BCP Dan DRP Di Indonesia Sesi4

Sesi 4 Testing, Auditing, Training, and Maintaining g, g, g, g

Your Business Continuity and Disaster Recovery Planningand Disaster Recovery Planning

B i C i i d Di R Business Continuity and Disaster Recovery Framework

Risk Assessment Business Impact Analysis Strategy Plan

ProceduresTestingAudit Testing

Training MaintenanceTraining Maintenance

Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning2 of 37

Frekuensi Pengujian

Pengujian DRP harus dilakukan pada setiap interval tertentu

Frequency of testing BCP by industry group

Pengujian DRP harus dilakukan pada setiap interval tertentu(minimal sekali dalam setahun atau jika terjadi perubahan yang signifikan)

Frequency of testing BCP by industry group

• Financial Services (FS)• Consumer & Industrial Market (CIM)• Infrastructure & Government (I&G)• Information, Communication, and Entertainment (ICE)

• Energy & Natural Resources (ENR)

KPMG’s Asia-Pacific BCM Benchmarking SurveyNovember 2003


Strategi dalam Pengujian

T i l

Pengujian diperlukan untuk mendapatkan sebuah kombinasi strategi dari elemen – elemen berikut :

Trial : Memastikan bahwa semua komponen (resources) dapatme-generate hasil seperti yang diharapkan dan prosedur yangdigunakan adalah prosedur yang efisien

Training : Memastikan bahwa personil yang ditunjukuntuk bertanggung jawab terhadap proses pemulihan telahmemahami dan siap untuk melakukan tugasnyamemahami dan siap untuk melakukan tugasnya

Exercise : Melatih implementasi DRP denganmenggabungkan semua komponen, prosedur danpersonil yang berkaitan dengan upaya pemulihan


Tipe Pengujian

Orientation/walk-through

Tabletop/Mini-drill

F ti l T tiFunctional Testing

Full-scale ExerciseFull scale Exercise


Orientation/Walk-Through

Tujuan utama : memastikan bahwa personil utama dari seluruh bagian telahmengenal BCP dan DRP dengan baik

Diskusi interaktif

K l k

Untuk individual dan tim

Karakteristik

Kelompok kecil

Fokus :

Mengutamakan pengetahuan

dibanding ketrampilan“team building”

Tid k d bili i

dibanding ketrampilan

Menitikberatkan pada l Tidak ada mobilisasi

resourceselemen perencanaan

kritis


Tabletop Mini-Drill

Fokus pada demonstrasi

Melakukan percobaandalam bermacam-macamkondisiFokus pada demonstrasi

Mobilisasibeberapa anggota

kondisi

Sistempengontrolan yang Melakukan tugas

d i l ibeberapa anggotaTim Pemulihan

p g y gbaik

Evaluasi performansi

dengan simulasi

Melakukan praktekEvaluasi performansidan kemampuan dan validasi

kemampuan responfungsional tertentu


Functional Testing

Karakteristik

Demonstrasi kemampuan Memberikan respon ke lokasialternatif (aktual maupun simulasi)

Mobilisasi personil dan sumber daya ke beberapa lokasi berbeda

Mencoba berbagai macamkondisi, bentuk notifikasi danmobilisasi sumber daya daya ke beberapa lokasi berbeda

Adanya pengontrol, evaluator dan pengamat Evaluasi performasi individu & tim

Melibatkan pihak-pihak yang terkait dengan penanggulangank di i d t ( i lk t d k b k )

evaluator dan pengamat

kondisi darurat (misalkan petugas pemadam kebakaran)


Full-Scale Exercise

Metode paling komprehensif

Menguji seluruh bagian DRPKarakteristik

Menguji seluruh bagian DRP

Adanya sistem kontrol

Demonstrasi pengetahuandan ketrampilan yangdimiliki

Melibatkan semua elemen

Teliti

y

Pada lokasi/fasilitas sesungguhnya

Validasi tindakan

dimilikise ua e e e

Keterlibatan dan interaksi manajemen

Evaluasi performansi

sesungguhnyatindakan

Dibutuhkannya koordinasi lapangan

jinternal dan eksternal

Mobilisasi semua Evaluasi performansi perusahaan secara keseluruhan

koordinasi lapangan dan “aturan bermain”elemen Tim Pemulihan


Evaluasi Tes dan Pengujian

Sebuah pengujian yang sukses adalah pengujian yang memunculkan masalah

Evaluasi dilaksanakan dalam satu sampai tigaminggu setelah pengujianminggu setelah pengujian

Evaluasi masukan :

Pembahasan kehandalanPembahasan kehandalan

Pembelajaran Dokumen

Mengukur kemampuan personele gu u e a pua pe so e

Mengukur kecukupan perangkat

Identifikasi kekurangan pada DRP




ProceduresTestingAuditAudit

Training MaintenanceTraining Maintenance


Auditing Disaster Management Standards

ISO 27001

COBIT

NFPA 1600

Internal Framework

NFPA 1600

Internal FrameworkCase :

Sharing VisionTM DRP/DRC I l A diInternal Audit


Standar 1 – ISO 27001

Security PolicyPolicy

Human

Organization Of

InformationSecurity

Asset Management

dHuman

ResourcesSecurity

Physical &Environmental

Communications& Operations

Standar Kebijakan

DRP

Access Control

Security

InformationSystems

Management

Business

InformationSecurityIncident

ManagementD i ISO

Compliance

Systems Acquisition,

Development &Maintenance

Business Continuity

Management

Domain ISO 27001


Standar 1 – ISO 27001 Business Continuity ManagementBusiness Continuity Management

Menyusun proses manajemen continuity 1y p j y

Membangun proses manajemen continuity perusahaan 2

Melakukan analisis ancaman dan analisis pengaruh

M b k B i C ti it Pl h

3

4Mengembangkan Business Continuity Plan perusahaan

Memelihara framework plan continuity

4

5

Menguji dan meng-update plan manajemen continuity 6


St d N ti l Fi P t ti A i ti Standar 2 – National Fire Protection Association (NFPA) 1600 (USA)

Mengembangkan strategi untuk mencegah peristiwa yang

Prevention

mengancam people, properti, dan lingkunganMenentukan tindakan

jangka pendek danj k j k Memiliki sebuah

Mitigation Preparedness

jangka panjang untukmengurangi risiko danmenggunakan teknik– teknik informasi

Memiliki sebuah sistem untuk memonitor bahaya yang teridentifikasi

Response Recovery

teknik informasidan intelligence untukmempertahankantindakan – tindakan

b

y gdan mengadaptasinya untuk mengubah tingkat risiko

tsb

Sistem dan peralatan perlindungan dapat digunakan untuk mengurangi akibat suatu

*NFPA 1600: a Disaster Management Emergency bencana*NFPA 1600: a Disaster Management, Emergency Management, and Business Continuity Standard


Standar 3 – CoBIT

• CoBIT (Control Objectives for Information and related Technology) is a framework for Information Technology (IT) security and internal controls.

• One of the control objectives within CoBIT deals with the topic f b i i i of business continuity.

Planning and Organisationg gAcquisition & ImplementationDelivery & SupportMonitorMonitor


St d C BIT Standar 3 – CoBIT Disaster Management

DS1 define and manage service levelsDS2 manage third-party servicesDS3 manage performance and capacity

DS4 ensure continuous serviceDS5 ensure systems securityDS6 identify and allocate costsDS7 educate and train users

1. IT Continuity Framework2. IT Continuity Plan Strategy and DS7 educate and train users

DS8 assist and advise customersDS9 manage the configurationDS10 manage problems and incidents

y gyPhilosophy

3. IT Continuity Plan Contents4. Minimising IT Continuity Requirements5. Maintaining the IT Continuity Plang p

DS11 manage dataDS12 manage facilitiesDS 13 manage operations

5. Maintaining the IT Continuity Plan6. Testing the IT Continuity Plan7. IT Continuity Plan Training8. IT Continuity Plan Distribution9 User Department Alternative Processing 9. User Department Alternative Processing

Back-up Procedures10.Critical IT Resources11. Back-up Site and Hardware12 Off site Back up Storage

*CoBIT: Control Objectives for Information d l d h l 12.Off-site Back-up Storage

13.Wrap-up Proceduresand related Technology


Internal Framework

ProcessProcess PeoplePeopleAwarenessKelengkapan DRP

OrganisasiPengujian

TechnologyTechnologySite Assessment

Security

ScalabilitySHARING VISION SHARING VISION TMTM

Scalability


L k h l k h A dit / R i Langkah-langkah Audit / Review Kelengkapan Framework DRP/BCP

Field Assessment InterviewDocument

Assessment

BenchmarkGap Analysis

Best Practice Gap Analysis

Reporting Recommendation


Assessment

Assessment RiskAssessment

p yBenchmark

Gap AnalysisBest Practice

Apakah perusahaan pernah melakukan identifikasi terhadap:

hAset perusahaanAncaman yang dihadapi perusahaan R ik t t k bResiko aset terkena bencanaOperasi/proses bisnis yang berlangsung di perusahaanDampak jika proses bisnis terkena bencanaDampak jika proses bisnis terkena bencana

secara keseluruhan?


Assessment

Assessment BIAAssessment

p yBenchmark


Apakah pernah melakukan assessment/penilaianseluruh aset dan operasi/proses bisnis yang seluruh aset dan operasi/proses bisnis yang

berlangsung di perusahaan?

Apakah penilaian dilakukan secara periodik?

k h d i d k l j h d h il il iApakah ada tindak lanjut terhadap hasil penilaian?

Apakah orang yang melakukan assessment

(penilaian) aset perusahaan dan analisis dampak bisnis (penilaian) aset perusahaan dan analisis dampak bisnis

benar-benar menguasai bidang tersebut?


Assessment

Assessment Strategi (1)Assessment

p yBenchmark


Apakah perusahaan memiliki strategi berkaitan dengan:

Media backup

Metode backupMetode backup

Periode backup

Penyimpanan backupy p p

Pengujian backup

Penanggung jawab backup

Lokasi pengalihan/lokasi pemulihan

Alternatif sistem telekomunikasi

Alternatif sumber energi perusahaanAlternatif sumber energi perusahaan


Assessment

Assessment Strategi (2)Assessment

p yBenchmark


Apakah strategi yang terpilih adalah hasil assessmentsehingga merupakan strategi yang paling optimal bagiperusahaan?

k O hiAngka MAOT terpenuhi

Memiliki resiko paling kecil

Dampak bisnis paling minimalDampak bisnis paling minimal

Spesifikasi sesuai dengan kondisi perusahaan

Tingkat availability tinggi

Apakah saat ini perusahaan telah merealisasikan strategitersebut?

g y gg


Assessment

Assessment Prosedur (1)Assessment

p yBenchmark


Struktur Organisasi:

Apakah perusahaan memiliki struktur organisasi yang khusus

menangani penanggulangan bencana yang memiliki deskripsi kerja

dan alur tanggung jawab yang jelas?

Apakah setiap anggota tim telah ditunjuk dengan tepat sesuai

kapabilitas masing-masing?

Apakah setiap anggota tim telah memahami tugas dan tanggung jawab

masing-masing (baik ketika tidak terjadi bencana maupun saat

bencana dan pasca bencana)?


Assessment

Assessment Prosedur (2)Assessment

p yBenchmark


Prosedur:

Apakah perusahaan memiliki prosedur pra-bencana, saat terjadi bencana

dan setelah bencana?dan setelah bencana?

Apakah prosedur mudah dipahami?

Apakah prosedur sudah tersosialisasi?

Apakah prosedur mudah dilaksanakan (tidak berbelit-belit)?

Apakah sudah pernah dilakukan pengujian terhadap prosedur tersebut?


Assessment

Assessment PengujianAssessment

p yBenchmark


Apakah perusahaan sudah pernah melakukan pengujian terhadap DRP?p p p p g j p

Apakah pengujian telah dilakukan untuk semua bagian DRP?

Apakah pengujian dilaksanakan secara reguler?

Apakah perusahaan pernah melakukan pengujian dengan mensimulasikan bencana yang sesungguhnya?

Apakah pengujian melibatkan seluruh tim pemulihan dan seluruhkomponen perusahaan?

Apakah pengujian berjalan sesuai dengan yang telah direncanakan?Apakah pengujian berjalan sesuai dengan yang telah direncanakan?

Apakah perusahaan telah memiliki rencana pengujian DRP untuk jangka panjang?p j g


Assessment

Assessment Evaluasi PengujianAssessment

p yBenchmark


Evaluasi Hasil PengujianEvaluasi Hasil Pengujian

Apakah pengujian yang dilakukan mencapai tujuan yang telah p p g j y g p j y gditetapkan?

Apakah ada evaluasi terhadap hasil pengujian yang telah dilakukan?

Ketika dalam pengujian ditemukan hal-hal yang tidak sesuai dengan kondisi perusahaan, apakah akan mempengaruhi DRP?

Jika terjadi perubahan pada dokumen DRP apakah dilakukan pengujian kembali?


Assessment

Gap AnalysisAssessment

BenchmarkGap Analysis

Best Practice

Analisa gapAnalisa gap(Current Vs

Target)

0 1 2 3 4 5Non-existent Initial Repeatable Defined OptimisedManaged

Management’sTarget Goal

Penjelasan Simbol yang Digunakan

Penjelasan Ranking yang Digunakan

0 - Plan tidak dibuat sama sekali

Status perusahaan terbaru

Rata-rata Industri

0 - Plan tidak dibuat sama sekali

1 - Plan bersifat ad-hoc dan tidak diorganisir

2 - Plan mengikuti pola reguler

3 - Plan didokumentasikan dan dibicarakan

Target perusahaan

3

4 - Plan dimonitor dan diukur

5 - Plan yang bagus diikuti


Reporting and Recommendation

Reporting Recommendation

Komponen T R k d iLevel Prioritas RekomendasiKomponen

Evaluasi Temuan RekomendasiRendah Sedang Tinggi

• Tidak memiliki prosedurdan kebijakan backup dan

• Menyusunprosedur dan √

Audit Prosedur

dan kebijakan backup danrecovery

pkebijakan backup dan recovery

√

• Belum dibuatnya • Menyusun manajemen √manajemen keterlanjutan

bisnis

manajemen keberlanjutan bisnis

√




ProceduresTestingAudit

Training MaintenanceTrainingTraining MaintenanceTraining


Pelatihan

Initial Training

• Identifikasi kemampuan

• Identifikasi kebutuhan pengalamanPerancangan pelatihan :

Peserta PelatihanPeserta PelatihanMetode PelatihanWaktuObserver/pengamat

Refresher Training/p g

• Diadakan secara reguler

• Rotasi agar mendapatkan pengalaman yang sama

• il i h d h il l ih• Penilaian terhadap hasil pelatihan

• Jika terjadi perubahan besar pada DRP, pelatihan tambahan lebih baikdiadakan secepatnya daripada menunggu sesi reguler selanjutnyadiadakan secepatnya daripada menunggu sesi reguler selanjutnya




ProceduresTestingAudit

Training MaintenanceMaintenanceTraining MaintenanceMaintenance


Maintain The Business Continuity Plan

Menerapkan prosedur kontrol perubahan untuk memperbaharui BCP

Menetapkan tanggung jawab untuk maintenance pada setiap bagian BCP

Menguji semua perubahan pada BCP

Menunjuk penanggung jawab perubahan training BCP


Faktor-Faktor Yang Mempengaruhi Perubahan BCP

Perubahan prosedurPerubahan fisik/ fasilitas

Perubahan teknologi

Perubahan struktur organisasi

Perubahan teknologi

Perubahan requirement recovery

Perubahan personilMasalah pengujian


Maintenance Frequency

TerjadwalTerjadwalContoh :

• Prosedur recovery diperbaharui minimum dalam basis satu tahunan

• Daftar telepon dan inventaris diperbaharui i k ltiap kuartal

Tidak Terjadwal

Contoh :Perubahan besar pada perusahaan

Tidak Terjadwal

Perubahan besar pada perusahaan, operasional bisnis, proses, fungsi, konfigurasi hardware, jaringan, dll.


Penutup

Kunci kesuksesan terdelivery-nya BCP dan DRP apabilaterjadi bencana adalah kelengkapan dokumen, j g p ,ketersediaan resource, dan awareness pada setiapperson di semua lini dalam perusahaan baik tim pemulihanbencana top eksekutif manager maupun staf

Testing, auditing, training, dan maintaining harusdi d k l h h i dik t k

bencana, top eksekutif, manager maupun staf.

diagendakan oleh perusahaan secara periodik untukmenjaga agar BCP dan DRP telah dipahami sepenuhnya olehsemua komponen perusahaan.

BCP dan DRP yang tidak pernah diujicobakan akanmenjadi tumpukan dokumen belaka. menjadi tumpukan dokumen belaka.


Merci bienArigatooArigatoo

Matur NuwunHatur Nuhun

Matur se Kelangkong

SyukronKheili Mamnun

DankeDankeTerima Kasih

BCP Dan DRP Di Indonesia Sesi4

Documents

Transcript of BCP Dan DRP Di Indonesia Sesi4