PEMBUATAN DISASTER RECOVERY PLAN (DRP)

advertisement
JURNAL TEKNIK POMITS
1
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN
ISO/IEC 24762:2008 DI ITS SURABAYA (Studi Kasus di Pusat Data dan
Jaringan BTSI ITS)
Julia Carolina Daud
Jurusan Sistem Informasi, Fakultas Tekhnologi Informasi, Institut Teknologi Sepuluh Nopember (ITS)
Jl. Raya ITS Kampus ITS Sukolilo, Surabaya 60111
E-mail: [email protected]
Abstrak - Kemungkinan akan terjadinya kerusakan,
kehilangan atau ketidakberfungsian infrastruktur teknologi
informasi dengan adanya hal-hal yang tidak dapat dihindari
dan diprediksi, seperti terjadinya bencana. Bencana yang
dimaksud bisa berupa bencana alam, bencana akibat ulah
manusia dan bencana akibat kegagalan sistem. Bencana yang
terjadi dapat mengakibatkan infrastuktur teknologi
informasi tidak dapat beroperasi sehingga sangat
berpengaruh pada operasional institusi. Untuk mengatasi
efek terjadinya bencana ataupun gangguan maka diperlukan
sebuah perencanaan yang matang dan upaya pemulihan dari
bencana. Saat ini ITS belum memiliki dokumen perencaan
terkait dengan proteksi aset pada terjadinya bencana atau
gangguan. Karena itu perlu adanya sebuah perencaanan yang
bertujuan untuk memulihkan bisnis,.
Disaster
Recovery
Plan
(DRP)
merupakan
sekumpulan dokumen yang mendefinisikan setiap aktifitas,
tindakan serta prosedur yang harus dilakukan terkait
pemulihan bencana, melanjutkan proses bisnis yang tertunda
dalam waktu yang singkat dan dapat menyelamatkan aset
pada sektor yang dimiliki teknologi informasi pada ITS.
Hasil akhir yang dihasilkan adalah berupa dokumen
Disaster Recovery Planning (DRP) yang berisi panduan
dalam melakukan tahapan-tahapan dalam pemulihan
terhadap bencana, kebijakan untuk melakukan aktivitasaktivitas, prosedur untuk tahapan langkah-langkah sebelum
melakukan aktivitas dan formulir untuk mengisi informasinformasi yang didapat dalam melakukan pemulihan
terhadap bencana untuk ITS dengan menggunakan standar
ISO/IEC 24762: 2008.
Kata kunci: Disaster Recovery Plan
(DRP), Disaster,
Manajemen Risiko, Analisa Dampak Bisnis
I. PENDAHULUAN
Institut Teknologi Sepuluh Nopember (ITS)
Surabaya
merupakan
instansi
pendidikan
yang
mengedepankan teknologi informasi dan komunikasi. ITS
memiliki concern yang tinggi terhadap teknologi informasi
dan komunikasi dengan menerapkan teknologi informasi
dan komunikasi di setiap instansi. Terdapat berbagai
fasilitas yang dimiliki oleh ITS yang terdiri dari perangkat
lunak, perangkat keras, alat cetak, data dan sebagainya. Di
ITS sendiri mempunyai badan resmi pengatur teknologi
informasi yang bernama Badan Teknologi Sistem
Informasi atau BTSI.
Namun, hingga saat ini BTSI sendiri belum
memiliki dokumentasi terkait dengan penyimpanan dan
penjagaan aset infrastruktur teknologi informasi. Karena
teknologi informasi dan komunikasi merupakan hal yang
sangat penting bagi ITS, maka sebaikanya perlu dilakukan
manajemen risiko dan
pendokumentasian panduan
bencana terkait rencana penjagaan dan penyimpanan
infrastruktur teknologi informasi untuk meminalkan hal-hal
yang tidak dapat dihindari ataupun diprediksi. Maka perlu
adanya sebuah perencaanan yang bertujuan untuk
memulihkan bisnis, rencana alternatif dan manajemen
krisis untuk mengurangi dampak dan mencegah risiko.
Dengan Disaster Recovery Plan maka akan menjawab
permasalahan yang ada pada sebuah instansi terkait dengan
perencanaan
untuk
memulihkan
bisnis
dengan
menyediakan sebuah panduan yang harus diikuti untuk
apalabila terdapat bencana yang terjadi.
Disaster Recovery Plan (DRP) merupakan
sekumpulan dokumen yang mendefinisikan setiap aktifitas,
tindakan serta prosedur yang harus dilakukan oleh segenap
stakeholder yang terlibat untuk dapat menyelamatkan aset
pada sektor yang dimiliki teknologi informasi pada ITS [2].
Sebelum membuat DRP, hal terpenting yang harus
dilakukan adalah dengan menerapkan manajemen risiko.
Dengan menerapkan manajemen risiko, maka risiko yang
ada pada Pusat Data dan Jaringan dapat dengan mudah
teridentifikasi.
Wujud DRP sendiri secara sederhana hanya
berupa dokumen yang berisi response plan (rencana
tanggap) terhadap bencana. Tetapi, proses penyusunan
dokumen tersebut tidaklah mudah dan memerlukan
pengetahuan yang
mendalam mengenai berbagai resiko yang dihadapi
instansi. Ruang lingkup DRP dapat dibuat melebar meliputi
infrastruktur, personel dan prosedur [3]. Pada tulisan ini,
fokus pembahasan DRP ditekankan pada DRP terkait
dengan penyelamatan infrastruktur teknologi informasi dari
ancaman bencana.
II. KAJIAN PUSTAKA
2.1 Disaster Recovery Plan
DRP adalah proses, kebijakan dan prosedur yang
berkaitan
dengan
persiapan
pemulihan
atau
keberlangsungan infrastruktur teknologi yang kritis bagi
organisasi setelah terjadinya bencana, baik bencana yang
disebabkan oleh tindakan manusia ataupun bencana alam.
Disaster recovery merupakan bagian dari business
continuity. Sedangkan business continuity sendiri
merupakan aktivitas yang dilakukan oleh organisasi untuk
menjamin bahwa fungsi bisnis kritis dapat tetap tersedia
bagi konsumen, supplier dan pihak-pihak lainnya yang
berkepentingan [4].
Perencanaan disaster recovery mengacu pada persiapan
untuk menghadapi bencana dan respon yang harus
diberikan ketika bencana terjadi. tujuan DRP adalah
keberlangsungan (continuity) atau kemampuan organisasi
untuk bertahan (survival) dalam menghadapi bencana
JURNAL TEKNIK POMITS
(Proses penyusunan DRP meliputi analisis, perencanaan,
pembuatan DRP, pengujian dan revisi periodik berdasarkan
kondisi bisnis terkini) [5].
Beberapa jenis bencana yang dapat mengancam
bisnis dapat dikelompokkan berdasarkan penyebab sebagai
berikut : bencana alam, bencana akibat kegagalan alat-alat,
akibat kegagalan aspek keamanan, dan situasi lingkungan
seperti demonstrasi, terorisme, perang, sabotase dan lainlain. Berbagai macam penyebab kejadian bencana di atas,
dapat berpotensi menyebabkan kerusakan pada gedung,
peralatan dan sistem teknologi informasi. Dampak bencana
terhadap organisasi dapat berupa direct damage (kerusakan
langsung alat-alat dan gedung), inaccessibility (fasilitas
tidak dapat diakses), utility outage (tidak tersedianya
infrastruktur pendukung seperti listrik,air dan sebagainya),
transportation disruption, communication disruption,
evacuation dan worker absenteeism [6]. Dampak tersebut
dapat menghentikan bisnis baik untuk sementara atau
hingga jangka waktu tertentu. Jika terhentinya bisnis ini
terus berlanjut,dapat mengakibatkan
pindahnya para konsumen ke pelaku bisnis lainnya.
Gambar 1 dibawah ini merupakan elemen langkah-langkah
dalam penyusunan TI Disaster Recovery Plan
2
manajemen bisnis kontinuitas merupakan bagian dari
proses manajemen risiko dan melibatkan [8]:
• Mengidentifikasi ancaman potensial yang dapat
menyebabkan dampak buruk terhadap operasi
bisnis, dan risiko yang terkait.
• Menyediakan kerangka kerja bagi ketahanan
bangunan untuk operasi bisnis
• Menyediakan kemampuan, fasilitas, proses dan
daftar aksi tugas untuk tanggapan terhadap
bencana dan kegagalan. Kebutuhan untuk
menerapkan, mengoperasikan, memonitor dan
memelihara fasilitas dan layanan DR untuk ICT.
• Kemampuan yang harus dimiliki oleh layanan DR
ICT eksternal dan pedoman praktis yang harus
dijalankan untuk menyediakan lingkungan
operasional minimal yang aman dan memfasilitasi
usaha organisasi untuk melakukan recovery
• Pedoman memilih situs recovery dan pedoman
untuk peningkatan layanan DR ICT
2.3 Perbedaan BCP dan DRP
BCP (Business Continuity Plan) adalah terkait dengan
segala sesuatu yang berhubungan dengan usaha untuk
mempertahankan kelangsungan proses bisnis sedangkan
DRP adalah terkait dengan segala sesuatu yang
berhubungan dengan usaha untuk mempertahankan
kelangsungan proses TI. BCP berisi uraian proses yang
menggambarkan bagaimana usaha yang harus dilakukan
oleh suatu unit kerja sebelum, saat dan setelah suatu
bencana atau insiden terjadi untuk memastikan proses
bisnis dapat berjalan lancar. Usaha yang harus dilakukan
tersebut adalah terkait dengan personel, lokasi, bangunan,
teknologi pelayanan. Sedangkan DRP berisi uraian proses
yang menggambarkan bagaimana usaha yang harus
dilakukan oleh suatu unot kerja sebelum, saat dan setelah
suatu bencana atau insiden terjadi untuk memastikan
kegiatan proses TI dapat berjalan lancar. Usaha yang harus
dilakukan tersebut adalah terkait dengan kesiapan personel
dan fasilitas pemrosesan TI [9].
2.4 Manajemen Risiko
Gambar 1 Langkah-langkah penyusunan DRP
2.2 ISO/IEC 24762: 2008
ISO/IEC
24762:2008
merupakan
standar
internasional yang berisi mengenai konsep dan prinsip
mengenai informasi dan komunikasi teknologi (ICT) untuk
kelangsungan bisnis dengan menyediakan framework yang
berisi metode dan proses untuk melakukan identifikasi dan
spesifikasi semua aspek mengenai kriteria kinerja, desain,
dan implementasi untuk mengembangkan sebuah
organisasi IT demi kelangsungan bisnis instansi. ISO/IEC
dapat digunakan untuk semua organisasi misalnya untuk
pribadi, pemerintahan, non-pemerintahan, dan usaha
komersiaL [7].
ISO/IEC 24762: 2008 memberikan pedoman pada
penyediaan informasi dan teknologi komunikasi pemulihan
bencana (DR ICT) jasa sebagai bagian dari manajemen
bisnis kontinuitas. Menurut ISO/IEC 24762: 2008,
Sebelum melakukan pembuatan DRP, hal yang
paling penting dilakukan pertama kali adalah menerapkan
Manajemen Risiko. Manajemen risiko adalah proses yang
memungkinkan manajer TI untuk menyeimbangkan biaya
operasional dan ekonomi dari tindakan pengamanan dalam
hal melindungi sistem TI dan data yang mendukung misi
instansi mereka [10]. Risiko adalah dampak negatif dari
pelaksanaan kerentanan, dengan mempertimbangkan
probabilitas dan dampak terjadinya. Proses manajemen
risiko pada tugas akhir ini mengacu pada NIST (National
Institute of Standards and Technology) karena manajemen
risiko yang dianalisa ini memiliki fokus kepada
infrastruktur teknologi informasi dari ancaman bencana
sehingga penggunaan Manajemen Risiko berdasarkan
NIST [11].
JURNAL TEKNIK POMITS
2.5
Risk Management Guide
berdasarkan NIST
3
for
IT
System
Penggunaan Manajemen Risiko menggunakan studi
dokumen pada NIST (National Institute of Standards and
Technology), hal ini dikarenakan standar ini fokus
membahas sistem TI dimana akan sangat dibutuhkan dalam
pembuatan perencanaan pemulihan bencana alam yang
fokus ke. Tahapan-tahapan dalam manajemen risiko pada
tugas akhir ini disesuaikan dengan NIST dan pencarian
data yang dilakukan di Pusat Data dan Jaringan BTSI.
Pemilihan penggunaan standar ini karena mencakup
informasi ancaman dan sumber ancaman untuk ancaman
terhadap manusia, identifikasi kerentanan, dan kriteria
keamanan.
2.5.1 Penilaian Risiko
Penilaian risiko digunakan untuk menentukan
ancaman yang berpotensi untuk terjadi dan risiko sistem TI
yang terkait. Output dari proses ini adalah untuk dapat
mengidentifikasi kontrol yang layak untuk mengurangi
atau menghilangkan risiko selama proses mitigasi risiko.
Untuk menentukan kemungkinan terjadinya peristiwa yang
terjadi di masa mendatang, ancaman terhadap sistem TI
harus dianalisis dalam hubungannya dengan potensi
kerentanan dan untuk sistem TI. Dampak mengacu pada
besarnya bahaya yang bisa disebabkan oleh kerentanan.
Level dampak diatur oleh dampak yang potensial dan
dampak tersebut berpengaruh terhadap aset dan sumber
daya TI yang terkena dampak. Berikut adalah tahapantahapan dalam melakukan penilaian risiko:
2.5.1.1 Karakterisasi Sistem
Pada tahapan karakterisasi sistem ini berfungsi
untuk melakukan identifikasi batasan sistem yang ada,
sehingga dapat dengan jelas melihat batasan fungsionalitas.
2.5.1.2 Identifikasi Ancaman dan Gangguan
Ancaman merupakan suatu tindakan dari luar yang
tidak diduga sebelumnya. Ancaman dapat berupa bencana
alam, ancaman terhadap peralatan fisik, sumber daya
manusia, maupun ancaman terhadap perangkat lunak.
Sedangkan gangguan adalah suatu kendala yang datang
dari dalam dan terbagi menjadi dua, yakni gangguan yang
disengaja atau tidak disengaja.
2.5.1.3 Identifikasi Kerentanan
Analisis ancaman terhadap sistem TI harus
menyertakan analisis kerentanan terkait dengan sistem
lingkungan. Tujuan dari langkah ini adalah untuk
menyusun daftar kerentanan sistem (kekurangan atau
kelemahan) yang bisa dimanfaatkan oleh sumber ancaman
yang potensial.
2.5.1.4 Analisis Kontrol
Tujuan dari langkah ini adalah untuk menganalisis
kontrol yang telah dilaksanakan, atau yang direncanakan
untuk pelaksanaan, institut untuk mengurangi atau
menghilangkan kemungkinan (probabilitas atau) menilai
kerentanan sistem ancaman tersebut. Kategori kontrol
untuk metode pengendalian baik teknis dan nonteknis dapat
diklasifikasikan sebagai menjadi dua, yakni preventif atau
detektif. Kedua subkategori dijelaskan sebagai berikut [12]:
•
•
Kontrol Preventif mencegah upaya untuk melanggar
kebijakan keamanan dan termasuk kontrol seperti
pengamanan kontrol akses, enkripsi, dan otentikasi.
Kontrol Detektif memperingatkan pelanggaran atau
pelanggaran percobaan kebijakan keamanan dan
mencakup kontrol seperti jejak audit, metode
deteksi intrusi, dan checksum.
2.5.1.5 Penentuan Kemungkinan
Menunjukkan kemungkinan bahwa potensi kerentanan
dapat dilaksanakan dalam membangun lingkungan
ancaman yang terkait, faktor-faktor yang yang harus
dipertimbangkan adalah:
• Kemampuan dan Motivasi Sumber Ancaman
• Sifat kerentanan
• Keberadaan dan efektivitas kontrol saat ini.
Kemungkinan potensi kerentanan dapat dieksekusi oleh
sumber ancaman yang dapat digambarkan sebagai certain,
likely, moderate, unlikely, dan rare
2.5.1.6 Analisa Dampak
Analisis dampak bisnis (BIA) merupakan komponen
penting dari rencana kelanjutan bisnis organisasi, BIA juga
mencakup komponen eksplorasi untuk mengetahui
kerentanan,
dan
komponen
perencanaan
untuk
mengembangkan strategi untuk meminimalkan risiko.
Hasil analisis adalah laporan dampak bisnis yang
menggambarkan potensi risiko pada sebuah organisasi.
Salah satu asumsi dasar di balik BIA adalah bahwa setiap
komponen organisasi bergantung pada fungsi lanjutan dari
setiap komponen lainnya. Risiko yang terdapat pada Pusat
Data dan Jaringan nantinya akan dianalisa berdasarkan
dampak bisnis yang ada [13].
2.5.1.7 Penentuan Dampak
Setelah melakukan identifikasi risiko yang memiliki
potensi untuk terjadi, maka berikutnya adalah melakukan
penilaian risiko untuk mengetahui level risiko lalu
berikutnya adalah melakukan analisa dampak bisnis. Pada
analisa dampak dapat diketahui kategori skala dampak, jika
kategori dampak telah diketahui maka dapat diketahui
dampak bisnis yang diakibatkan dari bencana yang terjadi.
Serta dapat dilakukan proses pemulihan yang sesuai
dengan kategori skala dampak.
Tabel 4 berikit merupakan tabel yang berisi kategori
dampak dari risiko yang terjadi serta penjelasan mengenai
dampak risiko. [14]
JURNAL TEKNIK POMITS
4
8) Pelayanan dan Perawatan untuk serverserver ITS yang berada di bawah tanggung
jawab divisi
III. METODOLOGI
Perumusan Masalah
Gambar dibawah ini grafik NOC (Network Operation
Center yang ada pada ITS)
Penetapan Tujuan
Studi Literatur
Pencarian Data
Observasi
Wawancara
Studi
Dokumen
Verifikasi Data
Manajemen Risiko
Gambar 3 Grafik NOC (Sumber: www.noc.its.ac.id
diakses pada 13 Juli 2013)
Penyusunan draft
dokumen Disaster
Recovery Plan (DRP)
Tidak
Dokumen DRP
valid?
Ya
Penyusunan dokumen
Disaster Recovery Plan
(DRP)
Penyusunan Buku
Tugas Akhir
Dari grafik diatas dapat diketahui bahwa tingkat
penggunaan internet di ITS sangat tinggi, maka melakukan
identifikasi risiko dan membuat perencanaan jika terjadi
bencana merupakan hal yang sangat penting. Dibawah ini
adalah proses melakukan identifikasi risiko berdasarkan
NIST.
4.2 Identifikasi Ancaman dan Gangguan
KATEGORI
ANCAMAN
Alam
Gambar 2 Flowchart Metode Pengerjaan tugas akhir
IV. PENGUMPULAN DATA DAN MANAJEMEN RISIKO
Berdasarkan studi kasus yang ada pada pusat data dan
jaringan. Maka didapatkan hasil mengenai penilaian risiko
sesuai dengan hasil survey dan wawancara.
Layanan
4.1 Proses Bisnis Pusat Data dan Jaringan
Proses bisnis yang menjadi inti dalam Pusat Data dan
Jaringan., yang dijabarkan sebagai berikut:
1) Penyediaan informasi dan layanan publik
2) Menampung berbagai macam layanan
utama seperti Email, DNS, Website, dan
Streaming
3) Menampung server-server yang dimiliki
oleh jurusan-jurusan atau unit-unit di
lingkungan ITS.
4) Mengelola sistem dan infrastruktur jaringan
ITS (melakukan troubleshooting)
5) Mengelola kelistrikan yang mendukung
infrastruktur Pusat Data dan Jaringan yaitu
antara lain genset, UPS dan lain sebagainya
6) Menghubungi vendor apabila terdapat
kerusakan pada hardware yang tidak dapat
ditangani oleh tim internal
7) Menjamin keamanan Sistem Informasi
Kehilangan
ANCAMAN
Pergerakan bumi
(gempa bumi, gunung
meletus, dsb.)
Api (Kebakaran)
Air (Banjir)
Badai
Internet
Listrik
Gas
Udara
Kegagalan peralatan
Pencurian,
pendobrakan,
pengambilan dengan
paksa.
Penembakan,
terjadinya Bom
Human Error
Sabotase
Penyalahgunaan hak
akses untuk
kepentingan pribadi
Kegagalan
Sistem
perangkat
-
Kegagalan
fungsional
Code Error
KOMPONEN
PERANGKAT
YANG TERKENA
Seluruh Perangkat
Infrastruktur TI
terkena
Perangkat lunak
(software aplikasi)
dan perangkat keras
(harddisk)
Seluruh Perangkat
Infrastruktur TI
terkena
Seluruh Perangkat
Infrastruktur TI
terkena
Perangkat lunak
(aplikasi)
Akses masuk ke
dalam perangkat
lunak
Hilangnya data data
penting aau
hilangnya aset core
dari bisnis.
Perangkat Lunak
JURNAL TEKNIK POMITS
KATEGORI
ANCAMAN
lunak
Kegagalan
perangkat
keras
Serangan
Virus
Listrik yang
tidak stabil
Human Error
UPS tidak
tersedia
ANCAMAN
-
Bugs
Kegagalan
harddisk
- Kegagalan server,
router,
switch,
hub.
Serangan virus,
Trojan, Worm
Korsleting
-
Kesalahan input
atau
kesalahan
koding
- Kesalahan
pemasukan data
- Kesalahan
penghapusan
data.
- Kesalahan
operator(salah
memberi
label
pada
pita
magnetik
- Kegagalan proses
recovery data
- Kegagalan proses
backup
5
KOMPONEN
PERANGKAT
YANG TERKENA
Perangkat Keras
Perangkat Lunak
dan Data
Perangkat Keras
Aplikasi Perangkat
Lunak
ANCAMAN
Api (Kebakaran)
Air (Banjir)
Layanan
Internet
Listrik
Kegagalan peralatan
Kehilangan
Pencurian,
pendobrakan,
pengambilan
dengan paksa.
Human Error
Sabotase
Kegagalan
Penyalahgunaan hak
akses untuk
kepentingan pribadi
- Kegagalan
Kegagalan
perangkat keras
Serangan Virus
ANCAMAN
-
fungsional
Code Error
Bugs
-
Kegagalan
harddisk
- Kegagalan
server,
router,
switch, hub.
Serangan virus,
Trojan, Worm
Listrik yang
tidak stabil
Korsleting
Human Error
- Kesalahan input
atau
kesalahan
koding
- Kesalahan
pemasukan data
- Kesalahan
penghapusan
data.
- Kesalahan
operator
(salah
memberi
label
pada
pita
magnetik)
Hilangnya Data
4.3 Identifikasi Kerentanan
KATEGORI
ANCAMAN
Kebakaran
KATEGORI
ANCAMAN
Sistem
perangkat lunak
KERENTANAN
Kuranganya alat
pemadam kebakaran,
kurangnya alat
pendeteksi asap
Bangunan yang tidak
kokoh sehingga
memungkinkan untuk
terjadinya kebocoran
Antivirus tidak update
Terjadi kesalahan pada
pusat kelistrikan
Perawatan atau
maintenance tidak
dilakukan secara rutin.
Atau peralatan melebihi
lifetime penggunaan
Tidak adanya kontrol
akses fisik pada ruang
server. Tidak ada
pencatatan form
aktivitas di dalam ruang
server
Pekerja tidak memiliki
kemampuan untuk
menjalankan aplikasi.
Pekerja tidak mengikuti
training.
Kurangnya penjagaan
terhadap ruang server
Kurangnya penjagaan
terhadap ruang server
Versi aplikasi yang
KERENTANAN
digunakan tidak
uptodate atau aplikasi
yang digunakan
terdapat kerentanan
sehingga dapat
terinfeksi oleh virus
Terdapat kerusakan
pada server
Pemilihan antivirus
yang tidak handal,
antivirus jarang
dilakukan update secara
berkala, dan
ketidakwaspadaan
dalam membuka
atachment e-mail dari
pengirim yang tidak
dikenal
Harus terpasang UPS
dan genset karena dapat
membuat listrik lebih
stabil dan dapat juga
menyimpan energi
listrik cadangan,
sehingga ada waktu
untuk melakukan proses
back up data
Sumber daya manusia
yang ada di Pusat Data
dan Jaringan tidak
memiliki sertifikasi atau
tidak memiliki
pengalaman training
4.3 Dampak Proses Bisnis
Daftar Proses
Bisnis
Penyediaan
informasi dan
layanan publik
Menampung
berbagai macam
layanan utama
seperti Email, DNS,
Website, dan
Streaming
Menampung serverserver yang dimiliki
oleh jurusan-jurusan
atau unit-unit di
lingkungan ITS.
Mengelola
Keterangan
Untuk mengetahui
mengenai infor terbaru
dari ITS
Seluruh domain yang
menggunakan domain
its.ac.id merupakan proses
bisnis utama. eperti FRS
Online dan autentifikasi
email jika ingin
menggunakan internet.
Jika terjadi bencana pada
ITSnet, maka proses
bisnis pihak-pihak yang
meletakkan server di
ITSnet akan terganggu.
Contoh: Akses DIGILIB
Jika terjadi bencana pada
Ketergantu
ngan
Dapat
berjalan jika
proses
bisnis
terganggu
Sangat
Tergantung
Sangat
Tergantung
Sangat
JURNAL TEKNIK POMITS
kelistrikan yang
mendukung
infrastruktur Pusat
Data dan Jaringan
yaitu antara lain
genset, UPS dan
lain sebagainya
Menjamin
keamanan Sistem
Informasi
Pelayanan dan
Perawatan untuk
server-server ITS
yang berada di
bawah tanggung
jawab divisi ITSnet.
ITSnet, maka proses
bisnis seluruh pihak, baik
itu proses bisnis ITSnet
sendiri maupun pihakpihak terkait akan
terganggu dan
menyebabkan dampak
yang vital karena dapat
mengakibatkan
lumpuhnya proses bisnis
Kemanan sistem
informasi merupakan hal
yang sangat penting untuk
menunjang kerahasiaan,
kepercayaan dan
ketersediaan data
Pelayanan dan perawatan
server merupakan kunci
sukses dari jalannya
proses bisnis. Jika
pelayanan tidak dilakukan
maka pihak ITSnet akan
kehilangan kepercayaan,
dan jika perawatan server
tidak dilakukan maka
dapat mengakibatkan
kerusakan pada server
6
Tergantung
2. Penilaian identifikasi risiko untuk kelanjutan dari tugas
akhir berikutnya diharapkan agar melakukan penilaian
secara kuantitatif agar data yang didapat valid.
[1]
[2]
Sangat
Tergantung
[3]
[4]
Sangat
tergantung
[5]
[6]
[7]
[8]
V. KESIMPULAN DAN SARAN
Kesimpulan
Kesimpulan yang dapat diambil dari pengerjaan
tugas akhir ini yakni sebagai berikut:
1. Studi kasus pada infrastruktur Pusat Data dan
Jaringan menghasilkan beberapa temuan yang
kontradiktif
yaitu
tingginya
tingkat
kebergantungan para pengguna terhadap layanan
jaringan komputer tetapi rendahnya tingkat
pengetahuan pengguna dalam pengamanan data
dari bencana. Pihak pengelola jaringan komputer
Institut juga tidak memiliki rencana dan
mekanisme yang jelas untuk menghadapi bencana,
khususnya yang terkait dengan bencana skala
kecil pada jaringan komputer seperti serangan
virus, serangan hacker, kegagalan hardware atau
gangguan infrastruktur seperti terputusnya listrik,
kebakaran dan lain-lain
2.
Hasil pembuatan DRP disesuaikan dengan
tahapan yang ada pada metode pengerjaan tugas
akhir, yakni melakukan penilaiaan risiko dan
tahapan-tahapannya berdasarkan NIST.
6.2 Saran
Beberapa hal yang diharapkan dapat dikembangkan
untuk penelitian berikutnya, yaitu:
1. Perlu dilakukan penelitian kembali pada bagian BTSI
yang lain, mengingat Teknologi Informasi dan
Komunikasi di ITS juga memiliki potensi risiko yang
sama.
[9]
DAFTAR PUSTAKA
Afifa, Linda N. Usulan Panduan Pelaksanaan
Manajemen Risiko Tata Kelola TIK Nasional, 2011
Manurung, Yunita Caroline. Penyusunan Rencana
Penanggulangan Bencana (Disaster Recovery
Planning) Pada Sektor Teknologi Informasi. 2007.
NIST Special Publication 800-30. Risk Management
Guide for Information Technology Systems. July
2002.
Snedaker, Susan. Business Continuity and Disaster
Recovery Planning for IT. Syngress: 2011
Gregory, Peter, CISA, CISSP, "IT Disaster
Recovery Planning for Dummies", Willey
Publishing, Inc, 2007.
Wallace, Michael and Lawrence Webber. 2004 . The
Disaster RecoveryHandbook: A Step-by-Step Plan to
Ensure Business Continuity and Protect Vital
Operations, Facilities, and Assets
Davis, Jeff, (2002), “Get IT Done: How does the help
desk fit into the disaster recovery plan?”, Published
11-05-02, http://www.techrepublic.com
Mounting, (2004), “The Business Case for DRP :
Calculating the Cost of Downtime”, White paper
from Iron Mounting,www.electronicvaulting.co.uk.
Ward, John, and Peppard, Joe, (2002), “Strategic
rd
[10]
[11]
[12]
[13]
[14]
[15]
Planning for Information System”, 3 Ed, John Willey
& Sons, Inc.
Falahah, “Pengembangan Model Perencanaan
Penanggulangan Bencana (Disaster Recovery Plan)
pada Sektor Teknologi Informasi”, Tesis Magister
Sistem Informasi, Program Studi Informatika, STEI,
ITB, 2006
Tipton, H. and Krause, M. Information Security
Management Handbook 4th Edition. NY: Auerbach
Publications, 2000. 581 –596.
Bell, Judy. "Why Some Recovery Plans Won't
Work." Disaster Recovery Journal.Spring 2003: 30 32.
Vijayan, J. (2005) Data security risks missin
World, 39 (41), 16-18.
“Disaster Recovery Planning: Project Plan Outline.”
Computing & Networking Services, University of
Toronto.
URL:
http://www.utoronto.ca/security/drp.htm
Charlotte Brooks, Matthew Bedernjak, Igor Juran,
John Merryman. (2002). Disaster Recovery
Strategies. IBM Redbook
Download