IS Risk Management Disaster Recovery Plan (DRP)

DISUSUN OLEH : ANDRE HIZKIA MAJIAH 1122201465 DENNY S 1122201553 EVY EKAWATI 1122201585 MEISYE HAMENDA 1122201010 NICHOLAS HADI 1122201130 TEGUH HANDOYO 1122201490 KELAS : 02MBM

UNIVERSITAS BINA NUSANTARA JAKARTA 2012

Daftar Isi
DAFTAR ISI ...................................................................................................................................................... 1 1 2 3 4 5 7 7.1 7.2 7.3 8 8.1 8.2 8.3 8.4 9 10 PENDAHULUAN ..................................................................................................................................... 2 CAKUPAN DRP ...................................................................................................................................... 3 BUSINESS CONTINUITY PLANNING VS DISASTER RECOVERY PLANNING ............................................ 4 MEMAHAMI DISASTER RECOVERY ........................................................................................................ 5 DEVELOPING RECOVERY PLANS ............................................................................................................ 8 DEVELOPING RECOVERY PLAN FOR FACILITIES ................................................................................... 10 PEMILIHAN FASILITAS ............................................................................................................................ 10 DEVELOPING RECOVERY PLAN FOR SYSTEM................................................................................................. 10 PLANNING SYSTEM AND NETWORK RECOVERY ............................................................................................ 11 MELINDUNGI (PROTECT) DAN MEMULIHKAN (RECOVERY) DATA APLIKASI......................................... 12 MEMILIH BAGAIMANA DAN DIMANA MENYIMPAN DATA UNTUK RECOVERY ......................................................... 12 MELINDUNGI DATA MELALUI BACKUP ........................................................................................................ 12 MEMUTUSKAN DIMANA TEMPAT UNTUK MENYIMPAN DATA RECOVERY .............................................................. 13 MELINDUNGI (PROTECTING) DAN MEMULIHKAN (RECOVERING) APLIKASI ........................................................... 14 MENULIS DRP...................................................................................................................................... 16 REFERENCES ........................................................................................................................................ 19

Page

1 Pendahuluan
Disaster Recovery Planningatau DRP adalah rencana IT yang dirancang berkaitan dengan mempersiapkan untuk mengembalikan/memulihkan sistem, aplikasi, fasilitas komputer atau kelanjutan dari infrastruktur teknologi dari kerusakan atau kejadian yang tidak diharapkan. DRP merupakan prosedur yang berlaku untuk peristiwa besar, seperti : 1. Bencana alam disebabkan oleh kondisi geografis dan geologis dari lokasi. 2. Kebakaran disebabkan oleh faktor lingkungan dan pengaturan sistem elektrik yang dapat menyebabkan korsleting. 3. Kerusakan pada jaringan listrik disebabkan oleh sistem elektrik. 4. Serangan teroris disebabkan oleh lemahnya keamanan fisik dan non fisik data center. 5. Sistem atau perangkat yang rusak terkait dengan kesalahan manajemen pengawasan perangkat. 6. Kesalahan operasional akibat ulah manusia. 7. Virus misalkan disebabkan oleh kesalahan pemilihan anti virus yang digunakan. Dari peristiwa diatas memiliki potensi untuk menimbulkan kerusakan bangunan, peralatan dan sistem IT bahkan berdampak buruk untuk orang-orang dalam organisasi. Bencana dapat memiliki efek sebagai berikut: - Direct damage : peristiwa secara langsung merusak bangunan, peralatan dan sistem IT. - Innacessibility : peristiwa merusak bangunan sedemikian rupa sehingga menyebabkan tidak aman lagi dan dilarang untuk memasuki bangunan tersebut. - Utility outage : insiden yang tidak menyebabkan kerusakan langsung seperti listrik. - Transportation disruption : insiden yang berpengaruh pada transportasi regional termasuk jalan raya utama, jalan, jembatan dan lain-lain. - Communication disruption : bencana yang menyebabkan luas padam dalam komunikasi untuk kerusakan langsung pada infrastruktur yang mempengaruhi kebutuhan operasional sehari hari. - Evacuation : bencana yang menimbulkan ancaman langsung terhadap orang sehingga wajib evakuasi dari daerah tertentu atau daerah secara keseluruhan. - Worker absebteeism : bencana menyebabkan para pekerja tidak dapat bekerja karena berbagai alasan. DRP merupakan salah satu bagian dari kelangsungan bisnis yang melibatkan analisis proses bisnis dan kebutuhan yang berkelanjutan. Kelangsungan bisnis menggambarkan proses dan prosedur organisasi yang menempatkan dimana fungsi utama dalam organisasi dapat terus berjalan selama bencana dan setelah bencana, sedangkan perencanaan untuk kelangsungan bisnis berupaya mencegah terjadinya gangguan layanan kritis dan membangun kembali agar dapat berfungsi penuh, cepat dan mulus kembali. Manfaat yang didapat dari DRP ini adalah sebagai berikut :

Page

Improved business processes : karena menjalani proses bisnis seperti analisis dan pengawasan. Analisis hampir tidak menolong tetapi dapat menemukan daerah untuk melakukan perbaikan. Improved technology : perlu untuk meningkatkan sistem IT agar mendukung tujuan pemulihan karena pemulihan menyebabkan IT menjadi sistem yang lebih konsisten satu sama lain. Dengan begitu lebih mudah untuk dikelola. Fewer disruptions : hasil dari peningkatan teknologi cenderung membuat sistem IT lebih stabil dari sebelumnya, berguna apabila ada perubahan arsitektur sistem maka memenuhi tujuan pemulihan. Higher quality services : teknologi yang ada meningkatkan pelayanan baik secara internal maupun kepada pelanggan. Competitive advantage : memiliki rencana pemulihan bencana yang memberikan keunggulan kompetitif kepada perusahaan dibandingkan pesaingnya, sehingga ketersediaan layanan lebih tinggi dan handal.

2 Cakupan DRP
Ketika mempersiapkan untuk mengembankan dan mendokumentasikan DRP untuk komponen yang mendukung proses bisnis kritis, kita harus tahu apa tepatnya untuk masuk de dalam rencana, dan bagaimana strukturnya dan bagaimana mengelola isi dari rencana tersebut. DRP harus mencakup beberapa bagian sebagai berikut: - Disaster declaration procedure - Emergency contact lists and trees - Emergency leadership team members - Damage assessment procedures - System recovery and restart procedures - Transition to normal operations - Recovery team members Setelah perencanaan tersebut perlu adanya publikasi dalam bantuk yang tersedia kepada personalia pemulihan. Rencana ini tidak bisa hanya menempatkan dokumen DRP pada organisasi, internet atau file server, karena internet dan file server sangat tidak memungkinkan untuk diakses pada saat terjadi bencana. Untuk membuat DRP tersedia dan bermanfaat, maka perlu untuk mendistribusikannya dalam berbagai bentuk seperti hardcopy, CD-ROM, USB drive dan sebagainya sehingga personil dalam keadaan darurat dapat benar-benar mengakses rencana tersebut dari manapun mereka berada, tanpa harus bergantung pada sistem IT yang sama. DRP juga dapat dilakukan pengujian terlebih dahulu dengan membuatnya melalui pengujian siklus intes progresif. Jika organisasi perlu untuk membuktikan kualitas keakurasian dari DRP maka untuk memastikanya kalau DRP tersebut benar-benar bekerja, maka kita harus menguji DRP tersebut dengan melakukan beberapa tes yaitu: 1. Paper test: review anggota staf dan keterangan prosedur tertulis pada mereka sendiri.

Page

2. Walkthrought test : sekelompok ahli berjalan dan berbicara melalui pemulihan prosedur membahas isu-isu di sepanjang jalan. 3. Simulaitons : sekelompok ahli berjalan melalui sebuah naskah scenario berencana untuk melihat seberapa baik prosedur bekerja. 4. Parallel testing : tim pemulihan membangun atau mengatur pemulihan server dan transaksi berjalan melalui uji server tersebut untuk melihat apakah mereka benar-benar bisa. 5. Cutover testing : tes akhir dari kesiapan. Tim pemulihan membangun atau mengatur server pemuliahan dan menempatkan proses bisnis beban kerja sebenarnya pada sistem tersebut.

3 Business Continuity Planning VS Disaster Recovery Planning

Business Continuity Planningatau BCS adalah proses perencanaan perusahaan yang luas yang menciptakan prosedur rinci untuk digunakan dalam kasus seperti bencana. BCP memperhitungkan proses rekening, orang, fasilitas, sistem, dan elemen eksternal yang dapat mengubah kemampuan organisasi untuk berfungsi dalam berbagai scenario bencana. Tujuan BCP secara keseluruhan untuk mempertahankan proses bisnis kritis dalam hal terjadi pemadaman yang tidak direncanakan. Ruang lingkup BCP pasti akan melibatkan IT infrastruktur. Berikut adalah perbedaan antara BCP dan DCP : Business Continuity Planning Terkait dengan segala sesuatu yang beruhubungan dengan usaha untuk mempertahankan proses bisnis. Disaster Recovery Planning Terkait dengan segala sesuatu yang beruhubungan dengan usaha untuk mempertahankan proses kelangsungan IT production. Prakteknya dengan melakukan tinjauan terhadap IT yang ada, kemudian ditentukan criticality dari proses IT tersebut.

Page

Prakteknya dengan melakukan tinjauan terhadap proses bisnis / fungsi yang ada, kemudiah ditentukan criticality dari proses bisnis tersebut. Ruang lingkup adalah seluruh proses Ruang lingkup adalah seluruh proses IT bisnis. Uraian proses menggambarkan Uraian proses menggambarkan bagaimana usaha yang harus dilakukan bagaimana usaha yang harus dilakukan suatu unit kerja sebelum,saat dan setelah suatu unit kerja sebelum,saat dan setelah suatu bencana terjadi untuk memastikan suatu bencana terjadi untuk memastikan lingkungan kegiatan bisnis dapat berjalan lingkungan kegiatan IT dapat berjalan lancar. lancar. Usaha yang dilakukan terkait dengan Usaha yang dilakukan terkait dengan personnel, lokasi, bangunan, teknologi dan kesiapan personnel dan fasilitas pemrosesan pelayanan, IT Tabel 1.1 : BCP VS DRP

4 Memahami Disaster Recovery

DRP merupakan kumpulan dari dokumen yang menjelaskan pasca tanggap darurat bencana, penilaian kerusakan, dan restart sistem untuk menjaga agar proses bisnis kritis dapat segera berjalan pasca bencana. Berikut merupakan faktor - faktor penting dalam membangun sebuah perencanaan DRP, antara lain : - Gaining executive support Untuk melakukan project ini harus di dukung dengan komitmen dari eksekutif karena untuk melakukan project ini dibutuhkan banyak biaya, waktu serta orang yang terlibat. o Disaster preparation and survival o Manfaat yang paling jelas dari menyelesaikan rencana DR adalah kelangsungan hidup organisasi dari bencana o Disaster avoidance o DRP sering mengarah pada peningkatan proses dan sistem TI yang membuat proses-proses dan sistem yang lebih tangguh. o Due diligence and due care Beberapa organisasi tidak pernah mengalami kecelakaan atau peristiwa yang mengakibatkan hilangnya data. Banyak yang mengabaikan kebutuhan untuk perencanaan pemulihan bencana. DR perencanaan melindungi data terhadap kehilangan. Jika organisasi Anda gagal untuk latihan ini perusahaan bisa menghadapi perdata atau pidana tuntutan hukum jika bencana menghancurkan informasi penting

Tabel 4.1 : Memahami frekuensi bencana

Page

Mendapatkan sebuah ide yang akurat tentang seberapa sering bencana tertentu dapat terjadi tidak mudah. Beberapa kejadian, seperti gunung berapi dan tsunami, sangat jarang terjadi yang mungkin dapat mengukur probabilitas, belum lagi memperkirakan dampak, nyaris mustahil. Namun memprediksi statistik peristiwa lain, seperti banjir, sedikit lebih mudah (terutama karena mereka terjadi agak lebih sering dan bisa ditebak), tetapi bahkan kemudian peristiwa ini bervariasi dalam intensitas dan efek. Jika organisasi anda memiliki apapun polis asuransi yang mencakup bencana, perusahaan asuransi mungkin memiliki beberapa informasi yang berguna tentang cakupan untuk bencana. Juga, perusahaan asuransi mungkin menawarkan diskon premi untuk organisasi yang memiliki rencana pemulihan bencana. Select a project manager Memilih project manager yang mempunyai pengalaman dan kemampuan di bidangnya Create a project plan Penjelasan yang sangat rinci dari semua langkah diperlukan untuk menyelesaikan proyek DR - urutan diperlukan langkah-langkah, yang akan melakukan langkah-langkah, langkah-langkah yang bergantung pada yang lain langkah, dan apa biaya (jika ada) berhubungan dengan setiap langkah. Form a steering committee Para eksekutif atau manajer senior yang mensponsori dan mendukung proyek harus memilih anggota untuk komite pengarah formal. Komite pengarah DR eksekutif memiliki pengawasan tim proyek DR. Sementara Anda mengembangkan proyek DR, komite pengarah DR mungkin perlu bertemu sesering satu atau dua kali setiap bulan. Managing the DR Project Conducting a Business Impact Analysis Tugas besar pertama dalam setiap proyek pemulihan bencana melibatkan mengidentifikasi fungsi bisnis dalam organisasi yang membutuhkan perencanaan DR. Tapi juga perlu melakukan analisis risiko masing-masing fungsi bisnis penting untuk mengukur efek pada organisasi jika sesuatu mengganggu masing-masing fungsi untuk waktu yang lama. Kegiatan ini dikenal sebagai Analisis Dampak Bisnis (BIA) Setting the Maximum Tolerable Downtime Untuk setiap proses kritis, tim perlu menentukan waktu terpanjang waktu proses dapat tersedia Angka ini dikenal sebagai Maximum Tolerable Downtime (MTD). Untuk mengukur MTD biasanya dalam jam atau hari. Setting recovery objectives

Page

Setelah Anda menetapkan MTD untuk setiap proses kritis, Anda perlu mengatur beberapa spesifik Tujuan pemulihan untuk setiap proses. Seperti Maximum Tolerable Downtime, tujuan pemulihan agak sewenang-wenang. Dua tujuan utama pemulihan yang biasanya ditetapkan dalamBIA adalah : o Recovery Time Objective (RTO) : Periode maksimum waktu bahwa proses bisnis tidak akan tersedia sebelum sistem kembali online o Recovery Point Objective (RPO) : Jumlah maksimum dari kehilangan data organisasi yang dapat ditolelir jika bencana terjadi Developing the risk analysis Likely disaster scenarios Sertakan baik bencana alam dan bencana buatan manusia. Janganterlalu rinci atau daftar sangat tidak mungkin skenario, seperti tsunami di Negara lain. Probability of occurrence Probabilitas setiap skenario sebenarnya terjad dengan menggunakan skala tinggi menengah atau rendah Vulnerabilities Identifikasi semua kerentanan yang wajar dalam setiap bisnis proses. Kerentanan kelemahan yang berkontribusi terhadap kemungkinan bahwa suatu peristiwa seperti banjir atau gempa bumi akan menghasilkan kerusakan Mitigating steps Untuk setiap daftar kerentanan dan menyebutkan langkah-langkah yang dapat di ambil untuk mengurangi kerentanan itu. Time for decisions: In or out Revise recovery objectives Melihat tujuan pemulihan dan sisi investasi diperkirakan berdampingan, manajer senior dapat membuat beberapa keputusan tentang jumlah yang wajar dari investasi untuk suatu proses. Combine recovery capabilities Menggabungkan investasi untuk meningkatkan waktu pemulihan untuk beberapa aplikasi, yang dapat mengurangi biaya. Misalnya, investasi dalam sistem penyimpanan tunggal besar biaya jauh lebih murah dari sistem penyimpanan yang terpisah. Sharpen those estimates Tim proyek dapat melakukan pekerjaan lebih rinci pada investasi yang dibutuhkan untuk memperbaiki waktu pemulihan untuk aplikasi dengan menyusun arsitektur aktual dan rencana dan kemudian mendapatkan aktual perkiraan untuk investasi.

Page

Make a multi-year investment in recovery Setelah mendapat perkiraan untuk meningkatkan pemulihan aplikasi, Anda cukup dapat merencanakan untuk investasi tahunan yang meningkatkan aplikasi yang paling penting pada tahun pertama dan kurang penting di tahun berikutnya. Do the most critical now and the rest later Tim ini dapat menarik garis pada grafik, penanganan proses jika di atas garis berarti itu sangat penting dalam proyek saat ini dan proses di bawah garis kurang penting untuk proyek masa depan. Developing recovery procedures Mapping in-scope processes to infrastructure Sebelum Anda dapat mulai mempersiapkan prosedur pemulihan yang sebenarnya untuk aplikasi, Anda perlu tahu persis aplikasi dan infrastruktur dasar mendukung prosesproses tersebut. Meskipun Anda mungkin melakukan beberapa pekerjaan yang saat Anda membuat perkiraan biaya untuk pemulihan.

5 Developing recovery plans

End users Proses bisnis yang paling tergantung pada karyawan harus dilakukan perbaikan terlebih dahulu. Facilities: Perbaikan fasilitas gedung dan semua tempat sarana yang di butuhkan oleh perusahaan. Systems and networks Perbaikan sistem perusahaan serta jaringan yang dibutuhkan untuk membuat sistem perusahaan kembali berjalan dengan normal. Data Setelah semua selesai di perbaiki langkah selanjutnya adalah mengembalikan semua data yang telah di backup agar kembali dapat di akses secara normal. Preventive measures Dalam konteks rencana pemulihan berkembang, Anda memiliki banyak kesempatan untuk meningkatkan aplikasi, sistem, jaringan, dan data untuk membuat lebih tahan terhadap bencana. Writing the plan 1. Disaster declaration procedure 2. Emergency contact lists and trees 3. Emergency leadership team members 4. Damage assessment procedures 5. System recovery and restart procedures 6. Transition to normal operations 7. Recovery team members

Page

Testing the plan o Paper tests Anggota staf review prosedur tertulis dijelaskan pada mereka sendiri o Walkthrough tests: Sekelompok ahli melakukan test sambil membahas isu-isu di sepanjang pengetesan o Simulations: Melakukan simulasi terjadinya bencana o Parallel testing Tim pemulihan membangun server pemulihan dan transaksi untuk uji melalui server tersebut untuk melihat apakah mereka benar-benar bisa di jalankan o Cutover testing Ujian akhir dari kesiapan. Tim pemulihan membangun server pemulihan dan menempatkan proses bisnis yang sebenarnya. Training response teams Taruhannya tinggi dalam perencanaan pemulihan bencana untuk kelangsungan hidup usahayang tidak dapat digunakan sistemnya dalam keseimbangan jika terjadi bencana. Secara berkala perusahaan harus melatih bencana mungkin terjadi kepada seluruh anggota tim .

Page

7 Developing recovery plan for facilities

7.1 Pemilihan fasilitas
1. Pemilihan lokasi fasilitas a. Jarang terjadi bencana alam b. Berada pada lingkungan yang aman/ komunitas kecil c. Lingkungan yang jauh dari bahaya tempat penyimpanan bahan-bahan berbahaya. 2. Pencegahan kebakaran a. Berdekatan lokasi dengan pemadam kebakaran setempat b. Menempatkan pemadam api otomatis pada lokasi. 3. Redundansi ( sistem AC, Ventilasi, Pemanas) 4. Redudansi listrik a. Menyediakan generator cadangan b. Menyediakan UPS 5. Keamanan Fasilitas Untuk keamanan fasilitas maka penting untuk mengontrol Akses fisik ke lokasi, memastikan siapa saja yang berhak masuk ke lokasi dengan melakukan : 1. Kamera keamanan 2. Kontrol akses masuk staff yang berkepentingan dengan cara : a. Kartu akses masuk b. Alat verifikasi keamanan biometric scanner (fingerprint, hand scan, retina scan, face scan) c. Kunci akses masuk menggunakan Pin-pad d. Menempatkan petugas keamanan di lokasi yang dijaga 3. Memperkuat fasilitas, dengan cara: a. Menghilangkan jendela-jendela b. Mengganti kaca jendela dengan bullet proof c. Menempatkan pagar di sekitar fasilitas

7.2 Developing recovery plan for System

Page

10

Dalam merencanakan sistem untuk Disaster recovery maka setup yang perlu dilakukan adalah merencanakan apa yang harus dilakukan bila lokasi kita : y Hot servers telah bekerja dalam membagi kerja dengan server yang aktif y y y y Hot standby servers disiapkan untuk mengambil alih pada waktu yang singkat Warm standby servers dapat diaktifkan dengan segera dengan sedikit persiapan Cold standby servers disiapkan untuk instalasi aplikasi dan data Beli servers ketika bencana datang, dan install aplikasi dan data ketika server datang.

7.3 Planning System and Network Recovery

y Redudansi alat Mereplikasikan alat jaringan untuk mencegah terjadinya single point of failure. y Redudansi Service Provider Memilih lebih dari 2 provider internet untuk menghindari terjadinya single point of failure. y Firewall Menjaga jaringan agar tidak dapat di susupi dari luar ataupun dari dalam perusahaan. y Separasi Network untuk tiap bagian Memastikan setiap bagian/ unit hanya dapat mengakses hanya yang diperlukan saja.

Page

11

8 Melindungi (Protect) dan Memulihkan (Recovery) Data Aplikasi

Memulihkan fungsi bisnis lebih dari hanya memulihkan database. Namun hal tersebut juga memerlukan pemulihan dari kemampuan untuk menggerakkan data masik dan keluar dari aplikasi yang mendukung fungsi bisnis. Berikut merupakan beberapa hal yang perlu diperhatikan dalam membangun rencana untuk melindungi dan memulihkan data aplikasi, yaitu : - Kecepatan meningkatkan biaya - Jarak meningkatkan biaya - Ukuran meningkatkan biaya - Kompleksitas meningkatkan biaya

8.1 Memilih bagaimana dan dimana menyimpan data untuk recovery

Hal pertama yang perlu dilakukan dalam proses ini adalah melakukan Business Impact Analysis (BIA) yang mencakup penilaian resiko dan penentuan Recovery Time Objectives (RTO) dan Recovery Point Objectives (RPO).Sebelum membuat perencanaan recovery data, perlu mengidentifikasi seluruh data yang berhubungan dengan masing-masing proses bisnis kritis yang sudah dilist dalam BIA.Analisis-Analisis tersebut perlu dilakukan untuk mengetahui data mana yang penting, dan dimana data penting tersebut tersimpan saat ini. Dengan mengetahui kedua hal tersebut , maka dapat dilakukan sebagai dasar dalam menentukan strategi untuk melindungi data dan menjadikan data dapat dipulihkan saat terjadi bencana. Karena ketika bencana tersebut terjadi, tempat penyimpanan data tersebut dapat saja rusak.

8.2 Melindungi data melalui backup

Tape backup telah menjadi faforit selama lebih dari 5 dekade untuk melindungi data dari kehilangan data ketika terjadi bencana. Banyak orang yang memilih menggunakan tape backup karena stabilitas jangka panjang dan biayanya yang murah. Selain tape media lain yang dapat digunakan adalah hard disk yang terhubung melalui RAID . Berikut merupakan tujuan dari backup, yaitu : o Penyimpanan jangka panjang o Pemulihan data o Pemulihan bencana Berikut merupakan beberapa jalan yang dapat dilakukan untuk menjadikan sistem penyimpanan menjadi lebih tangguh, yaitu : - RAID (Redudant Array of Independent Drives) RAID memungkinkan sistem penyimpanan dapat tetap beroperasi walaupun salah satu hard disk yang dikonfigurasikan dalam RAID mengalami kerusakan tanpa harus mematikan sistem.

Page

12

Redundant power supplies Banyak media penyimpanan yang memiliki supply power lebih dari satu, dimana memungkinkan kesinambungan operasi dari sistem penyimpanan walaupun salah satu dari power supply tersebut mati. Redundant server connection Banyak media penyimpanan memiliki lebih dari satu pengendali datun koneksi secara fisik ke server. Tujuan dari menggandakan koneksi ke server adalah agar kegiatan operasional dapat terus berjalan walaupun salah satu koneksi mati. Virtualization Virtualisasi storage memungkinkan efisiensi media memungkinkan organisasi untuk mengoptimalkan proses bisnis.

penyimpanan

dengan

8.3 Memutuskan dimana tempat untuk menyimpan data recovery

Terdapat beberapa faktor yang perlu dipertimbangkan dalam memutuskan tempat untuk menyimpan data recovery, yaitu : - Jarak lokasi bisnis Pastikan data recovery tersebut dekat dengan lokasi pemrosesan untuk waktu recovery yang lebih cepat. Bagaimanapun jika site terlalu dekat dengan site utama, site tersebut memiliki kemungkinan untuk terlibat dalam bencana regional, termasuk gempa bumi, dll. - Keamanan fisik Membuat ukuran untuk melindungi media dari akses yang tidak berhak paling tidak sama baiknya dengan keamanan fisik pada site utama. Jarak transportasi Jika media backup tersebut perlu untuk dikirim ke kota lain, maka pastikan lokasi media penyimpanan tersebut cukup dekat dengan pusat transportasi umum , sehingga media tersebut dapat dengan cepat dikirim ke pusat recovery. Pengamanan data saat dalam perjalanan Pastikan kendaraan transportasi untuk mengirim media backup tersebut aman saat dalam perjalanan menuju atau ke fasilitas penyimpanan. Layanan pihak ketiga mungkin termasuk keamanan transit media, atau mungkin perlu untuk mencari beberapapenyedia jasa layanan transportasi. Melindungi data dalam perjalanan Walaupun informasi bisnis yang tersimpan dalam sistem penting, jangan kehilangan data yang dikirim melalui koneksi jaringan ke atau dari organisasi lain. Karena saat

Page

13

pengiriman data kedalam dan keluar organisasi merupakan bagian fungsi bisnis yang kritis. Berikut merupakan beberapa cara yang dapat dilakukan untuk mengidentifikasi dan melindungi transmisi data , yaitu : o Menginventarisasi seluruh titik transfer data o Menginventarisasi kunci enkripsi o Mengidentifikasi aturan firewall yang terkait

8.4 Melindungi (Protecting) dan memulihkan (Recovering) aplikasi

Aplikasi memungkinkan karyawan, pelanggan, dan supplier untuk mengendalikan produksi dan pengiriman dari barang atau jasa yang disediakan perusahaan. Tanpa aplikasi data bisnis tersebut tidak dapat dipindahkan atau dilihat. Aplikasi menjadikan data hidup dan memiliki arti. Dari sudut pandang tersebut, aplikasi merupakan bentuk lain dari data bisnis. Berikut merupakan beberapa hal yang perlu diperhatikan saat membangun DRP untuk aplikasi, diantaranya : - Versi aplikasi Setiap aplikasi memiliki catatan mengenai versinya. Banyak organisasi melupakan versi terbaru dari aplikasi, khususnya dalam lingkungan yang lebih besar dan kompleks, termasuk ERP, CRM, MRP II, dan finance. Hal yang perlu diperhatikan dalam membuat DRP adalah menentukan langkah yang perlu dilakukan untuk memulihkan versi terbaru dari masing-masing aplikasi yang kritis. Patch dan fixes Konfigurasi aplikasi Perlu lebih dari melakukan clone terhadap seluruh perubahan konfigurasi dari sistem kedalam sistem pemulihan. Namun sistem pemulihan mungkin memerlukan pengaturan konfigurasi yang berbeda agar aolikasi dapat beroperasi dalam mode pemulihan. Sehingga perlu memahami makna dari pengaturan konfigurasi untuk memastikan bahwa aplikasi tersebut dapat dioperasikan dalam pengaturan pemulihan. Dimana kondisi bisnis dan lingkungan teknis mungkin berbeda dari bisnis harian dalam kondisi normal. User dan perannya DRP perlu untuk membuat beberapa keputussan strategis mengenai bagaimana user akan diautenthikasi kedalam aplikasi dalam lingkungan pemulihan. Jika metode authentikasi yang digunakan berbeda, seluruh pengguna yang akan menggunakan aplikasi dalam kondisi pemulihan perlu untuk mengetahui bagaimana mereka dapat masuk kedalam aplikasi. Interface Beberapa dari konfigurasi interface atau detail operasi mungkin mengandung informasi yang spesifik, termasik IP address, User ID atau password. Perlu dilakukan

Page

14

beberapa perubahan dari setting tersebut sehinga interface tersebut dapat berjalan dalam lingkungan pemulihan. Kustomisasi Perusahaan mungkin memodifikasi kode aplikasi untuk membuat aplikasi bekerja sesuai dengan keinginan perusahaan. Dalam membangun DRP sebaiknya mengasumsikan aplikasi tersebut tidak dapat berjalan jika seluruh kustomisasi tersebut belum diterapkan. Ketergantungan aplikasi terhadap OS dan database, dll Sistem client Aplikasi dan jaringan Aplikasi berkomunikasi melalui jaringan dengan aplikasi lain, sistem client, dan layanan berbasis jaringan untuk tujuan yang beraneka ragam, termasuk authentikasi. Dalam banyak kasus aplikasi tergantung pada jaringan untuk dapat berfungsi. Beberapa cara aplikasi bergantung pada jaringan, diantaranya DNS, Hard coded IP Address, Hard coded network resource names , layanan authentikasi, konfigurasi jaringan. Aplikasi dan Manajemen perubahan Banyak organisasi menggunakan proses manajemen perubahan untuk mengendalikan perubahan yang dibuat pada sistem mereka. Keuntungan utama dari DRP adalah dapat merekam perubahan proses manajemen secara formal. Rekaman tersebut dapat membantu tim pemulihan untuk membangun lingkungan pemulihan. Tim tersebut dapat melihat perubahan terakhir yang pernah dilakukan. Aplikasi dan konfigurasi manajemen Banyak organisasi menggunakan manajemen konfigurasi untuk melacak seluruh perubahan yang dilakukan pada lingkungan mereka. Untuk itu perusahaan dapat menggunakan sistem manajemen konfigurasi untuk melacak seluruh perubahan dalam seluruh lapisan termasuk perubahan hardware, memungkinkan organisasi untuk mengetahui secara detail mengenai apa yang terjadi dalam sistem.

Page

15

9 Menulis DRP
Sebelum menulis perencanaan Disaster Recovery , tim perlu sependapat mengenai makna dari Disaster Recovery . Yang dapat digambarkan sebagai berikut : DRP merupakan kumpulan dari dokumen yang menjelaskan pasca tanggap darurat bencana, penilaian kerusakan, dan restart sistem untuk menjaga agar proses bisnis kritis dapat segera berjalan pasca bencana. DRP juga mencakup beberapa elemen kunci yang dapat digunakan sebagai langkah awal penanggulanan sistem dan proses yang kritis bagi bisnis sesaat setelah bencana terjadi. Banyak organisasi memasukkan elemen-elemen berikut dalam DRP mereka, diantaranya : - Prosedur deklarasi bencana Prosedur ini menentukan dimulainya recovery plan yang dibuat dalam DRP. Berikut merupakan beberapa cara mengenai bagaimana untuk mendeklarasikan bencana, yaitu : o Deklarasi berdasarkan konsensus Saat bencana terjadi, anggota tim inti saling menghubungi baik itu melalui panggilan conference maupun secara face to face. Saat 2 atau lebih anggota tim inti setuju bahwa organisasi harus memulai DRP, mereka mengambil keputusan. Keputusan tersebut memicu pelaksanaan DRP. o Deklarasi berdasarkan kriteria Saat bencana terjadi, satu atau lebih dari anggota tim inti membaca checklist singkat, yang mungkin berisi beberapa pertanyaan Ya atau Tidak. Jika beberapa jawaban pertanyaan tersebut adalah Ya, maka tim mendeklarasikan bencana yang memicu pelaksanaan DRP. List Kontak darurat Setelah mendeklarasikan status bencana, langkah berikutnya adalah mulai mengingatkan personel yang bertanggung jawab dalam pelaksanaan DRP. Tim inti DRP yang berpartisipasi dalam deklarasi bencana melakukan notifikasi kepada pihak-pihak terkait yang terdapat dalam list kontak darurat. Pemilihan kepemimpinan darurat Saat bencana terjadi , perlu dillakukan pemilihan kepemimpinan dari seluruh anggota tim inti DRP. Pada saat bencana terjadi mungkin terdapat beberapa anggota tim IT yang tidak aktif. Oleh karena hal tersebut perlu dilakukan pemilihan kepemimpinan pada saat bencana terjadi. Pemilihan tersebut dilakukan antar anggota tim TI yang aktif pada saat bencana terjadi. Prosedur penilaian kerusakan DRP perlu untuk mencakup prosedur untuk menilai kerusakan terhadap perlengkapan dan fasilitas. Tujuan dalam penilaian kerusakan adalah untuk mengidentifikasi kondisi sistem TI dan fasilitas pendukung yang dapat digunakan. Prosedur penilaian pada

Page

16

dasarnya hanya berupa checklist. Anggota tim perlu memeriksa list tersebut berjalan atau tidak. Jika tidak maka tim DRP perlu untuk memindahkan sistem pada lokasi alternatif, kecuali item tersebut dapat segera diperbaiki pada lokasi asal. Pemulihan sistem dan prosedur restart Setelah melakukan deklarasi bencana dan prosedur penilaian, perlu dibuat petunjuk untuk pemulihan dan merestart sistem TI yang vita. Prosedur tersebut digunakan untuk memulihkan dan merestart sistem TI yang mendukun proses bisnis yang penting sesegera mungkin. Prosedur untuk transisi ke operasi normal Setelah bencana terjadi dan tim DRP memulihkan sistem TI yang penting pada pusat pemrosesan sementara \ alternatif, aktivitas pemulihan merestore aplikasi pada kondisi awal. Saat memulihkan pusat pemrosesan pada lingkungan normal, tim DRP perlu untuk menstabilkan ulang sistem TI dan mematikan sistem pada site alternatif. Waktu pengembalian ke kondisi awal bergantuk pada banyak faktor, termasuk : o Stabilitas aplikasi o Beban kerja bisnis o Ketersediaan staff o Biaya o Kesiapan fungsional

Gambar : Prosedur dan langkah dari kondisi normal ke recovery ke normal.

Page

17

Pemilihan tim pemulihan Pemilihan tim inti dilakukan untuk menentukan tanggung jawab terhadap tugastugas yang berhubungan dengan komunikasi, penilaian, recovery sistem, dan peralihan ke operasi normal. Bergantung pada jenis bencana, banyak staff tidak tersedia karena berbagai macam alasan, termasuk : o Mengutamakan keluarga dan rumah

o o o o

Masalah Transportasi Komunikasi yang terganggu Evakuasi Terluka, sakit, dan kematian

Page

18

10 References
IT Disaster Recovery Planning For Dummies. 2007. Peter Gregory, CISA, CISSP. Wiley Publishing. Disaster Recovery Strategies with Tivoli Storage Management. 2002. Charlotte Brooks, dkk.IBM. http://www.approach.be/security-disaster-recovery-plan-and-business-continuity.html http://www.itproductivity.org/disaster-recovery-planning.htm

Page

19