Bagaimana membangun strategi pemulihan bencana yang sukses – Blog IBM

Baik industri Anda menghadapi tantangan akibat perselisihan geopolitik, dampak pandemi global, atau meningkatnya agresi di bidang keamanan siber, vektor ancaman bagi perusahaan modern sangatlah kuat. Strategi pemulihan bencana memberikan kerangka kerja bagi anggota tim untuk memulihkan dan menjalankan bisnis setelah kejadian yang tidak direncanakan.

Dapat dimengerti bahwa popularitas strategi pemulihan bencana semakin meningkat di seluruh dunia. Tahun lalu, perusahaan menghabiskan USD 219 miliar untuk hal ini keamanan cyber dan solusi saja, meningkat 12% dari tahun 2022, menurut laporan terbaru oleh International Data Corporation (IDC) (tautan berada di luar ibm.com).

Strategi pemulihan bencana menjelaskan bagaimana bisnis Anda akan merespons sejumlah insiden yang tidak direncanakan. Strategi pemulihan bencana yang kuat terdiri dari rencana pemulihan bencana (rencana DR), rencana kesinambungan bisnis (BCP), dan rencana respons insiden (IRP). Secara keseluruhan, dokumen-dokumen ini membantu memastikan kesiapan bisnis menghadapi berbagai ancaman termasuk pemadaman listrik, ransomware dan malware serangan, bencana alam, dan masih banyak lagi.

Apa itu rencana pemulihan bencana (DRP)?

Rencana pemulihan bencana (DRP) adalah dokumen rinci yang menjelaskan bagaimana perusahaan akan merespons berbagai jenis bencana. Biasanya, perusahaan membuat DRP sendiri atau melakukan outsourcing proses pemulihan bencana ke vendor DRP pihak ketiga. Seiring dengan rencana kesinambungan bisnis (BCP) dan rencana respons insiden (IRP), DRP memainkan peran penting dalam efektivitas strategi pemulihan bencana.

Apa yang dimaksud dengan rencana kesinambungan bisnis dan rencana tanggap insiden?

Seperti DRP, BCP dan IRP merupakan bagian dari strategi pemulihan bencana yang lebih besar yang dapat diandalkan oleh bisnis untuk membantu memulihkan operasi normal jika terjadi bencana. BCP biasanya mempertimbangkan ancaman dan opsi penyelesaian secara lebih luas dibandingkan DRP, dengan fokus pada apa yang dibutuhkan perusahaan untuk memulihkan konektivitas. IRP adalah jenis DRP yang berfokus secara eksklusif pada cyberattacks dan ancaman terhadap sistem TI. IRP dengan jelas menguraikan respons darurat real-time suatu organisasi sejak ancaman terdeteksi hingga mitigasi dan penyelesaiannya. 

Mengapa memiliki strategi pemulihan bencana itu penting

Bencana dapat berdampak pada bisnis dengan cara yang berbeda-beda, menyebabkan berbagai macam masalah yang kompleks. Mulai dari gempa bumi yang memengaruhi infrastruktur fisik dan keselamatan pekerja hingga pemadaman layanan cloud yang menutup akses ke penyimpanan data sensitif dan layanan pelanggan, memiliki strategi pemulihan bencana yang baik akan membantu memastikan bisnis akan pulih dengan cepat. Berikut adalah beberapa manfaat terbesar dari membangun strategi pemulihan bencana yang kuat:

• Menjaga kelangsungan usaha: Kelangsungan usaha dan pemulihan bencana kelangsungan bisnis (BCDR) membantu memastikan organisasi kembali beroperasi normal setelah kejadian yang tidak direncanakan, memberikan perlindungan data, pencadangan data, dan layanan penting lainnya.
• Mengurangi biaya: Menurut Laporan Biaya Pelanggaran Data IBM baru-baru ini, kerugian rata-rata akibat pelanggaran data pada tahun 2023 adalah USD 4.45 juta—meningkat sebesar 15% selama 3 tahun terakhir. Perusahaan yang tidak menerapkan strategi pemulihan bencana akan menanggung risiko biaya dan denda yang jauh lebih besar daripada uang yang dihemat jika tidak berinvestasi pada solusi tersebut.
• Menimbulkan lebih sedikit waktu henti: Perusahaan modern mengandalkan teknologi kompleks seperti solusi infrastruktur berbasis cloud dan jaringan seluler. Ketika sebuah insiden yang tidak direncanakan mengganggu operasional bisnis, kerugiannya bisa mencapai jutaan. Selain itu, sifat umum dari serangan siber, periode nonaktif yang lama, atau gangguan yang disebabkan oleh kesalahan manusia dapat menyebabkan pelanggan dan investor melarikan diri.
• Menjaga kepatuhan: Bisnis yang beroperasi di sektor yang diatur secara ketat seperti layanan kesehatan dan keuangan pribadi akan dikenakan denda dan penalti yang besar atas pelanggaran data karena sifat penting dari data yang mereka kelola. Memiliki strategi pemulihan bencana yang kuat membantu mempersingkat proses respons dan pemulihan setelah insiden yang tidak direncanakan, yang merupakan hal penting di sektor-sektor di mana jumlah sanksi finansial sering kali dikaitkan dengan durasi pelanggaran.

Bagaimana strategi pemulihan bencana bekerja

Strategi pemulihan bencana yang paling kuat mempersiapkan bisnis untuk menghadapi berbagai macam ancaman. Pola yang kuat untuk memulihkan operasi normal dapat membantu membangun kepercayaan investor dan pelanggan serta meningkatkan kemungkinan Anda pulih dari ancaman apa pun yang dihadapi bisnis Anda. Sebelum kita membahas komponen sebenarnya dari strategi pemulihan bencana, mari kita lihat beberapa istilah penting.

• Failover/ kegagalan kembali: Failover adalah proses yang banyak digunakan dalam pemulihan bencana TI di mana operasi dipindahkan ke sistem sekunder ketika sistem utama gagal karena pemadaman listrik, serangan siber, atau ancaman lainnya. Failback adalah proses peralihan kembali ke sistem asli setelah proses normal dipulihkan. Misalnya, sebuah bisnis bisa mengalami kegagalan pusat data ke situs sekunder di mana sistem redundan akan langsung bekerja. Jika dijalankan dengan benar, failover/failback dapat menciptakan pengalaman yang mulus di mana pengguna/pelanggan bahkan tidak menyadari bahwa mereka sedang dipindahkan ke sistem sekunder.
• Tujuan waktu pemulihan (RTO): RTO mengacu pada jumlah waktu yang diperlukan untuk memulihkan operasi bisnis setelah insiden yang tidak direncanakan. Menetapkan RTO yang wajar adalah salah satu hal pertama yang perlu dilakukan bisnis saat mereka membuat strategi pemulihan bencana.  
• Tujuan titik pemulihan (RPO): RPO bisnis Anda adalah jumlah data yang dapat hilang dan masih bisa dipulihkan. Beberapa perusahaan terus-menerus menyalin data ke pusat data jarak jauh untuk memastikan kelangsungannya. Perusahaan lain menetapkan RPO yang dapat ditoleransi, yaitu beberapa menit (atau bahkan beberapa jam) dan mengetahui bahwa mereka dapat memulihkan apa pun yang hilang selama jangka waktu tersebut.
• Pemulihan Bencana sebagai Layanan (DRaaS): DRaaS adalah pendekatan pemulihan bencana yang semakin populer karena meningkatnya kesadaran akan pentingnya keamanan data. Perusahaan yang menggunakan pendekatan DRaaS dalam pemulihan bencana pada dasarnya melakukan outsourcing rencana pemulihan bencana (DRP) mereka kepada pihak ketiga. Pihak ketiga ini menjadi tuan rumah dan mengelola infrastruktur yang diperlukan untuk pemulihan, kemudian membuat dan mengelola rencana respons dan memastikan dimulainya kembali operasi penting bisnis dengan cepat. Menurut laporan terbaru oleh Global Market Insights (GMI) (tautan berada di luar ibm.com), ukuran pasar untuk DRaaS adalah USD 11.5 miliar pada tahun 2022 dan siap untuk tumbuh sebesar 22% di tahun-tahun mendatang.

Lima langkah untuk menciptakan strategi pemulihan bencana yang kuat

Perencanaan pemulihan bencana dimulai dengan analisis mendalam terhadap proses bisnis Anda yang paling penting—yang dikenal sebagai analisis dampak bisnis (BIA) dan penilaian risiko (RA). Meskipun setiap bisnis berbeda dan memiliki persyaratan unik, ada beberapa langkah yang dapat Anda ambil terlepas dari ukuran atau industri Anda yang akan membantu memastikan perencanaan pemulihan bencana yang efektif.

Langkah 1: Lakukan analisis dampak bisnis

Analisis dampak bisnis (BIA) adalah penilaian cermat terhadap setiap ancaman yang dihadapi perusahaan Anda, beserta kemungkinan dampaknya. BIA yang kuat melihat bagaimana ancaman dapat berdampak pada operasi sehari-hari, saluran komunikasi, keselamatan pekerja, dan bagian penting lainnya dari bisnis Anda. Contoh beberapa faktor yang perlu dipertimbangkan saat melakukan BIA mencakup hilangnya pendapatan, lamanya dan biaya downtime, biaya perbaikan reputasi (hubungan masyarakat), hilangnya kepercayaan pelanggan atau investor (jangka pendek dan panjang), dan segala penalti yang mungkin Anda hadapi karena pelanggaran kepatuhan yang disebabkan oleh gangguan.

Langkah 2: Lakukan analisis risiko

Ancaman sangat bervariasi tergantung pada industri Anda dan jenis bisnis yang Anda jalankan. Melakukan analisis risiko yang baik (RA) adalah langkah penting dalam menyusun strategi Anda. Anda dapat menilai setiap potensi ancaman secara terpisah dengan mempertimbangkan dua hal—kemungkinan terjadinya dan potensi dampaknya terhadap operasi bisnis. Ada dua metode yang banyak digunakan untuk ini: analisis risiko kualitatif dan kuantitatif. Analisis risiko kualitatif didasarkan pada risiko yang dirasakan dan analisis kuantitatif dilakukan dengan menggunakan data yang dapat diverifikasi.

Langkah 3: Buat inventaris aset Anda

Pemulihan bencana bergantung pada gambaran lengkap tentang setiap aset yang dimiliki perusahaan Anda. Hal ini mencakup perangkat keras, perangkat lunak, infrastruktur TI, data, dan hal-hal lain yang penting bagi operasi bisnis Anda. Berikut tiga label yang banyak digunakan untuk mengkategorikan aset Anda:

• Kritis: Hanya beri label pada aset kritis jika diperlukan untuk operasi bisnis normal.
• Penting: Tetapkan label ini pada aset yang digunakan bisnis Anda setidaknya sekali sehari dan, jika terganggu, akan berdampak pada operasi bisnis (tetapi tidak menghentikan operasi bisnis sepenuhnya).
• Tidak penting: Ini adalah aset yang jarang digunakan oleh bisnis Anda dan tidak penting untuk operasi bisnis normal.

Langkah 4: Tetapkan peran dan tanggung jawab 

Menetapkan peran dan tanggung jawab dengan jelas bisa dibilang merupakan bagian terpenting dari strategi pemulihan bencana. Tanpanya, tidak ada yang tahu apa yang harus dilakukan jika terjadi bencana. Meskipun peran dan tanggung jawab sebenarnya sangat bervariasi menurut ukuran perusahaan, industri, dan jenis bisnis, ada beberapa peran dan tanggung jawab yang harus dicakup dalam setiap strategi pemulihan:

• Pelapor insiden: Seseorang yang bertanggung jawab untuk berkomunikasi dengan pemangku kepentingan dan otoritas terkait ketika terjadi peristiwa yang mengganggu dan menjaga informasi kontak terkini untuk semua pihak terkait.
• Manajer rencana pemulihan bencana: Manajer DRP Anda memastikan anggota tim pemulihan bencana melakukan tugas yang ditugaskan kepada mereka dan strategi yang Anda terapkan berjalan lancar. 
• Manajer aset: Anda harus menugaskan seseorang untuk berperan mengamankan dan melindungi aset-aset penting ketika terjadi bencana dan melaporkan kembali status mereka selama kejadian.

Langkah 5: Uji dan sempurnakan

Untuk memastikan strategi pemulihan bencana Anda berjalan dengan baik, Anda harus mempraktikkannya terus-menerus dan memperbaruinya secara berkala sesuai dengan perubahan yang berarti. Misalnya, jika perusahaan Anda memperoleh aset baru setelah pembentukan strategi DRP, aset tersebut perlu dimasukkan ke dalam rencana Anda untuk memastikan aset tersebut terlindungi di masa mendatang. Pengujian dan penyempurnaan strategi pemulihan bencana Anda dapat dipecah menjadi tiga langkah sederhana:

1. Buat simulasi yang akurat: Saat melatih DRP Anda, cobalah menciptakan lingkungan yang mendekati skenario sebenarnya yang akan dihadapi perusahaan Anda tanpa menempatkan siapa pun dalam risiko fisik.
2. Identifikasi masalah: Gunakan proses pengujian DRP untuk mengidentifikasi kesalahan dan ketidakkonsistenan dengan rencana Anda, menyederhanakan proses, dan mengatasi masalah apa pun pada prosedur pencadangan Anda.
3. Uji prosedur pemulihan bencana Anda: Melihat bagaimana Anda akan merespons suatu insiden sangatlah penting, namun juga penting untuk menguji prosedur yang telah Anda terapkan untuk memulihkan sistem penting setelah insiden tersebut selesai. Uji cara Anda menghidupkan kembali jaringan, memulihkan data yang hilang, dan melanjutkan operasi bisnis normal. 

Solusi pemulihan bencana

Perusahaan modern semakin bergantung pada teknologi untuk melayani pelanggan mereka. Bahkan pemadaman listrik kecil pun dapat menyebabkan waktu henti operasional yang kritis dan berdampak pada kepercayaan pelanggan dan investor. IBM FlashSystem Cyber ​​Recovery Guarantee dirancang untuk siapa saja yang membeli FlashSystem Array baru dengan layanan ahli IBM Storage dan IBM Storage Insights Pro.

Jelajahi ketahanan dunia maya dengan IBM FlashSystem