74% Perusahaan Pernah

(1)

(2)

Mengalami Bencana yang

Berakibat Gangguan pada

Operasi Bisnis

(3)

Pernah

74%

Tidak

26%

Apakah perusahaan

pernah mengalami disaster

(gangguan/bencana) yang

mengganggu

beroperasinya bisnis

perusahaan?

Sumber:

SHARING VISION

TM

_{, DRP/BCP Survey,}

n = 20 (dari 10 perusahaan), Mei-Juni 2009

Pernah

(4)

Sedikit Perusahaan di Indonesia

Melakukan Risk Assessment

(5)

Dalam kaitannya dengan

pengelolaan bencana,

apakah perusahaan

pernah melakukan risk

assessment terhadap aset

perusahaan ?

Pernah

53%

Tidak

47%

Sumber: SHARING VISIONTM_{, DRP/BCP Survey,}

n = 20 (dari 10 perusahaan), Mei-Juni 2009

Pernah

(6)

1

2

3 Risk

Assessment

Business

Impact

Analysis

Mitigasi Risiko

(7)

Risk Assessment

Analisis

Kritikal Aset

Analisis

Ancaman

Analisis Risiko

1

(8)

Analisis Aset Kritikal (1)

Identifikasi

aset

Identifikasi

nilai dari

aset

Analisis Aset

Kritikal

(9)

Identifikasi

aset

Berdasarkan PBI No. 09/15/PBI/2007

aset TI terbagi menjadi 5 kategori :

•Perangkat Keras

•Perangkat Lunak

•Jaringan Telekomunikasi

•Data/Informasi

•Sumber Daya Manusia

(10)

Identifikasi

nilai dari

aset

Analisis Aset Kritikal (3)

Nilai –nilai yang dijadikan kriteria adalah :

• Nilai bagi organisasi (Value to Organization)

•Cost to Replace

•Threat likelihood

•Vulnerability

•Maximum Acceptable Outage Time

(11)

Analisis Aset

Kritikal

Analisis Aset Kritikal (4)

Perhitungannya dilakukan dengan

menggunakan kategori nilai sebagai

berikut :

• Severity of Threat

• Kategori nilai vulnerability

(12)

Contoh Analisis Aset Kritikal - 1

No Asset Name Kode Asset Value to Org. Index Cost to Change Index Assessment MAOT Value Severity of Consequence value x cost x MAOT scaled to 100 Ave rage (of LxV) Threat Average of Likelihood x Vulnerability scaled to 1 Risk Rating Severity x Threat Risk Category

1 Proxy Server

ATI001

4

12

0.9

72

0.32

0.44

31.89

MEDIUM

2 SMTP Server

ATI003

3

4

24

0.9

63

0.32

0.44

27.90

MEDIUM

3 RCO Server

ATI004

3

24

0.9

54

0.32

0.44

23.91

MEDIUM

4 DSM Server

ATI005

3

24

0.9

54

0.32

0.44

23.91

MEDIUM

5 OPICS Server

ATI016

5

2

1

100

0.42

0.57

57.14

HIGH

6 Primary SKN

Server

ATI017

5

2

1

100

0.42

0.57

57.14

HIGH

7 Secondary SKN

Server

ATI018

5

2

1

100

0.42

0.57

57.14

HIGH

8 SID Server

ATI020

4

12

0.9

72

0.32

0.44

31.89

MEDIUM

9 SMF Server

ATI021

3

24

0.9

54

0.32

0.44

23.91

MEDIUM

10 AIMS Server

ATI022

3

150

0.75

45

0.32

0.44

19.93

LOW

(13)

Analisis Ancaman

Identifikasi

ancaman

Identifikasi aksi

dari ancaman

Identifikasi

risiko dari

ancaman

(14)

Contoh Register Ancaman

ID RISIKO

RISIKO

KATEGORI RISIKO

DESKRIPSI RISIKO

RISIKO

INHEREN

RTI004

Kesalahan sistem TI dalam

melakukan pengolahan data.

Sistem Teknologi

Informasi

Sistem TI yang digunakan untuk

mengolah data dan informasi mengalami

kesalahan.

High

RTI010

Kehilangan historis data

Sistem Teknologi

Informasi

Bank tidak dapat melakukan penelusuran

apabila ada kesalahan dalam proses

bisnis yang dilakukan.

High

RTI011

Kehilangan aset

Sistem Teknologi

Informasi

Perusahaan kehilangan aset yang dimiliki.

High

RTI030

Kebocoran data dan informasi

perusahaan.

Keamanan

Informasi

Data dan informasi mengenai

perusahaan diketahui oleh pihak yang

tidak bertanggungjawab.

High

RTI005

Kegagalan penerapan sistem TI.

Sistem Teknologi

Informasi

Penerapan sistem TI dalam perusahaan

mengalami kesalahan.

Medium

RTI007

Kegagalan migrasi sistem.

Sistem Teknologi

Informasi

Migrasi sistem yang dilakukan

mengalami kegagalan.

Medium

RTI027

Penambahan biaya perawatan.

Sistem Teknologi

Informasi

Biaya perawatan aset yang dilmiliki oleh

perusahaan bertambah.

Low

RTI045

Penurunan tingkat kepercayaan

mitra usaha.

Sumber Daya

Manusia

Tingkat kepercayaan mitra usaha

kepada perusahaan menurun.

Low

RTI048

Penurunan produktivitas kinerja

karyawan.

Sumber Daya

Manusia

Produktivitas kerja karyawan

(15)

Analisis Risiko (1)

• Kesalahan sistem TI dalam melakukan

pengolahan data

• Kegagalan sistem TI yang mendukung

produk/proses bisnis

• Kehilangan historis data

• Kehilangan aset

(16)

Analisis Risiko (2)

• Kebocoran data dan informasi perusahaan

• Kebocoran data dan informasi nasabah

• Pemadaman listrik

• Kegagalan jaringan komunikasi

• Kerusakan jaringan komunikasi

(17)

Contoh Register Risiko

ID

RISIKO

KATEGORI RISIKO

DESKRIPSI RISIKO

RISIKO

INHEREN

RTI001

Ketidaksesuaian persepsi dan

ekspektasi dalam penyusunan

kebutuhan pembuatan sistem TI.

Sistem Teknologi

Informasi

Ketidaksesuaian antara persepsi pembuat

sistem TI dan ekspektasi dari pengguna sistem

TI dalam masa pembuatannya.

Medium

RTI002

Penambahan biaya perawatan.

Sistem Teknologi

Informasi

Biaya perawatan aset yang dilmiliki oleh

perusahaan bertambah.

Low

RTI003

Kehilangan data dan informasi.

Keamanan Informasi

Data dan informasi yang dimiliki perusahaan

hilang.

Medium

RTI004

Kehilangan integritas data dan

informasi.

Keamanan Informasi

Data dan informasi perusahaan tidak

terintegrasi.

Medium

RTI005

Kebakaran

Sumber Daya Tenaga

Kebakaran.

Medium

RTI006

Pemadaman listrik

Sumber Daya Tenaga

Pemadaman listrik.

High

RTI007

Opini publik yang negatif.

Kepatuhan

Opini publik kepada perusahaan yang negatif

karena ada suatu hal yang berakibat buruk

bagi perusahaan.

Medium

RTI008

Sanksi dari pemerintah karena

tidak mematuhi peraturan.

Kepatuhan

Sanksi yang diberikan pemerintah kepada

perusahaan karena tidak mematuhi peraturan

yang berlaku.

(18)

Matriks Peta Risiko

BENCANA

RISIKO YANG DIAKIBATKAN DARI BENCANA

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Kebakaran

x x x x x x x x

Banjir

x x x x x x x x

Petir

x x x x x x x x

Gempa bumi

x x x x x x x x

Tsunami

x x x x x x x x

Asap

x x x

x

x x

Gunung meletus

x x x x x

x x

Pandemik

x

Chemical or Biological Hazard

x

Gangguan listrik

x x x

x x

x x x

Gangguan jaringan komunikasi

x

x x x x

Hacker

x x

Cracker

x

x x

Virus

x

x x x

Kelompok massa

x x x x x x x x

x

Keterangan :

1 : Kerusakan aset 2 : Kerusakan infrastruktur 3 : Kerusakan data center 4 : Kerusakan jaringan komunikasi 5 : Kecelakaan karyawan

6 : Kebakaran

7 : Pemadaman aliran listrik 8 : Pemadaman pelayanan

kepada pelanggan

9 : Penambahan biaya perawatan 10: Kehilangan aset

11: Kehilangan data dan informasi 12: Kerusakan sistem aplikasi 13: Kebocoran data & informasi

perusahaan

14: Kehilangan integritas data & informasi

15: Pencurian data dan informasi 16: Kegagalan sistem

(19)

2 Business Impact

(20)

Kebakaran Data Center

Menyebabkan Portal Pembayaran

(21)

Kebakaran data center di Seattle’s

Fisher Plaza menyebabkan

Authorize.net (payment portal)

mengalami downtime lebih dari 12

jam.

Sumber: www.datacenterknowledge.com , Juli 2009

Ribuan merchant tidak dapat memproses pembayaran

kartu kredit melalui website tersebut.

(22)

Dampak Serangan Security

Pada Perusahaan

PERUSAHAAN KECIL

PERUSAHAAN BESAR

Gangguan bisnis

£ 8,000 - £15,000

Over 1- 2 days

£ 80,000 - £ 130,000

Over 1 – 2 days

Waktu untuk merespon gangguan

£ 600 - £ 1,200

2 – 4 man-days

£ 2,500 - £ 5,000

6-13 man-days

Biaya langsung untuk merespon

gangguan

£ 1,000 - £ 2,000

£ 4,000 - £ 8,000

Kerugian langsung (aset, denda)

£ 500 - £ 1,000

£ 4,000 - £8,000

Rusak reputasi

£ 50 - £ 200

£ 2,000 - £ 15,000

Rata-rata total biaya dari kejadian

terburuk

£ 10,000 - £ 20,000

£ 90,000 - £ 170,000

Sumber: Information security breaches survey 2008; PWC, UK

Kasus

perusahaan

UK

(23)

Prosedur

Perhitungan

BIA

(24)

Kategori Dampak Terhentinya

Layanan di Perusahaan (1)

• Efek minor pada organisasi

a. Tidak berdampak pada pelanggan,

b. Perusahaan mengalami sedikit kerugian

c. Namun tidak bedampak pada proses bisnis

(25)

• Efek moderate pada satu unit

a. Tidak berdampak pada layanan terhadap

pelanggan

b. Membuat kerugian finansial yang medium

c. Dampak yang kecil dalam proses bisnis

Kategori Dampak Terhentinya

Layanan di Perusahaan (2)

(26)

• Efek moderate pada organisasi/banyak unit

a. Keterlambatan cukup lama dalam menyediakan layanan

bagi pelanggan

b. Moderate delay in critical path, kerugian finansial yang

medium

c. Dampak yang cukup besar pada proses bisnis

Kategori Dampak Terhentinya

Layanan di Perusahaan (3)

(27)

Kategori Dampak Terhentinya

Layanan di Perusahaan (4)

•Efek catastrophic pada satu unit

a. Perlunya usaha untuk mempertahankan keberadaan

pelanggan

b. Major delay in critical path,

c. Kerugian finansial yang besar

(28)

Kategori Dampak Terhentinya

Layanan di Perusahaan (5)

•Efek catastrophic pada seluruh organisasi

a. Kehilangan pelanggan

b. Ketidakmampuan men-deliver proyek

c. Kerugian keuangan dalam jumlah sangat besar

d. Dampak yang sangat besar dalam proses bisnis yang

penting

(29)

CATASTROPIC

MODERATE

MINOR

Level 1

Level 2

(effect on a unit)

Level 3

(effect on many

units)

Level 4

(effect on a unit)

Level 5

(effect on many

units)

Kategori Dampak

Terhentinya

Layanan di

Perusahaan (6)

(30)

Menentukan Critically Category

(31)

Contoh Perhitungan Business

Impact Analysis (1)

Kategori Layanan Back Office

Layanan Payroll Service

Aset (perangkat keras, perangkat

lunak, jaringan dan

telekomunikasi )

Server Axapta

Aplikasi HRIS

Cisco Catalyst 3750,

Nokia Firewall IP520

Dampak Terhentinya Layanan

3

4 Severity of Impact if Application

Stop

60

80 MAOT

100

4 Skala Nilai MAOT

0.1

0.8 Overall Rating

6

64 Criticality

LOW

HIGH

(32)

Kategori Layanan OPICS

Layanan Reporting Transaction

Aset (perangkat keras, perangkat

lunak, jaringan dan

telekomunikasi )

Server OPICS

Aplikasi OPICS,

Swift

Cisco Catalyst 3750,

Nokia Firewall IP520

Dampak Terhentinya Layanan

5

4 Severity of Impact if Application

Stop

100

80 MAOT

12

4 Skala Nilai MAOT

0.3

0.8 Overall Rating

30

64 Criticality

MEDIUM

HIGH

Contoh Perhitungan Business

Impact Analysis (2)

(33)

**Overall Rating = Severity of Impact if Appl Stop * Skala Nilai MAOT**

Contoh Perhitungan

Business Impact

Analysis (3)

(34)

Vital Record Harus Memperoleh

Prioritas Utama (1)

NAMA DOKUMEN

KODE

DESKRIPSI

Laporan Harian

ATI123

Laporan yang dilakukan untuk transaksi setiap

end of day

Laporan Mingguan

ATI124

Laporan yang dilakukan untuk transaksi setiap

end of week

Laporan Bulanan

ATI125

Laporan yang dilakukan untuk transaksi setiap

end of month

Laporan Tahunan

ATI126

Laporan yang dilakukan untuk transaksi setiap

end of year

Dokumen SOP BTN

ATI127

Dokumen yang mengatur tentang prosedur dan

aturan pelaksanaan operasional BTN

(35)

Vital Record Harus Memperoleh

Prioritas Utama (2)

NAMA DOKUMEN

KODE

DESKRIPSI

Dokumen Security BTN

ATI128

Dokumen yang mengatur kebijakan, kebutuhan

keamanan informasi BTN

Dokumen Struktur Organisasi

Divisi TI BTN

ATI129

Dokumen yang berisi tentang alur kerja secara

struktural dan fungsional Divisi TI BTN

Dokumen Daftar Aset BTN

ATI130

Dokumen yang berisi seluruh aset yang dimiliki

oleh BTN

Dokumen BCP

ATI131

Dokumen yang mengatur rencana-rencana

proses pemulihan jika terjadi suatu bencana

(36)

(37)

Kasus Mitigasi Akibat Bencana

pada Data Center (1)

Data center di Green Bay, Wisconsin

mengalami kebakaran, Maret 2008,

menghancurkan 75 server, router, dan

switch.

Diperlukan hingga 10 hari untuk menjadikan web site para

pelanggan kembali online.

(38)

CEO Rick Chernick menyebutkan bahwa

kedepannya mereka akan:

• Membuat rencana backup data center agar

kondisi offline tidak berlangsung terlalu lama

• Mengasuransikan data center dari

kemungkinan bencana serupa

• Melengkapi peralatan alarm untuk

mengurangi kerusakan yang potensial

Mitigasi

Kasus Mitigasi Akibat Bencana

pada Data Center (1)

(39)

Kasus Mitigasi Akibat Bencana

pada Data Center (2)

_Seattle

Kasus

Data

Center

Data center tersebar (geographically dispersed DC)

Multi-DC strategy, sehingga tidak perlu bergantung pada single

DC

Membuat backup power untuk DC

Prosedur pemenuhan ruangan dengan gas untuk menggantikan

Oksigen dan mengacaukan proses pembakaran pada bencana

kebakaran

Fasilitas sprinkler jika dengan gas belum bisa menghentikan

pembakaran

(40)

Risiko yang Ditimbulkan Akibat Bencana

Kerusakan

aset

Kerusakan

infrastruktur

Kerusakan

data center

Kerusakan

jaringan

komunikasi

Kecelakaan

karyawan

Kebakaran

Pemadaman

Aliran Listrik

Pelayanan

kepada

pelanggan

terganggu

(41)

Prosedur Mitigasi Risiko Kerusakan

dan Kehilangan Aset

(42)

Prosedur Mitigasi Risiko

Kerusakan Infrastruktur

(43)

Prosedur Mitigasi Risiko Kerusakan

Data Center

(44)

Prosedur Mitigasi Risiko Kerusakan

Jaringan Komunikasi

Perubahan

vendor jaringan

komunikasi

Konfigurasi

ulang jaringan

komunikasi

yang ada

Maintenance

Kerjasama tidak hanya dengan

satu vendor jaringan komunikasi

Segera hubungi vendor lainnya bila

jaringan salah satu vendor rusak

Mendokumentasikan kerusakan jaringan

komunikasi untuk pertimbangan kerjasama

dengan vendor selanjutnya

Hubungi tim jaringan komunikasi

Melakukan konfigurasi ulang sesuai

prosedur yang ada

• Perawatan jarkom secara rutin

• Membentuk tim jaringan komunikasi

(45)

Prosedur Mitigasi Risiko Kecelakaan

Karyawan & Penambahan Biaya Perawatan

Peningkatan keamanan

kantor

• Bentuk tim keamanan

• Periksa siapa saja yang

memasuki wilayah kantor

• Letakkan CCTV di

beberapa tempat

• Periksa setiap sudut

kantor setiap harinya

Peningkatan keamanan

infrastruktur kantor

• Bentuk tim keamanan

• Letakkan semua

infrastruktur ditempat

yang aman

Program keselamatan kerja

karyawan

• Training untuk

karyawan

• Buat prosedur semua

kegiatan

• Gunakan peralatan

pengaman

• Bentuk dan latih tim

medis

• Menjaga supply

peralatan kesehatan

• Simpan nomor

kontrak darurat

• Periksa daftar

informasi kontak

darurat dan instruksi

P3K

• Sosialisasi P3K

• Karyawan dilarang

Asuransi jiwa

karyawan

• Berikan asuransi jiwa

kepada semua karyawan

• Bekerja sama dengan

perusahaan asuransi jiwa

Penanganan

kecelakaan

karyawan

Penambahan

biaya

perawatan

(46)

Prosedur Mitigasi Risiko Kebakaran

Pembuatan

dan

sosialisasi

prosedur

penanganan

saat terjadi

kebakaran

(47)

Prosedur Mitigasi Risiko

Pemadaman Aliran Listrik

• Siapkan beberapa

genset pada data center

• Cek genset secara rutin

• Letakkan genset di lokasi

yang aman

• Siapkan genset

Pengadaan genset

pada data center

Pengadaan UPS

untuk menjaga

cadangan daya

komputer

• Menyiapkan beberapa UPS

pada komputer terutama

komputer-komputer yang

digunakan untuk

layanan-layanan penting

• Melakukan pengecekan

UPS secara rutin

• UPS diletakkan di lokasi

yang aman

(48)

Prosedur Mitigasi Risiko Gangguan

pada Pelayanan Pelanggan

• Perbaikan kinerja karyawan

• Memberikan training kepada karyawan

• Melakukan survey terhadap kinerja karyawan

• Melakukan penilaian kinerja karyawan mulai

dari pertama kali bekerja

• Melakukan survey

terhadap

keluhan-keluhan pelanggan

• Membuat sarana bagi

pelanggan untuk

menyampaikan kritik

(49)

Prosedur Mitigasi Risiko Kehilangan,

Kebocoran, Pencurian & Kehilangan

Integritas Data & Informasi:

(50)

PENINGKATAN

PENGAMANAN

SISTEM

PEMASANGAN

FILEWALL PADA

SISTEM

PENYUSUNAN PROSEDUR

PENGAMANAN

INFORMASI

• Batasi pengakses data

dan informasi,

dokumentasikan pihak

yang memiliki hak akses

• Membuat password

• Membuat prosedur

untuk akses informasi

• Berikan sangsi pada

pelanggar

• Baca petunjuk

pemasangan

• Dipasang oleh ahlinya

• Tambahkan beberapa

fitur pengamanan

tambahan

• Lengkapi dengan

deteksi gangguan

keamanan jaringan

• Buat dokumen

prosedur sesuai

peraturan

• Komunikasikan

prosedur pada semua

pihak yang

berkepentingan

• Lakukan update

prosedur pengamanan

informasi

(51)

Prosedur Mitigasi Risiko

Kegagalan Sistem

(52)

PENINGKATAN

PENGAMANAN PADA

SISTEM

PEMASANGAN

FIREWALL PADA

SISTEM

PERBAIKAN

KINERJA

KARYAWAN

•Batasi hak akses pada

sistem

•Membuat password

pada setiap sistem

•Membuat prosedur

untuk mengakses

sistem

• Baca petunjuk

pemasangan

• Dipasang oleh ahlinya

• Tambahkan beberapa

fitur pengamanan

tambahan

• Lengkapi dengan deteksi

gangguan keamanan

• Lakukan training

kepada karyawan

• Lakukan survey

terhadap kinerja

karyawan

• Beri penilaian

terhadap kinerja

karyawan

(53)

Matrix Tim Penanggung Jawab

RISIKO YANG DIAKIBATKAN

PIHAK YANG BERTANGGUNG JAWAB

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

Kerusakan asets

x

Kerusakan infrastruktur

x

Kerusakan data center

x

Kerusakan jaringan komunikasi

x

Kecelakaan karyawan

x

Kebakaran

x

Pemadaman aliran listrik

x

Gangguan pelayanan kepada

pelanggan

x

Penambahan biaya perawatan

x

Kehilangan aset

x

Kehilangan data & informasi

x

Kerusakan sistem aplikasi

x

Kebocoran data & informasi

perusahaan

x

Kehilangan integritas data &

informasi

x

Pencurian data & informasi

x

Kegagalan sistem

x

Keterangan :

1 : Tim IT Risk Management & DRP

2 : Tim Infrastruktur IT

3 : Tim Perangkat lunak & basis data

4 : Tim Monitoring &

Support

5 : Tim Manajemen Aset

6 : Tim Perencana IT

7 : Tim Infrastruktur

8 : Tim Security

9 : Tim Kebijakan TI

10 : Tim Helpdesk

11 : Tim Data Processing

12 : Tim QA

13 : Tim Inovasi

14 : Tim Monitoring & Support

15 : Tim arsitektur informasi

16 : Tim data warehouse

(54)

Penutup (1)

Strategi yang dilakukan sebelum bencana

dimulai dengan meng-asses aset

perusahaan, kemungkinan terjadinya

bencana beserta risiko dan dampaknya

(55)

Penutup (2)

Kelengkapan assesment & ketepatan

perhitungan dampak bisnis akan menentukan

efektifitas strategi penanggulangan bencana &

business continuity, termasuk biaya & waktu

yang akan digunakan.

(56)

Back Up

Recovery Box

• Pemulihan Sumber Daya Komunikasi

• Pemulihan Processing System

• Pemulihan Data

• Pemilihan Lokasi Alternatif

• Pengadaan Barang dalam Keadaan Darurat

• Penggunaan Asuransi

Emergency Response

Evakuasi

Pengobatan Darurat

Penyelamatan Aset

Aktivasi DRC

• Kajian Kerusakan

Paska Bencana

• Pemulihan Paska

Bencana

• Implementasi

Disaster Recovery

Plan

STRATEGI SEBELUM BENCANA

STRATEGI SAAT BENCANA

STRATEGI SETELAH BENCANA

(57)

Syukron

Kheili Mamnun

Danke

Terima Kasih

Merci bien

Arigatoo

Matur Nuwun

Hatur Nuhun

Matur se Kelangkong