JURNAL TEKNIK POMITS 1 PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762:2008 DI ITS SURABAYA (Studi Kasus di Pusat Data dan Jaringan BTSI ITS) Julia Carolina Daud Jurusan Sistem Informasi, Fakultas Tekhnologi Informasi, Institut Teknologi Sepuluh Nopember (ITS) Jl. Raya ITS Kampus ITS Sukolilo, Surabaya 60111 E-mail: [email protected] Abstrak - Kemungkinan akan terjadinya kerusakan, kehilangan atau ketidakberfungsian infrastruktur teknologi informasi dengan adanya hal-hal yang tidak dapat dihindari dan diprediksi, seperti terjadinya bencana. Bencana yang dimaksud bisa berupa bencana alam, bencana akibat ulah manusia dan bencana akibat kegagalan sistem. Bencana yang terjadi dapat mengakibatkan infrastuktur teknologi informasi tidak dapat beroperasi sehingga sangat berpengaruh pada operasional institusi. Untuk mengatasi efek terjadinya bencana ataupun gangguan maka diperlukan sebuah perencanaan yang matang dan upaya pemulihan dari bencana. Saat ini ITS belum memiliki dokumen perencaan terkait dengan proteksi aset pada terjadinya bencana atau gangguan. Karena itu perlu adanya sebuah perencaanan yang bertujuan untuk memulihkan bisnis,. Disaster Recovery Plan (DRP) merupakan sekumpulan dokumen yang mendefinisikan setiap aktifitas, tindakan serta prosedur yang harus dilakukan terkait pemulihan bencana, melanjutkan proses bisnis yang tertunda dalam waktu yang singkat dan dapat menyelamatkan aset pada sektor yang dimiliki teknologi informasi pada ITS. Hasil akhir yang dihasilkan adalah berupa dokumen Disaster Recovery Planning (DRP) yang berisi panduan dalam melakukan tahapan-tahapan dalam pemulihan terhadap bencana, kebijakan untuk melakukan aktivitasaktivitas, prosedur untuk tahapan langkah-langkah sebelum melakukan aktivitas dan formulir untuk mengisi informasinformasi yang didapat dalam melakukan pemulihan terhadap bencana untuk ITS dengan menggunakan standar ISO/IEC 24762: 2008. Kata kunci: Disaster Recovery Plan (DRP), Disaster, Manajemen Risiko, Analisa Dampak Bisnis I. PENDAHULUAN Institut Teknologi Sepuluh Nopember (ITS) Surabaya merupakan instansi pendidikan yang mengedepankan teknologi informasi dan komunikasi. ITS memiliki concern yang tinggi terhadap teknologi informasi dan komunikasi dengan menerapkan teknologi informasi dan komunikasi di setiap instansi. Terdapat berbagai fasilitas yang dimiliki oleh ITS yang terdiri dari perangkat lunak, perangkat keras, alat cetak, data dan sebagainya. Di ITS sendiri mempunyai badan resmi pengatur teknologi informasi yang bernama Badan Teknologi Sistem Informasi atau BTSI. Namun, hingga saat ini BTSI sendiri belum memiliki dokumentasi terkait dengan penyimpanan dan penjagaan aset infrastruktur teknologi informasi. Karena teknologi informasi dan komunikasi merupakan hal yang sangat penting bagi ITS, maka sebaikanya perlu dilakukan manajemen risiko dan pendokumentasian panduan bencana terkait rencana penjagaan dan penyimpanan infrastruktur teknologi informasi untuk meminalkan hal-hal yang tidak dapat dihindari ataupun diprediksi. Maka perlu adanya sebuah perencaanan yang bertujuan untuk memulihkan bisnis, rencana alternatif dan manajemen krisis untuk mengurangi dampak dan mencegah risiko. Dengan Disaster Recovery Plan maka akan menjawab permasalahan yang ada pada sebuah instansi terkait dengan perencanaan untuk memulihkan bisnis dengan menyediakan sebuah panduan yang harus diikuti untuk apalabila terdapat bencana yang terjadi. Disaster Recovery Plan (DRP) merupakan sekumpulan dokumen yang mendefinisikan setiap aktifitas, tindakan serta prosedur yang harus dilakukan oleh segenap stakeholder yang terlibat untuk dapat menyelamatkan aset pada sektor yang dimiliki teknologi informasi pada ITS [2]. Sebelum membuat DRP, hal terpenting yang harus dilakukan adalah dengan menerapkan manajemen risiko. Dengan menerapkan manajemen risiko, maka risiko yang ada pada Pusat Data dan Jaringan dapat dengan mudah teridentifikasi. Wujud DRP sendiri secara sederhana hanya berupa dokumen yang berisi response plan (rencana tanggap) terhadap bencana. Tetapi, proses penyusunan dokumen tersebut tidaklah mudah dan memerlukan pengetahuan yang mendalam mengenai berbagai resiko yang dihadapi instansi. Ruang lingkup DRP dapat dibuat melebar meliputi infrastruktur, personel dan prosedur [3]. Pada tulisan ini, fokus pembahasan DRP ditekankan pada DRP terkait dengan penyelamatan infrastruktur teknologi informasi dari ancaman bencana. II. KAJIAN PUSTAKA 2.1 Disaster Recovery Plan DRP adalah proses, kebijakan dan prosedur yang berkaitan dengan persiapan pemulihan atau keberlangsungan infrastruktur teknologi yang kritis bagi organisasi setelah terjadinya bencana, baik bencana yang disebabkan oleh tindakan manusia ataupun bencana alam. Disaster recovery merupakan bagian dari business continuity. Sedangkan business continuity sendiri merupakan aktivitas yang dilakukan oleh organisasi untuk menjamin bahwa fungsi bisnis kritis dapat tetap tersedia bagi konsumen, supplier dan pihak-pihak lainnya yang berkepentingan [4]. Perencanaan disaster recovery mengacu pada persiapan untuk menghadapi bencana dan respon yang harus diberikan ketika bencana terjadi. tujuan DRP adalah keberlangsungan (continuity) atau kemampuan organisasi untuk bertahan (survival) dalam menghadapi bencana JURNAL TEKNIK POMITS (Proses penyusunan DRP meliputi analisis, perencanaan, pembuatan DRP, pengujian dan revisi periodik berdasarkan kondisi bisnis terkini) [5]. Beberapa jenis bencana yang dapat mengancam bisnis dapat dikelompokkan berdasarkan penyebab sebagai berikut : bencana alam, bencana akibat kegagalan alat-alat, akibat kegagalan aspek keamanan, dan situasi lingkungan seperti demonstrasi, terorisme, perang, sabotase dan lainlain. Berbagai macam penyebab kejadian bencana di atas, dapat berpotensi menyebabkan kerusakan pada gedung, peralatan dan sistem teknologi informasi. Dampak bencana terhadap organisasi dapat berupa direct damage (kerusakan langsung alat-alat dan gedung), inaccessibility (fasilitas tidak dapat diakses), utility outage (tidak tersedianya infrastruktur pendukung seperti listrik,air dan sebagainya), transportation disruption, communication disruption, evacuation dan worker absenteeism [6]. Dampak tersebut dapat menghentikan bisnis baik untuk sementara atau hingga jangka waktu tertentu. Jika terhentinya bisnis ini terus berlanjut,dapat mengakibatkan pindahnya para konsumen ke pelaku bisnis lainnya. Gambar 1 dibawah ini merupakan elemen langkah-langkah dalam penyusunan TI Disaster Recovery Plan 2 manajemen bisnis kontinuitas merupakan bagian dari proses manajemen risiko dan melibatkan [8]: • Mengidentifikasi ancaman potensial yang dapat menyebabkan dampak buruk terhadap operasi bisnis, dan risiko yang terkait. • Menyediakan kerangka kerja bagi ketahanan bangunan untuk operasi bisnis • Menyediakan kemampuan, fasilitas, proses dan daftar aksi tugas untuk tanggapan terhadap bencana dan kegagalan. Kebutuhan untuk menerapkan, mengoperasikan, memonitor dan memelihara fasilitas dan layanan DR untuk ICT. • Kemampuan yang harus dimiliki oleh layanan DR ICT eksternal dan pedoman praktis yang harus dijalankan untuk menyediakan lingkungan operasional minimal yang aman dan memfasilitasi usaha organisasi untuk melakukan recovery • Pedoman memilih situs recovery dan pedoman untuk peningkatan layanan DR ICT 2.3 Perbedaan BCP dan DRP BCP (Business Continuity Plan) adalah terkait dengan segala sesuatu yang berhubungan dengan usaha untuk mempertahankan kelangsungan proses bisnis sedangkan DRP adalah terkait dengan segala sesuatu yang berhubungan dengan usaha untuk mempertahankan kelangsungan proses TI. BCP berisi uraian proses yang menggambarkan bagaimana usaha yang harus dilakukan oleh suatu unit kerja sebelum, saat dan setelah suatu bencana atau insiden terjadi untuk memastikan proses bisnis dapat berjalan lancar. Usaha yang harus dilakukan tersebut adalah terkait dengan personel, lokasi, bangunan, teknologi pelayanan. Sedangkan DRP berisi uraian proses yang menggambarkan bagaimana usaha yang harus dilakukan oleh suatu unot kerja sebelum, saat dan setelah suatu bencana atau insiden terjadi untuk memastikan kegiatan proses TI dapat berjalan lancar. Usaha yang harus dilakukan tersebut adalah terkait dengan kesiapan personel dan fasilitas pemrosesan TI [9]. 2.4 Manajemen Risiko Gambar 1 Langkah-langkah penyusunan DRP 2.2 ISO/IEC 24762: 2008 ISO/IEC 24762:2008 merupakan standar internasional yang berisi mengenai konsep dan prinsip mengenai informasi dan komunikasi teknologi (ICT) untuk kelangsungan bisnis dengan menyediakan framework yang berisi metode dan proses untuk melakukan identifikasi dan spesifikasi semua aspek mengenai kriteria kinerja, desain, dan implementasi untuk mengembangkan sebuah organisasi IT demi kelangsungan bisnis instansi. ISO/IEC dapat digunakan untuk semua organisasi misalnya untuk pribadi, pemerintahan, non-pemerintahan, dan usaha komersiaL [7]. ISO/IEC 24762: 2008 memberikan pedoman pada penyediaan informasi dan teknologi komunikasi pemulihan bencana (DR ICT) jasa sebagai bagian dari manajemen bisnis kontinuitas. Menurut ISO/IEC 24762: 2008, Sebelum melakukan pembuatan DRP, hal yang paling penting dilakukan pertama kali adalah menerapkan Manajemen Risiko. Manajemen risiko adalah proses yang memungkinkan manajer TI untuk menyeimbangkan biaya operasional dan ekonomi dari tindakan pengamanan dalam hal melindungi sistem TI dan data yang mendukung misi instansi mereka [10]. Risiko adalah dampak negatif dari pelaksanaan kerentanan, dengan mempertimbangkan probabilitas dan dampak terjadinya. Proses manajemen risiko pada tugas akhir ini mengacu pada NIST (National Institute of Standards and Technology) karena manajemen risiko yang dianalisa ini memiliki fokus kepada infrastruktur teknologi informasi dari ancaman bencana sehingga penggunaan Manajemen Risiko berdasarkan NIST [11]. JURNAL TEKNIK POMITS 2.5 Risk Management Guide berdasarkan NIST 3 for IT System Penggunaan Manajemen Risiko menggunakan studi dokumen pada NIST (National Institute of Standards and Technology), hal ini dikarenakan standar ini fokus membahas sistem TI dimana akan sangat dibutuhkan dalam pembuatan perencanaan pemulihan bencana alam yang fokus ke. Tahapan-tahapan dalam manajemen risiko pada tugas akhir ini disesuaikan dengan NIST dan pencarian data yang dilakukan di Pusat Data dan Jaringan BTSI. Pemilihan penggunaan standar ini karena mencakup informasi ancaman dan sumber ancaman untuk ancaman terhadap manusia, identifikasi kerentanan, dan kriteria keamanan. 2.5.1 Penilaian Risiko Penilaian risiko digunakan untuk menentukan ancaman yang berpotensi untuk terjadi dan risiko sistem TI yang terkait. Output dari proses ini adalah untuk dapat mengidentifikasi kontrol yang layak untuk mengurangi atau menghilangkan risiko selama proses mitigasi risiko. Untuk menentukan kemungkinan terjadinya peristiwa yang terjadi di masa mendatang, ancaman terhadap sistem TI harus dianalisis dalam hubungannya dengan potensi kerentanan dan untuk sistem TI. Dampak mengacu pada besarnya bahaya yang bisa disebabkan oleh kerentanan. Level dampak diatur oleh dampak yang potensial dan dampak tersebut berpengaruh terhadap aset dan sumber daya TI yang terkena dampak. Berikut adalah tahapantahapan dalam melakukan penilaian risiko: 2.5.1.1 Karakterisasi Sistem Pada tahapan karakterisasi sistem ini berfungsi untuk melakukan identifikasi batasan sistem yang ada, sehingga dapat dengan jelas melihat batasan fungsionalitas. 2.5.1.2 Identifikasi Ancaman dan Gangguan Ancaman merupakan suatu tindakan dari luar yang tidak diduga sebelumnya. Ancaman dapat berupa bencana alam, ancaman terhadap peralatan fisik, sumber daya manusia, maupun ancaman terhadap perangkat lunak. Sedangkan gangguan adalah suatu kendala yang datang dari dalam dan terbagi menjadi dua, yakni gangguan yang disengaja atau tidak disengaja. 2.5.1.3 Identifikasi Kerentanan Analisis ancaman terhadap sistem TI harus menyertakan analisis kerentanan terkait dengan sistem lingkungan. Tujuan dari langkah ini adalah untuk menyusun daftar kerentanan sistem (kekurangan atau kelemahan) yang bisa dimanfaatkan oleh sumber ancaman yang potensial. 2.5.1.4 Analisis Kontrol Tujuan dari langkah ini adalah untuk menganalisis kontrol yang telah dilaksanakan, atau yang direncanakan untuk pelaksanaan, institut untuk mengurangi atau menghilangkan kemungkinan (probabilitas atau) menilai kerentanan sistem ancaman tersebut. Kategori kontrol untuk metode pengendalian baik teknis dan nonteknis dapat diklasifikasikan sebagai menjadi dua, yakni preventif atau detektif. Kedua subkategori dijelaskan sebagai berikut [12]: • • Kontrol Preventif mencegah upaya untuk melanggar kebijakan keamanan dan termasuk kontrol seperti pengamanan kontrol akses, enkripsi, dan otentikasi. Kontrol Detektif memperingatkan pelanggaran atau pelanggaran percobaan kebijakan keamanan dan mencakup kontrol seperti jejak audit, metode deteksi intrusi, dan checksum. 2.5.1.5 Penentuan Kemungkinan Menunjukkan kemungkinan bahwa potensi kerentanan dapat dilaksanakan dalam membangun lingkungan ancaman yang terkait, faktor-faktor yang yang harus dipertimbangkan adalah: • Kemampuan dan Motivasi Sumber Ancaman • Sifat kerentanan • Keberadaan dan efektivitas kontrol saat ini. Kemungkinan potensi kerentanan dapat dieksekusi oleh sumber ancaman yang dapat digambarkan sebagai certain, likely, moderate, unlikely, dan rare 2.5.1.6 Analisa Dampak Analisis dampak bisnis (BIA) merupakan komponen penting dari rencana kelanjutan bisnis organisasi, BIA juga mencakup komponen eksplorasi untuk mengetahui kerentanan, dan komponen perencanaan untuk mengembangkan strategi untuk meminimalkan risiko. Hasil analisis adalah laporan dampak bisnis yang menggambarkan potensi risiko pada sebuah organisasi. Salah satu asumsi dasar di balik BIA adalah bahwa setiap komponen organisasi bergantung pada fungsi lanjutan dari setiap komponen lainnya. Risiko yang terdapat pada Pusat Data dan Jaringan nantinya akan dianalisa berdasarkan dampak bisnis yang ada [13]. 2.5.1.7 Penentuan Dampak Setelah melakukan identifikasi risiko yang memiliki potensi untuk terjadi, maka berikutnya adalah melakukan penilaian risiko untuk mengetahui level risiko lalu berikutnya adalah melakukan analisa dampak bisnis. Pada analisa dampak dapat diketahui kategori skala dampak, jika kategori dampak telah diketahui maka dapat diketahui dampak bisnis yang diakibatkan dari bencana yang terjadi. Serta dapat dilakukan proses pemulihan yang sesuai dengan kategori skala dampak. Tabel 4 berikit merupakan tabel yang berisi kategori dampak dari risiko yang terjadi serta penjelasan mengenai dampak risiko. [14] JURNAL TEKNIK POMITS 4 8) Pelayanan dan Perawatan untuk serverserver ITS yang berada di bawah tanggung jawab divisi III. METODOLOGI Perumusan Masalah Gambar dibawah ini grafik NOC (Network Operation Center yang ada pada ITS) Penetapan Tujuan Studi Literatur Pencarian Data Observasi Wawancara Studi Dokumen Verifikasi Data Manajemen Risiko Gambar 3 Grafik NOC (Sumber: www.noc.its.ac.id diakses pada 13 Juli 2013) Penyusunan draft dokumen Disaster Recovery Plan (DRP) Tidak Dokumen DRP valid? Ya Penyusunan dokumen Disaster Recovery Plan (DRP) Penyusunan Buku Tugas Akhir Dari grafik diatas dapat diketahui bahwa tingkat penggunaan internet di ITS sangat tinggi, maka melakukan identifikasi risiko dan membuat perencanaan jika terjadi bencana merupakan hal yang sangat penting. Dibawah ini adalah proses melakukan identifikasi risiko berdasarkan NIST. 4.2 Identifikasi Ancaman dan Gangguan KATEGORI ANCAMAN Alam Gambar 2 Flowchart Metode Pengerjaan tugas akhir IV. PENGUMPULAN DATA DAN MANAJEMEN RISIKO Berdasarkan studi kasus yang ada pada pusat data dan jaringan. Maka didapatkan hasil mengenai penilaian risiko sesuai dengan hasil survey dan wawancara. Layanan 4.1 Proses Bisnis Pusat Data dan Jaringan Proses bisnis yang menjadi inti dalam Pusat Data dan Jaringan., yang dijabarkan sebagai berikut: 1) Penyediaan informasi dan layanan publik 2) Menampung berbagai macam layanan utama seperti Email, DNS, Website, dan Streaming 3) Menampung server-server yang dimiliki oleh jurusan-jurusan atau unit-unit di lingkungan ITS. 4) Mengelola sistem dan infrastruktur jaringan ITS (melakukan troubleshooting) 5) Mengelola kelistrikan yang mendukung infrastruktur Pusat Data dan Jaringan yaitu antara lain genset, UPS dan lain sebagainya 6) Menghubungi vendor apabila terdapat kerusakan pada hardware yang tidak dapat ditangani oleh tim internal 7) Menjamin keamanan Sistem Informasi Kehilangan ANCAMAN Pergerakan bumi (gempa bumi, gunung meletus, dsb.) Api (Kebakaran) Air (Banjir) Badai Internet Listrik Gas Udara Kegagalan peralatan Pencurian, pendobrakan, pengambilan dengan paksa. Penembakan, terjadinya Bom Human Error Sabotase Penyalahgunaan hak akses untuk kepentingan pribadi Kegagalan Sistem perangkat - Kegagalan fungsional Code Error KOMPONEN PERANGKAT YANG TERKENA Seluruh Perangkat Infrastruktur TI terkena Perangkat lunak (software aplikasi) dan perangkat keras (harddisk) Seluruh Perangkat Infrastruktur TI terkena Seluruh Perangkat Infrastruktur TI terkena Perangkat lunak (aplikasi) Akses masuk ke dalam perangkat lunak Hilangnya data data penting aau hilangnya aset core dari bisnis. Perangkat Lunak JURNAL TEKNIK POMITS KATEGORI ANCAMAN lunak Kegagalan perangkat keras Serangan Virus Listrik yang tidak stabil Human Error UPS tidak tersedia ANCAMAN - Bugs Kegagalan harddisk - Kegagalan server, router, switch, hub. Serangan virus, Trojan, Worm Korsleting - Kesalahan input atau kesalahan koding - Kesalahan pemasukan data - Kesalahan penghapusan data. - Kesalahan operator(salah memberi label pada pita magnetik - Kegagalan proses recovery data - Kegagalan proses backup 5 KOMPONEN PERANGKAT YANG TERKENA Perangkat Keras Perangkat Lunak dan Data Perangkat Keras Aplikasi Perangkat Lunak ANCAMAN Api (Kebakaran) Air (Banjir) Layanan Internet Listrik Kegagalan peralatan Kehilangan Pencurian, pendobrakan, pengambilan dengan paksa. Human Error Sabotase Kegagalan Penyalahgunaan hak akses untuk kepentingan pribadi - Kegagalan Kegagalan perangkat keras Serangan Virus ANCAMAN - fungsional Code Error Bugs - Kegagalan harddisk - Kegagalan server, router, switch, hub. Serangan virus, Trojan, Worm Listrik yang tidak stabil Korsleting Human Error - Kesalahan input atau kesalahan koding - Kesalahan pemasukan data - Kesalahan penghapusan data. - Kesalahan operator (salah memberi label pada pita magnetik) Hilangnya Data 4.3 Identifikasi Kerentanan KATEGORI ANCAMAN Kebakaran KATEGORI ANCAMAN Sistem perangkat lunak KERENTANAN Kuranganya alat pemadam kebakaran, kurangnya alat pendeteksi asap Bangunan yang tidak kokoh sehingga memungkinkan untuk terjadinya kebocoran Antivirus tidak update Terjadi kesalahan pada pusat kelistrikan Perawatan atau maintenance tidak dilakukan secara rutin. Atau peralatan melebihi lifetime penggunaan Tidak adanya kontrol akses fisik pada ruang server. Tidak ada pencatatan form aktivitas di dalam ruang server Pekerja tidak memiliki kemampuan untuk menjalankan aplikasi. Pekerja tidak mengikuti training. Kurangnya penjagaan terhadap ruang server Kurangnya penjagaan terhadap ruang server Versi aplikasi yang KERENTANAN digunakan tidak uptodate atau aplikasi yang digunakan terdapat kerentanan sehingga dapat terinfeksi oleh virus Terdapat kerusakan pada server Pemilihan antivirus yang tidak handal, antivirus jarang dilakukan update secara berkala, dan ketidakwaspadaan dalam membuka atachment e-mail dari pengirim yang tidak dikenal Harus terpasang UPS dan genset karena dapat membuat listrik lebih stabil dan dapat juga menyimpan energi listrik cadangan, sehingga ada waktu untuk melakukan proses back up data Sumber daya manusia yang ada di Pusat Data dan Jaringan tidak memiliki sertifikasi atau tidak memiliki pengalaman training 4.3 Dampak Proses Bisnis Daftar Proses Bisnis Penyediaan informasi dan layanan publik Menampung berbagai macam layanan utama seperti Email, DNS, Website, dan Streaming Menampung serverserver yang dimiliki oleh jurusan-jurusan atau unit-unit di lingkungan ITS. Mengelola Keterangan Untuk mengetahui mengenai infor terbaru dari ITS Seluruh domain yang menggunakan domain its.ac.id merupakan proses bisnis utama. eperti FRS Online dan autentifikasi email jika ingin menggunakan internet. Jika terjadi bencana pada ITSnet, maka proses bisnis pihak-pihak yang meletakkan server di ITSnet akan terganggu. Contoh: Akses DIGILIB Jika terjadi bencana pada Ketergantu ngan Dapat berjalan jika proses bisnis terganggu Sangat Tergantung Sangat Tergantung Sangat JURNAL TEKNIK POMITS kelistrikan yang mendukung infrastruktur Pusat Data dan Jaringan yaitu antara lain genset, UPS dan lain sebagainya Menjamin keamanan Sistem Informasi Pelayanan dan Perawatan untuk server-server ITS yang berada di bawah tanggung jawab divisi ITSnet. ITSnet, maka proses bisnis seluruh pihak, baik itu proses bisnis ITSnet sendiri maupun pihakpihak terkait akan terganggu dan menyebabkan dampak yang vital karena dapat mengakibatkan lumpuhnya proses bisnis Kemanan sistem informasi merupakan hal yang sangat penting untuk menunjang kerahasiaan, kepercayaan dan ketersediaan data Pelayanan dan perawatan server merupakan kunci sukses dari jalannya proses bisnis. Jika pelayanan tidak dilakukan maka pihak ITSnet akan kehilangan kepercayaan, dan jika perawatan server tidak dilakukan maka dapat mengakibatkan kerusakan pada server 6 Tergantung 2. Penilaian identifikasi risiko untuk kelanjutan dari tugas akhir berikutnya diharapkan agar melakukan penilaian secara kuantitatif agar data yang didapat valid. [1] [2] Sangat Tergantung [3] [4] Sangat tergantung [5] [6] [7] [8] V. KESIMPULAN DAN SARAN Kesimpulan Kesimpulan yang dapat diambil dari pengerjaan tugas akhir ini yakni sebagai berikut: 1. Studi kasus pada infrastruktur Pusat Data dan Jaringan menghasilkan beberapa temuan yang kontradiktif yaitu tingginya tingkat kebergantungan para pengguna terhadap layanan jaringan komputer tetapi rendahnya tingkat pengetahuan pengguna dalam pengamanan data dari bencana. Pihak pengelola jaringan komputer Institut juga tidak memiliki rencana dan mekanisme yang jelas untuk menghadapi bencana, khususnya yang terkait dengan bencana skala kecil pada jaringan komputer seperti serangan virus, serangan hacker, kegagalan hardware atau gangguan infrastruktur seperti terputusnya listrik, kebakaran dan lain-lain 2. Hasil pembuatan DRP disesuaikan dengan tahapan yang ada pada metode pengerjaan tugas akhir, yakni melakukan penilaiaan risiko dan tahapan-tahapannya berdasarkan NIST. 6.2 Saran Beberapa hal yang diharapkan dapat dikembangkan untuk penelitian berikutnya, yaitu: 1. Perlu dilakukan penelitian kembali pada bagian BTSI yang lain, mengingat Teknologi Informasi dan Komunikasi di ITS juga memiliki potensi risiko yang sama. [9] DAFTAR PUSTAKA Afifa, Linda N. Usulan Panduan Pelaksanaan Manajemen Risiko Tata Kelola TIK Nasional, 2011 Manurung, Yunita Caroline. Penyusunan Rencana Penanggulangan Bencana (Disaster Recovery Planning) Pada Sektor Teknologi Informasi. 2007. NIST Special Publication 800-30. Risk Management Guide for Information Technology Systems. July 2002. Snedaker, Susan. Business Continuity and Disaster Recovery Planning for IT. Syngress: 2011 Gregory, Peter, CISA, CISSP, "IT Disaster Recovery Planning for Dummies", Willey Publishing, Inc, 2007. Wallace, Michael and Lawrence Webber. 2004 . The Disaster RecoveryHandbook: A Step-by-Step Plan to Ensure Business Continuity and Protect Vital Operations, Facilities, and Assets Davis, Jeff, (2002), “Get IT Done: How does the help desk fit into the disaster recovery plan?”, Published 11-05-02, http://www.techrepublic.com Mounting, (2004), “The Business Case for DRP : Calculating the Cost of Downtime”, White paper from Iron Mounting,www.electronicvaulting.co.uk. Ward, John, and Peppard, Joe, (2002), “Strategic rd [10] [11] [12] [13] [14] [15] Planning for Information System”, 3 Ed, John Willey & Sons, Inc. Falahah, “Pengembangan Model Perencanaan Penanggulangan Bencana (Disaster Recovery Plan) pada Sektor Teknologi Informasi”, Tesis Magister Sistem Informasi, Program Studi Informatika, STEI, ITB, 2006 Tipton, H. and Krause, M. Information Security Management Handbook 4th Edition. NY: Auerbach Publications, 2000. 581 –596. Bell, Judy. "Why Some Recovery Plans Won't Work." Disaster Recovery Journal.Spring 2003: 30 32. Vijayan, J. (2005) Data security risks missin World, 39 (41), 16-18. “Disaster Recovery Planning: Project Plan Outline.” Computing & Networking Services, University of Toronto. URL: http://www.utoronto.ca/security/drp.htm Charlotte Brooks, Matthew Bedernjak, Igor Juran, John Merryman. (2002). Disaster Recovery Strategies. IBM Redbook