8

Landasan Teori

2.1 Pengertian Teknologi Informasi

Menurut Alter (1999, p42), teknologi informasi merupakan perangkat keras (hardware) dan perangkat lunak (software) yang digunakan oleh sistem informasi. Hardware merupakan sekumpulan peralatan fisik yang terlibat dalam proses informasi, seperti komputer, workstation, peralatan jaringan, tempat penyimpanan data (data storage), dan peralatan transmisi (transmission devices). Sedangkan software merupakan program komputer yang menginterpretasikan masukan (input) oleh user dan memberitahukan kepada komputer tentang apa yang harus dilakukan.

Menurut Ward dan Peppard (2002, p3), teknologi informasi secara khusus ditujukan untuk teknologi, khususnya hardware, software dan jaringan telekomunikasi. Teknologi informasi memfasilitasi perolehan, pemrosesan, penyimpanan, pengiriman dan pembagian informasi dan isi digital lainnya.

Menurut Indrajit (2001, p2), teknologi informasi adalah suatu teknologi yang berhubungan dengan pengolahan data menjadi informasi dan proses penyaluran data atau informasi dalam batas-batas ruang dan waktu.

Menurut O’ Brien (2003, p7), teknologi informasi adalah seperangkat hardware, software, telekomunikasi, manajemen basis data dan teknologi pemrosesan

informasi yang digunakan berdasarkan CBIS (Control Based Information Sistem).

Teknologi Informasi pada dasarnya merupakan perpaduan perangkat keras (Hardware) dan perangkat lunak (Software) yang digunakan oleh sistem informasi. Perangkat keras itu sendiri merupakan sekumpulan peralatan fisik yang terlibat dalam informasi seperti komputer, Printer, peralatan jaringan, tempat penyimpanan data (data storage) dan peralatan transmisi (transmission device).

Perangkat lunak merupakan program komputer yang menginterprestasikan masukan (input) oleh user dan memberikan kepada komputer tentang apa yang harus dilakukan. Tujuan teknologi informasi adalah memecahkan masalah, membuka kreatifitas dan membuat orang menjadi lebih efektif dari pada jika mereka tidak menggunakan teknologi informasi dalam pekerjaannya.

Menurut Benson et al. (2004, p187-192), teknologi informasi telah dan masih menjadi alat pendukung utama atas berjalannya organisasi. Tujuan dan kriterianya untuk menuju kesuksesan telah diwujudkan pada kemampuan bereaksi atas kebutuhan aplikasi bisnis, kemampuan infrastruktur dan pelayanan pendukung. Dengan teknologi informasi, organisasi dapat menciptakan dan membedakan produk, pasar dan konsumen yang potensial.

Teknologi Informasi (TI) memiliki tiga komponen utama yang mempunyai hubungan yang sangat erat. Ketiga komponen utama tersebut yaitu :

1. Komputer

Terdiri dari perangkat keras dan piranti lunak. Perangkat keras, umumnya terdiri dari :

a. Perangkat masukan, seperti keyboard, mouse, digitzpen, scanner, dan lain–lain.

b. Perangkat proses atau CPU (Central Processing Unit). c. Perangkat keluaran, seperti monitor dan printer.

Perangkat lunak seperti aplikasi–aplikasi perangkat lunak dan bahasa pemrograman.

2. Jaringan komunikasi

Suatu hubungan antara lokasi stasiun yang berbeda melalui suatu media yang dapat memungkinkan manusia untuk saling mengirim dan menerima informasi.

3. Pengetahuan

Kemampuan untuk melakukan sesuatu yang baik dan meliputi:

a. Mengenal dengan baik elemen – elemen teknologi informasi. b. Kemampuan yang dibutuhkan untuk menggunakan elemen–

elemen tersebut.

c. Memahami waktu penggunaan teknologi informasi untuk memecahkan masalah.

2.2 Pengembangan Teknologi Informasi dengan Praktek Innovation

Oleh karena itu, kegiatan innovation merupakan salah satu kegiatan terpenting yang harus dilakukan oleh organisasi, terutama di bidang teknologi informasi. Innovation terdiri dari empat komponen, yaitu :

a. Business and Technology monitoring (pemantauan bisnis dan teknologi): meninjau kembali manajemen bisnis dan TI dari faktor perubahan bisnis dan teknologi yang akan memberikan pengaruh bisnis (apa saja perubahan yang mempengaruhi organisasi? ).

b. Innovation Visioning (visi inovasi): mengembangkan alternative visi atau arah bagi organisasi, merespon perubahan bisnis dan TI serta memperoleh kesepakatan atas alternatif visi (“Apa yang akan kita lakukan?”).

c. Business Context and Choices (konteks dan pilihan bisnis): memberikan pilihan mengenai visi atau arah bagi organisasi yang menjelaskan bagaimana bisnis dapat berfungsi (“Apa yang harus kita lakukan?”).

d. Actionable Innovation (Innovasi yang dapat ditindaklanjuti): membentuk skenario dan prototipe perencanaan aksi untuk innovation yang menciptakan outline perencanaan yang dapat dilakukan. (“Apa yang akan kita lakukan?”).

2.3 Risiko

2.3.1 Pengertian Risiko

Menurut Peltier (2001, p21), risiko adalah seseorang atau sesuatu yang membuat atau menyarankan sebuah bahaya.

Menurut Djojosoerdarso (2003, p2), istilah risiko sudah bisa dipakai dalam kehidupan kita sehari-hari, yang umumnya sudah dipahami secara institutif. Tetapi pengertian secara ilmiah dari risiko sampai saat ini masih tetap beragam, antara lain :

1. Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode tertentu.

2. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan peristiwa kerugian (loss).

3. Risiko adalah ketidakpastian atas terjadinya suatu peristiwa.

4. Risiko merupakan penyebaran/penyimpangan hasil aktual dari hasil yang diharapkan.

5. Risiko adalah probabilitas sesuatu hasil/outcome yang berbeda dengan yang diharapkan.

2.3.2 Analisa Risiko

Menurut Peltier (2001, p21), analisis risiko adalah proses mengidentifikasi asset dan ancaman, memprioritaskan ancaman-ancaman dan mengidentifikasi penanganan yang tepat.

Proses analisa risiko terbagi menjadi 2 kategori yaitu:

a. Analisa risiko kualitatif adalah teknik yang digunakan untuk menemukan tingkat perlindungan yang disyaratkan untuk aplikasi sistem, fasilitas, ataupun asset organisasi lainnya.

b. Analisa risiko kuantitatif mengusahakan untuk menentukan nilai-nilai numerik secara objektif pada komponen analisa risiko dan tingkat kerugian potensial.

2.4 Pengertian Manajemen Risiko

Menurut Peltier (2001, p224), manajemen risiko merupakan proses mengidentifikasi risiko, pengukuran pengurangan risiko, efek dari implementasi keputusan yang berkaitan dengan penerimaan, pencegahan dan penerimaan risiko

Menurut William dan Dorofee (2003, preface) pengertian dari teknik manajemen risiko adalah teknik yang difokuskan pada risiko penting yang dapat mempengaruhi tujuan proyek.

Menurut Horcher, (2005, 27) “Risk management is a process to deal with the uncertainties of risk.” Management risiko adalah sebuah proses yang berhubungan dengan risiko yang tidak pasti.

Sebuah pendekatan kelemahan risiko dapat membantu orang mengerti bagaimana keamanan informasi berdampak terhadap misi organisasi mereka dan tujuan bisnis, serta menetapkan pemilihan asset yang dianggap penting dalam organisasi dan bagaimana keadaan risiko mereka.

2.5 Risiko Keamanan Informasi

Sebuah risiko keamanan informasi dipecahkan dalam 4 komponen besar: Asset, ancaman, Kerentanan dan dampak. Sebuah evaluasi risiko keamanan harus dicatat dan semua komponen ini. OCTAVE adalah evaluasi pendekatan penggerak asset, penyusunan risiko organisasi.

Menurut Fites 89 (2003, Section 1.3), evaluasi aktivitas adalah efisien dari mengurangi angka ancaman dan risiko yang harus kita pertimbangkan selama evaluasi.

OCTAVE memerlukan tim analisis untuk mengidentifikasi informasi yang berhubungan dengan asset (cth: informasi, sistem) yang penting untuk organisasi dan fokus pada analisis risiko aktivitas dalam beberapa asset yang dinilai bisa menjadi paling penting dalam organisasi.

Ada 4 pendekatan dalam risiko keamanan informasi 1. Vulnerability Assesment (Pendekatan Kelemahan)

Pendekatan Kelemahan adalah sistematika, pemeriksaan secara langsung dari basis teknologi, kebijakan dan peraturan dari sebuah organisasi. Termasuk analisis lengkap dari keamanan lingkungan komputerisasi internal dan kelemahan dari serangan internal dan eksternal.

Dorongan kelemahan teknologi ini secara umum :

a. Menggunakan standar dari aktivitas keamanan teknologi informasi yang spesifik (seperti berbagai jenis platform yang berbeda).

b. Kelemahan dari seluruh infrastruktur komputerisasi

c. Menggunakan peralatan perangkat lunak untuk menganalisa infrastruktur dan semua komponennya

d. Menyediakan analisis secara lengkap untuk menunjukkan kelemahan teknologi yang terdeteksi dan rekomendasi langkah yang spesifik untuk mengatasi kelemahan-kelemahan itu.

2. Audit Sistem Informasi

Audit Sistem Informasi adalah penilaian secara independen dari pengaturan internal organisasi untuk menjamin pengelolaan, pengaturan kewenangan, dan pembagian saham organisasi yang menyediakan informasi yang akurat dan sah. Audit secara tipikal berpengaruh pada contoh proses industri yang spesifik, tanda untuk menentukan tingginya letak suatu daerah, standar dari perawatan dan pengadaan dari latihan yang terbaik.

Mereka melihat dari sisi keuangan dan kinerja operasional. Audit juga berdasar dari pengaturan risiko proses bisnis yang berkaitan dan metode alat dan analisis. Audit dijalankan oleh auditor yang mempunyai ijin atau sertifikasi dan mempunyai pengertian yang sah dan kemampuan. Selama audit, catatan bisnis dari organisasi ditinjau untuk akurasi dan keutuhannya.

3. Evaluasi Risiko Keamanan Informasi

Evaluasi risiko keamanan berkembang sesuai pendekatan kelemahan untuk melihat dari risiko keamanan yang berkaitan dengan sebuah organisasi, termasuk sumber risiko internal dan eksternal yang berdasar elektronik dan risiko berdasar sumber daya manusia. Evaluasi beraneka segi yang berkeinginan untuk meluruskan evaluasi risiko dengan tujuan dari organisasi dan biasanya berfokus kepada empat aspek dari keamanan :

a. Memeriksa kegiatan organisasi yang terkait pada keamanan untuk mengidentifikasi kekuatan dan kelemahan yang dapat menciptakan atau mengurangi risiko keamanan.

b. Prosedur ini termasuk analisis perbandingan yang membagi informasi berdasarkan standar industri dan latihan terbaik dengan memasukkan pemeriksaan teknologi dari sistem, ringkasan dari kebijakan, dan inspeksi dari keamanan fisikal.

Memeriksa infrastruktur IT untuk mengidentifikasi kemampuan teknologi yang lemah. Kelemahan seperti itu termasuk kerentanan dari situasi berikut:

a. Pengenalan dari kode yang berbahaya b. Korupsi atau penghancuran data c. Penyaringan dari informasi d. Penolakan jasa

f. Membantu pembuat keputusan untuk memeriksa penukaran dengan memilih tindakan balasan untuk mengefektifkan biaya.

Menurut William dan Dorofee (2003, preface) ada 2 hal penting dalam evaluasi kelemahan:

Hal penting pertama adalah evaluasi kelemahan dapat dipertunjukkan dalam sebuah isi di dalam risiko informasi. Karena keamanan risiko informasi mereka adalah sebuah misi organisasi dan tujuan bisnis, menjadi lebih mendekati untuk mengikutsertakan staff bisnis sebagai tambahan untuk pekerja teknologi informasi dalam sebuah evaluasi.

Hal penting kedua adalah observasi dari evaluasi kelemahan kita dalam kegiatan sehari-hari dalam penempatan tingkatan dari keterlibatan dan beberapa urutan kepemilikan atas hasil. Karena evaluasi kelemahan sangat bergantung pada juru taksir yang ahli, letak keterlibatan personalia dalam proses personalia dalam proses partisipasi sangat kecil.

4. Pengendalian Penyedia Jasa

Pengendalian penyedia jasa keamanan tergantung kepada keahlian manusia untuk mengelola sebuah sistem organisasi dan jaringan-jaringannya. Mereka sendiri yang mengamankan atau menggunakan penjual perangkat lunak keamanan dari pihak lain dan peralatan yang dapat melindungi sebuah infrastruktur.

Umumnya sebuah pengendalian penyedia jasa akan secara pro aktif memantau dan melindungi sebuah infrastruktur komputer organisasi dari serangan dan penyalahgunaan.

Solusi pemeliharaan harus diseragamkan untuk setiap klien yang unik dan persyaratan bisnis pemilik teknologi. Mereka bisa secara aktif merespon kepada perintah atau kejadian yang pernah dialami oleh mereka. Beberapa pekerja otomatis, pembelajaran dan analisis berbasis komputer, perjanjian mengurangi waktu respon dan meningkatkan akurasi.

2.6 Mitigasi Risiko

Tahap ini merupakan sebuah fase dimana sebuah organisasi mencoba untuk mengurangi risiko, maksud dari proses ini adalah untuk mengurangi kemungkinan dari risiko yang akan terjadi dan membatasi kemungkinan kerugian organisasi melawan risiko yang telah dikenali. Dari pengetahuan yang telah penulis pelajari sebelumnya seperti daftar dari risiko dan acuan risiko, penulis bisa memulai perencanaan cara mengurangi risiko yang merupakan hasil dari rencana pengurangan risiko.

Menurut Lembaga Management Risiko (2006 : 10), menetapkan pengurangan risiko akan menjadi kecil dari :

a. Keberhasilan dan kegunaan operasi organisasi.

b. Proses analisa risiko keberhasilan dan kegunaan operasi dari organisasi telah diketahui risikonya yang membutuhkan perhatian dari management.

Mereka akan butuh mengutamakan tindakan pengendalian risiko di pelatihan dari kemampuan mereka untuk keuntungan organisasi.

c. Keberhasilan pengendalian internal.

d. Keefektifan dari pengendalian internal adalah yang merupakan tingkatan, risiko salah satu dari menghapus atau mengurangi dari usulan langkah pengendalian.

Berikut ini adalah acuan dalam mengurangi risiko: 1. Menerima risiko atau menahan risiko (Retain Risk).

Organisasi memutuskan untuk melanjutkan kegiatan seperti biasa dengan persetujuan umum untuk menerima sifat risiko yang terdiri dari:

a. Analisa biaya dan keuntungan. b. Alokasi yang besar.

2. Mengalihkan risiko (Transferring Risk).

Organisasi memutuskan untuk mengalihkan risiko dari (contoh) satu unit bisnis kepada lainnya atau dari satu area bisnis ke kelompok ketiga.

Contoh a. Asuransi

b. Menggunakan pengendalian (pembendungan, meneruskan, kedepannya, dll)

3. Menghindari risiko (Avoiding Risk).

Organisasi memutuskan untuk menghindari atau mencegah risiko dengan tidak mengerjakan proyek atau melakukan beberapa aktivitas bisnis yang mempunyai kemungkinan risiko yang besar jika mereka melakukan itu. Risiko yang bisa dihindari adalah risiko yang mempunyai :

a. Tujuan yang tidak sama dengan visi organisasi.

b. Mempunyai kerugian keuangan, sosial dan strategi yang besar untuk organisasi.

c. Tidak ada peraturan perlindungan proyek. d. Dampak yang melebihi batas.

4. Mengendalikan risiko (Controlling Risk).

Organisasi bisa mengendalikan sumber dan mencoba untuk mengurangi risiko sebelum risiko itu terjadi.

a. Mencegah risiko muncul dengan memperkecil sumber risiko. b. Memperkecil kerugian jika risiko tidak bisa dicegah.

Gambar 2.6 – Risk Mitigation Ernst & Young, 2005.

diperoleh dari dosen manajemen risiko

2.7 Pengenalan Risiko

Pengenalan risiko adalah suatu upaya organisasi untuk mengenal setiap risiko yang mungkin terjadi dengan cara menjalankan rencana dan cara kerja secara subjektif.

Pengenalan risiko akan membantu memastikan semua kegiatan dalam organisasi yang termasuk dalam cara pengenalan risiko. Semua perubahan kegiatan ini akan dikenali dan digolongkan bila ada perubahan yang terjadi.

Definisi oleh Lembaga Risk Management (2006 : 5) akan diperiksa dengan melakukan pengenalan risiko :

a. Rencana – Sasaran rencana jangka panjang dari organisasi. Mereka bisa pura-pura seperti area yang luas tersedia, yang berkuasa dan risiko politik, hukum dan perubahan aturan, reputasi dan perubahan fisik lingkungan.

b. Cara kerja – memfokuskan hari ke hari persoalan organisasi, dan menghadapi dengan sekuat tenaga untuk menyampaikan sasaran rencana. c. Keuangan – memperhatikan keberhasilan management dan

mengendalikan keuangan dari organisasi dan keberhasilan faktor eksternal seperti ketersediaan kredit dan kurs luar negeri, memperhatikan pergerakan suku bunga dan pendapatan pasar lain.

d. Pengetahuan management – memperhatikan keberhasilan management dan pengendalian dari pengetahuan sumber penghasilan, produksi perlindungan dan komunikasinya.

e. Pemenuhan – memperhatikan pada persoalan kesehatan dan keamanan, lingkungan, gambaran perdagangan, perlindungan pengguna, perlindungan data, latihan pekerjaan dan pengaturan permasalahan.

Hal ini berisikan masukan untuk seorang manajer risiko untuk mengenal risiko organisasinya. Keluaran dari cara pengenalan risiko adalah daftar dari risiko (tabel risiko) seperti dibawah ini.

Daftar Risiko

Organisasi Tanggal dari pengenalan Fungsi bisnis/ proyek

No Tipe Risiko Risiko Level risiko

Tabel 2.7 Daftar dari Tabel Risiko

Daftar risiko ini dapat dikembangkan dengan melakukan beberapa pengaturan kuantitatif seperti kuisioner atau menggunakan analisa. Metode kuantitatif dilakukan dengan menyebarkan kuisioner tentang kemungkinan terjadinya risiko kepada karyawan organisasi, setelah itu manajer risiko mengisi hasilnya pada daftar risiko. Metode lainnya adalah menggunakan metode analisa. Manajer risiko menganggap suatu kejadian yang terjadi diorganisasi dan menganalisa dampak kerugian yang mungkin akan diderita oleh organisasi.

2.8 Pengukuran Risiko

Cara kedua dalam management risiko adalah proses pengukuran risiko. Pengukuran risiko mempunyai tujuan untuk mengevaluasi dampak, kemungkinan, kerangka waktu, penggolongan dan prioritas risiko dari management. Perkiraan risiko bisa menjadi kuantitatif, semi kuantitatif atau kualitatif di syarat-syarat dari kemungkinan dari kejadian dan kemungkinan akibat. Pada kasus ini, penulis menggunakan metode kualitatif. Berikut merupakan langkah – langkah Analisis Risiko Kualitatif yang dipaparkan oleh Thomas R.Peltier :

1. Pengembangan Pernyataan Lingkup Analisis

Lingkup pernyataan ditujukan pada keseluruhan tujuan analisis, untuk keamanan informasi, tujuan – tujuan tersebut akan berdampak pada ancaman terhadap integritas, kerahasiaan, dan ketersediaan dari informasi yang sedang diproses oleh aplikasi atau system spesifik.

Saat melaksanakan analisis risiko, membutuhkan untuk fokus pada bagaimana ancaman – ancaman tersebut berdampak pada tujuan bisnis atau misi organisasi, dan bukan pada bagaimana ancaman – ancaman tersebut berdampak pada tujuan keamanan.

2. Pembentukan tim yang kompeten

Tim harus mempunyai personil yang kompeten dan berkualifikasi. Agar efektif, proses analisis risiko harus mencakup setidaknya beberapa area dibawah ini :

a. Pemilik fungsional b. Pengguna sistem c. Analisis sistem

d. Kelompok pemrograman sistem e. Kelompok pemrograman aplikasi f. Administrator basis data

g. Keamanan fisik h. Keamanan informasi

i. Manajemen Operasi Pemrosesan j. Kelompok jaringan komunikasi k. Legal ( jika dibutuhkan ) l. Auditing ( jika dibutuhkan )

3. Mengidentifikasi Ancaman – ancaman

Evaluasi dampak risiko pada organisasi akan dilakukan dengan membagi-bagi risiko kedalam 3 golongan dari high, medium dan low.

Pembatasan Dampak Risiko Dampak risiko Batasan

High Risiko pada klasifikasi ini dapat menimbulkan dampak terhadap kinerja atau operasi bisnis yang sangat besar pada organisasi untuk dapat terus mengembangkan potensi – potensi dalam organisasi itu sendiri.

Medium Risiko pada klasifikasi ini biasanya sering terjadi dengan kerugian yang masih dalam toleransi yang ditetapkan. Namun risiko pada klasifikasi ini akan sangat mengganggu kinerja organisasi bila dilihat dari besar kerugian dan frekuensi kejadiannya.

Low Risiko pada klasifikasi ini dinilai tidak membawa dampak terhadap kinerja organisasi dan dapat diperbaiki. Frekuensinya kejadian risiko pada klasifikasi ini sangat jarang terjadi.

Tabel 2.8 – Tabel yang Berisi Dampak Risiko

Standar ukuran dari pembatasan tergantung pada keperluan organisasi, skala bisnis dan kondisi, pembatasan yang berbeda akan disesuaikan untuk organisasi yang berbeda.

Ukuran kemungkinan risiko bisa dilakukan menurut pembagian risiko kedalam golongan dari kemungkinan tinggi (besar), kemungkinan sedang (menengah), kemungkinan rendah (kecil).

2.9 Framework - Framework Manajemen Risiko Teknologi Informasi

Ada beberapa dalam penerapan manajemen resiko teknologi Informasi terdiri dari : a. The Operationally Critical Threat, Asset and Vulnerability Evaluation

(OCTAVE) memungkinkan sebuah organisasi untuk memudahkan pemilihan dalam web kompleks dari segi masalah organisasi dan teknologi untuk memahami dan mengalamatkan risiko keamanan untuk evaluasi risiko keamanan informasi. OCTAVE-S ini terdiri dari: tahap identifikasi, tahap analisa, tahap perencanaan dan tahap implementasi, tahap monitoring dan tahap kontrol.

b. OCTAVE-S merupakan variasi pendekatan yang lebih terbatas dan unik di dalam suatu organisasi yang mempunyai ruang lingkup lebih kecil dan merupakan suatu metode pecahan digunakan untuk perusahaan dengan skala yang tergolong kecil, dimana karyawannya terdiri kurang dari 100 orang dan terdiri dari tiga tahap yaitu:

1. Tahap 1 : Build Asset-Based Threat Profiles (membuat riwayat ancaman yang terkait dengan asset)

2. Tahap 2 : Identify Infrastructure Vulnerabilities (identifikasi kerawanan infrastruktur)

3. Tahap 3 : Develop Security Strategy and Plans (mengembangkan strategi dan rencana keamanan).

c. COBIT (Control Objectives for Information and Related Technology) Terdapat tujuh kriteria informasi dari COBIT yaitu:

1. Effectiveness. 2. Efficiency. 3. Confidentiality. 4. Integrity. 5. Availability. 6. Compliance. 7. Reliability.

d. NIST (National Institute of Standard and Technology) mengeluarkan rekomendasi melalui publikasi khusus 800-30. Dengan menerima resiko (risk assumption), mencegah terjadinya resiko (risk avoidance),

membatasi level resiko (risk limitation), atau mentransfer resiko (risk transference), terdiri dari 3 proses yaitu:

1. Proses Pengurangan Risiko (Risk Mitigation). 2. Proses Penilaian Risiko (Risk Assessment). 3. Proses Evaluasi Risiko (Risk Evaluation)

2.9.1 Framework OCTAVE

Gambar 2.9.1A Framework menggunakan pendekatan OCTAVE

1. Tahap Identifikasi

Identifikasi merupakan proses transformasi ketidakpastian dan isu tentang seberapa baik asset organisasi dilindungi dari risiko. Tugas yang harus dilakukan adalah identifikasi profil risiko (asset kritis, ancaman terhadap asset, kebutuhan keamanan untuk asset kritis, deskripsi tentang dampak risiko pada organisasi, dan komponen infrastruktur utama yang berhubungan dengan asset kritis) dan identifikasi informasi organisasi (kebijakan, praktek

dan prosedur keamanan, kelemahan teknologi dan kelemahan organisasi saat ini ).

2. Tahap Analisa

Analisa merupakan proses untuk memproyeksikan bagaimana risiko-risiko ekstensif dan bagaimana menggunakan proyeksi tersebut untuk membuat skala prioritas. Tugas dalam proses analisa adalah melakukan evaluasi risiko (Nilai-nilai untuk mengukur risiko - risiko dampak dan peluang) dan skala prioritas risiko (pendekatan pengurangan risiko, menerima atau mengurangi risiko).

3. Tahap Perencanaan

Perencanaan merupakan proses untuk menentukan aksi-aksi yang akan diambil untuk meningkatkan postur dan perlindungan keamanan asset kritis tersebut. Langkah dalam perencanaan adalah mengembangkan strategi proteksi, rencana mitigasi risiko, rencana aksi, budget, jadwal, kriteria sukses, ukuran-ukuran untuk monitor rencana aksi, dan penugasab personil untuk implementasi rencana aksi.

4. Tahap Implementasi

Implementasi merupakan proses untuk melaksanakan aksi yang direncanakan untuk meningkatkan keamanan sistem berdasarkan jadwal dan kriteria sukses yang didefinisikan selama perencanaan risiko.Implementasi menghubungkan antara perencanaan dengan monitor dan kontrol.

5. Monitoring

Proses ini memonitor jejak rencana aksi untuk menentukan status saat ini dan meninjau ulang data organisasi sebagai tanda adanya risiko baru dan perubahan risiko yang ada. Langkah dalam proses monitor adalah melakukan eksekusi rencana aksi secara lengkap, mengambil data (data untuk melihat jalur rencana aksi terkini, data tentang indikator risiko utama) dan laporan-laporan terkini dan indikator risiko utama.

6. Kontrol

Mengontrol risiko adalah proses yang didesain agar personil melakukan penyesuaian rencana aksi dan menentukan apakah merubah kondisi organisasi akan menyebabkan timbulnya risiko baru. Langkah dalam proses monitor risiko adalah analisa data (analisa laporan terkini dan analisa indikator risiko), membuat keputusan (keputusan tentang rencana aksi dan keputusan tentang identifikasi risiko baru), dan melakukan eksekusi keputusan (mengkomunikasikan keputusan, mengimplementasikan perubahan rencana aksi, dan memulai aktifitas identifikasi risiko).

A. OCTAVE

The Operationally Critical Threat, Asset and Vulnerability Evaluation (OCTAVE) memungkinkan sebuah organisasi untuk memudahkan pemilihan dalam web kompleks dari segi masalah organisasi dan teknologi untuk memahami dan mengalamatkan risiko keamanan.

Untuk evaluasi risiko keamanan informasi. OCTAVE menjelaskan sebuah pendekatan untuk evaluasi risiko keamanan itu: luas, sistematis, penggerak kontekstual dan pengarahan diri. Dalam bagian OCTAVE adalah sebuah konsep pengarahan diri, dengan pengertian bahwa orang dari organisasi mengatur dan mengarahkan evaluasi informasi risiko

Dalam bagian OCTAVE adalah sebuah konsep pengarahan diri, dimana pengertian bahwa orang dari organisasi mengatur dan mengarahkan evaluasi informasi risiko keamanan untuk sebuah organisasi.

Keamanan Informasi Menurut OCTAVE

Keamanan informasi adalah tanggung jawab dari setiap orang di dalam organisasi, bukan hanya untuk departemen IT. Orang-orang dalam organisasi perlu diarahkan. Aktivitas dan membuat keputusan mengenai usaha peningkatan keamanan informasi.

OCTAVE dicapai dengan mendirikan bagian kecil, tim antar cabang ilmu pengetahuan dalam menggambarkan pegawai dari pemilik organisasi, disebut tim analisis untuk memimpin proses evaluasi organisasi.

Tim analisis termasuk orang dari dua yaitu unit bisnis dan bagian IT, karena informasi keamanan meliputi kedua masalah bisnis dan teknologi. Orang dan unit bisnis sebuah organisasi informasi apa yang penting untuk menyelesaikan tugasnya sebaik -baiknya dengan cara bagaimana mereka mengakses dan menggunakan informasi itu.

Staff teknologi informasi mengerti masalah yang berhubungan dengan bagaimana cara menghitung infrastruktur yang digambarkan penting untuk dijalankan. Kedua dari pandangan ini penting dalam memahami pandangan organisasi mengenai risiko keamanan informasi secara umum.

Metode Pengukuran Risiko Teknologi Informasi

Menurut Alberts et al. (2005, p6-88), OCTAVE-S adalah pendekatan secara langsung maksudnya orang-orang dari organisasi-organisasi yang bertanggungjawab untuk mengatur strategi keamanan organisasi atau organisasi. OCTAVE-S merupakan variasi pendekatan yang lebih terbatas dan unik di dalam suatu organisasi yang mempunyai ruang lingkup lebih kecil (kurang lebih 100 orang).

Agar OCTAVE-S berjalan dengan baik, setiap anggota harus merupakan wawasan dan pengetahuan yang luas mengenai bisnis organisasi dan proses-proses keamanan, agar semua dapat berjalan sesuai dengan aktifitasnya.

B. OCTAVE – S

Pada skripsi ini penulis menggunakan Metode pengukuran risiko teknologi informasi dengan menggunakan OCTAVE-S volume 3 yang terdiri dari 3 fase yaitu:

1. Membangun Asset Berbasis Profil Ancaman

Tahap pertama adalah sebuah evaluasi dari aspek organisasi. Selama dalam tahap ini, tim analisis menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya untuk mengevaluasi risiko. Hal ini juga mengidentifikasi asset-asset organisasi yang penting, dan evaluasi praktek keamanan sekarang dalam organisasi.

Tim menyelesaikan tugasnya sendiri, mengumpulkan informasi tambahan hanya ketika diperlukan. Kemudian memilih 3 dari 5 asset kritikal untuk menganalisa dasar kedalaman dari hubungan penting dalam organisasi. Akhirnya, tim menggambarkan kebutuhan-kebutuhan keamanan dan menggambarkan profil ancaman pada setiap asset. Dimana pada tahap ini terdiri atas 2 proses, yaitu identifikasi informasi organisasi dan membuat profil ancaman yang memiliki enam aktivitas.

a. Mengidentifikasi Kerentanan Infrastruktur

Selama tahap ini, tim analisis melakukan peninjauan ulang level tinggi dari infrastruktur komputer organisasi, berfokus pada keamanan yang mempertimbangkan perawatan dari infrastruktur. Tim analisis pertama menganalisis bagaimana orang-orang menggunakan infrastruktur komputer pada akses asset kritis, menghasilkan kunci dari kelas komponen-komponen. Tahap ini memiliki satu proses yaitu memeriksa perhitungan infrastruktur dalam kaitannya dengan asset yang kritis dimana terdapat dua aktivitas.

b. Mengembangkan Strategi Keamanan dan Perencanaan.

Selama tahap ini, tim analisis mengidentifikasi risiko dari asset kritis organisasi dan memutuskan apa yang harus dilakukan. Berdasarkan dari pengumpulan analisis informasi, tim membuat strategi perlindungan untuk organisasi dan mengurangi rencana risiko yang ditujukan pada asset kritis.

Kertas kerja OCTAVE-S yang digunakan selama tahap ini mempunyai struktur tinggi dan berhubungan erat dengan praktek katalog OCTAVE, memungkinkan tim untuk menghubungkan rekomendasi-rekomendasinya untuk meningkatkan praktek keamanan dari penerimaan yang lebih tinggi. Tahap ini terdiri atas 2 proses, yaitu identifikasi dan analisis risiko serta mengembangkan strategi perlindungan dan rencana mitigasi, di mana proses ini memiliki delapan aktivitas.

Manajemen risiko keamanan informasi memerlukan sebuah keseimbangan kegiatan reaksi dan proaktif. Selama dalam evaluasi OCTAVE- S, tim analisis memandang keamanan dari berbagai perspektif, memastikan rekomendasi mencapai keseimbangan dasar yang sesuai pada kebutuhan organisasi.

Hasil utama dari OCTAVE-S adalah terdiri dari 3 tingkatan, terdiri dari: 1. Strategi perlindungan organisasi yang luas: perlindungan strategi

yang digariskan pimpinan organisasi dengan cermat untuk praktek keamanan informasi.

2. Rencana mitigasi risiko: rencana ini dimaksudkan untuk mengurangi risiko dari asset kritikal dan meningkatkan praktek keamanan yang dipilih.

3. Daftar tindakan: tindakan ini termaksud item tindakan jangka pendek yang diperlukan untuk mengatasi kelemahan tertentu.

Setiap tahap OCTAVE-S memproduksi hasil yang bermanfaat sehingga sebagian evaluasi akan menghasilkan informasi yang berguna untuk meningkatkan sikap keamanan organisasi.

C. Framework COBIT

COBIT (Control Objectives for Information and Related Technology) merupakan standard yang dikeluarkan oleh ITGI (The IT Governance Institute). COBIT merupakan suatu koleksi dokumen dan framework yang diklasifikasikan dan secara umum diterima sebagai latihan terbaik untuk tata kelola (IT Governance), kontrol dan jaminan TI.

Referensi perihal manajemen risiko secara khusus dibahas pada proses PO9 dalam COBIT. Proses-proses yang lain juga menjelaskan tentang manajemen risiko namun tidak terlalu detil.

GAMBAR 2.9.1C Framework Manajemen Risiko COBIT Sumber :

www.swpark.or.th//itsec2003/download/IT%20Risk%20Management.PDF

Risiko adalah segala hal yang mungkin berdampak pada kemampuan organisasi dalam mencapai tujuannya. Framework manajemen risiko TI dengan menggunakan COBIT (gambar 2.9.1C) terdiri dari :

1. Penetapan Objektif

Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI. Terdapat tujuh kriteria informasi dari COBIT yaitu: effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability.

Tabel 2.9.1 a Kejadian (Events) yang mengganggu pencapaian objective organisasi Identifikasi risiko merupakan proses untuk mengetahui risiko. Sumber risiko bisa berasal dari :

1. Manusia, proses dan teknologi

2. Internal (dari dalam organisasi) dan eksternal (dari luar organisasi)

3. Bencana (hazard), ketidakpastian (uncertainty) dan kesempatan (opportunity).

Dari ketiga sumber risiko tersebut dapat diketahui kejadian-kejadian yang dapat mengganggu organisasi dalam mencapai objektifnya (tabel 2.9.1a).

3. Penilaian Risiko

Proses untuk menilai seberapa sering risiko terjadi atau seberapa besar dampak dari risiko (tabel 2.9.1 b). Dampak risiko terhadap bisnis (business impact) bisa berupa: dampak terhadap financial, menurunnya reputasi disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan asset yang dapat dinilai (sistem dan data), dan penundaan proses pengambilan keputusan.

Tabel 2.9.1 b Tingkatan Besarnya Dampak Risiko dan Frekuensi Terjadinya Risiko

Sedangkan kecenderungan (likelihood) terjadinya risiko dapat disebabkan oleh sifat alami dari bisnis, struktur dan budaya organisasi, sifat alami dari sistem (tertutup atau terbuka, teknologi baru dan lama), dan kendali-kendali yang ada. Proses penilaian risiko bisa berupa risiko yang tidak dapat dipisahkan (inherent risks) dan sisa risiko (residual risks).

4. Respon Risiko

Untuk melakukan respon terhadap risiko adalah dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen risiko. Jika sisa risiko masih melebihi risiko yang dapat diterima (acceptable risks), maka diperlukan respon risiko tambahan. Proses-proses pada framework COBIT (dari 34 Control Objectives) yang sesuai untuk manajemen risiko adalah :

a. PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)

b. AI6 (Manages Change)

c. DS5 (Ensure Sistem and Security) dan DS11 (Manage Data) d. ME1 (Monitor and Evaluate IT Performance)

5. Monitor Risiko

Setiap langkah dimonitor untuk menjamin bahwa risiko dan respon berjalan sepanjang waktu.

D. Framework NIST Special Publication 800-30

Gambar 2.9.1 D Proses-proses manajemen risiko

NIST (National Institute of Standard and Technology) mengeluarkan rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System. Terdapat tiga proses dalam manajemen risiko (gambar 2.9.1 D) yaitu :

1. Proses Penilaian Risiko (Risk Assessment)

Terdapat sembilan langkah dalam proses penilaian risiko yaitu :

a. Mengetahui karakteristik dari sistem Teknologi Informasi: Hardware, software, sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang yang mendukung atau menggunakan sistem, arsitektur keamanan sistem, topologi jaringan sistem.

b. Identifikasi Ancaman yang mungkin menyerang kelemahan sistem Teknologi Informasi. Sumber ancaman bisa berasal dari alam, manusia dan lingkungan.

c. Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur keamanan, desain, implementasi, dan internal kontrol terhadap sistem sehingga menghasilkan pelanggaran terhadap kebijakan keamanan sistem.

d. Menganalisa kontrol - kontrol yang sudah diimplementasikan atau direncanakan untuk diimplementasikan oleh organisasi untuk mengurangi atau menghilangkan kecenderungan (kemungkinan) dari suatu ancaman menyerang sistem yang kerentanan.

e. Penentuan Kecenderungan (likelihood) dari kejadian bertujuan untuk memperoleh penilaian terhadap keseluruhan kecenderungan yang mengindikasikan kemungkinan potensi kerentanan diserang oleh lingkungan ancaman yang ada.

f. Analisa dampak yang kurang baik yang dihasilkan dari suksesnya ancaman menyerang kerentanan. Seperti kehilangan kepercayaan, kehilangan ketersediaan dan kehilangan kenyamanan. Pengukuran dampak dari risiko Teknologi Informasi dapat dilakukan secara kualitatif maupun kuantitatif. Dampak tersebut dapat diklasifikasikan menjadi 3 bagian yaitu : Tinggi, sedang dan rendah.

g. Penentuan Level Risiko. Penentuan level risiko dari Sistem Teknologi Informasi yang merupakan pasangat ancaman / kerentanan merupakan suatu fungsi :

h. Kecenderungan suatu sumber ancaman menyerang kerentanan dari sistem Teknologi Informasi.

i. Besaran dampak yang akan terjadi jika sumber ancaman sukses menyerang kerentanan dari sistem Teknologi Informasi.

j. Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan menghilangkan risiko.

k. Rekomendasi - rekomendasi untuk mengurangi level risiko sistem Teknologi Informasi dan data sehingga mencapai level yang bisa diterima.

l. Dokumentasi hasil dalam bentuk laporan.

2. Proses Pengurangan Resiko (Risk Mitigation)

Strategi di dalam melakukan pengurangan resiko misalnya dengan menerima resiko (risk assumption), mencegah terjadinya resiko (risk avoidance), membatasi level resiko (risk limitation), atau mentransfer resiko (risk transference). Metodologi pengurangan resiko berikut menggambarkan pendekatan untuk mengimplementasikan kontrol :

a. Memprioritaskan aksi. Berdasarkan level resiko

b. Yang ditampilkan dari hasil penilaian resiko, implementasi dari aksi diprioritaskan. Output dari langkah pertama ini adalah ranking aksi-aksi mulai dari tinggi hingga rendah

c. Evaluasi terhadap kontrol yang direkomendasikan

d. Pada langkah ini, Kelayakan (misal kompatibilitas, penerimaan dari user) dan efektifitas (misal tingkat proteksi dan level dari pengurangan resiko) dari pilihan-pilihan kontrol yang direkomendasikan dianalisa dengan tujuan untuk meminimalkan resiko. Output dari langkah kedua adalah membuat daftar kontrol-kontrol yang layak.

e. Melakukan cost-benefit analysis. Suatu cost-benefit analysis dilakukan untuk menggambarkan biaya dan keuntungan jika mengimplementasikan atau tidak mengimplementasikan kontrol - kontrol tersebut.

f. Memilih kontrol. Berdasarkan hasil cost-benefit analysis, manajemen menentukan control dengan biaya paling efektif untuk mengurangi resiko terhadap misi organisasi.

g. Memberikan tanggung jawab. Personil yang sesuai (personil dari dalam atau personil yang dikontrak dari luar) yang memiliki keahlian dan ketrampilan ditugaskan untuk mengimplementasikan pemilihan kontrol yang diidentifikasi, dan bertanggung jawab terhadap yang ditugaskan.

h. Mengembangkan rencana implementasi safeguard yang minimal mengandung informasi tentang resiko (pasangat vulnerability/ ancaman) dan level resiko (hasil dari laporan penilaian resiko), kontrol yang direkomendasikan (hasil dari laporan penilaian resiko, aksi-aksi yang diprioritaskan (dengan prioritas yang diberikan

terhadap pilihan level resiko tinggi atau sangat tinggi), pilih kontrol yang telah direncanakan (tentukan berdasarkan kelayakan, efektifitas, keuntungan terhadap organisasi dan biaya), sumberdaya yang dibutuhkan untuk mengimplementasikan pilihan kontrol yang telah direncanakan, buat daftar staf dan personil yang bertanggung jawab, tanggal dimulainya implementasi, tanggal target penyelesaian untuk implementasi dan kebutuhan untuk perawatan.

i. Implementasikan kontrol yang dipilih.Tergantung pada situasi tertentu, kontrol yang dipilih akan menurunkan resiko tetapi tidak menghilangkan resiko. Output dari langkah ketujuh adalah sisa resiko.

3. Proses Evaluasi Resiko (Risk Evaluation)

Pada proses ini dilakukan evaluasi apakah pendekatan manajemen resiko yang diterapkan sudah sesuai. Kemudian dilakukan penilaian resiko kembali untuk memastikan keberadaan resiko yang teridentifikasi maupun resiko yang belum teridentifikasi.

Setelah dilakukan penelitian yang kami lakukan, kami mengambil kesimpulan bahwa pelaksaan OCTAVE-S pada peneltian sebelumnya memiliki banyak perbedaan yaitu:

Adanya kesimpulan pada setiap tabel yang ada didalam bab 4, ruang lingkup OCTAVE-S dibatasi hanya 5 tahap yang membagi risiko menjadi beberapa langkah, adanya OCTAVE-Spot light yang memberikan penjelasan tingkat dari dampak risiko yang akan ditimbulkan jika tinggi maka akan mengeluarkan lampu merah.