PENGUKURAN RISIKO TEKNOLOGI
INFORMASI PADA PT. SAGA MACHIE
DENGAN MENGGUNAKAN METODE FRAP
Florensia
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, florensiaolen@yahoo.com
Handajani Panadhy
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, honey_hanny91@yahoo.com dan
Debbie
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, bie.wang@ymail.com
Bambang Gunawan
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, d2828@yahoo.com
ABSTRAK
Tujuan penelitian ialah untuk melakukan pengukuran terhadap tingkat risiko pada teknologi informasi
serta mengidentifikasi praktek – praktek keamanan yang cocok dalam menanggulangi risiko yang terdapat pada PT Saga Machie dan mengharapkan perusahaan dapat lebih waspada terhadap dampak – dampak dari risiko teknologi informasi yang mungkin terjadi di dalam PT Saga Machie. Metodologi
penelitian, yang digunakan adalah pengumpulan data berupa studi pustaka dan studi lapangan yang
dilakukan secara langsung baik dengan wawancara, observasi, serta kuesioner ke PT Saga Machie, populasi dan sample, serta teknik analisis dengan menggunakan pendekatan FRAP (Facilitated Risk Analysis Process). Hasil yang dicapai adalah memberikan keseluruhan hasil dari pengukuran risiko yang terjadi pada perusahaan baik kelebihannya maupun kekurangannya, serta memberikan rekomendasi yang diharapkan dapat mengatasi dan memperbaiki kekurangan maupun permasalahan yang terjadi dalam PT Saga Machie. Simpulan yang didapat adalah pengukuran risiko teknologi informasi yang dilakukan pada PT Saga Machie telah berhasil meminimalisasi risiko – risiko yang dapat mengancam keamanan perusahaan.
MEASUREMENT OF RISK INFORMATION
TECHNOLOGY AT PT. SAGA MACHIE
USING FRAP METHOD
Florensia
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, florensiaolen@yahoo.com
Handajani Panadhy
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, honey_hanny91@yahoo.com dan
Debbie
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, bie.wang@ymail.com
Bambang Gunawan
Bina Nusantara University, Jakarta, DKI Jakarta, Indonesia 11480, d2828@yahoo.com
ABSTRACT
THE PURPOSE OF THIS RESEARCH is to measure the level of risk in Information Technology that PT SAGA MACHIE implemented and identify which security practices fits in tackling the risks and also the company should be carefull with the impact - the impact of IT risks that may occur in PT SAGA MACHIE. RESEARCH METHOD which is used collecting data from literature and field studies by direct interview, observation, and giving questionnaires to PT SAGA MACHIE, population and sample, and analysis techniques using FRAP (Facilitated Risk Analysis Process) method. THE RESULT is to give the overall results of the risk measurement that occurs in companies both strengths and weaknesses, and provide the recommendations that overcome nor correct the problems that occur in PT Saga machie. THE CONCLUSION is measurement of risk information technology had done at PT SAGA MACHIE has successfully to minimize all of risks that could threaten the security of the company.
PENDAHULUAN
Perkembangan teknologi informasi merupakan suatu hal yang memiliki peranan penting dan sangat membantu dalam mendukung perusahaan untuk melakukan kegiatan bisnis. Dengan adanya teknologi informasi, maka dapat menunjang perusahaan dalam melakukan proses bisnisnya secara efektif dan efisien serta memperkuat posisinya dalam persaingan dengan perusahaan lain yang belum menggunakan teknologi informasi.
Risiko berhubungan dengan ketidakpastian, ini terjadi oleh karena kurang atau tidak cukup tersedianya informasi tentang apa yang akan terjadi. Secara umum, risiko dapat diartikan sebagai suatu keadaan yang dihadapi seseorang atau perusahaan dimana terdapat kemungkinan yang merugikan. Berdasarkan hal tersebut, maka perusahaan harus mempertimbangkan risiko-risiko apa saja yang dapat muncul dari teknologi informasi yang diterapkan, sehingga perusahaan harus siap dalam menghadapi risiko tersebut. Menurut Jake Kouns and Daniel Minoli dalam bukunya yang berjudul “Information
Technology Risk Management in Enterprise Environments” menyatakan “Risk assessment and risk management have acquired an important place in the corporate environment as well as enterprise management and governance framework.” Maka dapat disimpulkan bahwa penilaian risiko dan
manajemen risiko sangat penting dalam suatu lingkungan perusahaan sehingga dapat menghindari kerugian yang akan dialami oleh perusahaan.
Sangat penting untuk memahami risiko teknologi informasi dan menentukan bagaimana cara terbaik dalam mengelolanya agar mendapatkan keuntungan yang kompetitif, salah satunya dengan melakukan pengukuran terhadap risiko yang dihadapi dalam penerapan teknologi informasi. Faktor penting dalam proses perencanaan strategis sistem informasi atau teknologi informasi adalah penggunaan metodologi. Metodologi merupakan kumpulan metodologi, teknik, dan tools yang digunakan untuk mengerjakan sesuatu. Tujuan dari penggunaan metodologi dalam perencanaan strategis sistem informasi atau teknologi informasi adalah untuk meminimalkan risiko kegagalan, memastikan keterlibatan semua pihak yang berkepentingan serta meminimalkan ketergantungan individu, dan lebih menekankan kepada proses dan sasaran yang ditentukan.
Dalam penelitian ini, perusahaan yang akan kami teliti yaitu PT Saga Machie, dimana dalam menjalankan dan mendukung proses bisnisnya telah menggunakan teknologi informasi yang dirancang dan diterapkan ke seluruh divisi perusahaan untuk mencapai visi dan misi. Namun dalam kenyataannya, teknologi informasi yang telah diterapkan masih terdapat hambatan yang menimbulkan berbagai macam risiko.
Berdasarkan risiko-risiko yang ditemukan, maka permasalahan dari latar belakang penelitian penyusunan skripsi adalah perusahaan belum melakukan analisis dan pengukuran risiko dari penerapan teknologi informasi di PT Saga Machie yang dapat menghambat proses bisnis dalam perusahaan. Dimana pengukuran dan analisis risiko ini dapat mengantisipasi risiko-risiko yang mungkin terjadi dan meningkatkan kinerja proses bisnis perusahaan, serta meminimalisasi kerugian yang akan dialami perusahaan.
Dilihat dari permasalahan yang ada terhadap risiko yang mungkin akan terjadi, maka dilakukan analisis dan pengukuran risiko agar lebih jelas atau teridentifikasi, dan akurat, serta control yang dapat mengendalikan semua proses bisnis maka dipilih suatu metodologi yang tanpa memakan waktu yang cukup lama, yaitu menggunakan metodologi FRAP (Facilitated Risk Analysis Process).
Thomas R. Peltier (2001), merupakan penggagas Facilitated Risk Analysis Process (FRAP), dimana pendekatan ini dilakukan dalam menganalisis risiko kualitatif. Dengan menggunakan pendekatan FRAP ini diharapkan proses analisis risiko dalam suatu perusahaan dapat dilakukan dalam hitungan hari, bukan mingguan maupun bulanan. Oleh karena itu, pengukuran dan analisis risiko bukan suatu kendala, namun proses yang sangat mungkin dilakukan dan perlu.
Berdasarkan latar belakang diatas, maka kami menggunakan metode FRAP untuk meneliti risiko-risiko yang muncul pada PT Saga Machie dan mengambil judul “PENGUKURAN RISIKO TEKNOLOGI INFORMASI PADA PT SAGA MACHIE DENGAN MENGGUNAKAN METODE FRAP ”
Masalah yang dibahas dalam penelitian ini adalah :
1. Bagaimana mengukur risiko teknologi informasi pada PT Saga Machie?
2. Bagaimana mengidentifikasi kebutuhan control yang diperlukan untuk meminimalisasi risiko pada PT Saga Machie?
Untuk lebih mengarahkan penyusunan dan penulisan skripsi ini, ruang lingkup penelitian dibatasi pada :
1. Penelitian dilakukan pada PT Saga Machie yang beralamat di Jl H. Agus Salim No. 67, Kebon Sirih Jakarta Pusat, 10350.
2. Pengukuran resiko teknologi informasi pada PT Saga Machie menggunakan metode FRAP
(Facilitated Risk Analysis Process).
3. Pengukuran resiko terhadap aplikasi penjualan dan persediaan barang yang berkaitan dengan TI Perusahaan.
Tujuan yang ingin dicapai dalam penulisan skripsi ini adalah :
1. Mengetahui risiko-risiko dari penerapan teknologi informasi di PT Saga Machie.
2. Mengetahui nilai-nilai dari risiko yang ditemukan pada PT Saga Machie dengan menggunakan metode FRAP.
3. Mengetahui control apa saja yang diperlukan untuk melakukan pengukuran risiko pada PT Saga Machie.
Manfaat yang ingin dicapai dalam penulisan skripsi ini adalah :
1. Bagi perusahaan, meminimalisir risiko-risiko yang dapat muncul dari dalam maupun dari luar perusahaan.
2. Bagi perusahaan, hasil dari pengukuran risiko dan analisis penilaian risiko yang dilakukan dapat dijadikan sebagai informasi bagi PT Saga Machie untuk menyempurnakan penerapan teknologi informasi yang ada.
3. Bagi peneliti, memberi kesempatan untuk memiliki wawasan yang lebih luas.
4. Bagi pihak lain, sebagai bahan referensi untuk pembelajaran atau sumber informasi bagi pihak lain yang ingin mendalami risiko yang ada dalam perusahaan serta dampak yang akan dialami.
METODOLOGI PENELITIAN
Dalam melengkapi penelitian, pengumpulan data dan penyusunan skripsi ini, kami menerapkan metodologi sebagai berikut :
a. Pengumpulan Data
Pengumpulan Data adalah prosedur yang sistematis dan standar untuk memperoleh data yang diperlukan.
1) Metodologi Kepustakaan
Studi kepustakaan merupakan langkah yang penting dimana setelah seorang peneliti menetapkan topik penelitian.
2) Metodologi Lapangan
Dilakukan dengan datang secara langsung ke PT Saga Machie yang beralamat di JL. H. Agus Salim No 67, Kebon Sirih Jakarta Pusat, 10350, yang bertujuan untuk memperoleh data yang dibutuhkan secara akurat untuk penelitian. Adapun cara yang kami lakukan sebagai berikut : a) Wawancara atau Interview
Wawancara atau interview adalah proses memperoleh keterangan untuk tujuan penelitian dengan cara tanya jawab, sambil bertatap muka antara si penanya atau pewawancara dengan si penjawab atau responden dengan menggunakan alat yang dinamaka interview guide (pemandu wawancara).
b) Observasi
Observasi langsung atau pengamatan langsung adalah cara pengambilan data dengan menggunakan mata tanpa ada pertolongan alat standar lain untuk keperluan tersebut. c) Kuesioner
Kuesioner adalah suatu daftar pertanyaan yang akan ditanyakan kepada responden (obyek penyelidikan) terdiri dari baris-baris dan kolom-kolom untuk diisi dengan jawaban-jawaban yang ditanyakan.
b. Populasi dan Sampel
Populasi adalah keseluruhan subjek penelitian. Apabila seseorang ingin meneliti semua elemen yang ada dalam wilayah penelitian, makan penelitiannya merupakan penelitian populasi. Studi atau penelitiannya juga disebut studi populasi atau studi sensus.
Sampel adalah sebagian atau wakil populasi yang diteliti. Dinamakan penelitian sample apabila kita bermaksud untuk menggeneralisasikan hasil penelitian sampel.
c. Teknik Analisis
Dalam melakukan pengukuran risiko teknologi informasi pada PT. SAGA MACHIE kami menggunakan pendekatan FRAP (Facilitated Risk Analysis Process) dalam penelitian kami karena metode FRAP dapat menyajikan daftar-daftar risiko serta daftar control untuk mengukur tingkat risiko yang ada di perusahaan yang bergerak di bidang distributor sepatu dan sandal.
HASIL DAN BAHASAN
Metode FRAP (Facilitated Risk Analysis Process)
Menurut Thomas R. Peltier (2001, p69), FRAP (Facilitated Risk Analysis Process) merupakan suatu pendekatan dalam melakukan analisis risiko kualitatif. Dengan menggunakan FRAP diharapkan proses analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan dan juga diperlukan.
Tahapan di dalam FRAP, yaitu :
1. The Pre FRAP Meeting
a. Menjelaskan mengenai proses FRAP dan komponen sistem yang akan dianalisis. b. Menentukan ruang lingkup
c. Menggambarkan ruang lingkup dalam bentuk diagram d. Menentukan tim-tim yang akan ikut serta dalam proses FRAP
e. Menentukan waktu, ruang dan berbagai kebutuhan lainnya yang dibutuhkan selama
meeting berlangsung.
f. Persetujuan terhadap definisi.
2. The FRAP Session
a. Logistic : perkenalan anggota FRAP
b. Overview pernyataan ruang lingkup (visual model) dan persetujuan definisi.
c. Proses Brainstorming dilakukan dengan memberi kesempatan kepada tiap anggota tim
untuk menulis risiko yang mungkin dari sistem yang didiskusikan pada selembar kertas kecil. Setelah 5 menit, fasilitator akan mengumpulkan kertas tersebut dan proses tersebut diulang sampai tidak ada risiko yang dapat teridentifikasi lagi.
d. Kemudian fasilitator akan menyortir dan mengumpulkan risiko yang serupa serta menempelkannya pada papan. Sementara anggota tim lainnya diberi kesempatan untuk break selama 10-15menit.
e. Proses dilanjutkan dengan menentukan prioritas dari risiko yang telah diidentifikasikan berdasarkan criteria dan juga definisi yang telah disepakati pada sesi Pre-FRAP Meeting.
f. Langkah berikutnya yaitu penentuan kontrol, dimulai dari aset yang mempunyai risiko tinggi. Cara yang dilakukan dapat seperti pada cara penentuan risiko (sample priority
matrix) atau dengan cara memberikan daftar kontrol pengamanan yang biasa digunakan
dalam sistem yang sejenis dan meinta tim untuk memilih kontrol pengamanan yang cocok serta menentukan orang yang berhak atau wajib melakukan kontrol tersebut.
3. The Post FRAP Meeting
a. Membuat cross-references sheet yang berisikan masing-masing kontrol dan risiko-risiko apa saja yang dapat berkurang sebagai akibat dari pelaksanaan kontrol tersebut. b. Project leader dan fasilitator akan melihat kontrol mana saja yang sudah diterapkan
pada risiko yang ada.
c. Project leader dan fasilitator akan bertemu dengan manajer bisnis untuk meninjau
ulang dan mengidentifikasi kontrol apa saja yang dapat digunakan untuk mengatasi risiko-risiko yang masih terbuka.
d. Membuat action plan untuk risiko-risiko yang masih terbuka dan risiko-risiko yang akan diimplementasikan kontrolnya. Project leader, fasilitator dan manajer bisnis menentukan kontrol apa saja yang paling efektif dan menentukan pihak mana saja yang akan mengimplementasikan kontrol tersebut beserta dengan tanggal pelaksanaannya. Setelah risiko tersebut telah dikontrol atau ternyata manajer bisnis telah mengidentifikasikan bahwa risiko tersebut dapat diterima maka final report akan dibuat.
Manfaat FRAP
Dari penerapan FRAP pada perusahaan, maka akan dapat diperoleh keuntungan – keuntungan yang sangat bermanfaat untuk perusahaan, antara lain:
1. Menghemat waktu dan biaya dalam melaksanakan pengukuran risiko.
2. Memudahkan dalam menemukan risiko-risiko yang dapat berdampak bagi proses bisnis perusahaan.
3. Memudahkan perusahaan dalam menentukan kontrol atau pengendalian yang harus dilakukan untuk meminimalisir risiko.
4. Memperkirakan tindakan dan dokumen yang dapat mengurangi resiko.
Dalam pengukuran risiko yang dilakukan pada divisi IT penjualan dan persediaan barang PT. SAGA MACHIE kami telah mengumpulkan dan mengolah data berdasarkan wawancara dan kuesioner yang telah dibagikan kepada beberapa divisi pada PT. SAGA MACHIE. Wawancara dan kuesioner yang dibagikan digunakan untuk mengetahui kelemahan dari hasil pengukuran risiko serta mencari solusi atas risiko-risiko yang terjadi pada PT. SAGA MACHIE khususnya bidang penjualan dan persediaan barang.
Analisa FRAP PT. SAGA MACHIE
Dari hasil penelitian yang dilakukan, penulis menganalisis keadaan perusahaan yang ada dengan metode FRAP yang terdiri dari 3 tahapan, yaitu :
1. Pre-FRAP Meeting Model Visual Pre FRAP Meeting FRAP Session Post FRAP Meeting Ruang Lingkup Identifikasi Risiko Action Plan Cross Reference Sheet Kontrol Terhadap Risiko Model Visual Memberikan saran kontrol (Suggested Controls) Pembentukkan TIM FRAP Pertemuan Teknis (Meeting Mechanics) Persetujuan Definisi (Agreement of Definition)
2. FRAP Session
FRAP Session dilakukan selama 4 (empat) jam oleh tim FRAP, yang berlangsung di PT Saga Machie. Adapun hasil yang diperoleh dari proses ini adalah sebagai berikut :
a. Identifikasi Risiko
Berdasarkan hasil wawancara dan kuisioner, penulis dapat menyimpulkan risiko-risiko apa saja yang mungkin terjadi pada PT Saga Machie, sebagai berikut :
No
Risiko Risiko Tipe
1 Informasi diakses oleh pihak yang tidak berwenang INT 2 Informasi pihak ketiga dapat menyebabkan masalah kepada
perusahaan
INT
3 Salah pengelompokan informasi dan data INT
4 Data dan informasi tidak sesuai dengan fakta INT
5 Data lama atau dokumen tidak dihapus INT
6 Informasi digunakan dalam konteks yang tidak sesuai INT 7 Kesalahan terhadap data dan dokumen yang dipublikasikan INT 8 Kehilangan data atau informasi akibat kebakaran INT 9 Tidak ada peringatan atas kesalahan input data INT 10 Akses untuk backup data tidak terkontrol dengan baik INT 11 Terdapatnya virus dapat menyebabkan kegagalan sistem atau
hilangnya data
INT
12 Penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis
INT
13 Autentikasi untuk akses data sensitif perusahaan tidak memadai INT 14 Informasi diubah tanpa adanya persetujuan dari pihak yang
bertanggungjawab
INT
15 Manipulasi data untuk kepentingan pribadi atau kelompok INT 16 Human error pada saat meng-entry data manual kedalam sistem INT 17 Kerusakan hardware akibat bencana kebakaran INT 18 Penolakan akses ke informasi padahal diakses oleh orang yang
berwenang
INT
19 Penyalahgunaan user ID CON
20 Mantan user atau karyawan masih memiliki akses untuk mengamankan data
CON
21 Informasi sensitif dan tidak sensitif tercampur CON
22 Kebocoran informasi internal perusahaan CON
23 Otorisasi keaslian permintaan data CON
24 Prosedur otorisasi pada perusahaan CON
25 Di dalam pendaftaran personil terdapat personil yang tidak terotorisasi
CON
26 Gangguan jaringan yang diakibatkan virus CON
27 Berbagi User ID CON
28 Akses yang tidak terkendali terhadap informasi yang sensitif CON 29 Hacker dapat membuat sistem down AVA 30 Hubungan jaringan antar sistem gagal didalam perusahaan AVA 31 Ketidaktersediaan dokumen DRP dalam perusahaan AVA 32 Pihak ketiga membatalkan perjanjian yang telah dibuat AVA 33 Data dan informasi hilang akibat kerusakan hardware AVA
34 Kebutuhan back-up tidak memadai AVA
35 Tidak adanya rekaman terhadap perubahan sistem atau aplikasi
software
AVA
36 Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses
37 Kerusakan database AVA 38 Error pada program AVA
39 Putusnya koneksi internet AVA
40 Sumber daya teknis kurang pelatihan yang tepat AVA 41 Kesalahan dalam membuat perubahan pada hardware dan
software
AVA
Tabel 1 Identifikasi Risiko
b. Kontrol terhadap Risiko
Berdasarkan proses FRAP Session yang dilakukan dan simpulan dari risiko yang mungkin terjadi di PT Saga Machie oleh tim FRAP, maka penulis mendapatkan hasil daftar kontrol ( Control List) sebagai berikut :
Control Number
Descriptor Control Description
1 Backup Persyaratan backup akan ditentukan dan dikomunikasikan ke operasional, termasuk request
electronic notification bahwa backup siap dikirim ke application system administrator. Operasional akan
diminta untuk menguji prosedur backup. Backup diperusahaan dilakukan setiap hari.
2 Recovery Plan Mengembangkan, mendokumentasikan, dan menguji prosedur pemulihan yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat diperoleh kembali, dengan menggunakan backup yang telah dibuat, jika terjadinya kemungkinan kehilangan data.
3 Risk Analysis Melakukan analisis risiko untuk mengidentifikasi risiko, dan mengidentifikasi kemungkinan perlindungan atau kontrol yang digunakan.
4 Antivirus Memastikan administrator LAN menginstal anti-virus perangkat lunak standar perusahaan di semua komputer. Serta adanya pelatihan dan kesadaran teknik pencegahan virus yang digabungkan dalam program organisasi.
5 Interface Dependencies Operasi Kontrol : Sistem yang menyediakan informasi akan diidentifikasi dan dikomunikasikan ke operasional untuk menekankan dampak bagi fungsionalitas jika bagian aplikasi penyedia tidak berada ditempat.
6 Maintenance Persyaratan waktu bagi technical maintenance akan ditelusuri dan permintaan untuk penyesuaian akan dikomunikasikan dengan manajemen, jika ahli memerlukan. Dalam perusahaan ini dilakukan maintenance selama satu bulan sekali dan disesuaikan dengan kebutuhan.
7 Service Level Agreement Mendapatkan service level agreement untuk menetapkan tingkat pengharapan dan keyakinan customer dari kegiatan operasional pendukung. 8 Maintenance Memperoleh persetujuan pemeliharaan dan supplier
untuk memfasilitasi status operasional yang berkesinambungan dari suatu aplikasi.
9 Change Management Kontrol migrasi pembuatan seperti pencarian dan menghapus atau menghilangkan proses untuk memastikan penyimpanan data yang bersih.
10 Business Impact Analysis Sebuah analisis dampak bisnis formal akan dilakukan untuk menentukan kekritisan suatu aset dengan aset
perusahaan lainnya.
11 Disaster Recovery Planning Rencana pemulihan dari kemungkinan kerusakan-kerusakan yang berdampak pada kemampuan proses computer dan operasi bisnis perusahaan.
12 Application Control Merancang dan menerapkan pengendalian aplikasi (pengecekan pemasukan data lapangan yang memerlukan validasi, indikator alam, kemampuan kadaluarsa sandi, checksums) untuk menjamin integritas, kerahasiaan, dan ketersediaan informasi aplikasi.
13 Acceptance testing Membuat testing procsedur untuk diikuti selama pengembangan aplikasi dan modifikasi bagi aplikasi yang sedang berjalan yang meliputi partisipasi dan penerimaan user.
14 Training Pengguna pelatihan akan mencakup instruksi dan dokumentasi tentang penggunaan aplikasi secara benar. Pentingnya menjaga kerahasiaan dari account pengguna atau rekening pemakai, sandi, sifat rahasia dan kompetitif informasi akan ditekankan.
15 Policy Membuat kebijakan dan prosedur untuk membatasi akses dan hak operasi bagi pihak-pihak yang memiliki keperluan bisnis.
16 Review Menerapkan mekanisme untuk memantau, melaporkan, dan mengaudit aktivitas yang teridentifikasi sebagai aktivitas yang membutuhkan review yang independen, termasuk periodic reviews untuk user ID untuk memastikan dan memverifikasi kebutuhan bisnis.
17 Confidential Access Adanya sistem keamanan dalam sistem informasi sehingga tidak sembarang orang dapat mengakses langsung dalam sistem (khususnya orang dari pihak luar).
18 Asset Classification Aset yang direview akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur pada klasifikasi aset.
19 Access control Operasi Kontrol: Mekanisme untuk melindungi terhadap risiko database yang tidak sah, dan modifikasi yang dilakukan dari luar aplikasi, akan ditentukan dan diimplementasikan.
20 Access Authorization Setiap akses yang diberikan kepada karyawan perusahaan melalui ijin dari atasan, dan selalu dikonfirmasi dengan baik kepada pengguna. 21 Modify Authorization Dalam mengupdate / memodifikasi data diperlukan
surat perintah dari atasan, tidak boleh sembarang merubah, menambah, ataupun menghilangkan data. 22 Management Support Meminta dukungan dari pihak manajemen untuk
memastikan kerja sama dan koordinasi dari unit-unit bisnis yang berbeda-beda.
23 Access Control Kontrol Keamanan : Mekanisme untuk melindungi database dari akses yang tidak terotorisasi dan modifikasi yang dibuat dari luar aplikasi, akan ditentukan dan diimplementasikan.
24 Physical Security Melakukan analisis risiko untuk menentukan tingkat pengungkapan bagi ancaman yang teridentifikasi dan mengidentifikasi keamanan atau kontrol yang memungkinkan.
c. Prioritasi Risiko
Berdasarkan risiko dan kontrol yang ada, maka dalam menentukan tingkat prioritas suatu risiko, perlu ditentukan matriks dari risiko tersebut, dilihat dari tingkat kerentanannya (vulnerability) dan pengaruhnya terhadap bisnis (business impact).
Berikut ini Matriks Prioritas dalam menganalisa aksi dan kontrol yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kerentanan yang dapat terjadi pada sistem perusahaan PT Saga Machie.
Keterangan:
A – tindakan korektif harus diterapkan B – tindakan perbaikan yang diusulkan C – membutuhkan pemantauan D – tidak ada tindakan yang diperlukan
d. Existing Control
Berikut ini merupakan matriks penyebaran prioritas risiko yang terdapat dalam PT Saga Machie berdasarkan Existing Control.
Gambar 1 Existing Control
e. Suggested Control
Dalam bagian ini proses FRAP sangatlah penting untuk memberikan saran atau masukan yang baik bagi PT Saga Machie. Berikut ini merupakan suggested
memberikan saran kontrol apa saja yang perlu ditambahakn selain existing control yang terdapat dalam PT Saga Machie.
Gambar 2 Suggested Control
3. Post-FRAP Meeting
Pada tahap post-FRAP Meeting ini pertemuan biasanya berlangsung sekitar 10 hari dan memiliki dua elemen, yaitu :
a. Control/Risks Cross-reference List
Dalam Control/Risks Cross-reference List ini, pimpinan proyek dan fasilitator akan melihat control mana saja yang sudah tepat sesuai risikonya. Tujuan adanya Control/Risks
Cross-reference List ini adalah untuk menentukan dan mengetahui control mana saja yang dapat
memitigasi risiko-risiko. Dalam bagian ini juga kita dapat melihat satu control yang bisa memitigasi lebih dari satu risiko, sehingga dengan hal tersebut dapat membantu dalam menentukan sumber daya mana yang paling baik untuk menangani risiko-risiko tersebut.
b. Action Plan
Action plan (rencana aksi) merupakan kegiatan yang menggabungkan risiko dari risk list dengan kontrol yang disarankan dari control list, dengan tujuan mengetahui tindakan apa
yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana aksi tersebut agar dapat membantu perusahaan dalam melaksanakan penetapan kontrol yang diusulkan. (MASUKIN TABEL ACTION PLAN).
SIMPULAN DAN SARAN
Berdasarkan penelitian yang telah penulis lakukan pada PT Saga Machie dengan menggunakan metode FRAP, maka diperoleh kesimpulan sebagai berikut :
1. Terdapat risiko penyalahgunaan hak akses, kesalahan pengelompokan informasi dan data, serta informasi dan data yang tidak sesuai dengan fakta. Dalam menangani risiko tersebut, PT Saga Machie belum melakukan kontrol yang maksimal seperti kurangnya pengecekkan secara berkala dan kurangnya pemantauan terhadap informasi yang ada.
2. Terdapat risiko error pada program dan putusnya koneksi internet, dimana kedua risiko ini dapat menghambat proses bisnis perusahaan karena kurangnya pemantauan secara berkala. 3. Terdapat risiko kesalahan dalam peng-upgradean hardware dan software, dimana penerapan
atas pelatihan yang diberikan perusahaan kepada sumber daya teknis kurang maksimal, sehingga dapat berdampak buruk terhadap proses bisnis perusahaan.
4. Terdapat risiko-risiko yang berdampak kecil pada PT Saga Machie adalah risiko kesalahan terhadap data lama atau dokumen tidak dihapus, data dan dokumen yang dipublikasikan, serta informasi digunakan dalam konteks yang tidak sesuai. Kemungkinan risiko ini terjadi
sangat kecil dikarenakan perusahaan sudah melakukan analisis risiko, maka risiko tersebut dapat terdeteksi dengan baik.
Berdasarkan analisis pengukuran risiko, penulis memberikan saran yang dapat dijadikan masukkan bagi PT Saga Machie antara lain :
1. Perusahaan sebaiknya perlu melakukan backup dan review secara berkala dan perlu melakukan pemantauan (monitoring) agar kesalahan dapat diketahui dengan jelas dan dihindari, kemudian melakukan peninjauan yang lebih spesifik, sehingga ketidaksesuaian data dan informasi dapat dihindari.
2. Perusahaan sebaiknya perlu melakukan maintenance secara rutin dan melakukan perlindungan atau pengendalian perbaikan terhadap jaringan internet sehingga risiko error pada program dan putusnya koneksi internet dapat dihindari.
3. Perusahaan sebaiknya memberikan training atau pelatihan kepada sumber daya teknis secara maksimal mengenai penggunaan, penjagaan dan pengendalian terhadap hardware dan software yang ada di perusahaan sehingga risiko-risiko yang berkaitan dengan
hardware dan software tersebut dapat diminimalisasi.
4. Perusahaan harus memperhatikan mengenai hak akses yang telah diberikan. Sebab hal tersebut dapat disalahgunakan seperti adanya pengaksesan yang dilakukan oleh pihak yang tidak berwenang, maka perusahaan perlu melakukan pemantauan secara maksimal untuk mengurangi terjadinya risiko tersebut.
DAFTAR PUSTAKA
Arikunto, Suhartini. (2010). Prosedur Penelitian, edisi revisi. Rineka Cipta, Jakarta.
Djojosoedarso, S. (2005). Prinsip-prinsip Manajemen Risiko Asuransi, edisi revisi. Salemba Empat, Jakarta.
Hughes, G. (2006). Five Steps to IT Risk Management Best Practices. Risk Management, 53 (7), 34-40. Jordan, E & Silcock, L. (2005). Beating IT Risks. John Wiley and Sons, Inc., England.
Laurell Stenlund, K. (2010). Using Gorunded Theory Methodology and Rich Picture Diagrams in
Analysing Value Creation in Houses of Culture Projects in Sweden. The Built and Human Environment Review.3(1):17-28, diakses pada hari Senin, 17 September 2012, pukul
10.00 dari http://www.tbher.org/index.php/tbher/article/download/32/33
McLeod, R. & Schell, G.P. (2007). Management Information Systems, edisi ke-10. Pearson Prentice Hall, New Jersey.
Miarso, Yusufhadi. (2007). Menyemai Benih Teknologi Pendidikan. Jakarta: Pustekom Diknas.
O’Brien, James A. & Marakas, George M. (2007). Management Information Systems, Edisi ke-7. McGraw-Hill, New York.
Pareek, Mukul. (2011). Technology Risk Measurement and Reporting. Jurnal Teknologi Informasi, Volume 6, diakses pada hari Senin, 17 September 2012, pukul 11.00 dari http://www.isaca.org/Journal/Past-Issues/2011/Volume-6/Pages/Technology-Risk-Measurement-and-Reporting.aspx
Peltier, Thomas R. (2001). Information Security Risk Analysis. Auerbach/CRC Press Release, Washington D.C.
Rainer Jr, R. Kelly , Casey G. Cegielski. (2011). Introduction to Information Technology, edisi ke-3. John Wiley & Sons, Inc., Hoboken.
Rama, Dasaratha V dan Jones Frederick L. (2006). Accounting Information System : A Business Process, Canada : South – Western College Publishing.
Rameshkumar, A.V. (2010). Looking at IT Risk Differently. Jurnal Teknologi Informasi, Volume 1, diakses pada hari Senin, 17 September 2012, pukul 11.00 dari
http://www.isaca.org/Journal/Past-Issues/2010/Volume-1/Pages/Looking-at-IT-Risk-Differently1.aspx
Sawyer, S.C., & Williams, B.K. (2009). Using Information technology, edisi ke-6. Mc Graw Hill, New York.
Information Technology Risk Management in Enterprise Environments, diakses pada hari Kamis, tanggal 13 September 2012, pukul 16:00 dari
https://www.isaca.org/bookstore/extras/Pages/Information-Technology-Risk-Management-in-Enterprise-Environments-review.aspx
Pengertian Risiko, diakses pada hari Minggu, tanggal 16 September 2012, pukul 15:00 dari http://www.elbirtus.info/2012/09/arti-risiko.html
