Template Disaster Recovery Planning ~ ridho zulandra

Latar Belakang

Teknologi informasi memegang peranan penting dalam hampir setiap proses bisnis perusahaan. Penggunaan teknologi informasi dapat meningkatkan kualitas pelayanan yang diberikan oleh suatu perusahaan. Teknologi informasi memberikan kemudahan-kemudahan dalam pelaksanaan proses bisnis dengan cara otomisasi pada proses bisnis tersebut. Misalnya saja pada PT. PLN. Penggunaan website listrik pintar sangat membantu PT. PLN dalam meningkatkan pelayanan kepada pelanggan. Pelanggan dapat melakukan transaksi secara online melalui website tersebut. Selain itu, PT. PLN juga dapat memberikan dapat informasi –informasi mengenai pelayanan listrik melalui website, sehingga tidak diperlukan lagi sosialiasi secara manual.

Namun, dalam penggunaan teknologi informasi terdapat berbagai resiko yang dapat menjadi ancaman terhadap keberlangsungan penggunaan teknologi informasi. Kegagalan perangkat teknologi informasi tersebut dapat terjadi kapan saja dan menghasilkan berbagai penyebab. Seperti tidak dapat diaksesnya server, pencurian data oleh pihak yang tidak berwenang dan terputusnya jaringan suatu system informasi. Secara umum, kegagalan tersebut dapat menyebabkan mengganggu proses bisnis perusahaan dan menurunnya kualitas layanan perusahaan. Kegagalan tersebut dapat disebabkan oleh factor alami seperti bencana alam dan factor manusia. Berdasarkan hal tersebut, dibutuhkan suatu prosedur penanganan yang tepat untuk mengembalikan fungsi system agar dapat berjalan seperti semula sesegera mungkin.

Studi Literature

1. Konsep Manajemen Resiko

1.1.Pengertian Resiko

Resiko merupakan kemungkinan-kemungkinan yang dapat terjadi secara alami dalam sebuah situasi.. Resiko dapat diprediksi diawal kemungkinan terjadinya (probabilitas) dan memiliki dampak dari suatu aktivitas tertentu.

Resiko dapat diklasifikasan sebagai berikut :

a. Resiko yang tidak disengaja (risiko murni).

Resiko yang akan menimbulkan kerugian apabila resiko tersebut terjadi. Terjadinya resiko tersebut tanpa disengaja. Contohnya bencana alam

b. Resiko yang disengaja (risiko spekulatif),

Resiko yang sengaja dmunculkan, dengan maksud memberi keuntungan tertentu. Contohnya perdagangan berjangka.

c. Resiko fundamental,

Resiko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menngalaminya tidak hanya satu atau beberapa orang saja. Contohnya gempa

d. Resiko khusus,

Resiko yang bersumber dari peristiwa yang mandiri dan umumnya mudah untuk diketahui penyebabnya. Contohnya tabrakan di lalu lintas.

e. Resiko dinamis,

Resiko yang timbul dikarenakan perkembangan dan kemajuan masyarakat di bidang ekonomi, tehnologi. Contohnya resiko ketinggalan zaman.

1.2.Manajemen Resiko

Alberts, C dan Dorofee.A mendefinisikan manajemen risiko sebagai proses yang berlangsung terus-menerus dalam mengenali risiko dan mengimplementasikann rencana untuk menunjuk mereka.

Djojosoerdarso mendefinisikan manajemen risiko sebagai pelaksanaan fungsi-fungsi manajemen dalam hal penanggulangan risiko, terutama risiko yang dihadapi oleh organisasi/perusahaan, keluarga dan masyarakat. Di dalamnya mencakup kegiatan perencanaan, pengorganisiran, penyusunan, dan pengawasan (termasuk mengevaluasi) program penanggulangan risiko.

Berdasarkan pengertian di atas, dapat disimpulkan manajemen risiko sebagai suatu proses identifikasi, mengatur risiko dan membentuk strategi untuk mengelolanya melalui sumber daya yang ada.

Ada 4 tindakan strategi yang dapat digunakan, antara lain mentransfer risiko pada pihak lain, menghindari risiko, mengurangi efek buruk dari risiko, dan menerima sebagian maupun seluruh konsekuensi dari risiko tertentu.

Program manajemen risiko dengan demikian mencakup tugas-tugas, seperti

(1) Pengidentifikasian risiko-risiko yang dihadapi;

(2) Pengukuran atau penentuan besarnya risiko tersebut;

(3) Mencari jalan untuk menghadapi atau menanggulangi risiko;

(4) Penyusunan strategi untuk memperkecil ataupun mengendalikan risiko;

(5) Mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi program penanggulangan risiko yang telah di buat.

2. Resiko Teknologi Informasi

2.1.Kategori Resiko Teknologi Informasi

Penggunaan teknologi informasi berisiko terhadap hilangnya informasi dan pemulihannya yang tercakup dalam 6 kategori, yaitu:

1. Keamanan

Resiko dimana informasi dapat diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan computer dan hacking.

2. Ketersediaan

Resiko dimana tidak dapatnya mengakses data setelah kegagalan sistem, karena kesalahan manusia (human error), perusahaan konfigurasi, dan kurangnya pengurangan arsitektur.

3. Daya pulih.

Risiko dimana tidak dapat dipulijkannya informasi yang diperlukan dalam waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras, ancaman eksternal, atau bencana alam.

4. Performa

Risiko dimana informasi tidak tersedia saat diperlukan dikarenakan oleh terdistribusinya arsitektur, tingginya permintaan dan topografi informasi teknologi yang beragam.

5. Daya skala

Risiko dimana perkembangan bisnis, pengaturan bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif.

6. Ketaatan

Risiko dimana manajemen atau penggunaan informasinya melanggar keperluan dari pihak pengatur. Yang dipersalahkan dalam hal ini mencakup aturan pemerintah, panduan pengaturan perusahaan dan kebijakan internal.

2.2.Manajemen Resiko Teknologi Informasi

Teknologi merupakan sarana yang berfungsi untuk mempermudah manusia dalam melaksanaan pekerjaannya. Terdapat tiga entitas yang terkandung dalam teknologi yaitu keterampilan, logika berfikir, dan perangkat keras. Sedangkan, teknologi informasi merupakan suatu istilah yang digunakan untuk mengacu pada suatu item yang bermacam – macam dimana memiliki kemampuan yang digunakan dalam pembuatan, penyimpanan, maupun penyebaran dari data dan informasi.

Akhir-akhir ini penggunaan teknologi informasi diperusahaan sudah menjadi hal yang umum dan bersifat penting. Berdasarkan hal itu muncullah anggapan akan perlunya manajemen terhadap teknologi informasi yang digunakan agar terhindar dari berbagai risiko negatif. Secara umum, pengertian dari manajemen risiko teknologi informasi adalah proses mengidentifikasi resiko, mengkaji resiko, dan membuat tindakan untuk mengurangi resiko pada batasan yang dapat diterima terkait dengan penggunaan teknologi informasi. Adapun manfaat yang diperoleh dari manajemen risiko teknologi informasi bagi perusahaan :

a. Membantu perusahaan agar mengeluarkan biaya yang seminimal mungkin terkait penggunaan

teknologi informasi.

b. Membantu manajer untuk memutuskan apakah rIsiko yang dihadapi perusahaan akan dihindari atau diambil terkait teknologi informasi.

Jika penaksiran risiko dilakukan secara akurat maka dapat memaksimalkan keuntungan perusahaan terkait teknologi informasi

3. Konsep Disaster Recovery Planning dan Business Continuity Planning

3.1.Disaster Recovery Planning

Disaster Recovery Plan merupakan prosedur yang dijalankan ketika BCP berlangsung. DRP berisi langkah-langkah untuk penyelamatan dan pemulihan yang biasanya focus pada fasilitas IT dan sistem informasi. DRP merupakan pengaturan yang comprehensive yang berisikan tindakan-tindakan yang harus dilakukan sebelum, selama dan setelah adanya bencana yang mengakibatkan hilangnya sumber daya informasi. DRP juga berisi prosedur dalam merespon kejadian darurat, operasi backup cadangan disaat system berhenti dan pengelolaan proses perbaikan serta penyelamatan agar meminimalisir kerugian yang dialami.

Adapun tujuan utama DRP agar sumber daya dalam menjalankan proses vital pada lokasi cadangan dapat tersediakan dan mengembalikan fungsi lokasi utama menjadi normal pada batas waktu tertentu, dengan cara menjalankan prosedur pemulihan secara cepat untuk meminimalisir kerugian.

Proses-proses yang terkandung dalam DRP sebagai berikut:

• Proses Disaster Recovery Planning

• Pengujian Disaster Recovery Plan

• Prosedur Pemulihan Bencana

3.2.Business Continuity Planning

BCP merupakan proses yang dirancang dengan tujuan untuk mengurangi ancaman terhadap fungsi-fungsi penting organisasi, agar menjami kontinuitas layanan bagi operasi yang penting. BCP didesain untuk melndungi proses bisnis vital dari kerusakan atau bencana yang terjadi baik yang secara alamiah, perbuatan manusia, dan kerugian yang muncul akibat tidak tersedianya proses bisnis normal. BCP merupakan strategi untuk mengurangi efek gangguan dan mengupayakan agar proses bisnis dapat berjalan kembali.

Proses-proses yang terkandung dalam BCP sebagai berikut:

• Inisiasi Perencanaan dan Lingkup

• Business Impact Assessment (BIA)

• Pengembangan Business Continuity Plan

Hal-hal yang dapat menghambat proses bisnis merupakan suatu gangguan keamanan yang bias mematikan opersai normal bisnis dalam kurun waktu tertentu. Tujuannya untuk meminimalisir efek dari bencana tersebut. Manfaat utama dari BCP untuk mereduksi resiko kerugian keuangan dan meningkatkan kemampuan dalam pemulihan dari bencana atau gangguan sesegera mungkin.

3.3.Keterkaitan Business Continuity Plan dan Disaster Recovery Plan

Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) berkaitan dengan bisnis dengan tujuan mencegahan resiko dan melindungi infrastuktur dari serangan. BCP mengenai pembuatan perencaan dan framework guna menjamin proses bisnis dapat terus berlanjut dalam situasi darurat. Sedangkan DRP mengenai pemulihan cepat dari situasi darurat atau bencana agar dampak yang dihasilkan dari bencana tersebut hanya mempangaruhi organisasi atau perusahaan seminimum mungkin.

Business Continuty Plan (BCP) dan Disaster Recovery Plan (DRP) merupakan dua hal yang sangat penting dalam sebuah proses bisnis, akan tetapi seingkali kurang mendapat perhatian khusus dikarenakan tingginya biaya yang diperlukan dalam penerapannya. Ditambah lagi dengan banyaknya factor alam yang tidak dapat diprediksi dan tidak dapat dicegah yang mempengaruhi suatu bencana. Sehingga kebanyakan kalangan bisnis meyakini bahwa pelanggan akan maklum akan hal tersebut. Oleh karena itu, hal penting bagi perusahaan untuk membangun BCP dan DRP adalah mendapatkan dukungan dari pihak manajemen. BCP dan DRP meliputi persiapan, pengujian dan pemutakhiran tindakan-tindakan yang diperlukan guna melindungi proses bisnis fital terhadap dampak dari kegagalan jaringan dan sistem utama.

3.4.Perbedaan DRP dan BCP

Tujuan akhir dari BCP dan DRP sama, yaitu menjamin keberlangsungan proses bisnis utama. DRP merupakan bagian dari strategi yang ada pada BCP dalam emnghadapai bencana yang mengancam keberlangsungan proses bisnis.

Ketika terjadi perubahan pada bisnis requirement dan mewajibkan adanya pemulihan atau penyiapan dari fungsi-fungsi bisnis yang penting, maka solusi/rencana yang dibuat adalah berupa BCP. Dalam banyak kasus BCP biasanya ditangani oleh bagian sekuriti organisasi atau keuangan, tidak dikontrol oleh unit tehnologi Informasi (TI),. Sementara DRP murni dari Tehnologi Informasi, bagian TI-lah yang menghasilkan Disaster Recovery Plan. Biasanya berfokus kepada “bagaimana memulihkan sistem data mereka”.

4. Framework Disaster Recovery Planning

4.1. COBIT (Control Objectives for Information and Related Technology) 4.1.

Pengertian Cobit

COBIT (Control Objectives for Information and Related Technology) merupakan sebuah dokumen mengenai best practices untuk IT Governance yang bertujuan untuk membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis IT.

Maksud utama dari COBIT :

Menyediakan kebijakan praktik-praktik untuk IT governance dalam organisasi tingkatan dunia secara jelas dan baik.
Membantu senior management dalam hal memahami dan memanage resiko-resiko yang berkaitan dengan Teknologi Informasi. Hal tersebut dilaksanakan COBIT dengan menyediakan satu kerangka IT governance dan petunjuk control objective rinci untuk managemen, pemilik proses business , users, dan auditors.

Tujuan Cobit

Dapat membantu menemukan berbagai kebutuhan manajemen yang berkaitan dengan TI.
Mengoptimalkan investasi TI
Menyediakan kriteria tindakan antisipasi ketika terjadi penyelewengan atau penyimpangan.

Adapun manfaat jika tujuan tersebut tercapai adalah :

Membantu manajemen dalam pengambilan keputusan.
Mendukung pencapian tujuan bisnis.
Meminimalkan tindak kecurangan yang merugikan perusahaan yang bersangkutan.

Landasan Cobit

Menyediakan informasi yang dibutuhkan untuk mencapai sasaran2,
Suatu organisasi harus memanage sumberdaya TI nya melalui satu kumpulan proses2 yang dikelompokkan secara alami.
Grup-grup proses COBIT disusun secara sederhana dan berorientasi pada hirarki bisnis
Setiap proses merujuk sumberdaya TI, dan persyaratan2 kualitas, fiduciary/kepercayaan, dan keamanan dari informasi.

Kriteria Cobit

Efektivitas

Point ini menjelaskan tentang informasi yang relevan dan berkaitan dengan proses bisnis serta yang disampaikan dengan benar, konsisten dan tepat waktu.

Efisiensi

Point ini menyangkut penyediaan informasi secara optimal (paling produktif dan ekonomis) dan penggunaan sumber dayanya.

Kerahasiaan

Point ini menyangkut perlindungan terhadap informasi yang bersifat sensitive dari pengungkapan yang tidak sah

Integritas

Point ini berkaitan dengan keakuratan dan kelengkapan informasi serta validitas sesuai dengan nilai-nilai bisnis

Ketersediaan

Point ini berkaitan dengan informasi yang tersedia ketika diperlukan oleh proses bisnis sekarang dan di masa depan

Kepatuhan

Point ini berkaitan dengan kepatuhan terhadap undang-undang atau peraturan kontrak yang berkaitan dengan proses bisnis

Kehandalan

Point ini berkaitan dengan penyediaan informasi yang tepat bagi amanjemen untuk emngoperasikan entitas

Kerangka Kerja Cobit

1. Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang tercermin dalam 4 domain, yaitu : planning & organization, acquisition & implementation, delivery & support, dan monitoring.

· PLAN AND ORGANISE (PO)

Domain ini mencakup strategi dan taktik, dan menyangkut identifikasi cara IT terbaik dapat berkontribusi untuk pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi yang tepat serta infrastruktur teknologi harus diletakkan pada tempatnya. Domain ini biasanya alamat berikut pertanyaan manajemen:

Apakah IT dan strategi bisnis selaras?
Apakah perusahaan mencapai penggunaan optimal dari sumber dayanya?
Apakah setiap orang dalam organisasi memahami tujuan IT?
Apakah IT risiko dipahami dan dikelola?
Apakah kualitas sistem TI yang sesuai untuk kebutuhan bisnis?

· ACQUIRE AND IMPLEMENT (AI)

Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang ada tercakup oleh domain ini untuk memastikan solusi terus memenuhi tujuan bisnis. Domain ini biasanya membahas pertanyaan manajemen berikut:

Apakah proyek-proyek baru mungkin untuk memberikan solusi yang memenuhi kebutuhan bisnis?
Apakah proyek baru kemungkinan akan dikirimkan tepat waktu dan sesuai anggaran?
Apakah sistem baru bekerja dengan baik ketika diimplementasikan?
Apakah perubahan yang dilakukan tanpa mengganggu operasi bisnis saat ini?

· DELIVER AND SUPPORT (DS)

Domain ini berkaitan dengan pengiriman aktual dari layanan yang dibutuhkan, yang meliputi pelayanan, pengelolaan keamanan dan kontinuitas, dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional. Ini biasanya membahas manajemen berikut pertanyaan:

Apakah layanan TI yang disampaikan sesuai dengan prioritas bisnis?
Apakah biaya TI dioptimalkan?
Apakah tenaga kerja dapat menggunakan sistem IT secara produktif dan aman?
Apakah kerahasiaan yang memadai, integritas dan ketersediaan di tempat untuk keamanan informasi?

· MONITOR AND EVALUATE (ME)

Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk kualitas dan kepatuhan mereka dengan persyaratan kontrol. domain ini manajemen kinerja alamat, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola. Ini biasanya membahas pertanyaan manajemen berikut:

Apakah IT yang kinerja yang diukur untuk mendeteksi masalah sebelum terlambat?
Apakah manajemen memastikan bahwa pengendalian internal yang efektif dan efisien?
Dapatkah kinerja TI dihubungkan kembali ke tujuan bisnis?
Apakah kerahasiaan yang memadai, integritas dan ketersediaan kontrol di tempat untuk keamanan informasi?

2. Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance atau saran perbaikan.

3. Management Guidelines Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti dilakukan, seperti : apa saja indicator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan lain-lain.

4. Maturity Models

Untuk memetakan status maturity proses-proses IT (dalam skala 0 – 5).

4.2. ISO 27301

ISO 27031 berisi tentang panduan bagaimana menjaga keberlangsungan IT dan pemulihan dari bencana sebagai bagian dari system manajemen keberlangsungan bisnis yang lebih komprehensif. Personil IT dibantu dalam mengidentifikasi persyaratan untuk Information Communication and Technology (ICT) dan menerapkannya untuk mengurangi gangguan, mengenali dan merespon dalam upaya pemulihan terhadap gangguan tersebut.

ISO 27301 menjelaskan pendekatan system manajemen dalam mengatasi masalah ICT untuk mendukung keberlangsungan bisnis yang lebih luas. ISO 27301 membahas system manajemen untuk kesiapan ICT dalam konsep bisnis kontinuitas (IRBC) dan focus pada pemulihan bencana IT. Menerapkan model Plan-Do-Check-Act (PDCA) untuk mengurangi resiko gangguan terhadap layanan serta pemulihannya.

Plan : Merencanakan struktur system manajemen secara keseluruhan. Keluaran utama dari fase ini adalah kebijakan yang membahas kelangsungan teknologi informasi dan komunikasi dan strategi dalam mengelola resiko dan meningkatkan ICT.

Do : Berfokus pada pelaksanaan kegiatan dan menerapkan solusi yang memungkinkan organisasi untuk memantau , merespon dan pemulihan dari gangguan terhadap layanan ICT. Keluaran utama untuk fase ini adalah implementasi strategi dan rencana dan pelaksanaan pelatihan dan kegiatan penyadaran untuk mempromosikan kesinambungan layanan TIK .

Check : Pemeriksaan yang terdiri dari penelaahan dan evaluasi atas kinerja sistem manajemen. Keluaran utama dari fase ini yaitu berupa pemantauan terus menerus dari infrastruktur ICT dari gangguan dan peningkatan kinerja.

Act : Menyediakan manajemen dengan kesempatan untuk meninjau kinerja usaha serta mengarahkan pelaksanaan tindakan perbaikan yang akan meningkatkan kinerja sistem manajemen dan / atau mengurangi risiko gangguan masa depan untuk layanan ICT .