Document 185944

1
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
74% Perusahaan Pernah
Mengalami Bencana yang
Berakibat Gangguan pada
Operasi Bisnis
2
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Apakah perusahaan
pernah mengalami disaster
(gangguan/bencana) yang
mengganggu
beroperasinya bisnis
Tidak
26%
Pernah
Pernah
74%
perusahaan?
Sumber: SHARING VISIONTM, DRP/BCP Survey,
n = 20 (dari 10 perusahaan), Mei-Juni 2009
3
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
74%
Sedikit Perusahaan di Indonesia
Melakukan Risk Assessment
dalam Pengelolaan Bencana
4
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Dalam kaitannya dengan
pengelolaan bencana,
apakah perusahaan
Tidak
47%
pernah melakukan risk
assessment terhadap aset
perusahaan ?
Sumber: SHARING VISIONTM, DRP/BCP Survey,
n = 20 (dari 10 perusahaan), Mei-Juni 2009
5
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Pernah
Pernah
53%
53%
Risk
Assessment
6
of 57
2
Business
Impact
Analysis
3
Mitigasi Risiko
1
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
1
Risk Assessment
Analisis
Kritikal Aset
Analisis
Ancaman
Analisis Risiko
7
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Aset Kritikal (1)
Identifikasi
aset
8
of 57
Identifikasi
nilai dari
aset
Analisis Aset
Kritikal
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Aset Kritikal (2)
Berdasarkan PBI No. 09/15/PBI/2007
Identifikasi
aset
aset TI terbagi menjadi 5 kategori :
•Perangkat Keras
•Perangkat Lunak
•Jaringan Telekomunikasi
•Data/Informasi
•Sumber Daya Manusia
9
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Aset Kritikal (3)
Identifikasi
nilai dari
aset
Nilai –nilai yang dijadikan kriteria adalah :
• Nilai bagi organisasi (Value to Organization)
•Cost to Replace
•Threat likelihood
•Vulnerability
•Maximum Acceptable Outage Time
(MAOT)
10
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Aset Kritikal (4)
Perhitungannya dilakukan dengan
Analisis Aset
Kritikal
menggunakan kategori nilai sebagai
berikut :
• Severity of Threat
• Kategori nilai vulnerability
• Severity of Consequences (skala 0-100)
11
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Contoh Analisis Aset Kritikal - 1
Value
Severity of
Consequence
value x cost x
MAOT
scaled to 100
Ave
rage
(of LxV)
Threat
Average of
Likelihood x
Vulnerability
scaled to 1
Risk
Rating
Severity x
Threat
Risk
Category
12
0.9
72
0.32
0.44
31.89
MEDIUM
4
24
0.9
63
0.32
0.44
27.90
MEDIUM
3
3
24
0.9
54
0.32
0.44
23.91
MEDIUM
ATI005
3
3
24
0.9
54
0.32
0.44
23.91
MEDIUM
5 OPICS Server
ATI016
5
5
2
1
100
0.42
0.57
57.14
HIGH
Primary SKN
6
Server
ATI017
5
5
2
1
100
0.42
0.57
57.14
HIGH
ATI018
5
5
2
1
100
0.42
0.57
57.14
HIGH
8 SID Server
ATI020
4
4
12
0.9
72
0.32
0.44
31.89
MEDIUM
9 SMF Server
ATI021
3
3
24
0.9
54
0.32
0.44
23.91
MEDIUM
10 AIMS Server
ATI022
3
3
150
0.75
45
0.32
0.44
19.93
LOW
11 KYC Server
ATI023
5
5
2
1
100
0.37
0.53
52.86
HIGH
Kode
Asset
Value
to
Org.
Index
Cost to
Change
Index
Assessment
MAOT
1 Proxy Server
ATI001
4
4
2 SMTP Server
ATI003
3
3 RCO Server
ATI004
4 DSM Server
No
7
Asset Name
Secondary SKN
Server
12
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Ancaman
Identifikasi
ancaman
13
of 57
Identifikasi aksi
dari ancaman
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Identifikasi
risiko dari
ancaman
Contoh Register Ancaman
ID RISIKO
KATEGORI RISIKO
RTI004
Kesalahan sistem TI dalam
melakukan pengolahan data.
Sistem Teknologi
Informasi
RTI010
Kehilangan historis data
Sistem Teknologi
Informasi
RTI011
Kehilangan aset
Sistem Teknologi
Informasi
RTI030
Kebocoran data dan informasi
perusahaan.
Keamanan
Informasi
RTI005
Kegagalan penerapan sistem TI.
RTI007
Kegagalan migrasi sistem.
RTI027
Penambahan biaya perawatan.
RTI045
RTI048
14
of 57
RISIKO
Penurunan tingkat kepercayaan
mitra usaha.
Penurunan produktivitas kinerja
karyawan.
Sistem Teknologi
Informasi
Sistem Teknologi
Informasi
Sistem Teknologi
Informasi
Sumber Daya
Manusia
Sumber Daya
Manusia
DESKRIPSI RISIKO
Sistem TI yang digunakan untuk
mengolah data dan informasi mengalami
kesalahan.
Bank tidak dapat melakukan penelusuran
apabila ada kesalahan dalam proses
bisnis yang dilakukan.
Perusahaan kehilangan aset yang dimiliki.
Data dan informasi mengenai
perusahaan diketahui oleh pihak yang
tidak bertanggungjawab.
Penerapan sistem TI dalam perusahaan
mengalami kesalahan.
Migrasi sistem yang dilakukan
mengalami kegagalan.
Biaya perawatan aset yang dilmiliki oleh
perusahaan bertambah.
Tingkat kepercayaan mitra usaha
kepada perusahaan menurun.
Produktivitas kerja karyawan
perusahaan menurun.
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
RISIKO
INHEREN
High
High
High
High
Medium
Medium
Low
Low
Low
Analisis Risiko (1)
Risiko-risiko yang termasuk dalam kategori High Risk
• Kesalahan sistem TI dalam melakukan
pengolahan data
• Kegagalan sistem TI yang mendukung
produk/proses bisnis
• Kehilangan historis data
• Kehilangan aset
15
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Analisis Risiko (2)
Risiko-risiko yang termasuk dalam kategori High Risk
• Kebocoran data dan informasi perusahaan
• Kebocoran data dan informasi nasabah
• Pemadaman listrik
• Kegagalan jaringan komunikasi
• Kerusakan jaringan komunikasi
16
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Contoh Register Risiko
ID
RISIKO
RISIKO
KATEGORI RISIKO
DESKRIPSI RISIKO
Ketidaksesuaian persepsi dan
RTI001 ekspektasi dalam penyusunan
kebutuhan pembuatan sistem TI.
Sistem Teknologi
Informasi
RTI002
Penambahan biaya perawatan.
Sistem Teknologi
Informasi
RTI003
Kehilangan data dan informasi.
Keamanan Informasi
RTI004
Kehilangan integritas data dan
informasi.
Keamanan Informasi
RTI005
Kebakaran
Sumber Daya Tenaga
Kebakaran.
RTI006
Pemadaman listrik
Sumber Daya Tenaga
Pemadaman listrik.
RTI007
Opini publik yang negatif.
Kepatuhan
Opini publik kepada perusahaan yang negatif
karena ada suatu hal yang berakibat buruk
bagi perusahaan.
Medium
RTI008
Sanksi dari pemerintah karena
tidak mematuhi peraturan.
Kepatuhan
Sanksi yang diberikan pemerintah kepada
perusahaan karena tidak mematuhi peraturan
yang berlaku.
Medium
17
of 57
Ketidaksesuaian antara persepsi pembuat
sistem TI dan ekspektasi dari pengguna sistem
TI dalam masa pembuatannya.
Biaya perawatan aset yang dilmiliki oleh
perusahaan bertambah.
Data dan informasi yang dimiliki perusahaan
hilang.
Data dan informasi perusahaan tidak
terintegrasi.
RISIKO
INHEREN
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Medium
Low
Medium
Medium
Medium
High
Matriks Peta Risiko
BENCANA
Kebakaran
Banjir
Petir
Gempa bumi
Tsunami
Asap
Gunung meletus
Pandemik
Chemical or Biological Hazard
Gangguan listrik
Gangguan jaringan komunikasi
Hacker
Cracker
Virus
Kelompok massa
18
of 57
1
x
x
x
x
x
x
x
x
x
x
RISIKO YANG DIAKIBATKAN DARI BENCANA
Keterangan :
2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1 : Kerusakan aset
x x x x x x x
2 : Kerusakan infrastruktur
x x x x x x x
3 : Kerusakan data center
4 : Kerusakan jaringan komunikasi
x x x x x x x
5 : Kecelakaan karyawan
x x x x x x x
6 : Kebakaran
x x x x x x x
7 : Pemadaman aliran listrik
x x
x
x x
8 : Pemadaman pelayanan
x x x x
x x
kepada pelanggan
9 : Penambahan biaya perawatan
x
x
x
10: Kehilangan aset
x
x
x
11: Kehilangan data dan informasi
x x
x x
x x x
12: Kerusakan sistem aplikasi
x
x x x x
13: Kebocoran data & informasi
perusahaan
x x
x x
14:
Kehilangan integritas data &
x
x
x x
informasi
x x x
15: Pencurian data dan informasi
x x x x x x x
x
16: Kegagalan sistem
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
2
19
of 57
Business Impact
Analysis
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kebakaran Data Center
Menyebabkan Portal Pembayaran
Down Selama 12 Jam
20
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kebakaran data center di Seattle’s
Fisher Plaza menyebabkan
Authorize.net (payment portal)
mengalami downtime lebih dari 12
jam.
Ribuan merchant tidak dapat memproses pembayaran
kartu kredit melalui website tersebut.
Sumber: www.datacenterknowledge.com , Juli 2009
21
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Dampak Serangan Security
Pada Perusahaan
PERUSAHAAN KECIL
PERUSAHAAN BESAR
Gangguan bisnis
£ 8,000 - £15,000
Over 1- 2 days
£ 80,000 - £ 130,000
Over 1 – 2 days
Waktu untuk merespon gangguan
£ 600 - £ 1,200
2 – 4 man-days
£ 2,500 - £ 5,000
6-13 man-days
Biaya langsung untuk merespon
gangguan
£ 1,000 - £ 2,000
£ 4,000 - £ 8,000
Kerugian langsung (aset, denda)
£ 500 - £ 1,000
£ 4,000 - £8,000
Rusak reputasi
£ 50 - £ 200
£ 2,000 - £ 15,000
Rata-rata total biaya dari kejadian
terburuk
£ 10,000 - £ 20,000
£ 90,000 - £ 170,000
Sumber: Information security breaches survey 2008; PWC, UK
22
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kasus
perusahaan
UK
Prosedur
Perhitungan
BIA
23
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kategori Dampak Terhentinya
Layanan di Perusahaan (1)
• Efek minor pada organisasi
a. Tidak berdampak pada pelanggan,
b. Perusahaan mengalami sedikit kerugian
c. Namun tidak bedampak pada proses bisnis
24
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kategori Dampak Terhentinya
Layanan di Perusahaan (2)
• Efek moderate pada satu unit
a. Tidak berdampak pada layanan terhadap
pelanggan
b. Membuat kerugian finansial yang medium
c. Dampak yang kecil dalam proses bisnis
25
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kategori Dampak Terhentinya
Layanan di Perusahaan (3)
• Efek moderate pada organisasi/banyak unit
a. Keterlambatan cukup lama dalam menyediakan layanan
bagi pelanggan
b. Moderate delay in critical path, kerugian finansial yang
medium
c. Dampak yang cukup besar pada proses bisnis
26
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kategori Dampak Terhentinya
Layanan di Perusahaan (4)
• Efek catastrophic pada satu unit
a. Perlunya usaha untuk mempertahankan keberadaan
pelanggan
b. Major delay in critical path,
c. Kerugian finansial yang besar
d. Dampak yang besar terhadap proses bisnis yang penting
27
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kategori Dampak Terhentinya
Layanan di Perusahaan (5)
• Efek catastrophic pada seluruh organisasi
a. Kehilangan pelanggan
b. Ketidakmampuan men-deliver proyek
c. Kerugian keuangan dalam jumlah sangat besar
d. Dampak yang sangat besar dalam proses bisnis yang
penting
28
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
MINOR
Kategori Dampak
Terhentinya
Layanan di
Perusahaan (6)
Level 1
Level 2
(effect on a unit)
Level 3
(effect on many
units)
Level 4
(effect on a unit)
Level 5
(effect on many
units)
29
of 57
MODERATE
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
CATASTROPIC
Menentukan Critically Category
Criticality Scale: High (>=60 to 100); Medium (>10 to 60); Low (1 to 10)
30
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Contoh Perhitungan Business
Impact Analysis (1)
Kategori Layanan Back Office
Layanan Payroll Service
Aset (perangkat keras, perangkat
lunak, jaringan dan
Aplikasi HRIS
3
3
4
60
60
80
MAOT
100
100
4
Skala Nilai MAOT
0.1
0.1
0.8
6
6
64
LOW
LOW
HIGH
telekomunikasi )
Dampak Terhentinya Layanan
Severity of Impact if Application
Stop
Overall Rating
Criticality
31
of 57
Cisco Catalyst 3750,
Server Axapta
Nokia Firewall IP520
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Contoh Perhitungan Business
Impact Analysis (2)
Kategori Layanan OPICS
Layanan Reporting Transaction
Aplikasi OPICS,
Cisco Catalyst 3750,
Swift
Nokia Firewall IP520
5
5
4
Stop
100
100
80
MAOT
12
12
4
Skala Nilai MAOT
0.3
0.3
0.8
Overall Rating
30
30
64
MEDIUM
MEDIUM
HIGH
Aset (perangkat keras, perangkat
Server OPICS
lunak, jaringan dan
telekomunikasi )
Dampak Terhentinya Layanan
Severity of Impact if Application
Criticality
32
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Contoh Perhitungan
Business Impact
Analysis (3)
Overall Rating = Severity of Impact if Appl Stop * Skala Nilai MAOT
33
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Vital Record Harus Memperoleh
Prioritas Utama (1)
NAMA DOKUMEN
34
of 57
KODE
DESKRIPSI
Laporan Harian
ATI123
Laporan yang dilakukan untuk transaksi setiap
end of day
Laporan Mingguan
ATI124
Laporan yang dilakukan untuk transaksi setiap
end of week
Laporan Bulanan
ATI125
Laporan yang dilakukan untuk transaksi setiap
end of month
Laporan Tahunan
ATI126
Laporan yang dilakukan untuk transaksi setiap
end of year
Dokumen SOP BTN
ATI127
Dokumen yang mengatur tentang prosedur dan
aturan pelaksanaan operasional BTN
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Vital Record Harus Memperoleh
Prioritas Utama (2)
NAMA DOKUMEN
35
of 57
KODE
DESKRIPSI
Dokumen Security BTN
ATI128
Dokumen yang mengatur kebijakan, kebutuhan
keamanan informasi BTN
Dokumen Struktur Organisasi
Divisi TI BTN
ATI129
Dokumen yang berisi tentang alur kerja secara
struktural dan fungsional Divisi TI BTN
Dokumen Daftar Aset BTN
ATI130
Dokumen yang berisi seluruh aset yang dimiliki
oleh BTN
Dokumen BCP
ATI131
Dokumen yang mengatur rencana-rencana
proses pemulihan jika terjadi suatu bencana
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
3 Mitigasi Resiko
36
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kasus Mitigasi Akibat Bencana
pada Data Center (1)
Data center di Green Bay, Wisconsin
Kasus
mengalami kebakaran, Maret 2008,
menghancurkan 75 server, router, dan
switch.
Diperlukan hingga 10 hari untuk menjadikan web site para
pelanggan kembali online.
37
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kasus Mitigasi Akibat Bencana
pada Data Center (1)
CEO Rick Chernick menyebutkan bahwa
Mitigasi
kedepannya mereka akan:
•
Membuat rencana backup data center agar
kondisi offline tidak berlangsung terlalu lama
•
Mengasuransikan data center dari
kemungkinan bencana serupa
•
Melengkapi peralatan alarm untuk
mengurangi kerusakan yang potensial
38
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kasus Mitigasi Akibat Bencana
pada Data Center (2)
Data center tersebar (geographically dispersed DC)
Multi-DC strategy, sehingga tidak perlu bergantung pada single
DC
Membuat backup power untuk DC
Prosedur pemenuhan ruangan dengan gas untuk menggantikan
Oksigen dan mengacaukan proses pembakaran pada bencana
kebakaran
Fasilitas sprinkler jika dengan gas belum bisa menghentikan
pembakaran
39
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Kasus
Seattle
Data
Center
Risiko yang Ditimbulkan Akibat Bencana
Kerusakan
aset
Kecelakaan
karyawan
Kerusakan
infrastruktur
Kebakaran
Kerusakan
data center
Kerusakan
jaringan
komunikasi
Pemadaman
Aliran Listrik
Pelayanan
kepada
pelanggan
terganggu
Prosedur Mitigasi Akibat/Dampak dari Bencana
40
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kerusakan
dan Kehilangan Aset
41
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko
Kerusakan Infrastruktur
42
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kerusakan
Data Center
43
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kerusakan
Jaringan Komunikasi
Kerjasama tidak hanya dengan
satu vendor jaringan komunikasi
Segera hubungi vendor lainnya bila
jaringan salah satu vendor rusak
Perubahan
vendor jaringan
komunikasi
Mendokumentasikan kerusakan jaringan
komunikasi untuk pertimbangan kerjasama
dengan vendor selanjutnya
Hubungi tim jaringan komunikasi
Konfigurasi
ulang jaringan
komunikasi
yang ada
Melakukan konfigurasi ulang sesuai
prosedur yang ada
• Perawatan jarkom secara rutin
• Membentuk tim jaringan komunikasi
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Maintenance
44
of 57
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kecelakaan
Karyawan & Penambahan Biaya Perawatan
Peningkatan keamanan
kantor
Penanganan
kecelakaan
karyawan
• Bentuk tim keamanan
• Periksa siapa saja yang
memasuki wilayah kantor
• Letakkan CCTV di
beberapa tempat
• Periksa setiap sudut
kantor setiap harinya
Peningkatan keamanan
infrastruktur kantor
Program keselamatan kerja
karyawan
• Bentuk tim keamanan
• Letakkan semua
infrastruktur ditempat
yang aman
• Berikan asuransi jiwa
kepada semua karyawan
• Bekerja sama dengan
perusahaan asuransi jiwa
Asuransi jiwa
karyawan
Penambahan
biaya
perawatan
45
of 57
Alokasikan biaya perawatan
Berikan asuransi
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
karyawan
jiwa or Biological Hazard, Gangguan Listrik,
Petir, Gempa Bumi,untuk
Tsunami,
Asap, Gunung Meletus, Pandemik, Chemical
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
• Training untuk
karyawan
• Buat prosedur semua
kegiatan
• Gunakan peralatan
pengaman
• Bentuk dan latih tim
medis
• Menjaga supply
peralatan kesehatan
• Simpan nomor
kontrak darurat
• Periksa daftar
informasi kontak
darurat dan instruksi
P3K
• Sosialisasi P3K
• Karyawan dilarang
melakukan hal-hal
berbahaya didalam
kantor
Prosedur Mitigasi Risiko Kebakaran
Pembuatan
dan
sosialisasi
prosedur
penanganan
saat terjadi
kebakaran
46
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko
Pemadaman Aliran Listrik
Pengadaan genset
pada data center
Pengadaan UPS
untuk menjaga
cadangan daya
komputer
47
of 57
• Menyiapkan beberapa UPS
pada komputer terutama
komputer-komputer yang
digunakan untuk layanan• Siapkan beberapa
layanan penting
genset pada data center
• Melakukan pengecekan
• Cek genset secara rutin
UPS secara rutin
• Letakkan genset di lokasi
• UPS diletakkan di lokasi
yang aman
yang aman
• Siapkan genset
• Menyiapkan UPS cadangan
cadangan
Strategi
Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Gangguan
pada Pelayanan Pelanggan
• Perbaikan kinerja karyawan
• Memberikan training kepada karyawan
• Melakukan survey terhadap kinerja karyawan
• Membuat sarana bagi
pelanggan untuk
menyampaikan kritik
Strategi Sebelum Bencana
(1) :bagi
(a) Risk Assessment,
(b) Business Impact,
(c) Mitigasi Risiko: (Kebakaran,
danBanjir,
saran
• Memberikan
hadiah
yang kinerjanya
baik
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
• Melakukan penilaian kinerja karyawan mulai
dari pertama kali bekerja
48
of 57
• Melakukan survey
terhadap keluhankeluhan pelanggan
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko Kehilangan,
Kebocoran, Pencurian & Kehilangan
Integritas Data & Informasi:
49
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
PENINGKATAN
PENGAMANAN
SISTEM
PENYUSUNAN PROSEDUR
PENGAMANAN
INFORMASI
• Baca petunjuk
pemasangan
• Dipasang oleh ahlinya
• Tambahkan beberapa
fitur pengamanan
tambahan
• Lengkapi dengan
deteksi gangguan
keamanan jaringan
• Buat dokumen
prosedur sesuai
peraturan
• Komunikasikan
prosedur pada semua
pihak yang
berkepentingan
• Lakukan update
prosedur pengamanan
informasi
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
• Batasi pengakses data
dan informasi,
dokumentasikan pihak
yang memiliki hak akses
• Membuat password
• Membuat prosedur
untuk akses informasi
• Berikan sangsi pada
pelanggar
50
of 57
PEMASANGAN
FILEWALL PADA
SISTEM
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Prosedur Mitigasi Risiko
Kegagalan Sistem
51
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
PENINGKATAN
PENGAMANAN PADA
SISTEM
PEMASANGAN
FIREWALL PADA
SISTEM
• Lakukan training
• Baca petunjuk
kepada karyawan
pemasangan
• Lakukan survey
• Dipasang oleh ahlinya
terhadap kinerja
• Tambahkan beberapa
karyawan
fitur pengamanan
• Beri penilaian
terhadap kinerja
tambahan
karyawan
• Lengkapi dengan deteksi
gangguan keamanan
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus,jaringan
Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
•Batasi hak akses pada
sistem
•Membuat password
pada setiap sistem
•Membuat prosedur
untuk mengakses
sistem
52
of 57
PERBAIKAN
KINERJA
KARYAWAN
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Matrix Tim Penanggung Jawab
RISIKO YANG DIAKIBATKAN
Kerusakan asets
Kerusakan infrastruktur
Kerusakan data center
Kerusakan jaringan komunikasi
Kecelakaan karyawan
Kebakaran
Pemadaman aliran listrik
Gangguan pelayanan kepada
pelanggan
Penambahan biaya perawatan
Kehilangan aset
Kehilangan data & informasi
Kerusakan sistem aplikasi
Kebocoran data & informasi
perusahaan
Kehilangan integritas data &
informasi
Pencurian data & informasi
Kegagalan sistem
53
of 57
PIHAK YANG BERTANGGUNG JAWAB
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Keterangan :
x x x x x
1 : Tim IT Risk Management & DRP
x
x x x
2 : Tim Infrastruktur IT
x
x
3 : Tim Perangkat lunak & basis data
x x
4 : Tim Monitoring &
x x x
Support
x
x x
5
:
Tim Manajemen Aset
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
6
7
8
9
10
11
12
13
14
15
16
17
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
: Tim Perencana IT
: Tim Infrastruktur
: Tim Security
: Tim Kebijakan TI
: Tim Helpdesk
: Tim Data Processing
: Tim QA
: Tim Inovasi
: Tim Monitoring & Support
: Tim arsitektur informasi
: Tim data warehouse
: Tim pengembangan aplikasi
Penutup (1)
Strategi yang dilakukan sebelum bencana
dimulai dengan meng-asses aset
perusahaan, kemungkinan terjadinya
bencana beserta risiko dan dampaknya
54
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Penutup (2)
Kelengkapan assesment & ketepatan
perhitungan dampak bisnis akan menentukan
efektifitas strategi penanggulangan bencana &
business continuity, termasuk biaya & waktu
yang akan digunakan.
55
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Penutup (3)
STRATEGI SEBELUM BENCANA
STRATEGI SAAT BENCANA
STRATEGI SETELAH BENCANA
Emergency Response
Evakuasi
Pengobatan Darurat
Penyelamatan Aset
Aktivasi DRC
Back Up
Recovery Box
•
•
•
•
•
•
56
of 57
• Kajian Kerusakan
Paska Bencana
• Pemulihan Paska
Bencana
• Implementasi
Disaster Recovery
Plan
Pemulihan Sumber Daya Komunikasi
Pemulihan Processing System
Pemulihan Data
Pemilihan Lokasi Alternatif
Pengadaan Barang dalam Keadaan Darurat
Penggunaan Asuransi
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)
Merci bien
Arigatoo
Matur Nuwun
Hatur Nuhun
Matur se Kelangkong
Syukron
Kheili Mamnun
Danke
Terima Kasih
57
of 57
Strategi Sebelum Bencana (1) : (a) Risk Assessment, (b) Business Impact, (c) Mitigasi Risiko: (Kebakaran, Banjir,
Petir, Gempa Bumi, Tsunami, Asap, Gunung Meletus, Pandemik, Chemical or Biological Hazard, Gangguan Listrik,
Gangguan Komunikasi, Hacker, Cracker, Virus, Kelompok Massa dan lain-lain)