi 100

Sedang 50

 Mengadakan server khusus NAS/SAN  Membangun backup server secara terpadu untuk semua sistem informasi yang ada

 Listrik mati  Kenaikan ataupun penurunan tegangan secara mendadak



61


Aset Dokumen Teknis dan SOP

14

SDM TI

Kelemahan (Vulnerability)  Belum terdokumentasi segala kegiatan instalasi,konfigurasi ,perbaikkan, serta pemeliharaan baik perangkat lunak maupun keras  Belum adanya SOP

 Kurangnya pemahaman teknis mengenai TI  Rendahnya sikap team works  Belum ada wadah untuk berbagi ilmu

Ancaman (Threat) Dibutuhkan dalam proses penanganan gangguan maupun pengembangan sistem informasi

 Sakit  Acuh terhadap pekerjaan  Tugas yang tidak terkait mengenai TI


Dampak (Impact) Sedang 50

Nilai Risiko

Rencana Perbaikan

Sedang 25

Sedang 0.4

Sedang 50

Sedang 20

 Melakukan koordinasi dengan pihak diluar bagian TI untuk mensinergikan pola dan prosedur kinerja, sehingga akan terbentuk SOP yang jelas  Membuat dokumen teknis yang memuat kompilasi kegiatan bagian TI secara berkala Dibutuhkan wadah maupun sarana untuk meningkatkan kemampuan teknis dan berbagi ilmu, sehingga dapat memupuk sikap kerjasama yang baik



62

Tabel 5.16Prioritas risiko terhadap aset No.

Aset

Nilai Kecenderungan 0.9

Nilai Dampak 100

Nilai Risiko 90

1

Firewall

2

Server

0.5

100

50

3

Storage

0.5

100

50

4

Ruang Server

0.5

100

50

5

Backup File

0.5

100

50

6

0.5

90

45

7

Pengendali suhu dan Kelembaban Jaringan Internet (WAN)

0.4

90

36

8

Perangkat Absensi

0.4

90

36

9

0.4

80

32

10

Perangkat Jaringan (Router, Switch, Hub,AP) LAN

0.7

40

28

11

Sumber Listrik

0.5

50

25

12

0.5

50

25

13

Dokumen Teknis dan SOP SDM TI

0.4

50

20

14

Ruang Colocation

0.1

50

5

Berdasarkan tabel di atas maka dapat di interprestasikan nilai risiko terhadap asetaset yang ada sebagai berikut: Tinggi skala 100-51, Sedang skala 50-11, Rendah skala < 10. Pedoman dasar dalam penyediaan perangkat pendukung layanan TI pada situs alternatif ataupun DRC, dapat dilihat pada tabel keterkaitan hubungan (interdependencies) antara sistem informasi dengan aset pendukung berikut ini:



63

Tabel 5.17Keterkaitan hubungan antara sistem informasi dan aset No. 1

Aset

Website


Sedang

3

Jaringan Internet (WAN) Jaringan Intranet (LAN) Server

4

Storage

5

7

Firewall Perangkat Jaringan (Router,Switch, Hub,AP) Perangkat Absensi

8

Ruang Colocation

9

Ruang Server

Sedang

10

Sumber Listrik Pengendali Suhu dan Kelembaban Backup File Dokumen Teknis dan SOP SDM TI

2

6

11 12 13 14

Sistem Informasi Sistem Informasi Email Kehadiran



Sedang Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Tinggi

Tinggi

Tinggi

Tinggi

Tinggi

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang Rendah



64

5.7. Strategi Kesinambungan Bisnis Langkah-langkah strategi dalam pemulihan terhadap gangguan pada instansi ALT harus dilihat dari tiga aspek yaitu pemulihan bencana (disaster recovery), evakuasi darurat (emergency evacuation), dan restorasi fungsi (function restore). Aspek pemulihan bencana merupakan kegiatan pemulihan terhadap teknologi informasi baik berupa perangkat keras maupun perangkat lunak yang menunjang kegiatan proses bisnis. Aspek evakuasi darurat merupakan tahapan-tahapan dalam upaya penyelamatan aset pendukung kegiatan proses bisnis. Sedangkan aspek restorasi fungsi merupakan tahapan-tahapan dalam upaya menormalisasikan fungsi-fungsi layanan penunjang kegiatan proses bisnis yang berada pada lokasi alternatif. 5.7.1. Aspek Pemulihan Bencana Penentuan dalam pemilihan teknologi pemulihan terhadap gangguan, berdasarkan pada kebutuhan RTO dan RPO dari hasil analisa dampak bisnis (BIA). Pada tabel 5.18 dapat dilihat kebutuhan teknologi pemulihan untuk masing-masing sistem informasi pada instansi ALT. Tabel 5.18Kebutuhan teknologi pemulihan No. 1

Sistem Informasi Website

Kegiatan Operasional Tinggi

Rentang Waktu RTO RPO 1 Jam 1 Jam

Teknologi Pemulihan  Backup : Mirrored system and database replication  Strategi: Hot site

2


Tinggi

7 Jam

1 Jam

 Backup : Mirrored system and database replication  Strategi: Hot site

3


Rendah

12 Jam

24 Jam

 Backup : Tape/CD /Flashdisk backup  Strategi: Cool site



65

Tabel 5.18Kebutuhan teknologi pemulihan (lanjutan) No. 4

Sistem Informasi Email

Kegiatan Operasional Tinggi

Rentang Waktu RTO RPO 12 Jam 12 Jam



5


Tinggi

24 Jam

24 Jam

 

6


Sedang

24 Jam

48 Jam

  

Teknologi Pemulihan Backup : Mirrored system and database replication, increamental backup Strategi: Hot site Backup : Mirrored system and database replication, increamental backup Strategi: Hot site Backup : Optical backup, full backip Strategi: Warm site

Dilihat pada tabel diatas dapat tergambar bahwa strategi backup pada sistem informasi yang kritikal membutuhkan penduplikasian sistem serta basis data. Hal demikian membutuhkan alokasi anggaran dalam penyediaan perangkat keras dengan kapasitas penyimpanan yang memadai. Sebagai solusinya semua sistem informasi di instansi ALT dapat menggunakan pemanfaatan teknologi virtualisasi. Dengan teknologi virtualisasi dapat mengoptimalkan penggunaan server yang ada, sehingga memudahkan pelaksanaan pemulihan dengan mereplikasikan semua sistem informasi beserta basis data. Selain itu konsep virtualisasi dapat mengefisienkan kebutuhan pembiayaan. Metode backup yang dapat diterapkan adalah increamental backup maupun full backup. Increamental backup dapat diterapkan pada sistem informasi yang mempunyai transaksi rutin dengan kebutuhan RPO kecil. Full backup dapat diterapkan pada sistem informasi yang mempunyai transaksi tidak rutin dengan kebutuhan RPO besar atau waktu yang cukup lama.



66

Dari tabel kebutuhan strategi pemulihan terdapat 4 sistem informasi dengan strategi recovery tergolong Hot site, dan masing-masing 1 sistem informasi dengan strategi recovery tergolong Warm site dan Cool site. Untuk itu perlu dipertimbangkan upaya penyediaan situs alternatif guna mendukung proses pemulihan pada situs utama. Berdasarkan identifikasi asset-aset pada instansi ALT ada dua lokasi yang bisa dijadikan sebagai situs alternatif yaitu Sekretariat B dan ruang colocation. Berikut kriteria dalam menentukan situs alternatif, dapat dilihat pada table berikut.



67

Tabel 5.19Kriteria situs pemulihan No.

Kategori

Lokasi

Status

Jarak

Sirkulasi

Backup Listrik

Technical Support

Daya Tampung

Telco. Last mile

1

Cool / Warm

Sekretariat B

Milik

< 5 km

AC

UPS tidak ada

Hari dan jam kerja

Maks. 9 server pada rack 45U

Sewa Provider via Fiber Optik

2

Hot

Ruang Colocation

Sewa

> 5 km

HVAC

UPS redundant

7 hari seminggu selama 24 jam

Maks. 9 server pada rack 45U

Sewa Provider via Fiber Optik



68

5.7.2.

AspekEvakuasi Darurat

Pada melaksanakan proses penanggulangan gangguan, perlu adanya strategi yang sesuai dengan tingkat dampak yang ditimbulkan. Sehingga langkah yang diambil dapat lebih tepat dan cepat. Dalam implementasinya yang harus pastikan adalah kebutuhan teknologi pemulihan yang diperlukan telah terpenuhi sebelumnya. Pada

aspek

evakuasi

proses

penanggulangan

gangguan

ketika

terjadi

gangguan/bencana dapat diklasifikasikan menjadi 3 fase, yaitu: a.

Respon awal Ketika terjadi gangguan maupun bencana yang harus mendapatkan pemberitahuan segala informasi adalah BCP coordinator. Kemudian menghubungi

tim damage assessment

guna menginformasikan

dan

menugaskan untuk menjalankan prosedur assessment. Selanjutnya tim damage assessment melaksanakan prosedur assessment untuk memperoleh informasi mengenai besaran kerusakan serta perkiraan waktu yang dibutuhkan untuk pemulihan. Hasil assessment oleh tim damage assessment segera dilaporkan kepada BCP coordinator, agar dapat ditentukan tahapan selanjutnya. Jika tingkat kerusakan akibat gangguan/bencana kecil, sehingga tidak menghambat kegiatan operasional apabila dilakukan sedikit kegiatan perbaikan atau perkiraan waktu yang dibutuhkan untuk pemulihan kurang dari 1 jam, maka secepatnya dilakukan kegiatan perbaikan dan pengujian agar layanan TI dapat berjalan kembali. Apabila ada kehilangan data, dapat dilakukan proses restore dari hasil backup yang terakhir. Jika tingkat kerusakan akibat gangguan/bencana cukup besar, sehingga menghambat kegiatan operasional atau perkiraan waktu yang dibutuhkan untuk pemulihan lebih dari 1 jam, maka langkah selanjutnya adalah melakukan persiapan situs backup (DRC) untuk segera beroperasi. Apabila gangguan/bencana yang terjadi memerlukan bantuan dari pihakpihak yang berwenang seperti polisi, pemadam kebakaran dan ambulan, maka



69

BCP coordinator dapat menginformasikan kejadian gangguan/bencana kepada pihak tersebut. Berikut tabel daftar nomor telepon pihak berwenang.

Tabel 5.20Daftar Nomor Telepon Layanan Darurat di DKI Jakarta No. 1 2 3 4 5 6 7 8 b.

Nama Layanan Darurat Ambulan Polisi PLN Pemadam Kebakaran PDAM Wilayah Timur Telepon atau Internet PMI DKI Jakarta RSPAD Gatot Subroto

Nomor Telepon 118 112 123 113 021-5772010 147 / 0800-1-835566 / 021-3863000 021-3909422 021-3441008

Penyiapan situs alternatif dan pengoperasian DRC BCP

Coordinator

menyatakan

pengaktifan

situs

alternatif,

dengan

memerintahkan seluruh tim BCP untuk segera menyiapkan sarana dan prasarana layanan TI. Kemudian tim server, network and application recovery dengan persediaan perangkat yang ada segera melakuan instalasi, konfigurasi dan pengujian terhadap perangkat server yang tervirtualisasikan sebagai wadah bagi sistem informasi beserta basis datanya yang berada pada ruang colocation maupun perangkat jaringan yang berada pada situs alternatif misalkan

pada

Sekretariat

B.

Pada

waktu

yang

bersamaan

tim

telecommunication recovery menyiapkan jalur komunikasi data berupa link dedicated untuk internet maupun VPN yang menghubungkan antara ruang colocation dengan situs alternatif. Bersama dengan tim server, network and application recovery berkoodinasi dalam pengujian jalur tersebut. Tim database recovery dapat melakukan restorasi dari media backup ke masing-masing server yang telah disiapkan sesuai urutan prioritasnya. Selanjutnya tim PC and software recovery dapat melakukan instalasi, konfigurasi dan pengujian terhadap perangkat komputer pengguna. Semua tim teknis kemudian melakukan testing terhadap seluruh sistem sesuai dengan fungsi dari tim masing-masing. Ketika proses persiapan situs backup maupun situs alternatif telah selesai, maka masing-masing kepala tim melaporkan kepada BCP Coordinator bahwa situs backup maupun alternatif dapat Universitas Indonesia


70

beroperasi. Berikut rancangan diagram arsitekturnya topologi jaringan saat terjadi gangguan ataupun bencana.

Gambar 5.4Topologi Jaringan Situs Alternatif

c.

Pengoperasian penuh situs alternatif dan DRC Apabila seluruh persiapan seperti perangkat keras, perangkat lunak, perangkat jaringan, jalur komunikasi data, proses restore dan proses testing telah selesai, maka situs backup dengan resmi dapat diaktifkan. Sehingga sistem informasi yang memiliki tingkat kritikal yang tinggi pada instansi ALT sudah dapat berjalan normal. Jikalau masih ada sistem informasi yang belum berjalan normal, maka proses recovery terus dapat dilakukan hingga semua sistem informasi yang ada berjalan secara normal. Pada tahap ini diharapkan tim damage assessment sudah melaporkan kepada BCP Coordinator daftar peralatan dan perlengkapan yang dibutuhkan untuk



71

pemulihan situs utama, sehingga dapat segera diinformasikan kepada pihak manajemen instansi ALT untuk dapat melakukan proses pengadaan. 5.7.3. Aspek Restorasi Fungsi Untuk mengembalikan fungsi-fungsi layanan TI yang ada pada instansi ALT pada saat terjadi bencana, tahapan yang dilakukan sebagai berikut: a.

Tim damage assessment melakukan pemeriksaan fungsi sarana maupun prasarana pada situs utama seperti kelistrikan, pendinginan, jaringan, perlengkapan keamanan, dan lain-lain. Hal ini dapat dikoordinasikan dengan pihak ketiga dalam melakukan penyediaan, perbaikan serta penggantian kelengkapan sarana dan prasarana dimaksud.

b.

Tim server, network and application recovery dapat melakukan instalasi, konfigurasi dan pengujian terhadap perangkat server maupun jaringan.

c.

Tim telecommunication recovery menyiapkan jalur komunikasi data berupa link dedicated untuk internet maupun VPN yang menghubungkan antara situs alternatif dengan situs utama. Bersama dengan tim server, network and application recovery berkoodinasi dalam pengujian jalur tersebut.

d.

Tim database recovery dapat melakukan restorasi dari media backup ke masing-masing server yang telah disiapkan sesuai urutan prioritasnya.

e.

Tim PC and software recovery dapat melakukan instalasi, konfigurasi dan pengujian terhadap perangkat komputer pengguna.

f.

Hasil keseluruhan kegiatan restorasi akan di reviu oleh BCP Coordinator, apabila

dinyatakan sudah sesuai dan berjalan normal maka dapat

memerintahkan tim server, network and application recovery untuk melakukan penon-aktifan situs alternatif, sehingga kegiatan operasional kembali pada situs utama.

5.8. Struktur Organisasi Tim Business Continuity Plan Dalam kandungan NIST SP 800-34 tahapan setelah menetapkan strategi, yaitu tahapan pelaksana rencana kesinambungan bisnis (BCP). Pada tahapan ini menitikberatkan pembentukan manajemen krisis dalam melaksanakan proses BCP. Manajemen krisis ini merupakan organisasi yang susunannya terdiri dari tim yang memiliki tugas dan fungsi yang spesifik. Untuk itu perlu dibentuk rancangan Universitas Indonesia


72

susunan

struktur

organisasi

tim

BCP

beserta

deskripsi

kewenangan

tanggungjawab maupun usulan penempatan posisi disesuaikan dengan jabatan yang ada pada organisasi instansi ALT. Susunan struktur organisasi tim BCP beserta daftar kontak dapat dilihat pada gambar dan tabel berikut.

Gambar 5.5. Susunan tim BCP padainstansi ALT



73

Tabel 5.21Daftar Kontak tim BCP pada instansi ALT No.

Peran

Nama

1

BCP Coordinator

Bpk. MNM

2

Alternated BCP Coordinator

Ibu AR

3

Damage Assessment Team

Ibu RM

4

Network, Server, Application Recovery Team Database Recovery Team

Bpk. DW

6

PC’s & Software Recovery Team

Bpk. S

7

Telecommunication Recovery Team

Bpk. RJ

5

5.8.1.

Ibu NW

Kantor

Seluler

Rumah

Email

+62212316406 ext.1519 +62212316406 ext.1507 +62212316406 ext.1524 +62212316406 ext.1523 +62212316406 ext.1517 +62212316406 ext.1315 +62212375100 ext.1225

0811-xxxx

021xxxxxxx

mnm@alt. go.id

0812-xxxx

021xxxxxxx

[email protected] .id

0812-xxxx

021xxxxxxx

[email protected]. id

0812-xxxx

021xxxxxxx


0856-xxxx

021xxxxxxx


0811-xxxx

021xxxxxxx


0811-xxxx

021701xxxx

rj@telkom. co.id

BCP Coordinator

Peranan utama Business Continuity Plan Coordinator adalah melakukan koordinasi dengan tim dalam memenuhi kebutuhan RTO dan RPO dari layanan TI yang telah ditetapkan. Selain itu tugas BCP Coordinator melakukan review untuk memastikan bahwa BCP yang tersusun telah sesuai dengan keadaan organisasi saat ini. BCP harus dilakukan evaluasi secara berkala, sehingga perubahan yang terjadi dapat terinformasikan dengan jelas kepada semua pihak terkait proses BCP. Untuk itu BCP Coordinator melakukan penjadwalan pengujian serta mendokumentasikan BCP, sehingga dapat diperoleh hal-hal yang menjadi kendala saat dilapangan. Kendala yang ditemui selanjutnya dituangkan dalam suatu rapat pleno, agar di dapat solusinya serta penjadwalan pengujian ulang. Tugas BCP Coordinator juga harus memastikan bahwa peralatan pendukung yang ada pada lokasi alternatif dapat memenuhi kebutuhan semua sistem layanan TI ketika terjadi bencana. Selain itu tugas BCP Coordinator dituntut mampu mengambil keputusan

yang

cepat

dan

tepat

disaat

terjadi

bencana

serta

dapat

mempertanggungjawabkan kepada pimpinan tertinggi. Universitas Indonesia


74

Posisi ini tepat diperuntukan kepada orang yang mengetahui kondisi TI instasi ALT secara umum, dapat mengambil keputusan dan bertanggung jawab, serta memiliki kedekatan secara hirarki dengan eselon I maupun VVIP. Untuk itu saya menyarankan yang menduduki posisi ini adalah Kepala Biro Tata Bisnis dan Kepegawaian instasi ALT.

5.8.2.

Alternated BCP Coordinator

Alternated BCP Coordinator merupakan wakil koodinator dengan tugas dan fungsinya yang tidak jauh berbeda dengan koordinator.

Namun untuk

pengambilan keputusan tetap berada pada koordinator, kecuali jika koordinator berhalangan. Posisi ini tepat diperuntukan kepada orang yang mengetahui kondisi operasional TI instasi ALT secara umum, dapat mengambil keputusan dan bertanggung jawab, serta memiliki kedekatan secara hirarki dengan eselon II. Untuk itu saya menyarankan yang menduduki posisi ini adalah Kepala Bagian Teknologi Informasi instasi ALT.

5.8.3.

Tim Damaged Assesment

Tim ini bertugas mengawasi kendala-kendala yang muncul terkait operasional pada layanan TI serta dimungkinkan mengupayakan penanggulangannya agar tidak menimbulkan bencana. Tim ini juga bertugas melakukan penilaian terhadap kerusakan aset-aset layanan TI yang diakibatkan oleh bencana. Hasil penilaian tersebut secepatnya dapat dilaporkan kepada koordinator, sehingga dapat diputuskan untuk mengaktifkan lokasi alternatif / backup. Posisi ini tepat diperuntukan kepada orang yang mengetahui keluhan maupun komplain mengenai kondisi operasional layanan TI instasi ALT keseharian, dapat memberikan analisa penilaian terhadap aset-aset layanan TI. Untuk itu saya menyarankan yang menduduki posisi ini adalah Kepala Subbagian Pemeliharaan dan Perawatan Sistem Informasi instasi ALT.



75

5.8.4.

Tim Networks, Servers and Applications Recovery

Tim ini bertugas memastikan secara teknis hal-hal terkait jaringan komputer, server serta sistem operasi dan perangkat lunak pendukung layanan TI dapat berfungsi dengan baik pada lokasi alternatif ketika bencana terjadi maupun ketika proses restorasi pada lokasi utama. Tim ini terdiri dari tim kecil yang sesuai dengan peran dan tanggungjawabnya masing-masing yaitu tim networks recovery, tim servers recovery dan tim applications recovery. Dalam melaksanakan tugasnya tim ini membutuhkan koordinasi dengan tim BCP lainnya yaitu tim damaged assessment, tim databases recovery, tim pc’s and softwares recovery dan tim telecommunication recovery. Posisi ini tepat diperuntukan kepada orang yang mengetahui secara umum mengenai topologi jaringan, server dan sistem informasi di instasi ALT. Untuk itu saya menyarankan yang menduduki posisi ini adalah Kepala Subbagian Jaringan Informasi dan Aplikasi.

5.8.5.

Tim Databases Recovery

Tugas tim ini adalah melakukan restorasi terhadap database sesuai dengan backup terakhir pada masing-masing sistem informasi yang ada baik pada lokasi alternatif ketika bencana serta pada lokasi utama ketika proses pemulihan. Dalam melaksanakan tugas tim ini berkoordinasi dengan tim lain khususnya tim networks, servers and applications recovery. Posisi yang tepat diperuntukan kepada orang yang menangani proses backup dan restore maupun memvalidasi antara sistem informasi dan database berfungsi sebagaimana mestinya. Untuk itu saya menyarankan yang menduduki posisi ini adalah staf Subbagian Jaringan Informasi dan Aplikasi yang secara fungsional sebagai pengolah data.

5.8.6.

Tim PC and Software Recovery

Tugas tim ini adalah melakukan perbaikan dan restorasi terhadap PC beserta perangkat lunak pendukung dapat berfungsi dengan normal baik pada lokasi alternative ketika bencana maupun pada lokasi utama ketika proses pemulihan. Dalam melaksanakan tugasnya tim ini dapat berkoordinasi dengan tim lainnya Universitas Indonesia


76

yaitu tim damaged assessment dan tim networks, servers and applications recovery. Posisi yang tepat diperuntukan kepada orang yang bertanggungjawab dalam proses perbaikan dan restorasi terhadap PC’s beserta perangkat lunak pendukung lainnya, sehingga dapat berfungsi secara normal. Untuk itu saya menyarankan yang menduduki posisi ini adalah Kepala Subbagian Perawatan dan Pemeliharaan Perlengkapan.

5.8.7.

Tim Telecommunication Recovery

Tugas tim ini adalah melakukan penyediaan dan perbaikan jalur komunikasi data dapat berfungsi dengan normal baik pada lokasi alternatif ketika bencana maupun pada lokasi utama ketika proses pemulihan. Dalam melaksanakan tugasnya tim ini berkoordinasi dengan tim lain, khususnya tim networks, servers and applications recovery. Posisi yang tepat diperuntukan kepada orang yang bertanggungjawab terhadap penyediaan maupun perbaikan layanan komunikasi data. Dikarenakan layanan komunikasi data di alih daya kepada pihak ketiga, maka saya menyarankan yang menduduki posisi adalah Account Manager provider layanan komunikasi data tersebut.



BAB 6 PENUTUP

Bab ini berisi kesimpulan dan saran hasil dari penelitian yang telah dilakukan. Semoga apa yang telah dihasilkan dalam penelitian ini dapat bermanfaat dan dijadikan landasan dalam perancangan business continuity plan di instansi ALT.

6.1. Kesimpulan Berdasarkan hasil penelitian perancangan business continuity plan terhadap layanan TI di instansi ALT, dapat diambil kesimpulan sebagai berikut: 1.

Layanan TI yang dimiliki oleh instansi ALT mampu membantu memberikan dukungan secara teknis maupun administrasi terhadap proses bisnis organisasi. Dengan demikian hal yang harus diperhatikan adalah menjamin ketersediaan terhadap layanan TI tersebut. Untuk itu perlu suatu rancangan rencana kesinambungan bisnis (Business Continuity Plan) terhadap layanan TI.

2.

Penentuan teknologi pemulihan terhadap gangguan/bencana yang sesuai untuk setiap layanan TI pada instansi ALT berdasarkan pada toleransi kegagalan sistem yang ditentukan oleh tingkat kerawanan sistem tersebut. Tingkat kerawanan sistem diperoleh dari analisa dampak bisnis yang berdasarkan pada aspek tujuan strategis, finansial, reputasi dan kegiatan operasional, sehingga diperoleh urutan layanan TI yang bersifat kritikal dan menjadi prioritas dalam proses pemulihan. Selain itu dipengaruhi oleh tingkat risiko yang melekat terhadap aset-aset pendukung layanan TI.

3.

Berdasarkan pada tahapan analisa sebelumnya diperoleh strategi teknologi yang dapat diterapkan dalam pemulihan gangguan/bencana pada layanan TI, di dominasi strategi Hot site dengan replikasi sistem maupun basis data menggunakan metode increamental backup.

4.

Penerapan strategi Hot site pada sistem yang bersifat kritis membutuhkan sumber daya serta alokasi anggaran yang cukup besar. 77

Guna



78

meminimalisiranggaran

dan

mengoptimalisasi

sumber

daya,dapat

menggunakan pemanfaatan teknologi virtualisasi dalam melakukan recovery dan backup terhadap masing-masing sistem informasi.

6.2. Saran Berikut ini adalah saran yang dapat diberikan: 1.

Penelitian lebih lanjut perlu dilakukan untuk dapat memberikan penilaian terhadap

tahapan

pengujian

maupun

pemeliharaan

pada

Business

ContinuityPlan (BCP). 2.

Business Impact Analysis (BIA) maupun penilaian risiko perlu dilakukan secara berkala minimum setahun sekali, hal ini guna menggali perubahan terhadap proses bisnis pada instansi ALT.

3.

Sebelum mengimplementasikan Business Continiuty Plan (BCP), alangkah baiknya melakukan peremajaan teknologi pada sumber daya yang ada sesuai dengan perkembang.

4.

Ruang lingkup penelitian ini tidak terpaku terhadap layanan TI saja, dapat dikembangkan secara menyeluruh pada instansi ALT.



DAFTAR PUSTAKA

Ardhianto, Prabowo Priyo. (2013). Perancangan Business Continuity Plan (BCP): Studi Kasus PT. ABC, Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Burtles, Jim. (2007). Principles and Practice of Business Continuity – Tools and Techniques, Rothstein Associates Inc., Publisher. Cyber Defense Academy (2013). IT Risk Management, Jakarta : Diklat Teknis Kementerian Sekretariat Negara. Harisma, Nanda Zannibua. (2014). Perancangan Disaster Recovery Plan (DRP) pada Instansi Pemerintah: Studi kasus Direktorat Jenderal Administrasi Hukum Umum Kementerian Hukum dan HAM, Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Hiles, Andrew. Et al (2011). The Definitive Handbook of Business Continuity Management, A John Wiley & Sons, Ltd. Publication NIST SP 800-34 rev.1 (2010), Contingency Planning Guide for Federal Information Systems, National Institute of Standars and Technology, U.S. Department of Commerce. Peraturan Bank Indonesia No. 9/15/PBI/2007. Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, Bank Indonesia. Peraturan Menteri Sekretariat Negara No.2 Tahun 2011. Organisasi dan Tata Kelola Kementrian Sekretariat Negara, Kementerian Sekretariat Negara. Peraturan Pemerintah No.53 Tahun 2010. Disiplin Pegawai Negeri Sipil, Lembaran Negara No.74 Tahun 2010. Peraturan Pemerintah No.82 Tahun 2012. Penyelenggaraan Sistem dan Transaksi Elektronik, Lembaran Negara No.189 Tahun 2012. Scheffy, Clark. (2007). Virtualization for Dummies, Wiley Publishing, Inc Setiaji, Andri. (2013). Perancangan Disaster Recovery Plan di Badan Meteorlogi Klimatologi dan Geofisika (BMKG), Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Svata, Vlasta. (2013). System View of Business Continuity Management, Journal of system integration 2013/2.

79



80

Tangsook, Chomnaphas. (2007). BS 25999 – Business Continuity Management, BSI Group (Thailand) Co., Ltd. Uluwiyah, Ana. (2012). Virtualisasi Data Center Sebagai Salah Satu Alternatif Solusi Pencapaian Target E-Government Yang Efisien dan Efektif (Study kasus: Badan Pusat Statistik), Journal Magister of Technology Information School of Engineering and Informatics Institute Technology Bandung. Watters, Jamie. (2010). The Business Continuity Management – Desk Reference, Leverage Publishing. Zaida, Efrizal. (2013). Kupas Tuntas Teknologi Virtualisasi, Penerbit ANDI Yogyakarta.



81

Lampiran 1



82

Lampiran 1 (lanjutan)



83




84

Lampiran 2



85


Lampiran 3 Universitas Indonesia


86

Lampiran 3 (lanjutan) Universitas Indonesia


87



88



89



90



91



92



93



94



95



96



97



98



99



100



101



UNIVERSITAS INDONESIA PERANCANGAN BUSINESS CONTINUITY PLAN (BCP) TERHADAP LAYANAN TEKNOLOGI INFORMASI : STUDI KASUS INSTANSI ALT KARYA AKHIR

Recommend Documents