1 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) 74% Perusahaan Pernah Mengalami Bencana yang Berakibat Gangguan pada Operasi Bisnis 2 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Apakah perusahaan pernah mengalami disaster (gangguan/bencana) yang mengganggu beroperasinya bisnis Tidak 26% Pernah Pernah 74% perusahaan? Sumber: SHARING VISIONTM, DRP/BCP Survey, n = 20 (dari 10 perusahaan), Mei-Juni 2009 3 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) 74% Sedikit Perusahaan di Indonesia Melakukan Risk Assessment dalam Pengelolaan Bencana 4 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Dalam kaitannya dengan pengelolaan bencana, apakah perusahaan Tidak 47% pernah melakukan risk assessment terhadap aset perusahaan ? Sumber: SHARING VISIONTM, DRP/BCP Survey, n = 20 (dari 10 perusahaan), Mei-Juni 2009 5 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Pernah Pernah 53% 53% Risk Assessment 6 of 57 2 Business Impact Analysis 3 Mitigasi Risiko 1 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) 1 Risk Assessment Analisis Kritikal Aset Analisis Ancaman Analisis Risiko 7 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Analisis Aset Kritikal (1) Identifikasi aset 8 of 57 Identifikasi nilai dari aset Analisis Aset Kritikal Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Analisis Aset Kritikal (2) Berdasarkan PBI No. 09/15/PBI/2007 Identifikasi aset aset TI terbagi menjadi 5 kategori : •Perangkat Keras •Perangkat Lunak •Jaringan Telekomunikasi •Data/Informasi •Sumber Daya Manusia 9 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Analisis Aset Kritikal (3) Identifikasi nilai dari aset Nilai –nilai yang dijadikan kriteria adalah : • Nilai bagi organisasi (Value to Organization) •Cost to Replace •Threat likelihood •Vulnerability •Maximum Acceptable Outage Time (MAOT) 10 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Analisis Aset Kritikal (4) Perhitungannya dilakukan dengan Analisis Aset Kritikal menggunakan kategori nilai sebagai berikut : • Severity of Threat • Kategori nilai vulnerability • Severity of Consequences (skala 0-100) 11 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Contoh Analisis Aset Kritikal - 1 Value Severity of Consequence value x cost x MAOT scaled to 100 Ave rage (of LxV) Threat Average of Likelihood x Vulnerability scaled to 1 Risk Rating Severity x Threat Risk Category 12 0.9 72 0.32 0.44 31.89 MEDIUM 4 24 0.9 63 0.32 0.44 27.90 MEDIUM 3 3 24 0.9 54 0.32 0.44 23.91 MEDIUM ATI005 3 3 24 0.9 54 0.32 0.44 23.91 MEDIUM 5 OPICS Server ATI016 5 5 2 1 100 0.42 0.57 57.14 HIGH Primary SKN 6 Server ATI017 5 5 2 1 100 0.42 0.57 57.14 HIGH ATI018 5 5 2 1 100 0.42 0.57 57.14 HIGH 8 SID Server ATI020 4 4 12 0.9 72 0.32 0.44 31.89 MEDIUM 9 SMF Server ATI021 3 3 24 0.9 54 0.32 0.44 23.91 MEDIUM 10 AIMS Server ATI022 3 3 150 0.75 45 0.32 0.44 19.93 LOW 11 KYC Server ATI023 5 5 2 1 100 0.37 0.53 52.86 HIGH Kode Asset Value to Org. Index Cost to Change Index Assessment MAOT 1 Proxy Server ATI001 4 4 2 SMTP Server ATI003 3 3 RCO Server ATI004 4 DSM Server No 7 Asset Name Secondary SKN Server 12 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Analisis Ancaman Identifikasi ancaman 13 of 57 Identifikasi aksi dari ancaman Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Identifikasi risiko dari ancaman Contoh Register Ancaman ID RISIKO KATEGORI RISIKO RTI004 Kesalahan sistem TI dalam melakukan pengolahan data. Sistem Teknologi Informasi RTI010 Kehilangan historis data Sistem Teknologi Informasi RTI011 Kehilangan aset Sistem Teknologi Informasi RTI030 Kebocoran data dan informasi perusahaan. Keamanan Informasi RTI005 Kegagalan penerapan sistem TI. RTI007 Kegagalan migrasi sistem. RTI027 Penambahan biaya perawatan. RTI045 RTI048 14 of 57 RISIKO Penurunan tingkat kepercayaan mitra usaha. Penurunan produktivitas kinerja karyawan. Sistem Teknologi Informasi Sistem Teknologi Informasi Sistem Teknologi Informasi Sumber Daya Manusia Sumber Daya Manusia DESKRIPSI RISIKO Sistem TI yang digunakan untuk mengolah data dan informasi mengalami kesalahan. Bank tidak dapat melakukan penelusuran apabila ada kesalahan dalam proses bisnis yang dilakukan. Perusahaan kehilangan aset yang dimiliki. Data dan informasi mengenai perusahaan diketahui oleh pihak yang tidak bertanggungjawab. Penerapan sistem TI dalam perusahaan mengalami kesalahan. Migrasi sistem yang dilakukan mengalami kegagalan. Biaya perawatan aset yang dilmiliki oleh perusahaan bertambah. Tingkat kepercayaan mitra usaha kepada perusahaan menurun. Produktivitas kerja karyawan perusahaan menurun. Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) RISIKO INHEREN High High High High Medium Medium Low Low Low Analisis Risiko (1) Risiko-risiko yang termasuk dalam kategori High Risk • Kesalahan sistem TI dalam melakukan pengolahan data • Kegagalan sistem TI yang mendukung produk/proses bisnis • Kehilangan historis data • Kehilangan aset 15 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Analisis Risiko (2) Risiko-risiko yang termasuk dalam kategori High Risk • Kebocoran data dan informasi perusahaan • Kebocoran data dan informasi nasabah • Pemadaman listrik • Kegagalan jaringan komunikasi • Kerusakan jaringan komunikasi 16 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Contoh Register Risiko ID RISIKO RISIKO KATEGORI RISIKO DESKRIPSI RISIKO Ketidaksesuaian persepsi dan RTI001 ekspektasi dalam penyusunan kebutuhan pembuatan sistem TI. Sistem Teknologi Informasi RTI002 Penambahan biaya perawatan. Sistem Teknologi Informasi RTI003 Kehilangan data dan informasi. Keamanan Informasi RTI004 Kehilangan integritas data dan informasi. Keamanan Informasi RTI005 Kebakaran Sumber Daya Tenaga Kebakaran. RTI006 Pemadaman listrik Sumber Daya Tenaga Pemadaman listrik. RTI007 Opini publik yang negatif. Kepatuhan Opini publik kepada perusahaan yang negatif karena ada suatu hal yang berakibat buruk bagi perusahaan. Medium RTI008 Sanksi dari pemerintah karena tidak mematuhi peraturan. Kepatuhan Sanksi yang diberikan pemerintah kepada perusahaan karena tidak mematuhi peraturan yang berlaku. Medium 17 of 57 Ketidaksesuaian antara persepsi pembuat sistem TI dan ekspektasi dari pengguna sistem TI dalam masa pembuatannya. Biaya perawatan aset yang dilmiliki oleh perusahaan bertambah. Data dan informasi yang dimiliki perusahaan hilang. Data dan informasi perusahaan tidak terintegrasi. RISIKO INHEREN Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Medium Low Medium Medium Medium High Matriks Peta Risiko BENCANA Kebakaran Banjir Petir Gempa bumi Tsunami Asap Gunung meletus Pandemik Chemical or Biological Hazard Gangguan listrik Gangguan jaringan komunikasi Hacker Cracker Virus Kelompok massa 18 of 57 1 x x x x x x x x x x RISIKO YANG DIAKIBATKAN DARI BENCANA Keterangan : 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 1 : Kerusakan aset x x x x x x x 2 : Kerusakan infrastruktur x x x x x x x 3 : Kerusakan data center 4 : Kerusakan jaringan komunikasi x x x x x x x 5 : Kecelakaan karyawan x x x x x x x 6 : Kebakaran x x x x x x x 7 : Pemadaman aliran listrik x x x x x 8 : Pemadaman pelayanan x x x x x x kepada pelanggan 9 : Penambahan biaya perawatan x x x 10: Kehilangan aset x x x 11: Kehilangan data dan informasi x x x x x x x 12: Kerusakan sistem aplikasi x x x x x 13: Kebocoran data & informasi perusahaan x x x x 14: Kehilangan integritas data & x x x x informasi x x x 15: Pencurian data dan informasi x x x x x x x x 16: Kegagalan sistem Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) 2 19 of 57 Business Impact Analysis Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kebakaran Data Center Menyebabkan Portal Pembayaran Down Selama 12 Jam 20 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kebakaran data center di Seattle’s Fisher Plaza menyebabkan Authorize.net (payment portal) mengalami downtime lebih dari 12 jam. Ribuan merchant tidak dapat memproses pembayaran kartu kredit melalui website tersebut. Sumber: www.datacenterknowledge.com , Juli 2009 21 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Dampak Serangan Security Pada Perusahaan PERUSAHAAN KECIL PERUSAHAAN BESAR Gangguan bisnis £ 8,000 - £15,000 Over 1- 2 days £ 80,000 - £ 130,000 Over 1 – 2 days Waktu untuk merespon gangguan £ 600 - £ 1,200 2 – 4 man-days £ 2,500 - £ 5,000 6-13 man-days Biaya langsung untuk merespon gangguan £ 1,000 - £ 2,000 £ 4,000 - £ 8,000 Kerugian langsung (aset, denda) £ 500 - £ 1,000 £ 4,000 - £8,000 Rusak reputasi £ 50 - £ 200 £ 2,000 - £ 15,000 Rata-rata total biaya dari kejadian terburuk £ 10,000 - £ 20,000 £ 90,000 - £ 170,000 Sumber: Information security breaches survey 2008; PWC, UK 22 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kasus perusahaan UK Prosedur Perhitungan BIA 23 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kategori Dampak Terhentinya Layanan di Perusahaan (1) • Efek minor pada organisasi a. Tidak berdampak pada pelanggan, b. Perusahaan mengalami sedikit kerugian c. Namun tidak bedampak pada proses bisnis 24 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kategori Dampak Terhentinya Layanan di Perusahaan (2) • Efek moderate pada satu unit a. Tidak berdampak pada layanan terhadap pelanggan b. Membuat kerugian finansial yang medium c. Dampak yang kecil dalam proses bisnis 25 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kategori Dampak Terhentinya Layanan di Perusahaan (3) • Efek moderate pada organisasi/banyak unit a. Keterlambatan cukup lama dalam menyediakan layanan bagi pelanggan b. Moderate delay in critical path, kerugian finansial yang medium c. Dampak yang cukup besar pada proses bisnis 26 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kategori Dampak Terhentinya Layanan di Perusahaan (4) • Efek catastrophic pada satu unit a. Perlunya usaha untuk mempertahankan keberadaan pelanggan b. Major delay in critical path, c. Kerugian finansial yang besar d. Dampak yang besar terhadap proses bisnis yang penting 27 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kategori Dampak Terhentinya Layanan di Perusahaan (5) • Efek catastrophic pada seluruh organisasi a. Kehilangan pelanggan b. Ketidakmampuan men-deliver proyek c. Kerugian keuangan dalam jumlah sangat besar d. Dampak yang sangat besar dalam proses bisnis yang penting 28 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) MINOR Kategori Dampak Terhentinya Layanan di Perusahaan (6) Level 1 Level 2 (effect on a unit) Level 3 (effect on many units) Level 4 (effect on a unit) Level 5 (effect on many units) 29 of 57 MODERATE Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) CATASTROPIC Menentukan Critically Category Criticality Scale: High (>=60 to 100); Medium (>10 to 60); Low (1 to 10) 30 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Contoh Perhitungan Business Impact Analysis (1) Kategori Layanan Back Office Layanan Payroll Service Aset (perangkat keras, perangkat lunak, jaringan dan Aplikasi HRIS 3 3 4 60 60 80 MAOT 100 100 4 Skala Nilai MAOT 0.1 0.1 0.8 6 6 64 LOW LOW HIGH telekomunikasi ) Dampak Terhentinya Layanan Severity of Impact if Application Stop Overall Rating Criticality 31 of 57 Cisco Catalyst 3750, Server Axapta Nokia Firewall IP520 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Contoh Perhitungan Business Impact Analysis (2) Kategori Layanan OPICS Layanan Reporting Transaction Aplikasi OPICS, Cisco Catalyst 3750, Swift Nokia Firewall IP520 5 5 4 Stop 100 100 80 MAOT 12 12 4 Skala Nilai MAOT 0.3 0.3 0.8 Overall Rating 30 30 64 MEDIUM MEDIUM HIGH Aset (perangkat keras, perangkat Server OPICS lunak, jaringan dan telekomunikasi ) Dampak Terhentinya Layanan Severity of Impact if Application Criticality 32 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Contoh Perhitungan Business Impact Analysis (3) Overall Rating = Severity of Impact if Appl Stop * Skala Nilai MAOT 33 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Vital Record Harus Memperoleh Prioritas Utama (1) NAMA DOKUMEN 34 of 57 KODE DESKRIPSI Laporan Harian ATI123 Laporan yang dilakukan untuk transaksi setiap end of day Laporan Mingguan ATI124 Laporan yang dilakukan untuk transaksi setiap end of week Laporan Bulanan ATI125 Laporan yang dilakukan untuk transaksi setiap end of month Laporan Tahunan ATI126 Laporan yang dilakukan untuk transaksi setiap end of year Dokumen SOP BTN ATI127 Dokumen yang mengatur tentang prosedur dan aturan pelaksanaan operasional BTN Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Vital Record Harus Memperoleh Prioritas Utama (2) NAMA DOKUMEN 35 of 57 KODE DESKRIPSI Dokumen Security BTN ATI128 Dokumen yang mengatur kebijakan, kebutuhan keamanan informasi BTN Dokumen Struktur Organisasi Divisi TI BTN ATI129 Dokumen yang berisi tentang alur kerja secara struktural dan fungsional Divisi TI BTN Dokumen Daftar Aset BTN ATI130 Dokumen yang berisi seluruh aset yang dimiliki oleh BTN Dokumen BCP ATI131 Dokumen yang mengatur rencana-rencana proses pemulihan jika terjadi suatu bencana Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) 3 Mitigasi Resiko 36 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kasus Mitigasi Akibat Bencana pada Data Center (1) Data center di Green Bay, Wisconsin Kasus mengalami kebakaran, Maret 2008, menghancurkan 75 server, router, dan switch. Diperlukan hingga 10 hari untuk menjadikan web site para pelanggan kembali online. 37 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kasus Mitigasi Akibat Bencana pada Data Center (1) CEO Rick Chernick menyebutkan bahwa Mitigasi kedepannya mereka akan: • Membuat rencana backup data center agar kondisi offline tidak berlangsung terlalu lama • Mengasuransikan data center dari kemungkinan bencana serupa • Melengkapi peralatan alarm untuk mengurangi kerusakan yang potensial 38 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kasus Mitigasi Akibat Bencana pada Data Center (2) Data center tersebar (geographically dispersed DC) Multi-DC strategy, sehingga tidak perlu bergantung pada single DC Membuat backup power untuk DC Prosedur pemenuhan ruangan dengan gas untuk menggantikan Oksigen dan mengacaukan proses pembakaran pada bencana kebakaran Fasilitas sprinkler jika dengan gas belum bisa menghentikan pembakaran 39 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Kasus Seattle Data Center Risiko yang Ditimbulkan Akibat Bencana Kerusakan aset Kecelakaan karyawan Kerusakan infrastruktur Kebakaran Kerusakan data center Kerusakan jaringan komunikasi Pemadaman Aliran Listrik Pelayanan kepada pelanggan terganggu Prosedur Mitigasi Akibat/Dampak dari Bencana 40 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Prosedur Mitigasi Risiko Kerusakan dan Kehilangan Aset 41 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Prosedur Mitigasi Risiko Kerusakan Infrastruktur 42 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Prosedur Mitigasi Risiko Kerusakan Data Center 43 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Prosedur Mitigasi Risiko Kerusakan Jaringan Komunikasi Kerjasama tidak hanya dengan satu vendor jaringan komunikasi Segera hubungi vendor lainnya bila jaringan salah satu vendor rusak Perubahan vendor jaringan komunikasi Mendokumentasikan kerusakan jaringan komunikasi untuk pertimbangan kerjasama dengan vendor selanjutnya Hubungi tim jaringan komunikasi Konfigurasi ulang jaringan komunikasi yang ada Melakukan konfigurasi ulang sesuai prosedur yang ada • Perawatan jarkom secara rutin • Membentuk tim jaringan komunikasi Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Maintenance 44 of 57 Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Prosedur Mitigasi Risiko Kecelakaan Karyawan & Penambahan Biaya Perawatan Peningkatan keamanan kantor Penanganan kecelakaan karyawan • Bentuk tim keamanan • Periksa siapa saja yang memasuki wilayah kantor • Letakkan CCTV di beberapa tempat • Periksa setiap sudut kantor setiap harinya Peningkatan keamanan infrastruktur kantor Program keselamatan kerja karyawan • Bentuk tim keamanan • Letakkan semua infrastruktur ditempat yang aman • Berikan asuransi jiwa kepada semua karyawan • Bekerja sama dengan perusahaan asuransi jiwa Asuransi jiwa karyawan Penambahan biaya perawatan 45 of 57 Alokasikan biaya perawatan Berikan asuransi Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, karyawan jiwa or Biological Hazard, Gangguan Listrik, Petir, Gempa Bumi,untuk Tsunami, Asap, Gunung Meletus, Pandemik, Chemical Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) • Training untuk karyawan • Buat prosedur semua kegiatan • Gunakan peralatan pengaman • Bentuk dan latih tim medis • Menjaga supply peralatan kesehatan • Simpan nomor kontrak darurat • Periksa daftar informasi kontak darurat dan instruksi P3K • Sosialisasi P3K • Karyawan dilarang melakukan hal-hal berbahaya didalam kantor Prosedur Mitigasi Risiko Kebakaran Pembuatan dan sosialisasi prosedur penanganan saat terjadi kebakaran 46 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Prosedur Mitigasi Risiko Pemadaman Aliran Listrik Pengadaan genset pada data center Pengadaan UPS untuk menjaga cadangan daya komputer 47 of 57 • Menyiapkan beberapa UPS pada komputer terutama komputer-komputer yang digunakan untuk layanan• Siapkan beberapa layanan penting genset pada data center • Melakukan pengecekan • Cek genset secara rutin UPS secara rutin • Letakkan genset di lokasi • UPS diletakkan di lokasi yang aman yang aman • Siapkan genset • Menyiapkan UPS cadangan cadangan Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Prosedur Mitigasi Risiko Gangguan pada Pelayanan Pelanggan • Perbaikan kinerja karyawan • Memberikan training kepada karyawan • Melakukan survey terhadap kinerja karyawan • Membuat sarana bagi pelanggan untuk menyampaikan kritik Strategi Sebelum Bencana (1) :bagi (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, danBanjir, saran • Memberikan hadiah yang kinerjanya baik Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, • Melakukan penilaian kinerja karyawan mulai dari pertama kali bekerja 48 of 57 • Melakukan survey terhadap keluhankeluhan pelanggan Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Prosedur Mitigasi Risiko Kehilangan, Kebocoran, Pencurian & Kehilangan Integritas Data & Informasi: 49 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) PENINGKATAN PENGAMANAN SISTEM PENYUSUNAN PROSEDUR PENGAMANAN INFORMASI • Baca petunjuk pemasangan • Dipasang oleh ahlinya • Tambahkan beberapa fitur pengamanan tambahan • Lengkapi dengan deteksi gangguan keamanan jaringan • Buat dokumen prosedur sesuai peraturan • Komunikasikan prosedur pada semua pihak yang berkepentingan • Lakukan update prosedur pengamanan informasi Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, • Batasi pengakses data dan informasi, dokumentasikan pihak yang memiliki hak akses • Membuat password • Membuat prosedur untuk akses informasi • Berikan sangsi pada pelanggar 50 of 57 PEMASANGAN FILEWALL PADA SISTEM Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Prosedur Mitigasi Risiko Kegagalan Sistem 51 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) PENINGKATAN PENGAMANAN PADA SISTEM PEMASANGAN FIREWALL PADA SISTEM • Lakukan training • Baca petunjuk kepada karyawan pemasangan • Lakukan survey • Dipasang oleh ahlinya terhadap kinerja • Tambahkan beberapa karyawan fitur pengamanan • Beri penilaian terhadap kinerja tambahan karyawan • Lengkapi dengan deteksi gangguan keamanan Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus,jaringan Pandemik, Chemical or Biological Hazard, Gangguan Listrik, •Batasi hak akses pada sistem •Membuat password pada setiap sistem •Membuat prosedur untuk mengakses sistem 52 of 57 PERBAIKAN KINERJA KARYAWAN Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Matrix Tim Penanggung Jawab RISIKO YANG DIAKIBATKAN Kerusakan asets Kerusakan infrastruktur Kerusakan data center Kerusakan jaringan komunikasi Kecelakaan karyawan Kebakaran Pemadaman aliran listrik Gangguan pelayanan kepada pelanggan Penambahan biaya perawatan Kehilangan aset Kehilangan data & informasi Kerusakan sistem aplikasi Kebocoran data & informasi perusahaan Kehilangan integritas data & informasi Pencurian data & informasi Kegagalan sistem 53 of 57 PIHAK YANG BERTANGGUNG JAWAB 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 Keterangan : x x x x x 1 : Tim IT Risk Management & DRP x x x x 2 : Tim Infrastruktur IT x x 3 : Tim Perangkat lunak & basis data x x 4 : Tim Monitoring & x x x Support x x x 5 : Tim Manajemen Aset x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x 6 7 8 9 10 11 12 13 14 15 16 17 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) : Tim Perencana IT : Tim Infrastruktur : Tim Security : Tim Kebijakan TI : Tim Helpdesk : Tim Data Processing : Tim QA : Tim Inovasi : Tim Monitoring & Support : Tim arsitektur informasi : Tim data warehouse : Tim pengembangan aplikasi Penutup (1) Strategi yang dilakukan sebelum bencana dimulai dengan meng-asses aset perusahaan, kemungkinan terjadinya bencana beserta risiko dan dampaknya 54 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Penutup (2) Kelengkapan assesment & ketepatan perhitungan dampak bisnis akan menentukan efektifitas strategi penanggulangan bencana & business continuity, termasuk biaya & waktu yang akan digunakan. 55 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Penutup (3) STRATEGI SEBELUM BENCANA STRATEGI SAAT BENCANA STRATEGI SETELAH BENCANA Emergency Response Evakuasi Pengobatan Darurat Penyelamatan Aset Aktivasi DRC Back Up Recovery Box • • • • • • 56 of 57 • Kajian Kerusakan Paska Bencana • Pemulihan Paska Bencana • Implementasi Disaster Recovery Plan Pemulihan Sumber Daya Komunikasi Pemulihan Processing System Pemulihan Data Pemilihan Lokasi Alternatif Pengadaan Barang dalam Keadaan Darurat Penggunaan Asuransi Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain) Merci bien Arigatoo Matur Nuwun Hatur Nuhun Matur se Kelangkong Syukron Kheili Mamnun Danke Terima Kasih 57 of 57 Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir, Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik, Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
© Copyright 2024