MATERI 7

Kelangsungan Bisnis/Bencana Perencanaan Pemulihan

Perencanaan kesinambungan bisnis dan pemulihan
bencana mencakup dua disiplin ilmu yang terpisah
namun terkait yang bekerja sama untuk:
• Perencanaan kelangsungan bisnis: Memastikan bahwa
suatu organisasi dapat secara efektif memahami proses
bisnis dan informasi apa yang penting bagi
• kelangsungan operasi dan keberhasilan organisasi
Perencanaan pemulihan bencana: Bagaimana
mengembangkan solusi teknis yang mendukung
kebutuhan bisnis organisasi jika terjadi gangguan
sistem
Lingkup rencana BCDR
Perencanaan kelangsungan bisnis
Rencana kelangsungan bisnis melihat risiko dan ancaman
yang dihadapi organisasi dan
menetapkan mekanisme untuk memastikan bahwa fungsi
bisnis dapat terus beroperasi jika
terjadi bencana.
Lingkup rencana BCDR
Pertanyaan kunci yang harus Anda jawab saat Anda
mengembangkan rencana kesinambungan bisnis Anda meliputi:
 Apa risiko organisasi Anda?
 Apakah ada risiko geografis yang dapat mempengaruhi operasi organisasi
kita (badai, kebakaran hutan, banjir, badai salju)? Apa dampak dari
gangguan besar?
 Apa konsekuensinya bagi organisasi dari perspektif pendapatan dan
reputasi?
 Bagaimana organisasi akan terus memperoleh pendapatan jika terjadi
bencana (redundansi situs web e-niaga, sistem kontrol pabrik)?
 Produk dan layanan apa yang disediakan organisasi Anda dan bagaimana
Anda akan terus menyediakan produk dan layanan ini jika terjadi
bencana?
Perencanaan pemulihan bencana
Rencana pemulihan bencana adalah serangkaian langkah
yang terdokumentasi di mana organisasi menetapkan proses
dan prosedur yang diperlukan untuk memulihkan sistem
informasi jika terjadi bencana.
Rencana pemulihan bencana mengambil perhatian dan
persyaratan bisnis/misi organisasi Anda yang dikembangkan
oleh para pemimpin selama perencanaan kesinambungan
bisnis dan menerjemahkannya ke dalam langkah-langkah
yang dapat ditindaklanjuti yang akan memungkinkan
organisasi Anda untuk terus beroperasi jika terjadi bencana.
Perencanaan pemulihan bencana
Pertanyaan yang harus Anda tanyakan sebagai bagian dari
proses perencanaan pemulihan bencana meliputi:
Perencanaan pemulihan bencana
Dari mana uangnya berasal: Sumber daya adalah kunci untuk rencana
pemulihan bencana yang efektif. Pemulihan bencana akan menghabiskan uang
organisasi Anda. Biaya ini harus sepadan dengan selera risiko kepemimpinan
senior dan nilai informasi yang akan terus tersedia jika terjadi bencana:
 Biaya yang diharapkan: Sebagai bagian dari proses perencanaan, Anda akan
memperoleh ekspektasi konkret mengenai apa yang diperlukan untuk
menetapkan operasi alternatif untuk organisasi Anda. Ini akan menjadi dana
yang disetujui atau bagian dari anggaran organisasi yang diharapkan untuk
memastikan kelangsungan bisnis.
 Pengeluaran tak terduga: Sebuah rencana hanya baik saat itu selesai. Setelah
itu, skenario tak terduga akan diperkenalkan yang menyebabkan rencana
Anda berubah. Apa yang telah direncanakan organisasi Anda untuk
menangani kebutuhan sumber daya yang tidak direncanakan selama
bencana untuk memastikan kelangsungan bisnis yang berkelanjutan?
Perencanaan pemulihan bencana
Diagram berikut menunjukkan sifat kontinuitas bisnis dan perencanaan
pemulihan bencana, dan bahwa jika organisasi Anda melakukan proses ini secara
efektif, proses ini akan selalu berada di beberapa bagian siklus. Ini sama sekali
tidak mengharuskan organisasi Anda dibebani oleh proses tersebut. Namun, itu
berarti bahwa waktu diberikan untuk memastikan bahwa hal-hal yang penting
bagi bisnis ditangani:
Perencanaan pemulihan bencana
Kunci sukses terkait kelangsungan bisnis dan perencanaan pemulihan bencana
adalah memastikan bahwa Anda berfokus pada bisnis dan tidak berfokus pada TI.
Jika profesional keamanan informasi telah melakukan pekerjaan mereka dan
memastikan bahwa fokusnya adalah pada fungsi bisnis yang penting,
kepemimpinan organisasi Anda harus siap dan bersedia mendukung aktivitas
tersebut.
Selain itu, karena aktivitas ini dimulai dengan kesinambungan bisnis dan bukan
kesinambungan TI, Anda harus memastikan bahwa Anda memilih sponsor proyek
dan memasarkan aktivitas ini dengan tepat. Seperti kebanyakan hal yang telah
saya bahas dalam buku ini, kuncinya adalah memungkinkan bisnis dan tidak
melakukan pekerjaan teknologi informasi untuk kepentingannya sendiri. Proses
ini harus diperjuangkan dan disponsori oleh seorang pemimpin bisnis eksekutif
di organisasi Anda dengan tim teknologi informasi yang mendukung tujuan
untuk memastikan bahwa bisnis akan tetap dapat beroperasi jika terjadi bencana.
Area fokus untuk perencanaan BCDR
Kunci sukses terkait kelangsungan bisnis dan perencanaan pemulihan bencana
adalah memastikan bahwa Anda berfokus pada bisnis dan tidak berfokus pada TI.
Jika profesional keamanan informasi telah melakukan pekerjaan mereka dan
memastikan bahwa fokusnya adalah pada fungsi bisnis yang penting,
kepemimpinan organisasi Anda harus siap dan bersedia mendukung aktivitas
tersebut.
Selain itu, karena aktivitas ini dimulai dengan kesinambungan bisnis dan bukan
kesinambungan TI, Anda harus memastikan bahwa Anda memilih sponsor proyek
dan memasarkan aktivitas ini dengan tepat. Seperti kebanyakan hal yang telah
saya bahas dalam buku ini, kuncinya adalah memungkinkan bisnis dan tidak
melakukan pekerjaan teknologi informasi untuk kepentingannya sendiri. Proses
ini harus diperjuangkan dan disponsori oleh seorang pemimpin bisnis eksekutif
di organisasi Anda dengan tim teknologi informasi yang mendukung tujuan
untuk memastikan bahwa bisnis akan tetap dapat beroperasi jika terjadi bencana.
Pengelolaan
Kami melihat kebijakan, praktik, dan prosedur di tingkat organisasi, sistem
informasi, dan personel:
 Manajemen risiko: BCDR secara khusus berupaya mengelola risiko yang terkait
dengan penghentian layanan bisnis penting. Namun direkomendasikan bahwa
kegiatan manajemen risiko BCDR menjadi bagian dari program manajemen
risiko yang lebih holistik yang merupakan bagian dari program keamanan
informasi yang matang. Dengan cara ini, program keamanan informasi dapat
mengatasi masalah BCDR sepanjang siklus hidup manajemen risiko.
 Kebijakan dan strategi: Kebijakan dan strategi adalah hasil yang akan Anda
kembangkan yang akan membantu Anda memastikan bahwa bisnis Anda
dapat terus berfungsi jika terjadi bencana. Kebijakan dan strategi ini harus
membahas bagaimana organisasi akan menanggapi bencan
Operasional
Kontrol keamanan diimplementasikan secara berkelanjutan oleh individu dalam
organisasi. Banyak dari jenis kontrol ini berhubungan dengan operasi sehari-hari
dari sistem informasi organisasi:
 kelangsungan bisnis organisasi: Sebagai kemampuan operasional yang dengan
jelas mendefinisikan tujuan kesinambungan bisnis organisasi Anda akan melayani
rencana kesinambungan bisnis sistem informasi dan unit bisnis tingkat bawah.
 Rencana kelangsungan bisnis individu: Setiap unit bisnis harus mengembangkan
rencana kesinambungan bisnis yang spesifik, memastikan bahwa mereka sejalan
dengan rencana organisasi secara keseluruhan dan bahwa ada pemahaman yang
jelas mengenai apa yang diperlukan untuk menjaga unit bisnis individu tetap
beroperasi jika terjadi bencana.
 Kebijakan dan prosedur: Kebijakan dan prosedur ini adalah rencana terperinci
yang terkait dengan pemulihan bencana. Di sinilah bisnis organisasi dan unit TI
berkumpul untuk membangun langkah-langkah agar organisasi tetap beroperasi
selama benca
Teknis
Kontrol keamanan yang diterapkan pada sistem informasi yang berfungsi untuk melindungi
sistem informasi dari akses yang tidak sah adalah kontrol yang dipasang dan berada pada
sistem informasi oleh tim TI.
Bagian dari BCDR ini adalah implementasi teknis aktual yang diterapkan sebelum terjadi
bencana yang memastikan kelancaran transisi selama keadaan darurat.
Untuk mencapai tujuan tersebut, kelompok teknologi informasi akan
mengimplementasikan layanan antara lain:
 Replikasi di luar situs: Replikasi di luar lokasi memastikan bahwa layanan informasi utama
ada secara real time di beberapa pusat data atau instans cloud. Jika satu contoh situs
terganggu, contoh lain dapat digunakan di tempatnya untuk melanjutkan operasi bisnis.
 Cadangan data: Pencadangan data diterapkan untuk memastikan bahwa sistem dapat
dipulihkan secara efektif. Jumlah cadangan akan bervariasi berdasarkan kebijakan
organisasi.
 Infrastruktur: Infrastruktur (jaringan, sistem, dan penyimpanan) adalah semua arsitektur
yang masuk ke dalam perencanaan, desain, dan implementasi yang efektif dari rencana
pemulihan bencana yang efektif.
Merancang rencana BCDR
Rencana BCDR adalah bagian penting dari strategi manajemen risiko organisasi
Anda. Di sinilah kita mengambil informasi yang dipelajari dari bagian awal bab
ini dan mempraktikkannya.
Sebagai bagian dari perancangan rencana BCDR kami, kami akan:
 Kumpulkan kebutuhan bisnis melalui penggunaan BIA.
 Tentukan mekanisme pemulihan bencana teknis
 Mengembangkan komponen rencana yang meliputi:
 Pembentukan tim pemulihan
 Penetapan rencana relokasi
 Pengembangan prosedur teknis untuk mendukung pengujian BCDR
 pemulihan dan mekanisme peningkatan berkelanjutan
Persyaratan dan pengumpulan konteks –
penilaian dampak bisnis
penilaian dampak bisnis(BIA) adalah komponen kunci dari proses kelangsungan
bisnis secara keseluruhan. Dengan penilaian dampak bisnis, Anda mencari untuk
mengumpulkan semua informasi yang diperlukan untuk memungkinkan bisnis
membuat keputusan sumber daya yang tepat yang akan memungkinkan
terciptanya rencana kelangsungan bisnis dan pemulihan bencana yang tepat
secara efektif.
Masukan ke BIA
Masukan ke BIA berasal dari anggota tim bisnis dan misi Anda. Masukan ini
digunakan untuk menginformasikan kelangsungan bisnis dan proses pemulihan
bencana:
 Proses bisnis didukung: Anda harus mengidentifikasi dengan jelas proses
bisnis yang didukung saat mengembangkan BIA Anda. Informasi ini akan
dilihat ketika mengembangkan alasan di balik mengapa organisasi Anda harus
mengeluarkan sumber daya untuk mengoperasikan sistem ini selama bencana.
 Kekritisan informasi dan layanan: Di sinilah Anda menentukan data spesifik
dan sistem informasi yang mendukung proses bisnis yang diidentifikasi
sebelumnya.
 Dampak bisnis: Mintalah bisnis memikirkan dan mendokumentasikan
dampak apa yang akan terjadi pada bisnis jika informasi atau sistem informasi
yang diidentifikasi dalam BIA menjadi tidak tersedia.
Masukan ke BIA
 Sistem informasi yang digunakan: Di sinilah Anda secara khusus
mengidentifikasi sistem informasi apa yang digunakan untuk mendukung
informasi yang digunakan sebagai bagian dari proses bisnis penting.
 Pemadaman yang diizinkan: Mintalah bisnis memikirkan berapa lama mereka
bisa pergi tanpa informasi dan/atau sistem informasi. Nilai ini sangat
tergantung pada jenis informasi yang sedang dibahas dan unit bisnis yang
bersangkutan, dan oleh karena itu dapat sangat bervariasi dari satu kelompok
ke kelompok lainnya.
 Prioritas pemulihan: Di sinilah unit bisnis menetapkan bagaimana mereka
ingin informasi dan sistem informasi mereka dikelola dari perspektif BCDR
dari perspektif teknologi informasi.
Keluaran dari BIA
Keluaran dari BIA digunakan untuk mengembangkan strategi pemulihan bencana.
Informasi ini akan membantu bisnis untuk mengembangkan rencana
kelangsungan bisnis mereka dan akan membantu tim TI dalam mengembangkan
kebijakan pemulihan bencana mereka:
 Tujuan titik pemulihan: Sasaran titik pemulihan adalah waktu di mana tim TI
harus dapat memulihkan data dari masa lalu setelah suatu peristiwa terjadi. Ini
paling baik dipahami sebagai waktu antara pencadangan terbaru dan gangguan.
 Tujuan waktu pemulihan: Sasaran waktu pemulihan adalah waktu yang
dibutuhkan tim TI untuk memulihkan data masa lalu setelah suatu peristiwa
terjadi.
 Prioritas perusahaan: Tim TI mungkin memiliki beberapa aplikasi yang hidup di
berbagai tingkatan prioritas. Di sinilah tim TI dan bisnis mendiskusikan di
mana aplikasi individual akan masuk dalam prioritas pemulihan. Tingkatan Jasa
Persetujuan: Perjanjian tingkat layanan dibuat sehingga harapan yang jelas
dikembangkan antara bisnis dan tim TI.
Keluaran dari BIA

BIA adalah dokumen yang sangat berguna yang berfungsi untuk memberikan
serangkaian persyaratan yang jelas dari bisnis dan hasil dari tim TI. Dengan
melalui proses BIA, kedua belah pihak memiliki pemahaman yang jelas tentang
kekritisan bisnis yang terkait dengan data dan seberapa cepat informasi dapat
dipulihkan jika terjadi kegagalan.
Contoh formulir BIA
Berikut ini adalah contoh formulir BIA yang dapat digunakan untuk mengkatalogkan proses
bisnis dan informasi terkait sistem informasi dan data yang terkandung di dalamnya. Proses
BIA tidak perlu dibebani dengan birokrasi. Salah satu tujuan dari formulir berikut ini adalah
untuk menunjukkan kepada Anda bahwa Anda tidak perlu terlalu memperumit proses ini.
Informasi penting yang perlu Anda tangkap untuk memastikan kelangsungan bisnis dan
persyaratan pemulihan bencana adalah sebagai berikut:
Tentukan mekanisme pemulihan bencana
teknis
Sekarang Anda telah mengembangkan persyaratan yang jelas dari pemangku
kepentingan bisnis Anda, sekarang saatnya untuk mulai mengembangkan strategi
yang akan Anda terapkan untuk menyusun kembali sistem data dan informasi
secara teknis jika ada yang akan terpengaruh oleh pemadaman atau bencana.
 Identifikasi dan dokumentasikan sumber daya yang dibutuhkan
Ini adalah titik proses di mana Anda mulai melihat opsi apa yang tersedia
berdasarkan kebutuhan pengguna bisnis Anda dan apa yang secara teknis Anda
miliki untuk memenuhi kelangsungan bisnis dan persyaratan pemulihan bencana
dengan benar:
 Berdasarkan kebutuhan pengguna bisnis Anda, apa yang Anda butuhkan?
 Kembangkan desain teknis yang memenuhi kebutuhan pengguna bisnis Anda.
 Pastikan bahwa keamanan informasi dipertahankan sebagai bagian dari desain
ini dan bahwa postur risiko organisasi tidak dikurangi oleh desain tersebut.
Tentukan mekanisme pemulihan bencana
teknis
 Lakukan analisis kesenjangan
Sekarang Anda telah mengembangkan desain untuk pendekatan pemulihan bencana Anda,
sekarang saatnya untuk melakukan analisis kesenjangan terhadap apa yang telah Anda rancang
dan apa yang sudah ada.
Jika Anda merancang strategi pencadangan dan pemulihan yang dapat dilakukan dengan alat
perusahaan yang sudah ada, maka Anda tidak perlu menambahkan kemampuan baru ke jaringan
Anda. Namun, jika desain pemulihan bencana Anda mencakup pusat data baru termasuk replikasi
data dan sistem informasi dan yang saat ini tidak ada, itu akan menjadi celah.
 Kembangkan rencana Anda
Tanpa rencana yang matang dan terkoordinasi dengan semua pemangku kepentingan utama,
pemulihan fungsi bisnis penting akan sulit atau mungkin gagal total.
Kerangka kerja rencana Anda akan mencakup:
 Operasi penting bisnis
 Aset bisnis penting
 Proses dan prosedur pemulihan bencana
 Peran dan tanggung jawab yang ditetapkan
 Prosedur komunikasi
Tentukan mekanisme pemulihan bencana
teknis
 Tetapkan rencana relokasi
Selama tahap ini, Anda perlu memastikan bahwa Anda telah memenuhi semua
persyaratan, yang meliputi:
 Persyaratan penyimpanan: Apakah Anda memiliki penyimpanan yang cukup untuk
memunculkan layanan baru? Konektifitas jaringan: Dapatkah pengguna Anda
mengakses situs TI pemulihan bencana?
 Apakah situs baru memiliki bandwidth yang sesuai? Dengan menggunakan contoh
situs e-niaga, bagaimana seluruh dunia akan mengakses situs alternatif?
 Lisensi:
 Bagaimana perangkat lunak fasilitas pemrosesan alternatif akan dilisensikan?
 Apakah Anda membayar untuk penggunaan situs dan teknologinya saat tidak
digunakan?
 Di pusat data tradisional, Anda biasanya akan membayar untuk sumber daya yang tidak
digunakan Implementasi pemulihan bencana berbasis cloud dapat memberikan
kemampuan untuk membuat rencana tanpa membayar sumber daya hingga digunakan
Tentukan mekanisme pemulihan bencana
teknis
 Kembangkan prosedur pemulihan terperinci
Sistem TI sangat kompleks. Upaya untuk membangun fasilitas pengolahan
alternatif untuk mendukung kelangsungan bisnis bukanlah pekerjaan yang
mudah. Sangat rinci, rencana langkah-demi-langkah harus dikembangkan untuk
memastikan bahwa tidak ada yang terlewatkan selama operasi pemulihan.
Sebagian besar sistem informasi harus dipulihkan dalam urutan yang sangat
spesifik dengan layanan yang harus diinstal dan dimulai sebelum layanan lain
bekerja. Rencana terperinci akan membantu Anda menerapkan layanan dalam
urutan yang benar, menghemat waktu pemecahan masalah yang tidak dapat
Anda bayar.
Uji paket BCDR
Pengujian adalah bagian penting dari perencanaan BCDR karena memvalidasi
efektivitas rencana dan menetapkan keyakinan bahwa bisnis dapat terus
beroperasi jika terjadi bencana. Manfaat menguji paket BCDR Anda meliputi:
 Memastikan bahwa kebijakan dan prosedur dipahami oleh peran kunci dan
pemangku kepentingan
 Memastikan bahwa setiap orang tahu apa tanggung jawab komunikasi mereka
jika terjadi bencana
 Memastikan bahwa peralatan, peralatan teknis, dan fasilitas yang diperlukan
tersedia
 Memastikan bahwa individu memahami peran dan tanggung jawab khusus
mereka jika terjadi bencana
 Memastikan bahwa setiap celah atau kelemahan dalam rencana menjadi jelas
sehingga rencana dapat diperbarui dengan orang, proses, atau teknologi yang
tepat untuk mengatasi kelemahan tersebut
Ringkasan
Dalam bab ini, kita telah mempelajari konsep kesinambungan bisnis dan
perencanaan pemulihan bencana yang mencakup dua disiplin ilmu yang terpisah
namun terkait: Perencanaan kelangsungan bisnis:
 Memastikan bahwa organisasi secara efektif memahami proses bisnis dan
informasi apa yang penting bagi mereka dan apa yang diperlukan untuk
memastikan kelanjutan operasi dan keberhasilan organisasi
 Perencanaan pemulihan bencana: Mengembangkan solusi teknis yang
mendukung kebutuhan bisnis organisasi jika terjadi gangguan sistem
Kami juga belajar:
 Apa ruang lingkup dan area fokus dari rencana BCDR
 Bagaimana merancang, mengimplementasikan, menguji, dan memelihara
rencana BCDR
Dalam bab berikutnya, kita akan membahas konsep seputar perencanaan respons
insiden dan bagaimana organisasi Anda harus bersiap untuk mendeteksi dan
merespons upaya penyusupan oleh penyerang.