MANAJEMEN DAN TATA KELOLA

TEKNOLOGI INFORMASI
Disaster Recovery Plan

Disusun Oleh :
Evelina Putri Widiasih (72140002)
Charoline Septa Ayu (72140007)
Ernanda Rully Novrisanti (72140008)
Azhalia Amesa (72140033)
Lorensia Dwi Mawarti (72140045)

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS TEKNOLOGI INFORMASI
UNIVERSITAS KRISTEN DUTA WACANA
YOGYAKARTA
2016

A. Ancaman
Dalam menjalankan suatu strategi perusahaan, pasti akan mengalami berbagai
ancaman Beberapa ancaman yang mungkin terjadi dalam perusahaan adalah :
1. Bencana alam atau lingkungan
Contoh : Gempa bumi, tsunami, angin topan, kebakaran.
Efek bagi perusahaan : Proses bisnis menjadi terganggu, fasilitas perusahaan
menjadi rusak, dan dokumen penting juga menjadi hilang / rusak.
Solusi : Lokasi tempat usaha dan lingkungan setempat perlu dinilai untuk
menentukan ancaman eksternal yang tepat.
2. Kesalahan teknis
Contoh : gangguan terhadap layanan, seperti internet dan listri; kegagalan
system dan hardware, penyerangan system oleh hacker dan virus
Efek bagi perusahaan : Keamanan data perusahaan menjadi kurang terjamin
Solusi : melakukan maintenance secara rutin dan mempunyai divisi untuk
menangani keamanan TI (IT Security). Memiliki SOP yang mengatur mengenai
hal hal teknis.
3. Ancaman dari manusia
Contoh : Sabotase, pencurian, kehilangan dokumen
Efek bagi perusahaan : Dapat mencemarkan nama baik perusahaan dan
mengganggu proses bisnis perusahaan.
Solusi : Mempunyai IT Risk Assessment untuk menentukan tingkat
perlindungan pada ancaman.
B. Disaster Recovery Planning
Disaster Recovery Planning adalah proses mengenali kemungkinan situasi
dan mengelola kegiatan yang diperlukan sehingga menemukan solusi, bukan
masalah. Disaster Recovery Planning merupakan bagian dari Business Continuity
Planning. Tujuan dari DRP adalah untuk memastikan bahwa perusahaan /
organisasi dapat merespon bencana atau darurat lainnya yang mempengaruhi sistem
informasi dan meminimalkan efek pada operasi bisnis.
C. Proses Disaster Recovery Planning
1. Risk assessment
Proses identifikasi ancaman - ancaman yang mungkin terjadi, baik yang berasal
dari dalam, maupun dari luar. Risk Assessment berperan penting untuk
keberlangsungan pembangunan keseluruhan Disaster Recovery Planning

karena dapat dianggap sebagai landasan awal yang akan mempengaruhi

tahapan-tahapan selanjutnya. Proses Risk Assessment yaitu setiap ancaman /
bencana yang sudah diidentifikasi diberi nilai di setiap atributnya. Terdapat 2
pendekatan dalam nilai atribut yaitu :

kuantitatif menggunakan data finansial dan lebih sulit mengukur nilai

intangible yang ada

kualitatif menggunakan intuisi dan pengalaman pada resiko, namun sulit

untuk menggambarkan presisi finansial antara sistem dengan resiko

2. Priority assessment
Priority Assessment untuk proses biasanya sangat relatif terhadap waktu dan
tempat terjadinya suatu bencana. Karena penentuan prioritas pada tahap ini
sangat krusial dan berkaitan dengan eksekusi Disaster Recovery Plan di
lapangan nantinya bila terjadi bencana, tahapan ini harus dilakukan dengan hatihati dan melalui berbagai macam pertimbangan yang matang.
3. Recovery strategy selection
Strategi pemulihan yang baik harus memenuhi beberapa kriteria, yaitu:

Strategi pemulihan harus memenuhi key requirement yang sudah

didefinisikan di tahap sebelumnya.

Strategi pemulihan harus cost effective berbanding dengan risiko dan

prioritasnya.

Strategi pemulihan harus dapat diterapkan dengan kondisi yang terdapat

sekarang dan memungkinkan untuk ditingkatkan jika teknologi atau bisnis
yang terkait berkembang di masa depan.
Inti dari strategi pemulihan adalah menyiapkan sistem dan data cadangan
sehingga proses yang terganggu dapat berjalan kembali.

4. Plan documenting
Disaster Recovery Plan harus didokumentasikan dengan terstruktur sehingga
mudah dipahami saat dibutuhkan. Hal ini bertujuan untuk memudahkan
pencarian data yang hilang / rusak apabila terjadi suatu bencana.
D. IT Risk Assesment dan Risk Mitigation Analysis
IT Risk Assesment
IT Risk Assesment adalah metode yang sistematis untuk menentukan apakah
suatu organisasi khususnya pada bidang IT, memiliki resiko yang dapat diterima
atau tidak.
Cara melakukan IT Risk Assesment:

Menentukan Ruang Lingkup dan Metodologi Penilaian

Langkah pertama dalam melakukan risk assessment adalah mengidentifikasi

sistem yang sedang dipertimbangkan, bagian sistem yang akan di analisis, dan
metode analisis yang akan digunakan.
Assessment dapat difokuskan pada area tertentu baik yang tingkat risikonya
tidak diketahui maupun yang tingkat risikonya tinggi. Mendefinisikan ruang
lingkup dan batasan dapat membantu peghematan biaya.

Mengumpulkan dan Menganalisis Data

o Melakukan pemeriksaan yang mencakup pengumpulan data tentang daerah
yang terancam dan mensintesis serta menganalisis informasi agar berguna.
o Melakukan penyaringan untuk menghindari adanya kemungkinan
pengumpulan informasi yang banyak namun hanya sedikit yang dapat di
analisis.
o Sebuah upaya manajemen risiko harus fokus pada bidang-bidang yang
menghasilkan konsekuensi terbesar bagi organisasi. Hal ini dapat dilakukan
oleh ancaman dan aset.
o Sebuah metodologi manajemen risiko tidak selalu perlu menganalisis
komponen risiko secara terpisah. Misalnya, aset dan konsekuensi atau
ancaman dan likelihoods dapat di analisa bersama-sama.

Penilaian Aset (Asset Valuation)

Yang termasuk dalam penilaian aset yaitu informasi, software, personl,
hardware, dan aset fisik. Nilai aset terdiri dari nilai intrinsik, dampak jangka
pendek, dan konsekuensi jangka panjang dari kompromi tersebut.

Penilaian Konsekuensi (Consequence Assessment)

Penilaian konsekuensi memperkirakan tingkat kesukaran atau kerugian yang

bisa terjadi. Konsekuensi mengacu pada bahaya secara keseluruhan bukan hanya
untuk jangka pendek atau dampak langsung. Sementara damapk seperti itu sering
mengakibatkan pengungkapan, modifikasi, perusakan atau penolakan layanan.
Konsekuensi jangka panjang memiliki efek yang lebih signifikan seperti hilangnya
bisnis, kegagalan untuk melakukan misi sistem, hilangnya reputasi, pelanggaran
privasi, cedera, atau korban jiwa. Semakin parah konsekuensi dari ancaman,
semakin besar risiko sistem.

Identifikasi Ancaman (Threat Identification)

Ancaman adalah suatu entitas atau peristiwa yang berpotensi membahayakan
sistem. Yang termasuk dalam ancaman tipikal adalah kesalahan, penipuan,
karyawan yang tidak puas, kebakaran, kerusakan air, hacker, dan virus. Ancaman
harus diidentifikasi dan dianalisis untuk menentukan kemungkinan terjadinya

ancaman tipikal dan potensinya untuk merusak aset. Analisis risiko harus
berkonsentrasi pada ancaman-ancaman yang paling mungkin terjadi dan yang bisa
mempengaruhi aset penting.

Analisis Perlindungan (Safeguard Analysis)

Perlindungan adalah setiap tindakan, perangkat, prosedur, teknik atau ukuran
lain yang mengurang kerentanan sistem dari ancaman. Analisis perlindungan harus
mencakup pemeriksaan dari efektifitas kebijakan keamanan yang ada. Hal ini juga
dapat mengidentifikasi perlindungan baru yang diterapkan dalm sistem, namun
biasanya dilakukan belakangan dalam proses manajemen risiko.

Analisis Kerentanan (Vulnerability Analysis)

Kerentanan adalah kondisi tidak adanya prosedur keamanan, kontrol teknik,
kontrol fisik, atau kontrol lain yang dapat dieksploitasi oleh ancaman. Kerentanan
sering di analisis dalam hal hilangnya pengamanan. Kerentanan berkontribusi
mengambil risiko karena memungkinkan ancaman untuk membahayakan sistem.

Penilaian Kemungkinan (Likelihood Assessment)

Kemungkinan adalah perkiraan frekuensi atau kesempatan terjadinya ancaman.
Sebuah penilaian mungkin mempertimbangkan keberadaan, keuletan, dan kekuatan
dari ancaman serta efektifitas perlindungan. Secara umum, banyak informasi
tentang ancaman lemah, terutama yang berkaitan dengan ancaman manusia.
Dengan demikian, pengalaman di bidang ini sangat penting. Semakin besar
kemungkinan ancaman terjadi, semakin besar pula risikonya.

Menafsirkan Hasil Analisis Risiko

Penilaian risiko digunakan untuk mendukung dua fungsi terkait yaitu
penerimaan risiko dan pemilihan biaya kontrol yang hemat. Untuk mencapai
fungsi-fungsi tersebut, penilaian risiko harus menghasilkan output yang berarti,
yang mencerminkan apa yang benar-benar penting bagi organisasi.

Analisis Mitigasi Resiko (Risk Mitigation Analysis)

1. Melakukan identifikasi resiko dengan mengajukan pertanyaan:

Apa yang akan terjadi?

Dimana akan terjadi?

Kapan akan terjadi?

Mengapa akan terjadi?

Bagaimana bisa terjadi?

Langkah

ini

dilakukan

utnuk

mengelola

risiko.

Untuk

mengidentifikasi risiko tersebut dibawah kendali perusahaan atau tidak.

Dengan begitu dapat meningkatkan kewaspadaan, mengurangi tingkat

hadirnya resiko. Cara mengidentifikasi dapat berupa check list, pengalaman,
catatan, analisis sistem, flow chart, dll.
2. Analisa risiko
Hal ini berhubungan dengan pemahaman dan bagaimana mengembangkan
risiko.

Analisis

risiko

ini

dibuat

dengan

memperhatikan

dan

mempertimbangkan sumber risiko, serta kemungkinan akibat tersebut dapat

terjadi. Faktor yang mempengaruhi kemungkinan risiko dan akibat dari
risiko tentunya harus di identifikasi. Risiko ini dianalisa dengan cara
mengkombinasikan akibat dan kemungkinan.
3. Evaluasi risiko
Membuat keputusan yang diambil atau berdasarkan pada hasil dari analisa
risiko mengenai penting dan perlunya prioritas serta perlakuan yang akan
diberikan pada risiko. Dalam beberapa hal, evaluasi risiko yang dipakai
untuk analisa jauh lebih mendalam
4. Perlakuan terhadap risiko
Meliputi dengan mengidentifikasi opsi-opsi untuk memperlakukan risiko
lalu untuk menilai opsi tersebut, serta persiapan dan implemenasi rencana
perlakuan yang akan diberikan. Contoh opsi opsi tersebut adalah:

Hindari risiko dengan tidak memulai atau menghentikan aktivitas

yang bisa memunculkan risiko

Mengurangi peluang terjadinya risiko

Mengurangi akibat

Memungkinkan memindahkan risiko ke pihak lain (transfer risiko)

Menahan risiko

5. Pemantauan dan Pengendalian perlakuan risiko

Untuk memonitor jalannya setiap proses manajemen risiko dan apakah
proses tersebut efektif. Mengecek kembali proses yang sudah dan sedang
berjalan, karena hal tersebut sangat penting agar rencana manajemen tetap
relevan dan terjamin
6. Komunikasi dan Konsultasi
Hal yang penting dalam setiap langkah pada proses manajemen risiko, hal
ini melibatkan stakeholder dan para pengambil keputusan. Para stakeholder
dan pengambil keputusan ini mungkin akan berpendapat tentang risiko

berdasarkan persepsi yang ditangkap dan mungkin akan berbeda-beda

seiring dengan kebutuhan
E. Pihak yang Terlibat dalam Disaster Recovery Planning
1. Manajemen Team Leader
Mengkoordinir strategi pemulihan bencana, meyakinkan bahwa seluruh
karyawan sadar atas kebijakan pemulihan bencana dan tanggung jawab mereka
untuk melindungi informasi perusahaan. Tugas-tugasnya antara lain:

Memimpin pemulihan dan penyelamatan dari bencana

Mengumumkan rencana pemulihan dan penyelamatan bencana.

Menunjuk Koordinator pemulihan bencana.

Menunjuk Koordinator penyelamatan bencana

2. Koordinator Pemulihan Bencana

Mengkoordinir pemulihan bencana, mengarahkan implementasi dan uji coba
rencana. Tugas-tugasnya antara lain:

Mengkoordinasikan seluruh aktifitas karyawan terhadap pemulihan

bencana. Menyelenggarakan program kesadaran pemulihan bencana ke
Departemen IT dan departemen terkait.

Bertanggung jawab untuk menjaga inventori aset IT yang terkini.

Mengelola pengetesan dan laporan hasil tes.

Mengupayakan pemulihan fungsi bisnis utama saat terjadi bencana

3. Koordinator Penyelamatan Bencana

Mengkoordinir penyelamatan bencana, mengarahkan implementasi dan uji
coba rencana. Tugas-tugasnya antara lain :

Mengkoordinasikan seluruh karyawan terhadap penyelamatan diri dari

bencana.

Menyelenggarakan program kesadaran penyelamatan dar bencana ke

Departemen IT dan departemen terkait.

Bertanggung jawab untuk menjaga inventori aset IT yang terkini.

Mengelola pengetesam dan laporan hasil tes

Mengupayakan pengurangan dampak bencana terhadap keselamatan

manusia, fasilitas

4. Emergency Action Team

Bertugas untuk menyelamatkan jiwa ketika bencana / ancaman datang.

5. Damage Assistant Team

Bertugas untuk melakukan kalkulasi terhadap dampak yang ditimbulkan
bencana dan memperkirakan waktu untuk kembali normal.
6. Reocation Team
Bertugas mengembalikan fasilitas dari lokasi cadangan atau recovery ke lokasi
baru yang permanen atau lokasi awal setelah kondisi pulih
7. Off site storage team
Betugas untuk melakukan packing dan shipping media dan records ke off site
faculity
8. Software team
Bertugas merestore sistem operasi setelah bencana / ancaman datang.
9. Applications team
Bertugas di recovery site unttuk menginstal kembali aplikasi komputer
10. Salvage team
Bertugas menganalisa dampak bencana lebih dalam, menentukan apakah akan
melakukan relokasi atau perbaikan, dan mengisi form asuransi.
F. Manfaat Disaster Recovery Planning
Beberapa manfaat Disaster Recovery Planning antara lain:

Meminimalkan kerugian ekonomi yang potensial

Mengurangi kemungkinan gangguan pada operaso

Memastikan stabilitas organisasi

Melindungi asset organisasi

Memastikan keamanan

Meminimalkan pengambilan keputusan pada saat bencana terjadi

Jika dikaitkan dengan kasus pertamina EP, adanya Disaster Recovery Plan
menjadikan perusahaan akan lebih siap dan sigap untuk mengatasi atau
merecovery saat terjadinya bencana. Pembuatan dokumen dan pedoman dalam
proses DRP akan menjadikan perusahaan lebih siap dalam menghadapi
bencana-bencana yang mungkin terjadi, sehingga keberlangsungan bisnis
perusahaan tetap ada