Continuity Bussiness Plan & Disaster Recovery

Report
Business Continuity Planning
(BCP) & Disaster Recovery
Planning (DRP)
1
Business Continuity Planning
(BCP) & Disaster Recovery
Planning (DRP)
Bagaimana melestarikan fungsi
penting dari bisnis dalam
menghadapi bencana.
Review
Summary
Tujuan utama BCP:
•Kelanjutan proses bisnis penting ketika
bencana menghancurkan kemampuan
pengolahan data
•Persiapan, pengujian dan pemeliharaan
tindakan khusus untuk memulihkan
proses menjadi normal (BCP)
Bencana – alam, buatan
• Kebakaran, banjir, angin topan, tornado,
gempa bumi, gunung berapi
• Kecelakaan
pesawat,
vandalisme,
terorisme,
kerusuhan,
sabotase,
kehilangan personil, dll
• Segala sesuatu yang mengurangi atau
menghancurkan kemampuan pengolahan
data normal
Bencana dalam definisi bisnis
• Jika merugikan proses bisnis penting,
mungkin menjadi bencana
• Berbasis definisi waktu - berapa lama
bisnisbisa tahan dalam kondisi sakit?
• Probabilitas terjadinya
Tujuan umum BCP- CIA
• Ketersediaan (availability) - fokus
utama
• Kerahasiaan (confidentiality) - tetap
penting
• Integritas (integrity)- tetap penting
Tujuan BCP
• Membuat, dokumen, pengujian,
memperbarui rencana yang akan:
dan
– Memungkinkan pemulihan tepat waktu
operasi bisnis penting
– Meminimalkan kerugian
– Memenuhi persyaratan hukum dan peraturan
Lingkup BCP
• Digunakan hanya untuk pusat data
• Sekarang meliputi:
– Operasi terdistribusi
– Personil, jaringan, kekuasaan
– Semua aspek dari lingkungan TI
Membuat sebuah BCP
• Apakah proses yang sedang berjalan,
bukan proyek dengan waktu tertentu
– Menciptakan, pengujian, pemeliharaan, dan
memperbarui
– "Kritis" fungsi bisnis bisa berkembang
• Tim BCP harus mencakup baik bisnis dan
personil TI
• Membutuhkan dukungan dari manajemen
senior
Lima fase BCP
• Manajemen proyek & inisiasi
• Business Impact Analysis (BIA)
• Pemulihan strategi
• Rencana desain & pengembangan
• Pengujian, pemeliharaan, kesadaran,
pelatihan
I – Manajemen Proyek&
inisiasi
• Membangun kebutuhan (analisis risiko)
• Dapatkan dukungan manajemen
• Membentuk tim (fungsional, teknis, BCC Business Continuity Coordinator)
• Membuat rencana kerja (ruang lingkup, tujuan,
metode, waktu)
• Laporan Awal ke manajemen
• Mendapatkan persetujuan manajemen untuk
melanjutkan
II - Business Impact Analysis
(BIA)
• Tujuan: memperoleh persetujuan resmi
dengan
manajemen
senior
MTD
(maksimum tolerable downtime) untuk
setiap sumber daya bisnis dalam waktukritis
• MTD – waktu molor maksimum yang dapat
ditoleransi, juga dikenal sebagai MAO
(Maksimum Allowable Outage)
II - Business Impact Analysis
(BIA)
• Mengkuantifikasi
kerugian
akibat
terhentinya proses bisnis (keuangan
tambahan, biaya pemulihan, malu)
• Apakah
tidak
memperkirakan
kemungkinan macam insiden, hanya
mengkuantifikasi konsekuensi
II - BIA phases
• Pilih metode pengumpulan informasi
(survei, wawancara, perangkat lunak)
• Pilih yang akan diwawancarai
• Customize kuesioner
• Menganalisis informasi
• Mengidentifikasi waktu-kritis fungsi bisnis
II - BIA phases (continued)
• Tetapkan MTDS
• Rank fungsi bisnis kritis dengan MTDS
• Laporan opsi pemulihan
• Mendapatkan persetujuan manajemen
III – Strategi Pemulihan
• Strategi Pemulihan didasarkan pada
MTDS
• Predefined
• Yang disetujui Manajemen
III – Strategi Pemulihan
• Berbeda teknis strategi
• Biaya dan manfaat yang berbeda
• Bagaimana memilih?
• Hati-hati analisis biaya-manfaat
• Didorong oleh kebutuhan bisnis
III – Strategi Pemulihan
• Strategi harus membahas pemulihan:
– Operasi bisnis
– Fasilitas & perlengkapan
– Pengguna (pekerja dan pengguna akhir)
– Jaringan, pusat data (teknis)
– Data (off-site backup data dan aplikasi)
III – Strategi Pemulihan
– Teknis Strategi pemulihan - lingkup
•Pusat data
•Jaringan
•Telekomunikasi
III – Strategi Pemulihan
– Teknis Strategi pemulihan - metode
•Berlangganan layanan
•Perjanjian bantuan timbal balik
•Redundant pusat data
• Biro jasa
III – Strategi Pemulihan
– Teknis Strategi pemulihan - situs
layanan berlangganan
•Hot - lengkap
•Hangat – hilangnya komponen kunci
•Dingin - mengosongkan pusat data
•Mirror – penuh redundansi
•Mobile - trailer penuh komputer
III – Strategi Pemulihan
– Strategi pemulihan Teknis perjanjian bantuan timbal balik
•Saya akan membantu Anda jika
Anda akan membantu saya!
•Murah
•Biasanya tidak praktis
III – Recovery strategies
– Strategi pemulihan Teknis pusat pengolahan berlebihan
•Mahal
•Mungkin tidak cukup kapasitas
cadangan untuk operasi kritis
III – Recovery strategies
– Teknis strategi pemulihan
layanan biro
•Banyak klien berbagi fasilitas
•Hampir mahal sebagai situs panas
•Harus menegosiasikan perjanjian
dengan klien lain
III – Recovery strategies
– Teknis pemulihan strategi-data
• Backup data dan aplikasi
• Off-site vs di tempat penyimpanan media
• Seberapa cepat bisa data akan dipulihkan?
• Berapa banyak data dapat anda kalah?
• Keamanan off-situs media backup
• Jenis backup (full, incremental, diferensial, dll)
IV – BCP development / implementation
– Rencana rinci untuk pemulihan
• Bisnis & pemulihan rencan layanan
• Pemeliharaan
• Kesadaran dan pelatihan
• Pengujian
IV – BCP development / implementation
– Contoh rencana fase
• Awal penanganan bencana
• Penting, Resume ops bisnis
• Resume bisnis non-ops
• Restorasi (kembali ke situs utama)
• Berinteraksi dengan kelompok-kelompok
eksternal (pelanggan, media, responden
darurat)
V – BCP final phase
–
–
–
–
Pengujian
Pemeliharaan
Kesadaran
Pelatihan
V – BCP final phase - testing
– Sampai itu diuji, Anda tidak punya rencana
– Jenis pengujian
• Jalan yang Terstruktur
• Daftar Periksa
• Simulasi
• Paralel
• Penuh gangguan
V – BCP final phase maintenance
– Memperbaiki masalah yang
ditemukan dalam pengujian
– Menerapkan manajemen
perubahan
– Audit dan temuan audit alamat
– Tahunan pengkajian atas rencana
– Membangun rencana ke organisasi
V – BCP final phase - training
– tim BCP mungkin tim DR
– pelatihan BCP harus terusmenerus
– pelatihan BCP perlu menjadi
bagian dari-on boarding standar
dan bagian dari budaya
perusahaan
References
Official (ISC)2 Guide to the CISSP
Exam

similar documents