Julia Carolina Daud

PEMBUATAN DISASTER RECOVERY PLAN(DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DIPUSAT DATA DAN JARINGAN BTSI)

OUTLINE

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008

BAB IPENDAHULUAN

BAB IIDASAR TEORI

BAB III METODE

PENGERJAAN TA

OUTLINE

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008

BAB IV HASIL PENCARIAN

DATA DANMANAJEMEN RISIKO

BAB VPEMBUATAN

DOKUMEN DRP

BAB VIKESIMPULAN DAN

SARAN

BAB I PENDAHULUAN

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008

Permasalahan

Bagaimana melakukan manajemen risiko untuk mengetahui ancaman, kerentanan dan dampak

akibat suatu kejadian.

Bagaimana cara melakukan pemulihan bencana ketika terdapat kejadian dalam waktu yang singkat namun seluruh infrastruktur aman.

Bagaimana membuat dokumentasi DRP berdasarkanhasil framework ISO/IEC 24762: 2008 di Pusat Data

dan Jaringan BTSI Institut Teknologi SepuluhNopember Surabaya

Tujuan

Untuk Mengetahui dampak risiko yang

mempengaruhi proses bisnis

Menghasilkan dokumen DRP beserta pedoman, aktifitas, prosedur serta

formulir untuk BTSI dengan menggunakan ISO/IEC

24762: 2008 yang berfungsi untuk memberikan arahan

dan pedoman dalam melakukan pemulihan

bencana.

Batasan Masalah

1. Manajemen risiko menggunakan NIST (National Institute of Standards and Technology)

2. Pembuatan dokumen yang dilakukan menggunakan framework standard internasional ISO/IEC 24762: 2008

3. Pembuatan tugas akhir ini hanya mencakup mengenai bencana alam, buatan manusia dan bencana akibat lingkungan yang menyerang TI yang ada di Pusat Data dan Jaringan BTSI

4. Proses pengerjaan dokumentasi pada bidang TI ITS yang tugas pokok dan fungsinya dilaksanakan oleh BTSI

5. Batasan pengerjaan hanya di lingkup Pusat Data dan Jaringan 6. Penilaian resiko dilakukan secara kualitatif

DASAR TEORI

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008

Manajemen Risikodengan Menggunakan

NIST

Karakterisasi Sistem

Identifikasi Ancaman

Identifikasi Kerentanan

Penentuan Kemungkinan

Analisa Dampak

Disaster Disaster Recovery Plan (DRP)

ISO/IEC 24762: 2008

METODE PENGERJAAN TUGAS AKHIR

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008

PERUMUSAN MASALAH

1. Mencari permasalahan yang ada pada Pusat Data dan Jaringan BTSI ITS

2. Merumuskan masalahan yang sudah terdaftar

KELUARAN

Daftar permasalahan yang akan diangkat menjadi sumber pengerjaan tugas akhir

Menetapkan tujuan yang merupakan jawaban dari permasalahan yang telah teridentifikasi

KELUARAN

Daftar tujuan yang ingin dicapai dengan pengerjaan tugas akhir ini

PENETAPAN TUJUAN

Sumber rujukan informasi dari berbagaisumber terkait tentang Disaster Recovery Plan (DRP)

STUDI LITERATUR KELUARAN

Referensi sumber sebagai pembanding DRP

VERIFIKASI DATA

Menentukan bahwa model bekerja danberjalan dengan benar sesuai denganlangkah-langkah yang dilakukan.

KELUARAN

Data telah terverifikasi dan dapat dilakukan penilaian risiko

Menilai risiko, mengetahui kerentanan, kelemahan suatu sistem, menentukan dampak berdasarkan NIST

KELUARAN

Daftar risiko, peluang, dampak serta aset.

MANAJEMEN RISIKO

Penbuatan dokumen DRP sesuai dengan ISO 24762 : 2008

PENYUSUNAN DOKUMEN DRP KELUARAN

Draft berisi kumpulan-kumpulan daftar apa saja yang harus ada dalam sebuah buku pedoman DRP serta kumpulan data yang sesuai dengan kondisi terkini

Penbuatan dokumen DRP sesuai dengan ISO 24762 : 2008

PENYUSUNAN BUKU TUGAS AKHIR KELUARAN

Dokumen DRP sesuai standar ISO/IEC 24762: 2008 yang mampu menjadi guideline dalam melakukanpemulihan akibat bencana.

PENGUMPULAN DATA DANMANAJEMEN RISIKO

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008

Studi Kasus BTSI

Badan Teknologi Sistem Informasi

Pusat Pengelolaan dan

Layanan TI

Pusat Pengembangan

Sistem Informasi

Pusat Data dan Pelaporan

Subbagian Jaringan dan

Sistem Informasi

Proses Bisnis

1. Penyediaan informasi dan layanan publik2. Menampung berbagai macam layanan utama seperti Email, DNS, Website, dan

Streaming3. Menampung server-server yang dimiliki oleh jurusan-jurusan atau unit-unit di

lingkungan ITS. 4. Mengelola sistem dan infrastruktur jaringan ITS (melakukan troubleshooting)5. Mengelola kelistrikan yang mendukung infrastruktur Pusat Data dan Jaringan

yaitu antara lain genset, UPS dan lain sebagainya6. Menghubungi vendor apabila terdapat kerusakan pada hardware yang tidak

dapat ditangani oleh tim internal7. Menjamin keamanan Sistem Informasi8. Pelayanan dan Perawatan untuk server-server ITS yang berada di bawah

tanggung jawab divisi

Manajemen Risiko

Penilaian Risiko

Karakterisasi Sistem

Daftar Sistem TI

Daftar Personal TI

Identifikasi ancaman dan Gangguan

Identifikasi Kerentanan

Penilaian Risiko

Risiko Teridentifikasi

Risiko karena kebakaranRisiko kerusakan akibat air

Risiko gempa bumiRisiko akibat kesalahan user

Risiko sabotase oleh karyawanRisiko akibat virus

Risiko karena terjadinya hackingRisiko karena adanya pencurian

Risiko penyalahgunaan hak akses untuk kepentingan pribadiRisiko kegagalan telekomunikasi dan jaringan

Risiko kegagalan hardware dan softwareRisiko kegagalan proses back up

Risiko kegagalan aplikasi softwareRisiko kegagalan recovery backup data

Risiko karena tegangan listrik tidak stabil

Dampak Bisnis

Daftar Proses Bisnis Keterangan Ketergantungan

Penyediaan informasi dan layanan publik Untuk mengetahui mengenai infor terbarudari ITS

Dapat berjalan jika proses bisnis terganggu

Menampung berbagai macam layananutama seperti Email, DNS, Website, danStreaming

Seluruh domain yang menggunakan domainits.ac.id merupakan proses bisnis utama.seperti FRS Online dan autentifikasi emailjika ingin menggunakan internet.

Sangat Tergantung

Menampung server-server yang dimiliki olehjurusan-jurusan atau unit-unit di lingkunganITS.

Jika terjadi bencana pada ITSnet, makaproses bisnis pihak-pihak yang meletakkanserver di ITSnet akan terganggu. Contoh:Akses DIGILIB

Sangat Tergantung

Mengelola kelistrikan yang mendukunginfrastruktur Pusat Data dan Jaringan yaituantara lain genset, UPS dan lain sebagainya

Jika terjadi bencana pada ITSnet, makaproses bisnis seluruh pihak, baik itu prosesbisnis ITSnet sendiri maupun pihak-pihakterkait akan terganggu dan menyebabkandampak yang vital karena dapatmengakibatkan lumpuhnya proses bisnis

Sangat Tergantung

Mengelola kelistrikan yang mendukunginfrastruktur Pusat Data dan Jaringan yaituantara lain genset, UPS dan lain sebagainya

Jika terjadi bencana pada ITSnet, makaproses bisnis seluruh pihak, baik itu prosesbisnis ITSnet sendiri maupun pihak-pihakterkait akan terganggu dan menyebabkandampak yang vital karena dapatmengakibatkan lumpuhnya proses bisnis

Sangat Tergantung

Dampak Bisnis (Cont’d)

Daftar Proses Bisnis Keterangan Ketergantungan

Menjamin keamanan Sistem Informasi Kemanan sistem informasi merupakan halyang sangat penting untuk menunjangkerahasiaan, kepercayaan dan ketersediaandata

Sangat Tergantung

Pelayanan dan Perawatan untuk server-server ITS yang berada di bawah tanggungjawab divisi ITSnet.

Pelayanan dan perawatan server merupakankunci sukses dari jalannya proses bisnis. Jikapelayanan tidak dilakukan maka pihakITSnet akan kehilangan kepercayaan, danjika perawatan server tidak dilakukan makadapat mengakibatkan kerusakan pada server

Sangat tergantung

Keterangan :•Sangat tergantung:Proses bisnis hanya bisa berjalan jika jaringan menuju server masing – masing proses binisterhubung.•Tergantung :Jika jaringan menuju server masing – masing proses bisnis terputus, masih bisamenggunakan jaringan ke server lain. Misalnya jaringan internet untuk akses internet, makamasih bisa menggunakan jaringa intranet untuk mengakses website.•Tidak tergantung :proses bisnis bisa berjalan walaupun proses bisnis Pusat Data dan Jaringan terputus.

Kontrol yang ada di BTSIRisiko Kontrol Keterangan

Risiko karena kebakaran Prosedur Operasi Baku AlatPemadam Kebakaran (APAR),Checklist pemeliharaan APAR

Tertulis

Risiko kerusakan akibat air Belum ada control Tidak Tertulis

Risiko gempa bumi Belum ada kontrol Tidak tertulis

Risiko akibat kesalahan user Belum ada kontrol Tidak tertulis

Risiko sabotase oleh karyawan Kebijakan Open Recruitment persemester, Prosedur Recruitment,Standar Spesifikasi Minimaluntuk SDM serta MahasiswaMagang, Prosedur Operasi BakuPelatihan SDM

Sebagian tertulis dan sebagiantidak tertulis

Risiko serangan virus Belum ada kontrol Tidak tertulis

Risiko karena terjadinya hacking Belum ada kontrol Tidak tertulis

Risiko karena adanya pencurian Belum ada kontrol Tidak tertulis

Risiko penyalahgunaan hak aksesuntuk kepentingan pribadi

Kebijakan Open Recruitment persemester, Prosedur Recruitment,Standar Spesifikasi Minimaluntuk SDM serta MahasiswaMagang, Prosedur Operasi BakuPelatihan SDM

Sebagian tertulis dan sebagiantidak tertulis

Kontrol yang ada di BTSI (cont’d)

Risiko kegagalantelekomunikasi dan jaringan

Terdapapat bisnis prosesdiagram prosedurperawatan/ monitoringjaringan

Tertulis

Risiko kegagalan hardwaredan software

Belum ada kontrol Tidak tertulis

Risiko kegagalan proses backup

Adanya Prosedur Backupdengan Redundance HardDisk

Tidak tertulis

Risiko kegagalan aplikasisoftware

Belum ada kontrol Tidak tertulis

Risiko kegagalan recoverybackup data

Sistem MonitoringInfrastruktur

Bentuk kontrol berupaaplikasi monitoring, namuntidak ada dokumentasiprosedur tertulis

Risiko karena tegangan listriktidak stabil

Prosedur OperasiUniteruptible Power Supply(UPS), Checklistpemeliharaan UPS

Tertulis

PEMBUATAN DOKUMEN DRP

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008

Langkah-langkah pembuatan DRP

Pembuatan dokumenberdasarkan ISO 24762: 2008

Panduan Dokumen Disaster Recovery Plan

Kebijakan berdasarkan klausulyang ada di ISO/IEC 24762

Prosedur Kegiatan

Formulir berdasarkan kebijakan

KESIMPULAN DAN SARAN

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008

Kesimpulan

• Berdasarkan pencarian data yang telah dilakukan dalam tugas akhir ini, maka dapatdisimpulkan bahwa:

• Disaster Recovery Plan merupakan salah satu aspek penting dalam mendukung keberlangsungan bisnis setelah terjadinya bencana, untuk mempertahakan semua pihak yang terlibat pada bisnis tersebut termasuk konsumen dan pelaku bisnis itu sendiri.

• Penyusunan DRP memerlukan studi awal untuk menentukan DRP yang paling optimal yang sesuai dengan kemampuan dan kebutuhan organisasi, serta manfaat yang diharapkan oleh organisasi dari DRP tersebut. Tingginya biaya dan usaha yang harus dilakukan oleh organisasi dalam penyusunan dan penerapan DRP membuat organisasi menghadapi kendala yang tidak ringan dan perlu penetapan skala prioritas yang tepat, sesuai dengan strategi bisnis dan kemampuan organisasi.

• Studi kasus pada infrastruktur Pusat Data dan Jaringan menghasilkan beberapa temuan yang kontradiktif yaitu tingginya tingkat kebergantungan para pengguna terhadap layanan jaringan komputer tetapi rendahnya tingkat pengetahuan pengguna dalam pengamanan data dari bencana. Pihak pengelola jaringan komputer Institut juga tidak memiliki rencana dan mekanisme yang jelas untuk menghadapi bencana, khususnya yang terkait dengan bencana skala kecil pada jaringan komputer seperti serangan virus, serangan hacker, kegagalan hardware atau gangguan infrastruktur seperti terputusnya listrik, kebakaran dan lain-lain

Saran

- Perlu dilakukan penelitian kembali pada bagian BTSI yang lain terkait pembuatan DRP, mengingat Teknologi dan Komunikasi

memiliki potensi risiko yang besar

- Pembuatan DRP tidak berhenti begitu saja setelah DRP telahdibuat. Harus dilakukan evaluasi dan perbaikan rencana DRP secara kontinu. Harus diadakan perubahan pada DRP. Begitu

juga setelah sebuah bencana terjadi, harus dilakukan evaluasi, apakah DRP telah memenuhi harapan organisasi untuk pulih

dari bencana yang menimpa.