Sesi 4

Testing, Auditing, Training, and Maintaining g, g, g, g

Your Business Continuity

B i C i i d Di R

Business Continuity and Disaster Recovery Framework

Risk Assessment Business Impact

Analysis Strategy Plan

Procedures Testing

Audit

Testing

Training Maintenance

Training Maintenance

Frekuensi Pengujian

Pengujian DRP harus dilakukan pada setiap interval tertentu

Frequency of testing BCP by industry group

Pengujian DRP harus dilakukan pada setiap interval tertentu (minimal sekali dalam setahun atau jika terjadi perubahan yang signifikan)

Frequency of testing BCP by industry group

• Financial Services (FS)

• Consumer & Industrial Market (CIM)

• Infrastructure & Government (I&G)

• Information, Communication, and Entertainment (ICE)

• Energy & Natural Resources (ENR)

Strategi dalam Pengujian

T i l

Pengujian diperlukan untuk mendapatkan sebuah kombinasi strategi dari elemen – elemen berikut :

Trial

: Memastikan bahwa semua komponen (resources) dapat me-generate hasil seperti yang diharapkan dan prosedur yang digunakan adalah prosedur yang efisien

Training

: Memastikan bahwa personil yang ditunjuk untuk bertanggung jawab terhadap proses pemulihan telah memahami dan siap untuk melakukan tugasnya

memahami dan siap untuk melakukan tugasnya

Exercise

^: Melatih implementasi DRP dengan menggabungkan semua komponen, prosedur dan personil yang berkaitan dengan upaya pemulihan

Tipe Pengujian

Orientation/walk-through Tabletop/Mini-drill

F ti l T ti

Functional Testing

Full-scale Exercise

Full scale Exercise

Orientation/Walk-Through

Tujuan utama : memastikan bahwa personil utama dari seluruh bagian telah mengenal BCP dan DRP dengan baik

Diskusi interaktif

K l k Untuk individual

dan tim

Karakteristik

Kelompok kecil

Fokus : Mengutamakan

pengetahuan dibanding ketrampilan

“team building”

Tid k d bili i dibanding ketrampilan

Menitikberatkan pada

l Tidak ada mobilisasi

resources elemen perencanaan

kritis

Tabletop Mini-Drill

Fokus pada demonstrasi

Melakukan percobaan dalam bermacam-macam kondisi

Fokus pada demonstrasi

Mobilisasi

beberapa anggota

kondisi Sistem

pengontrolan yang Melakukan tugas

d i l i

beberapa anggota Tim Pemulihan

p g y g

baik Evaluasi performansi

dengan simulasi

Melakukan praktek Evaluasi performansi

dan kemampuan dan validasi

kemampuan respon fungsional tertentu

Functional Testing

Karakteristik

Demonstrasi kemampuan _{Memberikan respon ke lokasi}

alternatif (aktual maupun simulasi)

Mobilisasi personil dan sumber daya ke beberapa lokasi berbeda

Mencoba berbagai macam kondisi, bentuk notifikasi dan

mobilisasi sumber daya daya ke beberapa lokasi berbeda

Adanya pengontrol,

evaluator dan pengamat Evaluasi performasi individu & tim

Melibatkan pihak-pihak yang terkait dengan penanggulangan

k di i d t ( i lk t d k b k )

evaluator dan pengamat

kondisi darurat (misalkan petugas pemadam kebakaran)

Full-Scale Exercise

Metode paling komprehensif Menguji seluruh bagian DRP Karakteristik

Menguji seluruh bagian DRP

Adanya sistem kontrol

Demonstrasi pengetahuan dan ketrampilan yang dimiliki

Melibatkan semua elemen

Teliti y

Pada lokasi/fasilitas sesungguhnya

Validasi tindakan

dimiliki se ua e e e

Keterlibatan dan interaksi manajemen

Evaluasi performansi

sesungguhnya

tindakan

Dibutuhkannya

koordinasi lapangan j

internal dan eksternal

Mobilisasi semua

Evaluasi performansi

perusahaan secara keseluruhan

koordinasi lapangan dan “aturan bermain”

elemen Tim Pemulihan

Evaluasi Tes dan Pengujian

Sebuah pengujian yang sukses adalah pengujian yang memunculkan masalah

Evaluasi dilaksanakan dalam satu sampai tiga minggu setelah pengujian

minggu setelah pengujian Evaluasi masukan :

¾ Pembahasan kehandalan

¾ Pembahasan kehandalan

¾ Pembelajaran Dokumen

¾ Mengukur kemampuan personele gu u e a pua pe so e

¾ Mengukur kecukupan perangkat

¾ Identifikasi kekurangan pada DRP

B i C i i d Di R

Business Continuity and Disaster Recovery Framework

Risk Assessment Business Impact

Analysis Strategy Plan

Procedures Testing

Audit

Audit

Training Maintenance

Training Maintenance

Auditing Disaster Management Standards

ISO 27001 COBIT

NFPA 1600

Internal Framework NFPA 1600

Internal Framework

Case :

Sharing Vision^TM DRP/DRC I l A di

Internal Audit

Standar 1 – ISO 27001

Security Policy Policy

Human Organization

Of Information

Security

Asset Management Human d

Resources Security Physical &

Environmental

Communications

& Operations

Standar Kebijakan

DRP

Access Control Security

Information Systems

Management

Business

Information Security Incident Management

D i ISO

Compliance Systems

Acquisition, Development &

Maintenance

Business Continuity Management

Domain ISO 27001

Standar 1 – ISO 27001 Business Continuity Management Business Continuity Management

Menyusun proses manajemen continuity^{y p j y}

1

Membangun proses manajemen continuity perusahaan

2

Melakukan analisis ancaman dan analisis pengaruh

M b k B i C ti it Pl h

3 4

Mengembangkan Business Continuity Plan perusahaan Memelihara framework plan continuity

4 5

Menguji dan meng-update plan manajemen continuity

6

St d N ti l Fi P t ti A i ti

Standar 2 – National Fire Protection Association (NFPA) 1600 (USA)

Mengembangkan strategi untuk mencegah peristiwa yang

Prevention

mengancam people, properti, dan lingkungan

Menentukan tindakan jangka pendek dan

j k j k Memiliki sebuah

Mitigation Preparedness

jangka panjang untuk mengurangi risiko dan menggunakan teknik – teknik informasi

Memiliki sebuah sistem untuk

memonitor bahaya yang teridentifikasi

Response Recovery

teknik informasi dan intelligence untuk mempertahankan tindakan – tindakan

b

y g

dan mengadaptasinya untuk mengubah tingkat risiko tsb

Sistem dan peralatan perlindungan dapat digunakan untuk mengurangi akibat suatu

*NFPA 1600: a Disaster Management Emergency bencana

*NFPA 1600: a Disaster Management, Emergency Management, and Business Continuity Standard

Standar 3 – CoBIT

• CoBIT (Control Objectives for Information and related

Technology) is a framework for Information Technology (IT) security and internal controls.

• One of the control objectives within CoBIT deals with the topic f b i i i

of business continuity.

Planning and Organisation g g

Acquisition & Implementation Delivery & Support

Monitor

Monitor

St d C BIT Standar 3 – CoBIT Disaster Management

DS1 define and manage service levels DS2 manage third-party services

DS3 manage performance and capacity

DS4 ensure continuous service

DS5 ensure systems security DS6 identify and allocate costs DS7 educate and train users

1. IT Continuity Framework

2. IT Continuity Plan Strategy and DS7 educate and train users

DS8 assist and advise customers DS9 manage the configuration

DS10 manage problems and incidents

y gy

Philosophy

3. IT Continuity Plan Contents

4. Minimising IT Continuity Requirements 5. Maintaining the IT Continuity Plan g p

DS11 manage data DS12 manage facilities DS 13 manage operations

5. Maintaining the IT Continuity Plan 6. Testing the IT Continuity Plan 7. IT Continuity Plan Training 8. IT Continuity Plan Distribution

9 User Department Alternative Processing 9. User Department Alternative Processing

Back-up Procedures 10.Critical IT Resources

11. Back-up Site and Hardware 12 Off site Back up Storage

*CoBIT: Control Objectives for Information

d l d h l 12.Off-site Back-up Storage

13.Wrap-up Procedures and related Technology

Internal Framework

Process

Process People People

Awareness Kelengkapan DRP

Organisasi Pengujian

Technology Technology

Site Assessment Security

Scalability

SHARING VISION  SHARING VISION 

^TMTM

Scalability

L k h l k h A dit / R i

Langkah-langkah Audit / Review Kelengkapan Framework DRP/BCP

Field Assessment Interview Document

Assessment

Benchmark

Gap Analysis Best Practice

Gap Analysis

Reporting Recommendation

Assessment

Assessment Risk

Assessment

p y

Benchmark

Gap Analysis Best Practice

Apakah perusahaan pernah melakukan identifikasi terhadap:

9 h

9 Aset perusahaan

9 Ancaman yang dihadapi perusahaan 9 R ik t t k b

9 Resiko aset terkena bencana

9 Operasi/proses bisnis yang berlangsung di perusahaan 9 Dampak jika proses bisnis terkena bencana

9 Dampak jika proses bisnis terkena bencana

secara keseluruhan?

Assessment

Assessment BIA

Assessment

p y

Benchmark

Gap Analysis Best Practice

Apakah pernah melakukan assessment/penilaian seluruh aset dan operasi/proses bisnis yang

seluruh aset dan operasi/proses bisnis yang berlangsung di perusahaan?

9 Apakah penilaian dilakukan secara periodik?

9 k h d i d k l j h d h il il i

9 Apakah ada tindak lanjut terhadap hasil penilaian?

9 Apakah orang yang melakukan assessment

(penilaian) aset perusahaan dan analisis dampak bisnis (penilaian) aset perusahaan dan analisis dampak bisnis benar-benar menguasai bidang tersebut?

Assessment

Assessment Strategi (1)

Assessment

p y

Benchmark

Gap Analysis Best Practice

Apakah perusahaan memiliki strategi berkaitan dengan:

Media backup Metode backup Metode backup Periode backup

Penyimpanan backupy p p Pengujian backup

Penanggung jawab backup

Lokasi pengalihan/lokasi pemulihan Alternatif sistem telekomunikasi

Alternatif sumber energi perusahaan Alternatif sumber energi perusahaan

Assessment

Assessment Strategi (2)

Assessment

p y

Benchmark

Gap Analysis Best Practice

Apakah strategi yang terpilih adalah hasil assessment sehingga merupakan strategi yang paling optimal bagi perusahaan?

k O hi

ƒ Angka MAOT terpenuhi

ƒ Memiliki resiko paling kecil

ƒ Dampak bisnis paling minimal

ƒ Dampak bisnis paling minimal

ƒ Spesifikasi sesuai dengan kondisi perusahaan

ƒ Tingkat availability tinggi

Apakah saat ini perusahaan telah merealisasikan strategi tersebut?

g y gg

Assessment

Assessment Prosedur (1)

Assessment

p y

Benchmark

Gap Analysis Best Practice

Struktur Organisasi:

9 Apakah perusahaan memiliki struktur organisasi yang khusus

menangani penanggulangan bencana yang memiliki deskripsi kerja dan alur tanggung jawab yang jelas?

9 Apakah setiap anggota tim telah ditunjuk dengan tepat sesuai kapabilitas masing-masing?

9 Apakah setiap anggota tim telah memahami tugas dan tanggung jawab masing-masing (baik ketika tidak terjadi bencana maupun saat

bencana dan pasca bencana)?

Assessment

Assessment Prosedur (2)

Assessment

p y

Benchmark

Gap Analysis Best Practice

Prosedur:

9 Apakah perusahaan memiliki prosedur pra-bencana, saat terjadi bencana dan setelah bencana?

dan setelah bencana?

9 Apakah prosedur mudah dipahami?

9

9 Apakah prosedur sudah tersosialisasi?

9 Apakah prosedur mudah dilaksanakan (tidak berbelit-belit)?

9 Apakah sudah pernah dilakukan pengujian terhadap prosedur tersebut?

Assessment

Assessment Pengujian

Assessment

p y

Benchmark

Gap Analysis Best Practice

9 Apakah perusahaan sudah pernah melakukan pengujian terhadap DRP?p p p p g j p 9 Apakah pengujian telah dilakukan untuk semua bagian DRP?

9 Apakah pengujian dilaksanakan secara reguler?

9 Apakah perusahaan pernah melakukan pengujian dengan mensimulasikan bencana yang sesungguhnya?

9 Apakah pengujian melibatkan seluruh tim pemulihan dan seluruh komponen perusahaan?

9 Apakah pengujian berjalan sesuai dengan yang telah direncanakan?

9 Apakah pengujian berjalan sesuai dengan yang telah direncanakan?

9 Apakah perusahaan telah memiliki rencana pengujian DRP untuk jangka panjang?

p j g

Assessment

Assessment Evaluasi Pengujian

Assessment

p y

Benchmark

Gap Analysis Best Practice

Evaluasi Hasil Pengujian Evaluasi Hasil Pengujian

Apakah pengujian yang dilakukan mencapai tujuan yang telah p p g j y g p j y g ditetapkan?

Apakah ada evaluasi terhadap hasil pengujian yang telah dilakukan?

Ketika dalam pengujian ditemukan hal-hal yang tidak sesuai dengan kondisi perusahaan, apakah akan mempengaruhi DRP?

Jika terjadi perubahan pada dokumen DRP apakah dilakukan pengujian kembali?

Assessment

Gap Analysis

Assessment

Benchmark

Gap Analysis Best Practice

Analisa gap Analisa gap (Current Vs

Target)

0 1 2 3 4 5

Non-existent Initial Repeatable Defined Managed Optimised

Management’s Target Goal

Penjelasan Simbol yang Digunakan

Penjelasan Ranking yang Digunakan 0 - Plan tidak dibuat sama sekali Status perusahaan terbaru

Rata-rata Industri

0 - Plan tidak dibuat sama sekali

1 - Plan bersifat ad-hocdan tidak diorganisir 2 - Plan mengikuti pola reguler

3 - Plan didokumentasikan dan dibicarakan 3

4 - Plan dimonitor dan diukur

Reporting and Recommendation

Reporting Recommendation

Komponen T R k d i Level Prioritas Rekomendasi

Komponen

Evaluasi Temuan Rekomendasi

Rendah Sedang Tinggi

• Tidak memiliki prosedur dan kebijakan backup dan

• Menyusun

prosedur dan √

Audit Prosedur

dan kebijakan backup dan recovery

p

kebijakan backup dan recovery

√

• Belum dibuatnya • Menyusun

manajemen √

manajemen keterlanjutan bisnis

manajemen keberlanjutan bisnis

√

B i C i i d Di R

Business Continuity and Disaster Recovery Framework

Risk Assessment Business Impact

Analysis Strategy Plan

Procedures Testing

Audit

Training Maintenance

Training

^Training Maintenance

Training

Pelatihan

Initial Training

•

Identifikasi kemampuan

•

Identifikasi kebutuhan pengalaman

Perancangan pelatihan : Peserta Pelatihan Peserta Pelatihan Metode Pelatihan Waktu

Observer/pengamat

Refresher Training

•

Diadakan secara reguler /p g

•

^Rotasi agar mendapatkan pengalaman yang sama

•

^{il i h d h il l ih}

•

^Penilaian terhadap hasil pelatihan

•

Jika terjadi perubahan besar pada DRP, pelatihan tambahan lebih baik diadakan secepatnya daripada menunggu sesi reguler selanjutnya

diadakan secepatnya daripada menunggu sesi reguler selanjutnya

B i C i i d Di R

Business Continuity and Disaster Recovery Framework

Risk Assessment Business Impact

Analysis Strategy Plan

Procedures Testing

Audit

Training

Maintenance

Maintenance Training

Maintenance

Maintenance

Maintain The Business Continuity Plan

Menerapkan prosedur kontrol perubahan untuk memperbaharui BCP

Menetapkan tanggung jawab untuk maintenance pada setiap bagian BCP

Menguji semua perubahan pada BCP

Menunjuk penanggung jawab perubahan training BCP

Faktor-Faktor Yang Mempengaruhi Perubahan BCP

Perubahan prosedur Perubahan fisik/ fasilitas

Perubahan teknologi Perubahan struktur

organisasi

Perubahan teknologi

Perubahan

requirement recovery

Perubahan personil

Masalah pengujian

Maintenance Frequency

Terjadwal Terjadwal

Contoh :

• Prosedur recovery diperbaharui minimum dalam basis satu tahunan

• Daftar telepon dan inventaris diperbaharui i k l

tiap kuartal

Tidak Terjadwal

Contoh :

Perubahan besar pada perusahaan Tidak Terjadwal

Perubahan besar pada perusahaan,

operasional bisnis, proses, fungsi, konfigurasi

hardware, jaringan, dll.

Penutup

¾ Kunci kesuksesan terdelivery-nya BCP dan DRP apabila terjadi bencana adalahj kelengkapan dokumen, g p ,

ketersediaan resource, dan awareness pada setiap person di semua lini dalam perusahaan baik tim pemulihan bencana top eksekutif manager maupun staf

¾ Testing, auditing, training, dan maintaining harus

di d k l h h i dik t k

bencana, top eksekutif, manager maupun staf.

diagendakan oleh perusahaan secara periodik untuk menjaga agar BCP dan DRP telah dipahami sepenuhnya oleh semua komponen perusahaan.

¾ BCP dan DRP yang tidak pernah diujicobakan akan menjadi tumpukan dokumen belaka.

menjadi tumpukan dokumen belaka.

Merci bien

Arigatoo

Arigatoo

Matur Nuwun

Hatur Nuhun

Matur se Kelangkong

Syukron

Kheili Mamnun

Danke

Danke

Terima Kasih