ARTIKEL
Business Continuity Planning (BCP)
Business continuity/disaster recovery planning (BCP/DRP) merupakan satu bentuk perencanaan yang umumnya dilakukan oleh banyak organisasi di dunia ini untuk tetap bertahan hidup ketika terjadi bencana maupun musibah. BCP/DRP sekarang ini bisa dikatakan bukanlah barang mewah, melainkan sudah menjadi elemen pokok dalam satu program manajemen risiko. Bahkan di beberapa negara maju, BCP/DRP sudah menjadi aturan hukum yang wajib dipenuhi oleh suatu organisasi.Selain itu BCP adalah proses yang dirancang guna mengurangi risiko usaha dari suatu organisasi dari bencana yang tidak diduga atas kegiatan/fungsi yang bersifat kritikal baik manual maupun otomatisasi yang vital bagi kelangsungan hidup organisasi..Tujuan business continuity/disaster recovery planning adalah untuk memungkinkan suatu organisasi dapat melanjutkan kegiatannya ketika terjadi bencana dan dapat tetap bertahan ketika terjadi gangguan serius terhadap sistem informasinya.

# Tahapan penyusunan BCP/DRP :
Proses perencanaan suatu business continuity plan (BCP) akan memungkinkan organisasi menemukan dan mengurangi (reduce) ancaman-ancaman, menanggapi (respond) suatu peristiwa ketika peristiwa itu terjadi, pemulihan (recover) dari dampak langsung suatu peristiwa dan akhirnya mengembalikan (restore) operasi seperti semula. Prosedur reduce, respond, recover dan restore ini lebih dikenal sebagai Empat R di BCP. Adapun proses penyusunan BCP terdiri dari beberapa tahapan sebagai berikut :
1. Penyusunan kebijakan business continuity dan disaster recovery.
2. Analisa Dampak Usaha/Business Impact Analysis (BIA).
3. Klasifikasi seluruh kegiatan dan analisa kritikalitas.
4. Penyusunan BCP/DRP.
5. Pelatihan dan program kesadaran (awareness).
6. Pengujian dan penerapan dari rencana.
7. Pengawasan.
Penyusunan BCP yang efektif akan memperhitungkan seluruh ancaman (bencana) yang ada dalam proses penyusunannya. Beberapa ancaman mungkin hanya akan mempengaruhi sistem informasi selama beberapa menit saja atau bahkan hingga beberapa jam, tetapi BCP tetap harus merencanakan pemulihan (recovery) atas semua kejadian tersebut. Pemulihan tersebut mungkin berupa kegiatan sederhana dalam bentuk restore data dari backups atau memindahkan pegawai dan peralatan ke fasilitas yang baru untuk melanjutkan kegiatan usaha.

- Business Impact Analysis (BIA)
• Business impact analysis (BIA) digunakan untuk mengindentifikasikan seluruh ancaman yang dapat mempengaruhi kelangsungan usaha. Ancaman yang mungkin ditimbulkan oleh manusia maupun alam atau bahkan telekomunikasi serta pasokan listrik harus diidentifikasikan secara menyeluruh. Hasil dari BIA harus dapat memberikan gambaran secara jelas berupa dampak kelangsungan usaha atas sumber daya manusia, keuangan maupun reputasi atau citra dari organisasi. Untuk memperkirakan risiko yang berhubungan dengan kelangsungan usaha, tim penyusun BIA harus memperoleh pemahaman secara memadai atas organisasi, proses kunci usaha, dan sumber daya Teknologi Informasi (TI) yang mendukung keseluruhan proses tersebut. Tim penyusun BIA harus bekerja sama dengan manajemen senior, personel TI, dan juga pengguna akhir (end-user) untuk dapat mengindentifikasikan seluruh sumber daya yang digunakan selama kegiatan normal organisasi. Perlu diperhatikan bahwa keterlibatan dari end-user merupakan faktor penting dan kritis sepanjang fase penilaian dampak usaha dari BCP. Adapun sumber daya tersebut dapat berupa proses manual maupun yang telah diotomatisasi. Tahapan-tahapan yang dapat digunakan untuk kerangka kerja penilaian dampak usaha (business impact assessment framework) adalah sebagai berikut :
• Pengumpulan data analisa dampak usaha.
• Penyebaran kuesioner atau interview.
• Penelaahan atas hasil BIA.
• Penelitian atas kelengkapan dan konsistensi.
• Tindak lanjut melalui inverview atas area yang kurang jelas maupun informasi yang tidak tersedia.
• Penetapan waktu pemulihan (recovery time) untuk operasi, proses dan sistem yang ada.
• Penentuan alternatif pemulihan dan biaya yang diperlukan.
BIA akan membantu organisasi untuk mengetahui tingkat kerugian atas fungsi usaha dan sistem yang terkait. Termasuk di dalamnya jumlah kerugian finasial, kepercayaan konsumen dan juga dampak terhadap citra organisasi. Kuesioner dan interview dari BIA harus dapat mengumpulkan informasi dari unit usaha sebagai berikut :
• Dampak keuangan sebagai akibat ketidakmampuan beroperasi selama beberapa periode waktu.
• Dampak operasional di setiap unit usaha.
• Kebijakan dan prosedur yang berlaku untuk pemulihan.
• Kebutuhan secara teknikal untuk pemulihan.

- BCP Recovery Strategy Risks Vs Costs
Pada umumnya, dalam penentuan awal strategi pemulihan, suatu organisasi memiliki lebih dari satu strategi. Penentuan strategi pemulihan yang terbaik haruslah mempertimbangkan antara faktor biaya dan juga risiko. Sebagai contoh, suatu organisasi memiliki dua strategi pemulihan dengan rincian biaya sebagai berikut :
Strategy 1
1. Risiko tertinggi dari kedua strategi telah diperhitungkan bagi implementasi.
2. Biaya pre-event per tahun sebesar $50K.
3. Biaya terendah dari kejadian yang dapat diperkirakan dari kedua strategi adalah $470K;

Strategy 2
1. Risiko terendah dari kedua strategi telah diperhitungkan bagi impelementasi.
2. Tidak ada biaya pre-event.
3. Biaya tertinggi dari kejadian yang dapat diperkirakan dari kedua strategi adalah $470K;
Keputusan yang akan diambil berupa apakah organisasi akan mengambil risiko tertinggi dengan biaya kejadian yang lebih rendah atau strategi dengan risiko yang terendah dengan biaya kejadian yang lebih tinggi? Dengan kata lain, terdapat ‘trade-off’ antara risiko dan biaya yang harus dipilih oleh organisasi. Jika diantara kedua strategi tersebut pertimbangan antara risiko dan biayanya adalah seimbang, maka faktor ketiga yang harus diperhitungkan adalah manfaat (benefit). Manfaat dari masing-masing strategi harus dievaluasi dan dibandingkan dengan risiko yang mungkin timbul dari masing-masing strategi. Kenyataan yang sering dihadapi oleh organisasi adalah pada saat bencana terjadi, pemilihan strategi yang keliru dapat menambah beban yang harus dihadapi oleh organisasi disamping bencana itu sendiri dan dapat memaksa organisasi untuk menutup usahanya.
- Klasifikasi seluruh kegiatan dan analisa kritikalitas
Menurut ISACA (Information System Audit and Control Association), matriks klasifikasi yang terlihat pada tabel di bawah dapat digunakan untuk melakukan klasifikasi atas kritikalitas dari sistem yang memerlukan pemulihan. Matriks tersebut membantu tim BCP untuk mengidentifikasikan strategi pemulihan yang terbaik dan strategi alternatif yang dapat dipresentasikan ke manajemen senior. Seleksi atas strategi pemulihan didasarkan atas beberapa hal sebagai berikut :


• Kritikalitas atas proses usaha dan aplikasi yang mendukung proses
• Biaya dari downtime dan pemulihan
• Waktu yang dibutuhkan untuk pemulihan
• Keamanan
- Pengujian dan Pemeliharaan
Tahapan berikutnya dari proses penyusunan BCP/DRP adalah tahap pengujian dan juga pemeliharaan dari rencana. Kedua tahap ini seringkali kurang direncanakan dan diterapkan dengan baik, sehingga ketika terjadi bencana atau gangguan, maka BCP/DRP tidak dapat berjalan sebagaimana mestinya. Menurut survey yang dilakukan oleh Hewlett-Packard (HP) atas 340 manajer teknologi informasi di seluruh dunia diperoleh kesimpulan bahwa banyak perusahaan telah memiliki BCP/DRP, tetapi hanya 26 % perusahaan yang mengujinya secara berkala. Menurut survey tersebut sesungguhnya terdapat manfaat lain yang dapat diperoleh dari pengujian secara berkala yaitu seluruh kemungkinan yang dapat menyebabkan gangguan dan bencana dapat diminimalkan.
Terdapat tiga tahap dalam pelaksanaan pengujian BCP/DRP yaitu :
• Pretest ; Rangkaian persiapan untuk pelaksanaan test yang sesungguhnya. Meliputi persiapan seluruh peralatan dan infrastruktur yang diperlukan, pegawai, dll.
• Test ; Pelaksanaan test dari BCP/DRP.
• Post-test ; Pemulihan pengujian. Meliputi pengembalian kembali seluruh peralatan test, pengiriman kembali pegawai dll.
Selain itu terdapat beberapa model pengujian yang dapat dilakukan yaitu : Paper Test, Preparedness Test dan Full Operational Test yang dapat dilakukan sesuai dengan kebutuhan dan kemampuan dari masing-masing organisasi. Tahapan yang terakhir dari proses BCP/DRP adalah pemeliharaan. Seluruh rencana dan strategi dari BCP/DRP harus selalu dikaji-ulang dan diperbaharui secara berkala agar dapat merespon dan merefleksikan seluruh perubahan yang terjadi. Terdapat beberapa faktor yang mempengaruhi BCP/DRP dan menyebabkan adanya kebutuhan bagi pembaharuan dari rencana semula. Faktor-faktor tersebut antara lain : perubahan dalam organisasi, adanya aplikasi yang baru, perubahan strategi usaha yang dapat mempengaruhi aplikasi yang kritikal, perubahan software maupun hardware dll.



• Alternatif Pemulihan
Tahap berikutnya yang harus dilakukan oleh organisasi adalah pemilihan alternatif pemulihan. Pada umumnya, tiap organisasi membutuhkan offsite backup sebagai pengganti fasilitas fisik utama ketika terjadi bencana. Terdapat beberapa alternatif yang dapat digunakan oleh organisasi bagi penerapan strategi BCP/DRP nya yaitu ;
• Hot Site : Sudah terkonfigurasi secara penuh dan siap digunakan hanya dalam beberapa jam saja. Seluruh peralatan, jaringan dan systems software harus kompatibel dengan instalasi utama yang di back up.
• Warm Site : Secara parsial sudah terkonfigurasi, perbedaannya dengan Hot Site hanya tidak dilengkapi komputer utama (main computer) saja. Terkadang dilengkapi dengan komputer utama tetapi dengan kemampun yang lebih rendah dibandingkan dengan fasilitas utama.
• Cold Site : Hanya dilengkapi dengan kebutuhan dasar seperti jaringan listrik, pendingin udara, flooring dll.
• Duplikasi fasilitas pemrosesan informasi.
• Mobile site.
• Perjanjian kerja-sama dengan organisasi lainnya.