Pernahkah Disaster Recovery Planning diupdate?

Sudah beberapa kali saya dikecewakan oleh sebuah Bank Plat Merah. Minggu lalu, saya coba pakai fasilitas internet banking, tidak bisa login. Message-nya adalah Cannot connect to database…Kemudian keesokan harinya datang ke salah satu cabang dekat rumah saya. Kecewa saya bertambah, karena cabangnya offline…! Pihak security menyarankan untuk mendatangi cabang lain yang terdekat karena hanya cabang ini yang offline.
Tadi pagi, sebelum datang ke kantor, mampir ATM untuk bayar tagihan. Ternyata tidak bisa diproses juga…Waduh, petaka apa ini? Wahai para IT-eers di Bank Plat Merah…Apakah anda aware dengan kejadian seperti ini? Atau kejadian seperti ini sudah dianggap “biasa”?

Kumpulan kata yang tepat untuk antisipasi seperti ini adalah Disaster Recovery Planning…Sekarang coba dibuka kembali apa maksudnya.

Masih teringat kejadian Tsunami yang meluluhlantakkan Aceh dan sekitarnya pada akhir tahun 2004. Di situ seolah kita semua sedang diuji multifaktor, sederhananya teknis maupun non-teknis.
Teknis…di mana kita harus segera bangkit dari keterpurukan, dengan ketiadaan catu daya, database, sistem yang melayani dan mempermudah dalam operasional, dan sebagainya.
Terus terang, ketergantungan transaksi khususnya pada perbankan kepada suatu sistem teknologi informasi yang handal sangat tinggi. Seperti kasus yang menimpa saya, seharusnya perbankan bisa mengestimasi berapa potential loss akibat sistem yang kurang optimal.
Berikut ini adalah tahapan pengembangan DRP (jika memang belum tersedia):
1. Mengorganisir Tim dalam perusahaan,
2. Assessment terhadap Resiko yang berdampak pada perusahaan,
3. Penetapan peran serta stakeholder dalam DRP,
4. Pengembangan Kebijakan dan Prosedur Baku,
5. Dokumentasi Prosedur Pemulihan,
6. Persiapan Penanganan Bencana,
7. Pelatihan dan Simulasi,
8. Manajemen Berkelanjutan.

Dilihat dari tahapan di atas, sepertinya awareness mulai point 6 sampai dengan 8 kurang optimal pada perbankan yang dimaksud di atas. Kenapa? Kejadian terulang adalah salah satu faktor yang signifikan yang menilai kurangnya awareness. Sepertinya ada pepatah dalam bahasa jawa : Gelem Ra Gelem yo Wis, alias sebagai konsumen tidak ada pilihan lain selain menunggu.

Wahai stakeholder DRP, melalui tulisan ini diharapkan kita saling mengingatkan, bahwa:
1. Awareness selalu terjaga,
2. Latihan, Latihan, dan Latihan,
3. Update segera Prosedur DRP sesuai dengan perkembangan,
4. Mitigasi resiko yang kemungkinan muncul pada beberapa tahun mendatang.

Semoga berguna…

Basic Security Awareness in Computer

Tata Kelola yang dalam bahasa Inggrisnya disebut “Governance” akhir-akhir ini telah menjadi pembicaraan yang umum didengar mulai dari seminar bahkan sampai obrolan di dalam Busway yang sedang melaju di Jakarta. Untuk itu, saya akan mengkhususkan tata kelola dalam kerangka “Keamanan” atau Computer Security.

Beberapa tahun lalu saya mencoba mengikuti ujian sertifikasi keahlian IT Auditor yang sering disebut sebagai CISA (Certified Information System Auditor) yang dikeluarkan oleh lembaga ISACA. Dalam ujian tersebut, salah satu materi yang cukup memberikan “kesan” bagi saya adalah Computer Security.

Sekedar ingin membagi pengalaman, beberapa topik pertanyaan dari materi ujian yang sebenarnya cukup sering kita dengar dan sehari-hari sering kita lakukan adalah sebagai berikut:
1. Untuk mengamankan komputer jika kita tidak sedang berhadapan dengan komputer, maka langkah paling penting yang dilakukan adalah :
a. Mengaktifkan screensaver password,
b. Kontrol password,
c. Mematikan komputer sebelum pergi,
d. Enkripsi.
Terus terang pada saat saya sebelum membaca Guidance dari ISACA tentang CISA Review Manual, saya akan memilih pilihan “c”. Dari membaca materi CISA Review Manual, ternyata jawabannya adalah pilihan “a”. Penasaran saya membaca lagi alasannya, karena jika kita tinggal sebentar, maka screen saver dengan mode request password akan memberikan tingkat keamanan komputer level-1. Hal ini disebabkan pada saat kita kembali bekerja di hadapan komputer, maka kita tidak akan lama untuk booting masuk ke Operation System (OS).

2. Jika anda diberi pertanyaan: apakah yang paling lemah dari penggunaan Monitor CRT/ Cathode Ray Tube (Monitor Tabung)?
a. Menyebabkan pusing dan beberapa penyakit lainnya,
b. Informasi yang tertera di layar akan mudah ditangkap,
c. Menyebabkan gangguan komunikasi (mungkin frekuensinya),
d. Menyebabkan kerusakan di motherboard.
Nah, pertanyaan di atas tentunya jika kita sudah terbiasa dengan “Ilmu Glodok” atau “Ilmu Mangga Dua” dan sebagainya, pasti akan menjawab pilihan “a”. Kenapa? Coba tanya pedagang komputer, apa kelemahan dari monitor CRT…Pasti jawabannya ada radiasi yang kelamaan akan menyebabkan kita pusing, catu daya yang lebih besar dari pada monitor LCD, dan sebagainya.
Ternyata jawabannya adalah pilihan “b”. Kenapa? Saya baru tau setelah bertemu kolega saya dari BPPT yang ternyata ada negara yang sudah memproduksi menangkap apa yang sedang ditampilkan oleh Monitor CRT dengan menggunakan peralatan tertentu…Nah, saya saja lihat alatnya belum pernah apalagi jawab seperti itu…Hehe…

Kembali ke topik di atas, setidaknya menurut saya perlu ada basic computer security di PC atau laptop kita. Sebagai contoh adalah:
1. Selalu mengganti password secara periodik,
2. Password yang “baik” adalah kombinasi antara numerik dan alfabetik,
3. Mengaktifkan screen saver password dengan setting timer paling kecil,
4. Backup file dengan penggunaan password, (saat ini ada beberapa USBFD yang berfitur password),
5. Updating virus definition pada Anti Virus,
6. Never trust anyone in the internet,
7. Dan sebagainya…

Terus terang, jika harus saya tampilkan satu per satu, maka akan menjadi sebuah SOP (Standard Operation Procedures) yang notabene adalah salah satu pekerjaan saya dan tidak akan cukup dituangkan dalam blog ini. Oleh karena itu, setidaknya saya berusaha memberikan basic computer security yang mudah dilakukan sendiri kepada pembaca agar komputer anda menjadi “lebih handal” dibandingkan dengan tidak melakukan beberapa tahapan seperti yang telah saya contohkan di atas.

Semoga sedikit pemikiran saya ini dapat memberikan manfaat bagi para pembaca…