Rekomendasi Rencana Tanggap Darurat Dan Penentuan Prioritas Pemulihan Aplikasi Kritikal Pada Keadaan Darurat Di Bank X

Transkripsi

1 Yogyakarta, 12 November 2009 Rekomendasi Rencana Tanggap Darurat Dan Penentuan Prioritas Pemulihan Aplikasi Kritikal Pada Keadaan Darurat Di Bank X Erlinda Muslim, Zulkarnain, dan Luciana Rachel Sentausa Departemen Teknik Industri Fakultas Teknik Universitas Indonesia, Depok erlinda@ie.ui.ac.id, zulkarnain@ie.ui.ac.id, luciana_tiui04@yahoo.com Intisari Kehadiran bencana tidak dapat diduga atau dihindari. Definisi bencana sendiri telah mengalami perubahan makna dari bencana alam menjadi keadaan darurat yang berpengaruh negatif bagi kelangsungan bisnis dan industri. Dalam menjalankan proses bisnis Bank X terdapat beberapa potensi gangguan yang secara langsung maupun tidak langsung dapat mengganggu proses bisnis Bank X. Bagi Bank X, terjadinya gangguan tidak hanya mengakibatkan kerugian sesaat, namun akan bertambah parah apabila Bank X tidak mampu mengembalikan proses bisnis utama dalam periode waktu yang dapat diterima. Untuk mengantisipasi hal tersebut, perlu direncanakan kegiatan-kegiatan yang diperlukan dalam memulihkan keadaan dan proses bisnis pasca terjadinya bencana yang tepat dan sesuai dengan karakteristik Bank X. Pertimbangan dalam melakukan pemulihan keadaan pasca bencana antara lain proses bisnis yang diprioritaskan, aset yang dibutuhkan, waktu tertunda yang dapat diterima, biaya yang dapat ditoleransi serta prioritas pemulihan dan derajat kritikalitas dari masing-masing aset. Penelitian ini difokuskan pada 9 aplikasi kritikal yang dimiliki Bank X, yang akan membahas secara lebih detail tentang analisa dampak bencana terhadap kelangsungan proses bisnis masing-maisng aplikasi, penentuan prioritas pemulihan dan rekomendasi metode backup sebagai upaya pemulihan aplikasi kritikal pada saat terjadi keadaan darurat. Kata Kunci: Rencana tanggap darurat, rencana pemulihan, bencana, backup aplikasi kritikal Pendahuluan Dalam menjalankan suatu proses bisnis, sebuah organisasi dituntut untuk selalu siap dalam mengantisipasi segala kemungkinan, termasuk terjadinya hal-hal yang tidak diinginkan, seperti bencana dan bahaya. Seiring dengan perkembangan zaman, bencana berkembang tidak hanya disebabkan oleh peristiwa alam. Terorisme yang marak belakangan ini, menambah potensi terjadinya bencana, baik dalam bentuk pengeboman, pembajakan maupun tindakan anarkis berupa perusakan terhadap aset-aset penting dalam suatu organisasi. Bencana terjadi dengan frekuensi yang tidak menentu dan akibat yang ditimbulkannya meningkat bagi mereka yang tidak mempersiapkan diri terhadap kemungkinan-kemungkinan timbulnya bencana. Rencana pencegahan dan perbaikan terhadap bencana dapat membantu melindungi semua aset organisasi, termasuk sumber daya manusia, pekerjaan, data-data penting, dan fasilitas organisasi. Bank X sebagai Bank Sentral, mempunyai tugas untuk menetapkan dan melaksanakan kebijakan moneter, mengatur dan menjaga kelancaran sistem pembayaran, serta mengatur dan mengawasi bank. Dalam menjalankan tugasnya tersebut, Bank X juga menjalankan manajemen internal. Kelancaran Pelaksanaan tugas Bank X didukung oleh Teknologi Informasi yang aman dan handal. Teknologi Informasi yang aman dan handal memiliki karakteristik antara lain memiliki tingkat kerahasiaan, integritas, dan ketersediaan yang tinggi. Hal ini sangat diperlukan mengingat Bank X sebagai Bank Sentral banyak mengelola informasi yang bersifat rahasia maupun yang memiliki nilai yang tinggi. Di sisi lain, ancaman terhadap Teknologi Informasi semakin hari semakin meningkat. Untuk itu diperlukan berbagai upaya dan langkah untuk meningkatkan Pengamanan dan Pemulihan Teknologi Informasi Bank X. Salah satu aset teknologi informasi terpenting yang dibutuhkan Bank X dalam menjalankan proses bisnisnya adalah sistem aplikasi. Aplikasi merupakan perangkat lunak yang dirancang dan dibuat untuk memenuhi kebutuhan tertentu dalam rangka mendukung pelaksanaan tugas. Tujuan dari penelitian ini adalah melakukan kajian untuk mengetahui kriteria dari sautu aplikasi yang dikateorikan kritikal, berdasarkan hasil analisa kritikalitas, serta memberikan usulan mengenai pemilihan metode backup untuk masing-masing aplikasi kritikal sebagai bagian dari rencana 127

2 tanggap darurat dan strategi pemulihan pada saat terjadi bancana. Pada penelitian ini akan dilakukan penentuan prioritas pemulihan dan analisa kritikalitas terhadap masing-masing aplikasi kritikal yang telah ditetapkan oleh Forum Manajemen Teknologi Informasi Bank X (FMTI Bank X), menyusun kajian Business Impact Analysis (BIA) untuk masing-masing aplikasi kritikal, membuat rekomendasi penentuan kriteria aplikasi kritikal di Bank X, serta membuat rekomendasi pemilihan metode backup sebagai elemen penting dalam rencana tanggap darurat dan strategi pemulihan untuk aplikasi kritikal pada saat terjadi bencana Metode Penelitian Pengumpulan data dilakukan dengan kuesioner. Adapun informasi yang diperoleh melalui kuesioner ini adalah karakteristik masing-masing aplikasi kritikal yang terdapat di Bank X. Hasil dari kuesioner ini akan digunakan sebagai dasar penentuan RTO (Recovery Time Objective) dan RPO (Recovery Point Objective) untuk masing-masing aplikasi kritikal dimana pada tahap ini akan dilakukan analisis dampak bencana terhadap aplikasi kritikal sehingga perlu dilakukan treatment berupa pemilihan jenis dan metode backup yang tepat terhadap masing-masing aplikasi sesuai dengan prioritas pemulihan aplikasi kritikal pada keadaan darurat. Selain itu, hasil pengolahan data kuesioner juga akan digunakan sebagai bahan rekomendasi kepada FMTI (Forum Manajemen Teknologi Informasi) Bank X dalam penentuan kriteria aplikasi kritikal berdasarkan karakteristik yang dimiliki oleh masing-masing aplikasi kritikal. Penyebaran kuesioner dilakukan kepada dua kelompok responden. Kelompok responden pertama berasal dari Tim Pengembangan dan Pemeliharaan Aplikasi Direktorat Teknologi Informasi (PPA-DTI) sedangkan kelompok responden yang kedua merupakan personil dari unit kerja pemilik aplikasi kritikal. Berikut ini merupakan 9 aplikasi kritikal yang telah ditetapkan oleh Forum Manajemen Teknologi Informasi Bank X yang merupakan objek dari penelitian ini seperti yang terlihat pada tabel I, serta satuan kerja pemilik aplikasi kritikal ditampilkan pada tabel II. Tabel I. Aplikasi Kritikal di Bank X Tabel II. Satuan Kerja Pemilik Aplikasi Kritikal No Aplikasi Proses Bisnis 1 KL1 Transaksi Settlement 2 KL2 Kliring antar bank 3 AKT Pengelolaan sistem akunting 4 SSB Transaksi surat berharga 5 DVS1 Pengelolaan Transaksi Devisa 6 DVS2 Front office transaksi foreign exchange 7 DVS3 Sarana settlement transaksi treasury 8 LPB Pelaporan data oleh Bank Umum 9 WSB Pengawasan Perbankan Nasional No Aplikasi User (Satuan Kerja Pemilik Aplikasi) 1 KL1 DASP Direktorat Akunting dan Sistem Pembayaran 2 KL2 DASP Direktorat Akunting dan Sistem Pembayaran 3 AKT DKI Direktorat Keuangan Intern 4 SSB DPM Direktorat Pengelolaan Moneter 5 DVS1 DPD Direktorat Pengelolaan Devisa 6 DVS2 DPD Direktorat Pengelolaan Devisa 7 DVS3 DPD Direktorat Pengelolaan Devisa 8 LPB UKMI Unit Khusus Manajemen Informasi 9 WSB DPIP Direktorat Perizinan dan Informasi Perbankan Hasil dan Pembahasan Data yang didapat dari hasil penyebaran kuesioner kemudian diolah untuk mengetahui karakteristik aplikasi kritikal. Dari hasil pengolahan data, didapatkan beberapa informasi yang menjadi karaketeristik aplikasi kritikal, diantaranya adalah volume transaksi harian, nilai nominal transaksi harian, jumlah bank peserta, umlah KBX (Kantor Bank X di Indonesia selain kantor pusat), serta jumlah KPw (Kantor Perwakilan Bank X di luar negeri). Nilai Potential Downtime Cost dihitung dengan melihat kerugian finansial dari jumlah transaksi yang gagal dilakukan pada saat terjadi bencana. Pada Tabel III akan ditampilkan rekapitulasi hasil pengolahan data kuesioner kajian RPO- RTO aplikasi kritikal sebagai berikut: 128

3 Aplikasi Kritikal Proses Bisnis Tabel III. Rekapitulasi Data Kajian RPO-RTO Aplikasi Kritikal Volume Nilai Bank transaksi/ transaksi/hari KBX Peserta hari (juta rupiah) KPw Potential Downtime Cost (rupiah) KL1 Transaksi Settlement 50, ,000,000 > ,800,000,000 KL2 Kliring antar bank 350,000 5,000,000 > ,285,714 AKT Pengaturan sistem akunting 23, ,000, ,652,173,913 SSB Transaksi Surat Berharga 3,000 50,000,000 > ,666,666,667 DVS1 Transaksi Devisa , ,000,000 DVS2 Transaksi Devisa , ,000,000 DVS3 Transaksi Devisa , ,000,000 LPB Pelaporan Bank Umum 0 0 > ,000 WSB Pengawasan Perbankan Prioritas Pemulihan Aplikasi Kritikal Untuk menentukan nilai prioritas pemulihan aplikasi kritikal digunakan Failure Mode, Effect, and Criticality Analysis (FMECA) sebagai alat bantu (tools) dalam melakukan analisa risiko. Terdapat dua tahapan yang dilakukan dalam FMECA, yaitu penentuan prioritas pemulihan dengan FMEA (Failure Mode, Effect Analysis) serta analisa kritikalitas melalui Criticality Analysis (CA). Pada FMEA dilakukan identifikasi terhadap potential failure mode, potential failure cause, serta potential failure effects untuk masing-masing aplikasi kritikal. Hasil pengolahan data dengan FMECA ditampilkan pada tabel IV. Prioritas pemulihan dilakukan berdasarkan nilai Risk Priority Number (RPN) yang didapatkan dengan rumus: RPN = Severity x Occurrence x Detection (1) Dimana: Severity: Penilaian dampak bencana Occurrence: Potensi terjadinya kegagalan dalam sebuah sistem atau proses Detection: Kemampuan deteksi suatu kontrol terhadap potensi kegagalan sistem atau proses Nilai Severity dan Occurrence ditentukan dengan mengacu pada Manajemen Risiko Bank X mengenai kriteria umum penentuan nilai dampak dan kecenderungan. Ketentuan dari Manajemen Risiko Bank X menggunakan skala 1-10, dengan klasifikasi untuk tiga kategori, yaitu LOW (skala 1-3), MEDIUM (skala 4-6), dan HIGH (skala 7-10). Manajemen Risiko Bank X melakukan penilaian dampak dari empat sudut pandang yaitu strategi, reputasi, operasional dan finansial. Risiko strategi merupakan risiko penetapan dan pelaksanaan rencana strategis dan kebijakan Bank X yang berdampak signifikan pada publik, dan penetapan dan pelaksanaan kebijakan dan atau peraturan pihak eksternal yang dapat berdampak pada pelaksanaan fungsi, tugas dan eksistensi Bank X. Reputasi berkaitan dengan risiko opini/persepsi stakeholder atau pemberitaan negatif yang dapat membentuk opini/persepsi negatif dan atau menurunkan kepercayaan stakeholder terhadap Bank X. Sedangkan risiko operasional merupakan risiko kelemahan proses bisnis internal, sumber daya manusia, dan sistem atau faktor eksternal. Dampak dari sisi finansial didapat dengan menghitung nilai nominal yang terjadi akibat kegagalan transaksi. Untuk menentukan nilai detection, penulis menggunakan referensi dari IPOMS (Indonesian Productions and Operations Management Society) yang juga menggunakan rentang skala dari nilai 1 hingga

4 Tabel IV. Failure Mode, Effect, and Criticality Analysis (FMECA) Aplikasi Kritikal Potential Failure Mode Potential Failure Cause Potential Failure Effect Dampak Seve rity S W O W R W F W Occur rence Detec tion RPN Rank KL1 KL2 AKT Kegagalan transaksi settlement Proses kliring terhambat Kegagalan sistem anggaran dan transaksi akunting SSB DVS1 Kegagalan transaksi surat berharga penyelesaian transaksi devisa DVS2 penyelesaian transaksi devisa DVS3 penyelesaian transaksi devisa LPB pelaporan oleh bank umum WSB Tidak terpenuhinya fungsi pengawasan perbankan Keterangan: S = Strategi F = Finansial O = Operasional R = Reputasi W = Weight (Bobot) 130

5 Tahapan selanjutnya dalam pengolahan data adalah melakukan analisas kritikalitas (Criticality Analysis, CA). Analisa kritikalitas ini dilakukan dengan menggunakan matriks kritikalitas. Penulis menggunakan referensi matriks dari NIST (National Institute of Standards and Technology) dimana pada matriks tersebut terdapat dua elemen risiko yaitu probability of failure dan severity of impact. Nilai severity of impact didapatkan dari hasil pengolahan data sebelumnya, yaitu dengan menjumlahkan hasil perkalian masing-masing kategori dampak dan bobotnya. Sedangkan untuk penentuan nilai probability of failure dilakukan dengan menggunakan parameter nilai p,dimana nilai p merupakan durasi waktu maksimum time yang masih dapat ditoleransi (maximum tolerable time) dibagi dengan lamanya durasi keseluruhan window time dari masing-masing aplikasi kritikal. Untuk penentuan nilai probability of failure dalam melakukan analisa kritikalitas menggunakan klasifikasi yang ditetapkan oleh USA Military Standard. Hasil pemetaan nilai severity of impact dan probability of failure untuk masing-masing aplikasi kritikal yang terdapat di Bank X kemudian diolah dengan menggunakan matriks kritikalitas sehingga didapatkan kategori criticality untuk masing-masing aplikasi kritikal, yang ditampilkan pada Tabel V. Tabel V. Criticality Analysis (CA) Aplikasi Kritikal Severity of Impact Probability of failure Criticality KL1 9 HIGH A HIGH KL2 7 HIGH A HIGH AKT 8 HIGH A HIGH SSB 9 HIGH A HIGH DVS1 8 HIGH A HIGH DVS2 8 HIGH A HIGH DVS3 8 HIGH A HIGH LPB 7 HIGH B HIGH WSB 7 HIGH B HIGH Berdasarkan analisa kritikalitas, ternyata untuk seluruh aplikasi kritikal yang ada menghasilkan nilai HIGH. Dengan hasil pengolahan data ini dapat dijadikan sebagai salah satu rekomendasi untuk penentuan kriteria aplikasi kritikal. 3.2 Usulan Penentuan Kriteria Aplikasi Kritikal FMTI Bank X telah menetapkan 9 buah aplikasi yang masuk ke dalam kategori kritikal. Namun sampai saat ini belum ada ketentuan yang baku mengenai kriteria atau parameter apa yang menjadi dasar penentuan kategori kritikal dari suatu aplikasi. Berdasarkan pengolahan data maupun analisis yang telah dilakukan penulis dalam penelitian ini, maka penulis bermaksud mengajukan rekomendasi dalam penentuan kriteria aplikasi kritikal. Diharapkan usulan ini dapat menjadi masukan bagi FMTI Bank X. Jika suatu ketika akan dikembangkan aplikasi baru di Bank X, maka aplikasi tersebut dapat diketahui apakah masuk ke dalam kategori kritikal atau tidak, dengan melihat kriteria atau parameter sebagai berikut: 1. Proses bisnis aplikasi kritikal harus menunjang salah satu dari fungsi 3 pilar Bank X, yaitu: Kebijakan moneter, sistem pembayaran, serta pengawasan perbankan nasional. 9 aplikasi kritikal yang telah ditetapkan FMTI Bank X telah memenuhi persyaratan ini. 2. Memiliki nilai RPO (Recovery Point Objective) dan RTO (Recovery Time Objective) yang tidak lebih dari 24 jam. Nilai RPO diukur dari besarnya jumlah data yang hilang yang masih dapat ditoleransi pada saat terjadi keadaan darurat, sedangkan nilai RTO merupakan waktu toleransi maksimum jika terjadi time terhadap suatu aplikasi krtitikal pada keadaan darurat. 3. Memiliki tingkat kritikalitas HIGH Berdasarkan hasil analisa kritikalitas, suatu aplikasi dapat dikatakan kritikal jika menghasilkan nilai HIGH pada kategori criticality. Hal ini terbukti untuk 9 aplikasi yang telah ditentukan FMTI Bank 131

6 X, seperti yang telah ditampilkan pada tabel V. 3.3 Rekomendasi Metode Backup Aplikasi Kritikal Tujuan akhir dari penelitian ini adalah memberikan rekomendasi yang terkait dengan pemilihan metode backup sebagai upaya pemulihan aplikasi kritikal pada keadaan darurat. Rekomendasi disusun dengan melihat nilai RTO dan RPO dari masing-masing aplikasi kritikal berdasarkan acuan dari beberapa referensi. Untuk penentuan strategi pemulihan, penelitian ini menggunakan referensi dari Veritas. Tabel VI merupakan rekomendasi yang diberikan penulis dalam pemilihan metode backup sebagai alternatif strategi pemulihan aplikasi kritikal pada keadaan darurat, dengan mempertimbangkan nilai RTO dan RPO serta hasil dari analisa kritikalitas dan prioritas pemulihan untuk masing-masing aplikasi kritikal yang terdapat di Bank X. Terdapat tiga jenis metode backup yang direkomendasikan untuk diimplementasikan sebagai alternatif strategi pemulihan aplikasi kritikal pada keadaan darurat di Bank X. Hal ini ditentukan berdasarkan nilai RTO dan RPO untuk masing-masing aplikasi kritikal. Ketiga metode tersebut adalah mirroring/clustering, synchronous replication, serta asynchronous replication. Tabel VI. Rekomendasi Metode Backup Berdasarkan Prioritas Pemulihan Aplikasi Kritikal pada Keadaan Darurat Aplikasi Criticality Rank RTO RPO RTO Tier RPO Tier Rekomendasi Metode Backup KL1 HIGH 1 0 dtk 1 0 dtk A Mirroring / Clustering SSB HIGH 1 0 dtk 1 0 dtk A Mirroring / Clustering KL2 HIGH 2 2 jam 2 < 5 mnt B Synchronous Replication AKT HIGH 2 2 jam 2 < 5 mnt B Synchronous Replication DVS1 HIGH 2 3 jam 2 < 5 mnt B Synchronous Replication DVS2 HIGH 2 3 jam 2 < 5 mnt B Synchronous Replication DVS3 HIGH 2 3 jam 2 < 5 mnt B Synchronous Replication LPB HIGH 3 < 18 jam 2 < 24 jam B Asynchronous Replication WSB HIGH 3 < 18 jam 2 < 24 jam B Asynchronous Replication Kesimpulan Penelitian ini menghasilkan beberapa hal, yaitu: 1. Penentuan prioritas pemulihan dan analisa kritikalitas untuk masing-masing aplikasi kritikal yang terdapat di Bank X 2. Kajian analisis dampak bencana terhadap proses bisnis (business impact analysis) untuk masingmasing aplikasi kritikal di Bank X 3. Usulan Penentuan Kriteria Aplikasi Kritikal yang dimiliki oleh Bank X 4. Rekomendasi pemilihan metode backup sebagai upaya pemulihan aplikasi kritikal pada saat terjadi bencana dan atau keadaan darurat di Bank X. Daftar Pustaka Karen Dye. (2002). Determining Business Risk For New Project and Risk Analysis. Disaster Recovery Journal, volume 15, Issue 2, Spring Marianne Swanson. (2003), Contingency Planning Guide for Information Technology Systems. National Institute of Standards and Technology, Washington DC, Hal. 103 Nick W. Carter. (1991). Disaster Management: A Disaster Manager s Handbook. Asian Development Bank, Hal. 10 Ronald L. Krutz dan Russell Dean Vines. (2003). The CISSP Prep Guide. Gold Edition, Wiley Publishing Inc, Hal. 44 Thomas Wahle dan Greg Beatty. (2002). Emergency Management Guide forbusiness & Industry. Federal Emergency Management Agency, Washington DC, Vol.2, Hal.15 Tom Piseelo. (2003). How Much is enough? Disaster Recovery Journal, Volume 16, Issue 1 132