BAB III METODOLOGI PERANCANGAN. Berikut merupakan bagan kerangka pikir penulisan thesis ini :

Transkripsi

1 BAB III METODOLOGI PERANCANGAN 3.1 Kerangka Pikir Berikut merupakan bagan kerangka pikir penulisan thesis ini : Gambar 3.1 Bagan Kerangka Pikir Dari pernyataann awal bahwa pengembangan disaster recovery dapat menjaga ketersedian data dan informasi PT XYZ, proses pembuktian berawal dari latar belakang permasalahan perusahaan. Kemudian dilanjutkan dengan pengumpulan informasi tentang visi, misi, values perusahaan, dan strategi perusahaan untuk mengetahui kemana tujuan perusahaan dan bagaimana kultur dari perusahaan PT XYZ. Dengan Business Impact Analysis (BIA) dibantu dengan Risk Assessment untuk memetakan aktivitas bisnis penggunaan Informasi Teknologi (IT), mendapatkan hasil klasifikasi IT Asset / data dan informasi dari setiap IT activities / aktivitas bisnis perusahaan yang menggunakan IT di PT XYZ, serta dilanjutkan dengan pemetaan prioritas aktifitas bisnis berdasarkan kemungkinan resiko dan ancaman yang 22

2 kemungkinan dapat terjadi dan dampaknya bagi bisnis perusahaan. Dilakukan juga analisis perhitungan cost of downtime yakni perhitungan biaya/kerugian yang dihasilkan ketika downtime terjadi. Hasil perhitungan tersebut berguna sebagai batas dasar budget untuk pengaplikasian teknologi disaster recovery yang nantinya akan diaplikasikan. Dilanjutkan dengan Dengan Risk Mitigation dapat diketahui countermeasure atau langkah penanganan resiko (penanganan bencana/disaster recovery). Dari hasil paparan penanganan bencana (disaster recovery) tersebut dilakukan benchmarking terhadap tiga variabel yakni service level agreement/sla, recovery time/waktu pemulihan, serta ketersediaan data dan informasi untuk menguji apakah benar dapat dicapai kesimpulan bahwa dengan pengembangan disaster recovery dapat meningkatkan ketersediaan informasi data bagi PT XYZ. 3.2 Business Impact Analysis Pengembangan Disaster recovery untuk meningkatkan ketersediaan data dan informasi sangat erat kaitannya dengan business continuity plan (BCP). Didalam BCP terdapat business impact analysis (BIA) yang merupakan tahapan dalam menganalisis dampak dari ancaman terhadap bisnis yang sedang berjalan. Tahapan BIA sangat berperan untuk mengetahui departemen bisnis atau divisi, fungsi, dan sistem mana yang rentan terhadap ancaman potensial. Mengetahui ancaman-ancaman apa saja mungkin terjadi, dan dampak ancaman tersebut terhadap kerentanan dalam lingkup perusahaan (EC- Council). BIA memiliki serangkaian fungsi, diantaranya : 23

3 Identifikasi proses kritikal, fungsi, dan dependensi sistem pada sebuah organisasi. Estimasi financial dan konsekuensi lain jika tingkat layanan (service level) terendah tidak dapat dicapai. Identifikasi batas waktu dan tingkat layanan terendah (minimum service level) yang dibutuhkan sebagai dasar perencanaan recovery operation. Menentukan cara/langkah recovery yang dapat berjalan agar tetap mendapatkan objektif organisasi. Mengumpulkan data dan informasi dari system support dan business unit personel. Menganalisis hasil untuk menentukan critical systems, application, dan business processes. Menyiapkan impact analysis yang dapat terjadi pada critical systems. Dalam BIA terdapat beberapa langkah diantaranya : Menentukan proses bisnis No. Business Process Description Gambar 3.2 Contoh Tabel Identifikasi Proses Bisnis Menentukan atribut-atribut dari setiap proses bisnis No. Business Unit Software Record Name Become Critical Media Type Alternate Source Gambar 3.3 Contoh Tabel Identifikasi Atribut Proses Bisnis 24

4 Mengidentifikasi kemungkinan ancaman (thread), kerentanan (vulnerability), kecenderungan (likelihood), dampak (impact) sehingga dapat diketahui tingkat resiko yang mungkin mengancam. Pada langkah ini akan digunakan metode Risk Assessment yang akan dibahas berikutnya. Thread Likelihood Impact Risk Matrix Score Risk Level Gambar 3.4 Contoh Tabel Determinasi Resiko Perencanaan rekomendasi penanggulangan/countermeasure dampak resiko. Pada langkah ini akan digunakan metode Risk Mitigation yang akan dibahas berikutnya. Critical Function Risk (Vulnerability /Threat Pair) Risk Level Recommended Control Required Resources Responsible Team Gambar 3.5 Contoh Tabel Rekomendasi Penanggulangan 25

5 3.3 Analisis Risk Assesment Untuk mengklasifikasi setiap aktivitas bisnis PT XYZ terhadap resiko yang ada, digunakan penilaian dengan menggunakan Risk Assesment. Risk assessment merupakan salah satu proses dalam PO9 (Plan and Organise 9 Assess and Manage IT Risk) dalam IT Governance Framework COBIT 4. Risk assessment digunakan untuk menentukan dampak potensi serta ancaman dari resiko yang terkait pada IT system dari setiap aktivitas bisnis yang ada. Hasil dari proses ini berguna untuk membantu mengidentifikasi penanganan yang sesuai dalam mengurangi dan menghilangkan resiko selama proses mitigasi resiko berlangsung Resiko merupakan sebuah kemungkinan yang diakibatkan oleh sumber ancaman yang menyerang sebuah potensi kerentanan yang dapat mengakibatkan dampak merugikan pada sebuah perusahaan. Untuk dapat mengetahui kemungkinan kejadian yang merugikan dikemudian hari, ancaman terhadap sebuah IT system harus dianalisis, dimana letak kerentanan yang ada pada IT system tersebut. Besarnya dampak kerugian dapat ditentukan oleh besaran ancaman yang menyerang pada titik kerentanan. Tingkatan besar dampak dilihat dari nilai kerugian dari sumber daya atau hasil yang dipengaruhinya. 26

6 Gambar 3.6 Bagan 9 Step Risk Assesment Natural Institute of Standards and Technology (NIST) Metodologi risk assessment meliputi Sembilan langkah utama menurut National Institute of Standards and Technology (NIST), yakni : 1 System Characterization Mengkarakterisasi sistem yang ada (sistem eksisting) 2 Threat Identification 27

7 Melakukan identifikasi ancaman-ancaman yang mungkin datang. Gambar 3.7 Bagan Acuan Thread Identification 3 Vulnerability Identification Mengidentifikasi letak titik kerentanan, cacat, atau kelemahan dalam system, security, procedures, design, implementation, dan Internal Control yang sedang berjalan. 28

8 Gambar 3.8 Bagan Contoh Vulnerability Identification 4 Control Analysis Analisis terhadap proses pengendalian terhadap hasil yang didapat 5 Likelihood Determination Proses pengelompokan akan potensi kerentanan, factor-faktor yang perlu diperhatikan: Kapabilitas dan motif dari Sumber ancaman Pemetaan kelemahan sistem Efektifitas teknik kontrol eksisting Gambar 3.9 Bagan Acuan Likelihood Level 6 Impact Analysis Pengukuran tingkat resiko yang kemungkinan terjadi akibat adanya kelemahan sistem. Hal yang perlu diperhatikan : 29

9 System Mission System and data criticality System and data sensitivity Gambar 3.10 Bagan Acuan Magnitude of Impact 7 Risk Determination Tahapan yang berguna untuk menguji tingkatan resiko yang ada. Hal yang perlu diperhatikan : Kemungkinan ancaman yang dihasilkan dengan kerentanan/kelemahan yang ada Besaran dari dampak ancaman yang dihasilkan Kecukupan rancangan kontrol eksisting dalam mengurangi resiko ancaman 30

10 Risk Level Matrix Gambar 3.11 Bagan Acuan Risk Level Matrix 8 Control Recommendations Proses pengendalian rekomendasi-rekomendasi yang didapatkan. Hal yang perlu diperhatikan : Efektivitas dari pilihan rekomendasi Peraturan dan Regulasi Organizational Policy Dampak Operasional Keamanan dan kehandalan 9 Results Documentation. Hasil dokumentasi dari komponen-komponen rekomendasi 3.4 Risk Mitigation Dari hasil identifikasi ancaman dan kerentanan (Thread & Vulnerability), penilaian resiko, dan rekomendasi kontrol dari hasil risk assessment. Maka dalam risk mitigation digunakan untuk menetukan perioritas, evaluasi, dan implementasi, dari rekomendasi kontrol yang sesuai dengan hasil dari risk 31

11 assessment tadi. Risk Mitigation merupakan langkah setelah Risk Assesment dalam metode Risk Management yang dikeluarkan oleh NIST. Gambar 3.11 Bagan Alur Pikir Risk Mitigation Terdapat beberapa Pedoman dalam risk Mitigation, diantaranya adalah : Klasifikasi tingkat resiko Langkah untuk meminimalkan resiko Pengaplikasian dengan biaya rendah Untuk menghindarkan dampak kepada hal-hal lain 32