Panduan Lengkap: Dari BIA ke Business Continuity Plan

🔄 Dari BIA ke Business Continuity Plan

Panduan Lengkap Mengembangkan BCP Berdasarkan Hasil Business Impact Analysis

🎯 Pengantar: Dari Analisis ke Aksi

💡 Analogi Sederhana

BIA seperti pemeriksaan kesehatan menyeluruh yang mengidentifikasi organ vital dan potensi masalah kesehatan Anda.

BCP adalah rencana pengobatan dan prosedur darurat - apa yang harus dilakukan jika ada masalah kesehatan, siapa yang menangani, bagaimana prosedurnya, dan bagaimana memastikan Anda tetap sehat.

Apa itu Business Continuity Plan (BCP)?

BCP adalah dokumen strategis yang berisi prosedur dan instruksi yang harus diikuti organisasi untuk memastikan operasi bisnis kritis dapat terus berjalan atau dipulihkan dengan cepat setelah terjadi gangguan.

Perbedaan BIA dan BCP:

BIA (Business Impact Analysis): Fokus pada mengidentifikasi dan menganalisis - menghasilkan data, analisis, prioritas, MTPD/RTO
BCP (Business Continuity Plan): Fokus pada merencanakan dan melaksanakan - menghasilkan prosedur, tim, checklist, kontak darurat

⚠️ Kesalahan Umum:

Membuat BCP tanpa BIA: Seperti membuat resep obat tanpa diagnosis - bisa salah sasaran
BIA lengkap tapi BCP tidak dikembangkan: Tahu masalahnya tapi tidak ada solusi
BCP terlalu generik: Tidak spesifik untuk hasil BIA organisasi Anda
BCP hanya di dokumen: Tidak disosialisasikan, tidak dilatih, tidak ditest

🔗 Menghubungkan BIA dengan BCP

Dari Hasil BIA ke Komponen BCP

Contoh Mapping: Sistem Payroll

Dari BIA:

Proses: Payroll processing
MTPD: Sebelum tanggal pembayaran gaji
Dampak: Financial loss, employee dissatisfaction, regulatory penalty
Dependencies: Payroll system, bank connectivity, HR data, finance approval
Risiko: System failure, data corruption, internet outage

Menjadi BCP:

Prioritas: High priority - harus dipulihkan 48 jam sebelum tanggal gaji
RTO: 8 jam (untuk memberikan buffer)
RPO: 24 jam (daily backup sufficient)
Recovery Strategy:
- Primary: Restore dari backup harian
- Alternate: Manual calculation dengan spreadsheet (untuk MBCO)
Tim: Finance lead, IT database admin, HR rep
Prosedur: Detail step-by-step untuk setiap skenario gangguan

🌐 ISO 22301: Standar Internasional untuk BCMS

Apa itu ISO 22301?

ISO 22301 adalah standar internasional untuk Business Continuity Management Systems (BCMS) yang menyediakan kerangka kerja bagi organisasi untuk merencanakan, menetapkan, mengimplementasikan, mengoperasikan, memantau, meninjau, memelihara, dan terus meningkatkan sistem manajemen yang terdokumentasi guna melindungi dari insiden yang mengganggu.

Versi Terkini: ISO 22301:2019

10 Klausul ISO 22301

Klausul 1-3: Pendahuluan

Scope: Cakupan BCMS organisasi
Terms & Definitions: Terminologi yang digunakan

Klausul 4: Context of Organization

Memahami konteks organisasi
Identifikasi interested parties
Menentukan scope BCMS
Menetapkan BCMS

Klausul 5: Leadership

Komitmen top management
BC policy
Roles dan responsibilities

Klausul 6: Planning

Risk assessment
Business Impact Analysis (BIA)
BC objectives dan planning

Klausul 7: Support

Resources (people, infrastructure, technology)
Competence dan training
Awareness dan communication

Klausul 8: Operation

BIA dan risk assessment
BC strategy dan solutions
BC plans dan procedures
Exercising dan testing

Klausul 9: Performance Evaluation

Monitoring dan measurement
Internal audit
Management review

Klausul 10: Improvement

Nonconformity dan corrective action
Continual improvement

✅ Manfaat Implementasi ISO 22301:

Kredibilitas: Sertifikasi menunjukkan komitmen kepada stakeholder
Structured Approach: Framework yang jelas
Continuous Improvement: Built-in mechanism
Competitive Advantage: Keunggulan kompetitif
Regulatory Compliance: Membantu memenuhi requirement regulator

📰 Kasus Nyata: Belajar dari Kegagalan dan Kesuksesan

Kasus Kegagalan BCP

❌ Kasus 1: NHS Trust - Ransomware Attack (2016)

Apa yang Terjadi:

NHS Trust diserang ransomware yang mengenkripsi sistem komputer rumah sakit. Jaringan rumah sakit terpaksa ditutup selama lima hari. Lebih dari 2.800 pasien harus ditolak, termasuk ibu yang akan melahirkan.

Root Causes:

Tidak ada BCP yang memadai
Single point of failure
Tidak ada backup/workaround
Poor cybersecurity

Lessons Learned:

Healthcare HARUS punya BCP - literally life or death
Critical systems need redundancy dan offline backup
Cybersecurity harus priority
Manual workaround untuk critical functions

❌ Kasus 2: OVHcloud Data Center Fire (2021)

Apa yang Terjadi:

Data center OVHcloud terbakar. Salah satu backup array benar-benar hancur dalam kebakaran. Banyak klien kehilangan data secara permanen.

Dampak:

Irreversible data loss untuk some customers
Business operations terganggu untuk days/weeks
Class action lawsuit $10 juta

Lessons Learned:

3-2-1 Backup Rule: 3 copies, 2 media types, 1 offsite
Geographic Redundancy: Don't rely on single location
Test Your Backups: Backup yang tidak di-test = no backup

Kasus Kesuksesan BCP

✅ Logistics Company - COVID-19 Response

What They Did Right:

Proactive scenario planning sebelum krisis
Cross-functional collaboration
Decision-making clarity
Operational agility

Results:

Maintained service continuity throughout pandemic
Zero major disruptions
Gained customer loyalty
Competitive advantage

💼 Permasalahan Bisnis Umum & Solusi BCP

💡 Connecting BCP to Real Business Pain Points

BCP bukan hanya tentang comply dengan regulasi. Ini tentang solving real business problems yang bisa menghancurkan perusahaan Anda overnight!

Problem 1: Revenue Loss Saat Sistem Down

Business Context:

E-commerce atau retail company dengan online sales sebagai revenue utama. Setiap jam downtime = hilang sales, customer frustration.

BCP Solution:

Pre-Incident:
- Load balancing dan auto-scaling
- Dual ISP dengan automatic failover
- Cloud infrastructure dengan multiple zones
- 24/7 monitoring dengan alerting
Response:
- RTO target: 15-30 minutes
- Automatic failover ke backup
- Pre-written customer communications

ROI:

Cost of Downtime: Rp 50 juta/jam × 4 jam = Rp 200 juta per incident

BCP Investment: Rp 500 juta

Break-even: After preventing 2.5 incidents

Problem 2: Key Person Dependency

BCP Solution:

Knowledge Documentation: SOPs untuk all critical processes
Cross-Training: Setiap role punya backup person
Succession Planning: Identify dan groom successors
Video Tutorials: Record processes

Example:

Without BCP: Finance Manager resign → Payroll delayed, compliance issues

With BCP: Deputy steps in → Documented procedures → Minimal disruption

Problem 3: Data Loss

3-2-1 Backup Rule:

3 Copies: Production + 2 backups
2 Different Media: Disk + cloud
1 Offsite: Different geographic location

Key Points:

Daily automated backups untuk critical data
Monthly restore tests
Encryption at rest dan in transit
Clearly defined RPO/RTO

✅ Master Checklist: BCP Development

Phase 1: Preparation (Week 1-2)

☐ Review BIA results
☐ Present to management untuk buy-in
☐ Form BCP development team
☐ Create project timeline
☐ Secure budget

Phase 2: Strategy Development (Week 3-6)

☐ Define recovery strategies
☐ Create BCP document structure
☐ Form continuity teams
☐ Begin documenting procedures
☐ Identify resource gaps

Phase 3: Development (Week 7-10)

☐ Complete scenario procedures
☐ Create RASCI matrices
☐ Develop supporting docs
☐ Internal reviews
☐ Get approvals

Phase 4: Rollout (Week 11-12)

☐ Launch awareness campaign
☐ Conduct training sessions
☐ Make BCP accessible
☐ Initial desktop review

Phase 5: Ongoing Maintenance

☐ Quarterly updates
☐ Semi-annual testing
☐ Annual comprehensive review
☐ Post-incident updates
☐ Continuous improvement

🎯 Success Indicators:

✅ All team members tahu roles
✅ Contact info always updated
✅ Testing done on schedule
✅ Real incidents managed smoothly
✅ RTO targets consistently met
✅ BCP is living document

🔄 Dari BIA ke BCP: Implementasi Praktis

💡 Connecting the Dots

Jika BIA adalah "peta kesehatan bisnis", maka BCP adalah "buku panduan medis darurat" yang menjelaskan:

Siapa yang bertanggung jawab (Tim & RASCI)
Apa yang harus dilakukan (Prosedur 3 Fase)
Kapan melakukannya (Pre-Response-Post)
Bagaimana koordinasinya (Struktur Tim)

Hierarki dari BIA ke BCP

Level 1: Strategic (Hasil BIA)

✅ Proses bisnis kritis teridentifikasi
✅ MTPD dan RTO sudah ditetapkan
✅ Dependencies sudah dipetakan
✅ Dampak sudah dikuantifikasi
✅ Risiko sudah dianalisis

Output BIA: "Apa yang harus dilindungi dan kapan harus dipulihkan"

Level 2: Tactical (Strategi Pemulihan)

Berdasarkan hasil BIA, tentukan strategi untuk setiap skenario gangguan:

Prevention: Apa yang dilakukan untuk mencegah?
Mitigation: Bagaimana mengurangi dampak?
Recovery: Bagaimana memulihkan operasi?
Workaround: Apa alternatif sementara?

Level 3: Operational (BCP Detail)

Implementasi konkret dengan:

✅ Struktur tim yang jelas (CSIRT/BCT)
✅ RASCI matrix untuk setiap aktivitas
✅ Prosedur 3 fase (Pre-Response-Post)
✅ Checklist dan template siap pakai

Output BCP: "Siapa melakukan apa, kapan, dan bagaimana"

Struktur Tim Kesinambungan (Continuity Team)

Prinsip Pembentukan Tim

Tim continuity biasanya dibentuk berdasarkan Keputusan Direksi/Management dengan nama seperti:

CSIRT (Computer Security Incident Response Team) - untuk cyber & IT incidents
BCT (Business Continuity Team) - untuk business process disruptions
CMT (Crisis Management Team) - untuk major incidents/disasters

Key Principles:

Tim disusun berdasarkan jabatan, bukan nama (agar tidak perlu update dokumen saat mutasi)
Setiap role harus ada backup/alternate
Authority level harus jelas
Available 24/7 saat incident

Contoh Struktur Tim (6 Roles Standar)

1️⃣ Koordinator (Top Executive Level)

Contoh Jabatan: Direktur Utama, CEO, COO

Tanggung Jawab:

Memberikan arahan strategis
Memastikan program berjalan selaras dengan strategi bisnis
Menerima laporan dari tim
Koordinasi dengan eksternal (regulator, shareholder)
Final decision maker untuk keputusan strategic

2️⃣ Ketua / Incident Commander

Contoh Jabatan: Direktur Operasi, CIO, Head of Operations

Tanggung Jawab:

Pemberi keterangan informasi terkait incident
Memeriksa dan menyetujui langkah-langkah yang akan dilakukan
Koordinasi keseluruhan response effort
Liaison dengan Koordinator untuk eskalasi
Tactical decision maker

3️⃣ Sekretaris / Administrator

Contoh Jabatan: Legal & Compliance Manager, Risk Manager

Tanggung Jawab:

Koordinasi, ketatausahaan, dan dokumentasi
Menyelenggarakan rapat-rapat koordinasi
Menyiapkan laporan ke regulator dan pihak terkait
Melaporkan hasil pelaksanaan ke Ketua
Maintain incident log dan timeline

4️⃣ Tim Identifikasi, Analisis & Investigasi (Technical Team)

Contoh Jabatan: IT Manager, System Admin, Network Engineer, Database Admin

Tanggung Jawab:

Menjadi narahubung dan koordinasi saat incident
Menerima dan memberikan peringatan
Penanggulangan dan pemulihan cepat dan tepat
Tindakan korektif atas vulnerability
Analisis risiko dan audit keamanan
Tim teknis yang memberikan edukasi

5️⃣ Tim Komunikasi & Stakeholder Management

Contoh Jabatan: Corporate Comms Manager, Customer Service Manager

Tanggung Jawab:

Menerima dan memberikan peringatan
Penyampaian informasi ke stakeholder
Manage komunikasi internal dan eksternal
Press release jika diperlukan
Update status ke users/customers

6️⃣ Tim Pembelajaran & Pencegahan

Contoh Jabatan: Training Manager, IT Security Officer, Risk Manager

Tanggung Jawab:

Koordinasi kegiatan edukasi dan pelatihan
Tindakan pencegahan dan preventif
Sosialisasi awareness ke stakeholder
Develop dan maintain training materials
Conduct drills and exercises

3 Fase Business Continuity: Pre - Response - Post

⚠️ Penting Dipahami:

Setiap skenario gangguan (cyber attack, aplikasi down, internet outage, dll) harus punya prosedur untuk KETIGA FASE ini. Tidak boleh fokus hanya di Response saja!

🛡️ Pre-Incident (Pencegahan)

Tujuan: Mencegah incident terjadi atau mengurangi kemungkinan dan dampaknya

Timing: Dilakukan secara rutin, sebelum ada incident

Contoh Aktivitas:

Instalasi firewall dan antivirus
Backup data berkala
Update patch software
Penetration testing
Training & awareness campaign
Pembuatan kebijakan dan SOP
Monitoring sistem 24/7

🚨 Response (Saat Incident)

Tujuan: Meminimalkan dampak dan memulihkan operasi secepat mungkin

Timing: Saat incident terdeteksi hingga sistem pulih

Contoh Aktivitas:

Deteksi dan konfirmasi incident
Aktivasi tim continuity
Assessment situasi dan severity
ISOLASI sistem yang terdampak
Analisis root cause
Recovery/restore sistem
Komunikasi ke stakeholder
Eskalasi jika diperlukan

🔧 Post-Incident (Pemulihan & Pembelajaran)

Tujuan: Kembali ke kondisi normal dan pembelajaran untuk perbaikan

Timing: Setelah sistem pulih hingga complete closure

Contoh Aktivitas:

Normalisasi operasi penuh
Verifikasi sistem berjalan normal
Pelaporan ke management/regulator
Root cause analysis mendalam
Lessons learned session
Update risk register
Perbaikan prosedur BCP
Implementasi corrective actions

RASCI Matrix: Clarity of Responsibility

Apa itu RASCI?

RASCI adalah framework untuk mendefinisikan peran dan tanggung jawab dalam setiap aktivitas:

R (Responsible): Yang melakukan pekerjaan/aktivitas
A (Accountable): Yang bertanggung jawab final dan punya authority untuk approve (hanya 1 orang per aktivitas)
S (Support): Yang memberikan dukungan resources atau expertise
C (Consult): Yang perlu dikonsultasikan sebelum keputusan/aksi (two-way communication)
I (Informed): Yang perlu diberi tahu setelah keputusan/aksi (one-way communication)

Contoh Lengkap: Skenario Gangguan Aplikasi

Skenario: Aplikasi HR/Payroll Mengalami Error

Proses Terdampak: Rekrutmen, Payroll, Data Kepegawaian

MTPD: 1 hari kerja | RTO: 4-6 jam

Fase PRE-INCIDENT (Pencegahan):

Aktivitas	A	R	S	C	I
1. Menerapkan SSDLC (Secured System Development Life Cycle) Memastikan aplikasi dikembangkan dengan standar keamanan	IT Manager	Developer Team	IT Vendor	CISO	BOD
2. Instalasi End Point Protection (Antivirus) Deploy antivirus di semua devices	IT Manager	IT Support	IT Vendor	-	Users
3. Update Patch & Version Software Berkala sesuai rekomendasi vulnerability advisory	IT Manager	System Admin	IT Vendor	-	Users
4. Backup Data Berkala Sesuai SOP Backup & Restore (daily untuk critical data)	IT Manager	Database Admin	IT Vendor	-	-
5. Monitoring Resources Server Monitor HD, memory, processor untuk deteksi dini masalah	IT Manager	System Admin	IT Vendor	-	-
6. Penyediaan Lisensi Software Pastikan semua software legal dan ter-update	IT Manager	Procurement	IT Vendor	Legal	BOD
7. Penyediaan Media Komunikasi WhatsApp Group atau Slack untuk komunikasi cepat saat incident	IT Manager	IT Support	-	HR	All Users
8. Pembuatan Kebijakan Aplikasi Policy terkait pengembangan dan penggunaan aplikasi	IT Manager	Policy Team	-	Legal, HR	All Users
9. Sosialisasi Cara Penggunaan Aplikasi User training untuk correct usage dan basic troubleshooting	IT Manager	Training Team	-	HR	All Users
10. Inventarisir & Standarisasi Framework Dokumentasi tech stack dan standarisasi development framework	IT Manager	System Architect	-	-	BOD

Fase RESPONSE (Saat Incident):

Aktivitas	A	R	S	C	I
1. Analisa Keluhan dari User User report via WAG/email/phone - tim IT analyze dan classify severity	IT Manager	IT Support	IT Vendor	HR	BOD, Users
2. Identifikasi Akar Penyebab Troubleshooting untuk find root cause: app bug? server? network? user error?	IT Manager	Tech Team	IT Vendor	HR	BOD, Users
3. Edukasi User (jika bukan kelemahan aplikasi) Jika masalah dari user error - provide guidance	IT Manager	IT Support	-	HR	BOD, Users
4. Mematikan Modul Bermasalah untuk Perbaikan Isolate affected module - switch to manual workaround if needed	IT Manager	System Admin	IT Vendor	HR	BOD, Users
5. Menindaklanjuti dari Kelemahan Aplikasi Fix bug, patch, atau deploy hotfix - test di staging dulu	IT Manager	Developer Team	IT Vendor	HR	BOD, Users
6. Informasi Aplikasi Sudah Bisa Digunakan Announce via WAG/email bahwa service sudah recovered	IT Manager	Comms Team	-	HR	BOD, Users
7. Informasi Download/Install Update Terbaru Jika ada update - guide users untuk download dan install	IT Manager	IT Support	-	HR	BOD, Users

Fase POST-INCIDENT (Pembelajaran):

Aktivitas	A	R	S	C	I
1. Pencatatan Gangguan Aplikasi Log incident ke incident management system (Google Sheet, JIRA, ServiceNow)	IT Manager	IT Support	-	HR	BOD
2. Update Versi ke Pusat Tautan Publish updated version ke central repository untuk easy access	IT Manager	System Admin	-	HR	BOD
3. Informasi Rekap Laporan Tahunan Annual report ke business process owner via memo/nota dinas	IT Manager	Reporting Team	-	HR	BOD

✅ Key Insights dari Contoh di Atas:

Completeness: Semua fase (Pre-Response-Post) tercakup, tidak hanya fokus di Response
Clarity: RASCI matrix menghilangkan ambiguity - setiap orang tahu peran mereka
Accountability: Setiap aktivitas punya 1 orang Accountable (IT Manager dalam contoh ini)
Coordination: Jelas siapa yang perlu Consult (two-way) vs Inform (one-way)
Scalability: Pattern ini bisa direplikasi untuk skenario lain (cyber attack, internet outage, dll)

Template untuk Skenario Lain

📝 Checklist Pengembangan BCP untuk Setiap Skenario:

☐ Identifikasi skenario gangguan dari BIA
☐ Tentukan proses bisnis yang terdampak
☐ List aktivitas untuk 3 fase (Pre-Response-Post)
☐ Assign RASCI untuk setiap aktivitas
☐ Pastikan setiap aktivitas punya 1 Accountable
☐ Identify dependencies dengan skenario lain
☐ Define clear triggers untuk aktivasi
☐ Include communication protocols
☐ Document escalation criteria
☐ Create quick reference checklist

💡 Prinsip Golden: "One Team, Multiple Scenarios"

Tim Continuity yang sama (CSIRT/BCT) bisa handle berbagai skenario, karena:

Struktur sama: 6 roles standar applicable untuk berbagai incident
Process sama: 3 fase (Pre-Response-Post) universal
Yang berbeda: Detail aktivitas dan RASCI per skenario

Ini membuat training lebih efisien - team familiar dengan framework, tinggal adapt detail per skenario!

🎓 Kesimpulan

🎉 Key Takeaways:

✅ BCP adalah living document - bukan one-time project