Sesuai dengan pembahasan judul tesis ini, maka dibutuhkan teori yang di dalamnya mencakup materi-materi yang mendukung dan memperjelas bahasan tesis ini.
2.1 Manajemen
Dalam perancangan dan implementasi proses keamanan informasi yang efektif, pemahaman tentang beberapa prinsip dalam manajemen menjadi hal yang sangat penting. Secara sederhana, manajemen adalah proses untuk mencapai tujuan dengan menggunakan sumber daya yang ada.
Dalam buku Principles of Management, G. R. Terry (1972) mengartikan manajemen sebagai: “The accomplishing of predetermined objectives through the
efferts of the peoples” (manajemen adalah pencapaian tujuan-tujuan yang telah
ditetapkan melalui/bersama-sama usaha orang lain). Sedangkan Menurut John. D. Millet (1989: 3), dalam buku Management in the public service, pengertian manajemen: “The process of directing and facilitating the work of people organized
in formal group to achieve a desired end” (manajemen adalah proses pembimbingan
dan pemberian fasilitas terhadap pekerjaan orang-orang yang terorganisir dalam kelompok formil untuk mencapai suatu tujuan yang dikehendaki). Kemudian ada lagi pengertian manajemen menurut Harold Koontz dan Cyril O’Donnell (1976 : 4) adalah
“ Management is an essentially the same process in forms of enterprise and at all levels of organization, althought the goals environment of management may differ considerably” (Manajemen pada dasarnya adalah proses yang sama dalam bentuk
perusahaan dan pada semua tingkat organisasi, meskipun tujuan pengelolaan lingkungan mungkin sangat berbeda).
Dari gambaran di atas menunjukan bahwa manajemen adalah suatu keadaan terdiri dari proses yang mengarah kepada pencapaian tujuan, pengorganisasian, kepemimpinan untuk mencapai tujuan.
2.2 Definisi
Risiko
Ada definisi dan konsep tentang risiko sendiri, berikut adalah beberapa definisi tentang risiko sumber-sumber yang berbeda:
- Risiko adalah potensi kerusakan nilai organisasi, sering dari pengelolaan yang tidak memadai proses dan peristiwa. (Trends through December 2006 Volume 1, Published February, 2007- IT Risk Management Report by Symantec )
- Risiko adalah fungsi dari kemungkinan ancaman yang diberikan berolah dari sumber potensial tertentu kerentanan, dan dampak yang dihasilkan dari peristiwa buruk di organisasi.(Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology Gary Stoneburner, Alice Goguen1, and Alexis Feringa1- July 2002)
- Risiko adalah ketidakpastian yang mengakibatkan variasi merugikan probabilitas atau kerugian. (Bessis, 2002:p-11)
- Risiko adalah kondisi di mana terdapat eksposur terhadap kesulitan. (Gallati, 2003: p-7)
Bank wajib memiliki pendekatan manajemen risiko yang terpadu (terintegrasi) untuk dapat melakukan identifikasi, pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko terkait teknologi wajib dikaji ulang bersamaan dengan risiko-risiko lainnya yang dimiliki Bank untuk menentukan risk
profile bank secara keseluruhan. Adapun risiko terkait penyelenggaraan TI yang
utama adalah (Lampiran SE BI No. 9/30/DPNP, p-12):
a. Risiko Operasional
Risiko operasional melekat di setiap produk dan layanan yang disediakan Bank. Penggunaan TI dapat menimbulkan terjadinya risiko operasional yang disebabkan oleh antara lain ketidakcukupan/ketidaksesuaian desain, implementasi, pemeliharaan sistem atau komputer dan perlengkapannya, metode pengamanan, testing dan standar internal audit serta penggunaan jasa pihak lain dalam penyelenggaraan TI.
Risiko kepatuhan dapat timbul bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku bagi Bank seperti kerahasiaan data nasabah. Risiko kepatuhan dapat berdampak buruk terhadap reputasi serta citra Bank, juga berdampak pada kesempatan berusaha dan kemungkinan ekspansi.
c. Risiko Hukum
Bank menghadapi risiko hukum yang disebabkan adanya tuntutan hukum, ketiadaan peraturan perundangan yang mendukung atau kelemahan perikatan seperti tidak dipenuhinya syarat sah suatu kontrak.
d. Risiko Reputasi
Opini publik yang negatif dapat timbul antara lain karena kegagalan sistem yang mendukung produk, kasus yang ada pada produk Bank dan ketidakmampuan Bank memberikan dukungan layanan nasabah pada saat terjadi kegagalan sistem (downtime). Opini negatif ini dapat menurunkan kemampuan Bank memelihara loyalitas nasabah dan keberhasilan produk dan layanan Bank.
e. Risiko Strategis
Risiko ini timbul karena ketidakcocokan TI yang digunakan Bank dengan tujuan strategis Bank dan rencana strategis yang dibuat untuk mencapai tujuan tersebut. Hal ini karena kualitas implementasi maupun sumber daya yang digunakan TI kurang memadai. Sumber daya tersebut mencakup saluran komunikasi, operating
systems, delivery network, serta kapasitas dan kapabilitas pengelola TI.
2.3 Definisi Manajemen Risiko
Situasi lingkungan eksternal dan internal perbankan mengalami perkembangan pesat yang akan diikuti oleh semakin kompleksnya risiko bagi kegiatan usaha perbankan tersebut. Penggunaan Teknologi Informasi dalam kegiatan operasional Bank juga dapat meningkatkan risiko yang dihadapi Bank. Semakin kompleksnya risiko tersebut akan meningkatkan kebutuhan praktek tata kelola yang sehat (good governance) dan fungsi identifikasi, pengukuran, pemantauan dan
pengendalian risiko bank. Ada beberapa pengertian tentang manajemen risiko, antara lain:
- Desain proses yang berkelanjutan untuk terhadap kemungkinan terjadi peristiwa yang merugikan, menerapkan langkah-langkah untuk mengurangi resiko bahwa peristiwa semacam itu akan terjadi dan memastikan organisasi dapat merespon sedemikian rupa untuk meminimalkan konsekuensi dari peristiwa. (ANAO 2000) - Serangkaian prosedur dan metodologi yang digunakan untuk mengidentifikasi,
mengukur, memantau, dan mengendalikan Risiko yang timbul dari kegiatan usaha Bank.(PBI No. 5/8/PBI/2003, p-3)
2.4 Definisi
Risiko
TI
Sebelum mengetahui bagaimana resiko dalam TI, kita harus mengetahui apa arti resiko itu terlebih dulu. Resiko itu suatu umpan balik negatif yang timbul dari suatu kegiatan dengan tingkat probabilitas berbeda untuk setiap kegiatan. Pada dasarnya resiko dari suatu kegiatan tidak dapat dihilangkan akan tetapi dapat diperkecil dampaknya terhadap hasil suatu kegiatan.
Penggunaan Teknologi Informasi dalam kegiatan operasional Bank juga dapat meningkatkan risiko yang dihadapi Bank. dengan meningkatnya risiko yang dihadapi, Bank perlu menerapkan manajemen risiko secara efektif. dalam rangka implementasi
Basel II diperlukan infrastruktur Teknologi Informasi yang memadai.(PBI No.
9/15/PBI/2007)
Basel II adalah rekomendasi hukum dan ketentuan perbankan kedua, sebagai penyempurnaan Basel I, yang diterbitkan oleh Komite Basel. Rekomendasi ini ditujukan untuk menciptakan suatu standar internasional yang dapat digunakan regulator perbankan untuk membuat ketentuan berapa banyak modal yang harus disisihkan bank sebagai perlindungan terhadap risiko keuangan dan operasional yang mungkin dihadapi bank. (International Convergence of Capital Measurement and Capital Standards, http://www.bis.org)
Risiko IT itu sendiri dapat didefinisikan:
- Komponen yang berkembang dari total Risiko Operasional. Sebagai bisnis semakin tergantung pada TI untuk mengotomatisasi proses dan menyimpan informasi, Manajemen Risiko TI muncul sebagai praktik terpisah. Organisasi di semua sektor dan industri telah mulai mengkonsolidasikan fungsi untuk mengembangkan yang lebih komprehensif, pendekatan terfokus Risiko TI. IT Risk meliputi keamanan, ketersediaan, kinerja dan kepatuhan elemen, dengan masing-masing poros penggerak dan kapasitas membahayakannya (Trends through December 2006 Volume 1, Published February, 2007- IT Risk Management Report by Symantec)
2.5 Mengelola
Risiko
Keamanan Informasi
Sangat mudah untuk mengabaikan fakta bahwa keamanan informasi mempengaruhi seluruh organisasi. Tetapi pada akhirnya, itu adalah solusi masalah bisnis yang melibatkan lebih dari penggelaran teknologi informasi seperti firewall dan virus patch. Berapa banyak orang yang dapat menyatakan dengan pasti bahwa mereka tidak sengaja atau tidak sengaja mengungkapkan password dalam setahun terakhir ini? Berapa banyak memiliki sebuah file di data pribadi mereka asisten (PDA) yang berisi daftar password atau informasi rahasia? Berapa banyak yang "kuning perekat" di bawah keyboard? Berapa banyak beban karyawan permainan pada workstation mereka atau membuka lampiran email tidak dikenal? Berapa banyak perusahaan menghabiskan waktu dan uang untuk mengikuti patch dan teknologi terbaru alat-alat keamanan? Tanpa organisasi yang baik di tempat praktek dan ditegakkan, di samping pengamanan teknologi, organisasi dan aset beresiko.
2.5.1 Keamanan Informasi
Menurut Christopher Alberts & Audrey Dorofee (July 09, 2002) keamanan informasi lebih daripada menyiapkan firewall, menerapkan patch untuk memperbaiki kelemahan baru ditemukan pada perangkat lunak sistem anda, atau mengunci kabinet dengan backup tape. Keamanan informasi adalah menentukan apa yang perlu
dilindungi dan mengapa, apa yang perlu dilindungi dari, dan bagaimana untuk melindunginya selama itu ada.
Ada banyak jawaban untuk pertanyaan yang menantang ini, hanya karena terdapat banyak pendekatan untuk mengelola organisasi keamanan. Ada empat pendekatan umum:
• Vulnerability Assessment
Sebuah penilaian kerentanan yang sistematis, pada waktu yang tepat, yaitu pemeriksaan organisasi berbasis teknologi, kebijakan, dan prosedur. Ini mencakup analisis lengkap tentang keamanan lingkungan komputasi internal dan kerentanan terhadap serangan internal dan eksternal.
• Audit Sistem Informasi
Audit sistem informasi penilaian independen dari kontrol internal perusahaan untuk memastikan manajemen, peraturan pemerintah, dan pemegang saham perusahaan informasi yang akurat dan valid. Audit biasanya industri memanfaatkan model proses tertentu, benchmark, standar perawatan akibat, atau mendirikan praktik terbaik. Mereka melihat kedua keuangan dan kinerja operasional. Audit juga mungkin didasarkan pada proses bisnis milik pengendalian risiko dan metode dan alat analisis. Umumnya dilakukan audit oleh auditor berlisensi atau bersertifikat dan memiliki implikasi hukum dan kewajiban. Selama audit, catatan bisnis perusahaan diperiksa untuk keakuratan dan integritas.
• Evaluasi Risiko Keamanan Informasi
Memperluas evaluasi resiko keamanan atas penilaian kerentanan untuk melihat resiko yang berkaitan dengan keamanan dalam sebuah perusahaan, termasuk sumber-sumber internal dan eksternal risiko serta berbasis elektronik dan orang-orang yang berbasis risiko. Evaluasi multifaset ini berusaha untuk menyelaraskan evaluasi risiko dengan driver atau tujuan bisnis dan biasanya fokus pada empat aspek keamanan:
1. Mereka meneliti praktek-praktek perusahaan yang berkaitan dengan keamanan untuk mengidentifikasi kekuatan dan kelemahan yang dapat
membuat atau mengurangi risiko keamanan. Prosedur ini mungkin termasuk analisis komparatif yang peringkat informasi ini terhadap standar industri dan praktik terbaik.
2. Mereka termasuk pemeriksaan sistem teknologi, review kebijakan, dan pemeriksaan keamanan fisik.
3. Mereka memeriksa infrastruktur TI untuk menentukan kemampuan teknologi vulner. Kerentanan seperti itu termasuk kerentanan terhadap salah satu situasi berikut:
a. Pengenalan kode berbahaya b. Korupsi atau kerusakan data c. Exfiltration informasi d. Denial of service
e. Perubahan yang tidak sah hak akses dan keistimewaan
4. Mereka membantu para pengambil keputusan trade-off memeriksa untuk memilih biaya penanggulangan yang efektif.
• Mengelola Media Pelayanan
Dikelola penyedia layanan keamanan bergantung pada keahlian manusia untuk mengelola perusahaan sistem dan jaringan. Mereka menggunakan mereka sendiri atau vendor lain dan perangkat lunak keamanan untuk melindungi infrastruktur. Biasanya, layanan keamanan yang dikelola akan secara proaktif memonitor dan melindungi suatu infrastruktur komputasi organisasi dari serangan dan penyalahgunaan. Kerentanan penilaian, audit sistem informasi, dan evaluasi risiko keamanan informasi membantu Anda menandai isu keamanannya, tapi tidak mengelolanya. Sebuah perusahaan kecil mungkin tidak mempunyai pilihan lain selain menggunakan penyedia layanan yang dikelola. Sebuah perusahaan dengan keterbatasan sumber daya TI mungkin tidak dapat melakukan lebih dari mengelola kerentanan, dan, tergantung pada apa yang telah untuk melindungi, mungkin tidak perlu melakukan banyak lagi.
Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk bisa menerapkannya. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A
triangle model, adalah sebagai berikut:
1. Confidentiality
Confidentiality: harus bisa menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu.
2. Integrity
Integrity: harus menjamin kelengkapan informasi dan menjaga dai korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah dari aslinya. 3. Availability
Availability: adalah aspek keamanan informasi yang menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi.
2.5.2 Manajemen Keamanan Informasi
Manajemen keamanan informasi adalah satu dari tiga bagian dalam komponen keamanan informasi menurut NSTISSC. Sebagai bagian dari keseluruhan manajemen, tujuan manajemen keamanan informasi berbeda dengan manajemen teknologi informasi dan manajemen umum, karena memfokuskan diri pada keamanan operasi organisasi. Karena manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:
1. Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu: (1)strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih, (2)tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan, (3)operational planning memfokuskan diri pada kinerja harian organisasi. Sebagai tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
• Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility sumberdaya informasi. Insident Response Planning meliputi incident detection, incident response, dan incident recovery.
• Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan.
• Business Continuity Planning
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan tugas utama business continuity
planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya.
2. Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu: Enterprise information security policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi. Issue-spesific security policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet. System-spesific Policy (SSPs) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.
3. Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program security education training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
4. Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen risiko, meliputi perkiraan risiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.
5. People
Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.
6. Project Management
Komponen terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen kemanan informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya yang dikerahkan untuk keamanan informasi, misalnya pengukuran pencapaian keamanan informasi dan peningkatannya dalam mencapai tujuan keamanan informasi.
2.5.3 Perlunya Manajemen Keamanan Informasi
Manajemen keamanan informasi diperlukan karena ancaman terhadap C.I.A (triangle model) aset informasi semakin lama semakin meningkat. Menurut survey UK Department of Trade and Industry pada tahun 2000, 49% organisasi meyakini bahwa informasi adalah aset yang penting karena kebocoran informasi dapat dimanfaatkan oleh pesaing, dan 49% organisasi meyakini bahwa keamanan informasi sangat penting untuk memperoleh kepercayaan konsumen. Organisasi menghadapi berbagai ancaman terhadap informasi yang dimilikinya, sehingga diperlukan langkah-langkah yang tepat untuk mengamankan aset informasi yang dimiliki.
Strategi keamanan informasi memiliki fokus pada masing-masing ke-khusus-annya, dari tinjauan keamanan informasi adalah:
• Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
• Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi.
• Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan. • Communications Security yang bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
• Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
2.5.4 Evaluasi dan Manajemen Risiko Informasi
Sebuah evaluasi risiko keamanan informasi adalah suatu proses yang dapat membantu Anda memenuhi tujuan ini. Ini menimbulkan pandangan organizationwide risiko keamanan informasi. Ini memberikan dasar yang dapat digunakan untuk fokus mitigasi dan kegiatan perbaikan. Secara periodik, sebuah organisasi perlu "reset" yang awal dengan melakukan evaluasi lain. Waktu antara evaluasi dapat ditentukan (misalnya, tahunan) atau dipicu oleh peristiwa besar (misalnya, reorganisasi perusahaan, desain ulang organisasi infrastruktur komputasi). Namun, sebuah evaluasi risiko keamanan informasi hanya satu bagian dari sebuah organisasi keamanan informasi terus-menerus aktivitas pengelolaan risiko.
Ketika sebuah perusahaan menyelenggarakan evaluasi risiko keamanan informasi, perusahaan tersebut melakukan kegiatan:
- Identifikasi risiko keamanan informasi (Identify)
- Menganalisis risiko untuk menentukan prioritas (Analyze)
- Rencana untuk perbaikan dengan mengembangkan strategi perlindungan bagi perbaikan organisasi dan rencana mitigasi risiko untuk mengurangi risiko kritis aset organisasi.(Plan)
Setelah evaluasi terhadap risiko, perusahaan harus mengambil langkah-langkah berikut:
1. Rencana bagaimana menerapkan strategi perlindungan dan rencana mitigasi risiko
dari evaluasi dengan mengembangkan rencana aksi yang rinci. Kegiatan ini dapat mencakup rinci analisis biaya-manfaat antara strategi dan tindakan. (Plan)
2. Mengimplementasikan rencana aksi yang rinci yang dipilih. (Implement) 3. Rencana untuk memantau kemajuan dan keefektifan. Kegiatan ini mencakup
pemantauan risiko untuk setiap perubahan.( Monitor)
4. Kontrol variasi di dalam rencana pelaksanaan dengan mengambil tindakan koreksi yang tepat.(Control)
Evaluasi risiko hanya langkah pertama dari manajemen risiko. Gambar 2.5.4 menggambarkan informasi kerangka kerja manajemen risiko keamanan dan "potongan" yang menyediakan evaluasi. Kerangka menyoroti operasi organisasi yang dapat digunakan untuk mengidentifikasi dan mengatasi risiko keamanan informasi mereka. Satu hal penting yang perlu diperhatikan adalah bahwa sebagian besar pengelolaan risiko keamanan informasi mengandalkan pendekatan evaluasi untuk fokus selanjutnya mitigasi dan kegiatan perbaikan.
Gambar 2.5.4
Menggambarkan informasi kerangka kerja manajemen risiko keamanan dan "potongan" yang menyediakan evaluasi
2.5.5 Mitigasi risiko
Mitigasi adalah suatu metodologi sistematis yang digunakan oleh manajemen untuk mengurangi risiko. mitigasi risiko dapat dicapai melalui salah satu dari pilihan berikut :
• Risk Assumption
Menerima risiko potensial dan terus mengoperasikan sistem TI atau untuk menerapkan kontrol untuk menurunkan risiko ke tingkat yang dapat diterima
• Risk Avoidance
Menghindari risiko dengan menghilangkan penyebab risiko dan / atau konsekuensi (misalnya, mematikan sistem ketika risiko diidentifikasi) • Risk Limitation
Membatasi risiko dengan menerapkan kontrol yang meminimalkan dampak merugikan dari ancaman yang berlangsung
• Risk Planning
Mengelola risiko dengan membangun suatu rencana mitigasi risiko yang memprioritaskan, menerapkan, dan memelihara control
• Research and Acknowledgment
Untuk mengurangi risiko kerugian dengan menyadari kelemahan atau cacat dan meneliti sebuah kontrol untuk memperbaiki kerentanan
• Risk Transference
Melakukan transfer risiko dengan menggunakan pilihan lain / pihak ketiga untuk mengganti kerugian, seperti pembelian asuransi.
2.5.6 Pengukuran Risiko Teknologi Informasi
Menurut NIST ( National Institute of Standard and Technology ) mengeluarkan rekomendasi melalui publikasi khusus 800 – 30 tentang Risk
Management Guide for Information Technology System. Penentuan
Kemungkinan / Kecenderungan adalah keseluruhan penilaian terhadap kemungkinan atau kecenderungan yang menunjukan adanya peluang kelemahan yang dapat dilakukan oleh lingkungan ancaman. Berikut ini faktor-faktor yang harus dipertimbangkan : (1) Motivasi dan Sumber Ancaman; (2) Sifat dan Kerentanan; (3) Keberadaan dan Efektifitas Pengendalian Saat Ini. Kemungkinan / kecenderungan dari kelemahan potensial yang dapat terjadi, dideskripsikan dalam tingkatan tinggi, sedang, atau rendah:
Level Kemungkinan
Definisi kemungkinan/kecenderungan
Tinggi Sumber ancaman yang memiliki motivasi tinggi, memiliki kemampuan yang cukup, dan pengendalian untuk mencegah kerentanan yang mungkin terjadi tidak efektif.
Sedang Sumber ancaman termotivasi dan mampu, tetapi pengendalian yang ada, dapat menghambat kerentanan dengan sukses.
Rendah Sumber ancaman kurang termotivasi dan mampu, atau pengendalian yang ada untuk mencegah atau setidaknya secara signifikan menghambat kerentanan yang mungkin terjadi.
Tabel 2.5.6.1: Definisi kemungkinan/kecenderungan
Sedangakan untuk analisis dampak ditentukan hasil dari dampak paling buruk yang mungkin terjadi dari sebuah ancaman yang timbul, sebelum memulai analisis dampak, diperlukan informasi sebagai (1) Sistem Misi (misalnya, proses yang dilakukan oleh sistem TI); (2) Sistem dan Data Kritikal (misalnya, sistem nilai atau pentingnya untuk sebuah organisasi); (3) Sistem dan Sensitivitas Data.
Besarnya dampak Definisi dampak
Tinggi Penerapan kerentanan: (1) dapat menghasilkan kehilangan biaya yang sangat tinggi dari aset nyata utama atau sumber daya, (2) dapat menyebabkan pelanggaran, kerugian atau rintangan dalam misi organisasi, reputasi atau pendapatan yang signifikan, (3) dapat menyebabkan kematian atau cedera serius.
Sedang Penerapan kerentanan: (1) dapat menghasilkan kehilangan biaya yang tinggi dari aset nyata utama atau sumberdaya, (2) dapat menyebabkan pelanggaran, kerugian atau rintangan dalam misi organisasi, reputasi atau pendapatan, (3) dapat menyebabkan cedera serius.
Rendah Penerapan kerentanan: (1) dapat menghasilkan kehilangan sebagian aset nyata atau sumberdaya, (2) dapat mempengaruhi misi, reputasi dan pendapatan organisasi.
Tabel 2.5.6.2: Besarnya Definisi Dampak 2.5.7 Mengembangkan Rencana Pengelolaan Risiko
Mengembangkan Rencana Pengelolaan Risiko yang efektif merupakan bagian penting dari proyek apapun. Biasanya, isu-isu saja terjadi, dan tanpa rencana berkembang dengan baik, bahkan isu kecil dapat menjadi darurat. Ada berbagai jenis
Manajemen Risiko dan kegunaan yang berbeda yang meliputi perhitungan kelayakan kredit, perencanaan untuk kejadian buruk (bencana misalnya), menentukan berapa lama garansi pada produk harus terakhir, menghitung harga asuransi, dan banyak lagi. Untuk menetapkan probabilitas setiap elemen risiko pada daftar harus ditentukan apakah kemungkinan tersebut Tinggi, Sedang atau Rendah. Jika harus menggunakan nomor, kemudian Probabilitas angka pada skala 0,00-1,00. 0,01-0,33 = Rendah, 0,34-0,66 = sedang, 0,67-1,00 = Tinggi. Sedangkan untuk menetapkan dampak secara umum, menetapkan Dampak sebagai High, Medium atau Rendah didasarkan pada beberapa panduan pra-ditetapkan. Jika menggunakan nomor, kemudian Dampak angka pada skala 0,00-1,00 sebagai berikut: 0,01-0,33 = rendah, 0,34-066 = sedang, 0,67-1,00 = Tinggi. (MSF Risk Management Discipline v.1.1, 2002)
2.5.8 Penilaian Risiko Pengamanan Informasi
Bank perlu memiliki dokumentasi risiko agar risiko yang diidentifikasi dan dinilai atau diukur dapat dipantau oleh manajemen yang biasa disebut dengan Risk
Register. Untuk menghasilkan risk register ini perlu langkah langkah tertentu yang
harus dilakukan. Saat ini terdapat berbagai macam pendekatan, langkah dan metode dapat digunakan dalam penilaian risiko penggunaan Teknologi Informasi (TI) misalnya dengan pedekatan aset atau pendekatan proses. Bank dapat menentukan sendiri pendekatan, langkah dan metode yang akan dilakukan (SE BI Nomor: 9/30/DPNP, Des 2007, lamp. 1.1). Berikut ini adalah langkah-langkah dalam penilaian risiko pengamanan informasi yang menggunakan pendekatan asset:
1. Kolom No.1 yaitu aset, diisi dengan nama atau jenis aset yang dihasilkan dalam menjalankan proses bisnis bank dan aset yang mendukung terlaksananya proses bisnis tersebut.
2. Kolom 2 di Risk Register diisi dengan hasil identifikasi dan evaluasi pengguna dan penyelenggara TI terhadap potensial kegagalan atau kelemahan proses pengamanan yang ada/diterapkan Bank atas aset yang telah didefinisikan.
3. Kolom 3 Risk Register diisi dengan faktor yang rawan dapat menyebabkan terjadinya kegagalan atau kelemahan pengamanan TI (risiko) yang telah diidentifikasi pada kolom 2.
4. Kolom 4 Risk Register diisi dengan Kecenderungan Inheren yang merupakan kemungkinan terjadinya risiko sebelum adanya pengendalian. Kolom 8 diisi dengan Kecenderungan Residual yang merupakan kemungkinan terjadinya risiko setelah adanya pengendalian. Di bawah ini tabel yang digunakan dalam mengukur kriteria pengukuran kecenderungan.
5. Kolom 5 Risk Register diisi dengan Dampak Inheren yang menggambarkan tingkatan kerusakan yang disebabkan oleh terjadinya risiko relatif terhadap asset sebelum ada/diterapkannya pengendalian. Kolom 9 diisi dengan Dampak Residual yang menggambarkan tingkatan kerusakan yang disebabkan oleh terjadinya risiko relatif terhadap aset setelah ada/diterapkannya pengendalian.
6. Kolom 6 Risk Register diisi dengan Nilai Risiko Dasar (NRD) yaitu tingkatan risiko aset sebelum ada/diterapkannya pengendalian. Kolom 10
Risk Register diisi dengan Nilai Risiko Akhir (NRA) yaitu tingkatan risiko
aset setelah ada/diterapkannya pengendalian. Tabel penilaian risiko diukur menggunakan 3 tingkatan yang meliputi : Low, Medium, dan High sebagai berikut:
7. Kolom 7 Risk Register diisi dengan langkah-langkah pengendalian yang telah diimplementasikan oleh Bank untuk mengurangi risiko atas aset yang
diidentifikasikan.
8. Kolom 11 diisi dengan risiko yang diharapkan setelah semua risiko teridentifikasi.
Berikut ini adalah tabel risk register secara keseluruhan beserta contoh pengisiannya:
2.6 Metode
Penilaian Risiko TI
Risk assessment memegang peranan penting dalam penerapan sistem manajemen keamanan informasi. Ada banyak metode yang dapat digunakan untuk
melaksanakan risk assessment, satu yang terkenal diantaranya adalah metode OCTAVE yang dikembangkan oleh Carnegie Mellon Software Engineering Institute, Pittsburg. Metode inilah yang akan digunakan dalam studi kasus ini.
Pendekatan OCTAVE mendefinisikan informasi risiko keamanan sebagai praktik manajemen. Kami telah menemukan bahwa cara-cara di mana organisasi melaksanakan evaluasi risiko keamanan informasi berbeda berdasarkan berbagai faktor organisasional. OCTAVE diimplementasikan pada sebuah perusahaan multinasional besar berbeda dari oktaf di sebuah start-up. Namun, beberapa prinsip umum, atribut, dan output terus di organisasi jenis.
Langkah awal untuk mengelola resiko keamanan informasi adalah mengenali apakah resiko organisasi yang menerapkannya. Setelah resiko diidentifikasi, organisasi dapat membuat rencana penanggulangan dan reduksi resiko terhadap masing-masing resiko yang telah diketahui. Metode OCTAVE (The Operationally
Critical Threat, Asset, and Vulnerability Evaluation) memungkinkan organisasi
melakukan hal di atas. OCTAVE adalah sebuah pendekatan terhadap evaluasi resiko keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi resiko keamanan informasi.
2.6.1 Metode OCTAVE
2.6.1.1 Phase 1: Build Asset-Based Threat Profiles
Fase ini meliputi pengumpulan pengetahuan untuk memperoleh informasi mengenai asset Bank Hana, keamanan yang dibutuhkan oleh setiap aset, area yang diperhatikan, strategi proteksi yang sedang diterapkan, dan vulnerability organisasi terkini. Pada fase ini data yang diperoleh dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis perusahaan.
Fase pertama ini meliputi empat proses yang harus dilakukan. Keempat proses ini dibahas dalam penjelasan berikut :
1. Proses I Identify Senior Manager Knowledge
Proses pertama adalah melakukan identifikasi pengetahuan Manajer Senior TI dalam hal keamanan informasi. Tim analisis melakukan workshop dengan Manajer Senior sebagai partisipan, terdiri dari:
• Identifikasi aset penting – Manajer Senior mendefinisikan aset apa yang penting dan membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting.
• Mendeskripsikan area of concern – Untuk lima aset terpenting, Manajer Senior mendeskripsikan skenario bagaimana aset –aset tersebut terancam.
• Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer Senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.
• Identifikasi strategi proteksi terkini dan vulnerability organisasi – Manajer Senior melengkapi survei berdasarkan catalog of practices. Mereka mendiskusikan jawaban survei mereka untuk memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.
• Meninjau kembali cakupan evaluasi – Ini adalah kesempatan kedua untuk manajer senior terlibat dalam workshop proses pertama jika akan menambah atau mengurangi daftar area operasi atau manajer.
2. Proses II Identify Operational Management Knowledge
Pada proses ini diperoleh gambaran pengetahuan dari Manajer Area Operasional. Manajer ini adalah manajer dimana area yang dikelolanya termasuk dalam cakupan OCTAVE. Tim analisis memfasilitasi workshop dengan Manajer Area Operasional sebagai parsisipannya. Aktifitas dalam proses ini terdiri dari:
• Mengidentifikasi aset penting – Manajer Senior mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting.
• Mendeskripsikan area of concern – Untuk lima aset terpenting, Manajer Senior mendeskripsikan skenario bagaimana aset –aset tersebut terancam.
• Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer Senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.
• Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Manajer Senior melengkapi survei berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.
• Memverifikasi staf yang menjadi partisipan – Manajer area meninjau kembali siapa saja staf yang akan menjadi partisipan dalam OCTAVE.
3. Proses III Identify Staff Knowledge
Proses ke tiga ini diperoleh gambaran pengetahuan dari para staf umum dan staf teknologi informasi. Para staf ini adalah para staf dimana area tempatnya bekerja termasuk dalam cakupan OCTAVE. Tim analisis memfasilitasi workshop dengan para staf sebagai parsisipannya. Partisipan dalam setiap workshop dibatasi lima orang, jika jumlah staf lebih dari lima orang, maka akan diadakan beberapa workshop dengan partisipan yang berbeda pada setiap workshop. Aktifitas dalam proses 3 ini terdiri dari:
• Mengidentifikasi aset penting – para staf mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting.
• Mendeskripsikan area of concern – Untuk lima aset terpenting, para staf mendeskripsikan skenario bagaimana aset –aset tersebut terancam.
• Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Para staf mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.
• Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Para staf melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.
Proses ke empat menggabungkan semua informasi yang diperoleh dalam proses pertama sampai ke tiga dan membuat sebuah profil ancaman terhadap aset kritis. Proses ke empat dilakukan oleh tim analisis (beserta tim tambahan jika diperlukan). Aktifitas yang dilakukan terdiri dari: • Konsolidasi data – tim analisis mendata daftar aset terpenting,
kebutuhan keamanan masing-masing aset, dan area of concern yang diperoleh pada proses pertama sampai proses ke tiga.
• Memilih aset kritis - Dari keseluruhan aset terpenting yang diajukan oleh manajer senior, manajer area operasional dan para staf, aset yang terpenting diseleksi oleh tim analisis.
• Mendefinisikan kebutuhan keamanan untuk aset kritis – tim analisisi menyempurnakan informasi yang diperoleh pada proses pertama sampai ke tiga untuk sampai pada sebuah rancangan akhir kebutuhan keamanan.
• Menentukan ancaman terhadap aset kritis – tim analisis menyempurnakan informasi area of concern yang diperoleh dari proses pertama sampai proses ke tiga dan menjabarkannya dalam profil ancaman keamanan.
2.6.1.2 Phase II: Identify Infrastructure Vulnerability
Fase ini melihat vulnerability secara teknis yang terjadi pada aset kritis dan komponen infrastruktur kunci yang mendukung aset tersebut.
Fase ke dua ini meliputi dua proses yang akan dibahas lebih lanjut.
1. Proses V. Identify Key Components
Mengidentifikasi komponenkunci dari infrastruktur yang harus diuji vulnerability-nya secara teknis untuk setiap aset kritis. Tim analisis mempertimbangkan berbagai macam sistem dalam organisasi dan masing-masing komponennya. Tim analisis mencari “system(s) of interest” untuk setiap aset kritis – yaitu sistem yang paling dekat hubungannya dengan aset kritis. Aktifitas yang dilakukan terdiri dari: • Mengidentifikasi klasifikasi kunci setiap komponen – sebuah systems
of interest diidentifikasikan untuk setiap aset. Topologi atau pemetaan jaringan jenis lain digunakan untuk meninjau di mana aset kritis berada dan bagaimana diakses. Klasifikasi komponen kunci dipilih berdasarkan bagaimana aset diakses dan digunakan.
• Mengidentifikasi komponen infrastruktur yang akan diuji – Untuk setiap tipe komponen, tim analisis memilih komponen tertentu untuk dievaluasi. Departemen teknologi informasi harus memberikan alamat jaringan secara spesifik atau lokasi fisiknya dan akan diperlukan untuk menyusun evaluasi.
2. Proses VI. Evaluate Selected Components
Pada proses ini komponen infrastruktur yang dipilih untuk setiap aset kritis dievaluasi untuk mengetahui vulnerability secara teknis. Tim analisis menjalankan peralatan evaluasi, menganalisa hasilnya dan membuat rangkuman untuk tiap aset kritis. Aktifitas pada proses ini terdiri dari:
• Prework: menjalankan peralatan evaluasi vulnerability pada komponen infrastruktur sebelum workshop. Peralatan evaluasi mungkin sudah dimiliki oleh organisasi atau bisa juga disewa dari pihak lain.
• Mengkaji vulnerability teknologi dan merangkum hasilnya – pemimpin evaluasi mempresentasikan rangkuman hasil evaluasi kepada tim analisis. Mereka kemudian mendiskusikan vulnerability yang mana yang memerlukan perbaikan dalam jangka waktu dekat, menengah atau jangka panjang, memodifikasi rangkuman jika diperlukan. Secara umum hal ini berhubungan dengan derajat kerumitan vulnerability dan aset kritis yang dipengaruhinya.
2.6.1.3 Phase III: Develop Security Strategy and Plans
Pada fase ini didefinisikan resiko terkait dengan aset kritis, membuat rencana mitigasi untuk resiko tersebut, dan membuat strategi proteksi organisasi. Rencana dan strategi dikaji dan diterima oleh manajer senior.
Terdapat dua proses dalam fase ke tiga yang akan dibahas berikutnya. 1. Proses VII. Conduct Risk Analysis
Selama proses ke tujuh, tim analisis mengkaji semua informasi yang diperoleh dari proses ke-1 sampai proses ke-6 dan membuat profil resiko untuk setiap aset kritis. Profil resiko merupakan perluasan dari profil ancaman, menambahkan pengukuran kualitatif terhadap akibat kepada organisasi untuk setiap kemungkinan ancaman yang terjadi. Kemungkinan untuk setiap kejadian tidak digunakan. Karena menetapkan sebuah alasan kemungkinan secara akurat dari setiap kejadian sangat sulit dan senantiasa berubah-ubah, maka kemungkinan untuk setiap cabang diasumsikan sama, meliputi aktifitas:
• Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis – Untuk setiap aset kritis, pernyataan pengaruh aktual terhadap organisasi ditetapkan untuk setiap akibat dari ancaman.
• Membuat kriteria evaluasi – dengan menggunakan pernyataan akibat pada aktifitas pertama, sebuah kriteria evaluasi akibat ditetapkan untuk ancaman terhadap aset kritis organisasi. Definisi tiga tingkatan
evaluasi kualitatif (tinggi, menengah, dan rendah) ditetapkan untuk banyak aspek (misalnya finansial atau akibat operasional).
• Mengevaluasi akibat dari ancaman terhadap aset kritis – berdasarkan kriteria evaluasi setiap akibat dari setiap ancaman didefinisikan sebagai tinggi, menengah, atau rendah. Semua informasi mengenai hal ini dicatat dalam Asset Profile Workbook.
2. Proses VIII. Develop Protection Strategy
Proses ini melibatkan pengembangan, pengkajian, dan penerimaan strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk resiko terhadap aset kritis. Proses ini melibatkan dua lokakarya. Pada workshop pertama (disebut sebagai workshop A), tim analisis menyusun proposal strategi dan perencanaan. Pada workshop ke dua (disebut workshop B), Manajer Senior mengkaji proposal, membuat perubahan yang diinginkan, dan menetapkan langkah selanjutnya untuk menerapkan strategi dan perencanaan.
Workshop A meliputi aktifitas:
• Prework: Mengkompilasi hasil survey – hasil ini diperoleh dari kompilasi survey pada proses 1 sampai proses 3. Hasilnya digunakan untuk melihat praktek mana yang telah dianggap baik oleh sebagian besar responden dan mana yang dianggap buruk oleh sebagian besar responden
• Mengkaji informasi – Informasi yang diperoleh dari proses-proses sebelumnya dikaji ulang. Pengkajian ini meliputi vulnerability, praktek, informasi resiko, dan kebutuhan keamanan aset kritis.
• Membuat strategi proteksi – strategi ini meliputi setiap praktek yang dianggap harus dilaksanakan atau ditingkatkan, termasuk praktek mana yang sudah dilaksanakan dengan baik. Membuat rencana mitigasi untuk setiap aset, rencana mitigasi dibuat untuk melakukan pencegahan, pengenalan, dan pemulihan dari setiap resiko dan menjelaskan bagaimana mengukur efektifitas dari kegiatan mitigasi.
• Membuat daftar aktifitas – sebuah daftar aktifitas yang segera dilaksanakan, biasanya meliputi vulnerability yang memerlukan perbaikan dengan segera.
Workshop B meliputi aktifitas:
• Prework: Membuat presentasi untuk manajer senior
• Mengkaji informasi resiko – tim analisis mempresentasikan informasi berkaitan dengan aset kritis dan ringkasan hasil survei kepada Manajer Senior.
• Mengkaji ulang dan memperbaiki strategi proteksi, rencanan mitigasi dan daftar aktifitas yang disebutkan dalam lokakarya A. Manajer Senior dapat meminta perubahan, penambahan, atau pengurangan. • Menetapkan langkah selanjutnya – Manajer Senior memutuskan
bagaimana mengimplementasikan strategi, perencanaan, dan aktifitas.
2.6.2 Output OCTAVE
Manajemen risiko keamanan informasi memerlukan keseimbangan antara aktivitas proaktif dan reaktif. Selama evaluasi menggunakan OCTAVE, tim melihat aspek keamanan dari berbagai sudut pandang agar tercapai keseimbangan tersebut sesuai kebutuhan organisasi/perusahaan.
Output utama dari OCTAVE adalah
• Rencana mitigasi risiko. Risiko yang paling utama adalah risiko terhadap aset-aset terpenting (critical assets).
• Rencana Aksi. Rencana ini meliputi beberapa rencana jangka pendek untuk mengatasi beberapa kelemahan tertentu.
