8

BAB 2

LANDASAN TEORI

Didalam sebuah perusahaan, menjaga keberlangsungan proses bisnis yang

merupakan core bisnis perusahaan adalah sesuatu yang wajib. Bab ini akan

difokuskan pada landasan teori yang digunakan dalam perancangan business

continuity plan serta disaster recovery plan yang sesuai dengan kebutuhan Qeon

Interactive.

2.1. Definisi Bencana

Menurut (S. Arie Priambodo, 2009) bencana adalah suatu kejadian alam,

buatan manusia, atau perpaduan antara keduanya yang terjadi secara tiba-tiba

sehingga menimbulkan dampak negatif yang dahsyat bagi kelangsungan

kehidupan. Dalam kejadian bencana tersebut, unsur yang terkait langsung atau

terpengaruh harus merespons dengan melakukan tindakan perbaikan guna

menyesuaikan sekaligus memulihkan kondisi seperti semula atau menjadi lebih

baik.

Menurut (Barnes, 2001) bencana dalam hubungannya dengan disaster

recovery plan adalah segala sesuatu yang mengganggu berjalannya proses bisnis

sehingga menghambat suatu perusahaan dalam menjalankan fungsinya. Bencana

umumnya dianggap melumpuhkan jika bencana tersebut meniadakan salah satu

atau lebih sumber daya berikut: sumber daya manusia, fasilitas, komunikasi,

daya, serta akses informasi. Dalam hal ini metode perencanaan business

continuity plan sangat tepat diberlakukan.

9

Gambar 2.1: Statistik Bencana Indonesia 2015 (www.bpnb.go.id)

2.1.1. Klasifikasi Bencana

Menurut (Snedaker, 2007), kriteria ancaman dibagi kepada 4 tipe

ancaman, diantaranya adalah:

1. Natural/Environtmental Threats

Merupakan ancaman yang disebabkan oleh bencana alam, atau

gangguan yang terjadi secara natural. Contoh ancamannya antara

lain adalah, fire; flood; storm; earthquake; pandemic.

2. Human-caused Threats

Merupakan ancaman yang disebabkan oleh ulah manusia. Contoh

ancamannya adalah theft, sabotage, vandalism; labor disputes;

terrorism; civil unrest.

3. Infrastructure Threats

Merupakan ancaman yang disebabkan adanya kerusakan ataupun

gangguan dari segi infrastruktur perusahaan. Contoh ancamannya

10

adalah building specific failure; non-IT equipment failure;

heating/cooling failure; electricity failure.

4. IT-Specific Threats

Merupakan ancaman yang disebabkan oleh sistem teknologi

informasi. Contoh ancamannya antara lain cyber threat; virus,

worm, malware; system failure.

Sedangkan menurut (S. Arie Priambodo, 2009), bencana dapat

dikelompokkan menjadi dua, yaitu: bencana alam, dan bencana non-

alamiah. Klasifikasi ini akan dijabarkan dengan lebih jelas sebagai

berikut:

1. Bencana alam (natural disaster)

a. Bencana alam endogen

Bencana alam endogen disebabkan oleh gaya-gaya yang

berasal dari bagian dalam bumi, atau yang juga dikenal dengan

sebutan gaya endogen (geologis). Yang termasuk dalam bencana

alam endogen adalah gempa bumi, letusan gunung berapi, dan

tsunami.

b. Bencana alam eksogen

Bencana alam eksogen merupakan bencana alam yang

disebabkan oleh faktor angin dan hujan (klimatologis). Contoh

bencana alam eksogen adalah banjir, badai, angin puting beliung,

kekeringan, dan kebakaran alami hutan.

11

c. Bencana alam ekstra-terestrial

Bencana alam ekstra-terestrial adalah bencana alam yang

terjadi di luar angkasa, contoh: hantaman meteor. Benda-benda

langit yang terjatuh mengenai permukaan bumi akan

menimbulkan pengaruh yang cukup besar pada kondisi bumi.

d. Bencana environmental

Bencana environmental adalah bencana yang disebabkan

oleh perubahan kondisi lingkungan sehingga menyulitkan

pengerjaan hal – hal yang sebelumnya dapat dilakukan. Bencana

jenis ini mencakup pencemaran lingkungan (air, udara, tanah,

suara), dan penyebaran wabah penyakit (epidemi).

2. Bencana non-alamiah (unnatural disaster)

a. Bencana sosial

Bencana yang disebabkan oleh ketidakstabilan kondisi

sosial masyarakat di suatu tempat pada suatu waktu. Bencana

social mencakup peperangan, kerusuhan, aksi anarki, pemogokan

pegawai, konflik budaya, dan lain sebagainya.

b. Bencana teknikal (technical failure disaster)

Bencana yang berkaitan dengan malfungsi teknologi.

Bencana jenis ini mencakup kerusakan data, sistem informasi, alat

dan perlengkapan, dan lain-lain.

c. Bencana antropogenikal

Selain dari berbagai macam bencana yang sudah

dijabarkan sebelumnya, bencana juga dapat disebabkan oleh

12

faktor manusia, baik secara sengaja maupun tidak. Bencana jenis

ini sangat beragam dan dapat dikatakan lebih kerap terjadi

dibandingkan dengan jenis bencana lainnya. Contoh bencana

karena manusia misalnya, ancaman bom, cyber attack,

penghapusan data secara tidak sengaja, pencurian, dan lain

sebagainya.

2.1.2. Dampak Bencana

Menurut (Wallace & Webber, 2004) bencana dapat dibedakan

berdasarkan tingkatan risikonya. Tingkatan risiko ini dikenal sebagai

The Five Layer of Risk, yang didefinisikan sebagai berikut:

a. Layer 1: External Risks

Dampak bencana yang timbul tidak hanya mempengaruhi

fasilitas, aset, dan lokasi organisasi tetapi juga lingkungan

sekitar organisasi. Umumnya disebabkan karena bencana alam,

seperti banjir, gempa, dan lain sebagainya.

b. Layer 2: Facility Wide Risks

Dampak bencana yang timbul hanya mempengaruhi

organisasi saja secara lokal. Umumnya disebabkan karena tidak

tersedianya utilitas dasar yang diperlukan oleh organisasi

tersebut, seperti listrik, jaringan telepon, dan lainnya.

c. Layer 3: Data System Risks

Dampak bencana yang timbul mempengaruhi ketersediaan

dan integritas dari data dan sistem informasi yang digunakan

13

oleh organisasi tersebut. Umumnya disebabkan karena faktor

kerusakan atau intrusi pada sistem keamanan jaringan/data yang

digunakan.

d. Layer 4: Departemental Risks

Dampak bencana yang timbul hanya mempengaruhi satu

atau beberapa bagian dari organisasi, sehingga organisasi hanya

mengalami dampak tidak langsung, seperti tidak tetapi juga

lingkungan sekitar organisasi. Umumnya disebabkan karena

bencana sosial seperti, demonstrasi karyawan di suatu

cabang/departemen, dan lain sebagainya.

e. Layer 5: Desk Risks

Dampak bencana yang timbul hanya mempengaruhi

tingkat individu/personel, tidak mempengaruhi organisasi secara

langsung maupun besar. Contoh bencana dengan risiko ini

antara lain: terhapusnya berkas di komputer pekerja,

mengakibatkan pekerjaannya tidak dapat selesai tepat waktu.

2.1.3. Sistem Tanggap Bencana

Menurut (S. Arie Priambodo, 2009) sistem tanggap bencana

berfungsi sebagai panduan tindakan dalam menghadapi bencana. Sistem

tanggap bencana meliputi 4 tahap, yaitu:

1. Mitigation: Pengurangan – Pencegahan

Mitigation atau Mitigasi merupakan tahapan atau langkah

memperingan risiko yang ditimbulkan oleh bencana. Dalam

14

mitigasi terdapat dua bagian penting yakni pengurangan dan

pencegahan terjadinya bencana.

2. Preparedness: Perencanaan – Persiapan

Merupakan kesiapsiagaan dalam menghadapi terjadinya

bencana. Ada dua bagian penting dalam kesiapsiagaan, yakni

adanya perencanaan yang matang dan persiapan yang

memadai sehubungan dengan tingkat risiko bencana.

3. Response: Penyelamatan – Pertolongan

Merupakan tindakan tanggap bencana yang meliputi dua

unsur terpenting, yakni tindakan penyelamatan dan

pertolongan. Pertama-tama tindakan tanggap bencana tersebut

ditujukan untuk menyelamatkan dan menolong jiwa manusia

baik secara personal, kelompok maupun masyarakat secara

keseluruhan. Kedua, ditujukan untuk menyelamatkan harta

benda yang berhubungan dengan keberlangsungan hidup

usaha personal, kelompok maupun masyarakat selanjutnya.

4. Recovery: Pemulihan – Pengawasan

Merupakan tahap atau langkah pemulihan sehubungan dengan

kerusakan atau akibat yang ditimbulkan oleh bencana. Dalam

tahap ini terdapat dua bagian, yakni pemulihan dan

pengawasan yang ditujukan untuk memulihkan keadaan ke

kondisi semula – atau setidak-tidaknya menyesuaikan kondisi

pascabencana – guna keberlangsungan hidup dan usaha

selanjutnya.

15

Keempat tahapan di atas saling terkait dan tidak terpisahkan satu

sama lain, dengan tidak menutup kemungkinan adanya tambahan yang

disesuaikan dengan kebutuhan.

2.2. Business Continuity Plan dan Disaster Recovery

Plan

Metode business continuity plan (BCP) dan disaster recovery plan

(DRP), diperlukan untuk mendukung sistem tanggap bencana. Domain dari BCP

dan DRP semuanya adalah mengenai bisnis, domain ini berasumsi bahwa

kejadian terburuk telah terjadi. BCP berfungsi untuk melakukan pembuatan,

perencanaan dan frame-work untuk menjamin bahwa proses bisnis dapat terus

berlanjut dalam keadaan emergensi. Sedangkan DRP mengarah kepada

pemulihan yang cepat dari keadaan emergensi atau bencana, sehingga hanya

mengakibatkan dampak minimum bagi perusahaan.

BCP dan DRP adalah dua hal yang sangat penting didalam proses bisnis,

namun jarang menjadi prioritas karena adanya alasan memerlukan biaya yang

sangat mahal dan sulit penerapannya. Apalagi bencana adalah hal yang umumnya

diyakini karena faktor alam yang tak dapat diprediksi dan tak dapat dicegah atau

pun dihindari, sehingga kalangan bisnis berkeyakinan bahwa pelanggan mereka

akan memaklumi hal ini.

(Blokdijk, 2008) mengungkapkan bahwa BCP dan DRP membantu

perusahaan mempersiapkan kegiatan pemulihan dari bencana. Tetapi sebelum

rencana tersebut dibuat, sangat penting bahwa risiko serta dampak potensial

dapat dikaji dengan baik, hal ini merupakan fondasi dari BCP dan DRP.

16

Menurut (Krutz & Vines, 2003) BCP dan DRP ditujukan untuk

memenuhi kebutuhan bisnis dalam menghadapi gangguan-gangguan terhadap

operasi perusahaan. Business Continuity Plan dan Disaster Recovery Plan adalah

meliputi persiapan, pengujian dan pemutakhiran tindakan-tindakan yang

diperlukan untuk melindungi proses bisnis fital (critical business) terhadap

dampak dari kegagalan jaringan dan sistem utama. Dilingkup manajemen

perusahaan harus memahami persiapan yang dibutuhkan untuk melakukan

tindakan-tindakan spesifik yang diperlukan saat adanya kegagalan atau

penundaan operasi bisnis suatu perusahaan.

Perusahaan – perusahaan yang ingin menampilkan tingkat

profesionalisme yang lebih baik dan fokus pada perlindungan dan meningkatkan

nilai stakeholder, semakin melihat bahwa business continuity plan diperlukan

sebagai langkah menghindari interupsi bisnis dan dampaknya dalam ongkos

maupun hal-hal lainnya yang tinggi nilainya. Dan seiring dengan perkembangan

teknologi informasi, maka ditemukan teknologi yang dapat menjamin

keberlanjutan bisnis dan pemulihan dari bencana, yang lebih murah dan mudah

penerapannya. Bahkan BCP dan DRP telah menjadi standar tersendiri bagi

kalangan bisnis terutama yang berhubungan jalannya proses bisnis (aplikasi)

dengan penyimpanan data.

Tujuan dari BCP dan DRP adalah menjaga bisnis tetap beroperasi

meskipun ada gangguan dan menyelamatkan sistem informasi dari dampak

bencana lebih lanjut. Proses perencanaan suatu BCP akan memungkinkan

perusahaan menemukan dan mengurangi (reduce) ancaman-ancaman, melakukan

respon (respond) terhadap suatu peristiwa ketika peristiwa itu terjadi, melakukan

17

pemulihan (recover) dari dampak langsung terhadap suatu peristiwa dan akhirnya

mengembalikan (restore) operasi seperti semula. Reduce, respond, recover dan

restore, proses ini dikenal dengan nama Empat R di BCP.

BCP dan DRP merupakan perencanaan yang hanya tertulis dalam kertas,

perencanaan yang baik tentunya akan mampu terlaksana dan tepat guna saat

dilaksanakan. Sehingga adanya persiapan BCP dan DRP yang baik, serta

pengetesan yang dilakukan bisa sesuai dengan keadaan sebenarnya, serta upaya

pemeliharaannya menjadi ukuran terhadap kemampuan perusahaan dalam

menghadapi ancaman atau bencana. Dengan memiliki rencana yang jelas

mengenai apa yang harus dilakukan selama dan setelah gangguan serius terjadi,

perusahaan tentunya dapat memastikan bahwa gangguan itu hanya berdampak

minimal pada proses bisnis utamanya, dan layanan yang layak kepada klien tetap

bisa berlanjut.

2.3. Definisi Business Continuity Plan

Menurut (Snedaker, 2007) business continuity plan adalah metodologi

yang digunakan untuk membuat dan menyetujui rencana dalam mempertahankan

kelangsungan operasional bisnis sebelum, selama atau sesudah bencana yang

mengganggu. Perencanaan keberlangsungan bisnis dibuat untuk mencegah

tertundanya aktivitas bisnis normal.

BCP didisain untuk melindungi proses bisnis vital dari kerusakan atau

bencana yang terjadi secara alamiah atau perbuatan manusia, dan kerugian yang

ditimbulkan dari tidak tersedianya proses bisnis normal (rutin, seperti biasa).

Business continuity plan merupakan strategi digunakan untuk meminimalisir efek

18

dari gangguan dan mengupayakan berjalannya kembali proses bisnis suatu

perusahaan.

Tujuan dari BCP adalah untuk meminimalisir efek dari kejadian atau

bencana tersebut dalam sebuah perusahaan. Manfaat utama dari business

continuity plan adalah untuk menurunkan risiko kerugiaan keuangan dan

meningkatkan kemampuan perusahaan untuk memulihkan diri dari bencana atau

gangguan sesegera mungkin. Perencanaan keberlangsungan bisnis juga harus

dapat membantu meminimalisir biaya dan mengurangi risiko sehubungan dengan

kejadian bencana tersebut.

Menurut (Krutz & Vines, 2003), BCP perlu memperhatikan semua area

proses informasi kritis dari perusahaan, berikut hal – hal yang perlu diperhatikan:

• LAN, WAN, dan server

• Hubungan telekomunikasi dan komunikasi data

• Lokasi dan ruang kerja

• Aplikasi, software, dan data

• Media dan tempat penyimpanan rekaman/data

• Proses produksi dan staf-staf yang bekerja

(Krutz & Vines, 2003) juga menjelaskan bahwa prioritas nomor satu dari

semua perencanaan keberlangsungan bisnis dan pemulihan bencana adalah selalu

people first, mengutamakan manusianya. Sementara kita membahas mengenai

pentingnya kapital, kembali beroperasinya aktivitas bisnis normal, dan issu

keberlanjutan bisnis lainnya, perhatian utama yang harus ditangani dalam

perencanaan adalah untuk mengeluarkan atau menghindarkan manusia (pegawai)

akan bahaya dari suatu bencana. Jika pada saat yang bersamaan ada pertentangan

19

apakah menyelamatkan hardware atau data ketimbang manusia terhadap

ancaman bahaya fisik, perlindungan untuk manusia harus yang diutamakan.

Keselamatan dan evakuasi personel harus menjadi komponen pertama dalam

perencanaan menghadapi bencana.

BCP dapat menjadi bagian dari upaya pembelajaran perusahaan yang

membantu mengurangi risiko operasional, terkait dengan kontrol manajemen

informasi yang lemah. Proses ini dapat terintegrasi dengan meningkatkan

keamanan informasi dan praktik manajemen risiko.

2.4. Proses Business Continuity Plan

Didalam membangun sebuah BCP dibutuhkan informasi – informasi dari

beberapa bagian yang berbeda seperti pengetahuan mengenai pengoperasian,

pemahaman mengenai fungsi – fungsi bisnis yang penting di dalam

pengoperasian, penentuan waktu sasaran pemulihan (recovery) untuk fungsi –

fungsi ini, memahami ancaman lokal, pengetahuan mengenai regulasi lokal, dan

beberapa hal lainnya.

Menurut (FFIEC, 2015) (Federal Financial Institutions Examination

Council), terdapat 4 proses penting didalam business continuity plan, yaitu:

1. Analisis dampak bisnis (Business Impact Analysis)

2. Identifikasi risiko (Risk Assessment)

3. Manajemen risiko (Risk Management)

4. Pemantauan risiko dan pengujian (Risk Monitoring and Testing)

Keempat proses diatas merepresentasikan suatu siklus berlanjut yang

perlu ditingkatkan dari waktu ke waktu berdasarkan perubahan dari ancaman

20

potensial, operasi bisnis, rekomendasi audit, dan hasil test. Sebagai tambahan,

proses ini sebaiknya mencakup tiap – tiap kritikal fungsi bisnis dan teknologi

yang mendukungnya. Seperti kebijakan, standarisasi, dan proses yang terintegrasi

kedalam keseluruhan proses rencana kelangsungan bisnis (business continuity

plan).

Gambar 2.2: Tahap Pembuatan BCP (Puspitasari, 2011)

2.4.1. Business Impact Analysis

Business impact analysis (BIA) merupakan landasan awal dalam

proses penyusunan BCP. Melalui proses identifikasi dampak bisnis,

21

identifikasi aktivitas yang kritikal, dan penentuan target waktu pemulihan,

serta pengukuran standar operasi minimal yang dibutuhkan.

Business impact analysis (BIA) adalah proses mengidentikasi,

menganalisa, dan menentukan dampak yang terjadi pada kelangsungan

proses bisnis di perusahaan seandainya terjadi gangguan/bencana yang

menimbulkan terhentinya operasional dari bisnis proses tersebut.

Tujuan dari business impact analysis ini adalah untuk

mendapatkan:

Informasi yang menyeluruh mengenai fungsi organisasi dan proses

bisnis.

Informasi kepada manajemen mengenai Recovery Time Objective.

Informasi mengenai kebutuhan minimal dalam penyelenggaraan

organisasi (minimum resources).

Metodologi yang digunakan adalah :

Identifikasi proses bisnis

Interdependensi antar proses bisnis dan tingkat kritikal proses bisnis

Identifikasi kebutuhan minimum

Menetapkan Recovery Time Objective (RTO) melalui metodologi

Enterprise Risk Management dan Business Impact Analysis.

Hal-hal yang harus diperhatikan dalam business impact analysis

adalah :

22

Tingkat kritikal dan ketergantungan antar proses bisnis serta

prioritisasi

Tingkat ketergantungan terhadap pihak penyedia jasa TI/Non Ti

Tingkat Recovery Time Objectives dan Recovery Point Objectives

Tingkat minimum Resource Requirement

Identifikasi dampak potensial dari suatu kejadian

Dampak Disaster terhadap seluruh fungsi bisnis

Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan

Kemampuan dan kemampuan petugas (termasuk petugas pengganti)

Pertimbangan dampak hukum dan pemenuhan ketentuan terkait.

2.4.1.1. Impact Criticality

Impact criticality bertujuan untuk mengklasifikasikan

fungsi-fungsi didalam perusahaan, fungsi mana yang kritis yang

sangat penting bagi proses bisnis perusahaan, fungsi mana yang

hanya sekedar penting, serta fungsi mana yang kurang penting

sehingga dapat di abaikan atau ditunda pemulihannya.

(Snedaker, 2007) membagi sistem peringkat untuk

melakukan assessment kekritisan proses/fungsi menjadi 4

kategori sebagai berikut :

Kategori 1 : Fungsi Kritis – Mission Critical

Bisnis proses dan fungsi yang memberikan dampak paling

besar kepada operasi perusahaan dan potensi untuk pemulihan.

Atau dengan kata lain proses apa yang harus ada dalam

perusahaan untuk melakukan fungsinya. Hal yang dapat

23

dilakukan untuk memfokuskan responden mengenai fungsi-

fungsi yang mission critical adalah misalnya dengan

menanyakan tiga sampai lima hal apa saja yang akan mereka

lakukan ketika sebuah bencana reda.

Kategori 2 : Fungsi Esensial – Vital

Terkadang ada beberapa fungsi bisnis yang berada di

antara mission critical dengan important. Tidak semua

organisasi membutuhkan kategori ini, salah satu ciri sebuah

organisasi tidak membutuhkan kategori ini adalah ketika sebuah

organisasi tidak dapat membedakan antara mission critical

dengan vital (Snedaker, 2007). Fungsi vital mungkin saja

memasukkan fungsi-fungsi seperti pengkajian yang mungkin

sekilas tidak tampak seperti sebuah fungsi yang mission critical

di dalam rangka memulihkan organisasi untuk dapat berjalan

kembali secepat mungkin, namun dapat menjadi vital bagi

kemampuan organisasi untuk dapat berfungsi penuh lebih dari

sekedar pulih dari bencana.

Kategori 3 : Fungsi yang dibutuhkan – Important

Ketidakadaan fungsi dan proses bisnis yang penting

(important) tidak akan menghentikan bisnis dari beroperasi di

waktu dekat, namun fungsi-fungsi dan bisnis proses tersebut

biasanya memiliki dampak jangka panjang ketika mereka tidak

ada atau tidak berfungsi sebagaimana mestinya. Fungsi dan

bisnis proses ini biasanya memiliki dampak finansial dan legal.

24

Biasanya juga terhubung lintas unit fungsional dan lintas sistem

bisnis. Dalam perspektif TI biasanya sistem ini termasuk di

dalamnya email, database, akses internet dan perangkat lunak

bisnis yang digunakan untuk menjalankan fungsi-fungsi

pendukung. Recovery time objective (RTO) dari sistem-sistem

ini biasanya dalam hitungan hari atau minggu.

Kategori 4 : Fungsi yang diinginkan – Minor

Fungsi dan bisnis proses minor biasanya tidak akan

dibutuhkan dalam jangka waktu dekat dan yang jelas tidak akan

dibutuhkan selama operasi bisnis perusahaan belum berjalan

sebagaimana mestinya.

2.4.1.2. Target Waktu Pemulihan

Target waktu pemulihan berhubungan erat dengan impact

criticality. Makin penting suatu aktivitas atau fungsi biasanya

makin kecil juga waktu pemulihannya.

Maximum Tolerable Downtime (MTD): pada beberapa

literatur disebut juga sebagai MTPD (Maximum Tolerable

Period of Distrupment) sesuai namanya adalah besar waktu

maksimum sebuah bisnis dapat menoleransi ketidakadaan

sebuah fungsi bisnis. Semakin kritis sebuah fungsi bisnis

biasanya akan memiliki MTD yang semakin kecil.

Recovery Time Objective (RTO): yaitu waktu yang tersedia

untuk memulihkan sistem dan sumber daya yang

25

terganggu. Secara definisi RTO harus lebih kecil dari

MTD.

Work Recovery Time (WRT): adalah langkah-langkah

tambahan yang perlu dilakukan supaya bisnis dapat

berjalan kembali setelah sistem (perangkat lunak,perangkat

keras dan konfigurasi) dikembalikan (restore).

Secara definisi MTD adalah penggabungan dari RTO

dengan WRT atau bisa dituliskan sebagai:

MTD = RTO + WRT

Recovery Point Objective (RPO): Banyaknya kehilangan

data yang dapat ditoleransi oleh sistem bisnis kritis

perusahaan. Sebagai contoh ketika sebuah perusahaan

melakukan backup secara realtime maka dapat

disimpulkan toleransi kehilangan data perusahaan tersebut

hampir tidak ada. Sementara itu jika sebuah perusahaan

melakukan backup setiap satu minggu sekali maka

toleransi kehilangan data perusahaan tersebut maksimal

adalah satu minggu.

Gambar di bawah ini menggambarkan hubungan antara

keempat terminology tersebut.

26

Gambar 2.3: Kerangka Waktu Pemulihan (Snedaker, 2007)

Poin 1 : Recovery Point Objective - maksimum kehilangan

jumlah data berdasarkan jadwal backup dan kebutuhan

masing-masing organisasi.

Poin 2 : Recovery Time Objective - durasi waktu yang

dibutuhkan untuk menyalakan kembali sistem-sistem yang

kritis.

Poin 3 : Work Recovery Time - durasi waktu yang

dibutuhkan untuk mengembalikan data berdasarkan RPO

dan untuk memasukkan data yang dihasilkan dari proses

manual selama masa gangguan.

Poin 2 dan 3 : Maximum Tolerable Downtime - Durasi

dari RTO + WRT.

Poin 4 : Test, verifikasi dan melanjutkan operasi normal.

2.4.2. Risk Assessment

Risk assessment adalah proses identifikasi risiko yang dihadapi

suatu organisasi, identifikasi terhadap fungsi kritikal untuk menjamin

27

kelangsungan operasional bisnis, serta memperoleh gambaran dalam

pengendalian bisnis fungsi untuk mengurangi resiko kerugian apabila

terjadi gangguan.

Menurut (Kopp, 2011) identifikasi risiko adalah bagian dari

rencana BCP yang mendokumentasikan risiko yang terkait dengan

gangguan dari operasi bisnis utama atau proses. Risiko didefinisikan

sebagai kombinasi dari seberapa besar kemungkinan operasi utama akan

terganggu, seberapa banyak waktu sebelum bisnis mengalami dampak

negatif dari kehilangan/berhentinya operasional, dan berapa banyak

gangguan ini akan mengganggu kinerja bisnis.

Risiko operasional adalah potensi seluruh gangguan dalam proses

operasional suatu organisasi atau perusahaan yang menyebabkan kerugian

dimasa yang akan datang (future losses) atau terjadi fluktuasi pendapatan

dimasa yang akan datang.

Tujuan dilakukannya risk assessment adalah sebagai berikut :

• Menentukan tingkat risiko dari berbagai jenis resiko.

• Menentukan pengendalian dari jenis resiko.

• Mengukur dampak dan kuantitas berbagai jenis resiko.

• Menentukan kebjakan dalam rangka mengambil keputusan

terhadap risiko yang berdampak besar.

Cakupan Risiko Risk Assesment:

• Operasional Proses

• Operasional Sumber Daya Manusia

• Operasional Sistem Teknologi Informasi

28

• Faktor Eksternal

Proses dan Prosedur Risk Assessment:

A. Identifikasi Risiko, yaitu:

• Mengetahui dimana saja resiko berada

• Mengetahui penyebab timbulnya resiko

• Mengetahui metode yang digunakan untuk mengidentifikasi

keberadaan dan penyebab resiko

• Mengetahui pengendalian yang ada bila resiko itu terjadi.

B. Identifikasi Risiko, yaitu:

• Kuantitatif : analisis berdasarkan angka-angka nyata (nilai

financial) terhadap biaya pembangunan keamanan dan

besarnya kerugian yang terjadi.

• Kualitatif : Sebuah analisis yang menentukan resiko tantangan

organisasi dimana penilaian tersebut dilakukan berdasarkan

institusi, tingkat keahlian dalam menilai jumlah resiko yang

mungkin terjadi dan potensi kerusakannya.

Hal-hal yang harus diperhatikan dalam Risk assessment:

• Membuat prioritisasi kemungkinan gangguan yang terjadi

berdasarkan tingkat kerusakan dan kemungkinan terjadinya.

• Membuat suatu gap analisis dengan membandingkan BCP atau

DRP atau Contingency Plan yang dimiliki saat ini dengan hasil

Risk assessment.

29

• Melakukan analisis resiko yang akan timbul bagi perusahaan dan

stakeholders akibat adanya gangguan atau bencana.

2.4.3. Risk Management

Risk management merupakan langkah ketiga dalam proses rencana

kelangsungan bisnis (business continuity plan). Manejemen risiko adalah

proses mengidentifikasi, menaksir, dan mengurangi risiko – risiko sampai

pada batas yang dapat diterima melalui pengembangan (development),

implementasi (implementation) dan maintenance.

Menurut (Karkoszka, 2013), operasional dari manajemen risiko

dapat digambarkan sebagai proses yang berhubungan dengan risiko yang

memadai berdasarkan kuantitas atau kualitas. Oleh karena itu manajemen

risiko pertama – tama harus mencakup identifikasi berbagai risiko dan

penilaian risiko, kemudian melakukan kegiatan yang memungkinkan

untuk meminimalkan risiko.

Rencana kelangsungan bisnis (Business continuity plan) harus :

• Berdasar kepada Business impact analysis dan risk assessment

yang telah ditelaah.

• Didokumentasikan dalam program yang tertulis.

• Telah diperiksa dan disetujui oleh senior management paling tidak

setahun sekali.

• Terbuka untuk karyawan.

30

• Dikelola dengan baik ketika proses pengembangan dan

pemeliharaan dari BCP dilakukan oleh pihak ketiga (outsource).

• Perhatian khusus terhadap langkah yang harus diambil pada saat

terjadi gangguan.

• Fleksikbel merespon ancaman yang tidak terduga dan perubahan

kondisi internal.

• Fokus terhadap efek yang dihasilkan oleh ancaman yang dapat

mengganggu operasional bisnis.

• Dikembangkan berdasarkan asumsi yang masuk akal dan analisis

yang saling berkaitan.

• Efektif dalam meminimalkan gangguan dari service dan kerugian

financial melalui implementasi BCP.

2.4.4. Risk Monitoring and Testing

Risk monitoring and testing adalah langkah terahkir dalam proses

rencana kelangsungan bisnis (business continuity plan). Risk monitoring

dan testing memastikan bahwa BCP dalam sebuah perusahaan dapat

berjalan dengan baik melalui:

• Penggabungan BIA and risk assessment ke dalam BCP dan testing

program.

• Pengembangan testing program perusahaan.

• Penetapan dari aturan dan tanggung jawab dalam implementasi

testing program.

31

• Evaluasi dari testing program dan hasil test oleh menejemen

senior dan unit kerja.

• Penilaian dari testing program dan hasil testing oleh pihak

independent.

• Revisi dari BCP dan testing program berdasarkan perubahan

operasi bisnis, audit, dan rekomendasi dari pemeriksaan dan hasil

test.

2.5. Definisi Disaster Recovery Plan

Menurut (Karim, 2011), disaster recovery plan (DRP) adalah deskripsi

mengenai bagaimana bisnis bereaksi terhadap setiap peristiwa internal atau

eksternal, untuk memastikan bahwa operasi bisnis kritis harus tetap berjalan

tanpa adanya hambatan. Tujuan dari DRP adalah untuk mengurangi konsekuensi

dari bencana dan melakukan tindakan yang tepat untuk mempertahankan sumber

daya berharga. Di sisi lain, business continuity plan (BCP) menggambarkan

metode dan prosedur yang telah digunakan oleh bisnis untuk menjamin bahwa

fungsi penting harus berjalan setelah bencana. Proses ini harus dilakukan untuk

fungsi yang luas perusahaan untuk mengurangi kerugian finansial, meningkatkan

layanan pelanggan dan mengurangi kejadian destruktif yang dapat

mempengaruhi nama, proses, likuiditas dan reputasi pasar.

Kesimpulannya, disaster recovery plan adalah prosedur yang dijalankan

saat BCP berlangsung, berupa langkah-langkah untuk penyelamatan dan

pemulihan (recovery) khususnya terhadap fasilitas IT dan sistem informasi.

32

Disaster recovery plan merupakan pengaturan yang komprehensif berisikan

tindakan-tindakan konsisten yang harus dilakukan sebelum, selama, dan setelah

adanya kejadian (bencana) yang mengakibatkan hilangnya sumber daya sistem

informasi secara bermakna. DRP berisikan prosedur untuk merespon kejadian

emergensi, menyediakan operasi backup cadangan selama sistem terhenti, dan

mengelola proses pemulihan serta penyelamatan sehingga mampu meminimalisir

kerugian yang dialami oleh organisasi.

Tujuan utama dari disaster recovery plan dijelaskan (Krutz & Vines,

2003) adalah untuk menyediakan kemampuan atau sumber daya untuk

menjalankan proses vital pada lokasi cadangan sementara waktu dan

mengembalikan fungsi lokasi utama menjadi normal dalam batasan waktu

tetentu, dengan menjalankan prosedur pemulihan cepat, untuk meminimalisir

kerugian perusahaan.

Menurut (O'brien, 2005) banyak perusahaan terutama peritel e-commerce

online dan grosir , penerbangan, bank, serta ISP, dibuat tidak berdaya karena

kehilangan kekuatan komputasi selama beberapa jam. Itulah alasan mengapa

organisasi mengembangkan prosedur pemulihan dari bencana (disaster recovery)

serta mensahkannya sebagai rencana pemulihan dari bencana (disaster recovery

plan, DRP). Rencana itu menspesifikasikan karyawan mana yang akan

berpartisipasi dalam pemulihan dari bencana serta apa tugas mereka nantinya,

hardware, software, dan fasilitas apa yang akan digunakan, serta prioritas

aplikasi yang akan diproses.

Kesepakatan dengan berbagai perusahaan lainnya untuk penggunaan

fasilitas alternative sebagai lokasi pemulihan dari bencana dan penyimpanan di

33

luar kantor dari data base organisasi, juga merupakan bagian dari usaha

pemulihan dari bencana yang efektif.

Disaster recovery plan atau DRP adalah penerapan dari business

continuity plan (BCP) atau disebut juga “BCP in action” yaitu implementasi BCP

saat terjadi bencana. DRP akan memberikan langkah – langkah pada perusahaan

jika terjadi bencana. DRP akan mengurangi kebingungan yang terjadi saat ada

bencana dan meningkatkan kemampuan perusahaan saat menghadapi keadaan

krisis.

Pada saat ada kejadian bencana tentunya perusahaan tidak akan memiliki

waktu banyak untuk membuat rencanan pemulihan dilokasi bencana saat terjadi.

Dengan perencanaan yang baik dan proses simulasi sebelum benar ada kejadian

bencana, maka perusahaan akan dapat memperkirakan kemampuannya dalam

menghadapi suatu bencana. Supaya perbaikan dapat dilakukan dengan lancar,

maka perlu adanya perencanaan untuk ini yang biasanya disebut dengan disaster

recovery plan (DRP).

(Krutz & Vines, 2003) menjelaskan bahwa secara umum manfaat atau

tujuan penyusunan disaster recovery plan (DRP) bagi perusahaan adalah :

• Melindungi organisasi dari kegagalan layanan komputer utama.

• Meminimalisasi risiko organisasi terhadap penundaan (delay) dalam

penyediaan layanan.

• Menjamin kehandalan dari sistem yang tersedia melalui pengetesan

dan simulasi.

• Meminimalisasi proses pengambilan keputusan oleh personal/manusia

selama bencana.

34

Mungkin saja sebuah perusahaan tidak memerlukan disaster recovery

plan. Jika perusahaan tersebut memiliki unit bisnis yang dapat bertahan selama

masa interupsi, atau bisa saja perusahaan tersebut tidak memiliki area proses vital

yang diperlukan beberapa jenis pemulihan bencana. Dalam hal ini, disaster

recovery plan mungkin tidak perlu diterapkan oleh perusahaan tersebut.

Menurut (Brooks, Bedernjak, Juran, & Merryman, 2002), proses dari

disaster recovery plan digambarkan sebagai berikut:

Gambar 2.4: Proses Disaster Recovery Plan (Brooks, Bedernjak, Juran, &

Merryman, 2002)

2.5.1. Strategi Disaster Recovery Plan

Strategi disaster recovery plan secara menyeluruh untuk

memastikan bahwa sistem dapat dipulihkan dengan cepat dan efektif

menyusul gangguan yang terjadi.

35

1. Backup and Restore.

Metode ini merupakan strategi untuk memperbaiki system operasi

secara cepat dan efektif pada saat terjadi gangguan. Metode ini

menangani dampak gangguan dan downtime yang diidentifikasi dalam

BIA dan diintegrasikan ke dalam arsitektur sistem selama fase

Pengembangan. Pendekatan beberapa alternatif harus dipertimbangkan

ketika mengembangkan dan membandingkan strategi, termasuk biaya,

downtime maksimal, keamanan, prioritas pemulihan, dan integrasi

dengan yang lebih besar, tingkat organisasi rencana kontingensi.

Jenis – jenis proses backup & restore yang dapat digunakan:

Mirror & Replication, proses backup yang dilakukan yaitu

dengan membangun data yang sama sesuai dengan data

produksi perusahaan, serta melibatkan proses penyalinan

dari server primer ke server sekunder. (Snedaker, 2007)

SAN Backup, Storage Area Network merupakan sebuah

jaringan area penyimpanan jaringan berkecepatan tinggi

yang didedikasikan untuk penyimpanan data. (Snedaker,

2007)

Tape Backup, Tape backup adalah proses backup yang

menggunakan device tape serta catridge yang bertujuan

melindungi dan mengembalikan data yang hilang, rusak,

atau dihapusnya informasi, sehingga menjaga integritas

data. (Krutz & Vines, 2003)

36

2. Backup Storage and Offsite Data

Sistem data harus didukung secara teratur. Kebijakan harus

menentukan frekuensi minimum dan ruang lingkup backup (misalnya,

harian atau mingguan, bertahap atau penuh) berdasarkan kekritisan data

dan frekuensinya. Kebijakan backup data harus menunjuk lokasi yang

tersimpan, file data-penamaan konvensi, frekuensi Media rotasi, dan

metode untuk mengangkut data offsite. Data dapat didukung pada disk

magnetik, pita, atau disk optik, seperti compact disc (CD). Metode

spesifik dipilih untuk melakukan backup harus didasarkan pada

ketersediaan sistem data dan persyaratan integritas. Metode-metode ini

mungkin termasuk electronic vaulting, network storage dan tape library

systems.

Banyak vendor yang menawarkan bisnis untuk menyimpan

cadangan data offsite. Data komersial fasilitas penyimpanan secara

khusus dirancang untuk media arsip dan melindungi data dari gangguan.

Ketika memilih sebuah fasilitas penyimpanan offsite dan vendor,

kriteria berikut harus dipertimbangkan:

• Wilayah geografis: jarak dari organisasi dan probabilitas dari site

penyimpanan yang terkena bencana sama dengan site utama

organisasi.

• Aksesibilitas: Lamanya waktu yang diperlukan untuk mengambil

data dari penyimpanan dan jam operasi fasilitas penyimpanan itu.

37

• Keamanan: keamanan kemampuan metode pengiriman, fasilitas

penyimpanan dan personil, semua harus memenuhi persyaratan

keamanan data itu.

• Lingkungan: kondisi struktural dan lingkungan dari fasilitas

penyimpanan (yaitu, suhu, kelembaban, pencegahan kebakaran, dan

kontrol manajemen daya).

• Biaya: biaya pengiriman, biaya operasional, dan respon bencana /

pemulihan layanan.

3. Alternate Sites

Terlepas dari jenis situs alternatif yang dipilih, fasilitas harus

mampu mendukung operasi sistem seperti yang ditentukan dalam

rencana kontingensi. Ketiga jenis site alternatif umumnya dikategorikan

dalam hal kesiapan operasional adalah cold sites, warm sites dan hot

sites.

• Cold sites, biasanya fasilitas dengan ruang yang memadai dan

infrastruktur (listrik, telekomunikasi sambungan, dan kontrol

lingkungan) untuk mendukung recovery system informasi.

• Warm sites, sebagian dilengkapi ruang kantor yang menyediakan

beberapa atau semua sistem perangkat keras, perangkat lunak,

telekomunikasi, dan sumber listrik.

• Hot Sites, adalah fasilitas untuk mendukung kebutuhan sistem dan

dikonfigurasi dengan sistem perangkat keras yang diperlukan,

infrastruktur pendukung dan dukungan personil.

38

Tiga sites diatas adalah sites alternatif yang paling umum. variasi untuk

sites lainnya adalah:

• Mobile Sites are self-contained, kerang diangkut custom pas dengan

telekomunikasi tertentu dan peralatan sistem yang diperlukan untuk

memenuhi persyaratan sistem.

• Mirrored Sites, berisi dengan fasilitas redundant dengan real-time

mirroring informasi secara otomatis. sites ini identik dengan sites

utama dalam segala hal teknis.

4. Equipment Replacement

Tiga strategi dasar yang ada untuk mempersiapkannya adalah:

• Vendor Agreements. Service-Level Agreement (SLA) dengan

perangkat keras, perangkat lunak, dan dukungan vendor yang dibuat

untuk layanan pemeliharaan darurat. SLA harus menentukan

seberapa cepat vendor merespon setelah diberitahu. Perjanjian

tersebut juga harus memberikan status prioritas organisasi untuk

pengiriman peralatan pengganti atas peralatan yang dibeli untuk

operasi normal. SLA selanjutnya harus mendiskusikan apa status

prioritas yang didapatkan organisasi jika terjadi bencana yang

melibatkan beberapa klien vendor. Rincian negosiasi ini harus

didokumentasikan dalam SLA, yang harus dipertahankan dengan

contingency plan.

• Equipment Inventory. Peralatan yang dibutuhkan dapat dibeli di

muka dan disimpan di lokasi yang aman. Sebuah organisasi harus

berkomitmen dengan sumber daya keuangan untuk membeli

39

peralatan ini di muka, dan peralatan bisa menjadi usang atau tidak

cocok untuk digunakan dari waktu ke waktu karena perubahan

kebutuhan sistem teknologi.

• Existing Compatible Equipment. Peralatan yang sama dan

kompatibel tersedia untuk digunakan oleh organisasi kontingensi.

5. Cost Considerations

Organisasi harus memastikan bahwa strategi yang dipilih dapat

diterapkan secara efektif dengan personil dan sumber daya keuangan.

Biaya setiap jenis situs alternatif, penggantian peralatan, dan pilihan

penyimpanan berdasarkan pertimbangan terhadap keterbatasan

anggaran. Organisasi harus melakukan analisis biaya-manfaat untuk

mengidentifikasi strategi kontingensi optimal.

6. Roles and Responsibilities

Setelah memilih dan menerapkan strategi backup dan pemulihan

sistem, organisasi harus menunjuk tim yang tepat untuk menerapkan

strategi. Setiap tim harus dilatih dan siap untuk merespon jika terjadi

situasi yang membutuhkan aktivasi recovery. Personil pemulihan harus

diserahkan kepada salah satu dari tim yang spesifik yang akan merespon

masalah tersebut, memulihkan kemampuan, dan mengembalikan system

untuk operasi normal. Untuk melakukannya, recovery team perlu

memahami dengan jelas upaya pemulihan tujuan tim, prosedur individu

tim akan mengeksekusi, dan bagaimana saling ketergantungan antara

recovery team dapat mempengaruhi strategi keseluruhan.

40

2.5.2. Pemilihan Lokasi Pemulihan dari Bencana

Menurut (Bick, 2004), dalam pemilihan lokasi alternatif untuk

memulihkan bisnis dari bencana, perlu dipertimbangkan hal-hal berikut:

• Jarak dari Fasilitas Utama, pilihlah lokasi yang tidak terlalu dekat dan

juga terlalu jauh dari gedung utama yaitu sekitar 30 kilometer.

• Potensi Risiko dari Bencana, apakah lokasi tersebut juga memiliki

risiko terkena bencana, carilah tempat yang minim terkena ancaman

atau dampak bencana.

• Ketersediaan staff setempat, apakah ada staff setempat yang bisa

mengoperasikan proses bisnis utama.

• Ketersediaan dan kualitas tenaga listrik/baterei, apakah tenaga listrik

atau baterai tersedia, dan apakah mencukupi untuk waktu lebih dari 27

jam.

• Nearby Fiber Routes, untuk kepentingan jaringan komunikasi data,

alangkah lebih baik kalau tidak jauh dari jarul kabel fiber, dan kalau

memungkinkan kita bias minta ijin atau mendaftar menggunakan jalur

kabel tersebut.

• Specific IT Criteria, teknologi informasi dapat berfungsi pada lokasi

tersebut, batasan jarak harus menjadi perhatian perlengkapan jaringan.

• Tax Incentive, Lokasi tertentu atau di luar perkotaan mungkin akan

jauh lebih murah biayanya.

41

2.5.3. Pengujian Disaster Recovery Plan

Pengujian DRP sangatlah penting, DRP memiliki banyak elemen

yang berupa teori sampai mereka benar-benar diuji dan disahkan.

Pengujian rencana harus dilaksanakan sesuai dengan urutannya,

mengikuti standar yang ditetapkan, dan disimulasikan pada keadaan

sebenarnya.

(Krutz & Vines, 2003) menjelaskan bahwa ada lima bentuk

pengujian disaster recovery plan yaitu:

• Check List Test. Ini adalah preliminary step dari pengujian. Setiap unit

manajemen akan mereview apakah perencanaan sesuai dengan

prosedur dan critical area dari organisasi.

• Structured walk-through test. Tes dilakukan melalui pertemuan antar

perwakilan dari tiap unit manajemen untuk membahas seluruh isi dari

perencanaan. Tujuannya adalah untuk memastikan bahwa

perencanaan secara akurat merefleksikan kemampuan organisasi

dalam memulihkan diri dari bencana secara sukses, setidaknya on

paper.

• Simulation test. Salama pengujian dengan melakukan simulasi, semua

orang dibagian operasional dan support harus memandang bahwa

keadaan emergensi terjadi seperi sebenarnya agar sesuai dengan

kenyataannya nanti. Simulasi tes ini bertujuan untuk melihat kesiapan

personnel bila ada kejadian bencana.

• Paralel test. Simulasi dilakukan pada semua rencana pemulihan.

Parallel berarti proses pengujian berjalan secara paralel dengan proses

42

sebenarnya. Tujuannya adalah memastika supaya sistem yang utama

(critical) dapat tetap berjalan pada lokasi alternatif backup.

• Full-interuption test. Ini adalah tes yang sangat berisiko karena

kejadian bencana (dampak) benar-benar diterapkan. Namun ini adalah

cara terbaik untuk menguji recovery plan, apakah dapat berjalan atau

tidak.

2.5.4. Pemeliharaan Rencana Pemulihan Data

(Krutz & Vines, 2003) menjelaskan bahwa disaster recovery plan

sering sudah out of date atau tidak sesuai lagi dengan kondisi perusahaan

atau perkembangan yang terjadi disekitar baik ancaman bencana maupun

tingkat persaingan. Perusahaan mungkin telah mereorganisasi dan

mungkin saja unit bisnis critical telah berbeda dari saat direncanakan

dahulu. Perubahan infrastruktur jaringan juga akan merubah lokasi atau

konfigurasi dari hardware, software dan komponan lainnya. Juga

mungkin karena masalah administrasi seperti turn over dari pegawai dan

berkurangnya ketertarikan pegawai terhadap masalah Business Continuity

Plan dan Disaster Recovery Plan.

Apapun alasannya, pemeliharaan perlu direncanakan sebelumnya

supaya BCP dan DRP selalu up date dan berguna. Sangatlah penting

untuk membuat prosedur pemeliharaaan BCP dan DRP dalam sebuah

organisasi dengan menggunakan job description yang mensetralisasi

tanggung jawab pengupdate-an. Mungkin juga diperlukan prosedur audit

yang melaporkan secara periodik mengenai status dari perencanaan. Juga

43

penting adalah jangan sampai berbagai versi rencana masih ada, ini akan

menimbulkan kebingungan dan bisa memperparah kondisi emergensi.

Jangan lupa untuk selalu menganti versi yang lama dengan yang baru dan

menuliskan teks versi pada tiap perencaaan.

2.5.5. Disaster Recovery Procedures

Menurut (Krutz & Vines, 2003) ada dua tim yang akan berperan

saat terjadi bencana yaitu tim pemulihan dan tim penyelamatan. Tim

pemulihan bertanggung jawab terhadap pemulihan fungsi bisnis kritis

(utama), langkah awalnya adalah memastikan penggunaan alternatif

operasi dan data bisa berlangsung baik secara otomatis maupun manual.

Sedangakan tim penyelamatan terpisah dari tim pemulihan dan memiliki

tanggung jawab yang berbeda. Tim penyelamat bertanggung jawab untuk

secara cepat membersihkan, mengurangi bahaya/dampak, memperbaiki,

menyelamatkan infrastruktur utama setelah bencana terjadi. Ini temasuk

juga penyelamatan manusia.

Sasaran utama dari rencana pemulihan bencana ini adalah untuk

membantu meyakinkan sistem operasional yang berkelanjutan mencakup

ketersediaan data.

Sasaran khusus dari rencana pemulihan bencana ini termasuk :

• Menjelaskan secara rinci langkah-langkah yang harus diikuti.

• Meminimisasi kebingungan, kekeliruan, dan biaya bagi perusahaan.

44

• Bekerja cepat dan lengkap atas pemulihan dan penyelamatan dari

bencana.

• Menyediakan proteksi yang berkelanjutan terhadap aset TI.

2.6. Penelitian Terdahulu

Dalam hal ini, penelitian terdahulu akan dibagi berdasarkan penelitian

yang diambil dari beberapa jurnal, serta akan diambil juga dari master thesis

yang berhubungan dengan BCP dan DRP.

1. (Karim, 2011)

Penelitian ini menyajikan desain konseptual untuk mengukur

faktor-faktor BCP, kesiapsiagaan bencana melalui penggunaan

indikator statistik.

Penelitian ini dilakukan dengan menganalisis hasil dari kuesioner

yang disebarkan tentang perencanaan kelangsungan bisnis di

sektor keuangan.

Sangat penting untuk menunjukkan bahwa tidak ada proses BCP

yang akan berhasil tanpa adanya kepemimpinan manajemen

senior.

2. (Prazeres & Lopes, 2013)

Dengan semakin meningkatnya ketergantungan pada proses bisnis

untuk layanan elektronik dan tradisional, wajib bagi setiap

organisasi untuk ikut serta merencanakan BCP.

45

Metodologi penelitian yang digunakan adalah penelitian-tindakan

serta dengan observasi.

Metodologi yang digunakan memungkinkan modularitas dan

mempercepat pekerjaan.

3. (Puspitasari, 2011)

Perancangan Kebijakan Business Continuity berfokus pada

Business Impact Analysis (BIA).

Pengembangan BCP merupakan tahapan yang dilakukan setelah

organisasi menentukan strategi risk mitigation mana yang dipilih.

Dengan adanya Kebijakan Business Continuity, organisasi akan

mempunyai payung hukum yang dapat digunakan untuk menjaga

dan memelihara kelangsungan proses bisnis.

4. (Yahya, 2013)

Penelitian ini menggunakan proses penyusunan BCP berdasarkan

Federal Financial Institutions Examination Council.

Metodologi yang digunakan dalam penelitian ini adalah studi

lapangan serta studi kepustakaan yang berhubungan dengan BCP

dan DRP.

Melakukan pengembangan BCP dengan tahapan – tahapan yang

menentukan strategi keberlangsungan bisnis dan

mendokumentasikan tindakan yang mengacu pada hasil – hasil

dari penentuan strategi tersebut.

Perbedaan penelitian yang dilakukan penulis dengan penelitian terdahulu

ada pada objek penelitian. Dimana penulis menjadikan Qeon Interactive, yang

46

merupakan salah satu perusahaan game online, sebagai objek penelitian untuk

melakukan studi kasus mengenai BCP dan DRP. Framework yang digunakan

oleh penulis adalah best practice yang mengacu kepada jurnal, buku, serta master

thesis terdahulu yang berhubungan dengan BCP dan DRP.