1

Business Continuity Planning (BCP) & Disaster Recovery Planning (DRP)

Business Continuity Planning (BCP) & Disaster Recovery Planning (DRP)

Bagaimana melestarikan fungsi penting dari bisnis

dalam menghadapi bencana. 

Review Summary

Tujuan utama BCP:•Kelanjutan proses bisnis penting ketika bencana menghancurkan kemampuan pengolahan data•Persiapan, pengujian dan pemeliharaan tindakan khusus untuk memulihkan proses menjadi normal (BCP)

Bencana – alam, buatan• Kebakaran, banjir, angin topan, tornado, gempa bumi, gunung berapi• Kecelakaan pesawat, vandalisme, terorisme, kerusuhan, sabotase, kehilangan personil, dll• Segala sesuatu yang mengurangi atau menghancurkan kemampuan pengolahan data normal

Bencana dalam definisi bisnis

• Jika merugikan proses bisnis penting, mungkin menjadi bencana• Berbasis definisi waktu - berapa lama

bisnisbisa tahan dalam kondisi sakit?• Probabilitas terjadinya

Tujuan umum BCP- CIA

• Ketersediaan (availability) - fokus utama

• Kerahasiaan (confidentiality) - tetap penting

• Integritas (integrity)- tetap penting

Tujuan BCP

• Membuat, dokumen, pengujian, dan memperbarui rencana yang akan:– Memungkinkan pemulihan tepat waktu

operasi bisnis penting– Meminimalkan kerugian– Memenuhi persyaratan hukum dan

peraturan

Lingkup BCP

• Digunakan hanya untuk pusat data• Sekarang meliputi:

– Operasi terdistribusi– Personil, jaringan, kekuasaan– Semua aspek dari lingkungan TI

Membuat sebuah BCP• Apakah proses yang sedang berjalan,

bukan proyek dengan waktu tertentu– Menciptakan, pengujian, pemeliharaan,

dan memperbarui– "Kritis" fungsi bisnis bisa berkembang

• Tim BCP harus mencakup baik bisnis dan personil TI• Membutuhkan dukungan dari

manajemen senior

Lima fase BCP•Manajemen proyek & inisiasi• Business Impact Analysis (BIA)• Pemulihan strategi• Rencana desain & pengembangan• Pengujian, pemeliharaan, kesadaran, pelatihan

I – Manajemen Proyek& inisiasi

• Membangun kebutuhan (analisis risiko)• Dapatkan dukungan manajemen• Membentuk tim (fungsional, teknis, BCC -

Business Continuity Coordinator)• Membuat rencana kerja (ruang lingkup,

tujuan, metode, waktu)• Laporan Awal ke manajemen• Mendapatkan persetujuan manajemen

untuk melanjutkan

II - Business Impact Analysis (BIA)

• Tujuan: memperoleh persetujuan resmi dengan manajemen senior MTD (maksimum tolerable downtime) untuk setiap sumber daya bisnis dalam waktu-kritis• MTD – waktu molor maksimum yang

dapat ditoleransi, juga dikenal sebagai MAO (Maksimum Allowable Outage)

II - Business Impact Analysis (BIA)

• Mengkuantifikasi kerugian akibat terhentinya proses bisnis (keuangan tambahan, biaya pemulihan, malu)

• Apakah tidak memperkirakan kemungkinan macam insiden, hanya mengkuantifikasi konsekuensi

II - BIA phases • Pilih metode pengumpulan informasi (survei, wawancara, perangkat lunak)• Pilih yang akan diwawancarai• Customize kuesioner•Menganalisis informasi•Mengidentifikasi waktu-kritis fungsi bisnis

II - BIA phases (continued)•Tetapkan MTDS•Rank fungsi bisnis kritis dengan MTDS•Laporan opsi pemulihan•Mendapatkan persetujuan manajemen

III – Strategi Pemulihan•Strategi Pemulihan didasarkan pada MTDS•Predefined•Yang disetujui Manajemen

III – Strategi Pemulihan• Berbeda teknis strategi• Biaya dan manfaat yang berbeda• Bagaimana memilih?• Hati-hati analisis biaya-manfaat• Didorong oleh kebutuhan bisnis

III – Strategi Pemulihan• Strategi harus membahas pemulihan:

–Operasi bisnis–Fasilitas & perlengkapan–Pengguna (pekerja dan pengguna

akhir)– Jaringan, pusat data (teknis)–Data (off-site backup data dan

aplikasi)

III – Strategi Pemulihan

–Teknis Strategi pemulihan - lingkup• Pusat data• Jaringan• Telekomunikasi

III – Strategi Pemulihan

–Teknis Strategi pemulihan - metode• Berlangganan layanan• Perjanjian bantuan timbal balik• Redundant pusat data• Biro jasa

III – Strategi Pemulihan–Teknis Strategi pemulihan - situs

layanan berlangganan• Hot - lengkap• Hangat – hilangnya komponen kunci

• Dingin - mengosongkan pusat data

• Mirror – penuh redundansi • Mobile - trailer penuh komputer

III – Strategi Pemulihan

–Strategi pemulihan Teknis - perjanjian bantuan timbal balik• Saya akan membantu Anda jika Anda akan membantu saya!

• Murah• Biasanya tidak praktis

III – Recovery strategies

–Strategi pemulihan Teknis - pusat pengolahan berlebihan• Mahal• Mungkin tidak cukup kapasitas cadangan untuk operasi kritis

III – Recovery strategies

–Teknis strategi pemulihan layanan biro• Banyak klien berbagi fasilitas• Hampir mahal sebagai situs panas

• Harus menegosiasikan perjanjian dengan klien lain

III – Recovery strategies– Teknis pemulihan strategi-data

• Backup data dan aplikasi• Off-site vs di tempat penyimpanan media• Seberapa cepat bisa data akan dipulihkan?• Berapa banyak data dapat anda kalah?• Keamanan off-situs media backup• Jenis backup (full, incremental, diferensial,

dll)

IV – BCP development / implementation

– Rencana rinci untuk pemulihan• Bisnis & pemulihan rencan

layanan • Pemeliharaan• Kesadaran dan pelatihan• Pengujian

IV – BCP development / implementation– Contoh rencana fase

• Awal penanganan bencana• Penting, Resume ops bisnis• Resume bisnis non-ops• Restorasi (kembali ke situs utama)• Berinteraksi dengan kelompok-kelompok

eksternal (pelanggan, media, responden darurat)

V – BCP final phase– Pengujian– Pemeliharaan– Kesadaran– Pelatihan

V – BCP final phase - testing

– Sampai itu diuji, Anda tidak punya rencana

– Jenis pengujian• Jalan yang Terstruktur • Daftar Periksa• Simulasi• Paralel• Penuh gangguan

V – BCP final phase - maintenance

– Memperbaiki masalah yang ditemukan dalam pengujian

– Menerapkan manajemen perubahan

– Audit dan temuan audit alamat

– Tahunan pengkajian atas rencana

– Membangun rencana ke organisasi

V – BCP final phase - training

– tim BCP mungkin tim DR– pelatihan BCP harus terus-

menerus– pelatihan BCP perlu menjadi

bagian dari-on boarding standar dan bagian dari budaya perusahaan

ReferencesOfficial (ISC)2 Guide to the CISSP Exam