Abstrak - Kemungkinan akan terjadinya kerusakan, kehilangan atau ketidakberfungsian infrastruktur teknologi informasi dengan adanya hal-hal yang tidak dapat dihindari dan diprediksi, seperti terjadinya bencana. Bencana yang dimaksud bisa berupa bencana alam, bencana akibat ulah manusia dan bencana akibat kegagalan sistem. Bencana yang terjadi dapat mengakibatkan infrastuktur teknologi informasi tidak dapat beroperasi sehingga sangat berpengaruh pada operasional institusi. Untuk mengatasi efek terjadinya bencana ataupun gangguan maka diperlukan sebuah perencanaan yang matang dan upaya pemulihan dari bencana. Saat ini ITS belum memiliki dokumen perencaan terkait dengan proteksi aset pada terjadinya bencana atau gangguan. Karena itu perlu adanya sebuah perencaanan yang bertujuan untuk memulihkan bisnis,.
Disaster Recovery Plan (DRP) merupakan sekumpulan dokumen yang mendefinisikan setiap aktifitas, tindakan serta prosedur yang harus dilakukan terkait pemulihan bencana, melanjutkan proses bisnis yang tertunda dalam waktu yang singkat dan dapat menyelamatkan aset pada sektor yang dimiliki teknologi informasi pada ITS.
Hasil akhir yang dihasilkan adalah berupa dokumen Disaster Recovery Planning (DRP) yang berisi panduan dalam melakukan tahapan-tahapan dalam pemulihan terhadap bencana, kebijakan untuk melakukan aktivitas-aktivitas, prosedur untuk tahapan langkah-langkah sebelum melakukan aktivitas dan formulir untuk mengisi informas-informasi yang didapat dalam melakukan pemulihan terhadap bencana untuk ITS dengan menggunakan standar ISO/IEC 24762: 2008.
Kata kunci: Disaster Recovery Plan (DRP), Disaster, Manajemen Risiko, Analisa Dampak Bisnis
I. PENDAHULUAN
Institut Teknologi Sepuluh Nopember (ITS) Surabaya merupakan instansi pendidikan yang mengedepankan teknologi informasi dan komunikasi. ITS memiliki concern yang tinggi terhadap teknologi informasi dan komunikasi dengan menerapkan teknologi informasi dan komunikasi di setiap instansi. Terdapat berbagai fasilitas yang dimiliki oleh ITS yang terdiri dari perangkat lunak, perangkat keras, alat cetak, data dan sebagainya. Di ITS sendiri mempunyai badan resmi pengatur teknologi informasi yang bernama Badan Teknologi Sistem Informasi atau BTSI.
Namun, hingga saat ini BTSI sendiri belum memiliki dokumentasi terkait dengan penyimpanan dan penjagaan aset infrastruktur teknologi informasi. Karena teknologi informasi dan komunikasi merupakan hal yang sangat penting bagi ITS, maka sebaikanya perlu dilakukan manajemen risiko dan pendokumentasian panduan bencana terkait rencana penjagaan dan penyimpanan infrastruktur teknologi informasi untuk meminalkan hal-hal
yang tidak dapat dihindari ataupun diprediksi. Maka perlu adanya sebuah perencaanan yang bertujuan untuk memulihkan bisnis, rencana alternatif dan manajemen krisis untuk mengurangi dampak dan mencegah risiko. Dengan Disaster Recovery Plan maka akan menjawab permasalahan yang ada pada sebuah instansi terkait dengan perencanaan untuk memulihkan bisnis dengan menyediakan sebuah panduan yang harus diikuti untuk apalabila terdapat bencana yang terjadi.
Disaster Recovery Plan (DRP) merupakan sekumpulan dokumen yang mendefinisikan setiap aktifitas, tindakan serta prosedur yang harus dilakukan oleh segenap stakeholder yang terlibat untuk dapat menyelamatkan aset pada sektor yang dimiliki teknologi informasi pada ITS [2]. Sebelum membuat DRP, hal terpenting yang harus dilakukan adalah dengan menerapkan manajemen risiko. Dengan menerapkan manajemen risiko, maka risiko yang ada pada Pusat Data dan Jaringan dapat dengan mudah teridentifikasi.
Wujud DRP sendiri secara sederhana hanya berupa dokumen yang berisi response plan (rencana tanggap) terhadap bencana. Tetapi, proses penyusunan dokumen tersebut tidaklah mudah dan memerlukan pengetahuan yang
mendalam mengenai berbagai resiko yang dihadapi instansi. Ruang lingkup DRP dapat dibuat melebar meliputi infrastruktur, personel dan prosedur [3]. Pada tulisan ini, fokus pembahasan DRP ditekankan pada DRP terkait dengan penyelamatan infrastruktur teknologi informasi dari ancaman bencana.
II. KAJIAN PUSTAKA
2.1 Disaster Recovery Plan
DRP adalah proses, kebijakan dan prosedur yang berkaitan dengan persiapan pemulihan atau keberlangsungan infrastruktur teknologi yang kritis bagi organisasi setelah terjadinya bencana, baik bencana yang disebabkan oleh tindakan manusia ataupun bencana alam. Disaster recovery merupakan bagian dari business continuity. Sedangkan business continuity sendiri merupakan aktivitas yang dilakukan oleh organisasi untuk menjamin bahwa fungsi bisnis kritis dapat tetap tersedia bagi konsumen, supplier dan pihak-pihak lainnya yang berkepentingan [4].
Perencanaan disaster recovery mengacu pada persiapan untuk menghadapi bencana dan respon yang harus diberikan ketika bencana terjadi. tujuan DRP adalah keberlangsungan (continuity) atau kemampuan organisasi untuk bertahan (survival) dalam menghadapi bencana
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN
ISO/IEC 24762:2008 DI ITS SURABAYA (Studi Kasus di Pusat Data dan
Jaringan BTSI ITS)
Julia Carolina Daud
Jurusan Sistem Informasi, Fakultas Tekhnologi Informasi, Institut Teknologi Sepuluh Nopember (ITS)
Jl. Raya ITS Kampus ITS Sukolilo, Surabaya 60111
(Proses penyusunan DRP meliputi analisis, perencanaan, pembuatan DRP, pengujian dan revisi periodik berdasarkan kondisi bisnis terkini) [5].
Beberapa jenis bencana yang dapat mengancam bisnis dapat dikelompokkan berdasarkan penyebab sebagai berikut : bencana alam, bencana akibat kegagalan alat-alat, akibat kegagalan aspek keamanan, dan situasi lingkungan seperti demonstrasi, terorisme, perang, sabotase dan lain-lain. Berbagai macam penyebab kejadian bencana di atas, dapat berpotensi menyebabkan kerusakan pada gedung, peralatan dan sistem teknologi informasi. Dampak bencana terhadap organisasi dapat berupa direct damage (kerusakan langsung alat-alat dan gedung), inaccessibility (fasilitas tidak dapat diakses), utility outage (tidak tersedianya infrastruktur pendukung seperti listrik,air dan sebagainya), transportation disruption, communication disruption, evacuation dan worker absenteeism [6]. Dampak tersebut dapat menghentikan bisnis baik untuk sementara atau hingga jangka waktu tertentu. Jika terhentinya bisnis ini terus berlanjut,dapat mengakibatkan
pindahnya para konsumen ke pelaku bisnis lainnya. Gambar 1 dibawah ini merupakan elemen langkah-langkah dalam penyusunan TI Disaster Recovery Plan
Gambar 1 Langkah-langkah penyusunan DRP
2.2 ISO/IEC 24762: 2008
ISO/IEC 24762:2008 merupakan standar internasional yang berisi mengenai konsep dan prinsip mengenai informasi dan komunikasi teknologi (ICT) untuk kelangsungan bisnis dengan menyediakan framework yang berisi metode dan proses untuk melakukan identifikasi dan spesifikasi semua aspek mengenai kriteria kinerja, desain, dan implementasi untuk mengembangkan sebuah organisasi IT demi kelangsungan bisnis instansi. ISO/IEC dapat digunakan untuk semua organisasi misalnya untuk pribadi, pemerintahan, non-pemerintahan, dan usaha komersiaL [7].
ISO/IEC 24762: 2008 memberikan pedoman pada penyediaan informasi dan teknologi komunikasi pemulihan bencana (DR ICT) jasa sebagai bagian dari manajemen bisnis kontinuitas. Menurut ISO/IEC 24762: 2008,
manajemen bisnis kontinuitas merupakan bagian dari proses manajemen risiko dan melibatkan [8]:
• Mengidentifikasi ancaman potensial yang dapat menyebabkan dampak buruk terhadap operasi bisnis, dan risiko yang terkait.
• Menyediakan kerangka kerja bagi ketahanan bangunan untuk operasi bisnis
• Menyediakan kemampuan, fasilitas, proses dan daftar aksi tugas untuk tanggapan terhadap bencana dan kegagalan. Kebutuhan untuk menerapkan, mengoperasikan, memonitor dan memelihara fasilitas dan layanan DR untuk ICT. • Kemampuan yang harus dimiliki oleh layanan DR
ICT eksternal dan pedoman praktis yang harus dijalankan untuk menyediakan lingkungan operasional minimal yang aman dan memfasilitasi usaha organisasi untuk melakukan recovery • Pedoman memilih situs recovery dan pedoman
untuk peningkatan layanan DR ICT
2.3 Perbedaan BCP dan DRP
BCP (Business Continuity Plan) adalah terkait dengan segala sesuatu yang berhubungan dengan usaha untuk mempertahankan kelangsungan proses bisnis sedangkan DRP adalah terkait dengan segala sesuatu yang berhubungan dengan usaha untuk mempertahankan kelangsungan proses TI. BCP berisi uraian proses yang menggambarkan bagaimana usaha yang harus dilakukan oleh suatu unit kerja sebelum, saat dan setelah suatu bencana atau insiden terjadi untuk memastikan proses bisnis dapat berjalan lancar. Usaha yang harus dilakukan tersebut adalah terkait dengan personel, lokasi, bangunan, teknologi pelayanan. Sedangkan DRP berisi uraian proses yang menggambarkan bagaimana usaha yang harus dilakukan oleh suatu unot kerja sebelum, saat dan setelah suatu bencana atau insiden terjadi untuk memastikan kegiatan proses TI dapat berjalan lancar. Usaha yang harus dilakukan tersebut adalah terkait dengan kesiapan personel dan fasilitas pemrosesan TI [9].
2.4 Manajemen Risiko
Sebelum melakukan pembuatan DRP, hal yang paling penting dilakukan pertama kali adalah menerapkan Manajemen Risiko. Manajemen risiko adalah proses yang memungkinkan manajer TI untuk menyeimbangkan biaya operasional dan ekonomi dari tindakan pengamanan dalam hal melindungi sistem TI dan data yang mendukung misi instansi mereka [10]. Risiko adalah dampak negatif dari pelaksanaan kerentanan, dengan mempertimbangkan probabilitas dan dampak terjadinya. Proses manajemen risiko pada tugas akhir ini mengacu pada NIST (National Institute of Standards and Technology) karena manajemen risiko yang dianalisa ini memiliki fokus kepada infrastruktur teknologi informasi dari ancaman bencana sehingga penggunaan Manajemen Risiko berdasarkan NIST [11].
2.5 Risk Management Guide for IT System
berdasarkan NIST
Penggunaan Manajemen Risiko menggunakan studi dokumen pada NIST (National Institute of Standards and Technology), hal ini dikarenakan standar ini fokus membahas sistem TI dimana akan sangat dibutuhkan dalam pembuatan perencanaan pemulihan bencana alam yang fokus ke. Tahapan-tahapan dalam manajemen risiko pada tugas akhir ini disesuaikan dengan NIST dan pencarian data yang dilakukan di Pusat Data dan Jaringan BTSI. Pemilihan penggunaan standar ini karena mencakup informasi ancaman dan sumber ancaman untuk ancaman terhadap manusia, identifikasi kerentanan, dan kriteria keamanan.
2.5.1 Penilaian Risiko
Penilaian risiko digunakan untuk menentukan ancaman yang berpotensi untuk terjadi dan risiko sistem TI yang terkait. Output dari proses ini adalah untuk dapat mengidentifikasi kontrol yang layak untuk mengurangi atau menghilangkan risiko selama proses mitigasi risiko. Untuk menentukan kemungkinan terjadinya peristiwa yang terjadi di masa mendatang, ancaman terhadap sistem TI harus dianalisis dalam hubungannya dengan potensi kerentanan dan untuk sistem TI. Dampak mengacu pada besarnya bahaya yang bisa disebabkan oleh kerentanan. Level dampak diatur oleh dampak yang potensial dan dampak tersebut berpengaruh terhadap aset dan sumber daya TI yang terkena dampak. Berikut adalah tahapan-tahapan dalam melakukan penilaian risiko:
2.5.1.1 Karakterisasi Sistem
Pada tahapan karakterisasi sistem ini berfungsi untuk melakukan identifikasi batasan sistem yang ada, sehingga dapat dengan jelas melihat batasan fungsionalitas. 2.5.1.2 Identifikasi Ancaman dan Gangguan
Ancaman merupakan suatu tindakan dari luar yang tidak diduga sebelumnya. Ancaman dapat berupa bencana alam, ancaman terhadap peralatan fisik, sumber daya manusia, maupun ancaman terhadap perangkat lunak. Sedangkan gangguan adalah suatu kendala yang datang dari dalam dan terbagi menjadi dua, yakni gangguan yang disengaja atau tidak disengaja.
2.5.1.3 Identifikasi Kerentanan
Analisis ancaman terhadap sistem TI harus menyertakan analisis kerentanan terkait dengan sistem lingkungan. Tujuan dari langkah ini adalah untuk menyusun daftar kerentanan sistem (kekurangan atau kelemahan) yang bisa dimanfaatkan oleh sumber ancaman yang potensial.
2.5.1.4 Analisis Kontrol
Tujuan dari langkah ini adalah untuk menganalisis kontrol yang telah dilaksanakan, atau yang direncanakan untuk pelaksanaan, institut untuk mengurangi atau menghilangkan kemungkinan (probabilitas atau) menilai kerentanan sistem ancaman tersebut. Kategori kontrol untuk metode pengendalian baik teknis dan nonteknis dapat
diklasifikasikan sebagai menjadi dua, yakni preventif atau detektif. Kedua subkategori dijelaskan sebagai berikut [12]: • Kontrol Preventif mencegah upaya untuk melanggar kebijakan keamanan dan termasuk kontrol seperti pengamanan kontrol akses, enkripsi, dan otentikasi. • Kontrol Detektif memperingatkan pelanggaran atau
pelanggaran percobaan kebijakan keamanan dan mencakup kontrol seperti jejak audit, metode deteksi intrusi, dan checksum.
2.5.1.5 Penentuan Kemungkinan
Menunjukkan kemungkinan bahwa potensi kerentanan dapat dilaksanakan dalam membangun lingkungan ancaman yang terkait, faktor-faktor yang yang harus dipertimbangkan adalah:
• Kemampuan dan Motivasi Sumber Ancaman • Sifat kerentanan
• Keberadaan dan efektivitas kontrol saat ini. Kemungkinan potensi kerentanan dapat dieksekusi oleh sumber ancaman yang dapat digambarkan sebagai certain, likely, moderate, unlikely, dan rare
2.5.1.6 Analisa Dampak
Analisis dampak bisnis (BIA) merupakan komponen penting dari rencana kelanjutan bisnis organisasi, BIA juga mencakup komponen eksplorasi untuk mengetahui kerentanan, dan komponen perencanaan untuk mengembangkan strategi untuk meminimalkan risiko.
Hasil analisis adalah laporan dampak bisnis yang menggambarkan potensi risiko pada sebuah organisasi. Salah satu asumsi dasar di balik BIA adalah bahwa setiap komponen organisasi bergantung pada fungsi lanjutan dari setiap komponen lainnya. Risiko yang terdapat pada Pusat Data dan Jaringan nantinya akan dianalisa berdasarkan dampak bisnis yang ada [13].
2.5.1.7 Penentuan Dampak
Setelah melakukan identifikasi risiko yang memiliki potensi untuk terjadi, maka berikutnya adalah melakukan penilaian risiko untuk mengetahui level risiko lalu berikutnya adalah melakukan analisa dampak bisnis. Pada analisa dampak dapat diketahui kategori skala dampak, jika kategori dampak telah diketahui maka dapat diketahui dampak bisnis yang diakibatkan dari bencana yang terjadi. Serta dapat dilakukan proses pemulihan yang sesuai dengan kategori skala dampak.
Tabel 4 berikit merupakan tabel yang berisi kategori dampak dari risiko yang terjadi serta penjelasan mengenai dampak risiko. [14]
III. METODOLOGI
Perumusan Masalah Penetapan Tujuan Penyusunan draft dokumen Disaster Recovery Plan (DRP) Penyusunan Buku Tugas Akhir Verifikasi Data Dokumen DRP valid? Manajemen Risiko Penyusunan dokumen Disaster Recovery Plan(DRP)
Tidak Studi Literatur
Pencarian Data
Observasi Wawancara Studi Dokumen
Ya
Gambar 2 Flowchart Metode Pengerjaan tugas akhir
IV. P
ENGUMPULAND
ATA DANM
ANAJEMENR
ISIKOBerdasarkan studi kasus yang ada pada pusat data dan jaringan. Maka didapatkan hasil mengenai penilaian risiko sesuai dengan hasil survey dan wawancara.
4.1 Proses Bisnis Pusat Data dan Jaringan
Proses bisnis yang menjadi inti dalam Pusat Data dan Jaringan., yang dijabarkan sebagai berikut:
1) Penyediaan informasi dan layanan publik 2) Menampung berbagai macam layanan
utama seperti Email, DNS, Website, dan Streaming
3) Menampung server-server yang dimiliki oleh jurusan-jurusan atau unit-unit di lingkungan ITS.
4) Mengelola sistem dan infrastruktur jaringan ITS (melakukan troubleshooting)
5) Mengelola kelistrikan yang mendukung infrastruktur Pusat Data dan Jaringan yaitu antara lain genset, UPS dan lain sebagainya 6) Menghubungi vendor apabila terdapat
kerusakan pada hardware yang tidak dapat ditangani oleh tim internal
7) Menjamin keamanan Sistem Informasi
8) Pelayanan dan Perawatan untuk server-server ITS yang berada di bawah tanggung jawab divisi
Gambar dibawah ini grafik NOC (Network Operation Center yang ada pada ITS)
Gambar 3 Grafik NOC (Sumber: www.noc.its.ac.id diakses pada 13 Juli 2013)
Dari grafik diatas dapat diketahui bahwa tingkat penggunaan internet di ITS sangat tinggi, maka melakukan identifikasi risiko dan membuat perencanaan jika terjadi bencana merupakan hal yang sangat penting. Dibawah ini adalah proses melakukan identifikasi risiko berdasarkan NIST.
4.2
Identifikasi Ancaman dan Gangguan
KATEGORI ANCAMAN ANCAMAN KOMPONEN PERANGKAT YANG TERKENA
Alam Pergerakan bumi
(gempa bumi, gunung meletus, dsb.) Seluruh Perangkat Infrastruktur TI terkena Api (Kebakaran) Air (Banjir) Badai
Layanan Internet Perangkat lunak
(software aplikasi) dan perangkat keras (harddisk) Listrik Gas Udara Kegagalan peralatan Kehilangan Pencurian, pendobrakan, pengambilan dengan paksa. Seluruh Perangkat Infrastruktur TI terkena Penembakan, terjadinya Bom Seluruh Perangkat Infrastruktur TI terkena Human Error Perangkat lunak
(aplikasi)
Sabotase Akses masuk ke
dalam perangkat lunak
Penyalahgunaan hak akses untuk kepentingan pribadi
Hilangnya data data penting aau hilangnya aset core dari bisnis. Kegagalan Sistem perangkat - Kegagalan fungsional - Code Error Perangkat Lunak
KATEGORI ANCAMAN ANCAMAN KOMPONEN PERANGKAT YANG TERKENA lunak - Bugs Kegagalan perangkat keras - Kegagalan harddisk - Kegagalan server, router, switch, hub. Perangkat Keras Serangan Virus Serangan virus, Trojan, Worm Perangkat Lunak dan Data Listrik yang tidak stabil
Korsleting Perangkat Keras Human Error - Kesalahan input
atau kesalahan koding - Kesalahan pemasukan data - Kesalahan penghapusan data. - Kesalahan operator(salah memberi label pada pita magnetik Aplikasi Perangkat Lunak UPS tidak tersedia - Kegagalan proses recovery data - Kegagalan proses backup Hilangnya Data
4.3 Identifikasi Kerentanan
KATEGORI ANCAMAN ANCAMAN KERENTANANKebakaran Api (Kebakaran) Kuranganya alat pemadam kebakaran, kurangnya alat pendeteksi asap Air (Banjir) Bangunan yang tidak
kokoh sehingga memungkinkan untuk terjadinya kebocoran
Layanan Internet Antivirus tidak update
Listrik Terjadi kesalahan pada pusat kelistrikan Kegagalan peralatan Perawatan atau
maintenance tidak dilakukan secara rutin. Atau peralatan melebihi lifetime penggunaan Kehilangan Pencurian,
pendobrakan, pengambilan dengan paksa.
Tidak adanya kontrol akses fisik pada ruang server. Tidak ada pencatatan form aktivitas di dalam ruang server
Human Error Pekerja tidak memiliki kemampuan untuk menjalankan aplikasi. Pekerja tidak mengikuti training.
Sabotase Kurangnya penjagaan terhadap ruang server Penyalahgunaan hak
akses untuk kepentingan pribadi
Kurangnya penjagaan terhadap ruang server Kegagalan - Kegagalan Versi aplikasi yang
KATEGORI ANCAMAN ANCAMAN KERENTANAN Sistem perangkat lunak fungsional - Code Error - Bugs digunakan tidak uptodate atau aplikasi yang digunakan terdapat kerentanan sehingga dapat terinfeksi oleh virus Kegagalan perangkat keras - Kegagalan harddisk - Kegagalan server, router, switch, hub. Terdapat kerusakan pada server
Serangan Virus Serangan virus, Trojan, Worm
Pemilihan antivirus yang tidak handal, antivirus jarang dilakukan update secara berkala, dan
ketidakwaspadaan dalam membuka atachment e-mail dari pengirim yang tidak dikenal
Listrik yang tidak stabil
Korsleting Harus terpasang UPS dan genset karena dapat membuat listrik lebih stabil dan dapat juga menyimpan energi listrik cadangan, sehingga ada waktu untuk melakukan proses back up data
Human Error - Kesalahan input atau kesalahan koding - Kesalahan pemasukan data - Kesalahan penghapusan data. - Kesalahan operator (salah memberi label pada pita magnetik)
Sumber daya manusia yang ada di Pusat Data dan Jaringan tidak memiliki sertifikasi atau tidak memiliki
pengalaman training
4.3 Dampak Proses Bisnis
Daftar Proses Bisnis Keterangan Ketergantu ngan Penyediaan informasi dan layanan publik Untuk mengetahui mengenai infor terbaru dari ITS Dapat berjalan jika proses bisnis terganggu Menampung berbagai macam layanan utama seperti Email, DNS, Website, dan Streaming
Seluruh domain yang menggunakan domain its.ac.id merupakan proses bisnis utama. eperti FRS Online dan autentifikasi email jika ingin menggunakan internet.
Sangat Tergantung
Menampung server-server yang dimiliki oleh jurusan-jurusan atau unit-unit di lingkungan ITS.
Jika terjadi bencana pada ITSnet, maka proses bisnis pihak-pihak yang meletakkan server di ITSnet akan terganggu. Contoh: Akses DIGILIB
Sangat Tergantung
kelistrikan yang mendukung infrastruktur Pusat Data dan Jaringan yaitu antara lain genset, UPS dan lain sebagainya
ITSnet, maka proses bisnis seluruh pihak, baik itu proses bisnis ITSnet sendiri maupun pihak-pihak terkait akan terganggu dan menyebabkan dampak yang vital karena dapat mengakibatkan
lumpuhnya proses bisnis
Tergantung
Menjamin keamanan Sistem Informasi
Kemanan sistem informasi merupakan hal yang sangat penting untuk menunjang kerahasiaan, kepercayaan dan ketersediaan data Sangat Tergantung Pelayanan dan Perawatan untuk server-server ITS yang berada di bawah tanggung jawab divisi ITSnet.
Pelayanan dan perawatan server merupakan kunci sukses dari jalannya proses bisnis. Jika pelayanan tidak dilakukan maka pihak ITSnet akan kehilangan kepercayaan, dan jika perawatan server tidak dilakukan maka dapat mengakibatkan kerusakan pada server
Sangat tergantung
V. K
ESIMPULAN DAN SARANKesimpulan
Kesimpulan yang dapat diambil dari pengerjaan tugas akhir ini yakni sebagai berikut:
1. Studi kasus pada infrastruktur Pusat Data dan Jaringan menghasilkan beberapa temuan yang kontradiktif yaitu tingginya tingkat kebergantungan para pengguna terhadap layanan jaringan komputer tetapi rendahnya tingkat pengetahuan pengguna dalam pengamanan data dari bencana. Pihak pengelola jaringan komputer Institut juga tidak memiliki rencana dan mekanisme yang jelas untuk menghadapi bencana, khususnya yang terkait dengan bencana skala kecil pada jaringan komputer seperti serangan virus, serangan hacker, kegagalan hardware atau gangguan infrastruktur seperti terputusnya listrik, kebakaran dan lain-lain
2. Hasil pembuatan DRP disesuaikan dengan tahapan yang ada pada metode pengerjaan tugas akhir, yakni melakukan penilaiaan risiko dan tahapan-tahapannya berdasarkan NIST.
6.2 Saran
Beberapa hal yang diharapkan dapat dikembangkan untuk penelitian berikutnya, yaitu:
1. Perlu dilakukan penelitian kembali pada bagian BTSI yang lain, mengingat Teknologi Informasi dan Komunikasi di ITS juga memiliki potensi risiko yang sama.
2. Penilaian identifikasi risiko untuk kelanjutan dari tugas akhir berikutnya diharapkan agar melakukan penilaian secara kuantitatif agar data yang didapat valid.
DAFTAR PUSTAKA
[1] Afifa, Linda N. Usulan Panduan Pelaksanaan Manajemen Risiko Tata Kelola TIK Nasional, 2011 [2] Manurung, Yunita Caroline. Penyusunan Rencana
Penanggulangan Bencana (Disaster Recovery Planning) Pada Sektor Teknologi Informasi. 2007. [3] NIST Special Publication 800-30. Risk Management
Guide for Information Technology Systems. July 2002.
[4] Snedaker, Susan. Business Continuity and Disaster Recovery Planning for IT. Syngress: 2011
[5]
Gregory, Peter, CISA, CISSP, "IT Disaster Recovery Planning for Dummies", Willey Publishing, Inc, 2007.
[6]
Wallace, Michael and Lawrence Webber. 2004 . The Disaster RecoveryHandbook: A Step-by-Step Plan to Ensure Business Continuity and Protect Vital Operations, Facilities, and Assets[7] Davis, Jeff, (2002), “Get IT Done: How does the help desk fit into the disaster recovery plan?”, Published 11-05-02, http://www.techrepublic.com
[8] Mounting, (2004), “The Business Case for DRP : Calculating the Cost of Downtime”, White paper from Iron Mounting,www.electronicvaulting.co.uk. [9] Ward, John, and Peppard, Joe, (2002), “Strategic
Planning for Information System”, 3rd Ed, John Willey & Sons, Inc.
[10] Falahah, “Pengembangan Model Perencanaan Penanggulangan Bencana (Disaster Recovery Plan) pada Sektor Teknologi Informasi”, Tesis Magister Sistem Informasi, Program Studi Informatika, STEI, ITB, 2006
[11] Tipton, H. and Krause, M. Information Security Management Handbook 4th Edition. NY: Auerbach Publications, 2000. 581 –596.
[12] Bell, Judy. "Why Some Recovery Plans Won't Work." Disaster Recovery Journal.Spring 2003: 30 -32.
[13] Vijayan, J. (2005) Data security risks missin World, 39 (41), 16-18.
[14] “Disaster Recovery Planning: Project Plan Outline.” Computing & Networking Services, University of
Toronto. URL:
http://www.utoronto.ca/security/drp.htm
[15] Charlotte Brooks, Matthew Bedernjak, Igor Juran, John Merryman. (2002). Disaster Recovery Strategies. IBM Redbook
