Business Continuity Plan

Sesi 36
DigiTalent Scholarship 2018
Disaster Recovery
• Sebuah komponen yang focus untuk memperbaiki asset
setelah bencana
– Memastikan IT environment kembali bekerja pada level
seharusnya
– Salah satu tahap adalah memastikan business continuity
Business Continuity
• Sekumpulan proses yang yang membuat organisasi mampu
bekerja seperti biasa meskipun setelah kejadian buruk
• Hal yang dapat mengganggu business continuity:
– Kebencian
– Kecerobohan
– Kelalaian
Efek Gangguan

Kehilangan atau bocornya data

Kerusakan property

Rusaknya komunikasi

Merugikan personil
Business Continuity Plan
• Business Continuity Plan adalah perencanaan bagaimana
suatu organisasi bertahan dalam menghadapi bencana.
• Ancaman dalam suatu teknologi informasi dan komunikasi
yang menyebabkan kerentanan sistem, antara lain:
Business Continuity Plan (lanjut)

Ancaman
terhadap
Fasilitas
Fisik

Ancaman Ancaman
terhadap terhadap
Perangkat Data
Lunak Elektronik
Business Continuity Plan

Business Continuity Plan berlangsung bersamaan dengan disaster recovery plan ketika terjadi
kerusakan besar/berkelanjutan

Business continuity plan merupakan sebuah dokumen perencanaan yang memaparkan berbagai
prosedur yang harus dilakukan saat terjadi bencana guna memastikan bahwa fungsi bisnis yang
penting dapat tetap berjalan

Business continuity plan ditangani oleh pimpinan organisasi (perencanaan yang sangat strategis)

Business continuity plan  rencana agar fungsi bisnis dapat tetap berjalan. Business continuity plan
akan membangun dan menjalankan kembali fungsi bisnis yang kritikal di lokasi alternatif, sementara
tim disaster recovery plan fokus membangun kembali infrastruktur dan fungsi bisnis di lokasi utama.
Tujuan Implementasi BCP

Perencanaan
Mereduksi risiko kerugian keberlangsungan bisnis
keuangan dan meningkatkan dapat membantu
Meminimalisir efek dari
kemampuan organisasi meminimalisir biaya dan
kejadian atau bencana
untuk memulihkan diri mengurangi risiko
sesegera mungkin sehubungan dengan kejadian
bencana
 Informasi Kritis Organisasi
LAN,
BCP perlu WAN,
dan
memperhatikan semua Proses server
area proses informasi produksi Hubungan
dan staf-staf telekomunikasi
kritis dari organisasi, yang dan
komunikasi
bekerja
seperti: Area data
Proses
Informasi
Media dan Kritis
tempat Lokasi
penyimpana
n dan
rekaman/dat ruang
a Aplikasi, kerja
software
, dan
data
Prinsip Utama BCP

“People First”
Langkah BCP
Membentuk tim business continuity

Membuat kebijakan perencanaan business continuity

Melakukan kajian terhadap hasil analisis dampak bisnis

Mengidentifikasi kontrol pencegahan

Membuat strategi pemindahan

Anggota Tim
• Sistem manager
• Admin system
• Admin keamanan
• Pakar komunikasi
• HR staf
• Perwakilan hukum
 Business Continuity Planning Policy Statement
Rancangan business continuity menyediakan perencanaan dan
Tujuan koordinasi yang diperlukan untuk memfasilitasi pemindahan fungsi
bisnis penting.
Bagian ini mengidentifikasi unit dalam organisasi dan kelompok
Lingkup
karyawan dimana kebijakan diberlakukan.
Peran dan Bagian ini mengidentifikasi peran dan tanggung jawab dari pihak utama
Tanggung Jawab yang berperan dalam pelaksanaan business continuity.
Kebutuhan Organisasi dapat mengalokasikan sumber daya tertentu dalam
Sumber Daya pembuatan rencana business continuity.
Bagian ini menentukan pelatihan yang dibutuhkan untuk berbagai
Kebutuhan Pelatihan
kelompok karyawan.
Bagian ini menetapkan banyaknya pengujian terhadap rencana business
Jadwal Latihan dan
continuity dan dapat juga mencakup pelatihan sekaligus pengujian
Pengujian beserta pihak yang dilibatkan.
Jadwal Pemeliharaan Bagian ini menentukan prosedur dan banyaknya kajian yang dilakukan
Rencana serta mengidentifikasi siapa yang melakukan kajian tersebut.
Dalam situasi yang ekstrim, perencanaan disaster recovery dan
perencanaan business continuity saling tumpang tindih.
Perlakuan Khusus Bagian ini memberikan gambaran tentang rencana penyimpanan dan
pengambilan informasi organisasi.
Strategi BCP (Ramesh, 2002)
Prevention (Pencegahan)

Mengurangi
Response (Respon/Tanggapan),
kemungkinan
terjadinya Reaksi ketika
Resumption (Kelanjutan)
gangguan/ gangguan/
bencana bencana terjadi Strategi Recovery (Pemulihan)
untuk kontinuitas/keber Restoration
meminimalisir lanjutan pada Mengaktifkan
lokasi alternatif
(Restorasi)
kerusakan, kembali proses
menilai tingkat untuk proses bisnis lainnya Memperbaiki dan
kerusakan, dan bisnis organisasi (selain proses mengembalikan
mengindikasi yang kritikal, bisnis seluruh proses
jangka waktu strategi ini penting/kritikal), bisnis organisasi
pemulihan dilakukan segera baik di lokasi ke lokasi utama
kerusakan setelah alternatif
gangguan/ maupun di lokasi
bencana terjadi utama, dilakukan
setelah proses
bisnis penting
telah aktif di
lokasi alternatif
 Antisipasi BCP

Jangka
Pendek

Fasilitas TI alternatif Jangka

Panjang

Fasilitas TI permanen
Strategi BCP
Duplikasi Proses Bisnis Fasilitas Bersama

• Hot sites • Time-shares

• Warm sites • Service bureaus
• Cold sites • Mutual agreements
• Specialized Alternatives
Pada umumnya, faktor yang menentukan
pemilihan strategi yang digunakan adalah biaya.
(Whitman dan Herbert, 2012)
 Karakteristik Lokasi/Situs Alternatif
Communicatio
Site Cost Hardware Setup time Location
ns

Cold site Low None None Long Fixed

Warm site Medium Partial Partial/Full Medium Fixed

Medium/
Hot site Full Full Short Fixed
High

Dependen
Mobile site High Dependent Dependent Not Fixed
t

Mirror site High Full Full None Fixed

Migrsi Data
Terdapat sejumlah cara untuk memindahkan data ke sistem
pada lokasi yang baru:
• Backup tradisional
• Electronic vaulting
• Remote journaling
• Database shadowing
Business Continuity Management (BCM)
• Business continuity management (BCM)  pengembangan strategi,
rencana dan tindakan yang memberikan perlindungan atau mode
alternatif operasi untuk kegiatan atau proses bisnis yang jika
terganggu, mungkin dapat mengakibatkan kerusakan serius atau
berpotensi menyebabkan kerugian yang signifikan untuk organisasi.
• Tujuan BCM  menangkal gangguan terhadap aktivitas bisnis dan
melindungi proses bisnis yang kritis dari efek kegagalan utama sistem
informasi atau bencana serta untuk memastikan pemulihan
keberlangsungan operasional bisnis tepat pada waktunya.
• BCM menyuguhkan model perencanaan berkaitan dengan
perlindungan terhadap proses bisnis organisasi. Kontrol ini
memberikan arahan dalam pemulihan proses bisnis.
Tiga Elemen Inti BCM

Business
resumption
planning atau
perencanaan
pemulihan
bisnis

Crisis management and

communications
Siklus BCM Menurut BS 25999-1

*BS 25999-1 was British Standards Institute in the field of Business Continuity Management
IT contingency plan
• Sebuah komponen BCP yang menspesifikasikan prosedur
alternative IT untuk diubah jika terjadi bencana
• Kemungkinan yang dapat dilakukan sementara
– Gunakan site alternative
– Gunakan peralatan atau system alternative
– Memindahkan system utama
Aspek Efektif

Personil kunci
Lakukan pelatihan
memahami kapan dan
Review rencana terhadap pekerja dan
bagaimana rencana
management
seharusnya dimulai
Rencana suksesi
• Sebuah rencana yang memastikkan personil kunci memiliki
satu atau lebih cadangan yang dapat melakukan fungsi
kritis jika dibutuhkan
• Identifikasi
– Individual kunci digunakan untuk pengganti
– Orang yang mereka gantikan
– Fungsi apakah yang dapat mereka lakukan
– Bagaimana mereka harus dilatih
Failover
• Sebuah renacan yang memastikan
asset redundan yang dapat
mematikan asset dapat
mengambil alih asset yang gagal
dengan cepat dan efisien
• Penting untuk diikutkan dalam Primary
Primary

BCP untuk meminimalisasi

impact dan lingkup bencana
– Pastikan asset utama dan redundan Redundant
Redundant
– Petakan asset
– Persingkat proses perbaikan
Cara Melatih Pembuatan BCP
Tipe Latihan
Walkthroughs, workshops, dan seminar
Tabletop exercises
Functional exercises
Full-scale exercises
Deskripsi
• Menyediakan kesadaran dan pelatihan untuk personil
• Mendeskripsikan isi dari BCP dan rencana lain
• Mendeskripsikan peran dan tanggung jawab dalam rencana tersebut
• Anggota tim berdiskusi tentang peran mereka ketika terjadi keadaan darurat
• Anggota tim berdiksui tentang respon mereka terjadap suatu kejadian
• Sesi berbasis aksi dimana personil memvalidasi rencana
• Personol secara aktif merespon dari scenario yang disimulasikan
• Sesi berbasis aksi yang merefleksikan sistuasi sesungguhnya
• Dilakukan di onsite dan menggunakan personil sungguhan
• Banyak digunakan oleh Lembaga public
Laporan Setelah Aksi
• Sebuah analisis dari event yang dapat memberikan
gambaran untuk meningkatkan proses respon dikemudian
hari
• Perhatikan
– Laporkan secara sesungguhnya apa yang terjadi dan respon yang
diberikan
– Identifikasi apakah organisasi mengikuti BCP
– Identifikasi apakah BCP memadai
– Mempelajari dari keberhasilan dan kegagalan sehingga dapat
meningkatkan proses dan memperbaiki rencana
Detail
• Apa yang terjadi?
• Apa yang dilakukan oleh organisasi
• Apakah anda mengikuti BCP
• Elemen apa yang gagal diimplementasikan
• Apakah elemen tersebut relevan
• Apakah BCP dapat memenuhi situasi tersebut
• Apakah ada gap dalam BCP
• Apakah tim melakukan tugasnya dengan baik
• Apakah ada latihan tambahan yang dibutuhkan
• Apakah pada situasi yang sama, anda dapat melakukan hal yang berbeda
• Apakah anda perlu mengubah BCP
Guideline Pembuatan BCP
• Pastikan BCP komorehensif
• Kembangkan tambahan disaster response plan (DRP) untuk
mengembalikan operasi IT
• Pastikan DRP termasuk prosedur cadangan dan informasi kritis lainnya
• Buat draft rencana untuk memastikan kelanjutan dari prosedur IT
• Pastikan personil IT terlatih untuk rencana ini
• Buat draft rencana cadangan untuk mengembalikan kesalahan yang ada
• Buar draft rencana suksesi untuk menggantkan personil kunci
Guideline Pembuatan BCP (lanjut)
• Gabungkan Teknik tailover di BCP
• Inventarisasi asset utama dan redundan kemudian petakan satu
sama lain
• Menggabungkan alternative bisnis praktis kedalam BCP
• Lakukan latihan
• Draft AAR untuk belajar dari keberhasilan dan kesalahan
• Ajukan pertanyaan kunci untuk mengidentifikasi area perbaikan
• Ubah BCP sesuai kebutuhan