74% Perusahaan Pernah

Transkripsi

1 1

2 74% Perusahaan Pernah Mengalami Bencana yang Berakibat Gangguan pada Operasi Bisnis 2

3 Apakah perusahaan pernah mengalami disaster (gangguan/bencana) yang mengganggu beroperasinya bisnis perusahaan? Tidak 26% Pernah Pernah 74% 74% Sumber: SHARING VISION TM, DRP/BCP Survey, n = 20 (dari 10 perusahaan), Mei-Juni

4 Sedikit Perusahaan di Indonesia Melakukan Risk Assessment dalam Pengelolaan Bencana 4

5 Dalam kaitannya dengan pengelolaan bencana, apakah perusahaan pernah melakukan risk assessment terhadap aset perusahaan? Tidak 47% Pernah Pernah 53% 53% Sumber: SHARING VISION TM, DRP/BCP Survey, n = 20 (dari 10 perusahaan), Mei-Juni

6 2 Business Impact Analysis Risk Assessment 1 3 Mitigasi Risiko 6

7 1 Risk Assessment Analisis Kritikal Aset Analisis Ancaman Analisis Risiko 7

8 Analisis Aset Kritikal (1) Identifikasi aset Identifikasi nilai dari aset Analisis Aset Kritikal 8

9 Analisis Aset Kritikal (2) Identifikasi aset Berdasarkan PBI No. 09/15/PBI/2007 aset TI terbagi menjadi 5 kategori : Perangkat Keras Perangkat Lunak Jaringan Telekomunikasi Data/Informasi Sumber Daya Manusia 9

10 Analisis Aset Kritikal (3) Identifikasi nilai dari aset Nilai nilai yang dijadikan kriteria adalah : Nilai bagi organisasi (Value to Organization) Cost to Replace Threat likelihood Vulnerability Maximum Acceptable Outage Time (MAOT) 10

11 Analisis Aset Kritikal (4) Analisis Aset Kritikal Perhitungannya dilakukan dengan menggunakan kategori nilai sebagai berikut : Severity of Threat Kategori nilai vulnerability Severity of Consequences (skala 0-100) 11

12 Contoh Analisis Aset Kritikal - 1 No Asset Name Kode Asset Value to Org. Index Cost to Change Index Assessment MAOT Value Severity of Consequence value x cost x MAOT scaled to 100 Ave rage (of LxV) Threat Average of Likelihood x Vulnerability scaled to 1 Risk Rating Severity x Threat Risk Category 1 Proxy Server ATI MEDIUM 2 SMTP Server ATI MEDIUM 3 RCO Server ATI MEDIUM 4 DSM Server ATI MEDIUM 5 OPICS Server ATI HIGH 6 Primary SKN Server ATI HIGH 7 Secondary SKN Server ATI HIGH 8 SID Server ATI MEDIUM 9 SMF Server ATI MEDIUM 10 AIMS Server ATI LOW 11 KYC Server ATI HIGH 12

13 Analisis Ancaman Identifikasi ancaman Identifikasi aksi dari ancaman Identifikasi risiko dari ancaman 13

14 Contoh Register Ancaman ID RISIKO RISIKO KATEGORI RISIKO DESKRIPSI RISIKO RTI004 RTI010 RTI011 RTI030 RTI005 RTI007 RTI027 RTI045 RTI048 Kesalahan sistem TI dalam melakukan pengolahan data. Kehilangan historis data Kehilangan aset Kebocoran data dan informasi perusahaan. Kegagalan penerapan sistem TI. Kegagalan migrasi sistem. Penambahan biaya perawatan. Penurunan tingkat kepercayaan mitra usaha. Penurunan produktivitas kinerja karyawan. Sistem Teknologi Informasi Sistem Teknologi Informasi Sistem Teknologi Informasi Keamanan Informasi Sistem Teknologi Informasi Sistem Teknologi Informasi Sistem Teknologi Informasi Sumber Daya Manusia Sumber Daya Manusia Sistem TI yang digunakan untuk mengolah data dan informasi mengalami kesalahan. Bank tidak dapat melakukan penelusuran apabila ada kesalahan dalam proses bisnis yang dilakukan. Perusahaan kehilangan aset yang dimiliki. Data dan informasi mengenai perusahaan diketahui oleh pihak yang tidak bertanggungjawab. Penerapan sistem TI dalam perusahaan mengalami kesalahan. Migrasi sistem yang dilakukan mengalami kegagalan. Biaya perawatan aset yang dilmiliki oleh perusahaan bertambah. Tingkat kepercayaan mitra usaha kepada perusahaan menurun. Produktivitas kerja karyawan perusahaan menurun. RISIKO INHEREN High High High High Medium Medium Low Low Low 14

15 Analisis Risiko (1) Risiko-risiko yang termasuk dalam kategori High Risk Kesalahan sistem TI dalam melakukan pengolahan data Kegagalan sistem TI yang mendukung produk/proses bisnis Kehilangan historis data Kehilangan aset 15

16 Analisis Risiko (2) Risiko-risiko yang termasuk dalam kategori High Risk Kebocoran data dan informasi perusahaan Kebocoran data dan informasi nasabah Pemadaman listrik Kegagalan jaringan komunikasi Kerusakan jaringan komunikasi 16

17 Contoh Register Risiko ID RISIKO RTI001 RTI002 RISIKO KATEGORI RISIKO DESKRIPSI RISIKO Ketidaksesuaian persepsi dan ekspektasi dalam penyusunan kebutuhan pembuatan sistem TI. Penambahan biaya perawatan. Sistem Teknologi Informasi Sistem Teknologi Informasi RTI003 Kehilangan data dan informasi. Keamanan Informasi RTI004 Kehilangan integritas data dan informasi. Keamanan Informasi Ketidaksesuaian antara persepsi pembuat sistem TI dan ekspektasi dari pengguna sistem TI dalam masa pembuatannya. Biaya perawatan aset yang dilmiliki oleh perusahaan bertambah. Data dan informasi yang dimiliki perusahaan hilang. Data dan informasi perusahaan tidak terintegrasi. RISIKO INHEREN Medium Low Medium Medium RTI005 Kebakaran Sumber Daya Tenaga Kebakaran. Medium RTI006 Pemadaman listrik Sumber Daya Tenaga Pemadaman listrik. High RTI007 Opini publik yang negatif. Kepatuhan RTI008 Sanksi dari pemerintah karena tidak mematuhi peraturan. Kepatuhan Opini publik kepada perusahaan yang negatif karena ada suatu hal yang berakibat buruk bagi perusahaan. Sanksi yang diberikan pemerintah kepada perusahaan karena tidak mematuhi peraturan yang berlaku. Medium Medium 17

18 Matriks Peta Risiko BENCANA RISIKO YANG DIAKIBATKAN DARI BENCANA Kebakaran x x x x x x x x Banjir x x x x x x x x Petir x x x x x x x x Gempa bumi x x x x x x x x Tsunami x x x x x x x x Asap x x x x x x Gunung meletus x x x x x x x Pandemik x x x Chemical or Biological Hazard x x x Gangguan listrik x x x x x x x x Gangguan jaringan komunikasi x x x x x Hacker x x x x Cracker x x x x Virus x x x x Kelompok massa x x x x x x x x x Keterangan : 1 : Kerusakan aset 2 : Kerusakan infrastruktur 3 : Kerusakan data center 4 : Kerusakan jaringan komunikasi 5 : Kecelakaan karyawan 6 : Kebakaran 7 : Pemadaman aliran listrik 8 : Pemadaman pelayanan kepada pelanggan 9 : Penambahan biaya perawatan 10: Kehilangan aset 11: Kehilangan data dan informasi 12: Kerusakan sistem aplikasi 13: Kebocoran data & informasi perusahaan 14: Kehilangan integritas data & informasi 15: Pencurian data dan informasi 16: Kegagalan sistem 18

19 2 Business Impact Analysis 19

20 Kebakaran Data Center Menyebabkan Portal Pembayaran Down Selama 12 Jam 20

21 Kebakaran data center di Seattle s Fisher Plaza menyebabkan Authorize.net (payment portal) mengalami downtime lebih dari 12 jam. Ribuan merchant tidak dapat memproses pembayaran kartu kredit melalui website tersebut. Sumber: Juli

22 Dampak Serangan Security Pada Perusahaan Kasus perusahaan UK PERUSAHAAN KECIL Gangguan bisnis 8,000-15,000 Over 1-2 days Waktu untuk merespon gangguan 600-1, man-days PERUSAHAAN BESAR 80, ,000 Over 1 2 days 2,500-5, man-days Biaya langsung untuk merespon gangguan 1,000-2,000 4,000-8,000 Kerugian langsung (aset, denda) 500-1,000 4,000-8,000 Rusak reputasi ,000-15,000 Rata-rata total biaya dari kejadian terburuk 10,000-20,000 90, ,000 Sumber: Information security breaches survey 2008; PWC, UK 22

23 Prosedur Perhitungan BIA 23

24 Kategori Dampak Terhentinya Layanan di Perusahaan (1) Efek minor pada organisasi a. Tidak berdampak pada pelanggan, b. Perusahaan mengalami sedikit kerugian c. Namun tidak bedampak pada proses bisnis 24

25 Kategori Dampak Terhentinya Layanan di Perusahaan (2) Efek moderate pada satu unit a. Tidak berdampak pada layanan terhadap pelanggan b. Membuat kerugian finansial yang medium c. Dampak yang kecil dalam proses bisnis 25

26 Kategori Dampak Terhentinya Layanan di Perusahaan (3) Efek moderate pada organisasi/banyak unit a. Keterlambatan cukup lama dalam menyediakan layanan bagi pelanggan b. Moderate delay in critical path, kerugian finansial yang medium c. Dampak yang cukup besar pada proses bisnis 26

27 Kategori Dampak Terhentinya Layanan di Perusahaan (4) Efek catastrophic pada satu unit a. Perlunya usaha untuk mempertahankan keberadaan pelanggan b.major delay in critical path, c. Kerugian finansial yang besar d.dampak yang besar terhadap proses bisnis yang penting 27

28 Kategori Dampak Terhentinya Layanan di Perusahaan (5) Efek catastrophic pada seluruh organisasi a. Kehilangan pelanggan b.ketidakmampuan men-deliver proyek c. Kerugian keuangan dalam jumlah sangat besar d.dampak yang sangat besar dalam proses bisnis yang penting 28

29 Kategori Dampak Terhentinya Layanan di Perusahaan (6) Level 1 Level 2 (effect on a unit) Level 3 (effect on many units) Level 4 (effect on a unit) MINOR MODERATE CATASTROPIC Level 5 (effect on many units) 29

30 Menentukan Critically Category Criticality Scale: High (>=60 to 100); Medium (>10 to 60); Low (1 to 10) 30

31 Contoh Perhitungan Business Impact Analysis (1) Kategori Layanan Back Office Layanan Payroll Service Aset (perangkat keras, perangkat lunak, jaringan dan telekomunikasi ) Server Axapta Aplikasi HRIS Cisco Catalyst 3750, Nokia Firewall IP520 Dampak Terhentinya Layanan Severity of Impact if Application Stop MAOT Skala Nilai MAOT Overall Rating Criticality LOW LOW HIGH 31

32 Contoh Perhitungan Business Impact Analysis (2) Kategori Layanan OPICS Layanan Reporting Transaction Aset (perangkat keras, perangkat lunak, jaringan dan Server OPICS Aplikasi OPICS, Swift Cisco Catalyst 3750, Nokia Firewall IP520 telekomunikasi ) Dampak Terhentinya Layanan Severity of Impact if Application Stop MAOT Skala Nilai MAOT Overall Rating Criticality MEDIUM MEDIUM HIGH 32

33 Contoh Perhitungan Business Impact Analysis (3) Overall Rating = Severity of Impact if Appl Stop * Skala Nilai MAOT 33

34 Vital Record Harus Memperoleh Prioritas Utama (1) NAMA DOKUMEN KODE DESKRIPSI Laporan Harian Laporan Mingguan Laporan Bulanan Laporan Tahunan Dokumen SOP BTN ATI123 ATI124 ATI125 ATI126 ATI127 Laporan yang dilakukan untuk transaksi setiap end of day Laporan yang dilakukan untuk transaksi setiap end of week Laporan yang dilakukan untuk transaksi setiap end of month Laporan yang dilakukan untuk transaksi setiap end of year Dokumen yang mengatur tentang prosedur dan aturan pelaksanaan operasional BTN 34

35 Vital Record Harus Memperoleh Prioritas Utama (2) NAMA DOKUMEN KODE DESKRIPSI Dokumen Security BTN Dokumen Struktur Organisasi Divisi TI BTN Dokumen Daftar Aset BTN Dokumen BCP ATI128 ATI129 ATI130 ATI131 Dokumen yang mengatur kebijakan, kebutuhan keamanan informasi BTN Dokumen yang berisi tentang alur kerja secara struktural dan fungsional Divisi TI BTN Dokumen yang berisi seluruh aset yang dimiliki oleh BTN Dokumen yang mengatur rencana-rencana proses pemulihan jika terjadi suatu bencana 35

36 3 Mitigasi Resiko 36

37 Kasus Mitigasi Akibat Bencana pada Data Center (1) Kasus Data center di Green Bay, Wisconsin mengalami kebakaran, Maret 2008, menghancurkan 75 server, router, dan switch. Diperlukan hingga 10 hari untuk menjadikan web site para pelanggan kembali online. 37

38 Kasus Mitigasi Akibat Bencana pada Data Center (1) CEO Rick Chernick menyebutkan bahwa Mitigasi kedepannya mereka akan: Membuat rencana backup data center agar kondisi offline tidak berlangsung terlalu lama Mengasuransikan data center dari kemungkinan bencana serupa Melengkapi peralatan alarm untuk mengurangi kerusakan yang potensial 38

39 Kasus Mitigasi Akibat Bencana pada Data Center (2) Data center tersebar (geographically dispersed DC) Kasus Seattle Data Center Multi-DC strategy, sehingga tidak perlu bergantung pada single DC Membuat backup power untuk DC Prosedur pemenuhan ruangan dengan gas untuk menggantikan Oksigen dan mengacaukan proses pembakaran pada bencana kebakaran Fasilitas sprinkler jika dengan gas belum bisa menghentikan pembakaran 39

40 Risiko yang Ditimbulkan Akibat Bencana Kerusakan aset Kerusakan infrastruktur Kerusakan data center Kerusakan jaringan komunikasi Kecelakaan karyawan Kebakaran Pemadaman Aliran Listrik Pelayanan kepada pelanggan terganggu Prosedur Mitigasi Akibat/Dampak dari Bencana 40

41 Prosedur Mitigasi Risiko Kerusakan dan Kehilangan Aset 41

42 Prosedur Mitigasi Risiko Kerusakan Infrastruktur 42

43 Prosedur Mitigasi Risiko Kerusakan Data Center 43

44 Prosedur Mitigasi Risiko Kerusakan Jaringan Komunikasi Kerjasama tidak hanya dengan satu vendor jaringan komunikasi Segera hubungi vendor lainnya bila jaringan salah satu vendor rusak Perubahan vendor jaringan komunikasi Mendokumentasikan kerusakan jaringan komunikasi untuk pertimbangan kerjasama dengan vendor selanjutnya Hubungi tim jaringan komunikasi Konfigurasi ulang jaringan komunikasi yang ada Melakukan konfigurasi ulang sesuai prosedur yang ada 44 Maintenance Perawatan jarkom secara rutin Membentuk tim jaringan komunikasi

45 Prosedur Mitigasi Risiko Kecelakaan Karyawan & Penambahan Biaya Perawatan Penanganan kecelakaan karyawan Penambahan biaya perawatan 45 Peningkatan keamanan kantor Bentuk tim keamanan Periksa siapa saja yang memasuki wilayah kantor Letakkan CCTV di beberapa tempat Periksa setiap sudut kantor setiap harinya Peningkatan keamanan infrastruktur kantor Bentuk tim keamanan Letakkan semua infrastruktur ditempat yang aman Berikan asuransi jiwa kepada semua karyawan Bekerja sama dengan perusahaan asuransi jiwa Program keselamatan kerja karyawan Asuransi jiwa karyawan Alokasikan biaya perawatan Berikan asuransi Petir, Gempa Bumi, untuk Tsunami, karyawan Asap, Gunung Meletus, Pandemik, Chemical jiwa or Biological Hazard, Gangguan Listrik, Training untuk karyawan Buat prosedur semua kegiatan Gunakan peralatan pengaman Bentuk dan latih tim medis Menjaga supply peralatan kesehatan Simpan nomor kontrak darurat Periksa daftar informasi kontak darurat dan instruksi P3K Sosialisasi P3K Karyawan dilarang melakukan hal-hal berbahaya didalam kantor

46 Prosedur Mitigasi Risiko Kebakaran Pembuatan dan sosialisasi prosedur penanganan saat terjadi kebakaran 46

47 47 Prosedur Mitigasi Risiko Pemadaman Aliran Listrik Pengadaan genset pada data center Siapkan beberapa genset pada data center Cek genset secara rutin Letakkan genset di lokasi yang aman Siapkan genset cadangan Pengadaan UPS untuk menjaga cadangan daya komputer Menyiapkan beberapa UPS pada komputer terutama komputer-komputer yang digunakan untuk layananlayanan penting Melakukan pengecekan UPS secara rutin UPS diletakkan di lokasi yang aman Menyiapkan UPS cadangan

48 Prosedur Mitigasi Risiko Gangguan pada Pelayanan Pelanggan 48 Perbaikan kinerja karyawan Memberikan training kepada karyawan Melakukan survey terhadap kinerja karyawan Melakukan penilaian kinerja karyawan mulai dari pertama kali bekerja Memberikan hadiah bagi yang kinerjanya baik Melakukan survey terhadap keluhankeluhan pelanggan Membuat sarana bagi pelanggan untuk menyampaikan kritik dan saran

49 Prosedur Mitigasi Risiko Kehilangan, Kebocoran, Pencurian & Kehilangan Integritas Data & Informasi: 49

50 PENINGKATAN PENGAMANAN SISTEM PEMASANGAN FILEWALL PADA SISTEM PENYUSUNAN PROSEDUR PENGAMANAN INFORMASI 50 Batasi pengakses data dan informasi, dokumentasikan pihak yang memiliki hak akses Membuat password Membuat prosedur untuk akses informasi Berikan sangsi pada pelanggar Baca petunjuk pemasangan Dipasang oleh ahlinya Tambahkan beberapa fitur pengamanan tambahan Lengkapi dengan deteksi gangguan keamanan jaringan Buat dokumen prosedur sesuai peraturan Komunikasikan prosedur pada semua pihak yang berkepentingan Lakukan update prosedur pengamanan informasi

51 Prosedur Mitigasi Risiko Kegagalan Sistem 51

52 PENINGKATAN PENGAMANAN PADA SISTEM PEMASANGAN FIREWALL PADA SISTEM PERBAIKAN KINERJA KARYAWAN 52 Batasi hak akses pada sistem Membuat password pada setiap sistem Membuat prosedur untuk mengakses sistem Baca petunjuk pemasangan Dipasang oleh ahlinya Tambahkan beberapa fitur pengamanan tambahan Lengkapi dengan deteksi gangguan keamanan jaringan Lakukan training kepada karyawan Lakukan survey terhadap kinerja karyawan Beri penilaian terhadap kinerja karyawan

53 Matrix Tim Penanggung Jawab RISIKO YANG DIAKIBATKAN PIHAK YANG BERTANGGUNG JAWAB Kerusakan asets x x x x x Kerusakan infrastruktur x x x x Kerusakan data center x x Kerusakan jaringan komunikasi x x Kecelakaan karyawan x x x Kebakaran x x x Pemadaman aliran listrik x x x Gangguan pelayanan kepada pelanggan x x x x Penambahan biaya perawatan x Kehilangan aset x x x Kehilangan data & informasi x x x Kerusakan sistem aplikasi x x x x Kebocoran data & informasi perusahaan x x x Kehilangan integritas data & informasi x x x Pencurian data & informasi x x x Kegagalan sistem x x x x Keterangan : 1 : Tim IT Risk Management & DRP 2 : Tim Infrastruktur IT 3 : Tim Perangkat lunak & basis data 4 : Tim Monitoring & Support 5 : Tim Manajemen Aset 6 : Tim Perencana IT 7 : Tim Infrastruktur 8 : Tim Security 9 : Tim Kebijakan TI 10 : Tim Helpdesk 11 : Tim Data Processing 12 : Tim QA 13 : Tim Inovasi 14 : Tim Monitoring & Support 15 : Tim arsitektur informasi 16 : Tim data warehouse 17 : Tim pengembangan aplikasi 53

54 Penutup (1) Strategi yang dilakukan sebelum bencana dimulai dengan meng-asses aset perusahaan, kemungkinan terjadinya bencana beserta risiko dan dampaknya 54

55 Penutup (2) Kelengkapan assesment & ketepatan perhitungan dampak bisnis akan menentukan efektifitas strategi penanggulangan bencana & business continuity, termasuk biaya & waktu yang akan digunakan. 55

56 Penutup (3) STRATEGI SEBELUM BENCANA STRATEGI SAAT BENCANA STRATEGI SETELAH BENCANA Emergency Response Evakuasi Kajian Kerusakan Paska Bencana Pengobatan Darurat Pemulihan Paska Bencana Back Up Recovery Box Penyelamatan Aset Aktivasi DRC Implementasi Disaster Recovery Plan Pemulihan Sumber Daya Komunikasi Pemulihan Processing System Pemulihan Data Pemilihan Lokasi Alternatif Pengadaan Barang dalam Keadaan Darurat Penggunaan Asuransi 56

57 Merci bien Arigatoo Matur Nuwun Hatur Nuhun Matur se Kelangkong Syukron Kheili Mamnun Danke Terima Kasih 57