Planning For Business Continuity Di masa lalu, para pemimpin IS telah berfokus pada kegiatan untuk menjaga sumber daya IT yang beroperasi sebagai bagian dari perencanaan kontingensi "pemulihan bencana". Misalnya, banyak organisasi memiliki kontrak dengan penyedia layanan eksternal untuk menyediakan pemrosesan pusat data cadangan dan dukungan telekomunikasi. Namun, business continuity planning (BCP) melibatkan lebih dari pemulihan TI dari bencana alam — seperti banjir, angin puting beliung, gempa bumi, angin topan, atau kebakaran. BCP melibatkan menempatkan rencana di tempat untuk memastikan bahwa karyawan dan operasi bisnis inti dapat dipertahankan atau dipulihkan ketika dihadapkan dengan gangguan utama yang tak terduga. Penelitian telah menunjukkan bahwa ketidakmampuan organisasi untuk melanjutkan dalam rentang waktu yang wajar untuk kegiatan bisnis normal setelah gangguan besar adalah prediktor kunci dari kelangsungan hidup bisnis. Sebagaimana banyak organisasi AS pelajari setelah serangan teroris 9/11, dan Badai Katrina serta banjir New Orleans yang terjadi pada tahun 2005, keberlangsungan bisnis juga mengharuskan memiliki: • Ruang kerja alternatif untuk orang-orang dengan komputer dan saluran telepon yang berfungsi. • Cadangan situs IT yang tidak terlalu dekat tetapi tidak terlalu jauh (berada dalam jarak mengemudi tetapi tidak terpengaruh oleh bencana telekomunikasi regional). • Rencana evakuasi terbaru yang semua orang tahu dan telah berlatih. • Mem-back-up laptop dan server departemen, karena banyak informasi perusahaan disimpan di mesin ini daripada di pusat data. • Membantu orang mengatasi bencana dengan memiliki daftar telepon yang mudah diakses, daftar e-mail, dan bahkan daftar instantmessenger sehingga orang dapat berkomunikasi dengan orang yang dicintai dan rekan kerja. Proses untuk menciptakan BCP dimulai dengan analisis dampak bisnis, yang dapat mencakup hal-hal berikut: 1. Definisikan proses bisnis dan departemen yang penting. 2. Identifikasi interdependensi di antara mereka. 3. Periksa semua kemungkinan gangguan pada sistem ini. 4. Kumpulkan informasi kuantitatif dan kualitatif tentang ancaman ini. 5. Berikan solusi untuk memulihkan sistem. Untuk butir 3, beberapa dependensi yang memengaruhi akses ke informasi organisasi jelas — seperti listrik, komunikasi, dan koneksi Internet. Lainnya mungkin kurang jelas, seperti downtime maksimum yang dapat ditoleransi untuk setiap sistem aplikasi. Secara tradisional, ini telah diukur dalam kategori seperti Prioritas-lebih rendah = 30 hari, Normal = 7 hari, Penting = 72 jam, Urgent = 24 jam, dan Kritis = kurang dari 12 jam. Proses ini harus menghasilkan peringkat kuantitatif, bersama dengan penilaian kualitatif, tentang tingkat keparahan gangguan, yang kemudian digunakan untuk menentukan obat yang tepat untuk pemulihan sistem. BCP juga harus menyatakan siapa yang bertanggung jawab untuk melakukan apa, dalam kondisi apa. Template untuk log dan dokumentasi lain harus tersedia untuk mengimplementasikan rencana. Rencana BCP juga harus diuji. Bahkan, pengujian BCP mungkin merupakan bagian yang paling mahal dari proses, karena menuntut menarik staf dari pekerjaan normal mereka untuk mensimulasikan situasi paralel di mana gangguan terjadi. Juga sulit menguji rencana karena potensi ruang lingkup bencana. Bergantung pada industri organisasi, auditor mungkin memerlukan pengujian berkala dalam jangka waktu tertentu. Namun demikian, kadang-kadang organisasi menemukan bahwa bencana jauh melebihi asumsi yang digunakan untuk mengembangkan BCP-nya. Ini terjadi, misalnya, untuk Northrop Grumman Corporation, sebuah perusahaan pertahanan dan teknologi senilai $ 30 miliar yang memiliki sekitar 20.000 karyawan yang bekerja di sektor Sistem Perkapalan di dua negara bagian yang berbatasan dengan Teluk Meksiko, tempat Badai Katrina melakukan pendaratan pada Agustus 2005 (lihat “PostKatrina BCP Lessons”). Electronic Records Management (ERM) Pentingnya pengelolaan catatan elektronik telah berkembang karena undangundang AS baru-baru ini mengharuskan organisasi harus menyimpan catatan tertentu untuk jangka waktu minimum. Misalnya, Bagian 802 Sarbanes-Oxley mensyaratkan perusahaan publik dan kantor akuntan publiknya mempertahankan semua audit dan meninjau kertas kerja selama lima tahun. Internal Revenue Service dapat membutuhkan jangka waktu tujuh tahun, dan penghancuran yang disengaja catatan audit perusahaan dapat mengakibatkan hukuman penjara hingga 10 tahun. Departemen Pendidikan mewajibkan penjamin pinjaman mahasiswa federal untuk menyimpan catatan selama minimal lima tahun setelah pinjaman dilunasi. HIPAA memberi individu hak untuk menerima penghitungan pengungkapan informasi kesehatan publik mereka hingga tiga tahun sebelum tanggal permintaan dibuat. Tunduk hukuman (misalnya, pengungkapan tidak disengaja versus mengabaikan sengaja) termasuk denda sipil besar dan bahkan pidana penjara. Saat ini ada lebih dari selusin hukum utama di Amerika Serikat saja yang membutuhkan retensi informasi dan perlindungan. Secara umum, sebagian besar bisnis telah sangat meremehkan kewajiban digital mereka untuk tindakan yang diambil oleh karyawan mereka. Sebagai contoh, eksekutif Microsoft jelas tidak memikirkan konsekuensinya ketika mengirim email tentang Netscape (lihat kotak berjudul “Is E-Mail Forever?”). Manajemen liabilitas digital mengharuskan memastikan bahwa manajer memiliki pengetahuan tentang risiko yang terlibat dalam salah urus informasi, kebutuhan akan kebijakan yang tepat, dan lingkungan hukum dan peraturan yang dihadapi organisasinya. Semua manajemen kewajiban digital harus didasarkan pada analisis risiko. Ini mungkin tampak jelas, tetapi sejarah bisnis penuh dengan kasuskasus perusahaan yang tidak menilai risiko tindakan mereka. Kompleksitas organisasi-organisasi besar, dalam kombinasi dengan perubahan undang-undang nasional dan internasional dan peningkatan penggunaan dokumen elektronik, membutuhkan pendekatan terpusat untuk manajemen catatan elektronik (ERM). Di banyak organisasi, investasi tidak hanya untuk spesialis ERM tetapi juga perangkat lunak ERM komersial yang dapat dibenarkan dapat dibenarkan. Secara umum, manajer ERM (atau komite ERM) harus bertanggung jawab untuk halhal berikut: 1. Mendefinisikan apa yang merupakan catatan elektronik. Catatan elektronik tidak hanya mencakup e-mail, tetapi catatan keuangan, penelitian dan pengembangan, pesan IM, basis data pelanggan dan transaksi, dan banyak lainnya. 2. Menganalisis lingkungan bisnis saat ini dan mengembangkan kebijakan ERM yang tepat. Misalnya, apa yang harus disimpan, dan untuk berapa lama? Kapan dan bagaimana seharusnya catatan dihancurkan? Siapa yang bisa membuat salinan, dan jenis media apa? Di mana salinan media ini disimpan, dan siapa yang memiliki akses ke sana? 3. Mengklasifikasikan catatan khusus berdasarkan kepentingannya, persyaratan peraturan, dan durasi. 4. Mengotentikasi catatan dengan mempertahankan catatan dan prosedur yang akurat untuk membuktikan bahwa ini adalah catatan aktual dan bahwa catatan itu belum diubah. 5. Merumuskan dan mengelola kepatuhan kebijakan Kebijakan ERM harus memiliki kontrol yang tepat, menjelaskan apa yang harus dilakukan, kapan harus dilakukan, siapa yang melakukannya, dengan log dan kontrol untuk membuktikan bahwa kebijakan telah dipenuhi. Karyawan perlu dilatih dan kebijakan perlu diaudit secara berkala untuk kelengkapan dan mata uang. Amandemen terhadap Aturan Prosedur Perdata Federal AS (FRCP) yang berlaku pada bulan Desember 2006 menempatkan beban baru pada manajer catatan untuk tujuan penyimpanan catatan dan pengumpulan informasi tepat waktu sebagai tanggapan terhadap potensi litigasi. Kegagalan untuk mematuhi amandemen eDiscovery ini dapat menyebabkan hukuman keuangan yang berat, sehingga praktik ERM yang baik telah menjadi bagian penting dari manajemen risiko informasi (Volonino et al., 2007). Amendemen FRCP tambahan pada tahun 2009 menjelaskan bahwa bisnis diharuskan untuk menjaga dan menghasilkan informasi yang disimpan secara elektronik yang mungkin relevan dengan gugatan bahkan sebelum gugatan diajukan (Ward et al., 2009).
