BAB II
LANDASAN TEORI
Sistem Informasi
Sistem informasi adalah sebuah sistem yang terdiri dari berbagai komponen yang berinteraksi dan bertujuan untuk menghasilkan informasi. Menurut Lauden sistem informasi adalah hubungan dari berbagai komponen yang dikumpulkan, diproses, disimpan dan informasi tersebut disebarkan untuk mendukung pengambilan keputusan untuk membuat analisis dan memberikan gambaran pada sebuah organisasi.
Sedangkan menurut Whitten, sistem informasi adalah suatu pengaturan orang-orang, data, proses, dan teknologi informasi yang saling berhubungan untuk mengumpulkan, memproses, menyimpan dan menyediakan keluaran informasi yang diperlukan untuk men-support suatu organisasi.
Computer
Security
Computer Security didefinisikan sebagai menjaga dan melindungi perangkat keras, perangkat lunak, jaringan, fasilitas fisik, data dan orang dari bencana (disaster) atau hal yang disengaja. (sumber: Gupta)
Tujuan dari computer security adalah menjaga dan melindungi data dari bencana alam/disaster, dengan demikian diperlukan sebuah sistem agar terhindar dari bencana tersebut.
Sistem keamanan dari suatu perusahaan harus mempunyai cara untuk menangkal atau meminimalkan/mengurangi resiko yang terjadi, sistem ini harus beroperasi selama 24 jam, 7 hari
seminggu, serta harus mempunyai layanan yang konsisten dan benar, demikian juga semua perangkat keras, perangkat lunak dan jaringan harus dalam keadaan prima.
Untuk itu perusahaan harus dapat mengetahui disaster atau bencana yang tidak dapat dihindarkan dan kemungkinan-kemungkinan apa saja yang dapat dialami oleh perusahaan.
Berikut ini beberapa terminologi dalam menjaga keamanan informasi :
2.2.1 Kesengajaan atau intentional
Kesengajaan yang terjadi disini biasanya dilakukan oleh orang dalam yang memiliki/tidak memiliki hak akses terhadap data. Tindakan-tindakan tersebut antara lain
1. Pencurian data perusahaan/download data
2. Menyadap Password (brute force, dll)
3. Membuka email orang lain
4. Menghapus data perusahaan, merubah data perusahaan
2.2.2 Security Control
Menurut Gupta, Security Control adalah kebijakan, prosedur, alat Bantu, teknik, dan metode yang dirancang untuk mengurangi pelanggaran keamanan, pembinasaan sistem, dan kesalahan sistem dari kecelakaan, kesengajaan dan bencana alam (disaster).
Sehingga apabila terjadi accident, security control diharapkan dapat mengurangi dampak yang terjadi. Security Control Application Controls ‐ Password ‐ Smart cards ‐ Biometric ID ‐ Backups Development Controls ‐ Documentation ‐ Encryption ‐ Firewall
Physical Facility Controls
‐ Fire Alarms
‐ Security Personel
‐ Restricted access to a facility
Gambar 2.1 Security Control
2.3 Definisi
Disaster / Bencana
Disaster/Bencana didefinisikan sebagai gangguan dari operasi bisnis yang menghentikan organisasi dalam menyediakan pelayanan bisinisnya yang disebabkan oleh ketiadaan faktor-faktor kritikal seperti :
• Tenaga Kerja dan keahlian
• Fasilitas
• Power/Daya
• Akses Informasi
Bencana dapat diakibatkan oleh ulah manusia, maupun akibat alam (natural disaster), seringkali tidak dapat diprediksi kapan akan terjadi. Untuk itu perlu dibuat sistem yang dapat mengurangi resiko dan kerugian bila bencana terjadi.
2.4 Penyebab
Disaster/Bencana
Penyebab Suatu kondisi bencana dapat dikategorikan sebagai berikut : 1. Bencana alam
a. Angin Topan (Hurricanes)
b. Tornado c. Banjir d. Kebakaran 2. Fasilitas a. Listrik b. Air c. Komunikasi d. Gas
3. Manusia a. Sabotase b. Teroris c. Virus d. Kerusuhan 4. Kegagalan peralatan a. Sistem Informasi b. Telekomunikasi c. Mesin Produksi
2.5 Akibat dari bencana/gangguan saat ini
1. Sudut pandang Keuangan (Financial perspective)
Bencana atau gangguan akan berdampak pada kelancaran finandal dalam sebuah organisasi. Pengeluaran extra dan kerugian dari cash flow akan berdampak pada modal perusahaan. Pada saat itu waktu akan menjadi musuh utama dalam bisnis.
• Beban operasional Normal (Normal operating expenses)
- Gaji (Saleries)
Dengan adanya bencana atau gangguan yang menyebabkan kelangsungan bisnis berhenti dapat meningkatkan beban gaji.
- Sewa (Rent)
Beban sewa akan bertambah besar karena terjadinya disaster/bencana. • Beban Besar (Large extraordinary expenses)
- Penggantian peralatan (Equipment replacement)
- Fasilitas Sementara (Temporary facility)
• Keuntungan/Aliran uang berhenti (Revenue/cash flow stops)
• Nilai Equity akan melemah (Equity position weakened)
2. Sumber Tenaga kerja (Human Resources)
Saat ini perusahaan cenderung hanya memiliki sedikit tenaga kerja, maka hilangnya tenaga kerja pada saat disaster/bencana dapat mengakibatkan efek yang besar.
- Downsizing
- Pelatihan ulang (Re-enginering)
- Outsourcing
3. Meningkatnya kompetisi sejalan dengan Global economy (Increasing Competition in a Global Economy)
Pada saat terjadi disaster/bencana maka kompetisi perusahaan-perusahaan semakin meningkat yaitu dari pelayanan/service level yang diberikan, karena setiap perusahaan
akan terus meningkatkan pelayanannya. Tentunya perusahaan yang tidak siap dengan keadaan ini dapat kehilangan customernya. (lost costumer don’t return).
4. Meningkatnya penggunaan teknologi (Increasing use of technology)
Perusahaan akan menjadi sangat bergantung pada teknologi, apabila terjadi bencana maka teknologi yang biasa digunakan berubah menjadi manual. Sehingga kebutuhan akan teknologi tersebut dapat menjadi kebutuhan yang luar biasa penting. Teknologi tersebut seperti :
- Faks/(Fax)
- Pesan suara/(Voice mail)
- Jaringan lokal dan WAN (Local and wide area networks)
- Sistem pengambilan keputusan (Decision support systems)
- Akses Internet (Internet Access)
-
5. Hutang terhadap ketidaktersedianya produk / pelayanan (Liabilities Associated with not providing products/services)
Menejemen bertanggung jawab dalam memastikan kelangsungan bisnis sehingga pemulihan bencana/gangguan (disaster recovery) harus direncanakan dengan matang. Sehingga tidak terjadi adanya penalty dari perusahaan lain atau hal-hal yang tidak diinginkan.
- Shareholder/Board of directors’ new expectations
2.6 Rencana kelangsungan Bisnis (Business Continuity Plan)
Business Continuity Plan adalah kebijakan dan prosedur yang memuat rangkaian kegiatan terencana dan terkoordinir mengenai langkah-langkah pengurangan resiko, penanganan dampak gangguan/bencana dan proses pemulihan agar kegiatan operasional Bank dan pelayanan kepada nasabah tetap berjalan. (sumber : Peraturan Bank Indonesia No.9/15/PBI/2007 tentang Penerapan Manajemen Resiko dalam penggunaan Teknologi Informasi oleh Bank Umum)
Business Continuity Plan adalah proses yang dirancang untuk mengurangi resiko dalam sebuah organisasi bisnis. (sumber : ISACA)
Business Continuity Plan adalah sekumpulan prosedur dan sumber informasi yang digunakan untuk memulihkan kegiatan operasional bisnis apabila terjadi gangguan/bencana. (sumber : James C. Barnes, A Guide to Business Continuity Planning)
2.7 BCM
Lifecycle
BCM Lifecycle:
1. BCM programme management 2. Understanding the organization 3. Determining BCM Strategy 4. Developing & Implementing BCM
Response
5. Exercising, Maintaining & Reviewing
6. Embedding BCM in the organization’s culture
The BCM lifecycle (BS-25999-1; 2006) Gambar 2.2 BCM Lifecycle
2.8 Proses
Business
Continuity Plan
FFIEC (Federal Financial Institutions Examination Council) mendorong agar institusi keuangan (financial institution) mengadopsi suatu siklus yaitu pendekatan proses oriented menjadi business continuity planning. Terdapat 4 proses dalam business continuity planning, yaitu :
1. Analisis dampak bisnis (Business Impact Analysis)
2. Identifikasi Resiko (Risk Assessment)
3. Menejemen Resiko (Risk Management)
Keempat proses diatas merepresentasikan suatu siklus berlanjut yang perlu ditingkatkan dari waktu ke waktu berdasarkan perubahan dari ancaman potensial, operasi bisnis, rekomendasi audit, dan hasil test. Sebagai tambahan, proses ini sebaiknya mencakup tiap-tiap kritikal fungsi bisnis dan teknologi yang mendukungnya. Seperti kebijakan, standarisasi, dan proses yang terintegrasi kedalam keseluruhan proses rencana kelangsungan bisnis (business continuity plan).
2.8.1 Analisis dampak bisnis (Business Impact Analysis)
Business Impact Analysis adalah landasan awal dalam proses penyusunan BCP melalui proses identifikasi dampak bisnis, identifikasi aktivitas yang kritikal, penentuan target waktu pemulihan, dan pengukuran standar operasi minimal yang dibutuhkan.
Tujuan dari Analisis dampak bisnis (business impact analysis) ini adalah untuk mendapatkan :
- Informasi yang menyeluruh mengenai fungsi organisasi dan business process
- Informasi kepada manajemen mengenai Recovery Time Objective
- Informasi mengenai kebutuhan minimal dalam penyelenggaraan organisasi (minimum resources)
Metodologi yang digunakan adalah : - Identifikasi business process
- Interdependensi antar business process dan tingkat kritikal business process
- Menetapkan Recovery Time Objective (RTO) melalui metodologi Enterprise Risk Management dan Business Impact Analysis.
Hal-hal yang harus diperhatikan dalam Analisis dampak bisnis (business impact analysis) adalah :
- Tingkat kritikal dan ketergantungan antar proses bisnis serta prioritisasi
- Tingkat ketergantungan terhadap pihak penyedia jasa TI/Non Ti
- Tingkat Recovery Time Objectives dan Recovery Point Objectives
- Tingkat minimum Reource Reuquirement
- Identifikasi dampak potensial dari suatu kejadian
- Dampak Disaster terhadap seluruh fungsi bisnis
- Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan
- Kemampuan dan kemampuan petugas (termasuk petugas pengganti)
- Pertimbangan dampak hukum dan pemenuhan ketentuan terkait.
2.8.2 Target Waktu Pemulihan (Recovery Time Objectives)
Dalam menentukan Target waktu pemulihan (RTO) maka beberapa hal yang perlu ditanyakan :
Segera (Immediately) Dalam jam (Within hours) Satu hari (today) Satu minggu (This week) Tidak memerlukan (Never) Berapa lama perusahaan dapat bekerja apabila terjadi disaster/bencana?
Sesegera apa perusahaan membutuhkan proses pemulihan ?
Impact <2 hr < 8 hr < 2 Days < 1 weeks Less than $1000 $1001 to $ 10000 $10001 to $100000 $100001 to $500000 Over $ 500 Recovery Time Objective (RTO) Last IT Back up (RPO) Disaster (Loss Data) Recovery Time
Escalation Clear Backlog
Work Lost
Gambar 2.3 Recovery Time Objective
2.8.3 Identifikasi Resiko (Risk Assessment)
Maksud dari identifikasi resiko adalah proses identifikasi resiko yang dihadapi suatu organisasi, identifikasi terhadap fungsi kritikal untuk menjamin kelangsungan operasional bisnis, serta memperoleh gambaran dalam pengendalian bisnis fungsi untuk mengurangi resiko kerugian apabila terjadi gangguan.
Resiko Operasional adalah potensi seluruh gangguan dalam proses operasional suatu organisasi atau perusahaan yang menyebabkan kerugian dimasa yang akan datang (future losses) atau terjadi fluktuasi pendapatan dimasa yang akan datang.
Tujuan dilakukannya risk assessment adalah sebagai berikut : • Menentukan tingkat resiko dari berbagai jenis resiko. • Menentukan pengendalian dari jenis resiko.
• Mengukur dampak dan kuantitas berbagai jenis resiko.
• Menentukan kebjakan dalam rangka mengambil keputusan terhadap resiko yang berdampak besar.
Cakupan Resiko Risk Assesment : • Operasional Proses
• Operasional Sumber Daya Manusia • Operasional Sistem Teknologi Informasi • Faktor Eksternal
Proses dan Prosedur Risk Assessment A. Identifikasi Resiko
• Mengetahui dimana saja resiko berada • Mengetahui penyebab timbulnya resiko • Mengetahui metode yang digunakan untuk
mengidentifikasi keberadaan dan penyebab resiko
• Mengetahui pengendalian yang ada bila resiko itu terjadi.
B. Pengukuran Resiko
• Kuantitatif :“analisis berdasarkan angka-angka nyata (nilai financial) terhadap biaya pembangunan keamanan dan besarnya kerugian yang terjadi”
• Kualitatif : “Sebuah analisis yang menentukan resiko tantangan organisasi dimana penilaian tersebut dilakukan
berdasarkan institusi, tingkat keahlian dalam menilai jumlah resiko yang mungkin terjadi dan potensi kerusakannya”
Hal-hal yang harus diperhatikan dalam Risk Assessment
• Membuat prioritisasi kemungkinan gangguan yang terjadi berdasarkan tingkat kerusakan dan kemungkinan terjadinya.
• Membuat suatu gap analysis dengan membandingkan BCP atau DRP atau Contingency Plan yang dimiliki saat ini dengan hasil Risk Assessment
• Melakukan analisis resiko yang akan timbul bagi perusahaan dan stakeholders akibat adanya gangguan atau bencana.
2.8.4 Menejemen Resiko (Risk Management)
Menejemen resiko adalah langkah ketiga dalam proses rencana kelangsungan bisnis (business continuity plan). Menejemen resiko adalah proses mengidentifikasi, menaksir, dan mengurangi resiko-resiko sampai pada batas yang dapat diterima melalui pengembangan (development), implementasi (implementation) dan maintenance.
Rencana kelangsungan bisnis (Business continuity plan) harus :
• Berdasar kepada Business impact analysis dan risk assessment yang telah ditelaah.
• Didokumentasikan dalam program yang tertulis
• Telah diperiksa dan disetujui oleh senior management paling tidak setahun sekali.
• Terbuka untuk karyawan.
• Dikelola dengan baik ketika proses pengembangan dan pemeliharaan dari BCP dilakukan oleh pihak ketiga. (outsource)
• Perhatian khusus terhadap langkah yang harus diambil pada saat terjadi gangguan.
• Fleksikbel merespon ancaman yang tidak terduga dan perubahan kondisi internal.
• Fokus terhadap efek yang dihasilkan oleh ancaman yang dapat mengganggu operasional bisnis.
• Dikembangkan berdasarkan asumsi yang masuk akal dan analisis yang saling berkaitan
• Efektif dalam meminimalkan gangguan dari service dan kerugian financial melalui implementasi BCP.
2.8.5 Risk Monitoring and Testing
Risk monitoring and testing adalah langkah terahkir dalam proses rencana kelangsungan bisnis (business continuity plan). Risk monitoring dan testing memastikan bahwa BCP dalam sebuah perusahaan dapat berjalan dengan baik melalui :
• Penggabungan BIA and risk assessment ke dalam BCP dan testing program;
• Pengembangan program testing perusahaan.
• Penetapan dari aturan dan tanggung jawab dalam implementasi testing program
• Evaluasi dari testing program dan hasil test oleh menejemen senior dan unit kerja.
• Penilaian dari testing program dan hasil testing oleh pihak independent. • Revisi dari BCP dan testing program berdasarkan perubahan operasi
bisnis, audit, dan rekomendasi dari pemeriksaan dan hasil test.
2.9 Prosedur Minimal BCP (Business Continuity Plan)
Berdasarkan sumber yang diperoleh dari Bank Indonesia
Komponen Prose
Cakupan Minimal Prosedur BCP
Prosedur tanggap darurat (immediate steps) untuk mengenadilakan krisis Prosedur pemulihan seperti backup hardware dan informasi penting, back-up site, dan relokasi pegawai saat disaster Prosedur pemulihan bisnis (business recovery) yang menjabarkan tanggung jawab dan tugas secara rinci masing-masing tim (continuity team)
Prosedur
sinkronisasi data di main site dan backup site Personil Teknologi Dokumentasi Sistem dan data Back-up Business Recovery Center DRC Komponen Prosedur Pemulihan Sistem Dan
bisnis
Gambar 2.4 Cakupan Minimal Prosedur BCP
2.10 Disaster Recovery Center
Disaster Recovery Center (DRC) adalah fasilitas pengganti pada saat Pusat Data (Data center) mengalami gangguan atau tidak dapat berfungsi antara lain karena tidak adanya aliran listrik ke ruang komputer, kebakaran, ledakan atau kerusakan pada komputer, yang digunakan sementara waktu selama dilakukannya pemulihan pusat data bank untuk menjaga kelangsungan kegiatan usaha (business continuity). Sumber : Bank Indonesia.
Hal-hal yang perlu diperhatikan dalam penentuan lokasi DRC
• Ditempatkan pada lokasi terpisah dari Data center dengan memperhatikan resiko geografis :
- Jangkauan geografis atas gangguan/bencana dan dampaknya
- Analisis resiko mengenai geografis yang berbeda (gempa, petir) dan infrastruktur yang berebeda (jaringan komunikasi) dan fasilitas lain
• Kondisi rentannya lokasi dengan kemungkinanan huru-hara dan kerusuhan
• Memiliki pasokan listrik dan sarana telekomunikasi yang dapat menjamin operasi
• Sistem di DRC harus kompatibel dengan sisitem di Data center dan diseusaikan jika terjadi perubahan di Data center
• Merupakan Restricted Area
