DR vs BC

Kembali kita bercerita tentang tentang sebuah insurance dalam bisnis. Ada dua kata yang sering didengar  di dunia IT yaitu DR "Disaster Recovery" dan BC "Business Continuity"  saat ini saya coba untuk memberikan pemahaman terkait hal tersebut dalam lingkup pemahaman saya loh.

DR 

Disaster Recovery diartikan sebagai usaha untuk memulihkan keadaan setelah terjadinya bencana. Karena disaster terjadi maka data yang sebelumnya telah ada hilang. Dalam kontek ini bagaimana sebuah perusahaan dapat kembali menjalankan operasional perusahaannya sebelumnya terjadi bencana.  Perihal data yang hilang tersebut dapat dilakukan dengan menjalankan Correction action mereka dengan cara Restore data sebelum terjadinya Disaster tersebut. maka ini dapat dikatakan "Disaster Recovery" melakukan recovery terhadap suatu entitas bisnis akibat disaster. Untuk tahapan ini proses Backup sudah dapat dijadikan langkah mitigasi bila bencana terjadi. Lalu timbul pertanyaan jadi apa bedanya dengan BC "Business Continuity". Maka untuk hal ini dapat dilakukan dengan metodelogi Cold Site atau Warm Site sudah cukup.

BC  

Business Continuity diartikan sebagai cara untuk tetap dapat melangsungkan bisnis bila terjadi suatu disaster. Tuh.. kan sama dengan dengan DR. Nah disini terjadi letak perbedaannya, baik untuk teknologi dan biaya yang diperlukannya berbeda. Untuk BC kita tidak cukup dengan hanya mengandalkan sebuah backup database, tetapi kita butuhkan adalah satu kesatuan dari suatu bisnis untuk tetap berjalan saat disaster sedang terjadi. maka dimulailah dari menentukan lokasi pengganti, teknologi apa yang akan digunakan dan banyak lagi strategi yang harus diputuskan bisanya dimulai dengan Business Impact Analysts terhadap bisnis perusahaan. Adapun teknologi yang dapat digunakan teknologi mirror/replikasi yang dapat menjaga kelangsungan data dari bisnis dan kontinuitas data saat bencana terjadi. Maka untuk hal ini metodelogi yang digunakan adalah Hot Site.

Demikian sebuah ilustrasi sederhana terkait DR dan BC menurut saya.

furqonimkp@gmail.com

14.28 | 0 comments | Read More

RTO vs RPO

RTO "Recovery Time Objective" dalam bahasa kulonnya (Barat) nah kalau dalam bahasa kita dapat diartikan "Lama waktu pemulihan yang diperoleh". Dalam praktek diilustrasikan berapa lama operasional dapat berjalan kembali. Hal ini terkait dengan ketersediaan perangkat, lokasi dan biaya yang dibutuhkan untuk hal tersebut. Semakin cepat pemulihan semakin besar biaya yang diperlukan untuk pemulihan. Dengan menyiapkan lokasi dan perangkat pendukung  yang siap menggantikan layanan operasional.

RPO "Recovery Point Objective" dapat diartikan "Tolerasi kehilangan data yang dapat diterima", untuk yang satu ini  saya coba memberikan ilustrasi sedikit sebagai contoh karena cukup sulit untuk langsung dipahami (* Mohon Koreksinya), saya ingin menggunakan contoh pada diri sendiri berapa banyak data yang dapat diterima bila terjadi kehilangan data dalam satu hari  ?,  Jika Anda mengisi database dengan berbagai macam informasi, apakah anda dapat menerima bila terjadi kehilangan data selama 1 jam kerja yang telah lalu, 2 jam atau mungkin 2 hari ?.

Atau jika Anda menulis sebuah dokumen panjang, apakah Anda dapat menerima 4 jam kerja Anda, sepanjang hari atau mungkin Anda bisa tahan jika Anda kehilangan pekerjaan sepanjang minggu Anda ?

Jumlah jam ini jam atau hari adalah RPO tersebut. 

RPO sangat penting karena salah satu elemen yang menentukan dalam strategi Business Continuity - terkait dengan frekuensi backup. Jika RPO Anda adalah 4 jam , maka Anda perlu melakukan backup setidaknya setiap 4 jam dalam 24 jam tetapi bila hanya dilakukan sekali dalam 24 Jam Anda akan mendapatkan bahaya besar terkait kelangsungan bisnis anda, tetapi jika Anda melakukannya setiap 1 jam, maka hal tersebut mengakibatkan biaya yang tinggi bila hal tersebut dirasa tidak terlalu membutuhkan backup  dalam setiap Jamnya. 

Kedua hal ini menjadi barometer dalam menentukan Business Continuity suatu perusahaan, terlebih bila hal tersebut terkait dengan pihak yang bergelut dalam bidang Finance, Bank. Dengan dasar dua komponen tersebut sebuah perusahaan dapat melakukan perhitungan biaya yang akan dikeluarkan terhadap Business Continuity perusahaan tersebut. 

Dari kedua komponen masing-masing memiliki karekteristik tersendiri, bila perusahaan hanya konsentrasi terhadap 

Jadi , apa bedanya antara RTO dan RPO ?

Perbedaannya terletak pada tujuan - RTO memiliki tujuan yang lebih luas karena menetapkan batas-batas untuk manajemen terkait dengan kelangsungan bisnis perusahaan, sedangkan RPO difokuskan pada masalah frekuensi backup dan teloransi kehilangan data. 

Sepertinya kedua hal tersebut adalah dua komponen yang terpisah karena Anda bisa memiliki  RTO 24 jam dan RPO 1 jam , atau RTO 2 jam dan RPO 12 jam. Kembali seperti diatas hal tersebut sesuai dengan kebutuhan bisnis anda mana yang menurut anda lebih baik.

Tetapi dapat ditekankan apa yang lebih penting : karena RTO dan RPO memiliki kesamaan? Mereka berdua sangat penting untuk analisis dampak bisnis dan manajemen kelangsungan bisnis . 

Tanpa menentukan keduanya dengan benar,  bila Anda hanya menebak dan menebak maka biaya tinggi yang dapat ada peroleh terkait risko operasional dan risko reputasi perusahaan.

13.14 | 2 comments | Read More

Good Governance

Kalau kepedulian terhadap tata kelola (good governance) tidak ada dalam perusahaan maka lumrah bila kita mengatakan bawah perusahaan tersebut mengelola perusahaannya dengan cara Toko Kelontong. Yang penting ada omzet dan menghasilkan untung dalam setiap bulannya. Perihal meletakkan bungkusan rokok didepan etalase, menaruh telor bercampur dengan tempat sabun menjadi tidak  masalah yang penting untung dapat diraih. Nah hal tersebut secara usaha sepele dan wajar karena intinya sudah jelas yang penting untung. 

perihal nanti saat melayani pelanggan susah cari produk padahal kita mengetahui produk itu ada. Hal ini mungkin sebagai gambaran kecil untuk menggambarkan tata kelola dalam perusahaan.

toko kelontong

Sering terjadinya Ad Hoc kepada suatu fungsi kerja sehingga fungsi tersebut tidak fokus kepada fungsi utama pelayanannya. Sering terjadinya perubahan struktur organisasi namun tidak memberikan dampak yang signifikan terhadap bisnis perusahaan. dalam 5 tahun operasional struktur organisasi dapat berganti hingga 4 kali atau 5 kali.

Visi dan Misi perusahaan tidak diketahui oleh seluruh karyawan bahkan sesama vice president tidak secara jelas Visi dan Misi dari perusahaan. 

Tujuan memberlakukan good corporate governance (GCG) untuk kepentingan perusahaan itu sendiri dengan tujuan untuk mencapai kecukupan yang lebih baik dan terus menuju yang terbaik.

Dari model diatas dilihat ada pada level berapa perusahaan tersebut, bila operasional diperusahaan selalu berdasarkan Ad Hoc  memang sih perusahaan itu punya mereka.  

12.05 | 0 comments | Read More

Information asset inventory/register

Pekerjaan pertama yang harus dilakukan ketika sebuah perusahaan/organisasi ini menerapkan standar dari ISO /IEC 27000-series "Information  Security Mangement System" (ISMS) adalah untuk melakukan inventarisasi/daftar aset informasi yang membutuhkan perlindungan. Selanjutnya informasi tersebut akan dilakukan klasifikasi sehingga dapat dinilai berisiko atau tidak yang akhirnya akan dilakukan pengamanan pada aset tersebut.

Aset Informasi 

Data digital

Informasi yang bersifat pribadi, keuangan, hukum, penelitian dan pengembangan, strategi dan komersial sebuah perusahaan/organisasi, email, voice, database, backup tape/CD/DVD dan arsip digital,  Pribadi, keuangan, hukum, penelitian dan pengembangan, strategis dan komersial, email, pesan suara, database, pribadi dan drive bersama, backup kaset / CD / DVD dan arsip digital, encryption keys.

Dalam bentuk aset informasi
Dokumen data Pribadi, keuangan, hukum, penelitian dan pengembangan, strategis dan komersial, surat / pos, faks, backup microfiche dan lainnya / bahan arsip, kunci brankas / kantor dan media lainnya wadah penyimpanan, Jurnal, majalah, buku

Berwujud aset informasi
Pengetahuan, hubungan bisnis, rahasia dagang, lisensi, paten, merek dagang, akumulasi pengalaman dan pengetahuan umum, citra perusahaan / brand / komersial reputasi / daftar pelanggan, keunggulan kompetitif, etika, produktivitas

Application software
In-house/custom-written systems, client software (including shared or single-user ‘End User Computing’ desktop applications), ’commercial off-the-shelf’ (COTS), ERP, MIS, databases, software utilities/tools, eBusiness applications, middleware

Operating system software
Untuk servers, desktops, mainframes, network devices, handhelds dan embedded systems (Inc BIOS dan firmware)

Physical IT assets
IT Support infrastructure
IT bangunan, pusat data, server / komputer kamar, LAN / kabel lemari, kantor, meja / laci / lemari arsip, ruang penyimpanan media dan brankas, identifikasi personil dan otentikasi / kontrol akses perangkat (pintu putar, kartu-akses sistem dll) dan keamanan perangkat lainnya (CCTV dll)

IT environment control
Fire alarm / peralatan pemadam kebakaran,  cadangan pasokan listrik (UPS), perangkat jaringan, AC, Smoke detector.

IT hardware
Komputasi dan perangkat penyimpanan misalnya desktop, workstation, laptop, handheld, server, mainframe, modem dan garis terminator, komunikasi perangkat (node jaringan), printer / mesin fotokopi / mesin FAX dan perangkat multifungsi.

IT service aset
Otentikasi pengguna jasa dan proses administrasi pengguna, hyperlink, firewall, proxy server, network service, WIFI Service, anti-spam/virus/spyware, deteksi IPS, remote service, Security FTP, email / IM dll, layanan Web, perawatan perangkat lunak dan support service.

Semua aset tersebut dilakukan pencatatan dengan baik dan benar sehingga dapat mempermudah saat informasi terkait aset kita peroleh, hal ini berkait dengan Control Document yang dilakukan.Demikian sekilas informasi aset dalam ISMS 

15.54 | 0 comments | Read More

Risk Awareness

Sadar atau tidak sadar kita sebagai manusia, terlahir kedunia ini sudah membawa risiko. Pada dasarnya manusia sudah akrab dengan risiko. Dalam tahapan manusia terlahir kedunia ini hingga menjadi dewasa telah banyak risiko yang dihadapi, disaat persalinan risiko yang akan dihadapi seperti lahir dengan premature, cacat, proses lahir dengan cara cesar.  Ya  begitu  rangkaian manusia sebagai objek yang tercipta untuk melewati risiko dalam hidupnya.
Dalam tata kelola IT dikenal dengan istilah IT Governance, sebuah cerminan pengelolaan IT yang baik dan benar dalam sebuah organisasi. Karena IT sekarang tidak lagi hanya sebagai supporting dalam dunia bisnis tetapi menjadi penggerak bisnis bahkan menjadi sumber profit yang dapat diperoleh dalam bentuk konversi dapat saya katakan.
Dalam dunia perbankkan misalnya berapa keuntungan yang dapat diperoleh dengan penerapan IT secara baik dan benar. Tetapi semua itu tetap berdasarkan analisa risiko yang telah dilakukan dengan baik dan benar sesuai. Berkiblat pada regulasi dari Bank Indonesia terkait manajemen risiko dalam peraturan Bank Indonesia No: 9/15/PBI/2007. Secara tegas mengharuskan setiap bank untuk melibatkan proses manajemen risiko dalam melakukan langkah - langkah terkait bisnisnya.
Dengan beberapa kemudahan yang diberikan kepada nasabah, hal tersebut menjadi perhatian industri IT perbankkan, seperti kita ketahui bersama semakin mudah memperoleh akses akan menjadi semakin rentan terhadap segala risiko yang timbul.
Kepedulian terhadap risiko yang melekat (inherent risk) akan menjadi komponen penting dalam menilai seuatu risiko yang akan terjadi.
Melaksanakan kepedulian terhadap risiko karena pada dasarkan risiko terkait informasi bukan hanya menjadi tanggung jawab dept/divisi IT saja. Semua komponen organisasi memiliki kewajiban untuk memiliki rasa kepedulian terhadap informasi.
Proses ini dapat dilakukan dengan berbagai macam cara, dengan mengadakan in house training terkait risiko apa saja yang dapat terjadi. Pada dasarnya bagaimana manajemen meningkatkan kepedulian karyawan  dan nasabah terhadap risiko yang ada.
Semisal untuk pada nasabahnya memberikan informasi bahwa untuk tidak menuliskan kode pin di kartu ATM Nasabah dan berbagai informasi disampaikan. Tidak membicarakan informasi yang bersifat confidential ditempat umum.  Dua hal tersebut adalah salah satu contoh bagaimana kepedulian terhadap risiko yang dapat dilakukan.
karena dari dua hal tersebut risiko dapat terjadi, risiko terdebetnya saldo tabungan seorang nasabah saat kartu ATMnya berada ditangan orang lain yang melakukan transaksi penarikan tunai. Dan tersebarnya informasi rahasia yang bersifat strategi kepada pihak kompetitor.

15.47 | 0 comments | Read More

Bismillahi-r Rahmani-r Rahim PASS CISA EXAM 2013

Salah satu resolusi saya untuk tahun 2013. Semoga menjadi pembuka untuk yang lainnya setelah tahun 2012 berhasil mendapatkan LA27001 Certification dari IRCA.
Besar harapan hal ini akan memberikan aspek positif bagi diri saya pribadi, terutama untuk penghasilan.

12.37 | 0 comments | Read More

Inefisiensi Anggaran Pemerintah RI tahun 2012

 

ilustrasi kompas.com

Lengkap sudah rakyat Indonesia menerima semua ketidakadilan di negerinya sendiri. rakyat dengan sangat dan amat terpaksa untuk menerima kenaikan BBM,Tarif Dasar Listrik, Naiknya Harga Gas LPG, harga sembako yeng terus meninggi. Tanggal 3 Mei 2013 tepatnya berita tersebut tampil dalam laman Kompas.com.

Inefisiensi dana anggaran pemerintah sebesar Rp.72 Triliun. Woooww jumlah yang luar biasa. Kantong - kantong inefisiensi diinformasikan  terdapat di beberapa departemen diantaranya :

Kementrian Pendidikan dan Budaya (Rp 10 Triliun) , Kepolisian Republik Indonesia Rp 7.1 Triliun, Kementrian Pekerjaan Umum (Rp 7 Triliun), Kementrian Agama (Rp 6.7 Triliun) dan Kementrian Perhubungan (Rp 4.9 Triliun). 

Jumlah yang fantastik bukan ...  ? 

Seperti ini kah mereka mengelola uang rakyat ? Dengan susah payah sebagian masyarakat mencari nafkah. karena perlu diingat pada dasarnya semua komponen biaya yang kita keluarkan ada komponen pajak walau tidak secara lansung kita yang membayar (Produsen produk yang membayar pajak) karena komponen tersebut telah dimasukan dalam komponen harga Retail yang diterima oleh masyarakat.

Belum pernah membaca dan mendengar terkait kebijakan pemerintah yang membuat rakyatnya sejahtera berdasarkan keadilan seperti Sila 3 dari Pancasila (Keadilan Sosial bagi seluruh masyarakat). 

yang sering kita dengar himbawan dari pemerintah adalah "dengan keterbatasan anggaran maka ...bla... bla bla..."  atau "Untuk mengamankan anggaran maka bla... bla   bla  ". 

Tetapi  gaya hidup mereka tetap saja seperti jaman feodal (jaman kerajaan). Bukannya memberikan service kepada rakyatnya malam meminta service dari rakyatnya. sungguh terlalu (kalau kata Bang Haji Roma ).

Andaikan dana sebanyak itu dapat dijadikan sekolah untuk masyarakat, jalan raya, pabrik hingga berguna untuk kepentingan rakyatnya. sehingga tidak ada lagi sekolah - sekolah yang ambruk berkurangnya jalan yang berlubang, adanya tempat bekerja baru bagi masyarakat.

09.58 | 0 comments | Read More

IT Governance Focus Areas

Keselarasan strategis berfokus pada memastikan keterkaitan bisnis dan rencana TI perusahaan, mendefinisikan, memelihara dan memvalidasi nilai berdasarkan proposisinya, dan menyelaraskan operasi dengan operasi IT perusahaan .

Delivery value adalah tentang menjalankan proposisi nilai seluruh siklus delivery, memastikan bahwa TI memberikan manfaat yang dijanjian terhadap strategi, konsentrasi pada optimalisasi biaya dan membuktikan nilai intrinsik dari TI 

Pengelolaan sumber daya adalah bagaimana tentang mengoptimalkan tentang investasi dalam pengelolaan yang baik, dan sumber daya kritis TI: aplikasi, informasi, infrastruktur dan orang-orang. Isu kunci terkait dengan optimalisasi pengetahuan dan infrastruktur.

Manajemen risiko membutuhkan kesadaran risiko oleh top manajemen dan pejabat senior perusahaan, yang jelas memahami risiko untuk perusahaannya, understanding of compliance dan prasyaratnya, serta dapat transparan memerikan informasi tentang risiko yang signifikan terhadap perusahaan yang menjadi tanggung jawab manajemen dalam organisasi.

Pengukuran kinerja (performance measurable)  dengan  melakukan monitoring terhadap dengan implementasi strategi,  penyelesaian proyek, penggunaan sumber daya, kinerja proses dan pelayanan, dengan menggunakan misalnya, balanced scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan yang terukur.

11.29 | 0 comments | Read More

Business Countinuity Plan

ground zero 911

Disaster adalah kejadian yang waktu terjadinya tidak dapat diprediksi dan bersifat sangat merusak. Pengertian ini mengidentifikasikan sebuah kejadian yang setidaknya memiliki tiga faktor, yaitu waktu terjadinya secara tiba-tiba, tidak diharapkan dan bersifat sangat merusak.

Disaster dapat terjadi dengan frekwensi yang tidak menentu dan apabila tidak mempersiapkan diri, dampak yang ditimbulkan akan sangat mempengaruhi operasional perusahaan. Rencana pencegahan dan pemulihan kembali dapat membantu melindungi semua asset perusahaan, termasuk sumber daya manusia, pekerjaan, data dan fasilitas pendukung semua fungsi bisnis.

Disaster secara umum dapat dibedakan sebagai berikut :

·    Bencana alam, yaitu kejadian yang penyebab utamanya adalah alam, seperti banjir, gempa bumi, gunung meletus, badai, dan sejenisnya.

·   Kejadian yang disebabkan oleh manusia, seperti bom, sabotase, huru hara, kebakaran dan sejenisnya.

·  Ancaman lainnya yang bukan karena bencana atau disebabkan oleh manusia, seperti gangguan hardware, komunikasi, gangguan system aplikasi dan software pendukungnya, dan sejenisnya.

Pada Desember 2006, British Standard Intitute menerbitkan standar independen baru untuk BCP, yaitu BS 25999 yang dapat diterapkan di semua organisasi.

Jalur api dunia

Indonesia negara kepulauan yang diikuti dengan jalur cincin api dunia, setelah gempa Aceh tahun 2004 wilayah Indonesia sering dilanda gempa dari skala kecil hingga besar. Tak kurang lebih dari 162 bencana di tahun 2006, 456 bencana di tahun 2008, 204 bencana hingga Juni 2009. (Sumber: Data Pusat Penanggulangan Krisis, Depkes, 2009).   

Sasaran penyusunan pedoman BCP/DRP  agar seluruh personil  perusahaan , khususnya personil terkait (personil Divisi TI maupun Divisi Operation) memiliki panduan yang dapat digunakan dalam menghadapi kondisi disaster yang sesungguhnya, sehingga dapat :

• Mengamankan asset penting perusahaan.
• Meminimalkan risiko akibat disaster, misalnya mambatasi kerugian financaial,risiko hukum dan risiko reputasi
• Meyakini ketersediaan layanan perusahaan yang berkesinambungan dan, 

Mempersiapkan lokasi alternative site agar fungsi bisnis yang kritikal tetap dapat berjalan sehingga kelangsungan operasional perusahaan tetap terjamin, baik melalui prosedur manual maupun menggunakan back up Data Center.

Ilustrasi DataCenter

14.22 | 2 comments | Read More