PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI) Julia Carolina Daud
OUTLINE BAB I PENDAHULUAN BAB II DASAR TEORI BAB III METODE PENGERJAAN TA PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
OUTLINE BAB IV HASIL PENCARIAN DATA DAN MANAJEMEN RISIKO BAB V PEMBUATAN DOKUMEN DRP BAB VI KESIMPULAN DAN SARAN PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
BAB I PENDAHULUAN PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Permasalahan Bagaimana melakukan manajemen risiko untuk mengetahui ancaman, kerentanan dan dampak akibat suatu kejadian. Bagaimana cara melakukan pemulihan bencana ketika terdapat kejadian dalam waktu yang singkat namun seluruh infrastruktur aman. Bagaimana membuat dokumentasi DRP berdasarkan hasil framework ISO/IEC 24762: 2008 di Pusat Data dan Jaringan BTSI Institut Teknologi Sepuluh Nopember Surabaya
Tujuan Untuk Mengetahui dampak risiko yang mempengaruhi proses bisnis Menghasilkan dokumen DRP beserta pedoman, aktifitas, prosedur serta formulir untuk BTSI dengan menggunakan ISO/IEC 24762: 2008 yang berfungsi untuk memberikan arahan dan pedoman dalam melakukan pemulihan bencana.
Batasan Masalah 1. Manajemen risiko menggunakan NIST (National Institute of Standards and Technology) 2. Pembuatan dokumen yang dilakukan menggunakan framework standard internasional ISO/IEC 24762: 2008 3. Pembuatan tugas akhir ini hanya mencakup mengenai bencana alam, buatan manusia dan bencana akibat lingkungan yang menyerang TI yang ada di Pusat Data dan Jaringan BTSI 4. Proses pengerjaan dokumentasi pada bidang TI ITS yang tugas pokok dan fungsinya dilaksanakan oleh BTSI 5. Batasan pengerjaan hanya di lingkup Pusat Data dan Jaringan 6. Penilaian resiko dilakukan secara kualitatif
DASAR TEORI PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Karakterisasi Sistem Manajemen Risiko dengan Menggunakan NIST Identifikasi Ancaman Identifikasi Kerentanan Penentuan Kemungkinan Analisa Dampak Disaster Disaster Recovery Plan (DRP) ISO/IEC 24762: 2008
METODE PENGERJAAN TUGAS AKHIR PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
PERUMUSAN MASALAH 1. Mencari permasalahan yang ada pada Pusat Data dan Jaringan BTSI ITS 2. Merumuskan masalahan yang sudah terdaftar KELUARAN Daftar permasalahan yang akan diangkat menjadi sumber pengerjaan tugas akhir PENETAPAN TUJUAN Menetapkan tujuan yang merupakan jawaban dari permasalahan yang telah teridentifikasi KELUARAN Daftar tujuan yang ingin dicapai dengan pengerjaan tugas akhir ini STUDI LITERATUR Sumber rujukan informasi dari berbagai sumber terkait tentang Disaster Recovery Plan (DRP) KELUARAN Referensi sumber sebagai pembanding DRP
VERIFIKASI DATA Menentukan bahwa model bekerja dan berjalan dengan benar sesuai dengan langkah-langkah yang dilakukan. KELUARAN Data telah terverifikasi dan dapat dilakukan penilaian risiko MANAJEMEN RISIKO Menilai risiko, mengetahui kerentanan, kelemahan suatu sistem, menentukan dampak berdasarkan NIST KELUARAN Daftar risiko, peluang, dampak serta aset. PENYUSUNAN DOKUMEN DRP Penbuatan dokumen DRP sesuai dengan ISO 24762 : 2008 KELUARAN Draft berisi kumpulan-kumpulan daftar apa saja yang harus ada dalam sebuah buku pedoman DRP serta kumpulan data yang sesuai dengan kondisi terkini PENYUSUNAN BUKU TUGAS AKHIR Penbuatan dokumen DRP sesuai dengan ISO 24762 : 2008 KELUARAN Dokumen DRP sesuai standar ISO/IEC 24762: 2008 yang mampu menjadi guideline dalam melakukan pemulihan akibat bencana.
PENGUMPULAN DATA DAN MANAJEMEN RISIKO PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Studi Kasus BTSI Badan Teknologi Sistem Informasi Subbagian Jaringan dan Sistem Informasi Pusat Pengelolaan dan Layanan TI Pusat Pengembangan Sistem Informasi Pusat Data dan Pelaporan
Proses Bisnis 1. Penyediaan informasi dan layanan publik 2. Menampung berbagai macam layanan utama seperti Email, DNS, Website, dan Streaming 3. Menampung server-server yang dimiliki oleh jurusan-jurusan atau unit-unit di lingkungan ITS. 4. Mengelola sistem dan infrastruktur jaringan ITS (melakukan troubleshooting) 5. Mengelola kelistrikan yang mendukung infrastruktur Pusat Data dan Jaringan yaitu antara lain genset, UPS dan lain sebagainya 6. Menghubungi vendor apabila terdapat kerusakan pada hardware yang tidak dapat ditangani oleh tim internal 7. Menjamin keamanan Sistem Informasi 8. Pelayanan dan Perawatan untuk server-server ITS yang berada di bawah tanggung jawab divisi
Manajemen Risiko Karakterisasi Sistem Daftar Sistem TI Penilaian Risiko Daftar Personal TI Identifikasi ancaman dan Gangguan Identifikasi Kerentanan Penilaian Risiko
Risiko Teridentifikasi Risiko karena kebakaran Risiko kerusakan akibat air Risiko gempa bumi Risiko akibat kesalahan user Risiko sabotase oleh karyawan Risiko akibat virus Risiko karena terjadinya hacking Risiko karena adanya pencurian Risiko penyalahgunaan hak akses untuk kepentingan pribadi Risiko kegagalan telekomunikasi dan jaringan Risiko kegagalan hardware dan software Risiko kegagalan proses back up Risiko kegagalan aplikasi software Risiko kegagalan recovery backup data Risiko karena tegangan listrik tidak stabil
Dampak Bisnis Daftar Proses Bisnis Keterangan Ketergantungan Penyediaaninformasidanlayananpublik Untuk mengetahui mengenai infor terbaru dari ITS Dapat berjalan jika proses bisnis terganggu Menampung berbagai macam layanan utama seperti Email, DNS, Website, dan Streaming Menampung server-server yang dimiliki oleh jurusan-jurusan atau unit-unit di lingkungan ITS. Mengelola kelistrikan yang mendukung infrastruktur Pusat Data dan Jaringan yaitu antara lain genset, UPS dan lain sebagainya Mengelola kelistrikan yang mendukung infrastruktur Pusat Data dan Jaringan yaitu antara lain genset, UPS dan lain sebagainya Seluruh domain yang menggunakan domain its.ac.id merupakan proses bisnis utama. seperti FRS Online dan autentifikasi email jika ingin menggunakan internet. Jika terjadi bencana pada ITSnet, maka proses bisnis pihak-pihak yang meletakkan server di ITSnet akan terganggu. Contoh: Akses DIGILIB Jika terjadi bencana pada ITSnet, maka proses bisnis seluruh pihak, baik itu proses bisnis ITSnet sendiri maupun pihak-pihak terkait akan terganggu dan menyebabkan dampak yang vital karena dapat mengakibatkan lumpuhnya proses bisnis Jika terjadi bencana pada ITSnet, maka proses bisnis seluruh pihak, baik itu proses bisnis ITSnet sendiri maupun pihak-pihak terkait akan terganggu dan menyebabkan dampak yang vital karena dapat mengakibatkan lumpuhnya proses bisnis Sangat Tergantung Sangat Tergantung Sangat Tergantung Sangat Tergantung
Dampak Bisnis (Cont d) Daftar Proses Bisnis Keterangan Ketergantungan Menjamin keamanan Sistem Informasi Pelayanan dan Perawatan untuk serverserver ITS yang berada di bawah tanggung jawab divisi ITSnet. Kemanan sistem informasi merupakan hal yang sangat penting untuk menunjang kerahasiaan, kepercayaan dan ketersediaan data Pelayanan dan perawatan server merupakan kunci sukses dari jalannya proses bisnis. Jika pelayanan tidak dilakukan maka pihak ITSnet akan kehilangan kepercayaan, dan jika perawatan server tidak dilakukan maka dapat mengakibatkan kerusakan pada server Sangat Tergantung Sangat tergantung Keterangan : Sangat tergantung: Proses bisnis hanya bisa berjalan jika jaringan menuju server masing masing proses binis terhubung. Tergantung : Jika jaringan menuju server masing masing proses bisnis terputus, masih bisa menggunakan jaringan ke server lain. Misalnya jaringan internet untuk akses internet, maka masih bisa menggunakan jaringa intranet untuk mengakses website. Tidak tergantung : proses bisnis bisa berjalan walaupun proses bisnis Pusat Data dan Jaringan terputus.
Kontrol yang ada di BTSI Risiko Kontrol Keterangan Risiko karena kebakaran Prosedur Operasi Baku Alat Tertulis Pemadam Kebakaran (APAR), Checklist pemeliharaan APAR Risiko kerusakan akibat air Belum ada control Tidak Tertulis Risiko gempa bumi Belum ada kontrol Tidak tertulis Risiko akibat kesalahan user Belum ada kontrol Tidak tertulis Risikosabotaseoleh karyawan Kebijakan Open Recruitment per semester, Prosedur Recruitment, Standar Spesifikasi Minimal untuk SDM serta Mahasiswa Magang, Prosedur Operasi Baku Pelatihan SDM Risiko serangan virus Belum ada kontrol Tidak tertulis Risiko karena terjadinya hacking Belum ada kontrol Tidak tertulis Risiko karena adanya pencurian Belum ada kontrol Tidak tertulis Sebagian tertulis dan sebagian tidak tertulis Risiko penyalahgunaan hak akses untuk kepentingan pribadi Kebijakan Open Recruitment per semester, Prosedur Recruitment, Standar Spesifikasi Minimal untuk SDM serta Mahasiswa Magang, Prosedur Operasi Baku Pelatihan SDM Sebagian tertulis dan sebagian tidak tertulis
Kontrol yang ada di BTSI (cont d) Risiko kegagalan telekomunikasi dan jaringan Risiko kegagalan hardware dan software Risiko kegagalan proses back up Risiko kegagalan aplikasi software Risiko kegagalan recovery backup data Risiko karena tegangan listrik tidak stabil Terdapapat bisnis proses diagram prosedur perawatan/ monitoring jaringan Belum ada kontrol Adanya Prosedur Backup dengan Redundance Hard Disk Belum ada kontrol Sistem Infrastruktur Monitoring Prosedur Operasi Uniteruptible Power Supply (UPS), Checklist pemeliharaan UPS Tertulis Tidak tertulis Tidak tertulis Tidak tertulis Bentuk kontrol berupa aplikasi monitoring, namun tidak ada dokumentasi prosedur tertulis Tertulis
PEMBUATAN DOKUMEN DRP PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Langkah-langkah pembuatan DRP
Panduan Dokumen Disaster Recovery Plan Pembuatan dokumen berdasarkan ISO 24762: 2008 Kebijakan berdasarkan klausul yang ada di ISO/IEC 24762 Prosedur Kegiatan Formulir berdasarkan kebijakan
KESIMPULAN DAN SARAN PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Kesimpulan Berdasarkan pencarian data yang telah dilakukan dalam tugas akhir ini, maka dapat disimpulkan bahwa: Disaster Recovery Plan merupakan salah satu aspek penting dalam mendukung keberlangsungan bisnis setelah terjadinya bencana, untuk mempertahakan semua pihak yang terlibat pada bisnis tersebut termasuk konsumen dan pelaku bisnis itu sendiri. Penyusunan DRP memerlukan studi awal untuk menentukan DRP yang paling optimal yang sesuai dengan kemampuan dan kebutuhan organisasi, serta manfaat yang diharapkan oleh organisasi dari DRP tersebut. Tingginya biaya dan usaha yang harus dilakukan oleh organisasi dalam penyusunan dan penerapan DRP membuat organisasi menghadapi kendala yang tidak ringan dan perlu penetapan skala prioritas yang tepat, sesuai dengan strategi bisnis dan kemampuan organisasi. Studi kasus pada infrastruktur Pusat Data dan Jaringan menghasilkan beberapa temuan yang kontradiktif yaitu tingginya tingkat kebergantungan para pengguna terhadap layanan jaringan komputer tetapi rendahnya tingkat pengetahuan pengguna dalam pengamanan data dari bencana. Pihak pengelola jaringan komputer Institut juga tidak memiliki rencana dan mekanisme yang jelas untuk menghadapi bencana, khususnya yang terkait dengan bencana skala kecil pada jaringan komputer seperti serangan virus, serangan hacker, kegagalan hardware atau gangguan infrastruktur seperti terputusnya listrik, kebakaran dan lain-lain
Saran - Perlu dilakukan penelitian kembali pada bagian BTSI yang lain terkait pembuatan DRP, mengingat Teknologi dan Komunikasi memiliki potensi risiko yang besar - Pembuatan DRP tidak berhenti begitu saja setelah DRP telah dibuat. Harus dilakukan evaluasi dan perbaikan rencana DRP secara kontinu. Harus diadakan perubahan pada DRP. Begitu juga setelah sebuah bencana terjadi, harus dilakukan evaluasi, apakah DRP telah memenuhi harapan organisasi untuk pulih dari bencana yang menimpa.