Rekomendasi Rencana Tanggap Darurat Dan Penentuan Prioritas Pemulihan Aplikasi Kritikal Pada Keadaan Darurat Di Bank X

(1)

T

E K N O

S

I M

2009

Yogyakarta, 12 November 2009

127 Jurusan Teknik Mesin dan Industri FT UGM

ISBN 978-602-8125-51-2

Rekomendasi Rencana Tanggap Darurat Dan Penentuan Prioritas Pemulihan Aplikasi

Kritikal Pada Keadaan Darurat Di Bank X

Erlinda Muslim, Zulkarnain, dan Luciana Rachel Sentausa Departemen Teknik Industri Fakultas Teknik

Universitas Indonesia, Depok 16424

Email : erlinda@ie.ui.ac.id, zulkarnain@ie.ui.ac.id, luciana_tiui04@yahoo.com Intisari

Kehadiran bencana tidak dapat diduga atau dihindari. Definisi bencana sendiri telah mengalami perubahan makna dari bencana alam menjadi keadaan darurat yang berpengaruh negatif bagi kelangsungan bisnis dan industri. Dalam menjalankan proses bisnis Bank X terdapat beberapa potensi gangguan yang secara langsung maupun tidak langsung dapat mengganggu proses bisnis Bank X. Bagi Bank X, terjadinya gangguan tidak hanya mengakibatkan kerugian sesaat, namun akan bertambah parah apabila Bank X tidak mampu mengembalikan proses bisnis utama dalam periode waktu yang dapat diterima. Untuk mengantisipasi hal tersebut, perlu direncanakan kegiatan-kegiatan yang diperlukan dalam memulihkan keadaan dan proses bisnis pasca terjadinya bencana yang tepat dan sesuai dengan karakteristik Bank X. Pertimbangan dalam melakukan pemulihan keadaan pasca bencana antara lain proses bisnis yang diprioritaskan, aset yang dibutuhkan, waktu tertunda yang dapat diterima, biaya yang dapat ditoleransi serta prioritas pemulihan dan derajat kritikalitas dari masing-masing aset. Penelitian ini difokuskan pada 9 aplikasi kritikal yang dimiliki Bank X, yang akan membahas secara lebih detail tentang analisa dampak bencana terhadap kelangsungan proses bisnis masing-maisng aplikasi, penentuan prioritas pemulihan dan rekomendasi metode backup sebagai upaya pemulihan aplikasi kritikal pada saat terjadi keadaan darurat.

Kata Kunci: Rencana tanggap darurat, rencana pemulihan, bencana, backup aplikasi kritikal

Pendahuluan

Dalam menjalankan suatu proses bisnis, sebuah organisasi dituntut untuk selalu siap dalam

mengantisipasi segala kemungkinan, termasuk terjadinya hal-hal yang tidak diinginkan, seperti

bencana dan bahaya. Seiring dengan perkembangan zaman, bencana berkembang tidak hanya

disebabkan oleh peristiwa alam. Terorisme yang marak belakangan ini, menambah potensi terjadinya

bencana, baik dalam bentuk pengeboman, pembajakan maupun tindakan anarkis berupa perusakan

terhadap aset-aset penting dalam suatu organisasi. Bencana terjadi dengan frekuensi yang tidak

menentu dan akibat yang ditimbulkannya meningkat bagi mereka yang tidak mempersiapkan diri

terhadap kemungkinan-kemungkinan timbulnya bencana. Rencana pencegahan dan perbaikan terhadap

bencana dapat membantu melindungi semua aset organisasi, termasuk sumber daya manusia,

pekerjaan, data-data penting, dan fasilitas organisasi.

Bank X sebagai Bank Sentral, mempunyai tugas untuk menetapkan dan melaksanakan

kebijakan moneter, mengatur dan menjaga kelancaran sistem pembayaran, serta mengatur dan

mengawasi bank. Dalam menjalankan tugasnya tersebut, Bank X

juga menjalankan manajemen

internal. Kelancaran Pelaksanaan tugas Bank X didukung oleh Teknologi Informasi yang aman dan

handal. Teknologi Informasi yang aman dan handal memiliki karakteristik antara lain memiliki tingkat

kerahasiaan, integritas, dan ketersediaan yang tinggi. Hal ini sangat diperlukan mengingat Bank X

sebagai Bank Sentral banyak mengelola informasi yang bersifat rahasia maupun yang memiliki nilai

yang tinggi. Di sisi lain, ancaman terhadap Teknologi Informasi semakin hari semakin meningkat.

Untuk itu diperlukan berbagai upaya dan langkah untuk meningkatkan Pengamanan dan Pemulihan

Teknologi Informasi Bank X. Salah satu aset teknologi informasi terpenting yang dibutuhkan Bank X

dalam menjalankan proses bisnisnya adalah sistem aplikasi. Aplikasi merupakan perangkat lunak yang

dirancang dan dibuat untuk memenuhi kebutuhan tertentu dalam rangka mendukung pelaksanaan

tugas.

Tujuan dari penelitian ini adalah melakukan kajian untuk mengetahui kriteria dari sautu

aplikasi yang dikateorikan kritikal, berdasarkan hasil analisa kritikalitas, serta memberikan usulan

mengenai pemilihan metode backup untuk masing-masing aplikasi kritikal sebagai bagian dari rencana

(2)

Erlinda Muslim, Zulkarnain, Luciana Rachel Sentausa

tanggap darurat dan strategi pemulihan pada saat terjadi bancana. Pada penelitian ini akan dilakukan

penentuan prioritas pemulihan dan analisa kritikalitas terhadap masing-masing aplikasi kritikal yang

telah ditetapkan oleh Forum Manajemen Teknologi Informasi Bank X (FMTI Bank X), menyusun

kajian Business Impact Analysis (BIA) untuk masing-masing aplikasi kritikal, membuat rekomendasi

penentuan kriteria aplikasi kritikal di Bank X, serta membuat rekomendasi pemilihan metode backup

sebagai elemen penting dalam rencana tanggap darurat dan strategi pemulihan untuk aplikasi kritikal

pada saat terjadi bencana

Metode Penelitian

Pengumpulan data dilakukan dengan kuesioner. Adapun informasi yang diperoleh melalui

kuesioner ini adalah karakteristik masing-masing aplikasi kritikal yang terdapat di Bank X. Hasil dari

kuesioner ini akan digunakan sebagai dasar penentuan RTO (Recovery Time Objective) dan RPO

(Recovery Point Objective) untuk masing-masing aplikasi kritikal dimana pada tahap ini akan

dilakukan analisis dampak bencana terhadap aplikasi kritikal sehingga perlu dilakukan treatment

berupa pemilihan jenis dan metode backup yang tepat terhadap masing-masing aplikasi sesuai dengan

prioritas pemulihan aplikasi kritikal pada keadaan darurat. Selain itu, hasil pengolahan data kuesioner

juga akan digunakan sebagai bahan rekomendasi kepada FMTI (Forum Manajemen Teknologi

Informasi) Bank X dalam penentuan kriteria aplikasi kritikal berdasarkan karakteristik yang dimiliki

oleh masing-masing aplikasi kritikal.

Penyebaran kuesioner dilakukan kepada dua kelompok responden. Kelompok responden

pertama berasal dari Tim Pengembangan dan Pemeliharaan Aplikasi Direktorat Teknologi Informasi

(PPA-DTI) sedangkan kelompok responden yang kedua merupakan personil dari unit kerja pemilik

aplikasi kritikal. Berikut ini merupakan 9 aplikasi kritikal yang telah ditetapkan oleh Forum

Manajemen Teknologi Informasi Bank X yang merupakan objek dari penelitian ini seperti yang

terlihat pada tabel I, serta satuan kerja pemilik aplikasi kritikal ditampilkan pada tabel II.

Tabel I. Aplikasi Kritikal di Bank X No Aplikasi Proses Bisnis

1 KL1 Transaksi Settlement 2 KL2 Kliring antar bank

3 AKT Pengelolaan sistem akunting 4 SSB Transaksi surat berharga 5 DVS1 Pengelolaan Transaksi Devisa

6 DVS2 Front officetransaksi foreign

exchange

7 DVS3 Sarana settlement transaksi treasury 8 LPB Pelaporan data oleh Bank Umum 9 WSB Pengawasan Perbankan Nasional

Tabel II. Satuan Kerja Pemilik Aplikasi Kritikal No Aplikasi User (Satuan Kerja Pemilik Aplikasi)

1 KL1 DASP Direktorat Akunting dan Sistem Pembayaran

2 KL2 DASP Direktorat Akunting dan Sistem Pembayaran

3 AKT DKI Direktorat Keuangan Intern 4 SSB DPM Direktorat Pengelolaan Moneter 5 DVS1 DPD Direktorat Pengelolaan Devisa 6 DVS2 DPD Direktorat Pengelolaan Devisa 7 DVS3 DPD Direktorat Pengelolaan Devisa 8 LPB UKMI Unit Khusus Manajemen

Informasi

9 WSB DPIP Direktorat Perizinan dan Informasi Perbankan

Hasil dan Pembahasan

Data yang didapat dari hasil penyebaran kuesioner kemudian diolah untuk mengetahui

karakteristik aplikasi kritikal. Dari hasil pengolahan data, didapatkan beberapa informasi yang menjadi

karaketeristik aplikasi kritikal, diantaranya adalah volume transaksi harian, nilai nominal transaksi

harian, jumlah bank peserta, umlah KBX (Kantor Bank X di Indonesia selain kantor pusat), serta

jumlah KPw (Kantor Perwakilan Bank X di luar negeri). Nilai Potential Downtime Cost dihitung

dengan melihat kerugian finansial dari jumlah transaksi yang gagal dilakukan pada saat terjadi

bencana. Pada Tabel III akan ditampilkan rekapitulasi hasil pengolahan data kuesioner kajian

RPO-RTO aplikasi kritikal sebagai berikut:

(3)

T

E K N O

S

I M

2009

ISBN 978-602-8125-51-2

Tabel III. Rekapitulasi Data Kajian RPO-RTO Aplikasi Kritikal Aplikasi

Kritikal Proses Bisnis

Volume transaksi/ hari Nilai transaksi/hari (juta rupiah) Bank Peserta KBX KPw Potential Downtime Cost(rupiah) KL1 Transaksi Settlement 50,000 240,000,000 > 100 37 4 4,800,000,000

KL2 Kliring antar bank 350,000 5,000,000 > 100 37 0 14,285,714

AKT Pengaturan sistem akunting 23,000 130,000,000 61-80 37 4 5,652,173,913 SSB Transaksi Surat Berharga 3,000 50,000,000 > 100 0 0 16,666,666,667

DVS1 Transaksi Devisa 500 45,000 0 0 0 90,000,000

LPB Pelaporan Bank Umum 0 0 > 100 37 0 900,000

WSB Pengawasan Perbankan 0 0 0 37 0 0

3.1. Prioritas Pemulihan Aplikasi Kritikal

Untuk menentukan nilai prioritas pemulihan aplikasi kritikal digunakan Failure Mode, Effect,

and Criticality Analysis

(FMECA) sebagai alat bantu (tools) dalam melakukan analisa risiko. Terdapat

dua tahapan yang dilakukan dalam FMECA, yaitu penentuan prioritas pemulihan dengan FMEA

(Failure Mode, Effect Analysis) serta analisa kritikalitas melalui Criticality Analysis (CA). Pada

FMEA dilakukan identifikasi terhadap potential failure mode, potential failure cause, serta potential

failure effects

untuk masing-masing aplikasi kritikal. Hasil pengolahan data dengan FMECA

ditampilkan pada tabel IV. Prioritas pemulihan dilakukan berdasarkan nilai Risk Priority Number

(RPN) yang didapatkan dengan rumus:

RPN = Severity x Occurrence x Detection

(1)

Dimana: Severity: Penilaian dampak bencana

Occurrence: Potensi terjadinya kegagalan dalam sebuah sistem atau proses

Detection: Kemampuan deteksi suatu kontrol terhadap potensi kegagalan sistem atau proses

Nilai Severity dan Occurrence ditentukan dengan mengacu pada Manajemen Risiko Bank X

mengenai kriteria umum penentuan nilai dampak dan kecenderungan. Ketentuan dari Manajemen

Risiko Bank X menggunakan skala 10, dengan klasifikasi untuk tiga kategori, yaitu LOW (skala

1-3), MEDIUM (skala 4-6), dan HIGH (skala 7-10). Manajemen Risiko Bank X melakukan penilaian

dampak dari empat sudut pandang yaitu strategi, reputasi, operasional dan finansial. Risiko strategi

merupakan risiko penetapan dan pelaksanaan rencana strategis dan kebijakan Bank X

yang

berdampak signifikan pada publik, dan penetapan dan pelaksanaan kebijakan dan atau peraturan pihak

eksternal yang dapat berdampak pada pelaksanaan fungsi, tugas dan eksistensi Bank X. Reputasi

berkaitan dengan risiko opini/persepsi stakeholder atau pemberitaan negatif yang dapat membentuk

opini/persepsi negatif dan atau menurunkan kepercayaan stakeholder terhadap Bank X. Sedangkan

risiko operasional merupakan risiko kelemahan proses bisnis internal, sumber daya manusia, dan

sistem atau faktor eksternal. Dampak dari sisi finansial didapat dengan menghitung nilai nominal yang

terjadi akibat kegagalan transaksi.

Untuk menentukan nilai detection, penulis menggunakan referensi dari IPOMS (Indonesian

Productions and Operations Management Society) yang juga menggunakan rentang skala dari nilai 1

hingga 10.

(4)

T

E K N O

S

I M

2

0

E rl in d a M u sl im , Z u lk a rn a in , L u c ia n a R a ch e l S e n ta u ₁ J u ru sa n T e k n ik M es in d a n In d u st ri F T U G M IS B N 9 7 8 -6 0 2 -8 1 2 5 -5 1 -2 T a b el IV . F a il u re M o d e , E ff e c t, a n d C ri ti c a li ty A n a ly si s (F M E C A ) A p li k a si K ri ti k a l P o te n ti a l F a il u re M o d e P o te n ti a l F a il u re C a u se P o te n ti a l F a il u re E ff ec t D a m p a k S ev e ri ty O cc u r re n ce D et ec ti o n R P N R S W O W R W F W K L 1 S is te m ap li k a si d o w n B en ca n a al a m K eg a g al an tr a n sa k si se tt le m e n t 1 0 0 .3 1 0 0 .2 9 0 .3 5 0 .2 9 8 6 4 3 2 K L 2 S is te m ap li k a si d o w n B en ca n a al a m P ro se s k li ri n g te rh a m b at 9 0 .3 8 0 .2 9 0 .3 1 0 .2 8 8 6 3 8 4 A K T S is te m ap li k a si d o w n B en ca n a al a m K eg a g al an si st e m a n g g ar an d an tr an sa k si a k u n ti n g 9 0 .3 8 0 .2 7 0 .3 5 0 .2 8 8 6 3 8 4 S S B S is te m ap li k a si d o w n B en ca n a al a m K eg a g al an tr an sa k si su ra t b er h ar g a 9 0 .3 9 0 .2 9 0 .3 7 0 .2 9 8 6 4 3 2 D V S 1 S is te m ap li k a si d o w n B en ca n a al a m T er h am b at n y a p ro se s p en y el e sa ia n tr a n sa k si d e v is a 9 0 .3 9 0 .2 8 0 .3 1 0 .2 8 8 6 3 8 4 D V S 2 S is te m ap li k a si d o w n B en ca n a al a m T er h am b at n y a p ro se s p en y el e sa ia n tr a n sa k si d e v is a 9 0 .3 9 0 .2 8 0 .3 1 0 .2 8 8 6 3 8 4 D V S 3 S is te m ap li k a si d o w n B en ca n a al a m T er h am b at n y a p ro se s p en y el e sa ia n tr a n sa k si d e v is a 9 0 .3 9 0 .2 8 0 .3 1 0 .2 8 8 6 3 8 4 L P B S is te m ap li k a si d o w n B en ca n a al a m T er h am b at n y a p ro se s p el ap o ra n o le h b an k u m u m 1 0 0 .3 7 0 .2 8 0 .3 1 0 .2 7 8 6 3 3 6 W S B S is te m ap li k a si d o w n B en ca n a al a m T id ak te rp en u h in y a fu n g si p en g a w a sa n p er b an k an 1 0 0 .3 7 0 .2 7 0 .3 1 0 .2 7 8 6 3 3 6 K et er an g a n : S = S tr at eg i F = F in a n si a l O = O p er as io n al R = R ep u ta si W = W e ig h t (B o b o t)

(5)

T

E K N O

S

I M

2009

ISBN 978-602-8125-51-2

Tahapan selanjutnya dalam pengolahan data adalah melakukan analisas kritikalitas (Criticality

Analysis, CA). Analisa kritikalitas ini dilakukan dengan menggunakan matriks kritikalitas. Penulis

menggunakan referensi matriks dari NIST (National Institute of Standards and Technology) dimana

pada matriks tersebut terdapat dua elemen risiko yaitu probability of failure dan severity of impact.

Nilai severity of impact didapatkan dari hasil pengolahan data sebelumnya, yaitu dengan

menjumlahkan hasil perkalian masing-masing kategori dampak dan bobotnya. Sedangkan untuk

penentuan nilai probability of failure dilakukan dengan menggunakan parameter nilai p,dimana nilai p

merupakan durasi waktu maksimum downtime yang masih dapat ditoleransi (maximum tolerable

downtime) dibagi dengan lamanya durasi keseluruhan window time dari masing-masing aplikasi

kritikal. Untuk penentuan nilai probability of failure dalam melakukan analisa kritikalitas

menggunakan klasifikasi yang ditetapkan oleh USA Military Standard.

Hasil pemetaan nilai severity of impact dan probability of failure untuk masing-masing

aplikasi kritikal yang terdapat di Bank X kemudian diolah dengan menggunakan matriks kritikalitas

sehingga didapatkan kategori criticality untuk masing-masing aplikasi kritikal, yang ditampilkan pada

Tabel V.

Tabel V. Criticality Analysis (CA) Aplikasi Kritikal Severity of Impact Probability of failure Criticality KL1 9 HIGH 0.2581 A HIGH KL2 7 HIGH 0.3077 A HIGH

AKT 8 HIGH 0.2667 A HIGH

SSB 9 HIGH 0.3478 A HIGH DVS1 ₈ _HIGH _0.375 _A HIGH DVS2 8 HIGH 0.375 A HIGH DVS3 ₈ _HIGH _0.375 _A HIGH LPB 7 HIGH 0.1111 B HIGH WSB 7 HIGH 0.1111 B HIGH

Berdasarkan analisa kritikalitas, ternyata untuk seluruh aplikasi kritikal yang ada

menghasilkan nilai ”HIGH”. Dengan hasil pengolahan data ini dapat dijadikan sebagai salah satu

rekomendasi untuk penentuan kriteria aplikasi kritikal.

3.2 Usulan Penentuan Kriteria Aplikasi Kritikal

FMTI Bank X telah menetapkan 9 buah aplikasi yang masuk ke dalam kategori kritikal.

Namun sampai saat ini belum ada ketentuan yang baku mengenai kriteria atau parameter apa yang

menjadi dasar penentuan kategori kritikal dari suatu aplikasi. Berdasarkan pengolahan data maupun

analisis yang telah dilakukan penulis dalam penelitian ini, maka penulis bermaksud mengajukan

rekomendasi dalam penentuan kriteria aplikasi kritikal. Diharapkan usulan ini dapat menjadi masukan

bagi FMTI Bank X. Jika suatu ketika akan dikembangkan aplikasi baru di Bank X, maka aplikasi

tersebut dapat diketahui apakah masuk ke dalam kategori kritikal atau tidak, dengan melihat kriteria

atau parameter sebagai berikut:

1. Proses bisnis aplikasi kritikal harus menunjang salah satu dari fungsi 3 pilar Bank X, yaitu:

Kebijakan moneter, sistem pembayaran, serta pengawasan perbankan nasional. 9 aplikasi kritikal

yang telah ditetapkan FMTI Bank X telah memenuhi persyaratan ini.

2. Memiliki nilai RPO (Recovery Point Objective) dan RTO (Recovery Time Objective) yang tidak

lebih dari 24 jam. Nilai RPO diukur dari besarnya jumlah data yang hilang yang masih dapat

ditoleransi pada saat terjadi keadaan darurat, sedangkan nilai RTO merupakan waktu toleransi

maksimum jika terjadi downtime terhadap suatu aplikasi krtitikal pada keadaan darurat.

3. Memiliki tingkat kritikalitas

HIGH

Berdasarkan hasil analisa kritikalitas, suatu aplikasi dapat dikatakan kritikal jika menghasilkan nilai

HIGH pada kategori criticality. Hal ini terbukti untuk 9 aplikasi yang telah ditentukan FMTI Bank

(6)

X, seperti yang telah ditampilkan pada tabel V.

3.3 Rekomendasi Metode Backup Aplikasi Kritikal

Tujuan akhir dari penelitian ini adalah memberikan rekomendasi yang terkait dengan

pemilihan metode backup sebagai upaya pemulihan aplikasi kritikal pada keadaan darurat.

Rekomendasi disusun dengan melihat nilai RTO dan RPO dari masing-masing aplikasi kritikal

berdasarkan acuan dari beberapa referensi. Untuk penentuan strategi pemulihan, penelitian ini

menggunakan referensi dari Veritas. Tabel VI merupakan rekomendasi yang diberikan penulis dalam

pemilihan metode backup sebagai alternatif strategi pemulihan aplikasi kritikal pada keadaan darurat,

dengan mempertimbangkan nilai RTO dan RPO serta hasil dari analisa kritikalitas dan prioritas

pemulihan untuk masing-masing aplikasi kritikal yang terdapat di Bank X.

Terdapat tiga jenis metode backup yang direkomendasikan untuk diimplementasikan sebagai

alternatif strategi pemulihan aplikasi kritikal pada keadaan darurat di Bank X. Hal ini ditentukan

berdasarkan nilai RTO dan RPO untuk masing-masing aplikasi kritikal. Ketiga metode tersebut adalah

mirroring/clustering, synchronous replication,

serta asynchronous replication.

Tabel VI. Rekomendasi Metode Backup Berdasarkan Prioritas Pemulihan Aplikasi Kritikal pada Keadaan Darurat

Aplikasi Criticality Rank

RTO RPO

Rekomendasi Metode Backup

RTO Tier RPO Tier

KL1 HIGH 1 0 dtk 1 0 dtk A Mirroring / Clustering

SSB HIGH 1 0 dtk 1 0 dtk A Mirroring / Clustering

KL2 HIGH 2 2 jam 2 < 5 mnt B Synchronous Replication

AKT HIGH 2 2 jam 2 < 5 mnt B Synchronous Replication

DVS1 HIGH 2 3 jam 2 < 5 mnt B Synchronous Replication

LPB HIGH 3 < 18 jam 2 < 24 jam B Asynchronous Replication WSB HIGH 3 < 18 jam 2 < 24 jam B Asynchronous Replication