Salah satu bentuk penerapan manajemen risiko dalam penggunaan teknologi informasi oleh Dana Pensiun adalah bagaimana Dana Pensiun memastikan bahwa kelangsungan usahanya tetap dapat berjalan sebagaimana mestinya ketika terjadi bencana atau gangguan, termasuk menjamin kesiapan sistem. Dalam hal ini Dana Pensiun diharapkan memiliki Pusat Pemulihan Bencana untuk memulihkan kembali data atau informasi serta fungsi penting sistem elektronik dan infrastruktur kritikal yaitu infrastruktur yang berdampak signifikan terhadap kegiatan operasional Dana Pensiun (core system aplikasi, server aplikasi, dan topologi jaringan) yang terganggu atau rusak akibat terjadinya bencana yang disebabkan oleh alam atau manusia.
Sebagai bentuk mitigasi risiko terhadap terganggunya atau rusaknya infrastruktur kritikal akibat terjadinya bencana, Dana Pensiun diharapkan memiliki dokumen Rencana Pemulihan Bencana (Disaster Recovery Plan), dokumen yang berisikan rencana dan langkah untuk menggantikan dan/atau memulihkan kembali akses data, perangkat keras dan perangkat lunak yang diperlukan, agar Dana Pensiun dapat menjalankan kegiatan operasional bisnisnya setelah adanya gangguan dan/atau bencana.
Rencana Pemulihan Bencana merupakan pendekatan terstruktur dan terdokumentasi yang menjelaskan tentang bagaimana Dana Pensiun dapat dengan cepat melanjutkan operasional setelah terjadi insiden yang tidak direncanakan, mencakup rencana pemulihan pada berbagai tingkat bencana dan/atau gangguan seperti:
- Bencana kecil (minor disaster), yang berdampak kecil namun dapat mengganggu operasional atau akses data secara terbatas, tidak memerlukan biaya besar serta dapat diselesaikan dalam jangka waktu pendek, misalnya server down atau mengalami masalah database corrupt.
- Bencana besar (major disaster), yang berdampak besar menyebabkan terhentinya layanan secara signifikan, menimbulkan kerugian yang besar dan dapat menjadi lebih parah apabila tidak diatasi segera, misalnya kebakaran atau bencana alam yang merusak data center dan membutuhkan waktu yang lama untuk memulihkan sistem dan layanan.
- Bencana katastropik (catastrophic), yang berdampak terjadinya kerusakan yang bersifat permanen melumpuhkan seluruh atau sebagian besar operasi bisnis dan dapat menyebabkan kerugian finansial yang sangat besar sehingga memerlukan relokasi atau penggantian dengan biaya yang besar, misalnya gempa bumi yang mengakibatkan gedung operasional hancur dan data center tidak dapat di fungsikan.
Rencana Pemulihan Bencana merupakan bagian penting dalam Rencana Kesinambungan Bisnis (Business Continuity Plan). Langkah awal dalam menyusun Business Continuity Plan (BCP), terlebih dahulu kita harus mengidentifikasi dan mengevaluasi potensi dampak yang dapat terjadi jika suatu proses bisnis atau sistem informasi mengalami gangguan atau kegagalan. Hasil identifikasi dan evaluasi potensi dampak ini dituangkan dalam dokumen Analisis Dampak Bisnis (Business Impact Analysis - BIA).
Dalam Rencana Pemulihan Bencana (Disaster Recovery Plan) ada 2 istilah yang harus kita pahami yaitu RTO (Recovery Time Objective) dan RPO (Recovery Point Objective). RTO bisa dipahami sebagai tujuan waktu pemulihan adalah jumlah waktu yang diharapkan untuk memulihkan sistem setelah kegagalan sistem atau bencana. RTO menunjukkan seberapa cepat sistem harus dipulihkan setelah kegagalan terjadi. Semakin kecil RTO, semakin cepat sistem harus dipulihkan setelah kegagalan terjadi. Contoh: Jika RTO kita tetapkan satu jam, ini berarti bahwa sistem harus dipulihkan dalam waktu satu jam setelah kegagalan terjadi. Jika sistem tidak dapat dipulihkan dalam satu jam, maka sistem tersebut tidak memenuhi RTO. Sementara RPO tujuan titik pemulihan, adalah jumlah data yang dapat ditoleransi untuk hilang setelah kejadian yang tidak terduga terjadi, menunjukkan waktu data dibackup dan direstore. Contoh: Jika RPO kita adalah satu hari, ini berarti bahwa data yang direstore adalah 1 hari sebelumnya, jika kegagalan terjadi maka data yang tersedia adalah data yang disimpan 1 hari yang lalu yang dapat dipulihkan, data dalam satu hari terakhir sebelum kejadian akan hilang.
RTO (Recovery Time Objective) :
- Diukur dalam waktu
- Menekankan pada kecepatan pemulihan system
- Memerlukan infrastruktur yang cepat dapat dikonfigurasi kembali
- Memberikan dampak pada Business continuos dan seberapa cepat sistem dapat digunakan kembali
RPO (Recovery Point Objective) :
- Diukur dalam jumlah data
- Menekankan pada data yang dapat ditoleransi hilang
- Memerlukan sistem backup dan restore data yang efektif
- memberikan dampak pada data integrity, seberapa valid data yang dapat digunakan kembali setelah bencana
RPO dan RTO merupakan komponen yang sangat penting dan harus dituangkan secara spesifik dalam Business Impact Analysis (BIA). Kedua metrik ini memberikan ukuran yang jelas tentang seberapa cepat dan sejauh mana suatu organisasi dapat memulihkan sistem dan data setelah terjadi gangguan. BIA merupakan fondasi yang kuat untuk membangun BCP yang efektif, mengidentifikasi risiko secara tepat, memprioritaskan upaya mitigasi dan mengembangkan strategi pemulihan yang cepat dan tepat
PenutupÂ
Mengingat bahwa risiko bencana atau kegagalan sistem bukanlah tren yang baru, tetapi merupakan tantangan yang terus ada dalam dunia teknologi informasi dan kejahatan dunia maya semakin canggih, keamanan setebal apapun kadang bisa ditembus, jadi penting bagi Dana Pensiun untuk menentukan strategi pemulihan dan perlindungan datanya. Dengan memahami risiko-risiko yang kemungkinan akan terjadi dan menerapkan langkah-langkah mitigasi yang tepat, diharapkan Dana Pensiun dapat mengurangi dampak negatif dan memastikan kelangsungan bisnisnya. Semoga bermanfaat buat rekan-rekan.
