Cara Membangun Strategi Pemulihan Bencana yang Sukses

Apakah industri Anda menghadapi tantangan dari perselisihan geopolitik, dampak dari pandemi global, atau meningkatnya agresi di ruang keamanan siber, vektor ancaman bagi perusahaan modern tidak dapat disangkal lagi sangat kuat. Strategi pemulihan bencana memberikan kerangka kerja bagi anggota tim untuk mengembalikan bisnis dan menjalankannya kembali setelah kejadian yang tidak direncanakan.

Di seluruh dunia, popularitas strategi pemulihan bencana semakin meningkat. Tahun lalu, perusahaan menghabiskan USD 219 miliar untuk keamanan siber dan solusi saja. Angka ini meningkat 12% dari tahun 2022, menurut laporan terbaru oleh International Data Corporation (IDC) (tautan berada di luar ibm.com).

Strategi pemulihan bencana menjelaskan bagaimana bisnis Anda akan menanggapi sejumlah insiden yang tidak direncanakan. Strategi pemulihan bencana yang kuat terdiri dari rencana pemulihan bencana (rencana DR), rencana keberlangsungan bisnis (BCP) dan rencana respons insiden (IRP). Bersama-sama, dokumen-dokumen ini membantu memastikan bisnis siap menghadapi berbagai ancaman termasuk pemadaman listrik, serangan ransomware dan malware, bencana alam, dan masih banyak lagi.

Disaster recovery plans (DRP) adalah dokumen terperinci yang menjelaskan bagaimana perusahaan akan menanggapi berbagai jenis bencana. Biasanya, perusahaan membangun DRP sendiri atau mengalihdayakan proses pemulihan bencana mereka ke vendor DRP pihak ketiga. Bersama dengan rencana keberlangsungan bisnis (BCP) dan rencana respons insiden (IRP), DRP memainkan peran penting dalam efektivitas strategi pemulihan bencana.

Seperti halnya DRP, BCP dan IRP merupakan bagian dari strategi pemulihan bencana yang lebih besar yang dapat diandalkan oleh bisnis untuk membantu memulihkan operasi normal jika terjadi bencana. BCP biasanya melihat ancaman dan opsi resolusi yang lebih luas daripada DRP, dengan fokus pada apa yang dibutuhkan perusahaan untuk memulihkan konektivitas. IRP adalah jenis DRP yang berfokus secara eksklusif pada serangan siber dan ancaman terhadap sistem IT. IRP dengan jelas menguraikan tanggap darurat waktu nyata organisasi sejak ancaman terdeteksi hingga mitigasi dan resolusinya. 

Bencana dapat berdampak pada bisnis dengan cara yang berbeda, yang menyebabkan segala macam masalah yang kompleks. Mulai dari gempa bumi yang memengaruhi infrastruktur fisik dan keselamatan pekerja hingga pemadaman layanan cloud yang menutup akses ke penyimpanan data sensitif dan layanan pelanggan, memiliki strategi pemulihan bencana yang baik dapat membantu memastikan bisnis akan pulih dengan cepat. Berikut adalah beberapa manfaat terbesar dari membangun strategi pemulihan bencana yang kuat:

• Mempertahankan kelangsungan bisnis: Keberlangsungan bisnis dan pemulihan bencana keberlangsungan bisnis (BCDR) membantu memastikan organisasi kembali ke operasi normal setelah kejadian yang tidak direncanakan, menyediakan perlindungan data, pencadangan data, dan layanan penting lainnya.
• Mengurangi biaya: Menurut Laporan Biaya Pelanggaran Data IBM baru-baru ini, biaya rata-rata pelanggaran data pada tahun 2023 adalah 4,45 juta USD, meningkat 15% selama 3 tahun terakhir. Perusahaan yang tidak memiliki strategi pemulihan bencana mempertaruhkan biaya dan penalti yang bisa jauh lebih besar daripada uang yang dihemat karena tidak berinvestasi dalam solusi tersebut.
• Menimbulkan lebih sedikit waktu henti: Perusahaan modern mengandalkan teknologi yang kompleks seperti solusi infrastruktur berbasis cloud dan jaringan seluler. Ketika insiden yang tidak direncanakan mengganggu operasi bisnis, itu dapat menelan biaya jutaan. Selain itu, sifat serangan siber yang tinggi, waktu henti yang lama, atau gangguan yang terkait dengan kesalahan manusia dapat menyebabkan pelanggan dan investor melarikan diri.
• Menjaga kepatuhan: Bisnis yang beroperasi di sektor yang sangat diatur seperti layanan kesehatan dan keuangan pribadi menghadapi denda dan hukuman yang besar atas pelanggaran data karena sifat penting dari data yang mereka kelola. Memiliki strategi pemulihan bencana yang kuat membantu mempersingkat proses respons dan pemulihan setelah insiden yang tidak direncanakan, yang sangat penting di sektor-sektor di mana jumlah denda finansial sering kali terkait dengan durasi pelanggaran.

Strategi pemulihan bencana terkuat mempersiapkan bisnis menghadapi berbagai ancaman. Templat yang kuat untuk memulihkan operasi normal dapat membantu membangun kepercayaan investor dan pelanggan serta meningkatkan kemungkinan Anda akan pulih dari ancaman apa pun yang dihadapi bisnis Anda. Sebelum kita masuk ke komponen aktual dari strategi pemulihan bencana, mari kita lihat beberapa istilah kunci.

• Failover/failback: Failover adalah proses yang banyak digunakan dalam pemulihan bencana IT di mana operasi dipindahkan ke sistem sekunder ketika sistem utama gagal karena pemadaman listrik, serangan siber, atau ancaman lainnya. Failback adalah proses beralih kembali ke sistem asli setelah proses normal telah dipulihkan. Misalnya, bisnis dapat melakukan failover dari pusat datanya ke situs sekunder di mana sistem redundan akan langsung masuk. Jika dijalankan dengan benar, failover/failback dapat menciptakan pengalaman yang lancar di mana pengguna/pelanggan bahkan tidak menyadari bahwa mereka sedang dipindahkan ke sistem sekunder.
• Recovery Time Objective (RTO): RTO mengacu pada jumlah waktu yang diperlukan untuk memulihkan operasi bisnis setelah terjadi insiden yang tidak direncanakan. Menetapkan RTO yang masuk akal adalah salah satu hal pertama yang harus dilakukan oleh bisnis ketika mereka membuat strategi pemulihan bencana.
• Recovery Point Objective (RPO): RPO bisnis Anda adalah jumlah data yang dapat hilang dan masih dapat dipulihkan. Beberapa perusahaan terus-menerus menyalin data ke pusat data jarak jauh untuk memastikan kontinuitas. Yang lain menetapkan RPO yang dapat ditoleransi selama beberapa menit (atau bahkan beberapa jam) dan tahu bahwa mereka akan dapat pulih dari apa pun yang hilang selama waktu itu.
• Disaster Recovery-as-a-Service (DRaaS): DRaaS adalah pendekatan pemulihan bencana yang semakin populer karena meningkatnya kesadaran seputar pentingnya keamanan data. Perusahaan yang menggunakan pendekatan DRaaS untuk pemulihan bencana pada dasarnya mengalihdayakan rencana pemulihan bencana (DRP) mereka ke pihak ketiga. Pihak ketiga ini menjadi tuan rumah dan mengelola infrastruktur yang diperlukan untuk pemulihan, kemudian membuat dan mengelola rencana respons dan memastikan dimulainya kembali operasi bisnis yang penting dengan cepat. Menurut laporan terbaru oleh Global Market Insights (GMI) (tautan berada di luar ibm.com), ukuran pasar untuk DRaaS adalah 11,5 miliar USD pada tahun 2022 dan siap tumbuh sebesar 22% di tahun-tahun mendatang.

Perencanaan pemulihan bencana dimulai dengan analisis mendalam terhadap proses bisnis Anda yang paling penting, dikenal sebagai analisis dampak bisnis (BIA) dan penilaian risiko (RA). Meskipun setiap bisnis berbeda dan akan memiliki persyaratan unik, ada beberapa langkah yang dapat Anda ambil terlepas dari ukuran atau industri Anda yang akan membantu memastikan perencanaan pemulihan bencana yang efektif.

Langkah 1: Jalankan analisis dampak bisnis

Analisis dampak bisnis (BIA) adalah penilaian yang cermat terhadap setiap ancaman yang dihadapi perusahaan Anda, bersama dengan kemungkinan hasil. BIA yang kuat melihat bagaimana ancaman dapat berdampak pada operasi harian, saluran komunikasi, keselamatan pekerja, dan bagian penting lainnya dari bisnis Anda. Contoh beberapa faktor yang perlu dipertimbangkan ketika melakukan BIA termasuk hilangnya pendapatan, lama dan biaya waktu henti, biaya perbaikan reputasi (hubungan masyarakat), hilangnya kepercayaan pelanggan atau investor (jangka pendek dan jangka panjang), dan penalti yang mungkin Anda hadapi karena pelanggaran kepatuhan yang disebabkan oleh gangguan.

Langkah 2: Lakukan analisis risiko

Ancaman sangat bervariasi tergantung pada industri Anda dan jenis bisnis yang Anda jalankan. Melakukan analisis risiko yang baik (RA) adalah langkah penting dalam menyusun strategi Anda. Anda bisa menilai setiap potensi ancaman secara terpisah dengan mempertimbangkan dua hal, yaitu kemungkinan ancaman tersebut akan terjadi dan potensi dampaknya terhadap operasi bisnis. Ada dua metode yang banyak digunakan untuk ini: analisis risiko kualitatif dan kuantitatif. Analisis risiko kualitatif didasarkan pada risiko yang dirasakan dan analisis kuantitatif dilakukan dengan menggunakan data yang dapat diverifikasi.

Langkah 3: Buat inventaris aset Anda

Pemulihan bencana bergantung pada gambaran lengkap dari setiap aset yang dimiliki perusahaan Anda. Ini termasuk perangkat keras, perangkat lunak, infrastruktur TI, data, dan apa pun yang penting bagi operasi bisnis Anda. Berikut adalah tiga label yang banyak digunakan untuk mengategorikan aset Anda:

• Penting: Hanya beri label aset penting jika aset tersebut diperlukan untuk operasi bisnis normal.
• Penting: Tetapkan label ini untuk aset yang digunakan bisnis Anda setidaknya sekali sehari dan, jika terganggu, akan berdampak pada operasi bisnis (tetapi tidak mematikannya sepenuhnya).
• Tidak penting: Ini adalah aset yang jarang digunakan bisnis Anda dan tidak penting untuk operasi bisnis normal.

Langkah 4: Tetapkan peran dan tanggung jawab 

Menetapkan peran dan tanggung jawab dengan jelas bisa dibilang bagian terpenting dari strategi pemulihan bencana. Tanpa itu, tidak ada yang akan tahu apa yang harus dilakukan jika terjadi bencana. Meskipun peran dan tanggung jawab yang sebenarnya sangat bervariasi sesuai dengan ukuran perusahaan, industri, dan jenis bisnis, ada beberapa peran dan tanggung jawab yang harus ada dalam setiap strategi pemulihan:

• Pelapor insiden: Seseorang yang bertanggung jawab untuk berkomunikasi dengan para pemangku kepentingan dan pihak berwenang terkait ketika terjadi peristiwa yang mengganggu dan menjaga informasi kontak terbaru untuk semua pihak yang terkait.
• Manajer rencana pemulihan bencana: Manajer DRP Anda memastikan anggota tim pemulihan bencana menjalankan tugas yang telah diberikan dan strategi yang Anda terapkan berjalan dengan lancar. 
• Manajer aset: Anda harus menugaskan seseorang untuk mengamankan dan melindungi aset penting saat terjadi bencana dan melaporkan kembali statusnya selama kejadian.

Langkah 5: Uji dan perbaiki

Untuk memastikan strategi pemulihan bencana Anda berjalan dengan baik, Anda perlu mempraktikkannya terus-menerus dan secara rutin memperbaruinya sesuai dengan perubahan yang berarti. Misalnya, jika perusahaan Anda mengakuisisi aset baru setelah pembentukan strategi DRP, aset tersebut harus dimasukkan ke dalam rencana Anda untuk memastikan bahwa aset tersebut terlindungi di masa mendatang. Pengujian dan penyempurnaan strategi pemulihan bencana dapat dipecah menjadi tiga langkah sederhana:

1. Buat simulasi yang akurat: Saat melatih DRP Anda, cobalah untuk menciptakan lingkungan yang sedekat mungkin dengan skenario aktual yang akan dihadapi perusahaan Anda tanpa membahayakan siapa pun secara fisik.
2. Identifikasi masalah: Gunakan proses pengujian DRP untuk mengidentifikasi kesalahan dan ketidakkonsistenan dengan rencana Anda, menyederhanakan proses, dan mengatasi masalah apa pun dengan prosedur pencadangan Anda.
3. Uji prosedur pemulihan bencana Anda: Mengetahui bagaimana Anda akan merespons suatu insiden adalah hal yang sangat penting, tetapi sama pentingnya untuk menguji prosedur yang telah Anda terapkan untuk memulihkan sistem penting setelah insiden selesai. Uji bagaimana Anda akan mengaktifkan kembali jaringan, memulihkan data yang hilang, dan melanjutkan operasi bisnis normal. 

Perusahaan modern lebih bergantung dari sebelumnya pada teknologi untuk melayani pelanggan mereka. Bahkan pemadaman kecil dapat menyebabkan waktu henti penting dan berdampak pada kepercayaan pelanggan dan investor. Jaminan Pemulihan Siber pada IBM FlashSystem dirancang bagi siapa pun yang membeli Array FlashSystem baru dengan IBM Storage Expert Care dan IBM Storage Insights Pro.