• Tidak ada hasil yang ditemukan

BAB I PENDAHULUAN. 1.1 Latar Belakang

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "BAB I PENDAHULUAN. 1.1 Latar Belakang"

Copied!
11
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 11 Halaman )

Teks penuh

(1)

BAB I

PENDAHULUAN

1.1 Latar Belakang

Pemerintah melalui E-government berupaya untuk merubah proses kerja yang bisa memotong fungsi antar organisasi (processes cut across organizational

function). Salah satu tujuan e-government adalah terbentuknya kepemerintahan

yang bersih, transparan, dan mampu menjawab tuntutan perubahan secara efektif [1], dengan kata lain e-government seharusnya dapat mentransformasi sistem proses kerja manual/tradisional menjadi menggunakan/ memanfaatkan TIK atau berbasis elektronik [2]. Pemanfaatan Teknologi Informasi dan Komunikasi (TIK) yang dilaksanakan secara optimal akan membantu mempercepat proses pencapaian tujuan tersebut. Begitu penting peranan TIK bahkan pertumbuhan ekonomi suatu bangsa dapat didorong dengan lebih cepat oleh TIK [3]. Secara global Indonesia menduduki peringkat ke-32 dari 61 negara dalam International

E-Government Ranking Survey pada tahun 2014 yang diadakan oleh Waseda [4],

sedangkan pada tahun 2015 posisi naik menjadi peringkat ke-29 dari 63 negara [5]. Komitmen dan konsistensi pemerintah dalam mengikuti tren TIK global untuk bisa diselaraskan dengan langkah-langkah efektif terkait adopsi TIK di wilayah Indonesia menjadi agenda yang penting dalam rangka menuju masyarakat informasi Indonesia dan sekaligus akan tercermin dalam pemeringkatan

e-government dalam tataran global.

Waseda dalam melakukan survei pemeringkatan e-government

menggunakan 9 indikator utama, salah satu yang paling fundamental adalah

Network Preparedness/Digital Infrastructure [4], [5]. Infrastruktur jaringan yang

memadai merupakan fondasi untuk membangun e-government yang efektif, dengan adanya jaringan yang menjadi tulang punggung instansi, kementerian, lembaga, badan, maupun entitas lain dalam pemerintah akan bisa terhubung dan saling berkomunikasi. Bentuk komunikasi tersebut dapat berupa Government to

(2)

Citizen (G2C). Pembangunan infrastruktur tersebut di Indonesia telah

dilaksanakan oleh pemerintah dengan program Palapa Ring yang merupakan jaringan cincin serat optik menggunakan kabel bawah laut sebagai tulang punggung untuk menghubungkan pulau-pulau besar dan utama [3]. Tren baru baik dalam TIK maupun pengembangan e-government yang menyebabkan indikator

Network Preparedness/Digital Infrastructure menjadi sangat penting dalam survei

pemeringkatan e-government yang diadakan Waseda adalah teknologi cloud

computing [4], [5].

Cloud computing merupakan paradigma baru yang menjanjikan revolusi

pada layanan TIK melalui: reduksi biaya, fleksibilitas layanan yang tinggi, dan metode akses yang dapat dilakukan dimana saja, kapan saja, dan menggunakan perangkat apa saja [6]–[10]. Hal ini selaras dengan yang disampaikan Gartner bahwa cloud computing merupakan salah satu dari lima megatren yang mendorong perubahan [11]. Perubahan paradigma ini dapat menjadi pendorong bagi pemerintahan untuk segera melakukan adopsi teknologi cloud computing [12]. Kombinasi e-government dengan cloud computing memunculkan model baru dari e-government yaitu government cloud (g-cloud) [13], perbandingan seperti ditunjukkan Gambar 1.1, keuntungan teknologi cloud ini sesuai dengan karakteristik dasar cloud computing. Menurut Liang [13] pada Gambar 1.1, salah satu keuntungan government cloud dibanding e-government yang sedang berjalan adalah terkait reduksi biaya yaitu Low Cost, High ROI. Hal tersebut dijelaskan oleh Kundra [14] bahwa dalam e-government selama ini masing-masing bagian memiliki data center yang dikelola dan dipergunakan sendiri. Menggunakan teknologi cloud akan dapat disentralisasi data center dengan pengelolaan yang terpusat dan fleksibilitas yang tetap terjamin, sehingga reduksi biaya akan sangat jauh apabila dibandingkan dengan apabila data center masih dikelola masing-masing bagian. Tetapi hal tersebut belum tentu berlaku di Indonesia, karena Uluwiyah [15] menyatakan bahwa menggunakan teknologi cloud dalam kasus penelitiannya tidak mengurangi biaya sesuai yang dijanjikan.

(3)

Gambar 1. 1 Perbandingan karakteristik e-government dengan government cloud Liang [13]

Lembaga Ilmu Pengetahuan Indonesia (LIPI) sebagai salah Lembaga Pemerintah Non Kementerian (LPNK) yang mempunyai tanggung jawab terhadap kegiatan penelitian dan ilmu pengetahuan di Indonesia dengan aktifitas penelitian yang dilaksanakan yang bersifat multi dimensi, multi disiplin ilmu, dan terdiri dari 50 satuan kerja yang tersebar di seluruh Indonesia [16], sangat membutuhkan operasional TIK yang terpadu dan dengan biaya yang cukup besar. Hal ini merupakan tantangan bagi pengelola TIK LIPI untuk memberikan layanan yang lebih handal dan fleksibel baik untuk seluruh sivitas LIPI maupun layanan terhadap publik.

Tahun 2013 menempati LIPI memperoleh peringkat kedua pada Pemeringkatan e-Government Indonesia (PeGI) tingkat LPNK yang diadakan oleh Kementerian Komunikasi dan Informatika (Kominfo), tetapi pada tahun 2014 turun menjadi peringkat lima, sedangkan pada tahun 2015 menempati rangking enam. Dimensi penilaian PeGI meliputi lima hal yaitu kebijakan, kelembagaan, infrastruktur, aplikasi, dan perencanaan. Pemeringkatan ini mempunyai beberapa tujuan antara lain: (a) menjadi acuan untuk pengembangan dan pemanfaatan TIK yang lebih terarah; (b) memberikan dorongan pada peningkatan TIK melalui evaluasi yang utuh, seimbang, dan obyektif; (c) melihat peta kondisi pemanfaatan TIK di lingkungan pemerintah secara nasional [17].

(4)

Pengelolaan TIK di LIPI semenjak tahun 2012 dilaksanakan secara penuh oleh Biro Umum (BU) LIPI khususnya Subbagian Pengelolaan dan Pemeliharaan Jaringan Teknologi Informasi. Sebelumnya dikelola oleh Pusat Pengkajian Ilmu Pengetahuan dan Teknologi (PAPIPTEK) LIPI. Operasional pengelolaan TIK secara adhoc dilaksanakan oleh Tim Gabungan Jaringan (TGJ) yang merupakan organisasi matrik terdiri dari pengelola pusat dan pengelola kampus yang tersebar. TGJ bertanggung jawab mengelola data center LIPI yang merupakan pusat layanan TIK di LIPI dan koneksi sampai ke switch utama di satker, sedangkan jaringan internal satker adalah tanggung jawab pengelola satuan kerja.

Pada bulan September 2014 terjadi kebakaran pada data center LIPI yang mengakibatkan kerusakan perangkat server dan jaringan di data center. Berkaca dari kejadian tersebut, muncul gagasan untuk membuat data center virtual berbasis cloud computing. Gagasan ini dipilih dengan berbagai alasan, diantaranya: terbebas dari perawatan data center yang cukup mahal karena hal ini dilakukan oleh penyedia jasa, mendapat jaminan catuan sumber daya listrik yang memadai karena penyedia jasa menjamin ketersediaan sumber daya listrik. Lee [18] menyampaikan bahwa telah banyak perusahan yang memindahkan data

center mereka menjadi virtualized data center berbasis cloud, dan organisasi tetap

bisa fokus pada subtansi kegiatannya [19].

Cloud computing merupakan salah satu solusi yang meyakinkan untuk

kebutuhan layanan TIK yang memiliki karakteristik on-demand self service,

broad network access, resource pooling, rapid elasticity, dan measured service [6]

khususnya terkait layanan data center untuk mendukung kegiatan di LIPI. Pada tahun 2015 LIPI telah melakukan migrasi data center fisik (tradisional) menjadi virtual private data center berbasis cloud computing yang terintegrasi dengan jaringan interkoneksi (WAN) yang menghubungkan seluruh satuan kerja LIPI yang tersebar/ terpisah secara letak geografis. Tetapi teknologi ini merupakan hal baru bagi LIPI, dalam setiap penerapan teknologi baru setiap organisasi dihadapkan berbagai peluang dan risiko yang dapat mempengaruhi kinerja organisasi tersebut baik positif maupun negatif [20], terlebih cloud computing

(5)

adalah salah satu skema dari outsourcing TIK sehingga manajemen risiko yang tepat harus segera dilaksanakan [21], [22], meskipun dalam implementasi layanan

cloud computing LIPI menggunakan model layanan Infrastructure as a Service

(IaaS) dan model implementasi private cloud yang memiliki tingkat risiko kecil tetapi tingkat keamanan yang cukup tinggi [23].

Manajemen risiko merupakan kegiatan yang kompleks dan melibatkan semua komponen dari organisasi [24]. Hubbard dalam [25] menyampaikan bahwa manajemen risiko merupakan kegiatan mengidentifikasi, melakukan penilaian, dan membuat prioritas terkait risiko, selanjutnya harus dilakukan minimalisasi, monitoring, dan kontrol terhadap kemungkinan maupun dampak dari kejadian yang tak terduga. Sampai saat ini layanan cloud computing yang telah diterapkan LIPI masih belum dilakukan reviu. Pengelolaan teknologi informasi masih berdasarkan insiden yang terjadi, contoh kasus kejadian pada data center LIPI yang terbakar pada tahun 2014. Sehingga perlunya pengelolaan yang mengacu pada standar / kerangka kerja tertentu sangat dibutuhkan.

Terkait risiko pada cloud computing, Cloud Security Alliance (CSA) meskipun terhitung sebagai organisasi yang baru, tetapi fokus dan konsisten pada keamanan cloud computing, pada tahun 2010 CSA mengeluarkan 7 ancaman

cloud computing [26], kemudian pada tahun 2012 dilakukan update survei terkait

relevansi ancaman-ancaman tersebut dengan melibatkan responden: pelanggan layanan cloud, penyedia layanan, konsultan, pelajar, analis, dll. Hasil survei menyatakan bahwa 7 ancaman tersebut di atas 80% masih relevan bahkan terdapat beberapa ancaman terbaru [27]. CSA kembali merilis ancaman-ancaman terkait

cloud computing pada tahun 2013, terdapat 9 ancaman sebagai berikut [28]: Data Breaches, Data Loss, Account Hijacking, Insecure APIs, Denial of Service, Malicious Insiders, Abuse of Cloud Services, Insufficient Due Diligence, dan Shared Technology Issues. Selain ancaman tersebut masih terdapat yang lainnya,

tetapi yang disampaikan oleh CSA merupakan konsensus dari para pakar dalam bidang keamanan pada cloud computing, tetapi 9 ancaman tersebut adalah yang paling signifikan.

(6)

Manajemen risiko yang baik akan mengurangi dampak yang merugikan dan meningkatkan peluang manfaat yang menguntungkan dalam pemanfaatan TIK, dengan memahami ancaman-ancaman keamanan terkait cloud computing strategi manajemen risiko akan lebih terarah [28]. Penelitian terkait urgensi manajemen risiko pada cloud computing telah disampaikan baik oleh kelompok peneliti maupun organisasi [23], [29]–[32], hasil dari penelitian-penelitian tersebut berupa framework yang dapat digunakan untuk menciptakan strategi yang komprehensif dalam merespon risiko pada lingkungan cloud.

Beberapa standar dan framework yang dikeluarkan oleh organisasi dan dapat digunakan pada lingkungan cloud serta telah digunakan secara luas antara lain [33]:

a. Control Objectives for Information and Related Technology (COBIT), merupakan standar tata kelola teknologi informasi (TI) yang telah banyak digunakan oleh organisasi-organisasi karena dapat diintegrasikan baik itu dengan Committee of Sponsoring Organizations of the Treadway Commission (COSO) maupun ISO 27000x.

b. IT Infrastructure Library (ITIL), sebagai pedoman yang kuat dalam aspek lingkungan layanan TI, ITIL lebih detail pada penggambaran “availability” dalam hal ini lingkungan cloud. ITIL juga dapat diselaraskan dengan COBIT. c. ISO 27000x, merupakan salah satu standar internasional terkait keamanan

informasi, standar ini menggunakan pendekatan berbasis-risiko dengan penekanan pada keamanan dan strategi untuk melakukan kontrol pada data. d. Cloud Controls Matrix (CCM) yang dikeluarkan oleh CSA sebagai tool untuk

memetakan standar maupun framework lain (COBIT, ISO, PCI, dll.), meskipun CSA relatif baru, tetapi CCM adalah tool wajib bagi profesional TI untuk melakukan penilaian terkait risiko pada lingkungan cloud.

National Institute of Standards and Technology (NIST) banyak

mempublikasikan standar terkait cloud computing. NIST mempunyai beberapa jenis publikasi antara lain: (a) Federal Information Processing Standards (FIPS)

(7)

merupakan standar yang dikeluarkan oleh NIST setelah mendapat persetujuan dari Sekretaris Perdagangan sesuai dengan Federal Information Security Management

Act (FISMA); (b) NIST Special Publication (SP) untuk publikasi terkait

keamanan dan penduan dalam bidang komputer/cyber/informasi yang terbagi menjadi tiga: (b1) SP800 Computer Security sejak Desember 1990 sampai dengan sekarang; (b2) SP 1800, NIST Cybersecurity Practice Guides sejak 2015 sampai dengan sekarang; dan (b3) SP 500, Computer Systems Technology sejak Januari 1977 sampai dengan sekarang. Selain standar yang telah disebutkan di atas, beberapa framework [30], [34]–[36] terkait manajemen risiko telah dilakukan komparasi oleh Alnuem dkk. [37] dan masih kurang memperhatikan masalah keamanan. Kundra [14] dalam strategi impementasi cloud serta Iorga dan Karmel [38] merekomendasikan penggunaan NIST Special Publication 800-37 Revision

1: Guide for Applying the Risk Management Framework to Federal Information Systems A Security Life Cycle Approach yang telah diterima luas sebagai

kerangkan kerja manajemen risiko teknologi informasi. NIST SP800-37r1 tersebut telah diadaptasi untuk bisa digunakan pada lingkungan cloud [39], [40]. Selain itu salah satu keuntungan menggunakan standar adalah dapat meminimalkan risiko yang ada [41]. Sehingga pada penelitian ini akan digunakan NIST SP 800-37 rev-1 sebagai kerangka kerja dalam penerapan menajemen risiko lingkungan cloud pada LIPI.

1.2 Perumusan masalah

Berdasarkan latar belakang masalah yang telah dikemukakan, maka peneliti dapat mengidentifikasi masalah antara lain:

1. Risiko pada cloud computing yang mungkin terjadi dapat menimbulkan dampak yang merugikan terhadap organisasi.

2. Dibutuhkannya manajemen risiko pada layanan cloud computing di Pemerintahan khususnya Lembaga Ilmu Pengetahuan Indonesia (LIPI).

(8)

1.3 Keaslian penelitian

Beberapa penelitian terdahulu yang telah membahas terkait manajemen risiko pada layanan cloud computing seperti terlihat pada Tabel 1.1. Penelitian terkait keamanan pada cloud computing masih sangat relevan hingga saat ini, khusus manajemen risiko yang telah dilakukan sebelumnya Alnuem dkk [37] telah membandingkan tujuh framework tetapi masih kurang memperhatikan masalah keamanan yang dipersyaratkan ISO 27001. Selain itu penelitian lain menggabungkan beberapa standar untuk melaksanakan manajemen risiko pada

cloud computing.

Susanto dkk. [42] telah membandingkan lima besar standar dalam keamanan informasi yaitu ISO27001, BS 7799, PCIDSS, ITIL, dan COBIT. Hasil penelitian ini merekomendasikan ISO27001 sebagai standar yang paling banyak digunakan terkait keamanan informasi. Perbandingan antara ISO27001 dengan framework NIST telah dilakukan oleh Kuligowski [43], yang menghasilkan pemetaan antara keduanya, tetapi menurutnya NIST lebih berfokus pada sistem informasi.

Sesuai dengan rekomendasi dari Kundra [14], serta Iorga dan Karmel [38] penelitian ini akan menggunakan framework NIST untuk manajemen risiko pada

cloud computing dengan beberapa pertimbangan antara lain: (a) framework NIST

telah diadaptasi pada lingkungan cloud; (b) dukungan panduan dan katalog yang komprehensif; (c) framework ini disusun oleh NIST di bawah Departement of

Commerce USA yang telah terbukti kematngan pengelolaan teknologi informasi

dan menempati rangking teratas sesuai survei Waseda.

Tabel 1. 1 Penelitian yang Pernah Dilakukan No Peneliti /

Organisasi Tahun Uraian

1 Alnuem dkk [37] 2015 Membandingkan beberapa framework dengan beberapa kriteria: area cakupan cloud, fokus, keterkaitan dengan ISO27001. Perbandingan masing-masing framework dengan kebutuhan yang ada pada ISO27001 menghasilkan prosedur / standar yang dapat digunakan calon

(9)

pengguna cloud yang akan melakukan migrasi berbasis cloud 2 Information Systems Audit and Control Association (ISACA) [44]

2011 Gabungan beberapa standar yang dikeluarkan oleh ISACA sendiri yaitu COBIT 4.1, Val IT, Risk IT, dan BMIS. Publikasi ini terdiri dari

control objectives yang dapat digunakan pada

layanan cloud computing. Tetapi tidak terdapat panduan yang komprehensif dalam publikasi ini.

3 Khrisna dan Harlili [45]

2014 Mengintegrasi framework manajemen risiko

cloud computing dengan COBIT 5 untuk

menghasilkan manajemen risiko cloud

computing yang lebih lengkap dan dapat

membantu organisasi dalam mengoptimalkan penggunaan cloud computing

4 Samani dkk. [20] 2015 CSA mempublikasikan beberapa standar terkait cloud computing, CSA STAR merupakan sertifikasi terhadap penyedia layanan cloud, CAIQ merupakan instrumen penilaian mandiri untuk penyedia layanan

cloud dan CCM merupakan gabungan

beberapa standar untuk implementasi

keamanan cloud. Keterbatasan masing-masing publikasi oleh CSA adalah tidak adanya panduan yang komprehensif sehingga calon pengguna layanan cloud akan kesulitan dalam menggunakan publikasi CSA

5 Cayirci [46] 2015 Berfokus pada metode penilaian risiko pada

cloud computing. Beberapa diantaranya adalah

publikasi CSA, European Network and

Information Security Agency (ENISA), Accountability for Cloud and Other Future Internet Services (A4Cloud), Cloud Adopted Risk Assessment Model (CARAM), dan Joint Risk and Trust Model (JRTM)

6 Yaumi dan Kridanto [21]

2012 Penggunaan COSO Enterprise Risk

Management (ERM) sebagai kerangka kerja

proses pengelolaan risiko dan sebagai masukan menggunakan Failure Mode and Effects

Analysis (FMEA). Visi dan misi organisasi

(10)

Output terbagi menjadi beberapa kategori risiko terkait kebijakan, teknis, hukum, dan tidak spesifik kepada cloud

7 Andriyani dkk. [47]

2013 Menggunakan kerangka kerja The

Operationally Critical Threat, Asset, and Vulnerability Evaluation for Small

Organizations (OCTAVE-S) yang merupakan

turunan dari OCTAVE

8 Hidayat [48] 2013 Penilaian risiko pada penelitian ini langsung menggunakan NIST SP800-30 dengan input CSA Top Threat to Cloud Computing. Proses manajemen risiko tahap satu sampai dengan tahap tiga dari NIST RMF tidak dilaksanakan karena hanya berfokus pada penilaian risiko pada cloud

9 Nurochman [49] 2014 Penelitian ini melaksanakan kegiatan mengidentifikasi risiko, penilaian risiko, pengontrolan risiko, mitigasi risiko, dan evaluai manajemen risiko. Beberapa kerangka kerja manajemen risiko antara lain: COBIT, OCTAVE, Risk IT, dan NIST SP 800-30 10 Iorga dan Karmel

[38]

2015 Publikasi Iorga dan Karmel dari NIST yang secara konsisten mengembangkan kerangka kerja untuk mengelola risiko pada lingkungan

cloud. Penelitian ini merekomendasikan NIST

SP800-37 yang telah diadaptasi sesuai lingkungan cloud

11 Kuligowski [43] 2009 Penelitian ini mendokumentasikan keterkaitan antara FISMA / NIST SP800 Family terkait standar keamanan dan panduannya, dengan ISO27001 ISMS, disertai dengan pemetaan antara keduanya

1.4 Tujuan Penelitian

Berdasarkan perumusan masalah di atas, maka tujuan dilakukannya penelitian ini adalah sebagai berikut:

(11)

1. Memberikan rekomendasi framework manajemen risiko terhadap layanan

cloud computing di LIPI.

2. Memberikan rekomendasi berupa perencanaan keamanan berdasarkan

framework manajemen risiko.

1.5 Manfaat Penelitian

Hasil penelitian ini diharapkan dapat memberikan manfaat bagi:

1. Praktisi: penelitian ini dapat dimanfaatkan oleh semua instansi pemerintah khususnya di LIPI dalam melakukan menejemen risiko pada layanan cloud

computing.

2. Akademisi: penelitian ini dapat memberikan manfaat bagi pengembangan ilmu khususnya yang berkaitan dengan penerapan manajemen risiko pada layanan cloud computing.

Gambar

Gambar 1. 1 Perbandingan karakteristik e-government dengan government cloud Liang [13]

Referensi

Unduh sekarang ( PDF - 11 Halaman - 327.78 KB )

Dokumen terkait

TEKNOLOGI RG MEMBANTU TANAMAN UNTUK PENUHI TUNTUTAN KETERSEDIAAN MAKANAN UJAR PARA AHLI TANAMAN

Petisi, yang pertama diselenggarakan oleh ilmuwan individu yang mendukung teknologi RG telah menghasilkan lebih dari 1.600 tanda tangan dari ahli ilmu tanaman mendukung pernyataan

ANALISIS PENGARUH KUALITAS LAYANAN TERHADAP LOYALITAS PELANGGAN PADA HOTEL CENTRUM PANGKALPINANG

Secara parsial, variabel kualitas layanan yang terdiri dari: dimensi variabel bukti fisik (tangibles) dan empati (emphaty) berpengaruh secara signifikan dan

PROGRAM STUDI TEKNIK ELEKTRO FAKULTAS TEKNIK UNIVERSITAS MUHAMMADIYAH PROF. DR. HAMKA JAKARTA

Berbagai dikotomi antara ilmu – ilmu agama Islam dan ilmu – ilmu umum pada kenyataannya tidak mampu diselesaikan dengan pendekatan modernisasi sebagimana dilakukan Abduh dan

PENGEMBANGAN INSTRUMEN INDEKS KERENTANAN DAN KAPASITAS UNTUK MENGURANGI RISIKO BENCANA TSUNAMI PADA MURID SEKOLAH

Sekolah harus melakukan evaluasi secara berkala dengan menggunakan suatu instrumen khusus yang dapat menilai tingkat kerentanan dan kapasitas murid sekolah untuk

HANZ JAYA ENTERPRISE HSD PT 3630 MUKIM SEMENYIH, JLN KAJANG SEMENYIH SEMENYIH SELANGOR CENTRAL

BILLY TANG ENTERPRISE PT 15944, BATU 7, JALAN BESAR KEPONG 52100 KUALA LUMPUR WILAYAH PERSEKUTUAN CENTRAL EZ JET STATION LOT PT 6559, SECTOR C7/R13, BANDAR BARU WANGSA MAJU 51750

KARAKTERISTIK PUPUH KINANTI KAWALI

Penelitian ini difokuskan pada karakteristik berupa lirik, laras/ tangganada, lagu serta dongkari/ ornamentasi yang digunakan dalam pupuh Kinanti Kawali dengan pendekatan

UNIVERSITAS INDONESIA

Dari hasil perhitungan back testing pada tabel tersebut tampak bahwa nilai LR lebih kecil dari critical value sehingga dapat disimpulkan bahwa model perhitungan OpVaR

PR ONLINE MATA UJIAN : GEOGRAFI XII IPS (KODE: S04)

Sumber daya alam yang tidak dapat diperbaharui yang berasal dari fosil yaitu minyak bumi dan batubara. Jawaban

Image