SAI

Di era transformasi digital saat ini, data menjadi aset paling berharga bagi pemerintah, bisnis, dan individu. Namun, sebuah insiden tragis di Korea Selatan baru-baru ini mengingatkan kita bahwa tanpa rencana yang matang, data tersebut bisa lenyap dalam sekejap. Pada 26 September 2024, sebuah kebakaran di pusat data National Information Resources Service (NIRS) milik pemerintah Korea Selatan menghancurkan 858 terabyte (TB) data. Hal tersebut diperparah lagi dengan sistem Goverment-Drive (G-Drive) yang digunakan oleh banyak pejabat pusat dilaporkan tidak memiliki backup sama sekali. Insiden ini bukan hanya kerugian finansial, tapi juga gangguan layanan pemerintahan kritis selama berhari-hari.

Kebakaran tersebut bermula dari ledakan baterai selama proses pemeliharaan rutin. Api dengan cepat menyebar ke ruang server, merusak infrastruktur IT utama. Ini adalah pengingat bagi kita, di mana sektor pemerintahan dan swasta semakin bergantung pada data untuk pengambilan keputusan. Bagaimana jika hal serupa terjadi organisasi kita? Apakah sistem kita siap? 

Untuk menghindari hal tesebut, kita harus memiliki mindset bahwa Business Continuity Management (BCM) bukan sekadar dokumen atau prosedur yang dicentang untuk memenuhi standar seperti ISO 22301 atau ISO 27001, melainkan budaya yang harus tertanam di setiap level organisasi. Insiden NIRS menunjukkan kegagalan mengintegrasikan BCM sebagai bagian dari operasional sehari-hari, yang juga mencerminkan ketidakpatuhan terhadap regulasi keamanan data. 

1. BCM sebagai Mindset Kepatuhan
Banyak organisasi yang memiliki BCM, namum pada saat implementasi BCM tersebut apakah sudah sesuai atau belum? atau hanya diatas kertas saja untuk memenuhi audit?. Budaya BCM berarti setiap karyawan memahami tanggung jawab mereka terhadap keberlanjutan operasional, sesuai dengan standar seperti ISO 27001 yang menuntut backup data berkala dan manajemen risiko. Di NIRS, alasan “data terlalu besar untuk dibackup” menunjukkan kurangnya prioritas terhadap kepatuhan standar, yang seharusnya diantisipasi sejak desain sistem.

2. Melibatkan Semua Pemangku Kepentingan
Kepatuhan terhadap standar seperti ISO 22301 memerlukan kolaborasi lintas departemen. Departemen IT, manajemen risiko, infrastruktur, dan SDM harus bekerja sama untuk memastikan BCM diimplementasikan dengan baik. Kegagalan NIRS dalam memisahkan baterai lithium-ion dari ruang server menunjukkan pelanggaran terhadap standar TIA-942, yang menekankan desain data center yang aman. 

3. Pelatihan dan simulasi Rutin
Untuk menjadikan BCM menjadi budaya, organisasi bisa membangun melalui pelatihan berkala dan simulasi bencana. Karyawan harus dilatih untuk mengenali risiko seperti serangan siber, kegagalan perangkat keras, atau bencana alam, serta tahu langkah mitigasinya sesuai regulasi seperti UU PDP 2022. 

4. Otomatisasi untuk Kepatuhan yang Konsisten
Standar seperti ISO 27001 menuntut backup dan pengujian pemulihan yang terjadwal. BCM yang sudah menjadi budaya, berarti mengotomatisasi proses ini untuk menghindari ketergantungan pada prosedur manual. NIRS hanya membackup 62% sistem secara harian, dan G-Drive tidak dibackup sama sekali, hal tersebut menjadi pelanggaran yang sangat jelas.

5. Belajar dari Kegagalan
BCM yang sudah menjadi budaya organisasi menandakan kepatuhan terhadap regulasi yang mendorong organisasi untuk melakukan evaluasi setelah insiden terjadi. NIRS seharusnya mengidentifikasi kelemahan seperti penyimpanan baterai yang buruk atau kurangnya backup, lalu memperbaikinya. Di Indonesia, insiden seperti gangguan PDN pada 2024 harus menjadi bahan evaluasi untuk memenuhi standar seperti Peraturan BSSN No. 4/2021 tentang Pedoman Manajemen Keamanan Informasi SPBE dan Standar Teknis dan Prosedur Keamanan SPBE, Peraturan Presiden (PERPRES) Nomor 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital dan UU PDP.

6. Dukungan Manajemen Puncak
Terakhir namun tidak kalah penting, kepatuhan terhadap standar memerlukan komitmen pimpinan untuk menentukan kebijakan, mengalokasikan anggaran, serta menetapkan KPI terkait BCM. Tragedi di Sejong menunjukkan pentingnya kepatuhan terhadap standar.

Menjadikan BCM sebagai budaya pada organisasi berarti menjadikan kepatuhan sebagai bagian dari DNA organisasi. Investasi untuk backup data dan pelatihan harus dilihat sebagai kebutuhan strategis untuk memenuhi regulasi dan standar yang ada agar organisasi dapat terus beroperasi secara efektif selama dan setelah gangguan, baik yang disebabkan oleh bencana alam, serangan siber, kegagalan sistem, atau insiden lainnya. 

Selain hal tersebut diatas, berikut beberapa kelebihan organisasi yang menjadikan BCM sebagai budaya, seperti:

- Melindungi kelangsungan operasional bisnis
Meminimalkan downtime dan memastikan fungsi kritis tetap berjalan atau pulih dengan cepat.
- Mengurangi dampak finansial dan reputasi
Mencegah kerugian besar akibat gangguan, termasuk hilangnya pendapatan, denda, atau rusaknya kepercayaan pelanggan.
- Memenuhi kewajiban hukum, regulasi, dan kontrak
Banyak industri (misalnya perbankan, kesehatan, telekomunikasi) diwajibkan memiliki BCM oleh regulator (contoh: ISO 22301, BI 2399/PBI di Indonesia).
- Meningkatkan ketahanan organisasi (resilience)
Membangun kemampuan untuk mengantisipasi, merespons, dan beradaptasi terhadap ancaman yang tidak terduga.
- Memberikan kepercayaan kepada stakeholder
Menunjukkan kepada pelanggan, investor, dan mitra bahwa organisasi siap menghadapi krisis.
- Mendukung pemulihan cepat (recovery)
Melalui rencana seperti Business Continuity Plan (BCP), Disaster Recovery Plan (DRP), dan pengujian rutin.

Indonesia, dengan inisiatif transformasi digital seperti Pusat Data Nasional (PDN), sangat rentan terhadap risiko serupa. Ancaman tidak hanya dari kebakaran, tapi juga bencana alam seperti gempa atau banjir, serta serangan siber yang terus meningkat sekitar 40% pada 2024 berdasarkan laporan dari BSSN. Jika PDN atau sistem SPBE kehilangan data tanpa backup, dampaknya bisa melumpuhkan layanan publik, merusak kepercayaan masyarakat, dan menimbulkan kerugian ekonomi.

Mulailah dari langkah kecil, backup data pribadi Anda hari ini, dan dorong organisasi Anda untuk mengaudit sistem dan kepatuhan guna memenuhi kebijakan dan standar yang ada. Mari sebarkan kesadaran ini! 

Security Awareness Indonesia [SAI] berkomitmen untuk memberikan edukasi keamanan siber dan kepatuhan regulasi. Ikuti kami untuk tips dan pembaruan!