Julia Carolina Daud - ITS Institutional...
Transcript of Julia Carolina Daud - ITS Institutional...
Julia Carolina Daud
PEMBUATAN DISASTER RECOVERY PLAN(DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DIPUSAT DATA DAN JARINGAN BTSI)
OUTLINE
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
BAB IPENDAHULUAN
BAB IIDASAR TEORI
BAB III METODE
PENGERJAAN TA
OUTLINE
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
BAB IV HASIL PENCARIAN
DATA DANMANAJEMEN RISIKO
BAB VPEMBUATAN
DOKUMEN DRP
BAB VIKESIMPULAN DAN
SARAN
BAB I PENDAHULUAN
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Permasalahan
Bagaimana melakukan manajemen risiko untuk mengetahui ancaman, kerentanan dan dampak
akibat suatu kejadian.
Bagaimana cara melakukan pemulihan bencana ketika terdapat kejadian dalam waktu yang singkat namun seluruh infrastruktur aman.
Bagaimana membuat dokumentasi DRP berdasarkanhasil framework ISO/IEC 24762: 2008 di Pusat Data
dan Jaringan BTSI Institut Teknologi SepuluhNopember Surabaya
Tujuan
Untuk Mengetahui dampak risiko yang
mempengaruhi proses bisnis
Menghasilkan dokumen DRP beserta pedoman, aktifitas, prosedur serta
formulir untuk BTSI dengan menggunakan ISO/IEC
24762: 2008 yang berfungsi untuk memberikan arahan
dan pedoman dalam melakukan pemulihan
bencana.
Batasan Masalah
1. Manajemen risiko menggunakan NIST (National Institute of Standards and Technology)
2. Pembuatan dokumen yang dilakukan menggunakan framework standard internasional ISO/IEC 24762: 2008
3. Pembuatan tugas akhir ini hanya mencakup mengenai bencana alam, buatan manusia dan bencana akibat lingkungan yang menyerang TI yang ada di Pusat Data dan Jaringan BTSI
4. Proses pengerjaan dokumentasi pada bidang TI ITS yang tugas pokok dan fungsinya dilaksanakan oleh BTSI
5. Batasan pengerjaan hanya di lingkup Pusat Data dan Jaringan 6. Penilaian resiko dilakukan secara kualitatif
DASAR TEORI
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Manajemen Risikodengan Menggunakan
NIST
Karakterisasi Sistem
Identifikasi Ancaman
Identifikasi Kerentanan
Penentuan Kemungkinan
Analisa Dampak
Disaster Disaster Recovery Plan (DRP)
ISO/IEC 24762: 2008
METODE PENGERJAAN TUGAS AKHIR
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
PERUMUSAN MASALAH
1. Mencari permasalahan yang ada pada Pusat Data dan Jaringan BTSI ITS
2. Merumuskan masalahan yang sudah terdaftar
KELUARAN
Daftar permasalahan yang akan diangkat menjadi sumber pengerjaan tugas akhir
Menetapkan tujuan yang merupakan jawaban dari permasalahan yang telah teridentifikasi
KELUARAN
Daftar tujuan yang ingin dicapai dengan pengerjaan tugas akhir ini
PENETAPAN TUJUAN
Sumber rujukan informasi dari berbagaisumber terkait tentang Disaster Recovery Plan (DRP)
STUDI LITERATUR KELUARAN
Referensi sumber sebagai pembanding DRP
VERIFIKASI DATA
Menentukan bahwa model bekerja danberjalan dengan benar sesuai denganlangkah-langkah yang dilakukan.
KELUARAN
Data telah terverifikasi dan dapat dilakukan penilaian risiko
Menilai risiko, mengetahui kerentanan, kelemahan suatu sistem, menentukan dampak berdasarkan NIST
KELUARAN
Daftar risiko, peluang, dampak serta aset.
MANAJEMEN RISIKO
Penbuatan dokumen DRP sesuai dengan ISO 24762 : 2008
PENYUSUNAN DOKUMEN DRP KELUARAN
Draft berisi kumpulan-kumpulan daftar apa saja yang harus ada dalam sebuah buku pedoman DRP serta kumpulan data yang sesuai dengan kondisi terkini
Penbuatan dokumen DRP sesuai dengan ISO 24762 : 2008
PENYUSUNAN BUKU TUGAS AKHIR KELUARAN
Dokumen DRP sesuai standar ISO/IEC 24762: 2008 yang mampu menjadi guideline dalam melakukanpemulihan akibat bencana.
PENGUMPULAN DATA DANMANAJEMEN RISIKO
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Studi Kasus BTSI
Badan Teknologi Sistem Informasi
Pusat Pengelolaan dan
Layanan TI
Pusat Pengembangan
Sistem Informasi
Pusat Data dan Pelaporan
Subbagian Jaringan dan
Sistem Informasi
Proses Bisnis
1. Penyediaan informasi dan layanan publik2. Menampung berbagai macam layanan utama seperti Email, DNS, Website, dan
Streaming3. Menampung server-server yang dimiliki oleh jurusan-jurusan atau unit-unit di
lingkungan ITS. 4. Mengelola sistem dan infrastruktur jaringan ITS (melakukan troubleshooting)5. Mengelola kelistrikan yang mendukung infrastruktur Pusat Data dan Jaringan
yaitu antara lain genset, UPS dan lain sebagainya6. Menghubungi vendor apabila terdapat kerusakan pada hardware yang tidak
dapat ditangani oleh tim internal7. Menjamin keamanan Sistem Informasi8. Pelayanan dan Perawatan untuk server-server ITS yang berada di bawah
tanggung jawab divisi
Manajemen Risiko
Penilaian Risiko
Karakterisasi Sistem
Daftar Sistem TI
Daftar Personal TI
Identifikasi ancaman dan Gangguan
Identifikasi Kerentanan
Penilaian Risiko
Risiko Teridentifikasi
Risiko karena kebakaranRisiko kerusakan akibat air
Risiko gempa bumiRisiko akibat kesalahan user
Risiko sabotase oleh karyawanRisiko akibat virus
Risiko karena terjadinya hackingRisiko karena adanya pencurian
Risiko penyalahgunaan hak akses untuk kepentingan pribadiRisiko kegagalan telekomunikasi dan jaringan
Risiko kegagalan hardware dan softwareRisiko kegagalan proses back up
Risiko kegagalan aplikasi softwareRisiko kegagalan recovery backup data
Risiko karena tegangan listrik tidak stabil
Dampak Bisnis
Daftar Proses Bisnis Keterangan Ketergantungan
Penyediaan informasi dan layanan publik Untuk mengetahui mengenai infor terbarudari ITS
Dapat berjalan jika proses bisnis terganggu
Menampung berbagai macam layananutama seperti Email, DNS, Website, danStreaming
Seluruh domain yang menggunakan domainits.ac.id merupakan proses bisnis utama.seperti FRS Online dan autentifikasi emailjika ingin menggunakan internet.
Sangat Tergantung
Menampung server-server yang dimiliki olehjurusan-jurusan atau unit-unit di lingkunganITS.
Jika terjadi bencana pada ITSnet, makaproses bisnis pihak-pihak yang meletakkanserver di ITSnet akan terganggu. Contoh:Akses DIGILIB
Sangat Tergantung
Mengelola kelistrikan yang mendukunginfrastruktur Pusat Data dan Jaringan yaituantara lain genset, UPS dan lain sebagainya
Jika terjadi bencana pada ITSnet, makaproses bisnis seluruh pihak, baik itu prosesbisnis ITSnet sendiri maupun pihak-pihakterkait akan terganggu dan menyebabkandampak yang vital karena dapatmengakibatkan lumpuhnya proses bisnis
Sangat Tergantung
Mengelola kelistrikan yang mendukunginfrastruktur Pusat Data dan Jaringan yaituantara lain genset, UPS dan lain sebagainya
Jika terjadi bencana pada ITSnet, makaproses bisnis seluruh pihak, baik itu prosesbisnis ITSnet sendiri maupun pihak-pihakterkait akan terganggu dan menyebabkandampak yang vital karena dapatmengakibatkan lumpuhnya proses bisnis
Sangat Tergantung
Dampak Bisnis (Cont’d)
Daftar Proses Bisnis Keterangan Ketergantungan
Menjamin keamanan Sistem Informasi Kemanan sistem informasi merupakan halyang sangat penting untuk menunjangkerahasiaan, kepercayaan dan ketersediaandata
Sangat Tergantung
Pelayanan dan Perawatan untuk server-server ITS yang berada di bawah tanggungjawab divisi ITSnet.
Pelayanan dan perawatan server merupakankunci sukses dari jalannya proses bisnis. Jikapelayanan tidak dilakukan maka pihakITSnet akan kehilangan kepercayaan, danjika perawatan server tidak dilakukan makadapat mengakibatkan kerusakan pada server
Sangat tergantung
Keterangan :•Sangat tergantung:Proses bisnis hanya bisa berjalan jika jaringan menuju server masing – masing proses binisterhubung.•Tergantung :Jika jaringan menuju server masing – masing proses bisnis terputus, masih bisamenggunakan jaringan ke server lain. Misalnya jaringan internet untuk akses internet, makamasih bisa menggunakan jaringa intranet untuk mengakses website.•Tidak tergantung :proses bisnis bisa berjalan walaupun proses bisnis Pusat Data dan Jaringan terputus.
Kontrol yang ada di BTSIRisiko Kontrol Keterangan
Risiko karena kebakaran Prosedur Operasi Baku AlatPemadam Kebakaran (APAR),Checklist pemeliharaan APAR
Tertulis
Risiko kerusakan akibat air Belum ada control Tidak Tertulis
Risiko gempa bumi Belum ada kontrol Tidak tertulis
Risiko akibat kesalahan user Belum ada kontrol Tidak tertulis
Risiko sabotase oleh karyawan Kebijakan Open Recruitment persemester, Prosedur Recruitment,Standar Spesifikasi Minimaluntuk SDM serta MahasiswaMagang, Prosedur Operasi BakuPelatihan SDM
Sebagian tertulis dan sebagiantidak tertulis
Risiko serangan virus Belum ada kontrol Tidak tertulis
Risiko karena terjadinya hacking Belum ada kontrol Tidak tertulis
Risiko karena adanya pencurian Belum ada kontrol Tidak tertulis
Risiko penyalahgunaan hak aksesuntuk kepentingan pribadi
Kebijakan Open Recruitment persemester, Prosedur Recruitment,Standar Spesifikasi Minimaluntuk SDM serta MahasiswaMagang, Prosedur Operasi BakuPelatihan SDM
Sebagian tertulis dan sebagiantidak tertulis
Kontrol yang ada di BTSI (cont’d)
Risiko kegagalantelekomunikasi dan jaringan
Terdapapat bisnis prosesdiagram prosedurperawatan/ monitoringjaringan
Tertulis
Risiko kegagalan hardwaredan software
Belum ada kontrol Tidak tertulis
Risiko kegagalan proses backup
Adanya Prosedur Backupdengan Redundance HardDisk
Tidak tertulis
Risiko kegagalan aplikasisoftware
Belum ada kontrol Tidak tertulis
Risiko kegagalan recoverybackup data
Sistem MonitoringInfrastruktur
Bentuk kontrol berupaaplikasi monitoring, namuntidak ada dokumentasiprosedur tertulis
Risiko karena tegangan listriktidak stabil
Prosedur OperasiUniteruptible Power Supply(UPS), Checklistpemeliharaan UPS
Tertulis
PEMBUATAN DOKUMEN DRP
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Langkah-langkah pembuatan DRP
Pembuatan dokumenberdasarkan ISO 24762: 2008
Panduan Dokumen Disaster Recovery Plan
Kebijakan berdasarkan klausulyang ada di ISO/IEC 24762
Prosedur Kegiatan
Formulir berdasarkan kebijakan
KESIMPULAN DAN SARAN
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008
Kesimpulan
• Berdasarkan pencarian data yang telah dilakukan dalam tugas akhir ini, maka dapatdisimpulkan bahwa:
• Disaster Recovery Plan merupakan salah satu aspek penting dalam mendukung keberlangsungan bisnis setelah terjadinya bencana, untuk mempertahakan semua pihak yang terlibat pada bisnis tersebut termasuk konsumen dan pelaku bisnis itu sendiri.
• Penyusunan DRP memerlukan studi awal untuk menentukan DRP yang paling optimal yang sesuai dengan kemampuan dan kebutuhan organisasi, serta manfaat yang diharapkan oleh organisasi dari DRP tersebut. Tingginya biaya dan usaha yang harus dilakukan oleh organisasi dalam penyusunan dan penerapan DRP membuat organisasi menghadapi kendala yang tidak ringan dan perlu penetapan skala prioritas yang tepat, sesuai dengan strategi bisnis dan kemampuan organisasi.
• Studi kasus pada infrastruktur Pusat Data dan Jaringan menghasilkan beberapa temuan yang kontradiktif yaitu tingginya tingkat kebergantungan para pengguna terhadap layanan jaringan komputer tetapi rendahnya tingkat pengetahuan pengguna dalam pengamanan data dari bencana. Pihak pengelola jaringan komputer Institut juga tidak memiliki rencana dan mekanisme yang jelas untuk menghadapi bencana, khususnya yang terkait dengan bencana skala kecil pada jaringan komputer seperti serangan virus, serangan hacker, kegagalan hardware atau gangguan infrastruktur seperti terputusnya listrik, kebakaran dan lain-lain
Saran
- Perlu dilakukan penelitian kembali pada bagian BTSI yang lain terkait pembuatan DRP, mengingat Teknologi dan Komunikasi
memiliki potensi risiko yang besar
- Pembuatan DRP tidak berhenti begitu saja setelah DRP telahdibuat. Harus dilakukan evaluasi dan perbaikan rencana DRP secara kontinu. Harus diadakan perubahan pada DRP. Begitu
juga setelah sebuah bencana terjadi, harus dilakukan evaluasi, apakah DRP telah memenuhi harapan organisasi untuk pulih
dari bencana yang menimpa.