20
Penerapan Manajemen Risiko Pada Pengelolaan Data Center Selasa, 22 September 2015 Djarot Subiantoro
Penerapan Manajemen Risiko Pada
Pengelolaan Data Center
Selasa, 22 September 2015
Djarot Subiantoro
Relevan Experiences
• Sigma Cipta Caraka or known as SIGMA (1995 – 2010)
SIGMA is the leading and largest local IT company in Indonesia, offeringsoftware development and IT services. Sigma built the first commercial ISP inIndonesia (Indonet), software development center (BaliCamp), and ITOutsourcing including DRC services for more than 70 customers.
• PT IndoInternet or Indonet(2010 – now).
Indonet is the first commercial ISP in Indonesia, currently serving managedservices to the corporates, including in the form of SaaS and cloud services.
• PT Data Center Infrastructure Indonesia – (2012 – now)
Co-founder, the first Tier-IV Design DC in Indonesia
• Perkenalan Data Center
• Best practice pengamanan fisik danenvironment Data Center
• Kriteria Data Center Tier III dan Tier IV
• Manajemen Risiko pada Data Center
• Operasional Data Center
• Pola kontrak kerjasama antara penyedia jasaData Center dengan pengguna
AGENDA
Perkenalan Data Center
Data Center adalah…
… fasilitas penyimpanan server dan perangkat pendukung lainnya seperti sistem
penyimpanan dan komunikasi data, yang dilengkapi dengan sistem listrik, pengontrol
lingkungan, keamanan, jaringan, dan sistem pencegah dan pemadam api, yang ganda
dan berlapis.
Mengapa Perusahaan Memerlukan Data Center Yang Handal?
Services
Infrastructure
Business Processes
Organization
R&D Prod Sales
Core
Services
Treasury
Services
Reporting
Services
Services
• Network (hubs, routers, switches)
• Systems (UNIX, NT, Mainframes)
• Applications (SAP, Oracle)
Site/Room Electrical Environment
Other Facilities-
Related
Equipments
Corporate Goals
Data center adalah pondasi / penunjang bagi
setiap kegiatan dan infrastruktur Teknologi Informasi
Mengapa Perusahaan Memerlukan Data Center Yang Handal?
• Data Center adalah backbone operasional Perusahaan– Seluruh kegiatan perusahaan terintegrasi dengan sistem IT (Finance,
Operasional, Reporting, dsb)
• Perusahaan menyimpan data-data yang bersifat confidential – Data-data klien, nasabah, transaksi jual beli
• Transaksi perusahaan bersifat Real-Time
– Cost of Data Center outtage is USD 8000/min (Ponemon Institute in 2013)
– Cost of Data Center outtage in Financial Services is USD 700,000-800,000 per occurrence (Ponemon Institute in 2013)
Mengapa Perusahaan Memerlukan Data Center Yang Handal?
Mengapa Perusahaan Memerlukan Data Center Yang Handal?
• Environment– Lokasi (stabilitas tanah, jauh dari lokasi seismik)
– Jarak aman dari daerah potensi bencana alam, keributan massa, terorisme dan kantor pemerintahan
– Tidak berdekatan dengan lokasi residensial
– Memiliki beberapa akses poin menuju data center
• Physical Security– Multiple layers of security
– Pengamanan 24x7
– Indoor and Outdoor CCTV tanpa blind spot
– Tidak ada parkir dibawah tanah
– Third party audit TVRA (Threat, Vulnerability and Risk Assesment), ISO 27001, PCI DSS
Best Practice Pengamanan Fisik dan Environment
Nama Standar
Data Center Site
Infrastructure Tier Standard:
Topology
ANSI/TIA-942
Telecommunication
Infrastructure Standard for
Data Centers
ANSI/BICSI 002-2011
Data Center Design and
Implementation Best
Practices
Released Year 2012
118 halaman
2011
392 halaman
Tier Naming
ConventionTier I - IV Tier 1 - 4 Class F0 – F5
2010
12 halaman
Formal Evaluator Yes No No
Bentuk Standar Audit dan Sertifikasi Panduan / guideline Panduan / guideline
Kriteria Data Center Tier III dan Tier IV
Kriteria Data Center Tier III dan Tier IV
• Uptime Institute adalah satu-satunya lembaga yang mengeluarkan Tiering concept (http://uptimeinstitute.com/images/stories/press_kits/UIPS_TiersSummary_1000511.pdf)
TIER IVTIER IIITIER IITIER I
N
after any failureN+1N+1N
Active capacity components to
support the IT load
2 simultaneously active1 active and 1
alternate11Distribution Paths
YESYESNONOConcurrently maintainable
YESNONONOFault tolerant
YESNONONOCompartmentalization
YESNONONOContinuous Cooling
99.995% or more99.982%99.741%99.671%SLA
26.28 min or less94.6 min22.7 hours28.8 hoursDowntime
TIER I TIER II TIER III TIER IV
Concurrently Maintainable Data
Center Infrastructure
Fault Tolerant Data Center
Infrastructure
Redundant Data Center
Infrastructure ComponentsBasic Data Center Infrastructure
Jumlah dan kapasitas perangkat
yang terpasang tepat dengan
yang dibutuhkan. Tidak ada
perangkat backup atau standby.
Jumlah dan kapasitas perangkat
yang terpasang memiliki backup
perangkat yang dapat menggantikanperangkat utama yang mengalami
problem. Proses penggantian memerlukan downtime.
Jumlah dan kapasitas perangkat yang
terpasang memiliki backup dengan
dua jalur distribusi yang berbeda. Downtime selama proses
penggantian ke sistem kedua diperbolehkan selama terencana dan
terjadwal.
Jumlah dan kapastias perangkat
harus berganda dengan
konfigurasi aktif-aktif. Syarat
tambahan adalah continuous
cooling dan compartmentalization.
Kriteria Data Center Tier III dan Tier IV
Data Center Tier di Indonesia
CONFIDENTIAL
Tier Level Nama Data Center
Manajemen Risiko untuk Perusahaan
IdentifikasiRisiko
Melakukan Penilaian Risiko
Menyusun Manajemen Risiko
dan Rencana Pencegahan Risiko
Menerapkan Rencana
PencegahanRisiko
MeninjauManajemen
Risiko Jenis-jenis Risiko bagi Perusahaan:
1. Risiko Kredit
2. Risiko Pasar
3. Risiko Likuiditas
4. Risiko Operasional
5. Risiko Hukum
6. Risiko Reputasi
7. Risiko Strategis
8. Risiko Kepatuhan
Manajemen Risiko bagi Perusahaan:
Suatu pendekatan terstruktur/ metodologi
dalam mengelola ketidakpastian yang
berkaitan dengan ancaman bagi suatu
perusahaan secara khusus, atau ke
industrinya secara umum
Manajemen Risiko untuk Data Center
IdentifikasiRisiko
Melakukan Penilaian
Risiko
Menyusun Manajemen Risiko
dan Rencana Pencegahan Risiko
Menerapkan Rencana
PencegahanRisiko
MeninjauManajemen
Risiko
Jenis-jenis Risiko bagi Data Center:
1. Risiko Strategis
2. Risiko Operasional
3. Risiko Keuangan
4. Risiko Kepatuhan
5. Risiko Reputasi
Semua pihak memiliki peran dalam
melakukan pengelolaan Risiko:
1. Direktur dan Eksekutif
2. Manajer
3. Supervisor
4. IT Staff
5. Teknisi
6. Call Center
7. …
Manajemen Risiko untuk Data Center
• Bencana Alam:
• Gempa bumi
• Banjir
• Tanah longsor
• Keamanan:
• Ancaman bom
• Penyusup
• Peretas (IT – network hacking)
• Sabotase
• Kesalahan/kegagalan:
• Sistem listrik
• Sistem pendingin
• Sistem jaringan
• Human-error
• Lain-lain:
• Huru-hara
• Hilangnya key-personnel
Lokasi Data Center
Design Data Center
• Kehandalan sistem listrik
• Kehandalan sistem pendingin
• Keamanan fisik dan akses menuju data
center
• Kemanan jaringan dan akses menuju
server di data center
Operasional Data Center
• SOP yang baku untuk menjamin standar
operasional bagi seluruh personil
• Implementasi sistem otomasi untuk
mencegah human-error
Audit Independen dari Pihak Ketiga
• Kehandalan infrastruktur
• Keamanan fisik dan jaringan
• Konsistensi dan tinjauan manajemen
Contoh Risiko pada Data Center: Pencegahan Risiko pada Data Center:
Operasional Data Center
• Capacity Planning
• Change Management• Preventive Maintenance• Incident Handling
• Vendor Management• …
OTOMASI PROSES
TUJUAN AKHIRPencapaian SLA yang berujung pada:
Kesinambungan Bisnis Perusahaan
Operasional Data Center
Operations Head
Call Center Site Manager
IT & Network Facilities SecurityProject Delivery
Internal Audit
24 x 7 Shift
24 x 7 Shift 24 x 7 Shift 24 x 7 Shift
Pola Kontrak Kerjasama
•Data Center menggunakan pola perjanjian layanan bukan perjanjian sewa
•Tingkat Layanan (SLA)•Layanan Tenaga Listrik
•Suhu
•Kelembaban
•Periode perjanjian (rata-rata 3-5 tahun)
•Jaminan Kerahasiaan
•Asuransi•Asuransi Tanggung Jawab Publik
•Asuransi All Risk
•Klausa Pengakhiran Kontrak
•Kredit Layanan jika gagal memenuhi tingkat layanan
Terima Kasih
