Dapatkah anda bayangkan apa yang akan terjadi jika jaringan online perbankan, dengan ribuan transaksi tiap menitnya tiba-tiba terhenti? Atau apa akibat yang akan terjadi, jika gedung data center Lazada mengalami kebakaran?

Hampir seluruh organisasi sekarang ini, memiliki rangkaian proses bisnis yang ditunjang oleh Teknologi Informasi (TI), dengan tujuan menciptakan mekanisme kerja yang efektif dan efisien. Mekanisme kerja yang diharapkan, dapat tercapai dengan adanya kontinuitas dan ketersediaan dari TI yang digunakan meskipun terdapat gangguan/hambatan. Terhentinya aktivitas TI dapat mengakibatkan perusahaan tidak hanya kehilangan peluang bisnis, namun juga dapat mengakibatkan perusahaan tidak dapat menciptakan produk dan/atau jasa yang seharusnya dihasilkan. Perusahaan harus memikirkan cara atau strategi dalam menghadapi sejumlah risiko yang berpotensi mengganggu jalannya proses bisnis perusahaan.

Dibutuhkan suatu mekanisme yang mengatur dan memastikan adanya tindakan yang dilakukan ketika aktivitas TI mengalami gangguan/hambatan, serta memastikan bahwa proses bisnis perusahaan masih dapat berjalan dan pelayanan tidak terhenti. Mekanisme tersebut disebut dengan manajemen keberlangsungan bisnis atau Business Continuity Management (BCM). Salah satu standar yang banyak dipakai dalam menerapkan BCM adalah standar yang dikeluarkan oleh International Organization for Standardization (ISO) mengenai Sistem Manajemen Keamanan Informasi dengan kode nomor 27001. Tujuan BCM menurut ISO 27001 adalah untuk menghadapi gangguan terhadap proses bisnis, melindungi proses bisnis dari efek kegagalan fungsi sistem informasi atau bencana, dan memastikan perusahaan dapat kembali melanjutkan operasi dalam waktu yang telah ditentukan. BCM diharapkan dapat membuat proses bisnis perusahaan menjadi “tidak bisa mati”.

Agar dapat berjalan optimal, BCM perusahaan harus didukung penuh oleh manajemen, stakeholder, serta disosialisasikan kepada seluruh lapisan dalam organisasi perusahaan. Penerapan BCM berdasarkan standar ISO 27001 mencakup identifikasi risiko, proses manajemen keberlangsungan bisnis, serta pengujian berkala untuk memastikan BCM perusahaan selalu dalam kondisi paling mutakhir. Ada beberapa tahap yang harus dilakukan dalam pembentukan BCM, berurutan sebagai berikut:

  1. Identifikasi ancaman (threat analysis)

Perusahaan terlebih dahulu melakukan identifikasi terhadap ancaman-ancaman yang dapat mengganggu operasional perusahaan. Dalam tahap identifikasi ini, ancaman dapat dikategorikan menjadi dua kelompok besar, yang pertama yaitu ancaman dari dalam (internal threats), misalnya sabotase dari karwayan, pencurian data, dan spionase, sedangkan yang kedua adalah ancaman dari luar (external threats), misalnya kebakaran, gempa bumi, dan juga ancaman cyber. Hal-hal yang terkait dengan internal threats biasanya memiliki sifat masih dapat dikendalikan oleh perusahaan, sedangkan external threats bersifat tidak dapat dikendalikan. Perusahaan harus membuat prioritas dan peringkat kemungkinan (likelihood) dari berbagai ancaman tersebut. Dari peringkat ancaman, perusahaan harus membuat beberapa skenario kunci untuk kejadian bencana yang mungkin terjadi.

  1. Analisis dampak terhadap bisnis (Business Impact Analysis/BIA)

Selanjutnya perusahaan melakukan identifikasi bagian bisnis yang bersifat kritis terhadap keberlangsungan perusahaan. Pendekatan ini biasa dilakukan dengan menggunakan pendekatan risiko (risk based analysis), perusahaan menentukan risiko-risiko terkait pada setiap kegiatan operasional perusahaan, contoh: risiko operasional, risiko finansial, dan risiko kepatuhan. Ditahap ini pula perusahaan menentukan waktu yang dibutuhkan untuk memulihkan layanan TI, disebut dengan Recovery Time Objective (RTO). Selain itu perusahaan juga harus menentukan berapa lama kehilangan data yang dapat diterima atau disebut dengan Recovery Point Objective (RPO).

  1. Menyusun Business Continuity Plan (BCP)

Perusahaan membuat strategi pemulihan bencana berdasarkan hasil analisis terhadap bisnis (Business Impact Analysis/BIA) serta skenario bencana yang mungkin terjadi. Hal ini mencakup relokasi pegawai inti ke kantor alternatif atau Business Continuity Center (BCC), pengaktifan perangkat cadangan, pemindahan server yang aktif, dan lain sebagainya. BCP yang dibuat harus dipastikan dapat memenuhi target pemulihan RTO dan RPO, seperti yang telah ditentukan dalam BIA. Terkait dengan keamanan informasi, harus dipastikan bahwa BCP dapat mencakup pemulihan layanan dan data jika terjadi serangan yang melumpuhkan server produksi aktif. Aspek yang perlu dipertimbangkan dalam pembuatan BCP, antara lain strategi dalam pemulihan bencana, struktur organisasi dalam keadaan darurat, keahlian yang harus dikuasai SDM dalam keadaan darurat, proses detil dan prosedur penetapan kondisi bencana, pemulihan serta restorasi ke kondisi semula (Disaster Recovery Plan/DRP), dan teknologi yang dibutuhkan untuk mendukung keberlangsungan bisnis

  1. Menguji serta memperbaharui BCP

Skenario BCP yang telah dibuat harus diuji coba secara berkala. Hal ini dilakukan untuk dapat memastikan bahwa rencana yang disusun dapat mencapai tujuan pemulihan sistem atau layanan yang diharapkan secara efektif. Biasanya ada dua cara untuk melakukan uji coba ini, yaitu pertama adalah menggunakan simulasi kejadian bencana. Uji coba ini menggunakan simulasi data serta kejadian bencana yang seakan-akan kejadian sesungguhnya. Cara kedua adalah dengan menggunakan uji coba secara langsung, yaitu melakukan kegiatan operasional pada satu hari yang dipilih dengan mengaktifkan kondisi bencana.

  1. Sosialisasi ke seluruh pegawai

Seluruh pegawai dalam perusahaan harus menerima pelatihan mengenai BCP. Hal ini untuk memastikan bahwa seluruh pegawai mengerti hal-hal yang harus dilakukan dalam keadaan bencana, seperti siapa yang harus dihubungi, apa yang harus dilakukan dalam keadaan darurat, dan lain sebagainya. BCP yang tidak disosialisasikan kepada pegawai hanya akan menjadi dokumen yang kurang memiliki arti.

Bentuk dan lingkup BCM sangat fleksibel dan berbeda antar organisasi, contohnya, bentuk dan lingkup BCM industri perbankan, tidak akan sama dengan industry e-commerce karena core businessnya berbeda, serta contoh lainnya, BCM Learning Management System (LMS) pada Universitas Terbuka, tingkat kritisnya berbeda dengan LMS pada universitas yang masih melakukan kegiatan dengan tatap muka. Namun yang harus dipahami adalah bagaimanapun bentuk dan lingkupnya, BCM tidak hanya berhenti pada satu siklus, harus tetap diperbarui secara berkala dan terus menerus. Hal ini sesuai dengan perubahan bisnis, perubahan infrastruktur TI, serta perubahan paparan ancaman yang ada. Perusahaan harus membuat sebuah tim mandiri yang bertugas untuk memastikan dan mengawasi BCM masih sejalan dengan operasional perusahaan serta mampu menangani permasalahan yang muncul jika terjadi gangguan maupun bencana.

Sumber: Tata Kelola

Ikuti kami di akun media sosial FMB Consultant:

LinkedIn

Facebook

Instagram

2 Responses to Pentingnya Memahami Business Continuity Management (BCM)
  1. Thank you for your kind response.

  2. Consultant, thanks! And thanks for sharing your great posts every week!


[top]

Leave a Reply

Your email address will not be published. Required fields are marked *