Post on 17-Mar-2016
description
1
Business Continuity Planning (BCP) & Disaster Recovery Planning (DRP)
Business Continuity Planning (BCP) & Disaster Recovery Planning (DRP)
Bagaimana melestarikan fungsi penting dari bisnis
dalam menghadapi bencana.
Review Summary
Tujuan utama BCP:•Kelanjutan proses bisnis penting ketika bencana menghancurkan kemampuan pengolahan data•Persiapan, pengujian dan pemeliharaan tindakan khusus untuk memulihkan proses menjadi normal (BCP)
Bencana – alam, buatan• Kebakaran, banjir, angin topan, tornado, gempa bumi, gunung berapi• Kecelakaan pesawat, vandalisme, terorisme, kerusuhan, sabotase, kehilangan personil, dll• Segala sesuatu yang mengurangi atau menghancurkan kemampuan pengolahan data normal
Bencana dalam definisi bisnis
• Jika merugikan proses bisnis penting, mungkin menjadi bencana• Berbasis definisi waktu - berapa lama
bisnisbisa tahan dalam kondisi sakit?• Probabilitas terjadinya
Tujuan umum BCP- CIA
• Ketersediaan (availability) - fokus utama
• Kerahasiaan (confidentiality) - tetap penting
• Integritas (integrity)- tetap penting
Tujuan BCP
• Membuat, dokumen, pengujian, dan memperbarui rencana yang akan:– Memungkinkan pemulihan tepat waktu
operasi bisnis penting– Meminimalkan kerugian– Memenuhi persyaratan hukum dan
peraturan
Lingkup BCP
• Digunakan hanya untuk pusat data• Sekarang meliputi:
– Operasi terdistribusi– Personil, jaringan, kekuasaan– Semua aspek dari lingkungan TI
Membuat sebuah BCP• Apakah proses yang sedang berjalan,
bukan proyek dengan waktu tertentu– Menciptakan, pengujian, pemeliharaan,
dan memperbarui– "Kritis" fungsi bisnis bisa berkembang
• Tim BCP harus mencakup baik bisnis dan personil TI• Membutuhkan dukungan dari
manajemen senior
Lima fase BCP•Manajemen proyek & inisiasi• Business Impact Analysis (BIA)• Pemulihan strategi• Rencana desain & pengembangan• Pengujian, pemeliharaan, kesadaran, pelatihan
I – Manajemen Proyek& inisiasi
• Membangun kebutuhan (analisis risiko)• Dapatkan dukungan manajemen• Membentuk tim (fungsional, teknis, BCC -
Business Continuity Coordinator)• Membuat rencana kerja (ruang lingkup,
tujuan, metode, waktu)• Laporan Awal ke manajemen• Mendapatkan persetujuan manajemen
untuk melanjutkan
II - Business Impact Analysis (BIA)
• Tujuan: memperoleh persetujuan resmi dengan manajemen senior MTD (maksimum tolerable downtime) untuk setiap sumber daya bisnis dalam waktu-kritis• MTD – waktu molor maksimum yang
dapat ditoleransi, juga dikenal sebagai MAO (Maksimum Allowable Outage)
II - Business Impact Analysis (BIA)
• Mengkuantifikasi kerugian akibat terhentinya proses bisnis (keuangan tambahan, biaya pemulihan, malu)
• Apakah tidak memperkirakan kemungkinan macam insiden, hanya mengkuantifikasi konsekuensi
II - BIA phases • Pilih metode pengumpulan informasi (survei, wawancara, perangkat lunak)• Pilih yang akan diwawancarai• Customize kuesioner•Menganalisis informasi•Mengidentifikasi waktu-kritis fungsi bisnis
II - BIA phases (continued)•Tetapkan MTDS•Rank fungsi bisnis kritis dengan MTDS•Laporan opsi pemulihan•Mendapatkan persetujuan manajemen
III – Strategi Pemulihan•Strategi Pemulihan didasarkan pada MTDS•Predefined•Yang disetujui Manajemen
III – Strategi Pemulihan• Berbeda teknis strategi• Biaya dan manfaat yang berbeda• Bagaimana memilih?• Hati-hati analisis biaya-manfaat• Didorong oleh kebutuhan bisnis
III – Strategi Pemulihan• Strategi harus membahas pemulihan:
–Operasi bisnis–Fasilitas & perlengkapan–Pengguna (pekerja dan pengguna
akhir)– Jaringan, pusat data (teknis)–Data (off-site backup data dan
aplikasi)
III – Strategi Pemulihan
–Teknis Strategi pemulihan - lingkup• Pusat data• Jaringan• Telekomunikasi
III – Strategi Pemulihan
–Teknis Strategi pemulihan - metode• Berlangganan layanan• Perjanjian bantuan timbal balik• Redundant pusat data• Biro jasa
III – Strategi Pemulihan–Teknis Strategi pemulihan - situs
layanan berlangganan• Hot - lengkap• Hangat – hilangnya komponen kunci
• Dingin - mengosongkan pusat data
• Mirror – penuh redundansi • Mobile - trailer penuh komputer
III – Strategi Pemulihan
–Strategi pemulihan Teknis - perjanjian bantuan timbal balik• Saya akan membantu Anda jika Anda akan membantu saya!
• Murah• Biasanya tidak praktis
III – Recovery strategies
–Strategi pemulihan Teknis - pusat pengolahan berlebihan• Mahal• Mungkin tidak cukup kapasitas cadangan untuk operasi kritis
III – Recovery strategies
–Teknis strategi pemulihan layanan biro• Banyak klien berbagi fasilitas• Hampir mahal sebagai situs panas
• Harus menegosiasikan perjanjian dengan klien lain
III – Recovery strategies– Teknis pemulihan strategi-data
• Backup data dan aplikasi• Off-site vs di tempat penyimpanan media• Seberapa cepat bisa data akan dipulihkan?• Berapa banyak data dapat anda kalah?• Keamanan off-situs media backup• Jenis backup (full, incremental, diferensial,
dll)
IV – BCP development / implementation
– Rencana rinci untuk pemulihan• Bisnis & pemulihan rencan
layanan • Pemeliharaan• Kesadaran dan pelatihan• Pengujian
IV – BCP development / implementation– Contoh rencana fase
• Awal penanganan bencana• Penting, Resume ops bisnis• Resume bisnis non-ops• Restorasi (kembali ke situs utama)• Berinteraksi dengan kelompok-kelompok
eksternal (pelanggan, media, responden darurat)
V – BCP final phase– Pengujian– Pemeliharaan– Kesadaran– Pelatihan
V – BCP final phase - testing
– Sampai itu diuji, Anda tidak punya rencana
– Jenis pengujian• Jalan yang Terstruktur • Daftar Periksa• Simulasi• Paralel• Penuh gangguan
V – BCP final phase - maintenance
– Memperbaiki masalah yang ditemukan dalam pengujian
– Menerapkan manajemen perubahan
– Audit dan temuan audit alamat
– Tahunan pengkajian atas rencana
– Membangun rencana ke organisasi
V – BCP final phase - training
– tim BCP mungkin tim DR– pelatihan BCP harus terus-
menerus– pelatihan BCP perlu menjadi
bagian dari-on boarding standar dan bagian dari budaya perusahaan
ReferencesOfficial (ISC)2 Guide to the CISSP Exam