IT SERVICE CONTINUITY MANAGEMENT
PENGANTAR
DAN RUANG LINGKUP
Sebagian besar organisasi bergantung pada sistem TI mereka sedemikian rupa sehingga kehilangan kunci aplikasi atau infrastruktur dapat menyebabkan perusahaan gagal dalam hitungan hari atau secepatnya. Karena itu, organisasi perlu merencanakan bagaimana mereka akan memulihkan kunci mereka dalam skala waktu yang sesuai jika terjadi kegagalan. Inilah fokusnya IT service continuity management (ITSCM).
Sebagian besar organisasi bergantung pada sistem TI mereka sedemikian rupa sehingga kehilangan kunci aplikasi atau infrastruktur dapat menyebabkan perusahaan gagal dalam hitungan hari atau secepatnya. Karena itu, organisasi perlu merencanakan bagaimana mereka akan memulihkan kunci mereka dalam skala waktu yang sesuai jika terjadi kegagalan. Inilah fokusnya IT service continuity management (ITSCM).
Organisasi tentu saja dapat mengalami kerugian dari hilangnya sistem selain sistem TI dan karenanya harus memiliki rencana kesinambungan bisnis umum yang melindungi segala kemungkinan yang dapat mengancam fungsi bisnis vitalnya (VBF). Oleh karena itu ITSCM harus mendukung dan menyelaraskan dengan bisnis organisasi proses manajemen kontinuitas (BCM) di mana ini berada.
MAKSUD DAN TUJUAN
Tujuan dari ITSCM adalah untuk mendukung
manajemen saling berkesinambungan bisnis dengan memastikan bahwa sumber daya,
sistem, dan layanan TI dapat dipulihkan kembali sesuai kesepakatan.
rentang waktu jika terjadi insiden besar.
Ini dicapai dengan menciptakan dan memelihara fasilitas yang diperlukan dan
kemampuan pemulihan.
Tujuan dari proses ini adalah:
• untuk membuat dan memelihara rencana
kesinambungan layanan TI dan rencana pemulihan
• untuk melakukan latihan analisis dampak
bisnis (BIA) secara teratur untuk memastikan bahwa rencana tetap selaras dengan
perubahan persyaratan bisnis
• untuk melakukan analisis risiko dan
latihan manajemen secara berkala untuk menentukan potensi kegagalan dan
mengidentifikasi serta menerapkan tanggapan yang sesuai serta memenuhi target
kesinambungan bisnis yang disepakati
• untuk menilai dampak perubahan dan
mengambil tindakan yang tepat untuk terus memberikan tingkat perlindungan yang
diperlukan
• untuk memastikan bahwa kontrak dan
perjanjian pihak ketiga yang sesuai ada di tempat dan tetap up to date untuk
menjaga kelangsungan dan rencana pemulihan
• untuk secara proaktif meningkatkan
kemampuan pemulihan di mana biaya efektif untuk melakukannya
• untuk memberikan saran dan panduan
tentang kesinambungan dan masalah terkait pemulihan.
KEGIATAN UTAMA
Daur hidup manajemen kontinuitas layanan
Membangun dan memelihara ITSCM adalah
proses siklus yang memastikan kelanjutan sejalan dengan rencana kesinambungan
bisnis dan prioritas bisnis.
Dua langkah
pertama, inisiasi dan kemudian persyaratan dan strategi, terutama berkaitan
ke BCM. ITSCM
dimulai dengan menghasilkan strategi ITSCM untuk mendukung BCM
strategi.
Strategi ITSCM harus memastikan bahwa rencana hemat biaya ada untuk pulih
Layanan TI dan
infrastruktur TI apa pun yang diperlukan untuk memelihara VBF.
Situasinya lebih kompleks di mana sebagian
atau semua layanan TI dialihdayakan ke organisasi lain. Dalam hal ini, manajer
ITSCM harus memastikan bahwa kelangsungan dan rencana pemulihan agen
outsourcing memenuhi tujuan dan rentang waktu bisnis.
Analisis dampak bisnis
Business impact analysis / Analisis dampak bisnis (BIA) adalah kegiatan yang dilakukan oleh ITSCM, biasanya bersama dengan manajemen ketersediaan, yang bekerja dengan bisnis untuk memahami dampak pada organisasi yang menderita layanan yang terdegradasi atau kehilangan layanan atau komponen TI. Analisis akan mengidentifikasi fungsi bisnis yang ada penting untuk keberhasilan organisasi (VBF) dan fungsi-fungsi inilah yang ITSCM harus melindungi dari dampak kegagalan TI. Bisnis akan menentukan persyaratan pemulihan untuk fungsi-fungsi ini yang harus ditangani ITSCM rencana kesinambungan TI-nya. Seiring waktu, pentingnya fungsi bisnis dapat berubah dan yang baru muncul, sehingga ITSCM harus melakukan latihan BIA secara teratur dan memasukkan hasilnya kembali ke dalam rencana kesinambungan untuk memastikan hasilnya tetap ada sesuai dan terkini.
Analisis dan manajemen risiko
Langkah pertama dalam melindungi VBF adalah memahami ketergantungan mereka pada TI layanan dan infrastruktur. Informasi ini dapat ditemukan dari sistem manajemen konfigurasi. Selanjutnya, ITSCM harus mempertimbangkan sejumlah faktor:
• Apa yang dapat menyebabkan layanan atau komponen gagal? Contohnya termasuk kebakaran, banjir dan pelanggaran keamanan selain kerusakan mekanis atau listrik yang sederhana.
• Apa kemungkinan hal ini terjadi? Dengan
kata lain, apa peluangnya bahwa setiap peristiwa yang didefinisikan di atas
dapat terjadi?
• Apa dampak dari kejadian seperti itu?
Jika salah satu peristiwa itu terjadi, apa dampaknya terhadap bisnis? Ini
mungkin dinyatakan dalam hal dampak pada reputasinya, pelanggannya, keuangannya
atau hukumnya atau persyaratan kepatuhan, contohnya.
Hasil dari pertimbangan ini akan menentukan tindakan yang sesuai ITSCM harus mengambil untuk mengurangi risiko secara memadai dan efektif biaya. Biasanya, semakin besar kemungkinan kegagalan dan semakin besar dampaknya, semakin besar tingkat kegagalannya perlindungan dibutuhkan dan semakin besar pembenaran untuk biaya yang diperlukan.
Di atas menggarisbawahi pentingnya analisis risiko dan manajemen untuk ITSCM.
RISIKO
Peristiwa yang mungkin dapat menyebabkan
kerugian atau kerugian, atau memengaruhi kemampuan untuk mencapai tujuan.
Risiko diukur dengan probabilitas ancaman, kerentanan aset
ancaman itu, dan dampaknya jika itu
terjadi.
Tahap pertama analisis dan manajemen risiko adalah mengidentifikasi potensi ancaman ke aset atau layanan, perkirakan probabilitas bahwa ancaman itu mungkin terjadi, menilai seberapa rentan aset atau layanan terhadap ancaman ini dan menilai dampak seandainya ancaman terwujud. Misalnya, seperti yang diidentifikasi di atas, banjir adalah salah satu contoh ancaman yang mungkin relevan dengan aset seperti pusat data. Kami akan menentukan probabilitas bahwa pusat mungkin banjir, menilai kerentanan pusat data terhadap banjir dan dampaknya terhadap organisasi jika itu apakah banjir. Menyatukan semua ini akan memberi kita ukuran risiko.
Bagian kedua dari manajemen risiko adalah
melakukan sesuatu tentang risiko yang diidentifikasi.
Secara umum, kita dapat melakukan sejumlah
hal tentang risiko:
• Beberapa risiko dapat diterima dan ketentuan dibuat jika hal terburuk terjadi. Jika kami tidak dapat mengasuransikan pusat data kami karena berada di dataran banjir, kami dapat melakukannya memutuskan untuk memegang dana darurat jika banjir.
• Kita dapat menghindari atau menghilangkan risiko; misalnya, kita bisa menghilangkan risiko ke pusat data kami dengan memutuskan untuk kembali ke pemrosesan manual. Ini bukan selalu menjadi solusi praktis.
• Beberapa risiko dapat diterima dan ketentuan dibuat jika hal terburuk terjadi. Jika kami tidak dapat mengasuransikan pusat data kami karena berada di dataran banjir, kami dapat melakukannya memutuskan untuk memegang dana darurat jika banjir.
• Kita dapat menghindari atau menghilangkan risiko; misalnya, kita bisa menghilangkan risiko ke pusat data kami dengan memutuskan untuk kembali ke pemrosesan manual. Ini bukan selalu menjadi solusi praktis.
• Kita dapat mentransfer risiko kepada
orang lain, misalnya dengan mengambil asuransi atau dengan mengalihdayakan
pusat data dan pemulihan bencana.
• Kita dapat mengurangi risiko dengan
mengurangi kemungkinan ancaman atau dengan mengurangi keparahan jika risiko
terwujud. Untuk pusat data kami, kami mungkin memindahkannya ke puncak bukit
untuk mengurangi kemungkinan banjir atau mengurangi dampak banjir mengganti
kabel di bawah lantai dengan serat optik.
Dalam banyak kasus, respons terhadap risiko akan merupakan kombinasi dari semua atau beberapa di antaranya opsi, dengan keseimbangan dibuat antara toleransi bisnis terhadap risiko dan biaya penanggulangan.
Masalah utama untuk manajemen layanan TI, dan ITSCM khususnya, adalah memiliki beberapa cara menganalisis dan mengelola risiko, dan pendekatan terbaik dan teraman adalah menggunakan kerangka kerja yang telah dicoba dan diuji yang mencakup semua aspek identifikasi risiko dan pengelolaan. Manajemen Risiko (M_o_R®), bagian dari Pedoman Praktik Terbaik portofolio yang diterbitkan oleh The Cabinet Office adalah kerangka yang direkomendasikan.
HUBUNGAN DENGAN PROSES MANAJEMEN LAYANAN LAINNYA
Manajemen ketersediaan
Jelas ada tumpang tindih antara proses
ITSCM dan ketersediaannya
proses manajemen. Perbedaannya adalah bahwa
manajemen ketersediaan adalah yang utama
berkaitan dengan menjaga ketersediaan VBF,
sedangkan ITSCM menyediakan
kemungkinan jika terjadi kegagalan yang
tidak dapat dilakukan oleh manajemen ketersediaan
mencegah atau yang tidak dapat dipulihkan
dengan cepat.
Ubah manajemen
Perubahan perlu dinilai untuk dampaknya
pada rencana keberlanjutan dan konsekuensinya perubahan dimasukkan ke dalam
perencanaan perubahan. Rencana kesinambungan itu sendiri tunduk untuk mengubah
kontrol.
Manajemen tingkat layanan
Manajemen tingkat layanan akan memberikan
saran tentang definisi VBF dan harapan bisnis sehubungan dengan penundaan waktu
yang diizinkan dalam pemulihan layanan.
Manajemen kapasitas
Manajemen kapasitas membantu memastikan
sumber daya yang memadai tersedia untuk mengakomodasi layanan setelah rencana
kesinambungan dijalankan dan tingkat layanan yang disepakati dapat
dipertahankan dalam situasi ini.
Manajemen aset dan konfigurasi
Manajemen konfigurasi menyimpan catatan CI
pemulihan, status dan spesifikasi.
Manajemen keamanan informasi
Potensi pelanggaran keamanan yang
menyebabkan insiden besar berarti bahwa manajemen keamanan informasi berkontribusi
terhadap BIA dan kegiatan analisis risiko.
METRIK
Metrik yang dapat digunakan untuk mengukur
kinerja layanan ITSCM dan proses sehubungan dengan efektivitas dan kesiapan
organisasi adalah sebagai berikut:
• Jumlah layanan yang tidak tercakup oleh
rencana kesinambungan dan pemulihan (itu harus ditutupi).
• Jumlah masalah yang diidentifikasi dalam
tes kontinuitas terakhir yang masih ada ditangani.
• Jumlah kesalahan yang ditemukan dalam
audit informasi dalam daftar kunci orang, tanggung jawab dan rincian kontak
mereka.
PERAN
Manajer kontinuitas layanan TI bertanggung
jawab untuk memastikan bahwa tujuan dari prosesnya terpenuhi. Karena itu
kegiatan mereka meliputi:
• melakukan BIA dan latihan manajemen
risiko baik yang sudah ada maupun yang baru jasa
• menerapkan dan memelihara proses dan
strategi kesinambungan ITSCM dan menjaga keselarasan dengan perencanaan kesinambungan
bisnis
• mempersiapkan dan memelihara
kesinambungan dan rencana pemulihan dan memastikan bahwa ini terus mendukung
strategi kesinambungan bisnis organisasi dan rencana
• secara teratur menguji rencana untuk
efektivitas, meninjau hasil dan mengambil tindakan untuk mengatasi kekurangan
yang teridentifikasi
• memastikan bahwa setiap personel yang
memiliki peran dalam transisi dari satu lokasi yang lain sepenuhnya terlatih
dan sadar akan tanggung jawab mereka
• mengelola pemasok peralatan dan fasilitas
pemulihan pihak ketiga untuk menjaga integritas rencana kesinambungan dan
pemulihan
• menghadiri pertemuan dewan penasihat
perubahan (CAB) sebagaimana diminta dan menilai perubahan untuk dampaknya pada
rencana dan memperbarui rencana sesuai
• mengelola rencana kesinambungan selama
pemanggilan dan mengembalikan layanan ke fasilitas utama atau yang ditunjuk
lainnya.
