BAB 4
HASIL DAN PEMBAHASAN MANAJEMEN RISIKO TI
4.1 Latar Belakang Pembahasan
Dalam manajemen risiko yang dilakukan pada PT. Cipta Sumber Sejahtera, kami mengolah data berdasarkan wawancara dengan Bapak William selaku Manager IT. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis metode FRAP yang terdiri dari 4 tahap, yaitu
1. Pre FRAP Meeting
Terdapat komponen penting pada Pre FRAP Meeting : - Ruang Lingkup
- Pembuatan Model Visual - Pembentukan Tim FRAP 2. The Frap Session
Meliputi 3 proses, yaitu :
- Identifikasi risiko dalam risk list - Prioritas dari risiko
- Menyarankan kontrol pada risiko 3. FRAP analysis and report generation
Dalam proses ini terdiri dari beberapa tahap, antara lain : - Anualized Loss Exposure / ALE
- Annualized Rate of Occurance / ARO 4. Post-FRAP Meeting
Proses dari Post-FRAP, yaitu : - Action Plan
- Cross-reference sheet
Keempat proses tersebut memiliki aktivitas yang membantu dalam menilai dan mengukur manajemen risiko teknologi informasi.
4.2 Informasi dari Organisasi
Berdasarkan pengumpulan data yang didapat dari PT. Cipta Sumber Sejahtera, data-data diolah sesuai dengan langkah-langkah yang terdapat di dalam metode FRAP. Di mana pada lampiran L1 dapat dilihat hasil pengisian kuesioner oleh pihak TI perusahaan. Adapun hasil pengolahan, yaitu:
1. Kebijakan Keamanan
Berdasarkan kuesioner yang sudah diisi oleh koresponden, telah terdapat kebijakan yang mengatur mengenai keamanan informasi pada PT Cipta Sumber Sejahtera, namun masih berada pada tahap pengembangan. Dengan adanya pelatihan yang singkat pada karyawan, dapat membantu mereka untuk menerapkan keamanan informasi pada perusahaan ini, hal ini terlihat dari bagaimana karyawan dapat memahami peran dan tanggung jawab dalam mendukung operasi keamanan informasi, tetapi karena tidak adanya buku panduan, para karyawan tidak dapat mengerti secara detail mengenai konsekuensi dari ketidakamanan informasi tersebut.
2. Organizational Suitability
Perusahaan sudah memiliki pengalokasikan dana dan sumberdaya yang cukup untuk aktivitas keamanan informasi perusahaan. Peran keamanan dan
tanggung jawab sudah dipraktekan oleh semua karyawan dalam mencapai tujuan perusahaan, namun dikarenakan sebagian kebijakan hanya dikomunikasikan saja dan tidak adanya audit berkala pada kebijakan keamanan informasi membuat perusahaan tidak memprioritaskan / melakukan penerapan IT yang kompleks pada setiap divisi
3. Physical Security
Perusahaan tidak memiliki pengendalian akses fisik yang cukup baik, kebijakan serta fasilitas keamanan yang disediakan oleh perusahaan dalam menjaga lokasi hanya sebatas pada bangunan tempat kerja dengan menggunakan cctv pada ruangan - ruangan tertentu. Tindakan perusahaan sudah cukup baik dalam menjaga informasi yang sensitif agar tidak di akses oleh pihak yang tidak berwenang, contohnya pada penggunaan password dalam mengakses informasi serta pembatasan terhadap penggunaan informasi sensitive yang hanya dapat diakses oleh pihak-pihak tertentu.
4. Business Impact Analysis, Disaster Recovery Plan
Saat ini perusahaan belum melakukan analisa dampak bisnis terhadap hal-hal yang berkaitan dengan kegiatan operasional, aplikasi-aplikasi dan data penting yang ada diperusahaan. Dari segi rencana pemulihan bencana, perusahaan belum memiliki perencanaan yang maksimal, dikarenakan perusahaan akan mengambil tindakan langsung ketika risiko dan bencana terjadi. Oleh karena itu, kesadaran serta pemahaman karyawan akan rencana kemungkinan pemulihan bencana belum cukup baik, hal ini menyebabkan karyawan belum dapat menjalankan tanggung jawab mereka dalam menghadapi kemungkinan pemulihan bencana secara maksimal.
5. Technical Safeguards
Perusahaan tidak mengelola sistem dan jaringan dengan baik, hal tersebut dapat dilihat dari tidak adanya rencana uji keamanan dalam menjaga sistem dan jaringan perusahaan. Dengan tidak diaktifkannya firewall, membuat pihak yang tidak berwenang dapat mengambil atau merusak data diantara komputer – komputer yang ada. Tidak adanya network diagram dan audit infrakstruktur jaringan, merupakan kendala yang cukup besar bagi perusahaan ini. Akan tetapi, Perusahaan telah melindungi informasi sensitif di tempat yang aman dengan menggunakan password untuk mengakses informasi tersebut.
6. Telecommunications Security
Perusahaan sudah memiliki kebijakan atas penggunaan sumber daya telekomunikasi yang cukup baik, tetapi hanya terbatas pada pengecekan billing telepon, keamanan Wi-Fi pada perusahaan sudah di protect menggunakan mac address tertentu. Tidak adanya kontrol yang berkala terhadap remote akses computer menjadi salah satu kendala dalam mengontrol pihak – pihak yang tidak berwenang untuk mengakses computer pada perusahaan.
4.3 Analysis menggunakan metode FRAP
Dalam melakukan proses manajemen risiko teknologi informasi pada PT. Cipta Sumber Sejahtera, kami menggunakan metode FRAP (Facilitated Risk
Analysis Process) untuk menganalisis kemungkinan risiko yang akan terjadi, control
dihindari agar tidak menggangu proses bisnis yang berjalan pada PT Cipta Sumber
Sejahtera.
-Berdasarkan data yang kami dapatkan melalui observasi dan wawancara pada PT. Cipta Sumber Sejahtera, menghasilkan data sebagai berikut.
1. Pre –FRAP Meeting
Pre-FRAP Meeting merupakan kunci sukses dari metode FRAP, karena merupakan proses perencanaan awal dalam melakukan analisis, dilakukan di ruang tamu PT. Cipta Sumber Sejahtera. Pertemuan ini membahas ruang lingkup (scope statement, model visual (visual model), dan team FRAP yang dibentuk.
A. Scope Statement
Application / System : Back Office System Pre – FRAP Date : 26 maret 2010
Pemimpin proyek dan informasi / pemilik sistem akan menjelaskan pada Pre-FRAP meeting mengenai ruang lingkup dan proses bisnis utama. Mereka menentukan ruang lingkup dan identifikasi dari proses bisnis
SCOPE STATEMENT : Penjualan Barang Key business processes
Bisnis Proses 1 : Input Barang Bisnis Proses 2 : Kirim Barang Bisnis Proses 3 : Retur Barang
B. Visual Model
Berikut adalah tampilan dari aplikasi Back Office System 1. Tampilan aplikasi login pada Back Office System
Gambar 4.1 Aplikasi Log in
2. Tampilan Back Office System keseluruhan
3. Tampilan aplikasi Input Barang pada Back Office System
Gambar 4.3 Aplikasi Input Barang
4. Tampilan aplikasi Barang Masuk pada Back Office System
5. Tampilan aplikasi Kirim Barang pada Back Office System
Gambar 4.5 Aplikasi Kirim Barang
6. Tampilan aplikasi Retur Barang pada Back Office System
C. Team Frap
Team FRAP yang terdapat pada PT Cipta Sumber Sejahtera ada 7 peserta yaitu :
1. Owner ( Soetjipto Lays )
2. Application programing ( Livian S.Kom ) 3. Sistem progaming (Ahad S.Kom)
4. Sistem Analis (William S.Kom) 5. Administrasi jaringan IT (Dwiyanti) 6. Administrasi Database (Anna Rosiana) 7. System User ( Erhan. M )
2. FRAP Session
FRAP Session yang berlangsung pada PT. Cipta Sumber Sejahtera dibatasi selama 4 jam. Adapun hasil dari pengolahan, yaitu :
A. Risk List dan Priority
Berdasarkan hasil pertemuan dengan Bpk. William selaku Manager IT PT Cipta Sumber Sejahtera, didapatkan Risk List beserta priority sebagai berikut :
Risk # Risk Type Risk Description Priority 1 Integrity Informasi diakses oleh karyawan yang
tidak berwenang
B
2 Integrity Database bisa rusak oleh kerusakan perangkat keras, dan perangkat lunak
D
4 Integrity Kesalahan input data B 5 Integrity Kurangnya proses internal untuk
mengendalikan, mengelola seluruh fungsi data
A
6 Integrity Kehilangan data B
7 Integrity Data diperbarui secara internal tapi tidak dibuat eksternal
B
8 Integrity Akses ke informasi yang ditolak C 9 Integrity Dampak untuk usaha dengan
menggunakan informasi yang tidak benar
B
10 Integrity Kebocoran informasi sensitif B 11 Integrity perubahan yang tidak tercatat pada
sistem / aplikasi perangkat lunak atau data
B
12 Integrity E produk bisnis tidak dirancang sesuai dengan harapan pengguna
B
13 Confidentiality Informasi / data yang tidak benar B 14 Confidentiality Tidak sesuainya Job desk yang jelas B 15 Confidentiality Tidak aman untuk mengirimkan
informasi /data yang sensitif
A
16 Confidentiality Informasi pada laptop tidak terlindungi B 17 Confidentiality informasi sensitif dan nonsensitive
dicampur
B
18 Confidentiality Berbagi UserID B
19 Confidentiality Tidak adanya firewall B 20 Availability Hacker bisa membuat situs down B 21 Availability Kebijakan keamanan hanya terbatas pada
pemberitahuan lisan
C
23 Availability Kesalahan aplikasi dapat menyebabkan sumber daya kesulitan dalam
menggunakan aplikasi
C
24 Availability Virus dapat menyebabkan tidak tersedianya informasi dalam sistem aplikasi
A
25 Availability Tidak adanya buku pedoman panduan aplikasi maupun kebijakan keamanan
C
26 Availability Backup tidak mencukupi C
Tabel 4.1 Risk List
B. Control List
Berdasarkan hasil pertemuan dengan Bpk. William selaku Manager IT PT Cipta Sumber Sejahtera, didapatkan Control List sebagai berikut :
Nomor Kontrol
Class Deskripsi Kontrol
1 Backup Kebutuhan backup ditentukan dan
dikomunikasikan, serta dilakukan pada tiap-tiap bagian
2 Rencana Pemulihan Perancangan prosedur pemulihan aplikasi dengan menggunakan backup
3 Kontrol akses Melaksanakan mekanisme kontrol akses untuk mencegah akses yang tidak sah terhadap informasi perusahaan
4 Kontrol akses menerapkan mekanisme untuk membatasi akses ke informasi yang sensitive, seperti menggunakan Log in
5 Pengendalian Aplikasi
Merancang dan implementasi pengendalian kontrol pada aplikasi untuk memastikan integritas,
kerahasiaan, dan ketersediaan informasi 6 Pengujian
Penerimaan
Mengembangkan prosedur pengujian yang harus diikuti selama pengembangan aplikasi dan modifikasi pada aplikasi
7 Anti Virus 1). memastikan administrator LAN menginstal software anti-virus standar pada komputer perusahaan dan database
2). pelatihan dan kesadaran teknik pencegahan virus
8 Kebijakan Mengembangkan ketentuan dan prosedur untuk membatasi akses dan memberikan akses khusus sesuai dengan kebutuhan bisnis
9 Pelatihan Pelatihan termasuk intruksi dan dokumentasi untuk penggunaan aplikasi yang benar.
10 Review Mengimplementasikan mekanisme untuk memonitor, melaporkan dan mereview aktifitas-aktifitas yang dibutuhkan proses bisnis.
11 Backup Kontrol operasi: pelatihan backup aplikasi yang diberikan kepada seluruh karyawan.
12 Pelatihan Kontrol operasi: pengembangan aplikasi yang menyediakan dokumentasi dan memastikan pertukaran data antar aplikasi berjalan dengan baik dan aman.
13 Access Control Kontrol operasi: mekanisme yang dilakukan guna mengamankan database dari akses yang tidak diinginkan dengan mengunakan log in
14 Pemeliharaan Kontrol operasi: melakukan maintenance database dan membicarakannya dengan pihak manajemen.
15 Pelatihan Kontrol pengguna: mengimplementasikan aplikasi bagi pengguna sesuai dengan ketentuan dan
prosedur yang berlaku. Serta memastikan fungsi-fungsi dari aplikasi.
16 Service Level Agreement
Menentukan tingkat harapan kepuasan dari pengguna.
17 Keamanan Fisik Penyediaan kebutuhan untuk melindungi informasi, software, dan hardware yang dibutuhkan oleh system
18 Manajemen suport Meminta management support untuk memastikan kooperasi dan koordinasi dari masing-masing unit bisnis, serta memastikan transisi yang baik ke dalam system.
19 Proprietary Kontrol prioritas 20 Manajemen
Perubahan
Memastikan semua perpindahan data berlangsung secara benar.
Tabel 4.2 Control List
3. FRAP analysis and report generation
Dalam FRAP analysis and report generation dapat dijelaskan mengenai biaya yang harus dikeluarkan oleh PT Cipta Sumber Sejahtera, apabila terjadinya risiko yang telah diidentifikasi sebelumnya, Berikut merupakan contoh kondisi perusahaan saat risiko terjadi menyebabkan dampak kerugian operasional pada perusahaan.
PT Cipta Sumber Sejahtera saat ini memiliki 21 unit komputer, harga 1 unit 113omputer Rp 6.000.000. Berdasarkan data 5 tahun terakhir, telah terjadi kehilangan hardware computer sebanyak 5 buah, dan diasumsikan terjadi kehilangan 1 unit hardware dalam 1 tahun.
Kerugian yang sering terjadi adalah kehilangan hardware komputer seharga 4.000.000/ unit. Manager IT mengusulkan pembelian teralis dan gembok yang dipasangkan pada meja 113omputer, seharga Rp 140.000/unit dan masa berlaku
teralis dan gembok selama 6 tahun. Dengan adanya teralis dan gembok dapat menurunkan kemungkinan pencurian dibandingkan tanpa gembok dan teralis
Berdasarkan perhitungan Exposure Factor (EF) didapat persentase dari risiko yang teridentifikasi karena kehilangan asset hardware pada PT Cipta Sumber Sejahtera senilai 3,2%. Ancaman yang terjadi 1 kali dalam 1 tahun, dengan perumpamaan 1/1. Nilai kerugian terhadap asset bila sebuah risiko yang teridentifikasi terjadi, sebesar Rp 4.032.000.
Biaya yang harus dikeluarkan oleh perusahaan selama 1 tahun untuk memperbaiki risiko yang telah terjadi sebesar Rp Rp 4.032.000; Biaya yang dikeluarkan PT Cipta Sumber Sejahtera untuk penganggulangan risiko dengan membeli teralis dan gembok tahunan adalah sebesar Rp 2.940.000 atau menurut perhitungan adalah sebesar 14,9%. Menurut perhitungan Return On Investment (ROI), perusahaan akan balik modal pada 7,2 tahun kemudian atas biaya yang dikeluarkan oleh perusahaan untuk menanggulangi risiko.
