Latar Belakang
Teknologi informasi
memegang peranan penting dalam hampir setiap proses bisnis perusahaan.
Penggunaan teknologi informasi dapat meningkatkan kualitas pelayanan yang
diberikan oleh suatu perusahaan. Teknologi informasi memberikan
kemudahan-kemudahan dalam pelaksanaan proses bisnis dengan cara otomisasi pada
proses bisnis tersebut. Misalnya saja pada PT. PLN. Penggunaan website listrik
pintar sangat membantu PT. PLN dalam meningkatkan pelayanan kepada pelanggan.
Pelanggan dapat melakukan transaksi secara online melalui website tersebut.
Selain itu, PT. PLN juga dapat memberikan dapat informasi –informasi mengenai
pelayanan listrik melalui website, sehingga tidak diperlukan lagi sosialiasi
secara manual.
Namun, dalam penggunaan teknologi informasi terdapat berbagai resiko yang dapat
menjadi ancaman terhadap keberlangsungan penggunaan teknologi informasi.
Kegagalan perangkat teknologi informasi tersebut dapat terjadi kapan saja dan
menghasilkan berbagai penyebab. Seperti tidak dapat diaksesnya server, pencurian
data oleh pihak yang tidak berwenang dan terputusnya jaringan suatu system
informasi. Secara umum, kegagalan tersebut dapat menyebabkan mengganggu proses
bisnis perusahaan dan menurunnya kualitas layanan perusahaan. Kegagalan
tersebut dapat disebabkan oleh factor alami seperti bencana alam dan factor
manusia. Berdasarkan hal tersebut, dibutuhkan suatu prosedur penanganan yang
tepat untuk mengembalikan fungsi system agar dapat berjalan seperti semula
sesegera mungkin.
Studi Literature
1.
Konsep Manajemen Resiko
1.1.Pengertian Resiko
Resiko merupakan kemungkinan-kemungkinan
yang dapat terjadi secara alami dalam sebuah situasi.. Resiko dapat
diprediksi diawal kemungkinan terjadinya (probabilitas) dan memiliki dampak
dari suatu aktivitas tertentu.
Resiko dapat diklasifikasan sebagai berikut :
a.
Resiko yang tidak disengaja (risiko murni).
Resiko yang akan menimbulkan kerugian apabila resiko
tersebut terjadi. Terjadinya resiko tersebut tanpa disengaja. Contohnya bencana
alam
b.
Resiko yang disengaja (risiko spekulatif),
Resiko yang
sengaja dmunculkan, dengan maksud memberi keuntungan tertentu. Contohnya perdagangan
berjangka.
c.
Resiko fundamental,
Resiko yang penyebabnya tidak dapat
dilimpahkan kepada seseorang dan yang menngalaminya tidak hanya satu atau
beberapa orang saja. Contohnya gempa
d.
Resiko khusus,
Resiko yang bersumber dari peristiwa yang
mandiri dan umumnya mudah untuk diketahui penyebabnya. Contohnya tabrakan di
lalu lintas.
e.
Resiko dinamis,
Resiko yang timbul dikarenakan
perkembangan dan kemajuan masyarakat di bidang ekonomi, tehnologi. Contohnya
resiko ketinggalan zaman.
1.2.Manajemen
Resiko
Alberts, C dan Dorofee.A
mendefinisikan manajemen risiko sebagai proses yang berlangsung terus-menerus
dalam mengenali risiko dan mengimplementasikann rencana untuk menunjuk mereka.
Djojosoerdarso mendefinisikan
manajemen risiko sebagai pelaksanaan fungsi-fungsi manajemen dalam hal
penanggulangan risiko, terutama risiko yang dihadapi oleh
organisasi/perusahaan, keluarga dan masyarakat. Di dalamnya mencakup kegiatan
perencanaan, pengorganisiran, penyusunan, dan pengawasan (termasuk
mengevaluasi) program penanggulangan risiko.
Berdasarkan pengertian di atas,
dapat disimpulkan manajemen risiko sebagai suatu proses identifikasi, mengatur
risiko dan membentuk strategi untuk mengelolanya melalui sumber daya yang ada.
Ada 4 tindakan strategi yang dapat
digunakan, antara lain mentransfer risiko pada pihak lain, menghindari risiko,
mengurangi efek buruk dari risiko, dan menerima sebagian maupun seluruh
konsekuensi dari risiko tertentu.
Program manajemen risiko dengan demikian
mencakup tugas-tugas, seperti
(1) Pengidentifikasian
risiko-risiko yang dihadapi;
(2) Pengukuran atau penentuan
besarnya risiko tersebut;
(3) Mencari jalan untuk menghadapi
atau menanggulangi risiko;
(4) Penyusunan strategi untuk
memperkecil ataupun mengendalikan risiko;
(5) Mengkoordinir pelaksanaan
penanggulangan risiko serta mengevaluasi program penanggulangan risiko yang
telah di buat.
2.
Resiko Teknologi Informasi
2.1.Kategori Resiko Teknologi
Informasi
Penggunaan teknologi informasi
berisiko terhadap hilangnya informasi dan pemulihannya yang tercakup dalam 6
kategori, yaitu:
1. Keamanan
Resiko dimana informasi dapat
diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan
computer dan hacking.
2. Ketersediaan
Resiko dimana tidak dapatnya
mengakses data setelah kegagalan sistem, karena kesalahan manusia (human
error), perusahaan konfigurasi, dan kurangnya pengurangan arsitektur.
3. Daya pulih.
Risiko dimana tidak dapat
dipulijkannya informasi yang diperlukan dalam waktu yang cukup, setelah
terjadinya kegagalan dalam perangkat lunak atau keras, ancaman eksternal, atau
bencana alam.
4. Performa
Risiko dimana informasi tidak tersedia
saat diperlukan dikarenakan oleh terdistribusinya arsitektur, tingginya permintaan
dan topografi informasi teknologi yang beragam.
5. Daya skala
Risiko dimana perkembangan bisnis,
pengaturan bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin
menangani banyak aplikasi baru dan biaya bisnis secara efektif.
6. Ketaatan
Risiko dimana manajemen atau
penggunaan informasinya melanggar keperluan dari pihak pengatur. Yang
dipersalahkan dalam hal ini mencakup aturan pemerintah, panduan pengaturan
perusahaan dan kebijakan internal.
2.2.Manajemen Resiko Teknologi
Informasi
Teknologi merupakan sarana
yang berfungsi untuk mempermudah manusia dalam melaksanaan pekerjaannya. Terdapat
tiga entitas yang terkandung dalam teknologi yaitu keterampilan, logika
berfikir, dan perangkat keras. Sedangkan, teknologi informasi merupakan suatu
istilah yang digunakan untuk mengacu pada suatu item yang bermacam – macam
dimana memiliki kemampuan yang digunakan dalam pembuatan, penyimpanan, maupun
penyebaran dari data dan informasi.
Akhir-akhir ini penggunaan
teknologi informasi diperusahaan sudah menjadi hal yang umum dan bersifat
penting. Berdasarkan hal itu muncullah anggapan akan perlunya manajemen
terhadap teknologi informasi yang digunakan agar terhindar dari berbagai risiko
negatif. Secara umum, pengertian dari manajemen risiko teknologi informasi
adalah proses mengidentifikasi resiko, mengkaji resiko, dan membuat tindakan
untuk mengurangi resiko pada batasan yang dapat diterima terkait dengan
penggunaan teknologi informasi. Adapun manfaat yang diperoleh dari manajemen
risiko teknologi informasi bagi perusahaan :
a. Membantu perusahaan agar mengeluarkan biaya yang
seminimal mungkin terkait penggunaan
teknologi informasi.
b. Membantu manajer untuk memutuskan apakah rIsiko yang
dihadapi perusahaan akan dihindari atau diambil terkait teknologi informasi.
Jika penaksiran risiko dilakukan
secara akurat maka dapat memaksimalkan keuntungan perusahaan terkait teknologi
informasi
3.
Konsep Disaster Recovery Planning dan Business
Continuity Planning
3.1.Disaster Recovery Planning
Disaster Recovery Plan merupakan
prosedur yang dijalankan ketika BCP berlangsung. DRP berisi langkah-langkah
untuk penyelamatan dan pemulihan yang biasanya focus pada fasilitas IT dan sistem
informasi. DRP merupakan pengaturan yang comprehensive yang berisikan
tindakan-tindakan yang harus dilakukan sebelum, selama dan setelah adanya
bencana yang mengakibatkan hilangnya sumber daya informasi. DRP juga berisi
prosedur dalam merespon kejadian darurat, operasi backup cadangan disaat system
berhenti dan pengelolaan proses perbaikan serta penyelamatan agar meminimalisir
kerugian yang dialami.
Adapun tujuan utama DRP agar sumber
daya dalam menjalankan proses vital pada lokasi cadangan dapat tersediakan dan
mengembalikan fungsi lokasi utama menjadi normal pada batas waktu tertentu,
dengan cara menjalankan prosedur pemulihan secara cepat untuk meminimalisir
kerugian.
Proses-proses yang terkandung dalam DRP sebagai berikut:
• Proses Disaster Recovery Planning
• Pengujian Disaster Recovery Plan
• Prosedur Pemulihan Bencana
3.2.Business Continuity
Planning
BCP merupakan proses yang dirancang
dengan tujuan untuk mengurangi ancaman terhadap fungsi-fungsi penting
organisasi, agar menjami kontinuitas layanan bagi operasi yang penting. BCP didesain untuk melndungi proses bisnis
vital dari kerusakan atau bencana yang terjadi baik yang secara alamiah,
perbuatan manusia, dan kerugian yang muncul akibat tidak tersedianya proses
bisnis normal. BCP merupakan strategi untuk mengurangi efek gangguan dan
mengupayakan agar proses bisnis dapat berjalan kembali.
Proses-proses yang terkandung dalam BCP sebagai berikut:
• Inisiasi Perencanaan dan Lingkup
• Business Impact Assessment (BIA)
• Pengembangan Business Continuity Plan
Hal-hal yang dapat menghambat
proses bisnis merupakan suatu gangguan keamanan yang bias mematikan opersai
normal bisnis dalam kurun waktu tertentu. Tujuannya untuk meminimalisir efek
dari bencana tersebut. Manfaat utama dari BCP untuk mereduksi resiko kerugian
keuangan dan meningkatkan kemampuan dalam pemulihan dari bencana atau gangguan
sesegera mungkin.
3.3.Keterkaitan Business
Continuity Plan dan Disaster Recovery Plan
Business Continuity Plan (BCP) dan
Disaster Recovery Plan (DRP) berkaitan dengan bisnis dengan tujuan mencegahan
resiko dan melindungi infrastuktur dari serangan. BCP mengenai pembuatan
perencaan dan framework guna menjamin proses bisnis dapat terus berlanjut dalam
situasi darurat. Sedangkan DRP mengenai pemulihan cepat dari situasi darurat
atau bencana agar dampak yang dihasilkan dari bencana tersebut hanya
mempangaruhi organisasi atau perusahaan seminimum mungkin.
Business Continuty Plan (BCP) dan
Disaster Recovery Plan (DRP) merupakan dua hal yang sangat penting dalam sebuah
proses bisnis, akan tetapi seingkali kurang mendapat perhatian khusus
dikarenakan tingginya biaya yang diperlukan dalam penerapannya. Ditambah lagi
dengan banyaknya factor alam yang tidak dapat diprediksi dan tidak dapat
dicegah yang mempengaruhi suatu bencana. Sehingga kebanyakan kalangan bisnis
meyakini bahwa pelanggan akan maklum akan hal tersebut. Oleh karena itu, hal
penting bagi perusahaan untuk membangun BCP dan DRP adalah mendapatkan dukungan
dari pihak manajemen. BCP dan DRP meliputi persiapan, pengujian dan
pemutakhiran tindakan-tindakan yang diperlukan guna melindungi proses bisnis
fital terhadap dampak dari kegagalan jaringan dan sistem utama.
3.4.Perbedaan DRP dan BCP
Tujuan akhir dari BCP dan DRP sama,
yaitu menjamin keberlangsungan proses bisnis utama. DRP merupakan bagian dari
strategi yang ada pada BCP dalam emnghadapai bencana yang mengancam
keberlangsungan proses bisnis.
Ketika terjadi perubahan pada
bisnis requirement dan mewajibkan adanya pemulihan atau penyiapan dari
fungsi-fungsi bisnis yang penting, maka solusi/rencana yang dibuat adalah
berupa BCP. Dalam banyak kasus BCP biasanya ditangani oleh bagian sekuriti
organisasi atau keuangan, tidak dikontrol oleh unit tehnologi Informasi (TI),.
Sementara DRP murni dari Tehnologi
Informasi, bagian TI-lah yang menghasilkan Disaster Recovery Plan. Biasanya berfokus
kepada “bagaimana memulihkan sistem data mereka”.
4.
Framework Disaster Recovery Planning
4.1. COBIT (Control Objectives for Information and
Related Technology) 4.1.
Pengertian Cobit
COBIT (Control Objectives for
Information and Related Technology) merupakan sebuah dokumen mengenai best
practices untuk IT Governance yang bertujuan untuk membantu auditor, pengguna
(user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan
control dan masalah-masalah teknis IT.
Maksud utama dari COBIT :
- Menyediakan kebijakan
praktik-praktik untuk IT governance dalam organisasi tingkatan dunia secara
jelas dan baik.
- Membantu senior management dalam
hal memahami dan memanage resiko-resiko yang berkaitan dengan Teknologi
Informasi. Hal tersebut dilaksanakan COBIT dengan menyediakan satu kerangka IT
governance dan petunjuk control objective rinci untuk managemen, pemilik proses
business , users, dan auditors.
Tujuan Cobit
- Dapat membantu menemukan berbagai kebutuhan
manajemen yang berkaitan dengan TI.
- Mengoptimalkan investasi TI
- Menyediakan kriteria tindakan antisipasi ketika
terjadi penyelewengan atau penyimpangan.
Adapun manfaat jika tujuan tersebut tercapai adalah :
- Membantu
manajemen dalam pengambilan keputusan.
- Mendukung
pencapian tujuan bisnis.
- Meminimalkan
tindak kecurangan yang merugikan perusahaan yang bersangkutan.
Landasan Cobit
- Menyediakan informasi yang dibutuhkan untuk
mencapai sasaran2,
- Suatu organisasi harus memanage sumberdaya TI
nya melalui satu kumpulan proses2 yang dikelompokkan secara alami.
- Grup-grup proses COBIT disusun secara sederhana dan
berorientasi pada hirarki bisnis
- Setiap proses merujuk sumberdaya TI, dan
persyaratan2 kualitas, fiduciary/kepercayaan, dan keamanan dari informasi.
Kriteria Cobit
Point ini
menjelaskan tentang informasi yang relevan dan berkaitan dengan proses bisnis
serta yang disampaikan dengan benar, konsisten dan tepat waktu.
Point ini
menyangkut penyediaan informasi secara optimal (paling produktif dan ekonomis)
dan penggunaan sumber dayanya.
Point ini
menyangkut perlindungan terhadap informasi yang bersifat sensitive dari
pengungkapan yang tidak sah
Point ini
berkaitan dengan keakuratan dan kelengkapan informasi serta validitas sesuai
dengan nilai-nilai bisnis
Point ini
berkaitan dengan informasi yang tersedia ketika diperlukan oleh proses bisnis
sekarang dan di masa depan
Point ini
berkaitan dengan kepatuhan terhadap undang-undang atau peraturan kontrak yang
berkaitan dengan proses bisnis
Point ini
berkaitan dengan penyediaan informasi yang tepat bagi amanjemen untuk
emngoperasikan entitas
Kerangka Kerja Cobit
1. Control Objectives
Terdiri atas 4 tujuan
pengendalian tingkat tinggi (high level control objectives) yang tercermin
dalam 4 domain, yaitu : planning & organization, acquisition &
implementation, delivery & support, dan monitoring.
·
PLAN AND
ORGANISE (PO)
Domain ini mencakup strategi dan
taktik, dan menyangkut identifikasi cara IT terbaik dapat berkontribusi untuk
pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan,
dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi
yang tepat serta infrastruktur teknologi harus diletakkan pada tempatnya.
Domain ini biasanya alamat berikut pertanyaan manajemen:
- Apakah
IT dan strategi bisnis selaras?
- Apakah
perusahaan mencapai penggunaan optimal dari sumber dayanya?
- Apakah
setiap orang dalam organisasi memahami tujuan IT?
- Apakah
IT risiko dipahami dan dikelola?
- Apakah
kualitas sistem TI yang sesuai untuk kebutuhan bisnis?
·
ACQUIRE
AND IMPLEMENT (AI)
Untuk mewujudkan strategi TI,
solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan
dan pemeliharaan sistem yang ada tercakup oleh domain ini untuk memastikan
solusi terus memenuhi tujuan bisnis.
Domain ini biasanya membahas pertanyaan manajemen berikut:
- Apakah
proyek-proyek baru mungkin untuk memberikan solusi yang memenuhi kebutuhan
bisnis?
- Apakah
proyek baru kemungkinan akan dikirimkan tepat waktu dan sesuai anggaran?
- Apakah
sistem baru bekerja dengan baik ketika diimplementasikan?
- Apakah
perubahan yang dilakukan tanpa mengganggu operasi bisnis saat ini?
·
DELIVER
AND SUPPORT (DS)
Domain ini berkaitan dengan
pengiriman aktual dari layanan yang dibutuhkan, yang meliputi pelayanan, pengelolaan
keamanan dan kontinuitas, dukungan layanan bagi pengguna, dan manajemen data
dan fasilitas operasional. Ini biasanya membahas manajemen berikut pertanyaan:
- Apakah
layanan TI yang disampaikan sesuai dengan prioritas bisnis?
- Apakah
biaya TI dioptimalkan?
- Apakah
tenaga kerja dapat menggunakan sistem IT secara produktif dan aman?
- Apakah
kerahasiaan yang memadai, integritas dan ketersediaan di tempat untuk keamanan
informasi?
·
MONITOR
AND EVALUATE (ME)
Semua proses TI perlu dinilai
secara teratur dari waktu ke waktu untuk kualitas dan kepatuhan mereka dengan persyaratan
kontrol. domain ini manajemen kinerja alamat, pemantauan pengendalian internal,
kepatuhan terhadap peraturan dan tata kelola. Ini biasanya membahas pertanyaan
manajemen berikut:
- Apakah
IT yang kinerja yang diukur untuk mendeteksi masalah sebelum terlambat?
- Apakah
manajemen memastikan bahwa pengendalian internal yang efektif dan efisien?
- Dapatkah
kinerja TI dihubungkan kembali ke tujuan bisnis?
- Apakah
kerahasiaan yang memadai, integritas dan ketersediaan kontrol di tempat untuk
keamanan informasi?
2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan
pengendali rinci (detailed control objectives) untuk membantu para auditor
dalam memberikan management assurance atau saran perbaikan.
3. Management Guidelines Berisi arahan baik secara umum maupun spesifik
mengenai apa saja yang mesti dilakukan, seperti : apa saja indicator untuk suatu
kinerja yang bagus, apa saja resiko yang timbul, dan lain-lain.
4. Maturity Models
Untuk memetakan status maturity proses-proses
IT (dalam skala 0 – 5).
4.2.
ISO 27301
ISO 27031 berisi tentang panduan
bagaimana menjaga keberlangsungan IT dan pemulihan dari bencana sebagai bagian
dari system manajemen keberlangsungan bisnis yang lebih komprehensif. Personil
IT dibantu dalam mengidentifikasi persyaratan untuk Information Communication
and Technology (ICT) dan menerapkannya untuk mengurangi gangguan, mengenali dan
merespon dalam upaya pemulihan terhadap gangguan tersebut.
ISO 27301 menjelaskan
pendekatan system manajemen dalam mengatasi masalah ICT untuk mendukung keberlangsungan bisnis yang lebih luas. ISO
27301 membahas system manajemen untuk kesiapan ICT dalam konsep bisnis
kontinuitas (IRBC) dan focus pada pemulihan bencana IT. Menerapkan model
Plan-Do-Check-Act (PDCA) untuk mengurangi resiko gangguan terhadap layanan
serta pemulihannya.
Plan : Merencanakan struktur system manajemen secara keseluruhan. Keluaran
utama dari fase ini adalah kebijakan yang membahas kelangsungan teknologi
informasi dan komunikasi dan strategi dalam mengelola resiko dan meningkatkan
ICT.
Do : Berfokus pada pelaksanaan kegiatan dan menerapkan solusi yang
memungkinkan organisasi untuk memantau , merespon dan pemulihan dari gangguan
terhadap layanan ICT. Keluaran utama untuk fase ini adalah implementasi
strategi dan rencana dan pelaksanaan pelatihan dan kegiatan penyadaran untuk
mempromosikan kesinambungan layanan TIK .
Check : Pemeriksaan yang terdiri dari penelaahan dan evaluasi atas
kinerja sistem manajemen. Keluaran utama dari fase ini yaitu berupa pemantauan
terus menerus dari infrastruktur ICT dari gangguan dan peningkatan kinerja.
Act : Menyediakan manajemen dengan kesempatan untuk meninjau
kinerja usaha serta mengarahkan pelaksanaan tindakan perbaikan yang akan
meningkatkan kinerja sistem manajemen dan / atau mengurangi risiko gangguan
masa depan untuk layanan ICT .
Template
(Berdasarkan Framework COBIT 4.1. dan ISO 27301)
Untuk download Studi Literature klik
di sini
Untuk download Template Disaster Recovery Planning klik
di sini