Business Continuity Planning BCP Disaster Recovery Planning DRP
Business Continuity Planning (BCP) & Disaster Recovery Planning (DRP) 1
Business Continuity Planning (BCP) & Disaster Recovery Planning (DRP) Bagaimana melestarikan fungsi penting dari bisnis dalam menghadapi bencana. Review Summary
Tujuan utama BCP: • Kelanjutan proses bisnis penting ketika bencana menghancurkan kemampuan pengolahan data • Persiapan, pengujian dan pemeliharaan tindakan khusus untuk memulihkan proses menjadi normal (BCP)
Bencana – alam, buatan • Kebakaran, banjir, angin topan, tornado, gempa bumi, gunung berapi • Kecelakaan pesawat, vandalisme, terorisme, kerusuhan, sabotase, kehilangan personil, dll • Segala sesuatu yang mengurangi atau menghancurkan kemampuan pengolahan data normal
Bencana dalam definisi bisnis • Jika merugikan proses bisnis penting, mungkin menjadi bencana • Berbasis definisi waktu - berapa lama bisnisbisa tahan dalam kondisi sakit? • Probabilitas terjadinya
Tujuan umum BCP- CIA • Ketersediaan (availability) - fokus utama • Kerahasiaan (confidentiality) - tetap penting • Integritas (integrity)- tetap penting
Tujuan BCP • Membuat, dokumen, pengujian, memperbarui rencana yang akan: dan – Memungkinkan pemulihan tepat waktu operasi bisnis penting – Meminimalkan kerugian – Memenuhi persyaratan hukum dan peraturan
Lingkup BCP • Digunakan hanya untuk pusat data • Sekarang meliputi: – Operasi terdistribusi – Personil, jaringan, kekuasaan – Semua aspek dari lingkungan TI
Membuat sebuah BCP • Apakah proses yang sedang berjalan, bukan proyek dengan waktu tertentu – Menciptakan, pengujian, pemeliharaan, dan memperbarui – "Kritis" fungsi bisnis bisa berkembang • Tim BCP harus mencakup baik bisnis dan personil TI • Membutuhkan dukungan dari manajemen senior
Lima fase BCP • Manajemen proyek & inisiasi • Business Impact Analysis (BIA) • Pemulihan strategi • Rencana desain & pengembangan • Pengujian, pemeliharaan, kesadaran, pelatihan
I – Manajemen Proyek& inisiasi • Membangun kebutuhan (analisis risiko) • Dapatkan dukungan manajemen • Membentuk tim (fungsional, teknis, BCC Business Continuity Coordinator) • Membuat rencana kerja (ruang lingkup, tujuan, metode, waktu) • Laporan Awal ke manajemen • Mendapatkan persetujuan manajemen untuk melanjutkan
II - Business Impact Analysis (BIA) • Tujuan: memperoleh persetujuan resmi dengan manajemen senior MTD (maksimum tolerable downtime) untuk setiap sumber daya bisnis dalam waktukritis • MTD – waktu molor maksimum yang dapat ditoleransi, juga dikenal sebagai MAO (Maksimum Allowable Outage)
II - Business Impact Analysis (BIA) • Mengkuantifikasi kerugian akibat terhentinya proses bisnis (keuangan tambahan, biaya pemulihan, malu) • Apakah tidak memperkirakan kemungkinan macam insiden, hanya mengkuantifikasi konsekuensi
II - BIA phases • Pilih metode pengumpulan informasi (survei, wawancara, perangkat lunak) • Pilih yang akan diwawancarai • Customize kuesioner • Menganalisis informasi • Mengidentifikasi waktu-kritis fungsi bisnis
II - BIA phases (continued) • Tetapkan MTDS • Rank fungsi bisnis kritis dengan MTDS • Laporan opsi pemulihan • Mendapatkan persetujuan manajemen
III – Strategi Pemulihan • Strategi Pemulihan didasarkan pada MTDS • Predefined • Yang disetujui Manajemen
III – Strategi Pemulihan • Berbeda teknis strategi • Biaya dan manfaat yang berbeda • Bagaimana memilih? • Hati-hati analisis biaya-manfaat • Didorong oleh kebutuhan bisnis
III – Strategi Pemulihan • Strategi harus membahas pemulihan: – Operasi bisnis – Fasilitas & perlengkapan – Pengguna (pekerja dan pengguna akhir) – Jaringan, pusat data (teknis) – Data (off-site backup data dan aplikasi)
III – Strategi Pemulihan – Teknis Strategi pemulihan - lingkup • Pusat data • Jaringan • Telekomunikasi
III – Strategi Pemulihan – Teknis Strategi pemulihan - metode • Berlangganan layanan • Perjanjian bantuan timbal balik • Redundant pusat data • Biro jasa
III – Strategi Pemulihan – Teknis Strategi pemulihan - situs layanan berlangganan • Hot - lengkap • Hangat – hilangnya komponen kunci • Dingin - mengosongkan pusat data • Mirror – penuh redundansi • Mobile - trailer penuh komputer
III – Strategi Pemulihan – Strategi pemulihan Teknis perjanjian bantuan timbal balik • Saya akan membantu Anda jika Anda akan membantu saya! • Murah • Biasanya tidak praktis
III – Recovery strategies – Strategi pemulihan Teknis pusat pengolahan berlebihan • Mahal • Mungkin tidak cukup kapasitas cadangan untuk operasi kritis
III – Recovery strategies – Teknis strategi pemulihan layanan biro • Banyak klien berbagi fasilitas • Hampir mahal sebagai situs panas • Harus menegosiasikan perjanjian dengan klien lain
III – Recovery strategies – Teknis pemulihan strategi-data • Backup data dan aplikasi • Off-site vs di tempat penyimpanan media • Seberapa cepat bisa data akan dipulihkan? • Berapa banyak data dapat anda kalah? • Keamanan off-situs media backup • Jenis backup (full, incremental, diferensial, dll)
IV – BCP development / implementation – Rencana rinci untuk pemulihan • Bisnis & pemulihan rencan layanan • Pemeliharaan • Kesadaran dan pelatihan • Pengujian
IV – BCP development / implementation – Contoh rencana fase • Awal penanganan bencana • Penting, Resume ops bisnis • Resume bisnis non-ops • Restorasi (kembali ke situs utama) • Berinteraksi dengan kelompok-kelompok eksternal (pelanggan, media, responden darurat)
V – BCP final phase – – Pengujian Pemeliharaan Kesadaran Pelatihan
V – BCP final phase - testing – Sampai itu diuji, Anda tidak punya rencana – Jenis pengujian • Jalan yang Terstruktur • Daftar Periksa • Simulasi • Paralel • Penuh gangguan
V – BCP final phase maintenance – Memperbaiki masalah yang ditemukan dalam pengujian – Menerapkan manajemen perubahan – Audit dan temuan audit alamat – Tahunan pengkajian atas rencana – Membangun rencana ke organisasi
V – BCP final phase - training – tim BCP mungkin tim DR – pelatihan BCP harus terusmenerus – pelatihan BCP perlu menjadi bagian dari-on boarding standar dan bagian dari budaya perusahaan
References §Official (ISC)2 Guide to the CISSP Exam
- Slides: 32