Keberlangsungan bisnis vs pemulihan bencana: Rencana mana yang tepat untuk Anda?

Keberlangsungan bisnis dan rencana pemulihan bencana adalah strategi manajemen risiko yang diandalkan oleh bisnis untuk mempersiapkan diri menghadapi insiden yang tidak terduga. Meskipun kedua istilah ini terkait erat, ada beberapa perbedaan utama yang perlu dipertimbangkan ketika memilih mana yang tepat untuk Anda:

• Rencana keberlangsungan bisnis (BCP): BCP adalah rencana terperinci yang menguraikan langkah-langkah yang akan diambil organisasi untuk kembali ke fungsi bisnis normal jika terjadi bencana. Sementara jenis rencana lain mungkin berfokus pada satu aspek spesifik pemulihan dan pencegahan gangguan (seperti bencana alam atau serangan siber), BCP mengambil pendekatan luas dan bertujuan memastikan suatu organisasi dapat menghadapi berbagai ancaman seluas mungkin.
• Rencana pemulihan bencana (DRP): Lebih terperinci daripada BCP, rencana pemulihan bencana terdiri dari rencana darurat tentang bagaimana perusahaan secara khusus melindungi sistem TI dan data penting mereka selama gangguan. Bersamaan dengan BCP, paket DR membantu bisnis melindungi data dan sistem TI dari berbagai skenario bencana, seperti pemadaman besar-besaran, bencana alam, serangan ransomware dan malware, dan banyak lainnya.
• Keberlangsungan bisnis dan pemulihan bencana (BCDR): Keberlangsungan bisnis dan pemulihan bencana (BCDR) dapat dilakukan secara bersamaan atau terpisah, tergantung kebutuhan bisnis. Akhir-akhir ini, semakin banyak bisnis yang bergerak ke arah mempraktikkan kedua disiplin ilmu tersebut secara bersamaan, meminta para eksekutif untuk berkolaborasi dalam praktik BC dan DR daripada bekerja sendiri-sendiri. Hal ini menyebabkan penggabungan kedua istilah tersebut menjadi satu, yaitu BCDR, namun makna esensial dari kedua praktik tersebut tetap tidak berubah.

Terlepas dari bagaimana Anda memilih untuk melakukan pendekatan terhadap pengembangan BCDR di organisasi Anda, perlu diperhatikan betapa cepatnya bidang ini berkembang di seluruh dunia. Karena dampak BCDR yang buruk seperti kehilangan data dan waktu henti menjadi makin mahal, banyak perusahaan yang menambah investasi mereka yang sudah ada. Tahun lalu, perusahaan di seluruh dunia siap menghabiskan USD 219 miliar untuk keamanan siber dan solusinya, meningkat 12% dari tahun sebelumnya menurut laporan terkini oleh International Data Corporation (IDC) (tautan berada di luar ibm.com).

Rencana keberlangsungan bisnis (BCP) dan rencana pemulihan bencana (DRP) membantu organisasi bersiap menghadapi berbagai insiden yang tidak direncanakan. Bila diterapkan secara efektif, rencana DR yang baik dapat membantu pemangku kepentingan lebih memahami risiko terhadap fungsi bisnis reguler yang mungkin ditimbulkan oleh ancaman tertentu. Perusahaan yang tidak berinvestasi dalam pemulihan bencana keberlangsungan bisnis (BCDR) lebih mungkin mengalami kehilangan data, waktu henti, denda finansial, dan kerusakan reputasi karena insiden yang tidak direncanakan.

Berikut adalah beberapa manfaat yang dapat diharapkan oleh bisnis yang berinvestasi dalam keberlangsungan bisnis dan rencana pemulihan bencana:

• Waktu henti yang dipersingkat: Ketika bencana menghentikan operasi bisnis normal, perusahaan dapat mengeluarkan biaya ratusan juta dolar untuk bangkit dan beroperasi lagi. Serangan siber yang serius bisa sangat merusak, sering kali menarik perhatian yang tidak diinginkan, dan menyebabkan investor serta pelanggan lari ke pesaing yang mengiklankan waktu henti yang lebih singkat. Menerapkan rencana BCDR yang kuat dapat memperpendek jangka waktu pemulihan Anda, apa pun jenis bencana yang Anda hadapi.
• Risiko keuangan yang lebih rendah: Menurut Laporan Biaya Pelanggaran Data IBM baru-baru ini, biaya rata-rata pelanggaran data adalah USD 4,45 juta pada tahun 2023—meningkat 15% sejak tahun 2020. Perusahaan dengan rencana keberlangsungan bisnis yang kuat telah menunjukkan bahwa mereka dapat mengurangi biaya tersebut secara signifikan dengan mempersingkat waktu henti dan meningkatkan kepercayaan pelanggan dan investor.
• Pengurangan penalti: Pelanggaran data dapat mengakibatkan penalti besar ketika informasi pribadi pelanggan bocor. Bisnis yang beroperasi di bidang perawatan kesehatan dan keuangan pribadi berisiko lebih tinggi karena sensitivitas data yang mereka tangani. Memiliki strategi keberlangsungan bisnis yang kuat sangat penting bagi bisnis yang beroperasi di sektor ini, membantu menjaga risiko hukuman keuangan yang berat relatif rendah.

Perencanaan pemulihan bencana keberlangsungan bisnis (BCDR) paling efektif ketika bisnis mengambil pendekatan terpisah namun terkoordinasi. Meskipun rencana keberlangsungan bisnis (BCP) dan rencana pemulihan bencana (DRP) serupa, ada perbedaan penting yang membuat pengembangannya secara terpisah menguntungkan:

• BCP yang kuat berfokus pada taktik untuk menjaga agar operasi normal tetap berjalan sebelum, selama, dan segera setelah bencana. 
• DRP cenderung lebih reaktif, menguraikan cara untuk menanggapi insiden dan memastikan semuanya kembali berjalan lancar.

Sebelum kita membahas cara Anda dapat membuat BCP dan DRP yang efektif, mari kita lihat beberapa istilah yang relevan dengan keduanya:

• Tujuan waktu pemulihan (RTO): RTO mengacu pada jumlah waktu yang diperlukan untuk memulihkan proses bisnis setelah insiden yang tidak direncanakan. Menetapkan RTO yang wajar adalah salah satu hal pertama yang perlu dilakukan bisnis ketika mereka membuat BCP atau DRP. 
• Tujuan titik pemulihan (RPO): Tujuan titik pemulihan (RPO) bisnis Anda adalah jumlah data yang dapat hilang dalam bencana dan masih dapat dipulihkan. Karena perlindungan data adalah kemampuan inti dari banyak perusahaan modern, beberapa perusahaan terus-menerus menyalin data ke pusat data jarak jauh untuk memastikan keberlangsungan jika terjadi pelanggaran besar-besaran. Perusahaan yang lain menetapkan RPO yang dapat ditoleransi selama beberapa menit (atau bahkan beberapa jam) agar data bisnis dapat dipulihkan dari sistem cadangan dan tahu bahwa mereka akan dapat memulihkan dari apa pun yang hilang selama waktu itu.

Meskipun setiap bisnis akan memiliki persyaratan yang sedikit berbeda dalam hal perencanaan keberlangsungan bisnis, ada empat langkah yang banyak digunakan yang memberikan hasil yang kuat terlepas dari ukuran atau industrinya.

1. Menjalankan analisis dampak bisnis 

Analisis dampak bisnis (BIA) membantu organisasi lebih memahami berbagai ancaman yang mereka hadapi. BIA yang kuat mencakup pembuatan deskripsi yang komprehensif tentang semua potensi ancaman dan kerentanan yang mungkin mereka hadapi. Selain itu, BIA memperkirakan tingkat kemungkinan setiap peristiwa sehingga organisasi dapat memprioritaskannya.

2. Buat tanggapan potensial

Untuk setiap ancaman yang Anda identifikasi di BIA, Anda perlu mengembangkan respons untuk bisnis Anda. Ancaman yang berbeda membutuhkan strategi yang berbeda, jadi untuk setiap bencana yang mungkin Anda hadapi, ada baiknya Anda membuat rencana terperinci tentang bagaimana Anda dapat melakukan pemulihan.

3. Tetapkan peran dan tanggung jawab

Langkah selanjutnya adalah mencari tahu apa yang diperlukan dari semua orang di tim pemulihan bencana Anda jika terjadi bencana. Langkah ini harus mendokumentasikan harapan dan mempertimbangkan bagaimana individu akan berkomunikasi selama insiden yang tidak direncanakan. Ingat, banyak ancaman yang mematikan kemampuan komunikasi utama seperti jaringan seluler dan Wi-Fi, jadi sebaiknya Anda memiliki prosedur cadangan komunikasi yang dapat Anda andalkan.

4. Latih dan revisi rencana Anda

Untuk setiap ancaman yang telah Anda persiapkan, Anda harus terus berlatih dan menyempurnakan rencana BCDR hingga rencana tersebut beroperasi dengan lancar. Berlatihlah dengan skenario serealistis mungkin tanpa menempatkan siapa pun dalam risiko yang sebenarnya sehingga anggota tim dapat membangun kepercayaan diri dan mengetahui bagaimana mereka akan bekerja jika terjadi gangguan terhadap keberlangsungan bisnis.

Seperti BCP, DRP mengidentifikasi peran dan tanggung jawab kunci dan harus terus diuji dan disempurnakan agar efektif. Berikut adalah proses empat langkah yang banyak digunakan untuk membuat DRP.

1. Menjalankan analisis dampak bisnis

Seperti halnya BCP Anda, DRP Anda dimulai dengan penilaian yang cermat terhadap setiap ancaman yang mungkin dihadapi perusahaan Anda dan apa implikasinya. Pertimbangkan kerusakan yang dapat ditimbulkan oleh setiap potensi ancaman dan kemungkinan ancaman tersebut mengganggu operasi bisnis harian Anda. Pertimbangan tambahan dapat mencakup hilangnya pendapatan, waktu henti, biaya perbaikan reputasi (hubungan masyarakat) dan hilangnya pelanggan dan investor karena pemberitaan yang buruk.

2. Inventarisasikan aset Anda

DRP yang efektif mengharuskan Anda mengetahui secara pasti apa yang dimiliki perusahaan Anda. Lakukan inventarisasi ini secara berkala sehingga Anda dapat dengan mudah mengidentifikasi perangkat keras, perangkat lunak, infrastruktur TI, dan apa pun yang diandalkan organisasi Anda untuk fungsi bisnis penting. Anda dapat menggunakan label berikut untuk mengkategorikan setiap aset dan memprioritaskan perlindungannya—kritis, penting, dan tidak penting.

• Kritis: Beri label aset penting jika Anda bergantung pada aset tersebut untuk operasi bisnis normal Anda.
• Penting: Berikan label ini pada apa pun yang Anda gunakan setidaknya sekali sehari dan, jika terganggu, akan berdampak pada operasi penting Anda (namun tidak mematikannya sepenuhnya).
• Tidak penting: Ini adalah aset yang dimiliki bisnis Anda tetapi cukup jarang digunakan sehingga membuatnya tidak penting untuk operasi normal.

3. Tetapkan peran dan tanggung jawab

Seperti halnya dalam BCP Anda, Anda harus menjelaskan tanggung jawab dan memastikan anggota tim Anda memiliki apa yang dibutuhkan untuk melaksanakannya. Berikut adalah beberapa peran dan tanggung jawab yang banyak digunakan untuk dipertimbangkan:

• Pelapor insiden: Seseorang yang menyimpan informasi kontak untuk pihak-pihak terkait dan berkomunikasi dengan pemimpin bisnis dan pemangku kepentingan ketika terjadi peristiwa yang mengganggu.
• Supervisor DRP: Seseorang yang memastikan anggota tim melakukan tugas yang telah ditugaskan kepada mereka selama insiden. 
• Manajer aset: Seseorang yang tugasnya mengamankan dan melindungi aset penting ketika bencana melanda. 

4. Latih rencana Anda

Sama seperti BCP, Anda perlu terus berlatih dan memperbarui DRP agar efektif. Berlatihlah secara teratur dan perbarui dokumen Anda sesuai dengan perubahan berarti yang perlu dilakukan. Misalnya, jika perusahaan Anda memperoleh aset baru setelah DRP Anda terbentuk, Anda harus memasukkannya ke dalam rencana Anda ke depannya atau aset tersebut tidak akan terlindungi saat terjadi bencana.

Apakah Anda memerlukan rencana keberlangsungan bisnis (BCP), rencana pemulihan bencana (DRP), atau keduanya bekerja bersama atau secara terpisah, akan sangat membantu jika Anda melihat bagaimana bisnis lain telah membuat rencana untuk meningkatkan kesiapsiagaan mereka. Berikut adalah beberapa contoh rencana yang telah membantu bisnis dengan persiapan BC dan DR.

• Rencana manajemen krisis: Rencana manajemen krisis yang baik dapat menjadi bagian dari perencanaan keberlangsungan bisnis atau pemulihan bencana. Rencana manajemen krisis adalah dokumen terperinci yang menguraikan cara Anda akan mengelola ancaman tertentu. Dokumen ini memberikan instruksi terperinci tentang bagaimana organisasi akan menanggapi jenis krisis tertentu, seperti pemadaman listrik, kejahatan siber, atau bencana alam; khususnya, bagaimana mereka akan menghadapi tekanan jam demi jam dan menit demi menit saat kejadian berlangsung. Banyak langkah, peran, dan tanggung jawab yang diperlukan dalam perencanaan keberlangsungan bisnis dan pemulihan bencana yang relevan dengan rencana manajemen krisis yang baik.
• Rencana komunikasi: Rencana komunikasi (atau comms plans) juga berlaku untuk keberlangsungan bisnis dan upaya pemulihan bencana. Rencana ini menguraikan cara organisasi Anda akan secara khusus menangani masalah Humas selama insiden yang tidak direncanakan. Untuk membangun rencana komunikasi yang baik, para pemimpin bisnis biasanya berkoordinasi dengan spesialis komunikasi untuk merumuskan rencana komunikasi mereka. Beberapa memiliki rencana khusus untuk bencana yang dianggap mungkin terjadi dan parah, sehingga mereka tahu persis bagaimana mereka akan menanggapi.
• Rencana pemulihan jaringan: Rencana pemulihan jaringan membantu organisasi memulihkan gangguan layanan jaringan, termasuk akses internet, data seluler, jaringan area lokal (LAN), dan jaringan area luas (WAN). Rencana pemulihan jaringan biasanya memiliki cakupan yang luas karena berfokus pada kebutuhan dasar dan penting—komunikasi—dan harus lebih dipertimbangkan dari sisi keberlangsungan bisnis daripada pemulihan bencana. Mengingat pentingnya banyaknya layanan jaringan untuk operasi bisnis, rencana pemulihan jaringan berfokus pada langkah-langkah yang diperlukan untuk memulihkan layanan dengan cepat dan efektif setelah gangguan.
• Rencana pemulihan pusat data: Rencana pemulihan pusat data lebih mungkin disertakan dalam BCP daripada DRP karena fokusnya pada keamanan data dan ancaman terhadap infrastruktur TI. Beberapa ancaman umum terhadap pencadangan data termasuk personil yang terlalu banyak, serangan siber, pemadaman listrik, dan kesulitan mengikuti persyaratan kepatuhan. 
• Rencana pemulihan tervirtualisasi: Seperti rencana pusat data, rencana pemulihan tervirtualisasi lebih cenderung menjadi bagian dari BCP daripada DRP karena fokus BCP pada TI dan sumber daya data. Rencana pemulihan tervirtualisasi mengandalkan instans Virtual Machines (VM) yang dapat mulai beroperasi dalam beberapa menit setelah gangguan. Virtual Machines adalah representasi/emulasi komputer fisik yang menyediakan pemulihan aplikasi penting melalui ketersediaan tinggi (HA), atau kemampuan sistem untuk beroperasi terus menerus tanpa gagal.

Bahkan gangguan kecil dapat membahayakan bisnis Anda. IBM memiliki berbagai macam rencana kontingensi dan solusi pemulihan bencana untuk membantu mempersiapkan bisnis Anda dalam menghadapi berbagai macam ancaman, termasuk cadangan cloud dan kemampuan pemulihan bencana, serta layanan keamanan dan ketahanan.