cpu-data.info

RESOLUSI pada rentetan bencana digital bisa diawali dengan mengingat kembali prinsip dan kaidah dalam IT Governance & SDLC (System Development Life Cycle) dalam change management yang nampaknya selama ini telah diabaikan, bahkan dilanggar.

Pada saat ini, banyak penggunaan aplikasi sudah setengah managed services/dikelola pihak ketiga.

Hal ini mengakibatkan adanya kelalaian terhadap penerapan prinsip SDLC terkait keharusan testing di pengguna, karena pengguna menganggap penyedia sudah melakukan testing dengan baik.

Baca artikel sebelumnya: Mengapa Bencana Digital Terus Terjadi? (Bagian I)

Menurut standar ISO 20000, proses change management mendefinisikan bagaimana perubahan pada layanan TI dan aset layanan dikontrol sepanjang siklus hidupnya.

Proses tersebut bertanggung jawab untuk mengesahkan, mencatat, menjadwalkan, dan mengelola perubahan pada layanan TIK untuk memastikan bahwa perubahan dilakukan dengan aman dan efisien tanpa mengganggu bisnis atau menimbulkan dampak negatif.

Prinsip utamanya, menurut ITIL (Information Technology Infrastructure Library), adalah semua perubahan di produksi harus melewati proses change management.

Di dalamnya terdapat analisa dampak yang harus dilakukan, termasuk ada pengujian untuk menentukan dampak dan go or no go.

Untuk itu, setiap penggunaan aplikasi oleh perusahaan/bisnis, bahkan pembaruan patch security seperti antivirus, apalagi yang di data center/disaster recovery center, harus mengikuti prosedur standar IT Governance/SDLC dalam change management yang sudah ditetapkan sesuai best practice. Standar ini mungkin sudah ditetapkan di perusahaan atau institusi.

Penerapan prinsip IT Governance & SDLC tersebut menjadi sangat penting guna menghindari bencana berulang.

Resolusi yang sangat penting berikutnya adalah dengan mengubah pola pikir. Sistem TIK sehebat apapun bukan jaminan, namun harus menekankan pentinganya pengujian Disaster Recovery Plan (DRP)/Resilience Plan/ Incident Response Plan.

Isu kurangnya kontrol yang dimiliki perusahaan pada saat ini, membuat perusahaan tidak dapat melakukan banyak hal untuk mengatasi masalah seperti ketika vendor keamanan/pihak ketiga yang lain mengeluarkan patch yang buruk/defect secara global.

Pada kasus ini, hal ini dialami ketika outage Microsoft terjadi ketika Crowdstrike tidak melakukan phased rollout (rollout secara bertahap) ketika melakukan pembaruan sistem. Phased rollout dapat mengurangi dampak yang besar jika terjadi masalah.

Untuk itu, setiap perusahaan perlu melakukan analisis risiko untuk semua ancaman yang ada dan memastikan bahwa semua risiko tercakup strategi DRP.

Identifikasi risiko ini akan menghasilkan tingkat risiko paling tinggi yang akan dijadikan acuan proses penentuan strategi DRP. Juga, pastikan bahwa semua risiko sudah termasuk analisis penentuan strategi tersebut.

Setelah memiliki strategi DRP, organisasi juga harus teratur mempraktikkan dan melaksanakan latihan-latihan dari rencana-rencana tersebut guna memastikan bahwa seluruh rencana akan efektif dan semua orang tahu apa yang harus dilakukan ketika situasi nyata terjadi.

Setelah pola pikir, berikutnya adalah penerapan strategi IT Resilience yang terdiri lima poin. Pertama, pentingnya melakukan pendekatan update management yang komprehensif.

CIO (Chief Information Officer) harus melakukan pre-deployment testing yang ketat di berbagai lingkungan.

Pengujian ini harus mencakup automated testing, manual testing, dan regression testing untuk memastikan bahwa update terbaru tidak mengganggu fungsionalitas yang ada.