bcp dan drp di indonesia sesi4
DESCRIPTION
BCP & DRPcase study in Indonesiapresented bySharing Vision (tm)TRANSCRIPT
Sesi 4 Testing, Auditing, Training, and Maintaining g, g, g, g
Your Business Continuity and Disaster Recovery Planningand Disaster Recovery Planning
B i C i i d Di R Business Continuity and Disaster Recovery Framework
Risk Assessment Business Impact Analysis Strategy Plan
ProceduresTestingAudit Testing
Training MaintenanceTraining Maintenance
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning2 of 37
Frekuensi Pengujian
Pengujian DRP harus dilakukan pada setiap interval tertentu
Frequency of testing BCP by industry group
Pengujian DRP harus dilakukan pada setiap interval tertentu(minimal sekali dalam setahun atau jika terjadi perubahan yang signifikan)
Frequency of testing BCP by industry group
• Financial Services (FS)• Consumer & Industrial Market (CIM)• Infrastructure & Government (I&G)• Information, Communication, and Entertainment (ICE)
• Energy & Natural Resources (ENR)
KPMG’s Asia-Pacific BCM Benchmarking SurveyNovember 2003
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning3 of 37
Strategi dalam Pengujian
T i l
Pengujian diperlukan untuk mendapatkan sebuah kombinasi strategi dari elemen – elemen berikut :
Trial : Memastikan bahwa semua komponen (resources) dapatme-generate hasil seperti yang diharapkan dan prosedur yangdigunakan adalah prosedur yang efisien
Training : Memastikan bahwa personil yang ditunjukuntuk bertanggung jawab terhadap proses pemulihan telahmemahami dan siap untuk melakukan tugasnyamemahami dan siap untuk melakukan tugasnya
Exercise : Melatih implementasi DRP denganmenggabungkan semua komponen, prosedur danpersonil yang berkaitan dengan upaya pemulihan
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning4 of 37
Tipe Pengujian
Orientation/walk-through
Tabletop/Mini-drill
F ti l T tiFunctional Testing
Full-scale ExerciseFull scale Exercise
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning5 of 37
Orientation/Walk-Through
Tujuan utama : memastikan bahwa personil utama dari seluruh bagian telahmengenal BCP dan DRP dengan baik
Diskusi interaktif
K l k
Untuk individual dan tim
Karakteristik
Kelompok kecil
Fokus :
Mengutamakan pengetahuan
dibanding ketrampilan“team building”
Tid k d bili i
dibanding ketrampilan
Menitikberatkan pada l Tidak ada mobilisasi
resourceselemen perencanaan
kritis
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning6 of 37
Tabletop Mini-Drill
Fokus pada demonstrasi
Melakukan percobaandalam bermacam-macamkondisiFokus pada demonstrasi
Mobilisasibeberapa anggota
kondisi
Sistempengontrolan yang Melakukan tugas
d i l ibeberapa anggotaTim Pemulihan
p g y gbaik
Evaluasi performansi
dengan simulasi
Melakukan praktekEvaluasi performansidan kemampuan dan validasi
kemampuan responfungsional tertentu
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning7 of 37
Functional Testing
Karakteristik
Demonstrasi kemampuan Memberikan respon ke lokasialternatif (aktual maupun simulasi)
Mobilisasi personil dan sumber daya ke beberapa lokasi berbeda
Mencoba berbagai macamkondisi, bentuk notifikasi danmobilisasi sumber daya daya ke beberapa lokasi berbeda
Adanya pengontrol, evaluator dan pengamat Evaluasi performasi individu & tim
Melibatkan pihak-pihak yang terkait dengan penanggulangank di i d t ( i lk t d k b k )
evaluator dan pengamat
kondisi darurat (misalkan petugas pemadam kebakaran)
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning8 of 37
Full-Scale Exercise
Metode paling komprehensif
Menguji seluruh bagian DRPKarakteristik
Menguji seluruh bagian DRP
Adanya sistem kontrol
Demonstrasi pengetahuandan ketrampilan yangdimiliki
Melibatkan semua elemen
Teliti
y
Pada lokasi/fasilitas sesungguhnya
Validasi tindakan
dimilikise ua e e e
Keterlibatan dan interaksi manajemen
Evaluasi performansi
sesungguhnyatindakan
Dibutuhkannya koordinasi lapangan
jinternal dan eksternal
Mobilisasi semua Evaluasi performansi perusahaan secara keseluruhan
koordinasi lapangan dan “aturan bermain”elemen Tim Pemulihan
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning9 of 37
Evaluasi Tes dan Pengujian
Sebuah pengujian yang sukses adalah pengujian yang memunculkan masalah
Evaluasi dilaksanakan dalam satu sampai tigaminggu setelah pengujianminggu setelah pengujian
Evaluasi masukan :
Pembahasan kehandalanPembahasan kehandalan
Pembelajaran Dokumen
Mengukur kemampuan personele gu u e a pua pe so e
Mengukur kecukupan perangkat
Identifikasi kekurangan pada DRP
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning10 of 37
B i C i i d Di R Business Continuity and Disaster Recovery Framework
Risk Assessment Business Impact Analysis Strategy Plan
ProceduresTestingAuditAudit
Training MaintenanceTraining Maintenance
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning11 of 37
Auditing Disaster Management Standards
ISO 27001
COBIT
NFPA 1600
Internal Framework
NFPA 1600
Internal FrameworkCase :
Sharing VisionTM DRP/DRC I l A diInternal Audit
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning12 of 37
Standar 1 – ISO 27001
Security PolicyPolicy
Human
Organization Of
InformationSecurity
Asset Management
dHuman
ResourcesSecurity
Physical &Environmental
Communications& Operations
Standar Kebijakan
DRP
Access Control
Security
InformationSystems
Management
Business
InformationSecurityIncident
ManagementD i ISO
Compliance
Systems Acquisition,
Development &Maintenance
Business Continuity
Management
Domain ISO 27001
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning13 of 37
Standar 1 – ISO 27001 Business Continuity ManagementBusiness Continuity Management
Menyusun proses manajemen continuity 1y p j y
Membangun proses manajemen continuity perusahaan 2
Melakukan analisis ancaman dan analisis pengaruh
M b k B i C ti it Pl h
3
4Mengembangkan Business Continuity Plan perusahaan
Memelihara framework plan continuity
4
5
Menguji dan meng-update plan manajemen continuity 6
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning14 of 37
St d N ti l Fi P t ti A i ti Standar 2 – National Fire Protection Association (NFPA) 1600 (USA)
Mengembangkan strategi untuk mencegah peristiwa yang
Prevention
mengancam people, properti, dan lingkunganMenentukan tindakan
jangka pendek danj k j k Memiliki sebuah
Mitigation Preparedness
jangka panjang untukmengurangi risiko danmenggunakan teknik– teknik informasi
Memiliki sebuah sistem untuk memonitor bahaya yang teridentifikasi
Response Recovery
teknik informasidan intelligence untukmempertahankantindakan – tindakan
b
y gdan mengadaptasinya untuk mengubah tingkat risiko
tsb
Sistem dan peralatan perlindungan dapat digunakan untuk mengurangi akibat suatu
*NFPA 1600: a Disaster Management Emergency bencana*NFPA 1600: a Disaster Management, Emergency Management, and Business Continuity Standard
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning15 of 37
Standar 3 – CoBIT
• CoBIT (Control Objectives for Information and related Technology) is a framework for Information Technology (IT) security and internal controls.
• One of the control objectives within CoBIT deals with the topic f b i i i of business continuity.
Planning and Organisationg gAcquisition & ImplementationDelivery & SupportMonitorMonitor
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning16 of 37
St d C BIT Standar 3 – CoBIT Disaster Management
DS1 define and manage service levelsDS2 manage third-party servicesDS3 manage performance and capacity
DS4 ensure continuous serviceDS5 ensure systems securityDS6 identify and allocate costsDS7 educate and train users
1. IT Continuity Framework2. IT Continuity Plan Strategy and DS7 educate and train users
DS8 assist and advise customersDS9 manage the configurationDS10 manage problems and incidents
y gyPhilosophy
3. IT Continuity Plan Contents4. Minimising IT Continuity Requirements5. Maintaining the IT Continuity Plang p
DS11 manage dataDS12 manage facilitiesDS 13 manage operations
5. Maintaining the IT Continuity Plan6. Testing the IT Continuity Plan7. IT Continuity Plan Training8. IT Continuity Plan Distribution9 User Department Alternative Processing 9. User Department Alternative Processing
Back-up Procedures10.Critical IT Resources11. Back-up Site and Hardware12 Off site Back up Storage
*CoBIT: Control Objectives for Information d l d h l 12.Off-site Back-up Storage
13.Wrap-up Proceduresand related Technology
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning17 of 37
Internal Framework
ProcessProcess PeoplePeopleAwarenessKelengkapan DRP
OrganisasiPengujian
TechnologyTechnologySite Assessment
Security
ScalabilitySHARING VISION SHARING VISION TMTM
Scalability
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning18 of 37
L k h l k h A dit / R i Langkah-langkah Audit / Review Kelengkapan Framework DRP/BCP
Field Assessment InterviewDocument
Assessment
BenchmarkGap Analysis
Best Practice Gap Analysis
Reporting Recommendation
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning19 of 37
Assessment
Assessment RiskAssessment
p yBenchmark
Gap AnalysisBest Practice
Apakah perusahaan pernah melakukan identifikasi terhadap:
hAset perusahaanAncaman yang dihadapi perusahaan R ik t t k bResiko aset terkena bencanaOperasi/proses bisnis yang berlangsung di perusahaanDampak jika proses bisnis terkena bencanaDampak jika proses bisnis terkena bencana
secara keseluruhan?
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning20 of 37
Assessment
Assessment BIAAssessment
p yBenchmark
Gap AnalysisBest Practice
Apakah pernah melakukan assessment/penilaianseluruh aset dan operasi/proses bisnis yang seluruh aset dan operasi/proses bisnis yang
berlangsung di perusahaan?
Apakah penilaian dilakukan secara periodik?
k h d i d k l j h d h il il iApakah ada tindak lanjut terhadap hasil penilaian?
Apakah orang yang melakukan assessment
(penilaian) aset perusahaan dan analisis dampak bisnis (penilaian) aset perusahaan dan analisis dampak bisnis
benar-benar menguasai bidang tersebut?
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning21 of 37
Assessment
Assessment Strategi (1)Assessment
p yBenchmark
Gap AnalysisBest Practice
Apakah perusahaan memiliki strategi berkaitan dengan:
Media backup
Metode backupMetode backup
Periode backup
Penyimpanan backupy p p
Pengujian backup
Penanggung jawab backup
Lokasi pengalihan/lokasi pemulihan
Alternatif sistem telekomunikasi
Alternatif sumber energi perusahaanAlternatif sumber energi perusahaan
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning22 of 37
Assessment
Assessment Strategi (2)Assessment
p yBenchmark
Gap AnalysisBest Practice
Apakah strategi yang terpilih adalah hasil assessmentsehingga merupakan strategi yang paling optimal bagiperusahaan?
k O hiAngka MAOT terpenuhi
Memiliki resiko paling kecil
Dampak bisnis paling minimalDampak bisnis paling minimal
Spesifikasi sesuai dengan kondisi perusahaan
Tingkat availability tinggi
Apakah saat ini perusahaan telah merealisasikan strategitersebut?
g y gg
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning23 of 37
Assessment
Assessment Prosedur (1)Assessment
p yBenchmark
Gap AnalysisBest Practice
Struktur Organisasi:
Apakah perusahaan memiliki struktur organisasi yang khusus
menangani penanggulangan bencana yang memiliki deskripsi kerja
dan alur tanggung jawab yang jelas?
Apakah setiap anggota tim telah ditunjuk dengan tepat sesuai
kapabilitas masing-masing?
Apakah setiap anggota tim telah memahami tugas dan tanggung jawab
masing-masing (baik ketika tidak terjadi bencana maupun saat
bencana dan pasca bencana)?
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning24 of 37
Assessment
Assessment Prosedur (2)Assessment
p yBenchmark
Gap AnalysisBest Practice
Prosedur:
Apakah perusahaan memiliki prosedur pra-bencana, saat terjadi bencana
dan setelah bencana?dan setelah bencana?
Apakah prosedur mudah dipahami?
Apakah prosedur sudah tersosialisasi?
Apakah prosedur mudah dilaksanakan (tidak berbelit-belit)?
Apakah sudah pernah dilakukan pengujian terhadap prosedur tersebut?
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning25 of 37
Assessment
Assessment PengujianAssessment
p yBenchmark
Gap AnalysisBest Practice
Apakah perusahaan sudah pernah melakukan pengujian terhadap DRP?p p p p g j p
Apakah pengujian telah dilakukan untuk semua bagian DRP?
Apakah pengujian dilaksanakan secara reguler?
Apakah perusahaan pernah melakukan pengujian dengan mensimulasikan bencana yang sesungguhnya?
Apakah pengujian melibatkan seluruh tim pemulihan dan seluruhkomponen perusahaan?
Apakah pengujian berjalan sesuai dengan yang telah direncanakan?Apakah pengujian berjalan sesuai dengan yang telah direncanakan?
Apakah perusahaan telah memiliki rencana pengujian DRP untuk jangka panjang?p j g
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning26 of 37
Assessment
Assessment Evaluasi PengujianAssessment
p yBenchmark
Gap AnalysisBest Practice
Evaluasi Hasil PengujianEvaluasi Hasil Pengujian
Apakah pengujian yang dilakukan mencapai tujuan yang telah p p g j y g p j y gditetapkan?
Apakah ada evaluasi terhadap hasil pengujian yang telah dilakukan?
Ketika dalam pengujian ditemukan hal-hal yang tidak sesuai dengan kondisi perusahaan, apakah akan mempengaruhi DRP?
Jika terjadi perubahan pada dokumen DRP apakah dilakukan pengujian kembali?
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning27 of 37
Assessment
Gap AnalysisAssessment
BenchmarkGap Analysis
Best Practice
Analisa gapAnalisa gap(Current Vs
Target)
0 1 2 3 4 5Non-existent Initial Repeatable Defined OptimisedManaged
Management’sTarget Goal
Penjelasan Simbol yang Digunakan
Penjelasan Ranking yang Digunakan
0 - Plan tidak dibuat sama sekali
Status perusahaan terbaru
Rata-rata Industri
0 - Plan tidak dibuat sama sekali
1 - Plan bersifat ad-hoc dan tidak diorganisir
2 - Plan mengikuti pola reguler
3 - Plan didokumentasikan dan dibicarakan
Target perusahaan
3
4 - Plan dimonitor dan diukur
5 - Plan yang bagus diikuti
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning28 of 37
Reporting and Recommendation
Reporting Recommendation
Komponen T R k d iLevel Prioritas RekomendasiKomponen
Evaluasi Temuan RekomendasiRendah Sedang Tinggi
• Tidak memiliki prosedurdan kebijakan backup dan
• Menyusunprosedur dan √
Audit Prosedur
dan kebijakan backup danrecovery
pkebijakan backup dan recovery
√
• Belum dibuatnya • Menyusun manajemen √manajemen keterlanjutan
bisnis
manajemen keberlanjutan bisnis
√
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning29 of 37
B i C i i d Di R Business Continuity and Disaster Recovery Framework
Risk Assessment Business Impact Analysis Strategy Plan
ProceduresTestingAudit
Training MaintenanceTrainingTraining MaintenanceTraining
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning30 of 37
Pelatihan
Initial Training
• Identifikasi kemampuan
• Identifikasi kebutuhan pengalamanPerancangan pelatihan :
Peserta PelatihanPeserta PelatihanMetode PelatihanWaktuObserver/pengamat
Refresher Training/p g
• Diadakan secara reguler
• Rotasi agar mendapatkan pengalaman yang sama
• il i h d h il l ih• Penilaian terhadap hasil pelatihan
• Jika terjadi perubahan besar pada DRP, pelatihan tambahan lebih baikdiadakan secepatnya daripada menunggu sesi reguler selanjutnyadiadakan secepatnya daripada menunggu sesi reguler selanjutnya
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning31 of 37
B i C i i d Di R Business Continuity and Disaster Recovery Framework
Risk Assessment Business Impact Analysis Strategy Plan
ProceduresTestingAudit
Training MaintenanceMaintenanceTraining MaintenanceMaintenance
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning32 of 37
Maintain The Business Continuity Plan
Menerapkan prosedur kontrol perubahan untuk memperbaharui BCP
Menetapkan tanggung jawab untuk maintenance pada setiap bagian BCP
Menguji semua perubahan pada BCP
Menunjuk penanggung jawab perubahan training BCP
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning33 of 37
Faktor-Faktor Yang Mempengaruhi Perubahan BCP
Perubahan prosedurPerubahan fisik/ fasilitas
Perubahan teknologi
Perubahan struktur organisasi
Perubahan teknologi
Perubahan requirement recovery
Perubahan personilMasalah pengujian
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning34 of 37
Maintenance Frequency
TerjadwalTerjadwalContoh :
• Prosedur recovery diperbaharui minimum dalam basis satu tahunan
• Daftar telepon dan inventaris diperbaharui i k ltiap kuartal
Tidak Terjadwal
Contoh :Perubahan besar pada perusahaan
Tidak Terjadwal
Perubahan besar pada perusahaan, operasional bisnis, proses, fungsi, konfigurasi hardware, jaringan, dll.
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning35 of 37
Penutup
Kunci kesuksesan terdelivery-nya BCP dan DRP apabilaterjadi bencana adalah kelengkapan dokumen, j g p ,ketersediaan resource, dan awareness pada setiapperson di semua lini dalam perusahaan baik tim pemulihanbencana top eksekutif manager maupun staf
Testing, auditing, training, dan maintaining harusdi d k l h h i dik t k
bencana, top eksekutif, manager maupun staf.
diagendakan oleh perusahaan secara periodik untukmenjaga agar BCP dan DRP telah dipahami sepenuhnya olehsemua komponen perusahaan.
BCP dan DRP yang tidak pernah diujicobakan akanmenjadi tumpukan dokumen belaka. menjadi tumpukan dokumen belaka.
Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning36 of 37
Merci bienArigatooArigatoo
Matur NuwunHatur Nuhun
Matur se Kelangkong
SyukronKheili Mamnun
DankeDankeTerima Kasih