Membuat Rencana dan Menentukan Strategi Pemulihan Bencana

Membuat Rencana dan Menentukan Strategi Pemulihan Bencana

Merumuskan rencana pemulihan secara rinci adalah tujuan utama dari seluruh proyek rencana pemulihan bencana TI. Strategi pemulihan bencana harus memastikan langkah-langkah yang rinci yang diperlukan untuk memulihkan sistem TI Anda ke keadaan di mana mereka dapat mendukung bisnis setelah bencana.

Tapi sebelum Anda dapat menghasilkan rencana pemulihan secara terperinci, Anda harus melakukan penilaian risiko (Risk Analysis atau RA) dan / atau analisis dampak bisnis (Business Impact Analysis atau BIA) untuk mengidentifikasi layanan TI yang mendukung kegiatan bisnis terpenting. Kemudian, Anda harus menetapkan tujuan waktu pemulihan (RTO) dan tujuan titik pemulihan (RPO).

Menyusun Rencana dan Menetapkan Strategi Pemulihan Bencana

Setelah pekerjaan ini berjalan, Anda siap untuk beralih ke pengembangan strategi pemulihan bencana, yang diikuti oleh rencana yang sebenarnya. Di sini kita akan menjelaskan bagaimana menulis rencana pemulihan bencana serta bagaimana mengembangkan strategi pemulihan bencana.

Mengembangkan strategi DR

Mengenai strategi pemulihan bencana, ISO / IEC 27031, standar global untuk pemulihan bencana teknologi informasi, menyatakan, “Strategi harus mendefinisikan pendekatan untuk menerapkan ketahanan yang diperlukan sehingga prinsip-prinsip pencegahan insiden, deteksi, respon, pemulihan dan restorasi siap di tempat”. Strategi pemulihan bencana menentukan apa yang Anda lakukan ketika menanggapi insiden, sementara rencana menjelaskan bagaimana Anda akan melakukannya.

Setelah Anda telah mengidentifikasi sistem kritis di perusahaan, RTO, RPO, buatlah tabel seperti yang ditunjukkan di bawah ini, untuk membantu Anda merumuskan strategi pemulihan bencana yang akan Anda gunakan untuk melindungi aset (aplikasi, data, perangkat) kritis perusahaan.

tabel strategi pemulihan bencana 1

tabel 1 strategi pemulihan bencana

Pertimbangkan isu-isu seperti anggaran, posisi manajemen berkaitan dengan risiko, ketersediaan sumber daya, biaya dan keuntungan, kendala manusia, kendala teknologi dan kewajiban regulasi.

Mari kita meneliti beberapa faktor tambahan dalam definisi strategi.

  • Personel

    Ini melibatkan ketersediaan staf / kontraktor, pelatihan kebutuhan staf / kontraktor, duplikasi keterampilan yang penting sehingga dapat menjadi orang utama dan paling sedikit satu cadangan. Sediakan dokumentasi untuk digunakan oleh staf, dan tindak lanjut untuk memastikan retensi pengetahuan staf dan kontraktor.  Harus juga dibuat perangkat kebijakan dan struktur organisasi kantor yang akan dijalankan ketika terjadinya bencana.

  • Fasilitas Fisik

    Perhatikan ketersediaan area wilayah kerja alternatif dalam situs yang sama, di lokasi perusahaan yang berbeda, di lokasi pihak ketiga yang disediakan atau disaster recovery data center, di rumah-rumah karyawan atau pada fasilitas bergerak. Kemudian pertimbangkan keamanan situs, prosedur akses staf, lencana ID dan lokasi ruang alternatif relatif terhadap situs utama.

  • Teknologi

    Anda akan perlu mempertimbangkan akses ke ruang peralatan yang dikonfigurasi dengan benar untuk sistem IT. Misalnya; struktur raised floor, kondisi suhu ideal, ventilasi dan pendingin udara (HVAC) untuk sistem IT; daya listrik utama yang cukup; infrastruktur telekomunikasi data dan suara; jarak dari bidang teknologi alternatif ke situs utama; ketentuan untuk staf di sebuah situs teknologi alternatif; ketersediaan failover (untuk sistem cadangan) dan failback (kembali ke operasi normal) teknologi untuk memfasilitasi pemulihan; dukungan untuk sistem yang lama; dan kemampuan keamanan fisik dan informasi di situs alternatif.

  • Data

    Area yang perlu diperhatikan, termasuk pada ketepatan backup data penting ke tempat penyimpanan yang aman sesuai dengan persyaratan RTO / RPO, metode dari penyimpanan data (disk, tape, optik, dll), konektivitas dan kebutuhan bandwidth untuk memastikan semua data penting bisa didukung sesuai dengan RTO / RPO berdasar skala waktu. Kemampuan perlindungan data di lokasi penyimpanan alternatif, dan ketersediaan dukungan teknis dari penyedia layanan pihak ketiga yang berkualitas juga merupakan hal yang tidak kalah pentingnya untuk memastikan kesuksesan rencana pemulihan bencana anda.

  • Pemasok

    Anda harus mengidentifikasi kontrak dengan pemasok utama dan alternatif untuk semua sistem kritis dan proses, dan bahkan SDM. Bidang utama di mana pemasok alternatif akan menjadi penting termasuk hardware (seperti server, rak, dll), listrik (seperti baterai, pasokan listrik universal, perlindungan daya, dll), jaringan (telekomunikasi suara dan data), perbaikan dan penggantian komponen , dan perusahaan pengiriman beberapa (FedEx, UPS, dll).

  • Kebijakan dan prosedur

    Menentukan kebijakan untuk pemulihan bencana TI yang telah disetujui oleh manajemen senior. Kemudian menentukan prosedur langkah-demi-langkah untuk, misalnya, melakukan backup data untuk mengamankan lokasi alternatif, pindah operasi ke DRC data center pihak ketiga, memulihkan sistem dan data pada situs alternatif, dan kembali beroperasi di kedua situs asli atau di lokasi baru.

Situs Pemulihan Bencana

Akhirnya, pastikan untuk mendapatkan manajemen sign-off untuk strategi Anda. Bersiaplah untuk menunjukkan bahwa strategi Anda selaras dengan tujuan bisnis perusahaan dan strategi kelangsungan bisnis.

Menerjemahkan strategi pemulihan bencana ke dalam rencana DR

Setelah strategi pemulihan bencana telah dikembangkan, Anda siap untuk menerjemahkannya ke dalam rencana pemulihan bencana. Mari kita lihat Tabel 1 dan menyusun kembali ke Tabel 2, sepert terlihat di bawah.

Di sini kita dapat melihat sistem kritis dan ancaman yang terkait, strategi respon dan langkah-langkah tindakan respon, serta strategi pemulihan dan langkah-langkah tindakan pemulihan yang baru. Pendekatan ini dapat membantu Anda dengan cepat menelusuri dan menentukan langkah-langkah tindakan tingkat tinggi.

tabel strategi pemulihan bencana 2

tabel 2 pengembangan strategi pemulihan bencana

Dari Tabel 2 Anda dapat memperluas langkah lanjutan ke dalam prosedur yang lebih rinci terhadap apa yang diperlukan. Pastikan mereka terkait dalam urutan yang tepat.

Mengembangkan rencana DR

Rencana DR memberikan proses langkah-demi-langkah untuk menanggapi suatu peristiwa yang mengganggu. Prosedur harus memastikan proses yang mudah digunakan dan berulang untuk memulihkan kerusakan aset TI dan mengembalikan mereka ke operasi normal secepat mungkin. Jika staf mengalihkan ke situs pihak ketiga atau ruang alternatif lain diperlukan, prosedur harus dikembangkan untuk kegiatan tersebut.

Ketika mengembangkan rencana pemulihan bencana, pastikan untuk meninjau standar global ISO / IEC 24762 untuk pemulihan bencana dan ISO / IEC 27035 (sebelumnya ISO 18044) untuk kegiatan respon insiden.

Respon insiden

Selain menggunakan strategi dikembangkan sebelumnya, rencana pemulihan bencana IT harus menjadi bagian dari proses respon insiden yang membahas tahap awal insiden dan langkah-langkah yang akan diambil. Proses ini dapat dilihat sebagai garis waktu, seperti pada Gambar dibawah ini, di mana tindakan respon insiden mendahului tindakan pemulihan bencana.

time line strategi pemulihan bencana

Catatan: Kami telah mencantumkan manajemen darurat pada gambar diatas, karena merupakan kegiatan yang mungkin diperlukan untuk mengatasi situasi di mana manusia terluka atau situasi seperti kebakaran yang harus diatasi oleh pasukan pemadam kebakaran lokal dan responden pertama lainnya.

Struktur rencana DR

Bagian berikut merupakan detail elemen dalam rencana DR seuait urutan yang didefinisikan oleh ISO 27031 dan ISO 24762.

Penting: Rencana DR Terbaik harus dimulai dengan beberapa halaman yang meringkas langkah tombol aksi (seperti evakuasi karyawan) dan daftar kontak kunci dan informasi kontak mereka untuk kemudahan otorisasi dan menjalankan rencana.

  1. Perkenalan

    Setelah halaman darurat awal, rencana DR memiliki pendahuluan yang mencakup tujuan dan ruang lingkup dari rencana. Bagian ini harus menentukan siapa yang telah menyetujui rencana, yang berwenang untuk mengaktifkannya dan daftar keterkaitan rencana lain yang relevan dan dokumen.

  2. Peran dan tanggung jawab

    Bagian berikutnya harus mendefinisikan peran dan tanggung jawab anggota tim pemulihan bencana, rincian kontak mereka, batas pengeluaran (misalnya, jika peralatan harus dibeli) dan batas kewenangan mereka dalam situasi bencana.

  3. Respon Insiden

    Selama proses respon insiden, kita biasanya menyadari situasi diluar normal (seperti yang diperingatkan oleh berbagai tingkatan alarm). Dengan cara ini anda bisa dengan cepat menilai situasi (dan kerusakan) untuk membuat penentuan awal beratnya, upaya mengandung insiden itu dan membawanya kembali di bawah kendali, dan memberitahu manajemen dan stakeholder kunci lainnya.

  4. Aktivasi Rencana

    Berdasarkan temuan dari kegiatan respon insiden, langkah berikutnya adalah untuk menentukan apakah rencana pemulihan bencana harus diluncurkan, dan mana yang khususnya harus dilakukan paling dahulu. Jika rencana DR yang akan dilakukan, kegiatan respon insiden dapat di turunkan atau dihentikan, tergantung pada insiden tersebut, layak untuk peluncuran rencana DR atau tidak. Bagian ini mendefinisikan kriteria untuk meluncurkan rencana, data apa yang dibutuhkan dan apa yang paling menentukan. Termasuk dalam hal ini, bagian dari rencana harus mencakup titik berkumpul untuk staf (primer dan alternatif), prosedur untuk memberitahukan dan mengaktifkan anggota tim DR, dan prosedur operasional jika manajemen menentukan respon rencana DR tidak diperlukan.

  5. Dokumentasi Perubahan Rencana

    Sebuah bagian pada tanggal dokumen rencana dan revisi adalah penting, dan harus mencakup tanggal revisi, apa yang direvisi dan siapa yang menyetujui revisi. Hal ini dapat terletak di depan dokumen rencana.

  6. Prosedur

    Setelah rencana telah diluncurkan, tim DR mengambil bahan yang ditugaskan kepada mereka dan melanjutkan dengan kegiatan respon dan pemulihan sebagaimana ditentukan dalam rencana. Semakin rinci rencana itu, semakin besar kemungkinan aset TI yang terkena dampak akan pulih dan kembali ke operasi normal. Teknologi pemulihan bencana dapat ditingkatkan dengan informasi pemulihan yang relevan dan prosedur yang diperoleh dari sistem vendor. Periksa dengan vendor Anda ketika mengembangkan strategi pemulihan bencana Anda untuk melihat apa yang mereka miliki dalam hal dokumentasi pemulihan darurat.

  7. Lampiran

    Terletak di ujung dari rencana, ini dapat mencakup persediaan sistem, persediaan aplikasi, persediaan aset jaringan, kontrak dan perjanjian tingkat layanan, data kontak pemasok, dan dokumentasi tambahan yang akan memfasilitasi strategi pemulihan bencana anda.

Kegiatan lebih lanjut

Setelah rencana pemulihan bencana Anda telah selesai, mereka siap untuk dilaksanakan. Proses ini akan menentukan apakah mereka akan memulihkan dan mengembalikan aset TI seperti yang direncanakan.

Sejalan dengan kegiatan tersebut, ada tiga tambahan:

  • kesadaran karyawan,
  • pelatihan, dan
  • manajemen pencatatan.

Ini penting untuk memastikan karyawan sepenuhnya menyadari rencana pemulihan bencana dan tanggung jawab mereka dalam bencana, dan anggota tim DR telah dilatih dalam peran dan tanggung jawab sebagaimana didefinisikan dalam strategi pemulihan bencana. Dan karena rencana pemulihan bencana menghasilkan sejumlah besar dokumentasi, kegiatan manajemen catatan (dan manajemen perubahan) juga harus dimulai. Jika organisasi Anda sudah memiliki catatan manajemen dan perubahan program manajemen, gunakan dalam perencanaan DR Anda.