T
E K N OS
I M2009
Yogyakarta, 12 November 2009127 Jurusan Teknik Mesin dan Industri FT UGM
ISBN 978-602-8125-51-2
Rekomendasi Rencana Tanggap Darurat Dan Penentuan Prioritas Pemulihan Aplikasi
Kritikal Pada Keadaan Darurat Di Bank X
Erlinda Muslim, Zulkarnain, dan Luciana Rachel Sentausa Departemen Teknik Industri Fakultas Teknik
Universitas Indonesia, Depok 16424
Email : erlinda@ie.ui.ac.id, zulkarnain@ie.ui.ac.id, luciana_tiui04@yahoo.com Intisari
Kehadiran bencana tidak dapat diduga atau dihindari. Definisi bencana sendiri telah mengalami perubahan makna dari bencana alam menjadi keadaan darurat yang berpengaruh negatif bagi kelangsungan bisnis dan industri. Dalam menjalankan proses bisnis Bank X terdapat beberapa potensi gangguan yang secara langsung maupun tidak langsung dapat mengganggu proses bisnis Bank X. Bagi Bank X, terjadinya gangguan tidak hanya mengakibatkan kerugian sesaat, namun akan bertambah parah apabila Bank X tidak mampu mengembalikan proses bisnis utama dalam periode waktu yang dapat diterima. Untuk mengantisipasi hal tersebut, perlu direncanakan kegiatan-kegiatan yang diperlukan dalam memulihkan keadaan dan proses bisnis pasca terjadinya bencana yang tepat dan sesuai dengan karakteristik Bank X. Pertimbangan dalam melakukan pemulihan keadaan pasca bencana antara lain proses bisnis yang diprioritaskan, aset yang dibutuhkan, waktu tertunda yang dapat diterima, biaya yang dapat ditoleransi serta prioritas pemulihan dan derajat kritikalitas dari masing-masing aset. Penelitian ini difokuskan pada 9 aplikasi kritikal yang dimiliki Bank X, yang akan membahas secara lebih detail tentang analisa dampak bencana terhadap kelangsungan proses bisnis masing-maisng aplikasi, penentuan prioritas pemulihan dan rekomendasi metode backup sebagai upaya pemulihan aplikasi kritikal pada saat terjadi keadaan darurat.
Kata Kunci: Rencana tanggap darurat, rencana pemulihan, bencana, backup aplikasi kritikal
Pendahuluan
Dalam menjalankan suatu proses bisnis, sebuah organisasi dituntut untuk selalu siap dalam
mengantisipasi segala kemungkinan, termasuk terjadinya hal-hal yang tidak diinginkan, seperti
bencana dan bahaya. Seiring dengan perkembangan zaman, bencana berkembang tidak hanya
disebabkan oleh peristiwa alam. Terorisme yang marak belakangan ini, menambah potensi terjadinya
bencana, baik dalam bentuk pengeboman, pembajakan maupun tindakan anarkis berupa perusakan
terhadap aset-aset penting dalam suatu organisasi. Bencana terjadi dengan frekuensi yang tidak
menentu dan akibat yang ditimbulkannya meningkat bagi mereka yang tidak mempersiapkan diri
terhadap kemungkinan-kemungkinan timbulnya bencana. Rencana pencegahan dan perbaikan terhadap
bencana dapat membantu melindungi semua aset organisasi, termasuk sumber daya manusia,
pekerjaan, data-data penting, dan fasilitas organisasi.
Bank X sebagai Bank Sentral, mempunyai tugas untuk menetapkan dan melaksanakan
kebijakan moneter, mengatur dan menjaga kelancaran sistem pembayaran, serta mengatur dan
mengawasi bank. Dalam menjalankan tugasnya tersebut, Bank X
juga menjalankan manajemen
internal. Kelancaran Pelaksanaan tugas Bank X didukung oleh Teknologi Informasi yang aman dan
handal. Teknologi Informasi yang aman dan handal memiliki karakteristik antara lain memiliki tingkat
kerahasiaan, integritas, dan ketersediaan yang tinggi. Hal ini sangat diperlukan mengingat Bank X
sebagai Bank Sentral banyak mengelola informasi yang bersifat rahasia maupun yang memiliki nilai
yang tinggi. Di sisi lain, ancaman terhadap Teknologi Informasi semakin hari semakin meningkat.
Untuk itu diperlukan berbagai upaya dan langkah untuk meningkatkan Pengamanan dan Pemulihan
Teknologi Informasi Bank X. Salah satu aset teknologi informasi terpenting yang dibutuhkan Bank X
dalam menjalankan proses bisnisnya adalah sistem aplikasi. Aplikasi merupakan perangkat lunak yang
dirancang dan dibuat untuk memenuhi kebutuhan tertentu dalam rangka mendukung pelaksanaan
tugas.
Tujuan dari penelitian ini adalah melakukan kajian untuk mengetahui kriteria dari sautu
aplikasi yang dikateorikan kritikal, berdasarkan hasil analisa kritikalitas, serta memberikan usulan
mengenai pemilihan metode backup untuk masing-masing aplikasi kritikal sebagai bagian dari rencana
Erlinda Muslim, Zulkarnain, Luciana Rachel Sentausa
tanggap darurat dan strategi pemulihan pada saat terjadi bancana. Pada penelitian ini akan dilakukan
penentuan prioritas pemulihan dan analisa kritikalitas terhadap masing-masing aplikasi kritikal yang
telah ditetapkan oleh Forum Manajemen Teknologi Informasi Bank X (FMTI Bank X), menyusun
kajian Business Impact Analysis (BIA) untuk masing-masing aplikasi kritikal, membuat rekomendasi
penentuan kriteria aplikasi kritikal di Bank X, serta membuat rekomendasi pemilihan metode backup
sebagai elemen penting dalam rencana tanggap darurat dan strategi pemulihan untuk aplikasi kritikal
pada saat terjadi bencana
Metode Penelitian
Pengumpulan data dilakukan dengan kuesioner. Adapun informasi yang diperoleh melalui
kuesioner ini adalah karakteristik masing-masing aplikasi kritikal yang terdapat di Bank X. Hasil dari
kuesioner ini akan digunakan sebagai dasar penentuan RTO (Recovery Time Objective) dan RPO
(Recovery Point Objective) untuk masing-masing aplikasi kritikal dimana pada tahap ini akan
dilakukan analisis dampak bencana terhadap aplikasi kritikal sehingga perlu dilakukan treatment
berupa pemilihan jenis dan metode backup yang tepat terhadap masing-masing aplikasi sesuai dengan
prioritas pemulihan aplikasi kritikal pada keadaan darurat. Selain itu, hasil pengolahan data kuesioner
juga akan digunakan sebagai bahan rekomendasi kepada FMTI (Forum Manajemen Teknologi
Informasi) Bank X dalam penentuan kriteria aplikasi kritikal berdasarkan karakteristik yang dimiliki
oleh masing-masing aplikasi kritikal.
Penyebaran kuesioner dilakukan kepada dua kelompok responden. Kelompok responden
pertama berasal dari Tim Pengembangan dan Pemeliharaan Aplikasi Direktorat Teknologi Informasi
(PPA-DTI) sedangkan kelompok responden yang kedua merupakan personil dari unit kerja pemilik
aplikasi kritikal. Berikut ini merupakan 9 aplikasi kritikal yang telah ditetapkan oleh Forum
Manajemen Teknologi Informasi Bank X yang merupakan objek dari penelitian ini seperti yang
terlihat pada tabel I, serta satuan kerja pemilik aplikasi kritikal ditampilkan pada tabel II.
Tabel I. Aplikasi Kritikal di Bank X No Aplikasi Proses Bisnis
1 KL1 Transaksi Settlement 2 KL2 Kliring antar bank
3 AKT Pengelolaan sistem akunting 4 SSB Transaksi surat berharga 5 DVS1 Pengelolaan Transaksi Devisa
6 DVS2 Front officetransaksi foreign
exchange
7 DVS3 Sarana settlement transaksi treasury 8 LPB Pelaporan data oleh Bank Umum 9 WSB Pengawasan Perbankan Nasional
Tabel II. Satuan Kerja Pemilik Aplikasi Kritikal No Aplikasi User (Satuan Kerja Pemilik Aplikasi)
1 KL1 DASP Direktorat Akunting dan Sistem Pembayaran
2 KL2 DASP Direktorat Akunting dan Sistem Pembayaran
3 AKT DKI Direktorat Keuangan Intern 4 SSB DPM Direktorat Pengelolaan Moneter 5 DVS1 DPD Direktorat Pengelolaan Devisa 6 DVS2 DPD Direktorat Pengelolaan Devisa 7 DVS3 DPD Direktorat Pengelolaan Devisa 8 LPB UKMI Unit Khusus Manajemen
Informasi
9 WSB DPIP Direktorat Perizinan dan Informasi Perbankan
Hasil dan Pembahasan
Data yang didapat dari hasil penyebaran kuesioner kemudian diolah untuk mengetahui
karakteristik aplikasi kritikal. Dari hasil pengolahan data, didapatkan beberapa informasi yang menjadi
karaketeristik aplikasi kritikal, diantaranya adalah volume transaksi harian, nilai nominal transaksi
harian, jumlah bank peserta, umlah KBX (Kantor Bank X di Indonesia selain kantor pusat), serta
jumlah KPw (Kantor Perwakilan Bank X di luar negeri). Nilai Potential Downtime Cost dihitung
dengan melihat kerugian finansial dari jumlah transaksi yang gagal dilakukan pada saat terjadi
bencana. Pada Tabel III akan ditampilkan rekapitulasi hasil pengolahan data kuesioner kajian
RPO-RTO aplikasi kritikal sebagai berikut:
T
E K N OS
I M2009
Erlinda Muslim, Zulkarnain, Luciana Rachel Sentausa129 Jurusan Teknik Mesin dan Industri FT UGM
ISBN 978-602-8125-51-2
Tabel III. Rekapitulasi Data Kajian RPO-RTO Aplikasi Kritikal Aplikasi
Kritikal Proses Bisnis
Volume transaksi/ hari Nilai transaksi/hari (juta rupiah) Bank Peserta KBX KPw Potential Downtime Cost(rupiah) KL1 Transaksi Settlement 50,000 240,000,000 > 100 37 4 4,800,000,000
KL2 Kliring antar bank 350,000 5,000,000 > 100 37 0 14,285,714
AKT Pengaturan sistem akunting 23,000 130,000,000 61-80 37 4 5,652,173,913 SSB Transaksi Surat Berharga 3,000 50,000,000 > 100 0 0 16,666,666,667
DVS1 Transaksi Devisa 500 45,000 0 0 0 90,000,000
DVS2 Transaksi Devisa 500 45,000 0 0 0 90,000,000
DVS3 Transaksi Devisa 500 45,000 0 0 0 90,000,000
LPB Pelaporan Bank Umum 0 0 > 100 37 0 900,000
WSB Pengawasan Perbankan 0 0 0 37 0 0
3.1. Prioritas Pemulihan Aplikasi Kritikal
Untuk menentukan nilai prioritas pemulihan aplikasi kritikal digunakan Failure Mode, Effect,
and Criticality Analysis
(FMECA) sebagai alat bantu (tools) dalam melakukan analisa risiko. Terdapat
dua tahapan yang dilakukan dalam FMECA, yaitu penentuan prioritas pemulihan dengan FMEA
(Failure Mode, Effect Analysis) serta analisa kritikalitas melalui Criticality Analysis (CA). Pada
FMEA dilakukan identifikasi terhadap potential failure mode, potential failure cause, serta potential
failure effects
untuk masing-masing aplikasi kritikal. Hasil pengolahan data dengan FMECA
ditampilkan pada tabel IV. Prioritas pemulihan dilakukan berdasarkan nilai Risk Priority Number
(RPN) yang didapatkan dengan rumus:
RPN = Severity x Occurrence x Detection
(1)
Dimana: Severity: Penilaian dampak bencana
Occurrence: Potensi terjadinya kegagalan dalam sebuah sistem atau proses
Detection: Kemampuan deteksi suatu kontrol terhadap potensi kegagalan sistem atau proses
Nilai Severity dan Occurrence ditentukan dengan mengacu pada Manajemen Risiko Bank X
mengenai kriteria umum penentuan nilai dampak dan kecenderungan. Ketentuan dari Manajemen
Risiko Bank X menggunakan skala 10, dengan klasifikasi untuk tiga kategori, yaitu LOW (skala
1-3), MEDIUM (skala 4-6), dan HIGH (skala 7-10). Manajemen Risiko Bank X melakukan penilaian
dampak dari empat sudut pandang yaitu strategi, reputasi, operasional dan finansial. Risiko strategi
merupakan risiko penetapan dan pelaksanaan rencana strategis dan kebijakan Bank X
yang
berdampak signifikan pada publik, dan penetapan dan pelaksanaan kebijakan dan atau peraturan pihak
eksternal yang dapat berdampak pada pelaksanaan fungsi, tugas dan eksistensi Bank X. Reputasi
berkaitan dengan risiko opini/persepsi stakeholder atau pemberitaan negatif yang dapat membentuk
opini/persepsi negatif dan atau menurunkan kepercayaan stakeholder terhadap Bank X. Sedangkan
risiko operasional merupakan risiko kelemahan proses bisnis internal, sumber daya manusia, dan
sistem atau faktor eksternal. Dampak dari sisi finansial didapat dengan menghitung nilai nominal yang
terjadi akibat kegagalan transaksi.
Untuk menentukan nilai detection, penulis menggunakan referensi dari IPOMS (Indonesian
Productions and Operations Management Society) yang juga menggunakan rentang skala dari nilai 1
hingga 10.
T
E K N OS
I M2
0
E rl in d a M u sl im , Z u lk a rn a in , L u c ia n a R a ch e l S e n ta u 1 J u ru sa n T e k n ik M es in d a n In d u st ri F T U G M IS B N 9 7 8 -6 0 2 -8 1 2 5 -5 1 -2 T a b el IV . F a il u re M o d e , E ff e c t, a n d C ri ti c a li ty A n a ly si s (F M E C A ) A p li k a si K ri ti k a l P o te n ti a l F a il u re M o d e P o te n ti a l F a il u re C a u se P o te n ti a l F a il u re E ff ec t D a m p a k S ev e ri ty O cc u r re n ce D et ec ti o n R P N R S W O W R W F W K L 1 S is te m ap li k a si d o w n B en ca n a al a m K eg a g al an tr a n sa k si se tt le m e n t 1 0 0 .3 1 0 0 .2 9 0 .3 5 0 .2 9 8 6 4 3 2 K L 2 S is te m ap li k a si d o w n B en ca n a al a m P ro se s k li ri n g te rh a m b at 9 0 .3 8 0 .2 9 0 .3 1 0 .2 8 8 6 3 8 4 A K T S is te m ap li k a si d o w n B en ca n a al a m K eg a g al an si st e m a n g g ar an d an tr an sa k si a k u n ti n g 9 0 .3 8 0 .2 7 0 .3 5 0 .2 8 8 6 3 8 4 S S B S is te m ap li k a si d o w n B en ca n a al a m K eg a g al an tr an sa k si su ra t b er h ar g a 9 0 .3 9 0 .2 9 0 .3 7 0 .2 9 8 6 4 3 2 D V S 1 S is te m ap li k a si d o w n B en ca n a al a m T er h am b at n y a p ro se s p en y el e sa ia n tr a n sa k si d e v is a 9 0 .3 9 0 .2 8 0 .3 1 0 .2 8 8 6 3 8 4 D V S 2 S is te m ap li k a si d o w n B en ca n a al a m T er h am b at n y a p ro se s p en y el e sa ia n tr a n sa k si d e v is a 9 0 .3 9 0 .2 8 0 .3 1 0 .2 8 8 6 3 8 4 D V S 3 S is te m ap li k a si d o w n B en ca n a al a m T er h am b at n y a p ro se s p en y el e sa ia n tr a n sa k si d e v is a 9 0 .3 9 0 .2 8 0 .3 1 0 .2 8 8 6 3 8 4 L P B S is te m ap li k a si d o w n B en ca n a al a m T er h am b at n y a p ro se s p el ap o ra n o le h b an k u m u m 1 0 0 .3 7 0 .2 8 0 .3 1 0 .2 7 8 6 3 3 6 W S B S is te m ap li k a si d o w n B en ca n a al a m T id ak te rp en u h in y a fu n g si p en g a w a sa n p er b an k an 1 0 0 .3 7 0 .2 7 0 .3 1 0 .2 7 8 6 3 3 6 K et er an g a n : S = S tr at eg i F = F in a n si a l O = O p er as io n al R = R ep u ta si W = W e ig h t (B o b o t)T
E K N OS
I M2009
Erlinda Muslim, Zulkarnain, Luciana Rachel Sentausa131 Jurusan Teknik Mesin dan Industri FT UGM
ISBN 978-602-8125-51-2
Tahapan selanjutnya dalam pengolahan data adalah melakukan analisas kritikalitas (Criticality
Analysis, CA). Analisa kritikalitas ini dilakukan dengan menggunakan matriks kritikalitas. Penulis
menggunakan referensi matriks dari NIST (National Institute of Standards and Technology) dimana
pada matriks tersebut terdapat dua elemen risiko yaitu probability of failure dan severity of impact.
Nilai severity of impact didapatkan dari hasil pengolahan data sebelumnya, yaitu dengan
menjumlahkan hasil perkalian masing-masing kategori dampak dan bobotnya. Sedangkan untuk
penentuan nilai probability of failure dilakukan dengan menggunakan parameter nilai p,dimana nilai p
merupakan durasi waktu maksimum downtime yang masih dapat ditoleransi (maximum tolerable
downtime) dibagi dengan lamanya durasi keseluruhan window time dari masing-masing aplikasi
kritikal. Untuk penentuan nilai probability of failure dalam melakukan analisa kritikalitas
menggunakan klasifikasi yang ditetapkan oleh USA Military Standard.
Hasil pemetaan nilai severity of impact dan probability of failure untuk masing-masing
aplikasi kritikal yang terdapat di Bank X kemudian diolah dengan menggunakan matriks kritikalitas
sehingga didapatkan kategori criticality untuk masing-masing aplikasi kritikal, yang ditampilkan pada
Tabel V.
Tabel V. Criticality Analysis (CA) Aplikasi Kritikal Severity of Impact Probability of failure Criticality KL1 9 HIGH 0.2581 A HIGH KL2 7 HIGH 0.3077 A HIGH
AKT 8 HIGH 0.2667 A HIGH
SSB 9 HIGH 0.3478 A HIGH DVS1 8 HIGH 0.375 A HIGH DVS2 8 HIGH 0.375 A HIGH DVS3 8 HIGH 0.375 A HIGH LPB 7 HIGH 0.1111 B HIGH WSB 7 HIGH 0.1111 B HIGH
Berdasarkan analisa kritikalitas, ternyata untuk seluruh aplikasi kritikal yang ada
menghasilkan nilai ”HIGH”. Dengan hasil pengolahan data ini dapat dijadikan sebagai salah satu
rekomendasi untuk penentuan kriteria aplikasi kritikal.
3.2 Usulan Penentuan Kriteria Aplikasi Kritikal
FMTI Bank X telah menetapkan 9 buah aplikasi yang masuk ke dalam kategori kritikal.
Namun sampai saat ini belum ada ketentuan yang baku mengenai kriteria atau parameter apa yang
menjadi dasar penentuan kategori kritikal dari suatu aplikasi. Berdasarkan pengolahan data maupun
analisis yang telah dilakukan penulis dalam penelitian ini, maka penulis bermaksud mengajukan
rekomendasi dalam penentuan kriteria aplikasi kritikal. Diharapkan usulan ini dapat menjadi masukan
bagi FMTI Bank X. Jika suatu ketika akan dikembangkan aplikasi baru di Bank X, maka aplikasi
tersebut dapat diketahui apakah masuk ke dalam kategori kritikal atau tidak, dengan melihat kriteria
atau parameter sebagai berikut:
1. Proses bisnis aplikasi kritikal harus menunjang salah satu dari fungsi 3 pilar Bank X, yaitu:
Kebijakan moneter, sistem pembayaran, serta pengawasan perbankan nasional. 9 aplikasi kritikal
yang telah ditetapkan FMTI Bank X telah memenuhi persyaratan ini.
2. Memiliki nilai RPO (Recovery Point Objective) dan RTO (Recovery Time Objective) yang tidak
lebih dari 24 jam. Nilai RPO diukur dari besarnya jumlah data yang hilang yang masih dapat
ditoleransi pada saat terjadi keadaan darurat, sedangkan nilai RTO merupakan waktu toleransi
maksimum jika terjadi downtime terhadap suatu aplikasi krtitikal pada keadaan darurat.
3. Memiliki tingkat kritikalitas
HIGH
Berdasarkan hasil analisa kritikalitas, suatu aplikasi dapat dikatakan kritikal jika menghasilkan nilai
HIGH pada kategori criticality. Hal ini terbukti untuk 9 aplikasi yang telah ditentukan FMTI Bank
Erlinda Muslim, Zulkarnain, Luciana Rachel Sentausa
X, seperti yang telah ditampilkan pada tabel V.
3.3 Rekomendasi Metode Backup Aplikasi Kritikal
Tujuan akhir dari penelitian ini adalah memberikan rekomendasi yang terkait dengan
pemilihan metode backup sebagai upaya pemulihan aplikasi kritikal pada keadaan darurat.
Rekomendasi disusun dengan melihat nilai RTO dan RPO dari masing-masing aplikasi kritikal
berdasarkan acuan dari beberapa referensi. Untuk penentuan strategi pemulihan, penelitian ini
menggunakan referensi dari Veritas. Tabel VI merupakan rekomendasi yang diberikan penulis dalam
pemilihan metode backup sebagai alternatif strategi pemulihan aplikasi kritikal pada keadaan darurat,
dengan mempertimbangkan nilai RTO dan RPO serta hasil dari analisa kritikalitas dan prioritas
pemulihan untuk masing-masing aplikasi kritikal yang terdapat di Bank X.
Terdapat tiga jenis metode backup yang direkomendasikan untuk diimplementasikan sebagai
alternatif strategi pemulihan aplikasi kritikal pada keadaan darurat di Bank X. Hal ini ditentukan
berdasarkan nilai RTO dan RPO untuk masing-masing aplikasi kritikal. Ketiga metode tersebut adalah
mirroring/clustering, synchronous replication,
serta asynchronous replication.
Tabel VI. Rekomendasi Metode Backup Berdasarkan Prioritas Pemulihan Aplikasi Kritikal pada Keadaan Darurat
Aplikasi Criticality Rank
RTO RPO
Rekomendasi Metode Backup
RTO Tier RPO Tier
KL1 HIGH 1 0 dtk 1 0 dtk A Mirroring / Clustering
SSB HIGH 1 0 dtk 1 0 dtk A Mirroring / Clustering
KL2 HIGH 2 2 jam 2 < 5 mnt B Synchronous Replication
AKT HIGH 2 2 jam 2 < 5 mnt B Synchronous Replication
DVS1 HIGH 2 3 jam 2 < 5 mnt B Synchronous Replication
DVS2 HIGH 2 3 jam 2 < 5 mnt B Synchronous Replication
DVS3 HIGH 2 3 jam 2 < 5 mnt B Synchronous Replication
LPB HIGH 3 < 18 jam 2 < 24 jam B Asynchronous Replication WSB HIGH 3 < 18 jam 2 < 24 jam B Asynchronous Replication