BAB 2 LANDASAN TEORI 2.1 Pengertian Teknologi Secara etimologis, kata teknologi berasal dari dua kata yaitu techno yang berarti seni, dan logia (logos) yang berarti ilmu, teori. Jack Febrian (2000,p1), teknologi adalah aplikasi ilmu dan engineering untuk mengembangkan mesin dan prosedur agar memperluas dan memperbaiki kondisi manusia, atau paling tidak memperbaiki efisiensi manusia pada berbagai aspek. Secara luas teknologi merupakan semua manifestasi dalam arti materiil yang lahir dari daya cipta manusia untuk membuat segala sesuatu yang bermanfaat guna mempertahankan kehidupannya. Dalam arti klasik, ilmu pengetahuan dalam pengertian luas, yang bertopang kepada ilmu-ilmu alam yang mewujudkan ilmu-ilmu seperti perencanaan, konstruksi, pengamanan, utilitas, dan sebagainya dari semua bangunan teknik, sipil maupun militer. 2.2 Pengertian Informasi Kata informasi berasal dari kata Perancis kuno informacion (tahun 1387) yang diambil dari bahasa latin informationem yang berarti “garis besar, konsep, ide”. Informasi merupakan kata benda dari informare yang berarti aktifitas dalam “pengetahuan yang dikomunikasikan”. Menurut Turban (2003, p15), informasi adalah sebuah kumpulan dari data yang terorganisir dari berbagai cara yang bermanfaat bagi penerima informasinya. 8 9 Menurut Mcleod (2008, p15), informasi adalah data yang telah diproses atau data yang memiliki arti. 2.3 Pengertian Teknologi Informasi Menurut Turban et al (2003,p3) teknologi informasi (TI) adalah kumpulan dari kompoen teknologi yang diorganisir ke dalam suatu sistem informasi berbasis komputer. O’Brien (2008,p10) technology information is the various hardware, software networking, and data management components necessary for the system to operate (teknologi informasi adalah perangkat keras, perangkat lunak, perangkat telekomunikasi, manajemen database dan teknologi pengolahan informasi lainnya yang digunakan di dalam sebuah sistem informasi berbasis computer). Menurut Thompson dan Cats-Baril (2003, p3), teknologi informasi adalah perangkat keras dan perangkat lunak yang dikemas sebagai suatu alat untuk menangkap, menyimpan, memproses dan menghasilkan digital Menurut Ward and Peppard (2002,p3) teknologi informasi atau yang biasa disingkat dengan TI secara spesifik mengacuh pada teknologi, baik berupa hardware, software maupun jaringan telekomunikasi yang memfasilitaskan dan mendukung proses pengumpulan, pengolahan, penyimpanan, penyebaran dan pertukaran informasi. Menurut Sawyer dan Willams (2006, p3), teknologi informasi adalah istilah umum yang mendeskripsikan berbagai teknologi yang membantu untuk memproduksi, manipulasi, penyimpanan, komunikasi dan menyebarluaskan informasi. Dapat disimpulkan bahwa, teknologi informasi adalah alat yang mendukung aktifitas sebuah sistem informasi. 10 2.3.1 Etimologi Teknologi Informasi Teknologi Informasi dilihat dari kata penyusunnya adalah teknologi dan informasi .Secara mudahnya teknologi informasi adalah hasil rekayasa manusia terhadap proses penyampaian informasi dari bagian pengirim ke penerima sehingga pengiriman informasi tersebut akan: - lebih cepat - lebih luas sebarannya, dan - lebih lama penyimpanannya. Agar lebih mudah memahaminya mari kita lihat perkembangan di bidang teknologi informasi. Pada awal sejarah, manusia bertukar informasi melalui bahasa. Maka bahasa adalah teknologi. Bahasa memungkinkan seseorang memahami informasi yang disampaikan oleh orang lain. Tetapi bahasa yang disampaikan dari mulut ke mulut hanya bertahan sebentar saja, yaitu hanya pada saat si pengirim menyampaikan informasi melalui ucapannya itu saja. Setelah ucapan itu selesai, maka informasi yang berada di tangan si penerima itu akan dilupakan dan tidak bisa disimpan lama. Selain itu jangkauan suara juga terbatas. Untuk jarak tertentu, meskipun masih terdengar, informasi yang disampaikan lewat bahasa suara akan terdegradasi bahkan hilang sama sekali. Setelah itu teknologi penyampaian informasi berkembang melalui gambar. Dengan gambar jangkauan informasi bisa lebih jauh. Gambar ini bisa dibawa-bawa dan disampaikan kepada orang lain. Selain itu informasi yang ada akan bertahan lebih lama. Beberapa gambar peninggalan jaman purba masih ada sampai sekarang sehingga manusia sekarang dapat mencoba memahami informasi yang ingin disampaikan pembuatnya. 11 2.3.2 Manfaat Teknologi Informasi Membicarakan manfaat teknologi ini, maka hampir sebagian kehidupan kita dikelilingi oleh teknologi informasi baik yang sederhana maupun yang canggih. Contoh, saat kita ingin menyampaikan pesan yang sangat penting di tempat berjauhan. Tak terbayangkan bila informasi tersebut harus kita sampaikan dengan pesan di daun lontar atau dikirim melalui burung merpati pos. Saat ini, penggunaan telepon sangat memudahkan kita untuk menyampaikan informasi sepenting apapun dalam waktu yang singkat. Belum lagi teknologi telekomunikasi ini berkembang menjadi telepon genggam yang fungsinya pun makin beragam. Bentuk-bentuk teknologi informasi dalam keseharian kita: - Bidang telekomunikasi, melahirkan telepon dengan berbagai fungsi hingga muncul telepon genggam - Kita dapat menikmati hiburan atau peristiwa dari daerah lain dengan mudah melalui media radio dan televisi - Tersedianya media perekam dalam bentuk cakram optik yang biasa kita kenal dengan sebutan CD (compact disk) Saat ini kehadiran internet mempermudah kita memperoleh informasi apapun dari belahan dunia mana saja, hanya dengan duduk di depan komputer kita dapat menjelajah ke mana saja 2.4 Hardware Dan Software Menurut Haag, Cummings, dan McCubbrey (2005, p15), ada dua kategori dasar dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan fisik yang 12 menyusun sebuah komputer (sering dikenal sebagai sistem komputer). Software adalah kumpulan instruksi–instruksi yang menjalankan hardware untuk menyelesaikan tugas tertentu. Hardware dibagi menjadi 6 kategori, yaitu (1) input device, (2) output device, (3) storage device, (4) CPU dan RAM, (5) telecommunications device, (6) connecting device. Input device adalah peralatan yang digunakan untuk memasukkan informasi dan perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan bar code reader. Output device adalah peralatan yang digunakan untuk melihat, mendengar, atau sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer, monitor dan speaker. Storage device adalah peralatan yang digunakan untuk menyimpan informasi yang digunakan dilain waktu terdiri atas hard disk, flash memory card, dan DVD. CPU adalah hardware yang mengartikan dan menjalankan sistem dan instruksi– instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware. RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya sistem, dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini. Telecommunications device adalah peralatan yang digunakan untuk mengirim informasi dan menerima informasi dari orang atau komputer lain dalam satu jaringan contohnya modem. Connecting hardware termasuk hal–hal seperti terminal paralel yang menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal paralel dan peralatan penghubung internal yang sebagian besar termasuk alat pengantar untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya. Ada 2 tipe utama dari software, yaitu application dan system. Application software yang memungkinkan untuk menyelesaikan masalah-masalah spesifik atau 13 menampilkan tugas-tugas spesifik. System software yaitu menangani tugas–tugas spesifik untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan teknologi. Di dalam system software ditemukan operating system software dan utility software. operating system software adalah software sistem yang mengendalikan software aplikasi dan mengelola bagaimana peralatan hardware bekerja bersama–sama. Utility software adalah software yang menyediakan tambahan fungsionalitas untuk mengoperasikan sistem software, seperti antivirus software, screen savers, disk optimization software. 2.5 Jaringan Menurut Turban, Rainer, Porter (2003, p178), sebuah jaringan komputer, terdiri atas media komunikasi peralatan–peralatan dan software yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran jaringan yang umum, yaitu: LAN (Local Area Networks) dan WAN (Wide Area Networks). MAN (Metropolitan Area Network) berada diantara dua ukuran tersebut. LAN menghubungkan dua atau lebih alat komunikasi sampai 2000 kaki (biasanya dalam gedung yang sama). Jadi, setiap pengguna alat dalam jaringan memiliki potensi untuk berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang terdiri atas kumpulan telepon atau jaringan internasional seperti penyedia layanan komunikasi global, mungkin milik komersial, swasta, atau publik. 2.6 Internet, Intranet, Ekstranet Menurut Turban, Rainer, Porter (2003, p11), internet adalah elektronik dan jaringan telekomunikasi yang besar yang menghubungkan komputer bisnis, konsumen, 14 instansi pemerintah, sekolah, dan organisasi lainnya di seluruh dunia, yang menggunakan pertukaran informasi secara lancar terbuka. Intranet adalah jaringan pribadi yang menggunakan jaringan internet dan perangkat lunak protokol TCP/IP, umumnya berupa, internet swasta, atau segmen kelompok swasta dari jaringan internet publik. Ekstranet adalah jaringan yang aman yang menghubungkan mitra bisnis dan intranet lewat internet dengan menyediakan akses ke wilayah masing-masing perusahaan. 2.7 Pengertian Risiko Menurut Peltier (2001, p21), Risiko adalah seseorang atau sesuatu yang membuat atau menyarankan sebuah bahaya. Alberts, Dorofee, Stevens and Woody (2001,p43), Risk is the possibility of suffering harm or loss (Risiko adalah kemungkinan untuk menderita kerugian atau kehilangan). Menurut Djojosoedarso (2003, p2), pengertian Risiko antara lain: Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode tertentu (Arthur Wiliams dan Richard, M.H). Risiko adalah ketidak pastian (uncerteinty) yang mungkin melahirkan peristiwa kerugian (loss) (A. Abas Salim). Risiko adalah ketidak pastian atas terjadinya suatu peristiwa (Soekarto). Risiko merupakan penyebaran/penyimpangan hasil actual dari hasil yang diharapkan (Herman Darmawi). Risiko adalah probabilitas sesuatu hasil/outcome yang berbeda dengan yang diharapkan (Herman Darmawi). 15 Definisi-definisi tersebut dapat disimpulkan bahwa Risiko selalu dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak diduga/tidak diinginkan. Dengan demikian Risiko mempunyai karakteristik: -Merupakan ketidak pastian atas terjadinya suatu peristiwa. -Merupakan ketidakpastian bila terjadi akan menimbulkan kerugian. -Wujud dari risiko itu dapat bermacam-macam, antara lain: -Berupa kerugian atas harta milik/kekayaan atau penghasilan, misalnya diakibatkan oleh kebakaran, pencurian, pengangguran, dan sebagainya. -Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan. -Berupa tanggung jawab hukum, misalnya Risiko dari perbuatan atau peristiwa yang merugikan orang lain. -Berupa kerugian karena perubahan keadaan pasar, misalnya terjadinya perubahan harga, perubahan selera konsumen dan sebagainya. 2.7.1 Macam-Macam Risiko Menurut Djojosoedarso (2005, p3), Risiko dapat dibedakan dengan berbagai macam cara antara lain: Menurut sifatnya Risiko dapat dibedakan ke dalam: -Risiko yang tidak disengaja (Risiko murni), adalah Risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja; misalnya risko terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya. 16 -Risiko yang disengaja (Risiko spekulatif), adalah Risiko yang disengaja ditimbulkan oleh yang bersangkuatan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya, misalnya Risiko utang-piutang, penjudian, perdagangan berjangka (hedging), dan sebagainya. -Risiko fundamental, adlah Risiko yang penyebabnya tidak dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang, seperti banjir, angin topan, dan sebagainya. -Risiko khusus, adalah Risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya. -Risiko dinamis, adalah Risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi, seperti Risiko keusangan, Risiko penerbangan luar angkasa. Kebalikannya disebut Risiko statis, seperti Risiko hari tua, Risiko kematian dan sebagainya. Dapat tidaknya risko tersebut dialihkan kepada pihak lain, maka Risiko dapat dibedakan ke dalam: -Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suatu objek yang akan terkena Risiko kepada perusahan asuransi, dengan membayar sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan (pindah) pihak perusahaan asuransi. -Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan); umumnya meliputi semua jenis Risiko spekulatif. Menurut sumber/penyebab timbulnya, Risiko dapat dibedakan ke dalam: 17 -Risiko intern yaitu Risiko yang berasal dari dalam perusahaan itu sendiri, seperti kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja, kesalahan manajemen dan sebagainya. -Risiko eksteren yaitu Risiko yang berasal dari luar perusahaan, seperti Risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan pemerintah, dan sebagainya. Menurut Gondodiyoto (2006,p303), ancaman utama terhadap keamanan dapat bersifat karena alam, manusia, yang bersifat kelalaian atau kesengajaan, antara lain: a) Ancaman kebakaran Beberapa pelaksanaan keamanan untuk ancaman kebakaran : -Memiliki alat pemadam kebakaran otomatis dan tabung pemadam kebakaran -Memiliki pintu/tangga darurat -Melakukan pengecekan rutin dan pengujian terhadap sistem perlindungan kebakaran untuk dapat memastikan bahwa segala sesuatunya telah dirawat dengan baik b) Ancaman banjir Beberapa pelaksanaan pengamanan untuk ancaman banjir : -Usahakan bahan untuk atap, dinding dan lantai yang tahan air -Semua material asset system informasi ditaruh di tempat yang tinggi -Perubahan tegangan sumber energi 18 -Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan sumber energi listrik, misalnya : menggunakan stabilizer atau power supply (UPS). c) Kerusakan Struktural Pelaksanaan pengamanan untuk mengantisipasi kerusakan structural misalnya: memilih lokasi perusahaan yang jarang terjadi gempa, angin ribut, banjir. d) Penyusup Pelaksaan pengamanan untuk mengantisipasi penyusup adalah penempatan penjaga dan penggunaan alarm, atau kamera pengawas. e) Virus Pelaksanaan pengamanan untuk mengantisipasi virus adalah : -Preventif, seperti menginstal anti virus dan melakukan update secara rutin -Detektif, misalnya melakuka scan file sebelum digunakan -Korektif , misalnya memastikan back up data bebas virus, pemakaian anti virus terhadap file yang teinfeksi. f) Hacking Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking : -Pengguaan control logical sseperti penggunaan password yang sulit ditebak. -Petugas keamanan secara teratur memonitor sistem yang digunakan. 19 2.7.2 Upaya Penanggulangan Risiko Upaya-upaya untuk menaggulangi Risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan obyek yang terkena Risiko, ada beberapa cara yang dapat dilakukan perusahaan untuk meminimumkan Risiko kerugian, antara lain: Melakukan pencegahan dan pengurangan terhadap kemungkinanterjadinya peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan bahan-bahan anti-terbakar untuk mencegah bahaya kebakaran, memagari mesin-mesin untuk menghindari kecelakaan kerja, melakukan pemeliharan dan penyimpanan yang baik terhadap bahan dan hasil produksi untuk menghindari Risiko kecurian dan kerusakan, mengadakan pendekatan kemanusiaan untuk mencegah terjadinya pemogokan, sabotase dan pengacauan. Melakukan retensi, artinya mentilerir membiarkan terjadinya kerugian, dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut disediakan sejumlah dana untuk menanggulanginya (contoh:pos biaya lain-lain atau tak terduga dalam anggaran perusahaan). Melakukan pengendalian terhadap Risiko, contohnya melakukan hedging(pedagangan bejangka) untuk menanggulangi Risiko kelangkaan dan fluktuasi harga bahan baku/pembantu yang diperlukan. Mengalihkan/memindahkan Risiko kepada pihak lain, yaitu dengan cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi terhadap Risiko tertentu, dengan membayar sejumlah premi asuransi kerugian bila betul-betul terjadi kerugian yang sesuai dengan perjanjian. 20 2.8 Risiko Teknologi Informasi 2.8.1 Kategori Risiko Teknologi Informasi Menurut Hughes (2006 , p36), kategori Risiko teknologi informasi antara kehilangan informasi potensial dan pemulihannya, antara lain: A. Keamanan Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berotoritas. Ini termasuk kejahatan komputer, kebocoran internal dan terorisme cyber. B. Ketersediaan Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem, karena kesalahan manusia, perubahan konfigurasi, kurangnya pengurangan arsitektur atau akibat lainnya. C. Daya Pulih Risiko di mana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup setelah sebuah kejadian keamanan atau ketersediaan seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau bencana alam. D. Performa Risiko di mana informasi tidak tersedia saat diperlukan yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. 21 E. Daya Skala Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif. F. Ketaatan Risiko yang manajemen atau penggunaan informasinya melanggar keperluan regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah, panduan pengaturan korporat dan kebijakan internal. 2.8.2 Kelas – Kelas Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005, p49), Risiko–Risiko teknologi didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, tetapi konsekuensi–konsekuensinya dapat berakibat negatif bagi bisnis. Kelas – kelas Risiko: 1. Projects – failing to deliver Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari gagalnya penyampaian proyek adalah: menyelesaikan proyek yang ada telat/tidak pada waktunya, sumber daya dan biaya yang dikonsumsi dalam penyelesaian proyek besar sehingga tidak efisisen, mengganggu proses bisnis selama proses implementasi, dan juga fungsi dari proyek tidak sesuai dengan keinginan dari yang diharapkan user. 2. IT service continuity- when business operations go off the air 22 Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman dan tidak dapat diandalkan sehingga menganggu proses bisnis yang sedang berjalan. Biasanya berhubungan dengan sistem operasional dan produksi perusahaan serta kemampuan mereka untuk menyediakan kebutuhan dari user. 3. Information assets – failing to protect and preserve Risiko ini berhubungan khusus dengan kerusakan, kehilangan, dan eksploitasi aset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi perusahaan, contohnya informasi yang penting bisa dicuri oleh perusahaan kompetitor, detail dari kartu kredit dapat dilihat oleh pihak yang tidak berwenang, sehingga dengan demikian akan merusak hubungan antara pelanggan dengan perusahaan. Ini tentunya akan sangat merugikan perusahaan. 4. Service providers and vendors – breaks in the IT value chain Risiko ini berhubungan dengan kemampuan dari provider dan vendor. Bila mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan berdampak signifikan bagi sistem TI perusahaan. Dampak lainnya berhubungan dengan dampak jangka panjang seperti kekurangan dalam penyediaan layanan TI bagi user perusahaan tersebut. 5. Applications – flaky systems Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi biasanya berinteraksi dengan user dan dalam suatu perusahaan biasanya terdapat kombinasi antara software paket dan software buatan yang diintegrasikan menjadi satu. 23 6. Infrastructure – shaky foundations Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI. Infrastruktur adalah suatu nama yang umum bagi komputer maupun jaringan yang sedang dipakai dan berjalan di perusahaan tersebut. Di dalam infrastruktur juga termasuk software, seperti sistem operasi dan sistem database management. Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu komponen terbakar, dicuri, rusak maupun koneksi jaringannya sedang putus, maka dampak dari kegagalan tersebut tergantung dari ketahanan sistem yang ada. Apabila terdapat sitem yang sudah tidak kompatibel dengan model yang baru, maka sistem tersebut perlu diganti. Apabila Risiko ini dapat ditangani secara rutin, maka itu merupakan suatu perencanaan jangka panjang yang baik. 7. Strategic and emergent – disabled by IT Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan strategi bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan dari perusahaan untuk terus bergerak maju ke arah visi strategi. Untuk tetap kompetitif diperlukan kemajuan TI untuk dipahami dan dicocokan dengan potensi kesempatan eksploitasi bagi bisnis. 24 2.8.3 Langkah Pemecahan Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005 , p7), ada tiga langkah kunci dalam membuat Risiko informasi teknologi berjalan untuk anda, dalam menempatkan diri anda dalam satu posisi dimana anda dapat hidup dengan Risiko: - Anda perlu menempatkan kepemimpinan dan manajemen yang tepat pada tempatnya melalui teknologi informasi dan kerangka cara pengaturan Risiko. - Anda perlu menggabungkan cara anda mengurus Risiko informasi teknologi dengan mengadopsi sebuah pendekatan manajemen tas surat yang proaktif. - Anda perlu mengatur kompleksitas dengan secara aktif mengatur setiap jenis Risiko informasi teknologi. 2.9 Pengertian Manajemen Robbins and Coulter (2007,p37), management is coordinating and overseeing the work activities of others so that their activities are completed efficiently and effectively (manajemen adalah mengkoordinasi dan mengawasi aktifitas kerja orang lain sehingga aktifitas mereka selesai dengan efektif dan efesien). Menurut Anthony dan Govindarajan (2007,p4), manajemen adalah sebuah organisasi yang terdiri dari orang-orang yang berada dalam sebuah grup yang bekerja secara bersama-sama untuk mencapai tujuan tertentu. 25 2.10 Pengertian Manajemen Risiko Menurut Djojosedarso (2003,p4), manajemen Risiko adalah pelaksanaan fungsifungsi manajemen dan penanggulangan Risiko, terutama Risiko yang dihadapi organisasi/perusahaan, keluarga dan masyarakat. According to Noshworthy (2000,p600), Risk management is implementation of measures aimed at reducing the likelihood of those threats occurring and minimising any damage if they do. Risk analysis and risk control form the basis of risk management where risk control is the application of suitable controls to gain a balance between security, usability and cost (manajemen Risiko adalah identifikasi dari ancaman dan implementasi dari pengukuran yang ditujukan pada mengurangi kejadian ancaman tersebut dan menimalisasi setiap kerusakan. Analisa Risiko dan pengontrolan Risiko membentuk dasar manajemen Risiko dimana pengontrolan Risiko adalah aplikasi dari pengelolaan yang cocok untuk memperoleh keseimbangan antara keamanan, penggunaan dan biaya). According to Peltier (2001,p224) Risk management is the process of identifying risks, risk-mitigating measures, the budgetary effect of implementing decisions related to the acceptance, avoidance, or transfer of risk (manajemen Risiko adalah sebuah proses untuk mengidentifikasi Risiko, meminimalisasi Risiko, dan efek anggaran dari pengimplementasian keputusan yang berkaitan dengan penerimaan, menghindari, atau pemindahan Risiko). 26 2.10.1 Tujuan Manajemen Risiko According to Birch & McEvoy(1992,p45), objective of risk management is reduce business exposure by balancing countermeasures investment against risk (Tujuan manajemen Risiko adalah mengurangi pembukaan bisnis dengan menyeimbangkan tindakan balasan investasi terhadap Risiko). According to Suh & Han(2003,p150), Objective of risk management is to minimise the expected loss (Tujuan manajemen Risiko adalah meminimalisir harapan dari kerugian). According Jacobson(2002,p1), Objective of risk management is to select risk mitigation, risk transfer and risk recovery measures so as to optimise the performance of an organization (Tujuan manajemen Risiko adalah memilih pengukuran peringanan Risiko, pemindahan Risiko dan pemulihan Risiko untuk mengoptimalkan kinerja organisasi). 2.10.2 Dimensi Manajemen Risiko. Manajemen Risiko NIST(2002,p4), mencakup tiga proses yaitu penilaian Risiko, pengalihan Risiko dan evalusi serta penilaian. Proses penilaian Risiko mencakup identifikasi dan evaluasi dari Risiko dan dampak Risiko, dan rekomendasi dari pengukuran pengurangan Risiko. Proses pengalihan Risiko mengacu pada pengukuran pengurangan Risiko yang sesuai rekomendasi dari proses penilaian Risiko. Proses evaluasi yang bersifat terus menerus adalah kunci dari implementasi sebuah program manajemen Risiko yang berhasil. 27 2.10.3 Fungsi Pokok Manajemen Risiko Menurut Djojosoedarso (2003,p14), fungsi manajemen Risiko pada pokoknya mencakup : 1) Menemukan Kerugian Potensial Artinya berupaya untuk menemukan atau mengidentifikasi seluruh Risiko murni yang dihadapi perusahaan, yang meliputi: -Kerusakan fisik dari harta kekayaan perusahaan. -Kehilangan pendapatan atau kerugian lainnya akibat terganggunya operasi perusahaan. -Kerugian akibat adanya tuntutan hukum dari pihak lain. -Kerugian-kerugian yang timbul karena penipuan, tindakan-tindakan kriminal lainnya, tidak jujurnya karyawan. -Kerugian-kerugian yang timbul akibat karyawan kunci (keymen) meninggal dunia, sakit atau cacat. 2) Mengevaluasi Kerugian Potensial Artinya melakukan evaluasi dan penilaian terhadap semua kerugian potensial yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini akan meliputi perkiraan mengenai: -Besarnya kemungkinan frekuensi terjadinya kerugian artinya memperkirakan jumlah kemungkinan terjadinya kerugian selama suatu periode tertentu atau berapa kali terjadinya kerugian tersebut selama suatu periode tertentu. 28 -Besarnya bahaya dari tiap-tiap kerugian, artinya menilai besarnya kerugian yang diderita, yang biasanya dikaitkan dengan besarnya pengaruh kerugian tersebut, terutama terhadap kondisi finansial perusahaan. 3) Memilih teknis/cara yang tepat atau menentukan suatu kombinasi dari teknik-teknik yang tepat guna menanggulangi kerugian. Pada pokoknya ada empat cara yang dapat dipakai untuk menanggulangi Risiko, yaitu mengurangi kesempatan terjadinya kerugian, meretensi, mengasuransikan, dan menghindari. Di mana tugas dari manajer Risiko adalah memilih satu cara yang paling tepat untuk menanggulangi suatu Risiko atau memilih suatu kombinasi dari cara-cara yang paling tepat untuk menanggulangi Risiko. 2.10.4 Tahap Manajemen Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen Risiko terdiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda untuk jenis Risiko yang berbeda. -Pengenalan/penemuan : menaruh Risiko teknologi informasi pada radar manajemen. -Penilaian/analisis : mengerti Risiko informasi teknologi dalam konteks tas surat keseluruhan Risiko informasi teknologi dan menilai kemungkinan munculnya dan pengaruhnya pada bisnis. -Perawatan : menentukan pilihan terbaik dari beberapa langkah tindakan yang memungkinkan untuk mengatasi menyelesaikan tindakan yang diperlukan. Risiko, merencanakan, dan 29 -Pengamatan dan peninjauan : menindaklanjuti untuk memastikan apa yang direncanakan itu dikerjakan dan mengerti perubahan yang ada pada tas surat Risiko teknologi informasi. 2.10.5 Manajemen Identifikasi Risiko Menurut Bandyopadhyay dan Mykytyn (1999 , p437), langkah awal pada pengenalan Risiko adalah dengan menentukan lingkungan teknologi informasi. Lingkungan teknologi informasi terdiri dari tiga tingkat: A. Tingkat Aplikasi Tingkat aplikasi berkonsentrasi pada Risiko teknis atau kegagalan implementasi aplikasi informasi teknologi. Risiko seperti ini dapat timbul dari sumber internal dan eksternal. Ancaman eksternal adalah bencana alam, tindakan kompetitor, hacker, dan virus komputer. Ancaman internal kepada aset teknologi informasi dapat datang dari akses fisik berotoritas atau tanpa otoritas yang mengakibatkan penyalahgunaan sistem. Ancaman-ancaman ini dapat merusak atau menghancurkan aset informasi teknologi seperti perangkat keras, perangkat lunak, data, personil, atau fasilitas. Sebuah studi empiris pada keamanan komputer mengungkapkan bahwa, pada tingkat aplikasi, manajer-manajer menganggap bencana alam dan tindakan kecelakaan pegawai sebagai Risiko dengan tingkat terbesar. Mereka juga melihat lingkungan komputer mainframe lebih aman daripada lingkungan mikrokomputer. 30 B. Tingkat organisasi Pada tingkat organisasi, fokusnya adalah pada pengaruh informasi teknologi di semua bagian fungsional organisasi daripada pada bagian aplikasi yang terisolasi. Bisnis-bisnis menempatkan informasi teknologi secara bertingkat pada tingkat organisasi untuk mencapai keuntungan kompetitif. Ketergantungan yang semakin berkembang terhadap teknologi informasi demi mendapatkan keuntungan strategis untuk organisasi dapat membuat organisasi menjadi sasaran berbagai jenis Risiko. C. Tingkat interorganisasi. Pada tingkat interorganisasi, fokusnya adalah pada Risiko teknologi informasi pada organisasi yang beroperasi pada lingkungan jaringan. Penggunaan teknologi informasi yang paling mutakhir dan kuat sekarang ini mencakup jaringan yang melewati batasan organisasi. Ini adalah SI otomatis yang dibagi oleh dua organisasi atau lebih. Perkembangan pada pemakaian sistem interorganisasi (IOS) belakangan ini telah meningkatkan produktivitas, fleksibilitas, dan tingkat kompetitifan. 2.10.6 Karakteristik Manajemen Risiko Berdasarkan sumber dari http://ngapackers.blogspot.com/2008/11/teknikteknik-manajemen-risiko.html , manajemen Risiko yang baik mencakup elemen – elemen : 1. Memahami bisnis perusahaan 2. Formal dan terintegrasi Secara singkat manajemen Risiko formal tersebut mencakup : 31 a) Infrastruktur keras : ruang kerja, struktur organisasi, komputer, dsb b) Infrastruktur lunak : budaya kehati – hatian, organisasi yang responsif terhadap Risiko dsb. c) Proses manajemen Risiko : identifikasi, pengukuran, dan pengelolaan Risiko. Untuk mencapai manajemen Risiko yang terintegrasi secara formal, perusahaan bisa melakukan langkah sebagai berikut : a) Mengidentifikasi semua Risiko b) Menggunakan sisi brainstorming gabungan antara menejer perusahaan dengan konsultan untuk mengidentifikasi semua Risiko. c) Menghitung probabilitas dan dampak Risiko tersebut secara kuantitatif. d) Menggunakan ukuran Risiko yang terintegrasi dan mudah dipahami oleh organisasi secara keseluruhan. e) Melihat ketidakkonsistenan antar bagian. f) Mengembangkan infrastruktur Risiko 3. Menetapkan mekanisme kontrol 4. Menetapkan batas 5. Fokus pada aliran kas 6. Sistem insentif yang tepat 7. Mengembangkan budaya sadar Risiko Untuk mendorong budaya sadar Risiko bisa dilakukan melalui : -Menetapkan suasana keseluruhan yang kondusif untuk prilaku yang berhati – hati, mulai dari atas dengan menunjukkan komitmen dari manajemen puncak. 32 -Menetapkan prinsip – prinsip manajemen Risiko yang bisa mengarahkan budaya, prilaku dan nilai Risiko dari organisasi. -Mendorong komunikasi yang terbuka untuk mendiskusikan isu Risiko, dampak Risiko tersebut, belajar bersama dari kejadian – kejadian di perusahaan atau di perusahaan lain. -Memberikan program pelatihan dan pengembangan yang berkaitan dengan manajemen Risiko. -Mendorong prilaku yang mendukung manajemen Risiko melalui evaluasi dan sistem insentif yang sesuai. 2.10.7 Kerangka Kerja Manajemen Risiko Menurut Dilan S. Batuparan (BEI NEWS Edisi 5 Tahun II, Maret-April 2001) , kerangka kerja manajemen Risiko pada dasarnya terbagi dalam tiga tahapan kerja : A. Identifikasi Risiko Identifikasi Risiko adalah rangkaian proses pengenalan yang seksama atas Risiko dan komponen Risiko yang melekat pada suatu aktivitas atau transaksi yang diarahkan kepada proses pengukuran serta pengelolaan Risiko yang tepat. Identifikasi Risiko adalah pondasi dimana tahapan lainnya dalam proses Risk Management dibangun. B. Pengukuran Risiko Pengukuran Risiko adalah rangkaian proses yang dilakukan dengan tujuan untuk memahami signifikansi dari akibat yang akan ditimbulkan suatu Risiko, baik secara individual maupun portofolio, 33 terhadap tingkat kesehatan dan kelangsungan usaha. Pemahaman yang akurat tentang signifikansi tersebut akan menjadi dasar bagi pengelolaan Risiko yang terarah dan berhasil guna. C. Pengelolaan Risiko Pengelolaan Risiko pada dasarnya adalah rangkaian proses yang dilakukan untuk meminimalisasi tingkat Risiko yang dihadapi sampai pada batas yang dapat diterima. Secara kuantitatif upaya untuk meminimalisasi Risiko ini dilakukan dengan menerapkan langkah langkah yang diarahkan pada turunnya (angka) hasil ukur yang diperoleh dari proses pengukuran Risiko. A. Identifikasi Risiko Sebagai suatu rangkaian proses, identifikasi Risiko dimulai dengan pemahaman tentang apa sebenarnya yang disebut sebagai Risiko. Sebagaimana telah didefiniskan di atas, maka Risiko adalah tingkat ketidakpastian akan terjadinya sesuatu/tidak terwujudnya sesuatu tujuan, pada suatu periode tertentu (time horizon). Bertitik tolak dari definisi tersebut maka terdapat dua tolok ukur penting di dalam pengertian Risiko, yaitu : 1. Tujuan (yang ingin dicapai)/Objectives Untuk dapat menetapkan batas-batas Risiko yang dapat diterima, maka suatu perusahaan harus terlebih dahulu menetapkan tujuan tujuan yang ingin dicapai secara jelas. Seringkali ketidakjelasan 34 mengenai tujuan - tujuan yang ingin dicapai mengakibatkan munculnya Risiko - Risiko yang tidak diharapkan. 2. Periode Waktu (Time Horizon) Periode waktu yang digunakan di dalam mengukur tingkat Risiko yang dihadapi, sangatlah tergantung pada jenis bisnis yang dikerjakan oleh suatu perusahaan. Semakin dinamis pergerakan faktor-faktor pasar untuk suatu jenis bisnis tertentu, semakin singkat periode waktu yang digunakan di dalam mengukur tingkat Risiko yang dihadapi. Contoh, seorang manajer pasar uang di suatu bank mestinya akan melakukan pemantauan atas tingkat Risiko yang dihadapi secara harian. Dilain pihak seorang manajer portofolio kredit/capital market, mungkin akan menerapkan periode waktu 1 bulan untuk melakukan pemantauan atas tingkat Risiko yang dihadapi. Pemahaman yang benar atas kedua tolak ukur tersebut akan sangat menentukan validitas dan efektifitas dari konsep Risk Management yang akan dibangun. B. Pengukuran Risiko Pengukuran Risiko dibutuhkan sebagai dasar (tolak ukur) untuk memahami signifikansi dari akibat (kerugian) yang akan ditimbulkan oleh terealisirnya suatu Risiko, baik secara individual maupun portofolio, terhadap tingkat kesehatan dan kelangsungan usaha bank. Lebih lanjut pemahaman yang akurat tentang signifikansi tersebut akan menjadi dasar bagi pengelolaan Risiko yang terarah dan berhasil guna. 35 1. Dimensi Risiko Signifikansi suatu Risiko maupun portofolio Risiko dapat diketahui/disimpulkan dengan melakukan pengukuran terhadap 2 dimensi Risiko yaitu : - Kuantitas (quantity) Risiko, yaitu jumlah kerugian yang mungkin muncul dari terjadinya/terealisirnya Risiko. Dimensi kuantitas Risiko dinyatakan dalam satuan mata uang. - Kualitas Risiko, yaitu probabilitas dari terjadinya Risiko. Dimensi kualitas Risiko dapat dinyatakan dalam bentuk : confidence level, matrix Risiko (tinggi, sedang, rendah), dan lainlain yang dapat menggambarkan kualitas Risiko. Dua dimensi ini harus muncul sebagai hasil dari proses pengukuran Risiko. 2. Alat Ukur Risiko Sebagai suatu konsep baru yang sedang terus dikembangkan, terdapat berbagai macam metode pengukuran Risiko yang muncul dan diujicobakan oleh para pelaku pasar. - Value At Risk Konsep VAR berdiri di atas dasar observasi statistik atas data-data historis dan relatif dapat dikatakan sebagai suatu konsep yang bersifat obyektif. VAR mengakomodasi kebutuhan untuk mengetahui potensi kerugian atas exposure tertentu. Exposure adalah obyek yang rentan terhadap Risiko dan berdampak pada kinerja perusahaan apabila Risiko yang diprediksikan benar-benar terjadi. Exposure yang paling umum berkaitan dengan ukuran 36 keuangan, misalnya harga saham, laba, pertumbuhan penjualan, dan sebagainya. VAR juga dapat diterapkan pada berbagai level transaksi, mulai dari individual exposure sampai pada portfolio exposures. - Stress Testing Salah satu keterbatasan konsep VAR adalah bahwa VAR hanya efektif diterapkan dalam kondisi pasar yang normal. Konsep VAR tidak dirancang untuk memprediksikan terjadinya suatu kejadian yang akan menyebabkan runtuhnya pasar (unexpected event) seperti perang, bencana alam, perubahan drastis di bidang politik, dll. Konsep Stress Testing memberikan jawaban untuk masalah tersebut. Konsep Stress Testing dirancang sebagai suatu pendekatan subyektif terhadap Risiko yang bagian terbesarnya tergantung pada human judgement. Konsep ini adalah mempertanyakan, sebuah dan rangkaian berpikir proses tentang eksplorasi, kemungkinan- kemungkinan (khususnya terkait dengan Risiko) pada saat terjadinya sesuatu yang dianggap ”tidak mungkin” terjadi. Di dalam konsep Stress Testing dilakukan hal-hal sebagai berikut : a) Menyusun beberapa skenario (terjadinya unexpected event) b) Melakukan revaluasi Risiko atas portfolio c) Menyusun kesimpulan atas skenario-skenario tersebut. 37 - Back Testing Suatu model hanya berguna jika model tersebut dapat menerangkan realitas yang terjadi. Demikian pula dengan model pengukuran Risiko. Untuk menjaga reliability dari model, maka secara periodik suatu model pengukuran harus diuji dengan menggunakan suatu konsep yang dikenal dengan Back Testing. 3. Metode Pengukuran Kuantitas Risiko - Notional Teknik pengukuran Risiko berdasarkan batas atas besarnya nilai yang rentan terhadap Risiko (exposure). - Sensitivitas Teknik pengukuran berdasarkan sensitivitas eksposur terhadap pergerakan satu unit variabel pasar.Risiko diukur berdasarkan seberapa sensitif suatu eksposur terhadap perubahan faktor penentu. - Volatilitas Teknik pengukuran berdasarkan rata-rata variasi nilai eksposur, baik variasi negatif maupun positif .Risiko diukur berdasarkan seberapa besar nilai eksposur berfluktuasi. Ukuran umum standar deviasi :"Semakin besar standar deviasi suatu eksposur, semakin berfluktuasi nilai eksposur tersebut, yang berarti semakin berisiko eksposur atau aset tersebut. 38 4. Risiko vis a vis Pricing dan Modal Hasil yang diperoleh dari proses pengukuran Risiko menggambarkan potensi kerugian yang akan muncul dalam hal Risiko terealisir. Dalam konsep Risk Management kerugian tersebut harus diantisipasi dengan cara menyisihkan sejumlah modal sebagai cushion/buffer yang akan melindungi (kemampuan keuangan) perusahaan. Semakin tinggi Risiko yang diambil, semakin besar pula modal yang dibutuhkan. Penyisihan sejumlah modal (di luar PPAP) tersebut tentunya akan mengakibatkan munculnya opportunity loss bagi perusahaan. Sebagai konsekuensi maka Risk Management mengenal apa yang disebut sebagai RAROC atau Risk Adjusted Return On Capital. Konsep pricing yang menggunakan RAROC akan secara jelas memperlihatkan seberapa tinggi Risiko dari satu counterpart di mata bank/perusahaan yang melakukan evaluasi Risiko. C. Pengelolaan Risiko Jika Risiko-Risiko yang dihadapi oleh perusahaan telah diidentifikasi dan diukur maka akan dipertanyakan bagaimana cara memberikan struktur Risiko yang terbaik bagi perusahaan. Pertanyaan tersebut mengarah kepada upaya untuk : 1. Meningkatkan kualitas dan prediktabilitas dari pendapatan perusahaan (earning) untuk (shareholder value) mengoptimalkan nilai bagi pemegang saham 39 2. Mengurangi kemungkinan munculnya tekanan pada kemampuan keuangan (financial distress) 3. Mempertahankan marjin operasi (operating margin). Konsep Pengelolaan Risiko berbicara seputar alternatif cara untuk mencapai tujuan-tujuan di atas. Pada dasarnya mekanisme Pengelolaan Risiko dapat dikelompokkan sebagai berikut : 1. Membatasi Risiko (Mitigating Risk) Membatasi Risiko dilakukan dengan menetapkan limit Risiko. Penetapan Limit Risiko yang dapat diterima oleh perusahaan tidak semata-mata dilakukan untuk membatasi Risiko yang diserap oleh perusahaan, melainkan juga harus diarahkan kepada upaya untuk mengoptimalkan nilai bagi pemegang saham. Pendekatan tersebut terkait dengan konsekuensi (Modal/Capital) yang muncul dari angka-angka Risiko yang dihasilkan dari proses pengukuran Risiko. 2. Mengelola Risiko (Managing Risk) Sebagaimana kita ketahui, nilai exposure yang dimiliki oleh perusahaan dapat bergerak setiap saat sebagai akibat pergerakan di berbagai faktor yang menentukan di pasar. Dalam kondisi demikian, maka angka yang dihasilkan dari proses pengukuran Risiko di awal akan berkurang validitasnya. Untuk itu maka dibutuhkan suatu proses untuk mengembalikan profil Risiko kembali kepada profil yang memberikan hasil optimal bagi 40 pemegang saham. Proses dimaksud dilakukan melalui berbagai jenis transaksi yang pada dasarnya merupakan upaya untuk : a. Menyediakan cushion/buffer untuk mengantisipasi kerugian yang mungkin muncul dalam hal Risiko yang diambil terealisir. b. Mengurangi/menghindarkan perusahaan dari kerugian total (total loss) yang muncul dalam hal Risiko terealisir c. Mengalihkan Risiko kepada pihak lain 3. Memantau Risiko (Monitoring Risk) Pemantauan Risiko pada dasarnya adalah mekanisme yang ditujukan untuk dapat memperoleh informasi terkini (updated) dari profile Risiko perusahaan. Sekali lagi, Risk Management tetaplah hanya alat bantu bagi manajemen dalam proses pengambilan keputusan. Wujud penerapan terbaik Risk Management merupakan suatu proses membangun kesadaran tentang Risiko di seluruh komponen organisasi perusahaan, suatu proses pendidikan bagaimana menggunakan alat dan teknik yang disediakan oleh Risk Management tanpa harus dikendalikan olehnya, dan mengembangkan naluri pengambilan keputusan yang kuat terhadap Risiko. 2.10.8 Pentingnya Mempelajari Manajemen Risiko Menurut Djojosoedarso (2003, p5), bagaimana pentingnya mempelajari manajemen Risiko dapat dilihat dari dua segi, yaitu: 41 -Seseorang sebagai anggota organisasi/perusahaan, terutama seorang manajer akan dapat mengetahui cara- cara/metode yang tepat untuk menghindari atau mengurangi besarnya kerugian yang diderita perusahaan, sebagi akibat ketidakpastian terjadinya suatu peristiwa yang merugikan. -Seseorang sebagai pribadi : 1. Dapat menjadi seorang manajer Risiko yang professional dalam jangka waktu yang relatif lebih cepat daripada yang belum pernah mempelajarinya. 2. Dapat memberikan kontribusi yang bermanfaat bagi manajer Risiko dari perusahaan di mana yang bersangkutan menjadi anggota. 2.11 Pengukuran Risiko Teknologi Informasi Berdasarkan OCTAVE-S Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol 1), OCTAVE is a suite of tools, techniques and methods for risk-based information security strategic assessment and planning. Dapat diartikan OCTAVE adalah suatu jenis strategi pengamanan berdasarkan teknik perencanaan dan Risiko. OCTAVE merupakan salah satu teknik dan metode yang digunakan untuk strategi dan perencanaan risiko keamanan informasi. OCTAVE difokuskan pada Risiko organisasi, hasil praktek dan strategi yang saling terkait. Ketika menerapkan OCTAVE, satu tim kecil yang terdiri dari unit operasional (atau bisnis) dan dari departemen teknologi informasi (TI) bekerja bersamasama untuk menunjukkan kebutuhan keamanan dari organisasi, menyeimbangkan 3 aspek utama : Risiko operasional, praktek pengamanan dan teknologi. 42 Terdapat 3 jenis metode OCTAVE: a) Metode original OCTAVE (OCTAVE ®) digunakan dalam membentuk dasar pengetahuan OCTAVE. b) OCTAVE-Allegro, digunakan dalam pendekatan efektif untuk keamanan informasi dan jaminan. c) OCTAVE-S, digunakan pada organisasi-organisasi yang lebih kecil Metode-metode OCTAVE dapat ditemukan pada kriteria OCTAVE, pendekatan umum untuk penghilang risiko dan pelatihan berbasis evaluasi keamanan informasi. Kriteria OCTAVE menetapkan prinsip dasar dan atribut manajemen risiko yang digunakan dalam metode-metode OCTAVE. Sarana dan keuntungan metode-metode OCTAVE adalah : -Self-directed : Sekelompok anggota organisasi dalam unit-unit bisnis yang bekerja sama dengan divisi IT untuk mengidentifikasi kebutuhan keamanan dari organisasi. -Flexible : Setiap metode dapat diterapkan pada sasaran, keamanan dan lingkungan risiko perusahaan di berbagai level. -Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada sisi keamanan dan menempatkan teknologi di bidang bisnis. 2.11.1 Original Octave (OCTAVE ®) Metode OCTAVE® ini dikembangkan bersama-sama dengan perusahaan besar (yang memiliki 300 pekerja atau lebih), tetapi ukuran bukan pertimbangan satu-satunya. Contohnya, perusahaan besar umumnya memiliki multi-layered hierarchy dan digunakan untuk mempertahankan penghitungan infrastruktur 43 mereka seiring dengan kemampuan internal untuk menjalankan alat evaluasi dan menginterpretasikan hasilnya dalam hubungan dengan aset-aset yang berharga. Metode OCTAVE® menggunakan pendekatan tiga fase untuk menganalisa masalah-masalah perusahaan dan teknologi, menyusun gambaran komprehensif dari kebutuhan keamanan informasi perusahaan yang disepakati dalam berbagai kegiatan kerja, baik yang difasilitasi atau diselenggarakan oleh tim analisis yang terdiri dari tiga sampai lima anggota perusahaan. Metode ini mengambil keuntungan dari berbagai tingkatan pengetahuan perusahaan, yang berfokus pada : a) Identifikasi asset kritikal dan ancaman terhadap asset tersebut b) Identifikasi kelemahan-kelemahan organisasional dan teknologikal yang mengekspos ancaman dan menimbulkan risiko perusahaan c) Mengembangkan strategi pelatihan berbasis proteksi dan rencanan pengurangan risiko untuk mendukung misi dan prioritas perusahaan Kegiatan-kegiatan tersebut didukung oleh catatan survey dan kerja yang dapat digunakan untuk memperoleh informasi selama diskusi dan selama sesi penyelesaian masalah. 2.11.2 OCTAVE Allegro Octave allegro merupakan suatu metode varian modern yang berkembang dari metode octave yang dimana berfokus pada aset informasi. Seperti metode octave sebelumnya, octave allegro bisa ditampilkan di workshop-style, collaborative setting, tetapi octave allegro juga cocok untuk individu yang ingin 44 menampilkan penaksiran yang berisiko tanpa keterlibatan organisasi yg luas,keahlian dan masukan-masukan. Fokus utama dari octave allegro adalah aset informasi, aset lain yang penting dari organisasi adalah identifikasi dan penaksiran yang berdasarkan pada aset informasi yg terhubung dengan aset-aset organisasi tersebut. Octave allegro terdiri dari 8 langkah yang digabung dalam 4 tingkat: 1. Fase pertama : Pendukung penafsiran menguatkan risiko pengukuran konsekuensi kriteria dengan pengemudi (orang yg menjalankan) organisasi : misi organisasi, sasaran tujuan/target dan faktor yang sangat menentukan. 2. Fase kedua : Peserta membuat profile dari setiap aset informasi yang krisis yang menentukan batasan-batasan yang jelas untuk aset, mengidentifikasi syarat keamanannya, dan mengidentifikasi semua wadahnya. 3. Fase ketiga : Peserta mengidentifikasi ancaman pada setiap aset informasi dalam konteks wadahnya. 4. Fase keempat : Peserta mengidentifikasi dan menganalisa risiko-risiko pada aset informasi dan mulai dikembangkan 2.11.3 OCTAVE-S Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol 1), OCTAVE-S is a variation of the approach tailored to the limited means and unique constraints typically found in small organizations (less than 100 people). Dapat diartikan OCTAVE-S adalah variasi dari pendekatan OCTAVE yang dikembangkan untuk kebutuhan organisasi yang kecil (kurang dari 100 orang). 45 Untuk mengelola risiko terhadap keamanan sistem informasi, maka perlu dilakukan analisa risiko untuk mengurangi kerugian-kerugian yang mungkin terjadi. Salah satu metode analisa risiko untuk keamanan sistem informasi suatu organisasi atau perusahaan adalah metode OCTAVE-S (The Operationally Critical Threat, Asset, and Vulnerability Evaluation)-Small yang mampu mengelola risiko perusahaan dengan mengenali risiko-risiko yang mugkin terjadi pada perusahaan dan membuat rencana penanggulangan dan mitigasi terhadap masing-masing risiko yang telah diketahui. Evaluasi terhadap risiko keamanan informasi yang dilakukan oleh metode OCTAVE-S bersifat komprehensif, sistematik, terarah, dan dilakukan sendiri. Untuk mendukung dan memudahkan pelaksanaan analisa risiko dengan menggunakan metode OCTAVE-S, maka perlu suatu system berbasis komputer yang mampu melakukan analisa risiko terhadap kemanan perusahaan sesuai dengan langkah-langkah metode OCTAVE-S. Dua aspek unik dari metode OCTAVE yang harus dipahami adalah : -Suatu tim kecil yang terdiri dari 3-5 orang dari beberapa unit kerja mengarahkan penggunaan OCTAVE-S secara bersama-sama, anggota tim analisis harus memiliki pemahaman yang luas mengenai bisnis organisasi dan proses pengamanan sehingga dapat menangani semua aktifitas OCTAVE-S. Karena itu OCTAVE-S tidak mewajibkan adanya suatu workshop formal dalam pengumpulan data untuk memulai suatu evaluasi. -OCTAVE-S meliputi evaluasi terbatas dari infrastruktur selama tahap 2. Organisasi kecil sering kali mengoutsourcekan servis dan fungsi TI 46 mereka, sehingga menginterpretasikan biasanya alat tidak evaluasi bisa menggunakan kerentanan. dan Bagaimanapun, kekurangan dari kemampuan organisasi untuk menjalankan alat seperti itu tidak mencegah suatu organisasi dalam menentukan sebuah strategi pengamanan. a. Proses OCTAVE-S Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol 1), proses OCTAVE-S terdiri dari 3 tahap : Phase 1 : Build Asset-Based Threat Profiles Pada tahap ini, tim analisa mendefenisikan kriteria dampak evaluasi yang akan dipergunakan nantinya untuk mengevaluasi Risiko. Dan juga mengidentifikasikan aset organisasi yang penting dan mengevaluasi praktek keamanan yang sedang berjalan dalam organisasi. Pada akhirnya, tim mendefinisikan kebutuhan keamanan dan suatu profil ancaman untuk masing-masing aset yang kritis. Dalam tahap ini, proses yang terjadi adalah : Process 1 : Identify Organizational Information Aktifitasnya : 1.a) Establish Impact Evaluation Criteria Langkah 1 : Mendefenisikan suatu pengukuran berdasarkan kualitasnya (high, medium, low) yang berlawanan dengan apa yang akan dievaluasi mengenai efek risiko dalam misi organisasi dan tujuan bisnis. 47 1.b) Identify Organizational Assets Langkah 2 : Mengidentifikasi aset-aset yang berhubungan dengan informasi dalam organisasi (informasi, sistem, aplikasi, orang-orang). 1.c)Evaluate Organizational Security Practices Langkah 3 dibagi menjadi dua : -Menentukan batasan–batasan pada setiap praktek dalam survei yang digunakan dalam organisasi. -Mengevaluasi masing-masing praktek pengamanan dengan mempergunakan survei dari langkah sebelumnya. Langkah 4 : Setelah menyelesaikan langkah 3 tentukan stoplight status (red, yellow, or green) untuk masing-masing area praktek pengamanan. Process 2 : Create Threat Profiles Aktivitasnya: 2.a) Select Critical Assets Langkah 5 : Mengkaji ulang aset-aset yang berhubungan dengan informasi yang telah diidentifikasi pada saat langkah 2 dan memilih kurang lebih 5 aset yang paling kritis dalam organisasi. Langkah 6 : Memulai sebuah Critical Asset Information Worksheet untuk masing-masing aset kritis yang ada pada Critical Asset Information Worksheet yang sesuai. Langkah 7 : Mencatat dasar pemikiran untuk memilih masing-masing aset kritis pada Critical Asset Information Worksheet Langkah 8 : Mencatat uraian untuk masing-masing aset kritis pada Critical Asset Information Worksheet. Pertimbangkan siapa saja yang 48 menggunakan masing-masing aset kritis seperti halnya siapa saja yang bertanggung jawab terhadap aset kritis tersebut. Langkah 9 : Mencatat aset yang berhubungan dengan masing-masing aset kritis pada Critical Asset Information Worksheet. Mengacu pada Asset Identification Worksheet untuk menentukan aset yang berhubungan dengan aset kritis. 2.b) Identify Security Requirements for Critical Assets Langkah 10 : Mencatat pengamanan yang dibutuhkan untuk masingmasing aset kritis pada Critical Asset Information Worksheet. Langkah 11 : Untuk masing-masing aset kritis, catat kebutuhan keamanan yang paling penting pada aset-aset tersebut yang ada di dalam Critical Asset Information Worksheet. 2.c) Identify Threats to Critical Assets Langkah 12 : Lengkapi semua skema ancaman yang sesuai untuk masing-masing aset yang kritis. Tandai masing-masing bagian dari tiap skema untuk ancaman yang tidak penting terhadap aset. Saat melengkapi langkah ini, apabila menemukan kesulitan dalam menafsirkan sebuah ancaman dalam skema ancaman, periksa kembali gambaran dan contoh dari ancaman tersebut dalam Threat Translation Guide. Langkah 13 : Mencatat contoh spesifik dari pelaku ancaman pada Risk Profile Worksheet untuk setiap kombinasi motif pelaku yang sesuai. 49 Langkah 14 : Mencatat seberapa besar kekuatan dari motif ancaman yang disengaja yang disebabkan oleh pelaku. Catat seberapa besar perkiraan kekuatan motif dari pelaku. Langkah 15 : Mencatat seberapa sering ancaman-ancaman tersebut terjadi di masa lampau. Dan juga catat seberapa keakuratan data. Langkah 16 : Catat area terkait untuk setiap sumber ancaman yang sesuai. Area terkait merupakan suatu skenario yang menjelaskan bagaimana ancaman spesifik dapat mempengaruhi aset kritis. Phase 2 : Identify Infrastructures Vulnerabilities Selama tahap ini, tim analisa melaksanakan high level review dari infrastruktur organisasi, berfokus pada sejauh mana maintainers dari infrastruktur mempertimbangkan keamanan. Tim analisa menganalisa bagaimana orang-orang menggunakan infrastruktur untuk mengakses akses yang kritis, menghasilkan kelas kunci dari komponen seperti halnya siapa yang bertangggung jawab untuk mengatur dan memelihara komponen itu. Process 3 : Examine Computing Infrastructure in Relation to Critical Assets Aktifitasnya : 3.a) Examine Access Paths Langkah 17 : Memilih sistem yang menarik untuk setiap aset kritis (yaitu sistem yang paling berkaitan erat pada aset kritis. 50 Langkah 18 dibagi menjadi 5: - Memeriksa kembali jalur yang digunakan untuk mengakses setiap aset kritis dan memilih kelas kunci dari komponen yang berhubungan pada masing-masing aset kritis. - Menentukan kelas mana dari komponen yang bertugas sebagai perantara jalur aset (yaitu komponen yang biasanya mengirimkan informasi dan aplikasi dari system of interest kepada orang-orang). - Menentukan kelas mana dari komponen, baik internal dan eksternal untuk jaringan organisasi, yang digunakan oleh orang-orang (misalnya, pengguna, penyerang) untuk mengakses sistem. - Menentukan di mana informasi dari system of interest disimpan untuk membuak backup. - Menentukan sistem akses informasi dan aplikasi-aplikasi dari system of interest dan kelas dari komponen lain yang mana yang dapat digunakan sebagai aset yang kritis. 3.b) Analyze Technology-Related Processes Langkah 19 dibagi menjadi 2 : - Menetukan kelas dari komponen yang terkait dari satu atau lebih aset kritis dan yang dapat mendukung akses ke aset-aset tersebut. Tandai jalur pasa setiap kelas yang terpilih pada langkah 18. Mencatat subclasses yang cocok atau contoh spesifik pada saat dibutuhkan. 51 - Untuk setiap kelas dari komponen yang didokumentasikan pada langkah sebelumnya, catat aset kritis yang mana yang berhubungan terhadap kelas tersebut. Langkah 20 : Untuk setiap kelas dari komponen yang didokumentasikan di langkah 19.1, catat orang atau grup yang bertanggung jawab untuk memelihara dan mengamankan kelas komponen tersebut. Langkah 21 : Untuk setiap kelas dari komponen yang didokumentasikan di langkah 19.1, catat sejauh mana kelas tahan terhadap serangan jaringan. Kemudain catat bagaimana kesimpulan tersebut didapatkan. Pada akhirnya dokumentasikan semua tambahan konteks yang relevan terhadap analisa infrastruktur. Phase 3: Develop Security Strategy and Plans Selama tahap 3, tim analisa mengidentifikasikan Risiko ke aset kritis organisasi dan memutuskan apa yang harus dilakukan terhadap aset krtitis tersebut. Berdasarkan pada analisa dari informasi yang dikumpulkan, tim membuat strategi perlindungan untuk organisasi dan rencana untuk mengurangi dan mengatasi Risiko aset-aset kritis. Process 4 : Identify and Analyze Risks Aktifitasnya : 4.a) Evaluate Impacts of Threats 52 Langkah 22 : Menggunakan kriteria evaluasi dampak sebagai panduan, menentukan nilai dampak (high ,medium, low) untuk setiap ancaman yang aktif untuk masing-masing asset kritis. 4.b) Establish Probability Evaluation Criteria Langkah 23 : Mendefenisikan ukuran kwalitatif dari pengukuran (high, medium, low) yang bertentangan terhadap kemungkinan ancaman yang akan terjadi pada saat evaluasi. 4.c) Evaluate Probabilites of Threats Langkah 24 : Menggunakan kemungkinan kriteria evaluasi sebagai suatu panduan, menentukan suatu nilai kemungkinan (high, medium, low) untuk setiap ancaman yang aktif untuk masing-masing aset kritis. Mendokumentasikan taraf kepercayaan pada estimasi kemungkinan tersebut. Process 5 : Develop Protection Strategy and Mitigation Plans Aktifitasnya : 5.a) Describe Current Protection Strategy Langkah 25 : Mentransfer stoplight status pada masing-masing area praktek pengamanan terhadap area tanggapan pada Protection Strategy Worksheet. Untuk masing-masing area praktek pengamanan, identifikasi pendekatan organisasi saat ini untuk menangani area tersebut. 53 5.b) Select Mitigation Approaches Langkah 26 : Mentransfer stoplight status dari masing-masing area praktek pengamanan dari Security Practice Worksheet ke bagian Security Practice Area dari masing-masing aset kritis pada Risk Profile Worksheet. Langkah 27 : Memilih salah satu pendekatan pengurangan Risiko (mengurangi, menunda, menerima) untuk masing-masing Risiko aktif. 5.c) Develop Risk Mitigation Plans Langkah 28 : Mengembangkan rencana pengurangan beban untuk masing-masing area praktek pengamanan yang dipilih selama langkah 27. 5.d) Identify Changes to Protection Strategy Langkah 29 : Menentukan apakah rencana pengurangan Risiko mempengaruhi strategi pengamanan organisasi. Catat semua perubahan apapun pada Protection Strategy Worksheet. 5.e) Identify Next Steps Langkah 30 : Menetukan apa yang dibutuhkan oleh organisasi, mengimplementasikan keamanan dari hasil dari evaluasi serta meningkatkan keamanan. 54 b. OCTAVE-S outputs Menurut Alberts, Dorofee, Steven, dan Woody (2005,vol 1), hasil utama dari OCTAVE-S memiliki 3 strata dan meliputi : -Organization Wide Protection Strategy: memperhatikan praktek pengamanan informasi. -Risk Mitigation Plans: rencana ini dimaksudkan untuk mengurangi risiko terhadap asset kritis dengan meningkatkan praktek keamanan yang dipilih. -Action List: Ini termasuk tindakan jangka pendak yang digunakan untuk menunjukkan kekurangan spesifik. Kegunaan Output OCTAVE-S lainnya, meliputi : - Daftar dari asset-asset yang berhubungan dengan informasi penting yang mendukung tujuan dan sasaran bisnis organisasi. - Hasil survey menunjukkan sejauh mana organisasi mengikuti praktek keamanan yang baik. - Profil Risiko untuk masing-masing asset kritis yang menggambarkan jangkauan risiko terhadap aset tersebut. Masing-masing tahap dari OCTAVE-S menghasilkan hasil yang dapat dipakai bahkan suatu evaluasi kecil akan menghasilkan informasi yang berguna untuk meningkatkan sikap keamanan organisasi.