Pembahasan Disaster Recovery dan Business Continuity Plan selalu berhubungan dengan urusan bisnis, hal-hal yang berhubungan dengan penerapan system keamanan, policy, atau akses tidak dibahas, akan tetapi lebih memperhatikan perencanaan bagaimana mencegah agar kerugian bisnis PT. MassNet tidak terjadi ketika terjadi ancaman bencana.
Dalam domain ini ada dua bidang yang dibahas, yaitu:
• Business Continuity Planning, yaitu proses perencanaan yang akan menjamin bahwa kebutuhan utama bisnis tetap dapat berjalan pada keadaan darurat. • Disaster Recovery Planning, yang meliputi persiapan-persiapan untuk sebuah
bencana, juga mempersiapkan prosedur yang dilakukan ketika dan setelah terjadi bencana, sehingga bisnis dapat dikembalikan ke keadaan semula sebelum terjadinya bencana.
VIII.1. Business Impact Analisys
Bagi PT. Mass Network, penggunaan Sistem Informasi merupakan suatu bagian penting bagi berjalannya bisnis, karena hamper semua kegiatan tercatat dalam system computer. Pengelompokan aplikasi utama yang digunakan oleh PT. Mass Network adalah sebagai berikut:
• Aplikasi Administrasi Kepegawaian • Aplikasi Administrasi Gudang
• Aplikasi Administrasi Pemasaran dan Penjualan • Aplikasi Administrasi Keanggotaan
• Aplikasi Akuntansi
Langkah berikutnya adalah melakukan analisa kritikalitas aplikasi-aplikasi yang dipakai kedalam empat kategori, yaitu: Critical, Vital, Sensitive, dan Non Critical.
Klasifikasi Aplikasi Keterangan
Critical Tidak ada Semua fungsi masih bisa dilakukan dengan cara lain meskipun akan sedikit berpengaruh pada kinerja operasional
Vital - Administrasi
K
Aplikasi-aplikasi tersebut masih bisa dilakukan
Keanggotaan - Administrasi Gudang
- Administrasi Akuntansi
secara manual untuk waktu yang singkat (1-2 hari) sampai dengan sistem backup bisa dipakai
Sensitive - Administrasi Pemasaran dan Penjualan
- Administrasi Kepegawaian
Aplikasi-aplikasi tersebut masih bisa dilakukan mengandalkan proses manual, tetapi memerlukan tenaga tambahan untuk melakukannya.
Non Critical Tidak ada Karena semua kegiatan bisnis sudah menggunakan sistem komputerisasi
Saat ini pada PT. Mass Network terdapat lebih kurang 700 transaksi untuk urusan pergudangan, dan 500 transaksi untuk urusan keanggotaan maupun stokis setiap harinya , dengan total nilai volume sebesar 100 juta rupiah perhari. Dengan demikian terjadinya gangguan pada kegiatan operasional akan mempengaruhi volume transaksi tadi, dimana kemampuan operasional ketika kondisi darurat diperkirakan hanya 25%, maka total nilai volume yang mampu ditangani hanya sebesar 25 juta rupiah. Hal ini tentu saja mengurangi keuntungan bersih perusahaan, oleh karena itu dibuatlah BCP dan DRP untuk memastikan bahwa operasional dapat segera dikembalikan ke kondisi normal.
VIII.2. Business Continuity Planning
Untuk dapat memastikan bahwa bisnis terpenting perusahaan tetap dapat berjalan, maka hal-hal yang dimasukkan dalam perencanaan Business Continuity adalah:
• Menyediakan sebuah lokasi yang dipersiapkan sebagai backup operasional kantor, lokasi yang dipilih adalah rumah salah manajer TI, dimana minimal dipersiapkan satu buah komputer, lemari penyimpanan backup data, sehingga ketika terjadi disaster, maka kegiatan operasional bisa segera dipindahkan ke lokasi ini andai terjadi bencana
• Membuat standar operasional prosedur untuk mengatur proses pemindahan operasional, dari proses normal ke proses backup maupun manual, menentukan personil-personil yang bertanggung-jawab terhadap suatu kegiatan.
• Pembuatan backup data selalu di kontrol dibawah pengwasan manajer TI, untuk dipastikan tidak ada satupun jadwal backup yang dilewatkan. Hal ini untuk menjamin kertersediaan data terkini untuk proses restore data.
VIII.3. Ancaman
Bagi PT. MassNet data keuangan dan data pegawai adalah dua data terpenting untuk kelangsungan usahanya dari segi availability. Sementara berdasarkan analisa, PT. MassNet menghadapi ancaman ancaman sbb:
1. Penghapusan (destruction), misalnya: penghapusan data-data penjualan secara tidak sengaja , bencana banjir, kebakaran, kerusuhan, listrik mati atau virus.
2. Pencurian (theft/disclosure), misalnya: data penjualan atau rugi laba perusahaan terungkap kepada semua pegawai.
3. Pengubahan (modification), misalnya: secara tidak sengaja mengubah nilai gaji dalam sistem penggajian pegawai.
4. Penipuan (fraud), misalnya: mengubah nilai gaji dalam sistem penggajian pegawai secara tidak sah, mengubah data penjualan secara tidak sah.
VIII.4. Disaster Recovery Planning
Dalam keadaan Disaster dan darurat, prioritas utama adalah tetap mengutamakan kesehatan dan keselamatan personil organisasi sebelum melanjutkan ke prosedur Identification and Notification. Prosedur Identification and Notification ini dapat diabaikan bilamana pertimbangan untuk melakukan suatu tindakan penanganan
disaster merupakan tindak lanjut dari aktifitas resolusi Problem. Apabila terjadi disaster
maka personil yang harus diinformasikan perlu diidentifikasi secara jelas dalam Daftar Kontak Personil yang harus dibuat oleh organisasi. Dalam hal ini penanggung jawab utama disaster recovery plan adalah direktur utama.
Berikut ini adalah langkah2 yang diambil oleh PT. MassNet dalam rangka memastikan kelangsungan bisnis agar tidak terganggu.
1. Ancaman Penghapusan (destruction) a. Bencana banjir
Server-server utama diletakkan di lantai 2 kantor utama PT. MassNet, ruangan dipilih yang tidak berada dibawah kamar mandi dari lantai diatasnya
b. Kebakaran
o PT. MassNet memasang fire extingguiser di sudut-sudut kantor yang mudah terjangkau untuk memudahkan penggunaan ketika terjadi kebakaran. Tabung fire extinguisher tersebut diperiksa secara berkala untuk memastikan racun apinya masih dalam kondisi baik.
o Kaset-kaset backup database disimpan di lemari besi tahan api, dan untuk kaset backup bulanan diletakkan di lemari besi tahan api ditempat lain, yaitu di rumah salah satu pimpinan perusahaan c. Kerusuhan
o Gedung kantor PT. MassNet diberi pagar yang cukup kuat dan dijaga oleh tenaga keamanan 24 jam sehari secara shift
o PT. MassNet menjalin hubungan baik dengan warga sekitar
kantor dan juga dengan kantor polisi setempat d. Listrik mati
Semua komputer yang ada diharuskan tersambung ke UPS e. Virus
o Semua komputer termasuk server diterapkan software anti virus, update data antivirusnya dilakukan secara berkala, dan setiap 2 minggu di cek oleh karyawan divisi Teknologi Informasi
o Software antivirus yang digunakan dipilih yang dapat diperoleh secara gratis tetapi cukup handal, saat ini pilihannya adalah program antivirus AVG dari Grisoft.com
o Jika terjadi penyebaran virus atau salah satu personal komputer terjangkit virus, maka tindakan pengamanan yang dilakukan adalah mengisolasi penyebarannya dengan cara memutus personal computer yang terkena virus tersebut dari jaringan local area network kantor.
2. Pencurian (theft/disclosure)
Tidak dibahas pada bab BCP, akan dibahas pada physical security. 3. Pengubahan (modification)
Tidak dibahas pada bab BCP, tetapi pada security management practices dan akses kontrol.
4. Penipuan (fraud)
Tidak dibahas pada bab BCP, tetapi pada security management practices dan akses kontrol.
VIII.5. Identifikasi dan Notifikasi
Dalam konsep disaster recovery, prosedur Identification and Notification menjelaskan tindakan-tindakan awal yang harus segera dilakukan bilamana terjadi gangguan terhadap sistem TI dan/ atau kondisi Disaster telah terdeteksi atau sudah nampak dengan jelas. Adapun tujuan utama dari penyusunan prosedur Identification
and Notification ini adalah untuk:
1. Menjelaskan aktifitas-aktifitas identifikasi terhadap suatu kondisi yang diduga
merupakan suatu kondisi Disaster
2. Menjelaskan personil-personil terkait yang perlu diinformasikan dan yang bertanggung jawab untuk menaggulangi keadaan Disaster tersebut
3. Menjelaskan metoda yang akan digunakan untuk menginformasikan personil-personil yang bersangkutan tersebut
Prosedur Identification and Notification dalam prosedur ini mencakup:
1. Aktifitas identifikasi terhadap suatu kondisi yang merupakan atau diduga
merupakan kondisi Disaster
2. Aktifitas tindakan penyelamatan awal dengan prioritas utama adalah penyelamatan kesehatan dan keselamatan personil organisasi.
3. Aktifitas notifikasi kepada personil yang bertanggung jawab dalam Organisasi
Formal untuk diteruskan kepada Coordinator dalam Organisasi Matriks Kondisi
Disaster
4. Aktifitas notifikasi kepada team personil dalam Struktur Organisasi Matriks Kondisi Disaster untuk berada dalam posisi siaga dan/atau untuk koordinasi aktifitas selanjutnya.