bab 2 landasan teori - library.binus.ac.idlibrary.binus.ac.id/ecolls/ethesisdoc/bab2/tsa-2016-0035...
Post on 02-May-2018
239 Views
Preview:
TRANSCRIPT
8
BAB 2
LANDASAN TEORI
Didalam sebuah perusahaan, menjaga keberlangsungan proses bisnis yang
merupakan core bisnis perusahaan adalah sesuatu yang wajib. Bab ini akan
difokuskan pada landasan teori yang digunakan dalam perancangan business
continuity plan serta disaster recovery plan yang sesuai dengan kebutuhan Qeon
Interactive.
2.1. Definisi Bencana
Menurut (S. Arie Priambodo, 2009) bencana adalah suatu kejadian alam,
buatan manusia, atau perpaduan antara keduanya yang terjadi secara tiba-tiba
sehingga menimbulkan dampak negatif yang dahsyat bagi kelangsungan
kehidupan. Dalam kejadian bencana tersebut, unsur yang terkait langsung atau
terpengaruh harus merespons dengan melakukan tindakan perbaikan guna
menyesuaikan sekaligus memulihkan kondisi seperti semula atau menjadi lebih
baik.
Menurut (Barnes, 2001) bencana dalam hubungannya dengan disaster
recovery plan adalah segala sesuatu yang mengganggu berjalannya proses bisnis
sehingga menghambat suatu perusahaan dalam menjalankan fungsinya. Bencana
umumnya dianggap melumpuhkan jika bencana tersebut meniadakan salah satu
atau lebih sumber daya berikut: sumber daya manusia, fasilitas, komunikasi,
daya, serta akses informasi. Dalam hal ini metode perencanaan business
continuity plan sangat tepat diberlakukan.
9
Gambar 2.1: Statistik Bencana Indonesia 2015 (www.bpnb.go.id)
2.1.1. Klasifikasi Bencana
Menurut (Snedaker, 2007), kriteria ancaman dibagi kepada 4 tipe
ancaman, diantaranya adalah:
1. Natural/Environtmental Threats
Merupakan ancaman yang disebabkan oleh bencana alam, atau
gangguan yang terjadi secara natural. Contoh ancamannya antara
lain adalah, fire; flood; storm; earthquake; pandemic.
2. Human-caused Threats
Merupakan ancaman yang disebabkan oleh ulah manusia. Contoh
ancamannya adalah theft, sabotage, vandalism; labor disputes;
terrorism; civil unrest.
3. Infrastructure Threats
Merupakan ancaman yang disebabkan adanya kerusakan ataupun
gangguan dari segi infrastruktur perusahaan. Contoh ancamannya
10
adalah building specific failure; non-IT equipment failure;
heating/cooling failure; electricity failure.
4. IT-Specific Threats
Merupakan ancaman yang disebabkan oleh sistem teknologi
informasi. Contoh ancamannya antara lain cyber threat; virus,
worm, malware; system failure.
Sedangkan menurut (S. Arie Priambodo, 2009), bencana dapat
dikelompokkan menjadi dua, yaitu: bencana alam, dan bencana non-
alamiah. Klasifikasi ini akan dijabarkan dengan lebih jelas sebagai
berikut:
1. Bencana alam (natural disaster)
a. Bencana alam endogen
Bencana alam endogen disebabkan oleh gaya-gaya yang
berasal dari bagian dalam bumi, atau yang juga dikenal dengan
sebutan gaya endogen (geologis). Yang termasuk dalam bencana
alam endogen adalah gempa bumi, letusan gunung berapi, dan
tsunami.
b. Bencana alam eksogen
Bencana alam eksogen merupakan bencana alam yang
disebabkan oleh faktor angin dan hujan (klimatologis). Contoh
bencana alam eksogen adalah banjir, badai, angin puting beliung,
kekeringan, dan kebakaran alami hutan.
11
c. Bencana alam ekstra-terestrial
Bencana alam ekstra-terestrial adalah bencana alam yang
terjadi di luar angkasa, contoh: hantaman meteor. Benda-benda
langit yang terjatuh mengenai permukaan bumi akan
menimbulkan pengaruh yang cukup besar pada kondisi bumi.
d. Bencana environmental
Bencana environmental adalah bencana yang disebabkan
oleh perubahan kondisi lingkungan sehingga menyulitkan
pengerjaan hal – hal yang sebelumnya dapat dilakukan. Bencana
jenis ini mencakup pencemaran lingkungan (air, udara, tanah,
suara), dan penyebaran wabah penyakit (epidemi).
2. Bencana non-alamiah (unnatural disaster)
a. Bencana sosial
Bencana yang disebabkan oleh ketidakstabilan kondisi
sosial masyarakat di suatu tempat pada suatu waktu. Bencana
social mencakup peperangan, kerusuhan, aksi anarki, pemogokan
pegawai, konflik budaya, dan lain sebagainya.
b. Bencana teknikal (technical failure disaster)
Bencana yang berkaitan dengan malfungsi teknologi.
Bencana jenis ini mencakup kerusakan data, sistem informasi, alat
dan perlengkapan, dan lain-lain.
c. Bencana antropogenikal
Selain dari berbagai macam bencana yang sudah
dijabarkan sebelumnya, bencana juga dapat disebabkan oleh
12
faktor manusia, baik secara sengaja maupun tidak. Bencana jenis
ini sangat beragam dan dapat dikatakan lebih kerap terjadi
dibandingkan dengan jenis bencana lainnya. Contoh bencana
karena manusia misalnya, ancaman bom, cyber attack,
penghapusan data secara tidak sengaja, pencurian, dan lain
sebagainya.
2.1.2. Dampak Bencana
Menurut (Wallace & Webber, 2004) bencana dapat dibedakan
berdasarkan tingkatan risikonya. Tingkatan risiko ini dikenal sebagai
The Five Layer of Risk, yang didefinisikan sebagai berikut:
a. Layer 1: External Risks
Dampak bencana yang timbul tidak hanya mempengaruhi
fasilitas, aset, dan lokasi organisasi tetapi juga lingkungan
sekitar organisasi. Umumnya disebabkan karena bencana alam,
seperti banjir, gempa, dan lain sebagainya.
b. Layer 2: Facility Wide Risks
Dampak bencana yang timbul hanya mempengaruhi
organisasi saja secara lokal. Umumnya disebabkan karena tidak
tersedianya utilitas dasar yang diperlukan oleh organisasi
tersebut, seperti listrik, jaringan telepon, dan lainnya.
c. Layer 3: Data System Risks
Dampak bencana yang timbul mempengaruhi ketersediaan
dan integritas dari data dan sistem informasi yang digunakan
13
oleh organisasi tersebut. Umumnya disebabkan karena faktor
kerusakan atau intrusi pada sistem keamanan jaringan/data yang
digunakan.
d. Layer 4: Departemental Risks
Dampak bencana yang timbul hanya mempengaruhi satu
atau beberapa bagian dari organisasi, sehingga organisasi hanya
mengalami dampak tidak langsung, seperti tidak tetapi juga
lingkungan sekitar organisasi. Umumnya disebabkan karena
bencana sosial seperti, demonstrasi karyawan di suatu
cabang/departemen, dan lain sebagainya.
e. Layer 5: Desk Risks
Dampak bencana yang timbul hanya mempengaruhi
tingkat individu/personel, tidak mempengaruhi organisasi secara
langsung maupun besar. Contoh bencana dengan risiko ini
antara lain: terhapusnya berkas di komputer pekerja,
mengakibatkan pekerjaannya tidak dapat selesai tepat waktu.
2.1.3. Sistem Tanggap Bencana
Menurut (S. Arie Priambodo, 2009) sistem tanggap bencana
berfungsi sebagai panduan tindakan dalam menghadapi bencana. Sistem
tanggap bencana meliputi 4 tahap, yaitu:
1. Mitigation: Pengurangan – Pencegahan
Mitigation atau Mitigasi merupakan tahapan atau langkah
memperingan risiko yang ditimbulkan oleh bencana. Dalam
14
mitigasi terdapat dua bagian penting yakni pengurangan dan
pencegahan terjadinya bencana.
2. Preparedness: Perencanaan – Persiapan
Merupakan kesiapsiagaan dalam menghadapi terjadinya
bencana. Ada dua bagian penting dalam kesiapsiagaan, yakni
adanya perencanaan yang matang dan persiapan yang
memadai sehubungan dengan tingkat risiko bencana.
3. Response: Penyelamatan – Pertolongan
Merupakan tindakan tanggap bencana yang meliputi dua
unsur terpenting, yakni tindakan penyelamatan dan
pertolongan. Pertama-tama tindakan tanggap bencana tersebut
ditujukan untuk menyelamatkan dan menolong jiwa manusia
baik secara personal, kelompok maupun masyarakat secara
keseluruhan. Kedua, ditujukan untuk menyelamatkan harta
benda yang berhubungan dengan keberlangsungan hidup
usaha personal, kelompok maupun masyarakat selanjutnya.
4. Recovery: Pemulihan – Pengawasan
Merupakan tahap atau langkah pemulihan sehubungan dengan
kerusakan atau akibat yang ditimbulkan oleh bencana. Dalam
tahap ini terdapat dua bagian, yakni pemulihan dan
pengawasan yang ditujukan untuk memulihkan keadaan ke
kondisi semula – atau setidak-tidaknya menyesuaikan kondisi
pascabencana – guna keberlangsungan hidup dan usaha
selanjutnya.
15
Keempat tahapan di atas saling terkait dan tidak terpisahkan satu
sama lain, dengan tidak menutup kemungkinan adanya tambahan yang
disesuaikan dengan kebutuhan.
2.2. Business Continuity Plan dan Disaster Recovery
Plan
Metode business continuity plan (BCP) dan disaster recovery plan
(DRP), diperlukan untuk mendukung sistem tanggap bencana. Domain dari BCP
dan DRP semuanya adalah mengenai bisnis, domain ini berasumsi bahwa
kejadian terburuk telah terjadi. BCP berfungsi untuk melakukan pembuatan,
perencanaan dan frame-work untuk menjamin bahwa proses bisnis dapat terus
berlanjut dalam keadaan emergensi. Sedangkan DRP mengarah kepada
pemulihan yang cepat dari keadaan emergensi atau bencana, sehingga hanya
mengakibatkan dampak minimum bagi perusahaan.
BCP dan DRP adalah dua hal yang sangat penting didalam proses bisnis,
namun jarang menjadi prioritas karena adanya alasan memerlukan biaya yang
sangat mahal dan sulit penerapannya. Apalagi bencana adalah hal yang umumnya
diyakini karena faktor alam yang tak dapat diprediksi dan tak dapat dicegah atau
pun dihindari, sehingga kalangan bisnis berkeyakinan bahwa pelanggan mereka
akan memaklumi hal ini.
(Blokdijk, 2008) mengungkapkan bahwa BCP dan DRP membantu
perusahaan mempersiapkan kegiatan pemulihan dari bencana. Tetapi sebelum
rencana tersebut dibuat, sangat penting bahwa risiko serta dampak potensial
dapat dikaji dengan baik, hal ini merupakan fondasi dari BCP dan DRP.
16
Menurut (Krutz & Vines, 2003) BCP dan DRP ditujukan untuk
memenuhi kebutuhan bisnis dalam menghadapi gangguan-gangguan terhadap
operasi perusahaan. Business Continuity Plan dan Disaster Recovery Plan adalah
meliputi persiapan, pengujian dan pemutakhiran tindakan-tindakan yang
diperlukan untuk melindungi proses bisnis fital (critical business) terhadap
dampak dari kegagalan jaringan dan sistem utama. Dilingkup manajemen
perusahaan harus memahami persiapan yang dibutuhkan untuk melakukan
tindakan-tindakan spesifik yang diperlukan saat adanya kegagalan atau
penundaan operasi bisnis suatu perusahaan.
Perusahaan – perusahaan yang ingin menampilkan tingkat
profesionalisme yang lebih baik dan fokus pada perlindungan dan meningkatkan
nilai stakeholder, semakin melihat bahwa business continuity plan diperlukan
sebagai langkah menghindari interupsi bisnis dan dampaknya dalam ongkos
maupun hal-hal lainnya yang tinggi nilainya. Dan seiring dengan perkembangan
teknologi informasi, maka ditemukan teknologi yang dapat menjamin
keberlanjutan bisnis dan pemulihan dari bencana, yang lebih murah dan mudah
penerapannya. Bahkan BCP dan DRP telah menjadi standar tersendiri bagi
kalangan bisnis terutama yang berhubungan jalannya proses bisnis (aplikasi)
dengan penyimpanan data.
Tujuan dari BCP dan DRP adalah menjaga bisnis tetap beroperasi
meskipun ada gangguan dan menyelamatkan sistem informasi dari dampak
bencana lebih lanjut. Proses perencanaan suatu BCP akan memungkinkan
perusahaan menemukan dan mengurangi (reduce) ancaman-ancaman, melakukan
respon (respond) terhadap suatu peristiwa ketika peristiwa itu terjadi, melakukan
17
pemulihan (recover) dari dampak langsung terhadap suatu peristiwa dan akhirnya
mengembalikan (restore) operasi seperti semula. Reduce, respond, recover dan
restore, proses ini dikenal dengan nama Empat R di BCP.
BCP dan DRP merupakan perencanaan yang hanya tertulis dalam kertas,
perencanaan yang baik tentunya akan mampu terlaksana dan tepat guna saat
dilaksanakan. Sehingga adanya persiapan BCP dan DRP yang baik, serta
pengetesan yang dilakukan bisa sesuai dengan keadaan sebenarnya, serta upaya
pemeliharaannya menjadi ukuran terhadap kemampuan perusahaan dalam
menghadapi ancaman atau bencana. Dengan memiliki rencana yang jelas
mengenai apa yang harus dilakukan selama dan setelah gangguan serius terjadi,
perusahaan tentunya dapat memastikan bahwa gangguan itu hanya berdampak
minimal pada proses bisnis utamanya, dan layanan yang layak kepada klien tetap
bisa berlanjut.
2.3. Definisi Business Continuity Plan
Menurut (Snedaker, 2007) business continuity plan adalah metodologi
yang digunakan untuk membuat dan menyetujui rencana dalam mempertahankan
kelangsungan operasional bisnis sebelum, selama atau sesudah bencana yang
mengganggu. Perencanaan keberlangsungan bisnis dibuat untuk mencegah
tertundanya aktivitas bisnis normal.
BCP didisain untuk melindungi proses bisnis vital dari kerusakan atau
bencana yang terjadi secara alamiah atau perbuatan manusia, dan kerugian yang
ditimbulkan dari tidak tersedianya proses bisnis normal (rutin, seperti biasa).
Business continuity plan merupakan strategi digunakan untuk meminimalisir efek
18
dari gangguan dan mengupayakan berjalannya kembali proses bisnis suatu
perusahaan.
Tujuan dari BCP adalah untuk meminimalisir efek dari kejadian atau
bencana tersebut dalam sebuah perusahaan. Manfaat utama dari business
continuity plan adalah untuk menurunkan risiko kerugiaan keuangan dan
meningkatkan kemampuan perusahaan untuk memulihkan diri dari bencana atau
gangguan sesegera mungkin. Perencanaan keberlangsungan bisnis juga harus
dapat membantu meminimalisir biaya dan mengurangi risiko sehubungan dengan
kejadian bencana tersebut.
Menurut (Krutz & Vines, 2003), BCP perlu memperhatikan semua area
proses informasi kritis dari perusahaan, berikut hal – hal yang perlu diperhatikan:
• LAN, WAN, dan server
• Hubungan telekomunikasi dan komunikasi data
• Lokasi dan ruang kerja
• Aplikasi, software, dan data
• Media dan tempat penyimpanan rekaman/data
• Proses produksi dan staf-staf yang bekerja
(Krutz & Vines, 2003) juga menjelaskan bahwa prioritas nomor satu dari
semua perencanaan keberlangsungan bisnis dan pemulihan bencana adalah selalu
people first, mengutamakan manusianya. Sementara kita membahas mengenai
pentingnya kapital, kembali beroperasinya aktivitas bisnis normal, dan issu
keberlanjutan bisnis lainnya, perhatian utama yang harus ditangani dalam
perencanaan adalah untuk mengeluarkan atau menghindarkan manusia (pegawai)
akan bahaya dari suatu bencana. Jika pada saat yang bersamaan ada pertentangan
19
apakah menyelamatkan hardware atau data ketimbang manusia terhadap
ancaman bahaya fisik, perlindungan untuk manusia harus yang diutamakan.
Keselamatan dan evakuasi personel harus menjadi komponen pertama dalam
perencanaan menghadapi bencana.
BCP dapat menjadi bagian dari upaya pembelajaran perusahaan yang
membantu mengurangi risiko operasional, terkait dengan kontrol manajemen
informasi yang lemah. Proses ini dapat terintegrasi dengan meningkatkan
keamanan informasi dan praktik manajemen risiko.
2.4. Proses Business Continuity Plan
Didalam membangun sebuah BCP dibutuhkan informasi – informasi dari
beberapa bagian yang berbeda seperti pengetahuan mengenai pengoperasian,
pemahaman mengenai fungsi – fungsi bisnis yang penting di dalam
pengoperasian, penentuan waktu sasaran pemulihan (recovery) untuk fungsi –
fungsi ini, memahami ancaman lokal, pengetahuan mengenai regulasi lokal, dan
beberapa hal lainnya.
Menurut (FFIEC, 2015) (Federal Financial Institutions Examination
Council), terdapat 4 proses penting didalam business continuity plan, yaitu:
1. Analisis dampak bisnis (Business Impact Analysis)
2. Identifikasi risiko (Risk Assessment)
3. Manajemen risiko (Risk Management)
4. Pemantauan risiko dan pengujian (Risk Monitoring and Testing)
Keempat proses diatas merepresentasikan suatu siklus berlanjut yang
perlu ditingkatkan dari waktu ke waktu berdasarkan perubahan dari ancaman
20
potensial, operasi bisnis, rekomendasi audit, dan hasil test. Sebagai tambahan,
proses ini sebaiknya mencakup tiap – tiap kritikal fungsi bisnis dan teknologi
yang mendukungnya. Seperti kebijakan, standarisasi, dan proses yang terintegrasi
kedalam keseluruhan proses rencana kelangsungan bisnis (business continuity
plan).
Gambar 2.2: Tahap Pembuatan BCP (Puspitasari, 2011)
2.4.1. Business Impact Analysis
Business impact analysis (BIA) merupakan landasan awal dalam
proses penyusunan BCP. Melalui proses identifikasi dampak bisnis,
21
identifikasi aktivitas yang kritikal, dan penentuan target waktu pemulihan,
serta pengukuran standar operasi minimal yang dibutuhkan.
Business impact analysis (BIA) adalah proses mengidentikasi,
menganalisa, dan menentukan dampak yang terjadi pada kelangsungan
proses bisnis di perusahaan seandainya terjadi gangguan/bencana yang
menimbulkan terhentinya operasional dari bisnis proses tersebut.
Tujuan dari business impact analysis ini adalah untuk
mendapatkan:
Informasi yang menyeluruh mengenai fungsi organisasi dan proses
bisnis.
Informasi kepada manajemen mengenai Recovery Time Objective.
Informasi mengenai kebutuhan minimal dalam penyelenggaraan
organisasi (minimum resources).
Metodologi yang digunakan adalah :
Identifikasi proses bisnis
Interdependensi antar proses bisnis dan tingkat kritikal proses bisnis
Identifikasi kebutuhan minimum
Menetapkan Recovery Time Objective (RTO) melalui metodologi
Enterprise Risk Management dan Business Impact Analysis.
Hal-hal yang harus diperhatikan dalam business impact analysis
adalah :
22
Tingkat kritikal dan ketergantungan antar proses bisnis serta
prioritisasi
Tingkat ketergantungan terhadap pihak penyedia jasa TI/Non Ti
Tingkat Recovery Time Objectives dan Recovery Point Objectives
Tingkat minimum Resource Requirement
Identifikasi dampak potensial dari suatu kejadian
Dampak Disaster terhadap seluruh fungsi bisnis
Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan
Kemampuan dan kemampuan petugas (termasuk petugas pengganti)
Pertimbangan dampak hukum dan pemenuhan ketentuan terkait.
2.4.1.1. Impact Criticality
Impact criticality bertujuan untuk mengklasifikasikan
fungsi-fungsi didalam perusahaan, fungsi mana yang kritis yang
sangat penting bagi proses bisnis perusahaan, fungsi mana yang
hanya sekedar penting, serta fungsi mana yang kurang penting
sehingga dapat di abaikan atau ditunda pemulihannya.
(Snedaker, 2007) membagi sistem peringkat untuk
melakukan assessment kekritisan proses/fungsi menjadi 4
kategori sebagai berikut :
Kategori 1 : Fungsi Kritis – Mission Critical
Bisnis proses dan fungsi yang memberikan dampak paling
besar kepada operasi perusahaan dan potensi untuk pemulihan.
Atau dengan kata lain proses apa yang harus ada dalam
perusahaan untuk melakukan fungsinya. Hal yang dapat
23
dilakukan untuk memfokuskan responden mengenai fungsi-
fungsi yang mission critical adalah misalnya dengan
menanyakan tiga sampai lima hal apa saja yang akan mereka
lakukan ketika sebuah bencana reda.
Kategori 2 : Fungsi Esensial – Vital
Terkadang ada beberapa fungsi bisnis yang berada di
antara mission critical dengan important. Tidak semua
organisasi membutuhkan kategori ini, salah satu ciri sebuah
organisasi tidak membutuhkan kategori ini adalah ketika sebuah
organisasi tidak dapat membedakan antara mission critical
dengan vital (Snedaker, 2007). Fungsi vital mungkin saja
memasukkan fungsi-fungsi seperti pengkajian yang mungkin
sekilas tidak tampak seperti sebuah fungsi yang mission critical
di dalam rangka memulihkan organisasi untuk dapat berjalan
kembali secepat mungkin, namun dapat menjadi vital bagi
kemampuan organisasi untuk dapat berfungsi penuh lebih dari
sekedar pulih dari bencana.
Kategori 3 : Fungsi yang dibutuhkan – Important
Ketidakadaan fungsi dan proses bisnis yang penting
(important) tidak akan menghentikan bisnis dari beroperasi di
waktu dekat, namun fungsi-fungsi dan bisnis proses tersebut
biasanya memiliki dampak jangka panjang ketika mereka tidak
ada atau tidak berfungsi sebagaimana mestinya. Fungsi dan
bisnis proses ini biasanya memiliki dampak finansial dan legal.
24
Biasanya juga terhubung lintas unit fungsional dan lintas sistem
bisnis. Dalam perspektif TI biasanya sistem ini termasuk di
dalamnya email, database, akses internet dan perangkat lunak
bisnis yang digunakan untuk menjalankan fungsi-fungsi
pendukung. Recovery time objective (RTO) dari sistem-sistem
ini biasanya dalam hitungan hari atau minggu.
Kategori 4 : Fungsi yang diinginkan – Minor
Fungsi dan bisnis proses minor biasanya tidak akan
dibutuhkan dalam jangka waktu dekat dan yang jelas tidak akan
dibutuhkan selama operasi bisnis perusahaan belum berjalan
sebagaimana mestinya.
2.4.1.2. Target Waktu Pemulihan
Target waktu pemulihan berhubungan erat dengan impact
criticality. Makin penting suatu aktivitas atau fungsi biasanya
makin kecil juga waktu pemulihannya.
Maximum Tolerable Downtime (MTD): pada beberapa
literatur disebut juga sebagai MTPD (Maximum Tolerable
Period of Distrupment) sesuai namanya adalah besar waktu
maksimum sebuah bisnis dapat menoleransi ketidakadaan
sebuah fungsi bisnis. Semakin kritis sebuah fungsi bisnis
biasanya akan memiliki MTD yang semakin kecil.
Recovery Time Objective (RTO): yaitu waktu yang tersedia
untuk memulihkan sistem dan sumber daya yang
25
terganggu. Secara definisi RTO harus lebih kecil dari
MTD.
Work Recovery Time (WRT): adalah langkah-langkah
tambahan yang perlu dilakukan supaya bisnis dapat
berjalan kembali setelah sistem (perangkat lunak,perangkat
keras dan konfigurasi) dikembalikan (restore).
Secara definisi MTD adalah penggabungan dari RTO
dengan WRT atau bisa dituliskan sebagai:
MTD = RTO + WRT
Recovery Point Objective (RPO): Banyaknya kehilangan
data yang dapat ditoleransi oleh sistem bisnis kritis
perusahaan. Sebagai contoh ketika sebuah perusahaan
melakukan backup secara realtime maka dapat
disimpulkan toleransi kehilangan data perusahaan tersebut
hampir tidak ada. Sementara itu jika sebuah perusahaan
melakukan backup setiap satu minggu sekali maka
toleransi kehilangan data perusahaan tersebut maksimal
adalah satu minggu.
Gambar di bawah ini menggambarkan hubungan antara
keempat terminology tersebut.
26
Gambar 2.3: Kerangka Waktu Pemulihan (Snedaker, 2007)
Poin 1 : Recovery Point Objective - maksimum kehilangan
jumlah data berdasarkan jadwal backup dan kebutuhan
masing-masing organisasi.
Poin 2 : Recovery Time Objective - durasi waktu yang
dibutuhkan untuk menyalakan kembali sistem-sistem yang
kritis.
Poin 3 : Work Recovery Time - durasi waktu yang
dibutuhkan untuk mengembalikan data berdasarkan RPO
dan untuk memasukkan data yang dihasilkan dari proses
manual selama masa gangguan.
Poin 2 dan 3 : Maximum Tolerable Downtime - Durasi
dari RTO + WRT.
Poin 4 : Test, verifikasi dan melanjutkan operasi normal.
2.4.2. Risk Assessment
Risk assessment adalah proses identifikasi risiko yang dihadapi
suatu organisasi, identifikasi terhadap fungsi kritikal untuk menjamin
27
kelangsungan operasional bisnis, serta memperoleh gambaran dalam
pengendalian bisnis fungsi untuk mengurangi resiko kerugian apabila
terjadi gangguan.
Menurut (Kopp, 2011) identifikasi risiko adalah bagian dari
rencana BCP yang mendokumentasikan risiko yang terkait dengan
gangguan dari operasi bisnis utama atau proses. Risiko didefinisikan
sebagai kombinasi dari seberapa besar kemungkinan operasi utama akan
terganggu, seberapa banyak waktu sebelum bisnis mengalami dampak
negatif dari kehilangan/berhentinya operasional, dan berapa banyak
gangguan ini akan mengganggu kinerja bisnis.
Risiko operasional adalah potensi seluruh gangguan dalam proses
operasional suatu organisasi atau perusahaan yang menyebabkan kerugian
dimasa yang akan datang (future losses) atau terjadi fluktuasi pendapatan
dimasa yang akan datang.
Tujuan dilakukannya risk assessment adalah sebagai berikut :
• Menentukan tingkat risiko dari berbagai jenis resiko.
• Menentukan pengendalian dari jenis resiko.
• Mengukur dampak dan kuantitas berbagai jenis resiko.
• Menentukan kebjakan dalam rangka mengambil keputusan
terhadap risiko yang berdampak besar.
Cakupan Risiko Risk Assesment:
• Operasional Proses
• Operasional Sumber Daya Manusia
• Operasional Sistem Teknologi Informasi
28
• Faktor Eksternal
Proses dan Prosedur Risk Assessment:
A. Identifikasi Risiko, yaitu:
• Mengetahui dimana saja resiko berada
• Mengetahui penyebab timbulnya resiko
• Mengetahui metode yang digunakan untuk mengidentifikasi
keberadaan dan penyebab resiko
• Mengetahui pengendalian yang ada bila resiko itu terjadi.
B. Identifikasi Risiko, yaitu:
• Kuantitatif : analisis berdasarkan angka-angka nyata (nilai
financial) terhadap biaya pembangunan keamanan dan
besarnya kerugian yang terjadi.
• Kualitatif : Sebuah analisis yang menentukan resiko tantangan
organisasi dimana penilaian tersebut dilakukan berdasarkan
institusi, tingkat keahlian dalam menilai jumlah resiko yang
mungkin terjadi dan potensi kerusakannya.
Hal-hal yang harus diperhatikan dalam Risk assessment:
• Membuat prioritisasi kemungkinan gangguan yang terjadi
berdasarkan tingkat kerusakan dan kemungkinan terjadinya.
• Membuat suatu gap analisis dengan membandingkan BCP atau
DRP atau Contingency Plan yang dimiliki saat ini dengan hasil
Risk assessment.
29
• Melakukan analisis resiko yang akan timbul bagi perusahaan dan
stakeholders akibat adanya gangguan atau bencana.
2.4.3. Risk Management
Risk management merupakan langkah ketiga dalam proses rencana
kelangsungan bisnis (business continuity plan). Manejemen risiko adalah
proses mengidentifikasi, menaksir, dan mengurangi risiko – risiko sampai
pada batas yang dapat diterima melalui pengembangan (development),
implementasi (implementation) dan maintenance.
Menurut (Karkoszka, 2013), operasional dari manajemen risiko
dapat digambarkan sebagai proses yang berhubungan dengan risiko yang
memadai berdasarkan kuantitas atau kualitas. Oleh karena itu manajemen
risiko pertama – tama harus mencakup identifikasi berbagai risiko dan
penilaian risiko, kemudian melakukan kegiatan yang memungkinkan
untuk meminimalkan risiko.
Rencana kelangsungan bisnis (Business continuity plan) harus :
• Berdasar kepada Business impact analysis dan risk assessment
yang telah ditelaah.
• Didokumentasikan dalam program yang tertulis.
• Telah diperiksa dan disetujui oleh senior management paling tidak
setahun sekali.
• Terbuka untuk karyawan.
30
• Dikelola dengan baik ketika proses pengembangan dan
pemeliharaan dari BCP dilakukan oleh pihak ketiga (outsource).
• Perhatian khusus terhadap langkah yang harus diambil pada saat
terjadi gangguan.
• Fleksikbel merespon ancaman yang tidak terduga dan perubahan
kondisi internal.
• Fokus terhadap efek yang dihasilkan oleh ancaman yang dapat
mengganggu operasional bisnis.
• Dikembangkan berdasarkan asumsi yang masuk akal dan analisis
yang saling berkaitan.
• Efektif dalam meminimalkan gangguan dari service dan kerugian
financial melalui implementasi BCP.
2.4.4. Risk Monitoring and Testing
Risk monitoring and testing adalah langkah terahkir dalam proses
rencana kelangsungan bisnis (business continuity plan). Risk monitoring
dan testing memastikan bahwa BCP dalam sebuah perusahaan dapat
berjalan dengan baik melalui:
• Penggabungan BIA and risk assessment ke dalam BCP dan testing
program.
• Pengembangan testing program perusahaan.
• Penetapan dari aturan dan tanggung jawab dalam implementasi
testing program.
31
• Evaluasi dari testing program dan hasil test oleh menejemen
senior dan unit kerja.
• Penilaian dari testing program dan hasil testing oleh pihak
independent.
• Revisi dari BCP dan testing program berdasarkan perubahan
operasi bisnis, audit, dan rekomendasi dari pemeriksaan dan hasil
test.
2.5. Definisi Disaster Recovery Plan
Menurut (Karim, 2011), disaster recovery plan (DRP) adalah deskripsi
mengenai bagaimana bisnis bereaksi terhadap setiap peristiwa internal atau
eksternal, untuk memastikan bahwa operasi bisnis kritis harus tetap berjalan
tanpa adanya hambatan. Tujuan dari DRP adalah untuk mengurangi konsekuensi
dari bencana dan melakukan tindakan yang tepat untuk mempertahankan sumber
daya berharga. Di sisi lain, business continuity plan (BCP) menggambarkan
metode dan prosedur yang telah digunakan oleh bisnis untuk menjamin bahwa
fungsi penting harus berjalan setelah bencana. Proses ini harus dilakukan untuk
fungsi yang luas perusahaan untuk mengurangi kerugian finansial, meningkatkan
layanan pelanggan dan mengurangi kejadian destruktif yang dapat
mempengaruhi nama, proses, likuiditas dan reputasi pasar.
Kesimpulannya, disaster recovery plan adalah prosedur yang dijalankan
saat BCP berlangsung, berupa langkah-langkah untuk penyelamatan dan
pemulihan (recovery) khususnya terhadap fasilitas IT dan sistem informasi.
32
Disaster recovery plan merupakan pengaturan yang komprehensif berisikan
tindakan-tindakan konsisten yang harus dilakukan sebelum, selama, dan setelah
adanya kejadian (bencana) yang mengakibatkan hilangnya sumber daya sistem
informasi secara bermakna. DRP berisikan prosedur untuk merespon kejadian
emergensi, menyediakan operasi backup cadangan selama sistem terhenti, dan
mengelola proses pemulihan serta penyelamatan sehingga mampu meminimalisir
kerugian yang dialami oleh organisasi.
Tujuan utama dari disaster recovery plan dijelaskan (Krutz & Vines,
2003) adalah untuk menyediakan kemampuan atau sumber daya untuk
menjalankan proses vital pada lokasi cadangan sementara waktu dan
mengembalikan fungsi lokasi utama menjadi normal dalam batasan waktu
tetentu, dengan menjalankan prosedur pemulihan cepat, untuk meminimalisir
kerugian perusahaan.
Menurut (O'brien, 2005) banyak perusahaan terutama peritel e-commerce
online dan grosir , penerbangan, bank, serta ISP, dibuat tidak berdaya karena
kehilangan kekuatan komputasi selama beberapa jam. Itulah alasan mengapa
organisasi mengembangkan prosedur pemulihan dari bencana (disaster recovery)
serta mensahkannya sebagai rencana pemulihan dari bencana (disaster recovery
plan, DRP). Rencana itu menspesifikasikan karyawan mana yang akan
berpartisipasi dalam pemulihan dari bencana serta apa tugas mereka nantinya,
hardware, software, dan fasilitas apa yang akan digunakan, serta prioritas
aplikasi yang akan diproses.
Kesepakatan dengan berbagai perusahaan lainnya untuk penggunaan
fasilitas alternative sebagai lokasi pemulihan dari bencana dan penyimpanan di
33
luar kantor dari data base organisasi, juga merupakan bagian dari usaha
pemulihan dari bencana yang efektif.
Disaster recovery plan atau DRP adalah penerapan dari business
continuity plan (BCP) atau disebut juga “BCP in action” yaitu implementasi BCP
saat terjadi bencana. DRP akan memberikan langkah – langkah pada perusahaan
jika terjadi bencana. DRP akan mengurangi kebingungan yang terjadi saat ada
bencana dan meningkatkan kemampuan perusahaan saat menghadapi keadaan
krisis.
Pada saat ada kejadian bencana tentunya perusahaan tidak akan memiliki
waktu banyak untuk membuat rencanan pemulihan dilokasi bencana saat terjadi.
Dengan perencanaan yang baik dan proses simulasi sebelum benar ada kejadian
bencana, maka perusahaan akan dapat memperkirakan kemampuannya dalam
menghadapi suatu bencana. Supaya perbaikan dapat dilakukan dengan lancar,
maka perlu adanya perencanaan untuk ini yang biasanya disebut dengan disaster
recovery plan (DRP).
(Krutz & Vines, 2003) menjelaskan bahwa secara umum manfaat atau
tujuan penyusunan disaster recovery plan (DRP) bagi perusahaan adalah :
• Melindungi organisasi dari kegagalan layanan komputer utama.
• Meminimalisasi risiko organisasi terhadap penundaan (delay) dalam
penyediaan layanan.
• Menjamin kehandalan dari sistem yang tersedia melalui pengetesan
dan simulasi.
• Meminimalisasi proses pengambilan keputusan oleh personal/manusia
selama bencana.
34
Mungkin saja sebuah perusahaan tidak memerlukan disaster recovery
plan. Jika perusahaan tersebut memiliki unit bisnis yang dapat bertahan selama
masa interupsi, atau bisa saja perusahaan tersebut tidak memiliki area proses vital
yang diperlukan beberapa jenis pemulihan bencana. Dalam hal ini, disaster
recovery plan mungkin tidak perlu diterapkan oleh perusahaan tersebut.
Menurut (Brooks, Bedernjak, Juran, & Merryman, 2002), proses dari
disaster recovery plan digambarkan sebagai berikut:
Gambar 2.4: Proses Disaster Recovery Plan (Brooks, Bedernjak, Juran, &
Merryman, 2002)
2.5.1. Strategi Disaster Recovery Plan
Strategi disaster recovery plan secara menyeluruh untuk
memastikan bahwa sistem dapat dipulihkan dengan cepat dan efektif
menyusul gangguan yang terjadi.
35
1. Backup and Restore.
Metode ini merupakan strategi untuk memperbaiki system operasi
secara cepat dan efektif pada saat terjadi gangguan. Metode ini
menangani dampak gangguan dan downtime yang diidentifikasi dalam
BIA dan diintegrasikan ke dalam arsitektur sistem selama fase
Pengembangan. Pendekatan beberapa alternatif harus dipertimbangkan
ketika mengembangkan dan membandingkan strategi, termasuk biaya,
downtime maksimal, keamanan, prioritas pemulihan, dan integrasi
dengan yang lebih besar, tingkat organisasi rencana kontingensi.
Jenis – jenis proses backup & restore yang dapat digunakan:
Mirror & Replication, proses backup yang dilakukan yaitu
dengan membangun data yang sama sesuai dengan data
produksi perusahaan, serta melibatkan proses penyalinan
dari server primer ke server sekunder. (Snedaker, 2007)
SAN Backup, Storage Area Network merupakan sebuah
jaringan area penyimpanan jaringan berkecepatan tinggi
yang didedikasikan untuk penyimpanan data. (Snedaker,
2007)
Tape Backup, Tape backup adalah proses backup yang
menggunakan device tape serta catridge yang bertujuan
melindungi dan mengembalikan data yang hilang, rusak,
atau dihapusnya informasi, sehingga menjaga integritas
data. (Krutz & Vines, 2003)
36
2. Backup Storage and Offsite Data
Sistem data harus didukung secara teratur. Kebijakan harus
menentukan frekuensi minimum dan ruang lingkup backup (misalnya,
harian atau mingguan, bertahap atau penuh) berdasarkan kekritisan data
dan frekuensinya. Kebijakan backup data harus menunjuk lokasi yang
tersimpan, file data-penamaan konvensi, frekuensi Media rotasi, dan
metode untuk mengangkut data offsite. Data dapat didukung pada disk
magnetik, pita, atau disk optik, seperti compact disc (CD). Metode
spesifik dipilih untuk melakukan backup harus didasarkan pada
ketersediaan sistem data dan persyaratan integritas. Metode-metode ini
mungkin termasuk electronic vaulting, network storage dan tape library
systems.
Banyak vendor yang menawarkan bisnis untuk menyimpan
cadangan data offsite. Data komersial fasilitas penyimpanan secara
khusus dirancang untuk media arsip dan melindungi data dari gangguan.
Ketika memilih sebuah fasilitas penyimpanan offsite dan vendor,
kriteria berikut harus dipertimbangkan:
• Wilayah geografis: jarak dari organisasi dan probabilitas dari site
penyimpanan yang terkena bencana sama dengan site utama
organisasi.
• Aksesibilitas: Lamanya waktu yang diperlukan untuk mengambil
data dari penyimpanan dan jam operasi fasilitas penyimpanan itu.
37
• Keamanan: keamanan kemampuan metode pengiriman, fasilitas
penyimpanan dan personil, semua harus memenuhi persyaratan
keamanan data itu.
• Lingkungan: kondisi struktural dan lingkungan dari fasilitas
penyimpanan (yaitu, suhu, kelembaban, pencegahan kebakaran, dan
kontrol manajemen daya).
• Biaya: biaya pengiriman, biaya operasional, dan respon bencana /
pemulihan layanan.
3. Alternate Sites
Terlepas dari jenis situs alternatif yang dipilih, fasilitas harus
mampu mendukung operasi sistem seperti yang ditentukan dalam
rencana kontingensi. Ketiga jenis site alternatif umumnya dikategorikan
dalam hal kesiapan operasional adalah cold sites, warm sites dan hot
sites.
• Cold sites, biasanya fasilitas dengan ruang yang memadai dan
infrastruktur (listrik, telekomunikasi sambungan, dan kontrol
lingkungan) untuk mendukung recovery system informasi.
• Warm sites, sebagian dilengkapi ruang kantor yang menyediakan
beberapa atau semua sistem perangkat keras, perangkat lunak,
telekomunikasi, dan sumber listrik.
• Hot Sites, adalah fasilitas untuk mendukung kebutuhan sistem dan
dikonfigurasi dengan sistem perangkat keras yang diperlukan,
infrastruktur pendukung dan dukungan personil.
38
Tiga sites diatas adalah sites alternatif yang paling umum. variasi untuk
sites lainnya adalah:
• Mobile Sites are self-contained, kerang diangkut custom pas dengan
telekomunikasi tertentu dan peralatan sistem yang diperlukan untuk
memenuhi persyaratan sistem.
• Mirrored Sites, berisi dengan fasilitas redundant dengan real-time
mirroring informasi secara otomatis. sites ini identik dengan sites
utama dalam segala hal teknis.
4. Equipment Replacement
Tiga strategi dasar yang ada untuk mempersiapkannya adalah:
• Vendor Agreements. Service-Level Agreement (SLA) dengan
perangkat keras, perangkat lunak, dan dukungan vendor yang dibuat
untuk layanan pemeliharaan darurat. SLA harus menentukan
seberapa cepat vendor merespon setelah diberitahu. Perjanjian
tersebut juga harus memberikan status prioritas organisasi untuk
pengiriman peralatan pengganti atas peralatan yang dibeli untuk
operasi normal. SLA selanjutnya harus mendiskusikan apa status
prioritas yang didapatkan organisasi jika terjadi bencana yang
melibatkan beberapa klien vendor. Rincian negosiasi ini harus
didokumentasikan dalam SLA, yang harus dipertahankan dengan
contingency plan.
• Equipment Inventory. Peralatan yang dibutuhkan dapat dibeli di
muka dan disimpan di lokasi yang aman. Sebuah organisasi harus
berkomitmen dengan sumber daya keuangan untuk membeli
39
peralatan ini di muka, dan peralatan bisa menjadi usang atau tidak
cocok untuk digunakan dari waktu ke waktu karena perubahan
kebutuhan sistem teknologi.
• Existing Compatible Equipment. Peralatan yang sama dan
kompatibel tersedia untuk digunakan oleh organisasi kontingensi.
5. Cost Considerations
Organisasi harus memastikan bahwa strategi yang dipilih dapat
diterapkan secara efektif dengan personil dan sumber daya keuangan.
Biaya setiap jenis situs alternatif, penggantian peralatan, dan pilihan
penyimpanan berdasarkan pertimbangan terhadap keterbatasan
anggaran. Organisasi harus melakukan analisis biaya-manfaat untuk
mengidentifikasi strategi kontingensi optimal.
6. Roles and Responsibilities
Setelah memilih dan menerapkan strategi backup dan pemulihan
sistem, organisasi harus menunjuk tim yang tepat untuk menerapkan
strategi. Setiap tim harus dilatih dan siap untuk merespon jika terjadi
situasi yang membutuhkan aktivasi recovery. Personil pemulihan harus
diserahkan kepada salah satu dari tim yang spesifik yang akan merespon
masalah tersebut, memulihkan kemampuan, dan mengembalikan system
untuk operasi normal. Untuk melakukannya, recovery team perlu
memahami dengan jelas upaya pemulihan tujuan tim, prosedur individu
tim akan mengeksekusi, dan bagaimana saling ketergantungan antara
recovery team dapat mempengaruhi strategi keseluruhan.
40
2.5.2. Pemilihan Lokasi Pemulihan dari Bencana
Menurut (Bick, 2004), dalam pemilihan lokasi alternatif untuk
memulihkan bisnis dari bencana, perlu dipertimbangkan hal-hal berikut:
• Jarak dari Fasilitas Utama, pilihlah lokasi yang tidak terlalu dekat dan
juga terlalu jauh dari gedung utama yaitu sekitar 30 kilometer.
• Potensi Risiko dari Bencana, apakah lokasi tersebut juga memiliki
risiko terkena bencana, carilah tempat yang minim terkena ancaman
atau dampak bencana.
• Ketersediaan staff setempat, apakah ada staff setempat yang bisa
mengoperasikan proses bisnis utama.
• Ketersediaan dan kualitas tenaga listrik/baterei, apakah tenaga listrik
atau baterai tersedia, dan apakah mencukupi untuk waktu lebih dari 27
jam.
• Nearby Fiber Routes, untuk kepentingan jaringan komunikasi data,
alangkah lebih baik kalau tidak jauh dari jarul kabel fiber, dan kalau
memungkinkan kita bias minta ijin atau mendaftar menggunakan jalur
kabel tersebut.
• Specific IT Criteria, teknologi informasi dapat berfungsi pada lokasi
tersebut, batasan jarak harus menjadi perhatian perlengkapan jaringan.
• Tax Incentive, Lokasi tertentu atau di luar perkotaan mungkin akan
jauh lebih murah biayanya.
41
2.5.3. Pengujian Disaster Recovery Plan
Pengujian DRP sangatlah penting, DRP memiliki banyak elemen
yang berupa teori sampai mereka benar-benar diuji dan disahkan.
Pengujian rencana harus dilaksanakan sesuai dengan urutannya,
mengikuti standar yang ditetapkan, dan disimulasikan pada keadaan
sebenarnya.
(Krutz & Vines, 2003) menjelaskan bahwa ada lima bentuk
pengujian disaster recovery plan yaitu:
• Check List Test. Ini adalah preliminary step dari pengujian. Setiap unit
manajemen akan mereview apakah perencanaan sesuai dengan
prosedur dan critical area dari organisasi.
• Structured walk-through test. Tes dilakukan melalui pertemuan antar
perwakilan dari tiap unit manajemen untuk membahas seluruh isi dari
perencanaan. Tujuannya adalah untuk memastikan bahwa
perencanaan secara akurat merefleksikan kemampuan organisasi
dalam memulihkan diri dari bencana secara sukses, setidaknya on
paper.
• Simulation test. Salama pengujian dengan melakukan simulasi, semua
orang dibagian operasional dan support harus memandang bahwa
keadaan emergensi terjadi seperi sebenarnya agar sesuai dengan
kenyataannya nanti. Simulasi tes ini bertujuan untuk melihat kesiapan
personnel bila ada kejadian bencana.
• Paralel test. Simulasi dilakukan pada semua rencana pemulihan.
Parallel berarti proses pengujian berjalan secara paralel dengan proses
42
sebenarnya. Tujuannya adalah memastika supaya sistem yang utama
(critical) dapat tetap berjalan pada lokasi alternatif backup.
• Full-interuption test. Ini adalah tes yang sangat berisiko karena
kejadian bencana (dampak) benar-benar diterapkan. Namun ini adalah
cara terbaik untuk menguji recovery plan, apakah dapat berjalan atau
tidak.
2.5.4. Pemeliharaan Rencana Pemulihan Data
(Krutz & Vines, 2003) menjelaskan bahwa disaster recovery plan
sering sudah out of date atau tidak sesuai lagi dengan kondisi perusahaan
atau perkembangan yang terjadi disekitar baik ancaman bencana maupun
tingkat persaingan. Perusahaan mungkin telah mereorganisasi dan
mungkin saja unit bisnis critical telah berbeda dari saat direncanakan
dahulu. Perubahan infrastruktur jaringan juga akan merubah lokasi atau
konfigurasi dari hardware, software dan komponan lainnya. Juga
mungkin karena masalah administrasi seperti turn over dari pegawai dan
berkurangnya ketertarikan pegawai terhadap masalah Business Continuity
Plan dan Disaster Recovery Plan.
Apapun alasannya, pemeliharaan perlu direncanakan sebelumnya
supaya BCP dan DRP selalu up date dan berguna. Sangatlah penting
untuk membuat prosedur pemeliharaaan BCP dan DRP dalam sebuah
organisasi dengan menggunakan job description yang mensetralisasi
tanggung jawab pengupdate-an. Mungkin juga diperlukan prosedur audit
yang melaporkan secara periodik mengenai status dari perencanaan. Juga
43
penting adalah jangan sampai berbagai versi rencana masih ada, ini akan
menimbulkan kebingungan dan bisa memperparah kondisi emergensi.
Jangan lupa untuk selalu menganti versi yang lama dengan yang baru dan
menuliskan teks versi pada tiap perencaaan.
2.5.5. Disaster Recovery Procedures
Menurut (Krutz & Vines, 2003) ada dua tim yang akan berperan
saat terjadi bencana yaitu tim pemulihan dan tim penyelamatan. Tim
pemulihan bertanggung jawab terhadap pemulihan fungsi bisnis kritis
(utama), langkah awalnya adalah memastikan penggunaan alternatif
operasi dan data bisa berlangsung baik secara otomatis maupun manual.
Sedangakan tim penyelamatan terpisah dari tim pemulihan dan memiliki
tanggung jawab yang berbeda. Tim penyelamat bertanggung jawab untuk
secara cepat membersihkan, mengurangi bahaya/dampak, memperbaiki,
menyelamatkan infrastruktur utama setelah bencana terjadi. Ini temasuk
juga penyelamatan manusia.
Sasaran utama dari rencana pemulihan bencana ini adalah untuk
membantu meyakinkan sistem operasional yang berkelanjutan mencakup
ketersediaan data.
Sasaran khusus dari rencana pemulihan bencana ini termasuk :
• Menjelaskan secara rinci langkah-langkah yang harus diikuti.
• Meminimisasi kebingungan, kekeliruan, dan biaya bagi perusahaan.
44
• Bekerja cepat dan lengkap atas pemulihan dan penyelamatan dari
bencana.
• Menyediakan proteksi yang berkelanjutan terhadap aset TI.
2.6. Penelitian Terdahulu
Dalam hal ini, penelitian terdahulu akan dibagi berdasarkan penelitian
yang diambil dari beberapa jurnal, serta akan diambil juga dari master thesis
yang berhubungan dengan BCP dan DRP.
1. (Karim, 2011)
Penelitian ini menyajikan desain konseptual untuk mengukur
faktor-faktor BCP, kesiapsiagaan bencana melalui penggunaan
indikator statistik.
Penelitian ini dilakukan dengan menganalisis hasil dari kuesioner
yang disebarkan tentang perencanaan kelangsungan bisnis di
sektor keuangan.
Sangat penting untuk menunjukkan bahwa tidak ada proses BCP
yang akan berhasil tanpa adanya kepemimpinan manajemen
senior.
2. (Prazeres & Lopes, 2013)
Dengan semakin meningkatnya ketergantungan pada proses bisnis
untuk layanan elektronik dan tradisional, wajib bagi setiap
organisasi untuk ikut serta merencanakan BCP.
45
Metodologi penelitian yang digunakan adalah penelitian-tindakan
serta dengan observasi.
Metodologi yang digunakan memungkinkan modularitas dan
mempercepat pekerjaan.
3. (Puspitasari, 2011)
Perancangan Kebijakan Business Continuity berfokus pada
Business Impact Analysis (BIA).
Pengembangan BCP merupakan tahapan yang dilakukan setelah
organisasi menentukan strategi risk mitigation mana yang dipilih.
Dengan adanya Kebijakan Business Continuity, organisasi akan
mempunyai payung hukum yang dapat digunakan untuk menjaga
dan memelihara kelangsungan proses bisnis.
4. (Yahya, 2013)
Penelitian ini menggunakan proses penyusunan BCP berdasarkan
Federal Financial Institutions Examination Council.
Metodologi yang digunakan dalam penelitian ini adalah studi
lapangan serta studi kepustakaan yang berhubungan dengan BCP
dan DRP.
Melakukan pengembangan BCP dengan tahapan – tahapan yang
menentukan strategi keberlangsungan bisnis dan
mendokumentasikan tindakan yang mengacu pada hasil – hasil
dari penentuan strategi tersebut.
Perbedaan penelitian yang dilakukan penulis dengan penelitian terdahulu
ada pada objek penelitian. Dimana penulis menjadikan Qeon Interactive, yang
46
merupakan salah satu perusahaan game online, sebagai objek penelitian untuk
melakukan studi kasus mengenai BCP dan DRP. Framework yang digunakan
oleh penulis adalah best practice yang mengacu kepada jurnal, buku, serta master
thesis terdahulu yang berhubungan dengan BCP dan DRP.
top related