Top Banner
Business Continuity Plan (BCP) & Disaster Recovery Plan (DRP)
57

Business Continuity Plan

Aug 11, 2015

Download

Documents

Irman Hariman
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Business Continuity Plan

Business Continuity Plan (BCP) & Disaster Recovery Plan (DRP)

Page 2: Business Continuity Plan

TUJUAN

• Bisnis tetap beroperasi meski pun ada gangguan.

• Sistem Informasi selamat dari bencana.

Page 3: Business Continuity Plan

Definisi (1)

BCP: proses (otomatis maupun manual) yang dirancang untuk mengurangi ancaman terhadap fungsi-fungsi penting organisasi, sehingga menjamin kontinuitas layanan bagi operasi yang penting.

Page 4: Business Continuity Plan

Definisi (2)DRP: saat BC action sedang berlangsung, maka juga dimulailah langkah-langkah untuk ‘penyelamatan’ (recovery) terhadap fasilitas IT dan sistem informasi. Dapat juga dikatakan bahwa DRP merupakan bagian/subset dari BCP.

Page 5: Business Continuity Plan

Bencana/Disaster (1)

• Bencana Alam– Banjir– Genangan– Gempa Bumi– Gunung Meletus– Badai– Kekeringan– Wabah– Serangga

Page 6: Business Continuity Plan

Bencana/Disaster (2)

• Bencana Lainnya– Tabrakan Kapal Udara/Kendaraan– Kebakaran– Huru-hara– Sabotase– Gangguan Listrik– Gangguan Komunikasi– Gangguan Transportasi

Page 7: Business Continuity Plan

Bencana/Disaster (4)

• Ancaman Non-Bencana– Pemogokan– Gangguan Perangkat Lunak– Gangguan Perangkat Keras– DoS– Virus

Page 8: Business Continuity Plan

Bencana/Disaster (4)

Bencana dapat berlangsung 1 jam – berhari-hari, serta dapat memaksa penggunaan fasilitas IT alternatif/data backup off-site.

Page 9: Business Continuity Plan

Guna mengantisipasi kasus terburuk, BCP harus mempertimbangkan strategi jangka pendek (short-term) dan strategi jangka panjang (long-term).

Misalnya:

•strategi jangka pendek: harus ada fasilitas IT alternatif.

•strategi jangka panjang: menyiapkan fasilitas IT yang permanen.

Page 10: Business Continuity Plan

BIA: Business Impact Analysis (1)

Dilakukan sebelum membuat BPC/DRP.

Hal-hal yang harus ditanyakan antara lain:

•Information resource apa yang penting bagi organisasi?

•Business process apa yang kalau tidak berjalan akan memberikan dampak negatif yang fatal bagi perusahaan?

Page 11: Business Continuity Plan

Business Impact Analysis (2)Setiap proses harus diperhatikan criticality-nya, dengan indikasi antara lain:

•Proses yang berkaitan dengan nyawa seseorang.

•Proses yang akan menyebabkan kerugian finansial yang luar biasa.

•Proses yang harus mematuhi aturan yang berlaku (misalnya: sektor keuangan, atau Air Traffic Control).

Page 12: Business Continuity Plan

Cost ($)

Time

Cost of Recovery

Cost of Disruption Impact

Cost of recovery vs Impact of disruption

Page 13: Business Continuity Plan

Risk Analysis (1)Melakukan risk analysis, kadang-kadang juga dilakukan pendekatan kualitatif, seperti dengan membuat peringkat.

Page 14: Business Continuity Plan

Risk Analysis (2)

Bisa diinterupsi sampai waktu yang lama, dengan sedikit beban / tidak ada beban biaya bagi perusahaan.

Noncritical

Bisa dilakukan secara manual dalam waktu yang relatif lama, namun meskipun dilakukan secara manual pasti tetap sulit melakukannya dan membutuhkan staf lebih banyak.

Sensitive

Bisa dilakukan secara manual pada rentang waktu yang pendek sekali. Sebaiknya bisa direstore dalam waktu 5 hari atau kurang.

Vital

Fungsi-fungsi ini tidak bisa bekerja kecuali digantikan dengan fungsi serupa. Tidak bisa digantikan dengan metode manual.

Critical

DeskripsiKlasifikasi

Page 15: Business Continuity Plan

Selection of Recovery Strategies (1)Rumusnya:•Tentukan cara/strategi untuk melakukan recovery fasilitas IT.•Tentukan aktifitas bisnis apa saja yang harus dilakukan selama fasilitas IT sedang di-recover.

Page 16: Business Continuity Plan

Selection of Recovery Strategies (2)• Asuransi: perencanaannya sendiri

tidak bisa diasuransikan tetapi kalau ada kecelakaan baru bisa diasuransikan.

• Namun dengan adanya rencana yang memadai, maka biaya premi asuransinya biasanya lebih kecil.

Page 17: Business Continuity Plan

Selection of Recovery Strategies (3)

Untuk mainframe atau fasilitas jaringan:

• Duplicate information processing facilities

• Hot sites: fully operational offsite data processing facility equipped with hardwar & software in event of a disaster. Ini penting untuk aplikasi yang critical. Namun biayanya sangat mahal.

Page 18: Business Continuity Plan

Selection of Recovery Strategies (4)• Warm sites: fasilitas alternatif yang memiliki

sarana yang lebih sedikit. Misalnya ada listrik, jaringan, telepon, meja-meja, printer, tetapi tanpa komputer yang mahal. Kadang-kadang ada komputer, tetapi less processing power.

• Cold sites: fasilitas yang memiliki prasarana penunjang untuk operasi komputer, misalnya ruangan yang memiliki listrik dan AC. Tapi belum ada komputernya, namun siap dipasangi komputer.

• Perjanjian dengan perusahaan lain.

Page 19: Business Continuity Plan

Selection of Recovery Strategies (5)Strategi telekomunikasi antara lain:

• Network redundancy.

• Alternative routing.

• Long haul network diversity.

• Protection of local loop.

• Voice recovery.

Page 20: Business Continuity Plan

Selection of Recovery Strategies (6)Strategi business continuity antara lain:• Tidak melakukan apa-apa sampai recovery

facility sudah ‘on’.• Melakukan prosedur manual.• Memfokuskan diri pada proses yang penting

saja: customer, products, dsb.• Menggunakan PC untuk data capture

(pencatatan saja) dengan pengolahan minimal. Pengolahan baru dilakukan setelah recovery facility sudah bekerja.

Page 21: Business Continuity Plan

Pertimbangan dalam BCP (1)Saat membangun BCP, harus melibatkan seluruh perusahaan, tidak hanya bagian IT saja. Kalau tidak ada BCP lapisan perusahaan, maka BCP dari sistem informasi harus menyertakan bagian lain yang terkait dengan BCP.

Page 22: Business Continuity Plan

Pertimbangan dalam BCP (2)Hal lain yang harus dipertimbangkan dalam membuat BCP:

•Staf-staf yang diperlukan untuk menjalankan fungsi bisnis yang penting saat terjadi bencana.

•Konfigurasi gedung, meja, kursi, telepon, dsb.

Page 23: Business Continuity Plan

Komponen BCP (1)Yang harus disepakati dalam BCP:

• Tujuan dari setiap tahap recovery

• Fasilitas alternatif

• Penanggung jawab

• Sumber daya yang akan disediakan

• Prioritas dan jadual aktifitas.

Page 24: Business Continuity Plan

Komponen BCP (2)Komponen BCP mencakup:

• Siapa penanggung jawab utama.• Backup dari supplies yang dibutuhkan.• Pengorganisasian dan penanggung

jawab setiap aktifitas.• Jaringan komputer.• Asuransi.

Page 25: Business Continuity Plan

Key Decision Making Personel (1)

Berisi daftar orang yang harus menginisiasi dan melaksanakan kegiatan recovery. Biasanya berupa daftar nomor telepon.

Page 26: Business Continuity Plan

Key Decision Making Personel (2)Daftar itu sepatutnya mencakup:

• Siapa yang harus di-contact terlebih dahulu.

• Emergency telephone numbers, termasuk ketua tim.

• Telepon vendor-vendor, termasuk supplier.

• Telepon dari recovery facility.

Page 27: Business Continuity Plan

Key Decision Making Personel (3)• Telepon penyelenggara jasa

telekomunikasi.• Telepon dari orang yang menyimpan

backup data.• Telepon asuransi.• Telepon orang-orang kontrakan (jika yang

melakukan recovery bukan orang operasional), terutama jika alternate facility ada di daerah lain.

Page 28: Business Continuity Plan

Backup of Required SuppliesHarus ada pula persediaan kertas-kertas (berlogo perusahaan) dan formulir-formulir perusahaan agar siap untuk dipakai.

Page 29: Business Continuity Plan

Organization & Assignment of Responsibilities (1)

Ada tim-tim yang bertugas melakukan fungsi tertentu dalam BCP, dan dipimpin seorang team leader.

Page 30: Business Continuity Plan

Organization & Assignment of Responsibilities (2)

Tim-tim:•Emergency action team:

– Tugas utamanya adalah seperti “pemadam kebakaran”, dan bertugas untuk menyelamatkan jiwa.

•Damage assessment team:– Harus bisa mengkalkulasi dampak bencana.– Bisa memperkirakan kapan lokasi bisa kembali

normal.

Page 31: Business Continuity Plan

Organization & Assignment of Responsibilities (3)

• Emergency management team:– Berkewajiban mengkoordinasikan aktifitas

tim-tim lainnya.– Melakukan decision making: apakah akan

menjalankan DRP atau tidak– Termasuk menangani masalah hukum dan

public relations.• Off site strorage team

– Packing dan shipping dari media dan records ke offsite facility.

Page 32: Business Continuity Plan

Organization & Assignment of Responsibilities (4)

• Software team:– Restore operation system.

• Applications team:– Pergi ke recovery site dan menginstall kembali

aplikasi komputer.• Emergency operations team:

– Shift operators & shift supervisors yang harus menjalankan recovery site (alternate facility)

Page 33: Business Continuity Plan

Organization & Assignment of Responsibilities (5)

• Salvage team– Melakukan analisis lebih mendalam terhadap

dampak bencana.– Menentukan apakah akan memperbaiki

lokasi yang kena bencana, atau melakukan proses relokasi.

– mengisi form klaim asuransi• Relocation team

– Mengembalikan dari recovery site ke lokasi awal atau ke lokasi baru yang permanen.

Page 34: Business Continuity Plan

Telecommunication Networks (1)Beberapa strategi DRP untuk telekomunikasi:• Redundancy:

– Extra capacity– Extra gateway (lihat di bawah).

• Alternative routing:– Menggunakan media komunikasi alternatif,

misalnya kalau dulu antar cabang pakai VSAT, maka dicoba alternatifnya pakai POTS (plain old telephone system). Jaringan fiber optic memiliki 2 jalur routing.

Page 35: Business Continuity Plan

Telecommunication Networks (2)• Diverse routing

– Menggunakan duplicate cable, dan menjamin bahwa kabel-kabel tersebut memiliki jalur/path yang berbeda. Hal ini disebabkan kalau kabel-kabel itu berada pada satu jalur yang sama persis, maka akan kena jenis ancaman yang sama.

Page 36: Business Continuity Plan

Telecommunication Networks (3)• Long haul network diversity

– Sebuah recovery facility (offsite alternate facility) banyak yang memiliki banyak jalur ke luar ke beberapa penyelenggara jasa telekomunikasi. Hal ini untuk menjamin tersedianya jasa telekomunikasi kalau yang satu crash.

Page 37: Business Continuity Plan

Telecommunication Networks (4)• Last mile circuit protection

– Menggunakan banyak metoda akses komunikasi keluar, kalau ada bencana di off-site facility

• Voice recovery: – supaya bisa telpon-telponan!

Page 38: Business Continuity Plan

Asuransi (1)BCP harus mencakup masalah asuransi dan cara klaim-nya juga.

Beberapa yang mungkin diasuransikan antara lain:•Peralatan dan fasilitas IT.•Software reconstruction (termasuk dari backup yang ada).•Extra expense, karena harus beroperasi dari alternate facility.

Page 39: Business Continuity Plan

Asuransi (2)

• Business interuption cost: kerugian akibat berhentinya aktifitas perusahaan.

• Valuable papers & records, akibat hilangnya surat-surat berharga.

• Media transportation.• Errors & Omissions.• Fidelity coverage: akibat

ketidakjujuran pegawai, dapat berupa blanket bonds.

Page 40: Business Continuity Plan

Permasalahan Kontrak dengan Fasilitas Alternatif - Warm, Hot, Cold SITE (1)

Sebaiknya mencakup hal-hal di bawah ini:

• Configuration – apakah konfigurasi hardware & software sudah tepat?

• Definisi “bencana”/disaster.• Speed of availability.• Subscribers per site.• Subscribers per area.

Page 41: Business Continuity Plan

Permasalahan Kontrak dengan Fasilitas Alternatif - Warm, Hot, Cold SITE (2)

• Preference: siapa yang didahulukan kalau ada bencana umum regional

• Usage periode: kalau ada bencana, berapa lama boleh menggunakan fasilitas alternatif?

• Audit: apakah kita boleh mengaudit alternate site/facility?

• Testing: apakah testing diperkenankan. • Reliability: sepatutnya vendor pun harus

bisa menjamin kehandalannya.

Page 42: Business Continuity Plan

Cara mendapatkan hardware & software yang bisa relatif terjamin ketersediaannya manakala dibutuhkan cepat:

•Jangan menggunakan h/s yang sulit didapatkan.

•Meng-update equipment agar tetap yang terbaru (atau agak baru).

Page 43: Business Continuity Plan

Library (1)Library berisi antara lain backup source code, program-program komputer dan data-data.

Page 44: Business Continuity Plan

Library (2)Syarat-syaratnya antara lain:• Secure physical access: yang boleh masuk

hanya terbatas.• Bangunan bisa tahan api 2 jam.• Lokasi library jauh dari ruang komputer.• Materi yang keluar-masuk library harus

tercatat.• Memastikan kebenaran catatan yang berisi

informasi file-file, versi dan lokasinya di mana.

Page 45: Business Continuity Plan

Library (3)Dokumentasi dari program-program juga harus ada di off-site facility.

Page 46: Business Continuity Plan

Backup (1)Periode backup tergantung program aplikasi atau software. Jadi jika ada proses yang dilaksanakan sekali sebulan dimana master file diupdate, maka backup juga dilakukan sebulan sekali. Di sisi lain, kadang kalau untuk on-line/real-time system perlu menggunakan mirrored master file di lokasi yang berbeda.

Page 47: Business Continuity Plan

Backup (2)Proses backup bisa diotomasi dengan menggunakan job scheduling software, sehingga bisa menghindar dari kesalahan backup dan lupa membackup.

Page 48: Business Continuity Plan

Backup (3)Hal-hal yang perlu dipertimbangkan dalam backup adalah:

• Frekuensi backup untuk setiap data file.•Jumlah Turunan backup• DBMS biasanya menyediakan teknik backupnya sendiri.• Sebaiknya ada perjanjian dengan vendor soal backup software.

Page 49: Business Continuity Plan

Recovery Plan Testing (1)Untuk membukti bahwa BCP bekerja, maka BCP harus diuji. Tes dilakukan saat gangguan pada operasi dinilai kecil, misalnya weekend. Seluruh anggota recovery team harus ikut.

Page 50: Business Continuity Plan

Recovery Plan Testing (2)Yang dilakukan dalam pengujian BCP:•Memeriksa kelengkapan dan ketepatan dari BCP.•Mengevaluasi kinerja dari orang-orang yang terlibat dalam uji coba.•Menilai cara training dan program penyadaran staf-staf lain.

Page 51: Business Continuity Plan

Recovery Plan Testing (3)

• Mengevaluasi koordinasi antara tim BC dan external entity, seperti vendor, supplier dan penyelenggara jasa lainnya.

• Mengukur kapasitas situs alternatif.• Mengukur tingkat retrieveablitiy dari

informasi penting.• Mengukur kinarja operasional dari

bisnis secara umum.

Page 52: Business Continuity Plan

Recovery Plan Testing (4)Tahapan pengujian

1. Pretest:– Persiapan sebelum pengujian, misalnya

memasang kabel-kabel di alternate facility atau membawa peralatan komunikasi ke alternate facility. Jadi esensinya memastikan bahwa fasilitas alternatif selalu siap.

Page 53: Business Continuity Plan

Recovery Plan Testing (5)2. Test

– Seluruh kegiatan operasional untuk mendukung business objectives tertentu dilaksanakan. Misalnya: data entry, telephone calls, information systems processing, penanganan order, workflow, dsb.

3. Post-test– Mengembalikan alat-alat yang perlu

dikembalikan ke tempatnya semula. Tapi yang paling penting adalah analisis formal dan perbaikan-perbaikan BCP

Page 54: Business Continuity Plan

Recovery Plan Testing (6)Jenis-jenis test

1. Paper test.

Walkthrough pada BCP, dengan melibatkan tim BCP serta staf inti yang terlibat.

2. Preparedness test.

Localized version of full test, actual resource tidak boleh dipakai untuk mensimulasikan system crash. Pengujian dilakukan pada bagian-bagian tertentu, dan mungkin bisa cost effective.

3. Full operational test.

Page 55: Business Continuity Plan

Pemeliharaan dan Perubahan BCP (1)

BCP jangan dibiarkan bertahun-tahun tanpa ditinjau kembali.

Perubahan bisa disebabkan karena:•Aplikasi baru telah dikembangkan.•Perubahan strategi bisnis, menyebabkan aplikasi yang dianggap kritis berubah.•Perubahan hardware & software.

Page 56: Business Continuity Plan

Pemeliharaan dan Perubahan BCP (2)

Untuk melakukan maintenance BCP dapat dilakukan antara lain:•Periodic review.•Komentar terhadap hasil review.•Melakukan pengujian BCP terjadual maupun mendadak.•Melakukan updating BCP.•Updating BCP, termasuk daftar nama & nomor telepon.

Page 57: Business Continuity Plan

Terima Kasih!