Bulletin No. 2/2015 www.reksis.com ICT Continuity with Confidence
Bulletin Reksis Consulting Penanggung jawab Haldi Z. Panjaitan Pengantar Redaksi Kegagalan infrastruktur Information Computer Technology (ICT) sangat berbahaya bagi keberlangsungan proses bisnis organisasi sekarang ini. Karena ketergantugan ini, menjaga keamanan dan kesiap-sediaan ICT terhadap segala kemungkinan gangguan menjadi sangat penting bagi organisasi. Ambil contoh operasi perbankan. Transaksi online sedang berkembang di Indonesia, bahkan menurut sebagian pakar dapat menjadi alternatif pertumbuhan ekonomi. Proses bisnis online ini membutuhkan transaksi pembayaran yang harus sedia kapanpun. Bila ada gangguan pada ICT perbankan, sangat besar kerugian yang akan dialami pelaku bisnis, baik secara internal kepada bank itu sendiri, maupun kepada pelaku bisnis online sebagai pelanggan. Pemimpin redaksi Azmi Sudrajat Keuangan Ade D. Pratama Marketing Febi Pribadi Redaksi Azmi Sudrajat Putra P. Rahardi Febi Pribadi Ade D. Pratama Alamat redaksi Jl. Karawitan No. 3, Bandung, Jawa Barat www.reksis.com
Cegah dan Urai ICT Failure dari Sekarang Pada Juni 2011, Colin Macleod berusaha untuk melakukan login terhadap akunnya di Bank Tesco. Tetapi ia mengalami kesulitan, dan tidak bisa melakukannya. Karena sudah berkali-kali dicoba, ia berusaha menelepon Customer Service. Tetapi panggilan teleponnya selalu berakhir dengan Tut tut di ujung sana. Pada 20 Juni 2011, Bank Tesco, yang beroperasi di Inggris, memang sedang mengalami kegagalan pada sistem ICT-nya setelah melakukan update sistem. Tentu saja, yang mengalami kesulitan akses bukan hanya Colin. Bank Tesco memiliki sekitar 6.5 juta pelanggan. Jumlah pelanggan yang banyak seperti ini haruslah dilayani dengan sistem online yang tangguh. Dengan pelanggan yang banyak, sistem ICT perusahaan akan terus-menerus dipaksa untuk reliable terhadap beban sistem. Urgensi ICT yang tangguh Di tengah maraknya persaingan usaha, organisasi yang adaptable terhadap perubahan, baik karena persaingan usaha ataupun kejadian yang memaksa seperti bencana alam, sangat diperlukan oleh pelanggan. Pelanggan sangat berharap pada organisasi yang reliable. Mereka membutuhkannya. Mereka mengapresianya. Ketika Padang mengalami gempa bumi, sistem komunikasi mengalami gangguan. Banyak orang yang tidak bisa berkomunikasi dengan sanak- saudaranya. Bagi mahasiswa perantau, keluarganya sangat menantikan kabar mereka, Apakah mereka baik-baik saja? Tidak hanya itu, sebagian besar bank juga mengalami gangguan pada sistem perbankannya. ATM tidak berfungsi. Tetapi dalam waktu sehari, saluran komunikasi oleh beberapa operator telah pulih kembali. Beberapa bank juga tanggap, dan berhasil memberikan pelayanan dalam waktu kurang dari dua hari. Bank Indonesia bahkan sanggup memberikan pelayanan dalam waktu kurang dari sehari.
Ketangguhan sistem ICT organisasi bukan hanya bermanfaat bagikehidupan organisasi tersebut, tetapi juga pada kehidupan masyarakat. Dimulai sejak dini Kemampuan organisasi untuk melakukan recovery pelayanan setelah terjadinya insiden tidak terlepas dari tersedianya rencana ICT Continuity yang reliable. Dengan identifikasi insiden, organisasi dapat secara efektif dan efisien melanjutkan operasi pelayanan kepada pelanggan. ICT Continuity yang tangguh ini bukan hanya menjadi concern bagian-bagian tertentu dari organisasi itu, bahkan ICT Continuity sudah menjadi kebijakan dari manajemen puncak. Manajemen memberikan perhatian untuk terus melanjutkan keberlangsungan operasi perusahaan, terhadap apapapun kejadian yang terjadi. Berkenalan dengan ICT Continuity Pengantar Pada sebagian besar organisasi, penghantaran produk dan jasa banyak bergantung pada kemampuan teknologi informasi dan komunikasi (information and communication technology/ict) perusahaan. Gangguan pada sistem ICT perusahaan akan berdampak meningkatkan resiko strategis, merusak kinerja perusahaan, bahkan sampai pada penurunan reputasi. Konsekwensi kegagalan ICT bisa sangat besar, tetapi sangat mungkin besarannya tidak langsung terlihat pada saat terjadi insiden. Kegagalan ICT ini sangat besar dampaknya, baik bagi swasta maupun pemerintah, sehingga pada tahun 2008 dikeluarkan BS 25777:2008, Information and Communications Technology Continuity Management: Code of Practice oleh British Standard Institute (BSI). BS 25777 memberi rekomendasi dan acuan kerja untuk ICT Continuity Management dalam framework BCM. Konsep BCM Business Continuity Management (BCM) merupakan disiplin ilmu manajemen baru yang terus berkembang dan diperlukan untuk menghadapi turbulensi yang dihadapi perusahaan. Konsep BCM dikembangkan pada pertengahan 1980-an sebagai langkah perusahaan dalam melakukan manajemen resiko. Adanya BCM ini perusahaan diharapkan untuk tetap beroperasi dan menjaga keberlangsungan bisnis walau apa pun tantangan yang dihadapi perusahaan. BCM berfokus pada proses bisnis sistem secara keseluruhan, dibandingkan pada sebagian sistem, seperti sistem IT, karena untuk terus menjaga keberlangsungan, organisasi harus terus melakukan kegiatan kritikalnya. Proses kritikal ini bisa saja dilakukan satu bagian unit bisnis, bisa juga merupakan satu sistem terintegrasi dari
beberapa unit di dalam sistem. Pengembalian operasi IT dari satu insiden sendiri tidak mungkin terlaksana jika lokasi kerja tidak memungkinkan, atau tidak ada staff yang dapat melakukan recovery. Konsep ICT Continuity Pada umumnya, organisasi telah memiliki Business Continuity Planning (BCP) pada sistem IT-nya. Dengannya, organisasi memiliki alternatif-alternatif pada penanggulangan bencana. Salah satu yang umum dilakukan adalah tersedianya offsite data storage, dimana back up data dilakukan secara reguler penyimpanan cakram alternatif atau dilakukan dengan remote location. ICT Continuity mendukung keberlangsungan BCM dalam organisasi secara keseluruhan. BCM bertujuan untuk memastikan bahwa proses bisnis dalam organisasi terlindungi dari bencana atau gangguan, dan atau organisasi dapat memberikan respon secara positif bila insiden gangguan tersebut terjadi. Organisasi merancang framework BCM, dan dalam kerangka kerja itu, ICT Contiuity dilakukan. ICT Continuity memastikan bahwa setiap proses bisnis yang menggunakan ICT dapat terus beroperasi atau dapat segera melakukan recovery operasi pada level yang telah ditentukan sebelumnya pada saat terjadinya bencana. Jadi, BCM yang efektif harus memastikan tersediaya rencana-rencana ICT yang efektif dalam organisasi. Prinsip ICT Continuity ICT Continuity terlaksana dengan memegang prinsipprinsip berikut: 1. Protect Melindungi ICT environment dari environmental failure, hardware failure, operation error, malware attack, security breach, dan bencana alam. 2. Detect Melakukan deteksi insiden sedini mungkin, saat insiden belum terjadi untuk mengurangi dampak bila insiden itu benar-benar terlaksana, mengurangi waktu dan biaya recovery, serta melindungi kualitas layanan yang memuaskan pelanggan. 3. React Melakukan respon terhadap satu insiden dengan cara yang palig optimal untuk mengurangi downtime. Respon yang salah pada satu insiden dapat menyebabkan insiden lain dengan dampak yang lebih besar. 4. Recover Melakukan identifikasi dn implementasi strategi recovery yang tepat untuk memastikan keberlangsungan operasi dan integrasi data yang terjamin. Memahami prioritas recovery mana yang perlu dilakukan terlebih dahulu untuk memastikan operasi secepatnya. 5. Operate Melakukan penanganan pada mode recovery sampai dipulihkannya operasi normal. Selama mode ini mungkin saja dibutuhkan sumber daya yang lebih besar dan usaha yang lebih intens dari staff yang terlibat 6. Return Merancang strategi perusahaan untuk melakukan langkah-langkah agar kembalinya operasi normal Hubungan antara BCM dan ICT Continuity (Sumber:www.icasa.org)
Memahami ICT Continuity Requirements untuk Business Continuity Pada saat terjadi insiden, level operasi organisasi akan mengalami penghentian. Organisasi harus telah memutuskan berapa lama operasi-operasi tersebut tidak tersedia, yang karena ketiadaannya dapat mengancam eksistensi organisasi. Hal ini dikenal sebagai Minimum Tolerable Downtime (MTD). Setelah organisasi menetapkan MTD perusahaan pada setiap proses, juga diperlukan beberapa recovery objective untuk masing-masing proses. Dua hal yang sering menjadi ukuran perusahaan yaitu: 1. RTO (Recovery Time Objective) Waktu yang diperlukan bagi perusahaan untuk kembali memberikan operasi yang menghasilkan produk, dan jasa kepada pelanggan. 2. RPO (Recovery Point Obective) Level dimana data-data yang diperlukan untuk dapat melakukan operasi kembali Organisasi harus mendefinisikan layanan ICT, serta nama layanan ICT harus bermakna penting bagi organisasi. Layanan ICT yang diperlukan untuk mendukung pencapaian RTO untuk setiap kegiatan kritikal, seperti diprioritaskan oleh program BCM, harus diidentifikasi. Organisasi harus mendokumentasikan daftar layanan ICT kritikal, bersama-sama dengan RTO dan RPO untuk setiap layanan. Beberapa indikasi kapasitas minimum layanan ICT yang dibutuhkan pada pemulihan dan seberapa cepat kapasitas ini mungkin perlu ditingkatkan juga bisa menjadi diperlukan. Layanan ICT RTO umumnya harus kurang dari RTO untuk kegiatan kritis mendukung. (Ini mungkin tidak terjadi ketika strategi kelangsungan bisnis panggilan untuk langkah sementara, seperti prosedur manual, bukan tergantung sepenuhnya pada layanan ICT.) Manajemen puncak harus menyetujui daftar layanan ICT kritis dan terkait persyaratan kelangsungan ICT mereka. Untuk setiap layanan ICT kritis terdaftar dan disetujui oleh manajemen puncak, organisasi harus menjelaskan dan mendokumentasikan komponen ICT yang membentuk layanan end-to-end dan bagaimana mereka dikonfigurasi atau terkait untuk memberikan setiap layanan. Analisis ini harus mempertimbangkan konfigurasi fisik dan logis. Lingkungan pelayanan ICT normal dan pemberian layanan konfigurasi lingkungan kelangsungan ICT harus didokumentasikan. Kesimpulan Semua kegiatan rentan terhadap gangguan dari peristiwa internal dan eksternal seperti gagal teknologi, kebakaran, banjir, kegagalan utilitas, penyakit dan serangan berbahaya. ICT Continuity memberikan kemampuan untuk bereaksi sebelum gangguan terjadi atau deteksi satu atau serangkaian peristiwa terkait yang menjadi insiden, dan untuk merespon dan memulihkan dari insiden.
Reksis Consulting Reksis Consulting adalah salah satu kosultan pertama BCM di Indonesia dan terus-menerus memperbaiki layanan dan pengetahuan kami di bidang BCM Indonesia. Hal ini sangat penting karena Indonesia salah satu wilayah yang sangat sering tertimpa bencana. Dengan pengetahuan yang sangat ekstensif ini kami melayani end-to-end konsultasi Business Continuity Mangement. Dari mulai perencanaan hingga implementasi, kami akan meningkatkan kapabilitas Company Resilience dari organisasi anda dengan maksimal. Tenaga ahli Reksis telah menjadi konsultan Business Continuity Management di Bank Indonesia, XL Axiata, Indosat, Indonesia Power, Biofarma, PT. Kapal Api, CSUL Finance, Bank Jatim, dll. Klien Kami