8 BAB 2 LANDASAN TEORI 2.1 Pengertian Teknologi Secara

advertisement
BAB 2
LANDASAN TEORI
2.1 Pengertian Teknologi
Secara etimologis, kata teknologi berasal dari dua kata yaitu techno yang berarti
seni, dan logia (logos) yang berarti ilmu, teori.
Jack Febrian (2000,p1), teknologi adalah aplikasi ilmu dan engineering untuk
mengembangkan mesin dan prosedur agar memperluas dan memperbaiki kondisi
manusia, atau paling tidak memperbaiki efisiensi manusia pada berbagai aspek. Secara
luas teknologi merupakan semua manifestasi dalam arti materiil yang lahir dari daya
cipta manusia untuk membuat segala sesuatu yang bermanfaat guna mempertahankan
kehidupannya.
Dalam arti klasik, ilmu pengetahuan dalam pengertian luas, yang bertopang
kepada ilmu-ilmu alam yang mewujudkan ilmu-ilmu seperti perencanaan, konstruksi,
pengamanan, utilitas, dan sebagainya dari semua bangunan teknik, sipil maupun militer.
2.2 Pengertian Informasi
Kata informasi berasal dari kata Perancis kuno informacion (tahun 1387) yang
diambil dari bahasa latin informationem yang berarti “garis besar, konsep, ide”.
Informasi merupakan kata benda dari informare yang berarti aktifitas dalam
“pengetahuan yang dikomunikasikan”.
Menurut Turban (2003, p15), informasi adalah sebuah kumpulan dari data yang
terorganisir dari berbagai cara yang bermanfaat bagi penerima informasinya.
8
9
Menurut Mcleod (2008, p15), informasi adalah data yang telah diproses atau
data yang memiliki arti.
2.3 Pengertian Teknologi Informasi
Menurut Turban et al (2003,p3) teknologi informasi (TI) adalah kumpulan dari
kompoen teknologi yang diorganisir ke dalam suatu sistem informasi berbasis komputer.
O’Brien (2008,p10) technology information is the various hardware, software
networking, and data management components necessary for the system to operate
(teknologi informasi adalah perangkat keras, perangkat lunak, perangkat telekomunikasi,
manajemen database dan teknologi pengolahan informasi lainnya yang digunakan di
dalam sebuah sistem informasi berbasis computer).
Menurut Thompson dan Cats-Baril (2003, p3), teknologi informasi adalah
perangkat keras dan perangkat lunak yang dikemas sebagai suatu alat untuk menangkap,
menyimpan, memproses dan menghasilkan digital
Menurut Ward and Peppard (2002,p3) teknologi informasi atau yang biasa
disingkat dengan TI secara spesifik mengacuh pada teknologi, baik berupa hardware,
software maupun jaringan telekomunikasi yang memfasilitaskan dan mendukung proses
pengumpulan, pengolahan, penyimpanan, penyebaran dan pertukaran informasi.
Menurut Sawyer dan Willams (2006, p3), teknologi informasi adalah istilah
umum yang mendeskripsikan berbagai teknologi yang membantu untuk memproduksi,
manipulasi, penyimpanan, komunikasi dan menyebarluaskan informasi.
Dapat disimpulkan bahwa, teknologi informasi adalah alat yang mendukung
aktifitas sebuah sistem informasi.
10
2.3.1 Etimologi Teknologi Informasi
Teknologi Informasi dilihat dari kata penyusunnya adalah teknologi dan
informasi .Secara mudahnya teknologi informasi adalah hasil rekayasa manusia
terhadap proses penyampaian informasi dari bagian pengirim ke penerima
sehingga pengiriman informasi tersebut akan:
- lebih cepat
- lebih luas sebarannya, dan
- lebih lama penyimpanannya.
Agar lebih mudah memahaminya mari kita lihat perkembangan di bidang
teknologi informasi. Pada awal sejarah, manusia bertukar informasi melalui
bahasa. Maka bahasa adalah teknologi. Bahasa memungkinkan seseorang
memahami informasi yang disampaikan oleh orang lain. Tetapi bahasa yang
disampaikan dari mulut ke mulut hanya bertahan sebentar saja, yaitu hanya pada
saat si pengirim menyampaikan informasi melalui ucapannya itu saja. Setelah
ucapan itu selesai, maka informasi yang berada di tangan si penerima itu akan
dilupakan dan tidak bisa disimpan lama. Selain itu jangkauan suara juga terbatas.
Untuk jarak tertentu, meskipun masih terdengar, informasi yang disampaikan
lewat bahasa suara akan terdegradasi bahkan hilang sama sekali.
Setelah itu teknologi penyampaian informasi berkembang melalui
gambar. Dengan gambar jangkauan informasi bisa lebih jauh. Gambar ini bisa
dibawa-bawa dan disampaikan kepada orang lain. Selain itu informasi yang ada
akan bertahan lebih lama. Beberapa gambar peninggalan jaman purba masih ada
sampai sekarang sehingga manusia sekarang dapat mencoba memahami
informasi yang ingin disampaikan pembuatnya.
11
2.3.2 Manfaat Teknologi Informasi
Membicarakan manfaat teknologi ini, maka hampir sebagian kehidupan
kita dikelilingi oleh teknologi informasi baik yang sederhana maupun yang
canggih. Contoh, saat kita ingin menyampaikan pesan yang sangat penting di
tempat berjauhan. Tak terbayangkan bila informasi tersebut harus kita sampaikan
dengan pesan di daun lontar atau dikirim melalui burung merpati pos.
Saat
ini,
penggunaan
telepon
sangat
memudahkan
kita
untuk
menyampaikan informasi sepenting apapun dalam waktu yang singkat. Belum
lagi teknologi telekomunikasi ini berkembang menjadi telepon genggam yang
fungsinya pun makin beragam.
Bentuk-bentuk teknologi informasi dalam keseharian kita:
- Bidang telekomunikasi, melahirkan telepon dengan berbagai fungsi hingga
muncul telepon genggam
- Kita dapat menikmati hiburan atau peristiwa dari daerah lain dengan mudah
melalui media radio dan televisi
- Tersedianya media perekam dalam bentuk cakram optik yang biasa kita
kenal dengan sebutan CD (compact disk)
Saat ini kehadiran internet mempermudah kita memperoleh informasi
apapun dari belahan dunia mana saja, hanya dengan duduk di depan komputer
kita dapat menjelajah ke mana saja
2.4 Hardware Dan Software
Menurut Haag, Cummings, dan McCubbrey (2005, p15), ada dua kategori dasar
dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan fisik yang
12
menyusun sebuah komputer (sering dikenal sebagai sistem komputer). Software adalah
kumpulan instruksi–instruksi yang menjalankan hardware untuk menyelesaikan tugas
tertentu.
Hardware dibagi menjadi 6 kategori, yaitu (1) input device, (2) output device, (3)
storage device, (4) CPU dan RAM, (5) telecommunications device, (6) connecting
device.
Input device adalah peralatan yang digunakan untuk memasukkan informasi dan
perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan bar code
reader. Output device adalah peralatan yang digunakan untuk melihat, mendengar, atau
sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer,
monitor dan speaker. Storage device adalah peralatan yang digunakan untuk menyimpan
informasi yang digunakan dilain waktu terdiri atas hard disk, flash memory card, dan
DVD. CPU adalah hardware yang mengartikan dan menjalankan sistem dan instruksi–
instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware.
RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya
sistem, dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini.
Telecommunications device adalah peralatan yang digunakan untuk mengirim informasi
dan menerima informasi dari orang atau komputer lain dalam satu jaringan contohnya
modem. Connecting hardware termasuk hal–hal seperti terminal paralel yang
menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal
paralel dan peralatan penghubung internal yang sebagian besar termasuk alat pengantar
untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya.
Ada 2 tipe utama dari software, yaitu application dan system. Application
software yang memungkinkan untuk menyelesaikan masalah-masalah spesifik atau
13
menampilkan tugas-tugas spesifik. System software yaitu menangani tugas–tugas
spesifik untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan
teknologi. Di dalam system software ditemukan operating system software dan utility
software. operating system software adalah software sistem yang mengendalikan
software aplikasi dan mengelola bagaimana peralatan hardware bekerja bersama–sama.
Utility software adalah software yang menyediakan tambahan fungsionalitas untuk
mengoperasikan sistem software, seperti antivirus software, screen savers, disk
optimization software.
2.5 Jaringan
Menurut Turban, Rainer, Porter (2003, p178), sebuah jaringan komputer, terdiri
atas media komunikasi peralatan–peralatan dan software yang dibutuhkan untuk
menghubungkan dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran jaringan
yang umum, yaitu: LAN (Local Area Networks) dan WAN (Wide Area Networks). MAN
(Metropolitan
Area
Network)
berada
diantara
dua
ukuran
tersebut.
LAN
menghubungkan dua atau lebih alat komunikasi sampai 2000 kaki (biasanya dalam
gedung yang sama). Jadi, setiap pengguna alat dalam jaringan memiliki potensi untuk
berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang terdiri atas
kumpulan telepon atau jaringan internasional seperti penyedia layanan komunikasi
global, mungkin milik komersial, swasta, atau publik.
2.6 Internet, Intranet, Ekstranet
Menurut Turban, Rainer, Porter (2003, p11), internet adalah elektronik dan
jaringan telekomunikasi yang besar yang menghubungkan komputer bisnis, konsumen,
14
instansi pemerintah, sekolah, dan organisasi lainnya di seluruh dunia, yang
menggunakan pertukaran informasi secara lancar terbuka. Intranet adalah jaringan
pribadi yang menggunakan jaringan internet dan perangkat lunak protokol TCP/IP,
umumnya berupa, internet swasta, atau segmen kelompok swasta dari jaringan internet
publik. Ekstranet adalah jaringan yang aman yang menghubungkan mitra bisnis dan
intranet lewat internet dengan menyediakan akses ke wilayah masing-masing
perusahaan.
2.7 Pengertian Risiko
Menurut Peltier (2001, p21), Risiko adalah seseorang atau sesuatu yang
membuat atau menyarankan sebuah bahaya.
Alberts, Dorofee, Stevens and Woody (2001,p43), Risk is the possibility of
suffering harm or loss (Risiko adalah kemungkinan untuk menderita kerugian atau
kehilangan).
Menurut Djojosoedarso (2003, p2), pengertian Risiko antara lain:
Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode
tertentu (Arthur Wiliams dan Richard, M.H).
Risiko adalah ketidak pastian (uncerteinty) yang mungkin melahirkan peristiwa
kerugian (loss) (A. Abas Salim).
Risiko adalah ketidak pastian atas terjadinya suatu peristiwa (Soekarto).
Risiko merupakan penyebaran/penyimpangan hasil actual dari
hasil yang
diharapkan (Herman Darmawi).
Risiko adalah probabilitas sesuatu hasil/outcome yang berbeda dengan yang
diharapkan (Herman Darmawi).
15
Definisi-definisi tersebut dapat disimpulkan bahwa Risiko selalu dihubungkan
dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak diduga/tidak
diinginkan.
Dengan demikian Risiko mempunyai karakteristik:
-Merupakan ketidak pastian atas terjadinya suatu peristiwa.
-Merupakan ketidakpastian bila terjadi akan menimbulkan kerugian.
-Wujud dari risiko itu dapat bermacam-macam, antara lain:
-Berupa kerugian atas harta milik/kekayaan atau penghasilan, misalnya
diakibatkan oleh kebakaran, pencurian, pengangguran, dan sebagainya.
-Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan.
-Berupa tanggung jawab hukum, misalnya Risiko dari perbuatan atau
peristiwa yang merugikan orang lain.
-Berupa kerugian karena perubahan keadaan pasar, misalnya terjadinya
perubahan harga, perubahan selera konsumen dan sebagainya.
2.7.1 Macam-Macam Risiko
Menurut Djojosoedarso (2005, p3), Risiko dapat dibedakan dengan
berbagai macam cara antara lain:
Menurut sifatnya Risiko dapat dibedakan ke dalam:
-Risiko yang tidak disengaja (Risiko murni), adalah Risiko yang apabila
terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja; misalnya
risko terjadinya kebakaran, bencana alam, pencurian, penggelapan,
pengacauan, dan sebagainya.
16
-Risiko yang disengaja (Risiko spekulatif), adalah Risiko yang disengaja
ditimbulkan oleh yang bersangkuatan, agar terjadinya ketidakpastian
memberikan keuntungan kepadanya, misalnya Risiko utang-piutang,
penjudian, perdagangan berjangka (hedging), dan sebagainya.
-Risiko fundamental, adlah Risiko yang penyebabnya tidak dilimpahkan
kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang
saja, tetapi banyak orang, seperti banjir, angin topan, dan sebagainya.
-Risiko khusus, adalah Risiko yang bersumber pada peristiwa yang mandiri
dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat
jatuh, tabrakan mobil, dan sebagainya.
-Risiko dinamis, adalah Risiko yang timbul karena perkembangan dan
kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi,
seperti Risiko keusangan, Risiko penerbangan luar angkasa. Kebalikannya
disebut Risiko statis, seperti Risiko hari tua, Risiko kematian dan sebagainya.
Dapat tidaknya risko tersebut dialihkan kepada pihak lain, maka Risiko
dapat dibedakan ke dalam:
-Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan
suatu objek yang akan terkena Risiko kepada perusahan asuransi, dengan
membayar sejumlah premi asuransi, sehingga semua kerugian menjadi
tanggungan (pindah) pihak perusahaan asuransi.
-Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat
diasuransikan); umumnya meliputi semua jenis Risiko spekulatif.
Menurut sumber/penyebab timbulnya, Risiko dapat dibedakan ke dalam:
17
-Risiko intern yaitu Risiko yang berasal dari dalam perusahaan itu sendiri,
seperti kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja,
kesalahan manajemen dan sebagainya.
-Risiko eksteren yaitu Risiko yang berasal dari luar perusahaan, seperti
Risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan
pemerintah, dan sebagainya.
Menurut Gondodiyoto (2006,p303), ancaman utama terhadap keamanan
dapat bersifat karena alam, manusia, yang bersifat kelalaian atau kesengajaan,
antara lain:
a) Ancaman kebakaran
Beberapa pelaksanaan keamanan untuk ancaman kebakaran :
-Memiliki alat pemadam kebakaran otomatis dan tabung pemadam
kebakaran
-Memiliki pintu/tangga darurat
-Melakukan
pengecekan
rutin
dan
pengujian
terhadap
sistem
perlindungan kebakaran untuk dapat memastikan bahwa segala
sesuatunya telah dirawat dengan baik
b) Ancaman banjir
Beberapa pelaksanaan pengamanan untuk ancaman banjir :
-Usahakan bahan untuk atap, dinding dan lantai yang tahan air
-Semua material asset system informasi ditaruh di tempat yang tinggi
-Perubahan tegangan sumber energi
18
-Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan
sumber energi listrik, misalnya : menggunakan stabilizer atau power
supply (UPS).
c) Kerusakan Struktural
Pelaksanaan
pengamanan
untuk
mengantisipasi
kerusakan
structural
misalnya: memilih lokasi perusahaan yang jarang terjadi gempa, angin ribut,
banjir.
d) Penyusup
Pelaksaan pengamanan untuk mengantisipasi penyusup adalah penempatan
penjaga dan penggunaan alarm, atau kamera pengawas.
e) Virus
Pelaksanaan pengamanan untuk mengantisipasi virus adalah :
-Preventif, seperti menginstal anti virus dan melakukan update secara
rutin
-Detektif, misalnya melakuka scan file sebelum digunakan
-Korektif , misalnya memastikan back up data bebas virus, pemakaian
anti virus terhadap file yang teinfeksi.
f) Hacking
Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking :
-Pengguaan control logical sseperti penggunaan password yang sulit
ditebak.
-Petugas keamanan secara teratur memonitor sistem yang digunakan.
19
2.7.2 Upaya Penanggulangan Risiko
Upaya-upaya untuk menaggulangi Risiko harus selalu dilakukan,
sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan
obyek yang terkena Risiko, ada beberapa cara yang dapat dilakukan perusahaan
untuk meminimumkan Risiko kerugian, antara lain:
Melakukan
pencegahan
dan
pengurangan
terhadap
kemungkinanterjadinya peristiwa yang menimbulkan kerugian, misalnya
membangun gedung dengan bahan-bahan anti-terbakar untuk mencegah bahaya
kebakaran, memagari mesin-mesin untuk menghindari kecelakaan kerja,
melakukan pemeliharan dan penyimpanan yang baik terhadap bahan dan hasil
produksi untuk menghindari Risiko kecurian dan kerusakan, mengadakan
pendekatan kemanusiaan untuk mencegah terjadinya pemogokan, sabotase dan
pengacauan.
Melakukan retensi, artinya mentilerir membiarkan terjadinya kerugian,
dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut
disediakan sejumlah dana untuk menanggulanginya (contoh:pos biaya lain-lain
atau tak terduga dalam anggaran perusahaan).
Melakukan pengendalian terhadap Risiko, contohnya melakukan
hedging(pedagangan bejangka) untuk menanggulangi Risiko kelangkaan dan
fluktuasi harga bahan baku/pembantu yang diperlukan.
Mengalihkan/memindahkan Risiko kepada pihak lain, yaitu dengan cara
mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi
terhadap Risiko tertentu, dengan membayar sejumlah premi asuransi kerugian
bila betul-betul terjadi kerugian yang sesuai dengan perjanjian.
20
2.8 Risiko Teknologi Informasi
2.8.1 Kategori Risiko Teknologi Informasi
Menurut Hughes (2006 , p36), kategori Risiko teknologi informasi antara
kehilangan informasi potensial dan pemulihannya, antara lain:
A. Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak
berotoritas. Ini termasuk kejahatan komputer, kebocoran internal dan
terorisme cyber.
B. Ketersediaan
Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem,
karena kesalahan manusia, perubahan konfigurasi, kurangnya pengurangan
arsitektur atau akibat lainnya.
C. Daya Pulih
Risiko di mana informasi yang diperlukan tidak dapat dipulihkan dalam
waktu yang cukup setelah sebuah kejadian keamanan atau ketersediaan
seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau
bencana alam.
D. Performa
Risiko di mana informasi tidak tersedia saat diperlukan yang diakibatkan
oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi
teknologi yang beragam.
21
E. Daya Skala
Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk
arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru
dan biaya bisnis secara efektif.
F. Ketaatan
Risiko yang manajemen atau penggunaan informasinya melanggar keperluan
regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah,
panduan pengaturan korporat dan kebijakan internal.
2.8.2 Kelas – Kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock
(2005, p49), Risiko–Risiko teknologi
didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat
juga melakukan kesalahan, tetapi konsekuensi–konsekuensinya dapat berakibat
negatif bagi bisnis.
Kelas – kelas Risiko:
1. Projects – failing to deliver
Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh
dari gagalnya penyampaian proyek adalah: menyelesaikan proyek yang ada
telat/tidak pada waktunya, sumber daya dan biaya yang dikonsumsi dalam
penyelesaian proyek besar sehingga tidak efisisen, mengganggu proses bisnis
selama proses implementasi, dan juga fungsi dari proyek tidak sesuai dengan
keinginan dari yang diharapkan user.
2. IT service continuity- when business operations go off the air
22
Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman dan
tidak dapat diandalkan sehingga menganggu proses bisnis yang sedang
berjalan. Biasanya berhubungan dengan sistem operasional dan produksi
perusahaan serta kemampuan mereka untuk menyediakan kebutuhan dari
user.
3. Information assets – failing to protect and preserve
Risiko ini berhubungan khusus dengan kerusakan, kehilangan, dan
eksploitasi aset informasi yang ada dalam sistem. Dampaknya bisa sangat
fatal bagi perusahaan, contohnya informasi yang penting bisa dicuri oleh
perusahaan kompetitor, detail dari kartu kredit dapat dilihat oleh pihak yang
tidak berwenang, sehingga dengan demikian akan merusak hubungan antara
pelanggan dengan perusahaan. Ini tentunya akan sangat merugikan
perusahaan.
4. Service providers and vendors – breaks in the IT value chain
Risiko ini berhubungan dengan kemampuan dari provider dan vendor. Bila
mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan
berdampak signifikan bagi sistem TI perusahaan. Dampak lainnya
berhubungan dengan dampak jangka panjang seperti kekurangan dalam
penyediaan layanan TI bagi user perusahaan tersebut.
5. Applications – flaky systems
Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan.
Aplikasi biasanya berinteraksi dengan user dan dalam suatu perusahaan
biasanya terdapat kombinasi antara software paket dan software buatan yang
diintegrasikan menjadi satu.
23
6. Infrastructure – shaky foundations
Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI.
Infrastruktur adalah suatu nama yang umum bagi komputer maupun jaringan
yang sedang dipakai dan berjalan di perusahaan tersebut. Di dalam
infrastruktur juga termasuk software, seperti sistem operasi dan sistem
database management.
Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu komponen
terbakar, dicuri, rusak maupun koneksi jaringannya sedang putus, maka
dampak dari kegagalan tersebut tergantung dari ketahanan sistem yang ada.
Apabila terdapat sitem yang sudah tidak kompatibel dengan model yang
baru, maka sistem tersebut perlu diganti. Apabila Risiko ini dapat ditangani
secara rutin, maka itu merupakan suatu perencanaan jangka panjang yang
baik.
7. Strategic and emergent – disabled by IT
Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan
strategi bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi
sangat signifikan dalam pelaksanaan bisnis secara luas. Risiko merupakan
kemampuan dari perusahaan untuk terus bergerak maju ke arah visi strategi.
Untuk tetap kompetitif diperlukan kemajuan TI untuk dipahami dan
dicocokan dengan potensi kesempatan eksploitasi bagi bisnis.
24
2.8.3 Langkah Pemecahan Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005 , p7), ada tiga langkah kunci dalam
membuat Risiko informasi teknologi berjalan untuk anda, dalam menempatkan
diri anda dalam satu posisi dimana anda dapat hidup dengan Risiko:
- Anda perlu menempatkan kepemimpinan dan manajemen yang tepat pada
tempatnya melalui teknologi informasi dan kerangka cara pengaturan Risiko.
- Anda perlu menggabungkan cara anda mengurus Risiko informasi teknologi
dengan mengadopsi sebuah pendekatan manajemen tas surat yang proaktif.
- Anda perlu mengatur kompleksitas dengan secara aktif mengatur setiap
jenis Risiko informasi teknologi.
2.9 Pengertian Manajemen
Robbins and Coulter (2007,p37), management is coordinating and overseeing
the work activities of others so that their activities are completed efficiently
and
effectively (manajemen adalah mengkoordinasi dan mengawasi aktifitas kerja orang lain
sehingga aktifitas mereka selesai dengan efektif dan efesien).
Menurut Anthony dan Govindarajan (2007,p4), manajemen adalah sebuah
organisasi yang terdiri dari orang-orang yang berada dalam sebuah grup yang bekerja
secara bersama-sama untuk mencapai tujuan tertentu.
25
2.10 Pengertian Manajemen Risiko
Menurut Djojosedarso (2003,p4), manajemen Risiko adalah pelaksanaan fungsifungsi manajemen dan penanggulangan Risiko, terutama Risiko yang dihadapi
organisasi/perusahaan, keluarga dan masyarakat.
According to Noshworthy (2000,p600), Risk management is implementation of
measures aimed at reducing the likelihood of those threats occurring and minimising
any damage if they do. Risk analysis and risk control form the basis of risk management
where risk control is the application of suitable controls to gain a balance between
security, usability and cost (manajemen Risiko adalah identifikasi dari ancaman dan
implementasi dari pengukuran yang ditujukan pada mengurangi kejadian ancaman
tersebut dan menimalisasi setiap kerusakan. Analisa Risiko dan pengontrolan Risiko
membentuk dasar manajemen Risiko dimana pengontrolan Risiko adalah aplikasi dari
pengelolaan yang cocok untuk memperoleh keseimbangan antara keamanan,
penggunaan dan biaya).
According to Peltier (2001,p224) Risk management is the process of identifying
risks, risk-mitigating measures, the budgetary effect of implementing decisions related to
the acceptance, avoidance, or transfer of risk (manajemen Risiko adalah sebuah proses
untuk mengidentifikasi Risiko, meminimalisasi Risiko, dan efek anggaran dari
pengimplementasian keputusan yang berkaitan dengan penerimaan, menghindari, atau
pemindahan Risiko).
26
2.10.1 Tujuan Manajemen Risiko
According to Birch & McEvoy(1992,p45), objective of risk management
is reduce business exposure by balancing countermeasures investment against
risk (Tujuan manajemen Risiko adalah mengurangi pembukaan bisnis dengan
menyeimbangkan tindakan balasan investasi terhadap Risiko).
According to Suh & Han(2003,p150), Objective of risk management is to
minimise the expected loss (Tujuan manajemen Risiko adalah meminimalisir
harapan dari kerugian).
According Jacobson(2002,p1), Objective of risk management is to select
risk mitigation, risk transfer and risk recovery measures so as to optimise the
performance of an organization (Tujuan manajemen Risiko adalah memilih
pengukuran peringanan Risiko, pemindahan Risiko dan pemulihan Risiko untuk
mengoptimalkan kinerja organisasi).
2.10.2 Dimensi Manajemen Risiko.
Manajemen Risiko NIST(2002,p4), mencakup tiga proses yaitu penilaian
Risiko, pengalihan Risiko dan evalusi serta penilaian. Proses penilaian Risiko
mencakup identifikasi dan evaluasi dari Risiko dan dampak Risiko, dan
rekomendasi dari pengukuran pengurangan Risiko. Proses pengalihan Risiko
mengacu pada pengukuran pengurangan Risiko yang sesuai rekomendasi dari
proses penilaian Risiko. Proses evaluasi yang bersifat terus menerus adalah kunci
dari implementasi sebuah program manajemen Risiko yang berhasil.
27
2.10.3 Fungsi Pokok Manajemen Risiko
Menurut Djojosoedarso (2003,p14), fungsi manajemen Risiko pada
pokoknya mencakup :
1) Menemukan Kerugian Potensial
Artinya berupaya untuk menemukan atau mengidentifikasi seluruh Risiko
murni yang dihadapi perusahaan, yang meliputi:
-Kerusakan fisik dari harta kekayaan perusahaan.
-Kehilangan pendapatan atau kerugian lainnya akibat terganggunya operasi
perusahaan.
-Kerugian akibat adanya tuntutan hukum dari pihak lain.
-Kerugian-kerugian yang timbul karena penipuan, tindakan-tindakan kriminal
lainnya, tidak jujurnya karyawan.
-Kerugian-kerugian yang timbul akibat karyawan kunci (keymen) meninggal
dunia, sakit atau cacat.
2) Mengevaluasi Kerugian Potensial
Artinya melakukan evaluasi dan penilaian terhadap semua kerugian potensial
yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini akan meliputi
perkiraan mengenai:
-Besarnya
kemungkinan
frekuensi
terjadinya
kerugian
artinya
memperkirakan jumlah kemungkinan terjadinya kerugian selama suatu
periode tertentu atau berapa kali terjadinya kerugian tersebut selama suatu
periode tertentu.
28
-Besarnya bahaya dari tiap-tiap kerugian, artinya menilai besarnya kerugian
yang diderita, yang biasanya dikaitkan dengan besarnya pengaruh kerugian
tersebut, terutama terhadap kondisi finansial perusahaan.
3) Memilih teknis/cara yang tepat atau menentukan suatu kombinasi dari
teknik-teknik yang tepat guna menanggulangi kerugian.
Pada pokoknya ada empat cara yang dapat dipakai untuk menanggulangi
Risiko, yaitu mengurangi kesempatan terjadinya kerugian, meretensi,
mengasuransikan, dan menghindari. Di mana tugas dari manajer Risiko
adalah memilih satu cara yang paling tepat untuk menanggulangi suatu
Risiko atau memilih suatu kombinasi dari cara-cara yang paling tepat untuk
menanggulangi Risiko.
2.10.4 Tahap Manajemen Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen
Risiko terdiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda
untuk jenis Risiko yang berbeda.
-Pengenalan/penemuan : menaruh Risiko teknologi informasi pada radar
manajemen.
-Penilaian/analisis : mengerti Risiko informasi teknologi dalam konteks tas
surat keseluruhan Risiko informasi teknologi dan menilai kemungkinan
munculnya dan pengaruhnya pada bisnis.
-Perawatan : menentukan pilihan terbaik dari beberapa langkah tindakan
yang
memungkinkan
untuk
mengatasi
menyelesaikan tindakan yang diperlukan.
Risiko,
merencanakan,
dan
29
-Pengamatan dan peninjauan : menindaklanjuti untuk memastikan apa yang
direncanakan itu dikerjakan dan mengerti perubahan yang ada pada tas surat
Risiko teknologi informasi.
2.10.5 Manajemen Identifikasi Risiko
Menurut Bandyopadhyay dan Mykytyn (1999 , p437), langkah awal pada
pengenalan Risiko adalah dengan menentukan lingkungan teknologi informasi.
Lingkungan teknologi informasi terdiri dari tiga tingkat:
A. Tingkat Aplikasi
Tingkat aplikasi berkonsentrasi pada Risiko teknis atau kegagalan
implementasi aplikasi informasi teknologi. Risiko seperti ini dapat timbul
dari sumber internal dan eksternal. Ancaman eksternal adalah bencana alam,
tindakan kompetitor, hacker, dan virus komputer.
Ancaman internal kepada aset teknologi informasi dapat datang dari akses
fisik berotoritas atau tanpa otoritas yang mengakibatkan penyalahgunaan
sistem.
Ancaman-ancaman ini dapat merusak atau menghancurkan aset informasi
teknologi seperti perangkat keras, perangkat lunak, data, personil, atau
fasilitas. Sebuah studi empiris pada keamanan komputer mengungkapkan
bahwa, pada tingkat aplikasi, manajer-manajer menganggap bencana alam
dan tindakan kecelakaan pegawai sebagai Risiko dengan tingkat terbesar.
Mereka juga melihat lingkungan komputer mainframe lebih aman daripada
lingkungan mikrokomputer.
30
B. Tingkat organisasi
Pada tingkat organisasi, fokusnya adalah pada pengaruh informasi teknologi
di semua bagian fungsional organisasi daripada pada bagian aplikasi yang
terisolasi. Bisnis-bisnis menempatkan informasi teknologi secara bertingkat
pada tingkat organisasi untuk mencapai keuntungan kompetitif.
Ketergantungan yang semakin berkembang terhadap teknologi informasi
demi mendapatkan keuntungan strategis untuk organisasi dapat membuat
organisasi menjadi sasaran berbagai jenis Risiko.
C. Tingkat interorganisasi.
Pada tingkat interorganisasi, fokusnya adalah pada Risiko teknologi
informasi pada organisasi yang beroperasi pada lingkungan jaringan.
Penggunaan teknologi informasi yang paling mutakhir dan kuat sekarang ini
mencakup jaringan yang melewati batasan organisasi. Ini adalah SI otomatis
yang dibagi oleh dua organisasi atau lebih. Perkembangan pada pemakaian
sistem
interorganisasi
(IOS)
belakangan
ini
telah
meningkatkan
produktivitas, fleksibilitas, dan tingkat kompetitifan.
2.10.6 Karakteristik Manajemen Risiko
Berdasarkan sumber dari http://ngapackers.blogspot.com/2008/11/teknikteknik-manajemen-risiko.html , manajemen Risiko yang baik mencakup elemen
– elemen :
1. Memahami bisnis perusahaan
2. Formal dan terintegrasi
Secara singkat manajemen Risiko formal tersebut mencakup :
31
a) Infrastruktur keras : ruang kerja, struktur organisasi, komputer, dsb
b) Infrastruktur lunak : budaya kehati – hatian, organisasi yang responsif
terhadap Risiko dsb.
c) Proses manajemen Risiko : identifikasi, pengukuran, dan pengelolaan
Risiko.
Untuk mencapai manajemen Risiko yang terintegrasi secara formal,
perusahaan bisa melakukan langkah sebagai berikut :
a) Mengidentifikasi semua Risiko
b) Menggunakan sisi brainstorming gabungan antara menejer perusahaan
dengan konsultan untuk mengidentifikasi semua Risiko.
c) Menghitung probabilitas dan dampak Risiko tersebut secara kuantitatif.
d) Menggunakan ukuran Risiko yang terintegrasi dan mudah dipahami oleh
organisasi secara keseluruhan.
e) Melihat ketidakkonsistenan antar bagian.
f) Mengembangkan infrastruktur Risiko
3. Menetapkan mekanisme kontrol
4. Menetapkan batas
5. Fokus pada aliran kas
6. Sistem insentif yang tepat
7. Mengembangkan budaya sadar Risiko
Untuk mendorong budaya sadar Risiko bisa dilakukan melalui :
-Menetapkan suasana keseluruhan yang kondusif untuk prilaku yang
berhati – hati, mulai dari atas dengan menunjukkan komitmen dari
manajemen puncak.
32
-Menetapkan prinsip – prinsip manajemen Risiko yang bisa mengarahkan
budaya, prilaku dan nilai Risiko dari organisasi.
-Mendorong komunikasi yang terbuka untuk mendiskusikan isu Risiko,
dampak Risiko tersebut, belajar bersama dari kejadian – kejadian di
perusahaan atau di perusahaan lain.
-Memberikan program pelatihan dan pengembangan yang berkaitan
dengan manajemen Risiko.
-Mendorong prilaku yang mendukung manajemen Risiko melalui
evaluasi dan sistem insentif yang sesuai.
2.10.7 Kerangka Kerja Manajemen Risiko
Menurut Dilan S. Batuparan (BEI NEWS Edisi 5 Tahun II, Maret-April
2001) , kerangka kerja manajemen Risiko pada dasarnya terbagi dalam tiga
tahapan kerja :
A. Identifikasi Risiko
Identifikasi Risiko adalah rangkaian proses pengenalan yang
seksama atas Risiko dan komponen Risiko yang melekat pada suatu
aktivitas atau transaksi yang diarahkan kepada proses pengukuran serta
pengelolaan Risiko yang tepat. Identifikasi Risiko adalah pondasi dimana
tahapan lainnya dalam proses Risk Management dibangun.
B. Pengukuran Risiko
Pengukuran Risiko adalah rangkaian proses yang dilakukan
dengan tujuan untuk memahami signifikansi dari akibat yang akan
ditimbulkan suatu Risiko, baik secara individual maupun portofolio,
33
terhadap tingkat kesehatan dan kelangsungan usaha. Pemahaman yang
akurat tentang signifikansi tersebut akan menjadi dasar bagi pengelolaan
Risiko yang terarah dan berhasil guna.
C. Pengelolaan Risiko
Pengelolaan Risiko pada dasarnya adalah rangkaian proses yang
dilakukan untuk meminimalisasi tingkat Risiko yang dihadapi sampai
pada batas yang dapat diterima. Secara kuantitatif upaya untuk
meminimalisasi Risiko ini dilakukan dengan menerapkan langkah langkah yang diarahkan pada turunnya (angka) hasil ukur yang diperoleh
dari proses pengukuran Risiko.
A. Identifikasi Risiko
Sebagai suatu rangkaian proses, identifikasi Risiko dimulai
dengan pemahaman tentang apa sebenarnya yang disebut sebagai Risiko.
Sebagaimana telah didefiniskan di atas, maka Risiko adalah tingkat
ketidakpastian akan terjadinya sesuatu/tidak terwujudnya sesuatu tujuan,
pada suatu periode tertentu (time horizon). Bertitik tolak dari definisi
tersebut maka terdapat dua tolok ukur penting di dalam pengertian
Risiko, yaitu :
1. Tujuan (yang ingin dicapai)/Objectives
Untuk dapat menetapkan batas-batas Risiko yang dapat diterima,
maka suatu perusahaan harus terlebih dahulu menetapkan tujuan tujuan yang ingin dicapai secara jelas. Seringkali ketidakjelasan
34
mengenai tujuan - tujuan yang ingin dicapai mengakibatkan
munculnya Risiko - Risiko yang tidak diharapkan.
2. Periode Waktu (Time Horizon)
Periode waktu yang digunakan di dalam mengukur tingkat Risiko
yang dihadapi, sangatlah tergantung pada jenis bisnis yang
dikerjakan oleh suatu perusahaan. Semakin dinamis pergerakan
faktor-faktor pasar untuk suatu jenis bisnis tertentu, semakin
singkat periode waktu yang digunakan di dalam mengukur tingkat
Risiko yang dihadapi. Contoh, seorang manajer pasar uang di
suatu bank mestinya akan melakukan pemantauan atas tingkat
Risiko yang dihadapi secara harian. Dilain pihak seorang manajer
portofolio kredit/capital market, mungkin akan menerapkan
periode waktu 1 bulan untuk melakukan pemantauan atas tingkat
Risiko yang dihadapi. Pemahaman yang benar atas kedua tolak
ukur tersebut akan sangat menentukan validitas dan efektifitas
dari konsep Risk Management yang akan dibangun.
B. Pengukuran Risiko
Pengukuran Risiko dibutuhkan sebagai dasar (tolak ukur) untuk
memahami signifikansi dari akibat (kerugian) yang akan ditimbulkan
oleh terealisirnya suatu Risiko, baik secara individual maupun portofolio,
terhadap tingkat kesehatan dan kelangsungan usaha bank. Lebih lanjut
pemahaman yang akurat tentang signifikansi tersebut akan menjadi dasar
bagi pengelolaan Risiko yang terarah dan berhasil guna.
35
1. Dimensi Risiko
Signifikansi suatu Risiko maupun portofolio Risiko dapat
diketahui/disimpulkan dengan melakukan pengukuran terhadap 2
dimensi Risiko yaitu :
- Kuantitas (quantity) Risiko, yaitu jumlah kerugian yang
mungkin muncul dari terjadinya/terealisirnya Risiko. Dimensi
kuantitas Risiko dinyatakan dalam satuan mata uang.
- Kualitas Risiko, yaitu probabilitas dari terjadinya Risiko.
Dimensi kualitas Risiko dapat dinyatakan dalam bentuk :
confidence level, matrix Risiko (tinggi, sedang, rendah), dan lainlain yang dapat menggambarkan kualitas Risiko. Dua dimensi ini
harus muncul sebagai hasil dari proses pengukuran Risiko.
2. Alat Ukur Risiko
Sebagai suatu konsep baru yang sedang terus dikembangkan,
terdapat berbagai macam metode pengukuran Risiko yang muncul
dan diujicobakan oleh para pelaku pasar.
- Value At Risk
Konsep VAR berdiri di atas dasar observasi statistik atas data-data
historis dan relatif dapat dikatakan sebagai suatu konsep yang
bersifat obyektif. VAR mengakomodasi kebutuhan untuk
mengetahui potensi kerugian atas exposure tertentu. Exposure
adalah obyek yang rentan terhadap Risiko dan berdampak pada
kinerja perusahaan apabila Risiko yang diprediksikan benar-benar
terjadi. Exposure yang paling umum berkaitan dengan ukuran
36
keuangan, misalnya harga saham, laba, pertumbuhan penjualan,
dan sebagainya. VAR juga dapat diterapkan pada berbagai level
transaksi, mulai dari individual exposure sampai pada portfolio
exposures.
- Stress Testing
Salah satu keterbatasan konsep VAR adalah bahwa VAR hanya
efektif diterapkan dalam kondisi pasar yang normal. Konsep VAR
tidak dirancang untuk memprediksikan terjadinya suatu kejadian
yang akan menyebabkan runtuhnya pasar (unexpected event)
seperti perang, bencana alam, perubahan drastis di bidang politik,
dll. Konsep Stress Testing memberikan jawaban untuk masalah
tersebut. Konsep Stress Testing dirancang sebagai suatu
pendekatan subyektif terhadap Risiko yang bagian terbesarnya
tergantung pada human judgement.
Konsep
ini
adalah
mempertanyakan,
sebuah
dan
rangkaian
berpikir
proses
tentang
eksplorasi,
kemungkinan-
kemungkinan (khususnya terkait dengan Risiko) pada saat
terjadinya sesuatu yang dianggap ”tidak mungkin” terjadi. Di
dalam konsep Stress Testing dilakukan hal-hal sebagai berikut :
a) Menyusun beberapa skenario (terjadinya unexpected event)
b) Melakukan revaluasi Risiko atas portfolio
c) Menyusun kesimpulan atas skenario-skenario tersebut.
37
- Back Testing
Suatu model hanya berguna jika model tersebut dapat
menerangkan realitas yang terjadi. Demikian pula dengan model
pengukuran Risiko. Untuk menjaga reliability dari model, maka
secara periodik suatu model pengukuran harus diuji dengan
menggunakan suatu konsep yang dikenal dengan Back Testing.
3. Metode Pengukuran Kuantitas Risiko
- Notional
Teknik pengukuran Risiko berdasarkan batas atas besarnya nilai
yang rentan terhadap Risiko (exposure).
- Sensitivitas
Teknik pengukuran berdasarkan sensitivitas eksposur terhadap
pergerakan satu unit variabel pasar.Risiko diukur berdasarkan
seberapa sensitif suatu eksposur terhadap perubahan faktor
penentu.
- Volatilitas
Teknik pengukuran berdasarkan rata-rata variasi nilai eksposur,
baik variasi negatif maupun positif .Risiko diukur berdasarkan
seberapa besar nilai eksposur berfluktuasi. Ukuran umum standar
deviasi :"Semakin besar standar deviasi suatu eksposur, semakin
berfluktuasi nilai eksposur tersebut, yang berarti semakin berisiko
eksposur atau aset tersebut.
38
4. Risiko vis a vis Pricing dan Modal
Hasil
yang
diperoleh
dari
proses
pengukuran
Risiko
menggambarkan potensi kerugian yang akan muncul dalam hal
Risiko terealisir. Dalam konsep Risk Management kerugian
tersebut harus diantisipasi dengan cara menyisihkan sejumlah
modal sebagai cushion/buffer yang akan melindungi (kemampuan
keuangan) perusahaan. Semakin tinggi Risiko yang diambil,
semakin besar pula modal yang dibutuhkan. Penyisihan sejumlah
modal (di luar PPAP) tersebut tentunya akan mengakibatkan
munculnya
opportunity
loss
bagi
perusahaan.
Sebagai
konsekuensi maka Risk Management mengenal apa yang disebut
sebagai RAROC atau Risk Adjusted Return On Capital. Konsep
pricing
yang
menggunakan
RAROC
akan
secara
jelas
memperlihatkan seberapa tinggi Risiko dari satu counterpart di
mata bank/perusahaan yang melakukan evaluasi Risiko.
C. Pengelolaan Risiko
Jika Risiko-Risiko yang dihadapi oleh perusahaan telah
diidentifikasi dan diukur maka akan dipertanyakan bagaimana cara
memberikan struktur Risiko yang terbaik bagi perusahaan. Pertanyaan
tersebut mengarah kepada upaya untuk :
1. Meningkatkan kualitas dan prediktabilitas dari pendapatan perusahaan
(earning)
untuk
(shareholder value)
mengoptimalkan
nilai
bagi
pemegang
saham
39
2. Mengurangi kemungkinan munculnya tekanan pada kemampuan
keuangan (financial distress)
3. Mempertahankan marjin operasi (operating margin).
Konsep Pengelolaan Risiko berbicara seputar alternatif cara untuk
mencapai tujuan-tujuan di atas. Pada dasarnya mekanisme Pengelolaan
Risiko dapat dikelompokkan sebagai berikut :
1. Membatasi Risiko (Mitigating Risk)
Membatasi Risiko dilakukan dengan menetapkan limit Risiko.
Penetapan Limit Risiko yang dapat diterima oleh perusahaan tidak
semata-mata dilakukan untuk membatasi Risiko yang diserap oleh
perusahaan, melainkan juga harus diarahkan kepada upaya untuk
mengoptimalkan nilai bagi pemegang saham. Pendekatan tersebut
terkait dengan konsekuensi (Modal/Capital) yang muncul dari
angka-angka Risiko yang dihasilkan dari proses pengukuran
Risiko.
2. Mengelola Risiko (Managing Risk)
Sebagaimana kita ketahui, nilai exposure yang dimiliki oleh
perusahaan dapat bergerak setiap saat sebagai akibat pergerakan
di berbagai faktor yang menentukan di pasar. Dalam kondisi
demikian, maka angka yang dihasilkan dari proses pengukuran
Risiko di awal akan berkurang validitasnya. Untuk itu maka
dibutuhkan suatu proses untuk mengembalikan profil Risiko
kembali kepada profil yang memberikan hasil optimal bagi
40
pemegang saham. Proses dimaksud dilakukan melalui berbagai
jenis transaksi yang pada dasarnya merupakan upaya untuk :
a. Menyediakan cushion/buffer untuk mengantisipasi kerugian
yang mungkin muncul dalam hal Risiko yang diambil terealisir.
b. Mengurangi/menghindarkan perusahaan dari kerugian total
(total loss) yang muncul dalam hal Risiko terealisir
c. Mengalihkan Risiko kepada pihak lain
3. Memantau Risiko (Monitoring Risk)
Pemantauan Risiko pada dasarnya adalah mekanisme yang
ditujukan untuk dapat memperoleh informasi terkini (updated)
dari profile Risiko perusahaan. Sekali lagi, Risk Management
tetaplah hanya alat bantu bagi manajemen dalam proses
pengambilan
keputusan.
Wujud
penerapan
terbaik
Risk
Management merupakan suatu proses membangun kesadaran
tentang Risiko di seluruh komponen organisasi perusahaan, suatu
proses pendidikan bagaimana menggunakan alat dan teknik yang
disediakan oleh Risk Management tanpa harus dikendalikan
olehnya, dan mengembangkan naluri pengambilan keputusan
yang kuat terhadap Risiko.
2.10.8 Pentingnya Mempelajari Manajemen Risiko
Menurut Djojosoedarso (2003, p5), bagaimana pentingnya mempelajari
manajemen Risiko dapat dilihat dari dua segi, yaitu:
41
-Seseorang sebagai anggota organisasi/perusahaan, terutama seorang manajer
akan dapat mengetahui cara- cara/metode yang tepat untuk menghindari atau
mengurangi besarnya kerugian yang diderita perusahaan, sebagi akibat
ketidakpastian terjadinya suatu peristiwa yang merugikan.
-Seseorang sebagai pribadi :
1. Dapat menjadi seorang manajer Risiko yang professional dalam jangka
waktu yang relatif lebih cepat daripada yang belum pernah mempelajarinya.
2. Dapat memberikan kontribusi yang bermanfaat bagi manajer Risiko dari
perusahaan di mana yang bersangkutan menjadi anggota.
2.11 Pengukuran Risiko Teknologi Informasi Berdasarkan OCTAVE-S
Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol 1), OCTAVE is a suite
of tools, techniques and methods for risk-based information security strategic
assessment and planning. Dapat diartikan OCTAVE adalah suatu jenis strategi
pengamanan berdasarkan teknik perencanaan dan Risiko. OCTAVE merupakan salah
satu teknik dan metode yang digunakan untuk strategi dan perencanaan risiko keamanan
informasi.
OCTAVE difokuskan pada Risiko organisasi, hasil praktek dan strategi yang
saling terkait. Ketika menerapkan OCTAVE, satu tim kecil yang terdiri dari unit
operasional (atau bisnis) dan dari departemen teknologi informasi (TI) bekerja bersamasama untuk menunjukkan kebutuhan keamanan dari organisasi, menyeimbangkan 3
aspek utama : Risiko operasional, praktek pengamanan dan teknologi.
42
Terdapat 3 jenis metode OCTAVE:
a) Metode original OCTAVE (OCTAVE ®) digunakan dalam membentuk
dasar pengetahuan OCTAVE.
b) OCTAVE-Allegro, digunakan dalam pendekatan efektif untuk keamanan
informasi dan jaminan.
c) OCTAVE-S, digunakan pada organisasi-organisasi yang lebih kecil
Metode-metode OCTAVE dapat ditemukan pada kriteria OCTAVE,
pendekatan umum untuk penghilang risiko dan pelatihan berbasis evaluasi
keamanan informasi. Kriteria OCTAVE menetapkan prinsip dasar dan atribut
manajemen risiko yang digunakan dalam metode-metode OCTAVE.
Sarana dan keuntungan metode-metode OCTAVE adalah :
-Self-directed : Sekelompok anggota organisasi dalam unit-unit bisnis yang
bekerja sama dengan divisi IT untuk mengidentifikasi kebutuhan keamanan
dari organisasi.
-Flexible : Setiap metode dapat diterapkan pada sasaran, keamanan dan
lingkungan risiko perusahaan di berbagai level.
-Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada sisi
keamanan dan menempatkan teknologi di bidang bisnis.
2.11.1 Original Octave (OCTAVE ®)
Metode OCTAVE® ini dikembangkan bersama-sama dengan perusahaan
besar (yang memiliki 300 pekerja atau lebih), tetapi ukuran bukan pertimbangan
satu-satunya. Contohnya, perusahaan besar umumnya memiliki multi-layered
hierarchy dan digunakan untuk mempertahankan penghitungan infrastruktur
43
mereka seiring dengan kemampuan internal untuk menjalankan alat evaluasi dan
menginterpretasikan hasilnya dalam hubungan dengan aset-aset yang berharga.
Metode
OCTAVE®
menggunakan
pendekatan
tiga
fase
untuk
menganalisa masalah-masalah perusahaan dan teknologi, menyusun gambaran
komprehensif dari kebutuhan keamanan informasi perusahaan yang disepakati
dalam berbagai kegiatan kerja, baik yang difasilitasi atau diselenggarakan oleh
tim analisis yang terdiri dari tiga sampai lima anggota perusahaan.
Metode ini mengambil keuntungan dari berbagai tingkatan pengetahuan
perusahaan, yang berfokus pada :
a) Identifikasi asset kritikal dan ancaman terhadap asset tersebut
b) Identifikasi kelemahan-kelemahan organisasional dan teknologikal yang
mengekspos ancaman dan menimbulkan risiko perusahaan
c) Mengembangkan strategi pelatihan berbasis proteksi dan rencanan
pengurangan risiko untuk mendukung misi dan prioritas perusahaan
Kegiatan-kegiatan tersebut didukung oleh catatan survey dan kerja yang
dapat digunakan untuk memperoleh informasi selama diskusi dan selama sesi
penyelesaian masalah.
2.11.2 OCTAVE Allegro
Octave allegro merupakan suatu metode varian modern yang berkembang
dari metode octave yang dimana berfokus pada aset informasi. Seperti metode
octave sebelumnya, octave allegro bisa ditampilkan di workshop-style,
collaborative setting, tetapi octave allegro juga cocok untuk individu yang ingin
44
menampilkan penaksiran yang berisiko tanpa keterlibatan organisasi yg
luas,keahlian dan masukan-masukan.
Fokus utama dari octave allegro adalah aset informasi, aset lain yang
penting dari organisasi adalah identifikasi dan penaksiran yang berdasarkan pada
aset informasi yg terhubung dengan aset-aset organisasi tersebut.
Octave allegro terdiri dari 8 langkah yang digabung dalam 4 tingkat:
1. Fase pertama : Pendukung penafsiran menguatkan risiko pengukuran
konsekuensi kriteria dengan pengemudi (orang yg menjalankan) organisasi :
misi organisasi, sasaran tujuan/target dan faktor yang sangat menentukan.
2. Fase kedua : Peserta membuat profile dari setiap aset informasi yang krisis
yang menentukan batasan-batasan yang jelas untuk aset, mengidentifikasi
syarat keamanannya, dan mengidentifikasi semua wadahnya.
3. Fase ketiga : Peserta mengidentifikasi ancaman pada setiap aset informasi
dalam konteks wadahnya.
4. Fase keempat : Peserta mengidentifikasi dan menganalisa risiko-risiko
pada aset informasi dan mulai dikembangkan
2.11.3 OCTAVE-S
Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol 1), OCTAVE-S
is a variation of the approach tailored to the limited means and unique
constraints typically found in small organizations (less than 100 people). Dapat
diartikan OCTAVE-S adalah variasi dari pendekatan OCTAVE yang
dikembangkan untuk kebutuhan organisasi yang kecil (kurang dari 100 orang).
45
Untuk mengelola risiko terhadap keamanan sistem informasi, maka perlu
dilakukan analisa risiko untuk mengurangi kerugian-kerugian yang mungkin
terjadi. Salah satu metode analisa risiko untuk keamanan sistem informasi suatu
organisasi atau perusahaan adalah metode OCTAVE-S (The Operationally
Critical Threat, Asset, and Vulnerability Evaluation)-Small yang mampu
mengelola risiko perusahaan dengan mengenali risiko-risiko yang mugkin terjadi
pada perusahaan dan membuat rencana penanggulangan dan mitigasi terhadap
masing-masing risiko yang telah diketahui.
Evaluasi terhadap risiko keamanan informasi yang dilakukan oleh metode
OCTAVE-S bersifat komprehensif, sistematik, terarah, dan dilakukan sendiri.
Untuk mendukung dan memudahkan pelaksanaan analisa risiko dengan
menggunakan metode OCTAVE-S, maka perlu suatu system berbasis komputer
yang mampu melakukan analisa risiko terhadap kemanan perusahaan sesuai
dengan langkah-langkah metode OCTAVE-S.
Dua aspek unik dari metode OCTAVE yang harus dipahami adalah :
-Suatu tim kecil yang terdiri dari 3-5 orang dari beberapa unit kerja
mengarahkan penggunaan OCTAVE-S secara bersama-sama, anggota tim
analisis harus memiliki pemahaman yang luas mengenai bisnis organisasi
dan proses pengamanan sehingga dapat menangani semua aktifitas
OCTAVE-S. Karena itu OCTAVE-S tidak mewajibkan adanya suatu
workshop formal dalam pengumpulan data untuk memulai suatu evaluasi.
-OCTAVE-S meliputi evaluasi terbatas dari infrastruktur selama tahap 2.
Organisasi kecil sering kali mengoutsourcekan servis dan fungsi TI
46
mereka,
sehingga
menginterpretasikan
biasanya
alat
tidak
evaluasi
bisa
menggunakan
kerentanan.
dan
Bagaimanapun,
kekurangan dari kemampuan organisasi untuk menjalankan alat seperti
itu tidak mencegah suatu organisasi dalam menentukan sebuah strategi
pengamanan.
a. Proses OCTAVE-S
Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol 1), proses
OCTAVE-S terdiri dari 3 tahap :
Phase 1 : Build Asset-Based Threat Profiles
Pada tahap ini, tim analisa mendefenisikan kriteria dampak evaluasi yang
akan dipergunakan nantinya untuk mengevaluasi Risiko. Dan juga
mengidentifikasikan aset organisasi yang penting dan mengevaluasi praktek
keamanan yang sedang berjalan dalam organisasi. Pada akhirnya, tim
mendefinisikan kebutuhan keamanan dan suatu profil ancaman untuk
masing-masing aset yang kritis.
Dalam tahap ini, proses yang terjadi adalah :
Process 1 : Identify Organizational Information
Aktifitasnya :
1.a) Establish Impact Evaluation Criteria
Langkah 1 : Mendefenisikan suatu pengukuran berdasarkan kualitasnya
(high, medium, low) yang berlawanan dengan apa yang akan dievaluasi
mengenai efek risiko dalam misi organisasi dan tujuan bisnis.
47
1.b) Identify Organizational Assets
Langkah 2 : Mengidentifikasi aset-aset yang berhubungan dengan
informasi dalam organisasi (informasi, sistem, aplikasi, orang-orang).
1.c)Evaluate Organizational Security Practices
Langkah 3 dibagi menjadi dua :
-Menentukan batasan–batasan pada setiap praktek dalam survei yang
digunakan dalam organisasi.
-Mengevaluasi
masing-masing
praktek
pengamanan
dengan
mempergunakan survei dari langkah sebelumnya.
Langkah 4 : Setelah menyelesaikan langkah 3 tentukan stoplight status
(red, yellow, or green) untuk masing-masing area praktek pengamanan.
Process 2 : Create Threat Profiles
Aktivitasnya:
2.a) Select Critical Assets
Langkah 5 : Mengkaji ulang aset-aset yang berhubungan dengan
informasi yang telah diidentifikasi pada saat langkah 2 dan memilih
kurang lebih 5 aset yang paling kritis dalam organisasi.
Langkah 6 : Memulai sebuah Critical Asset Information Worksheet
untuk masing-masing aset kritis yang ada pada Critical Asset
Information Worksheet yang sesuai.
Langkah 7 : Mencatat dasar pemikiran untuk memilih masing-masing
aset kritis pada Critical Asset Information Worksheet
Langkah 8 : Mencatat uraian untuk masing-masing aset kritis pada
Critical Asset Information Worksheet. Pertimbangkan siapa saja yang
48
menggunakan masing-masing aset kritis seperti halnya siapa saja yang
bertanggung jawab terhadap aset kritis tersebut.
Langkah 9 : Mencatat aset yang berhubungan dengan masing-masing
aset kritis pada Critical Asset Information Worksheet. Mengacu pada
Asset
Identification
Worksheet
untuk
menentukan
aset
yang
berhubungan dengan aset kritis.
2.b) Identify Security Requirements for Critical Assets
Langkah 10 : Mencatat pengamanan yang dibutuhkan untuk masingmasing aset kritis pada Critical Asset Information Worksheet.
Langkah 11 : Untuk masing-masing aset kritis, catat kebutuhan
keamanan yang paling penting pada aset-aset tersebut yang ada di
dalam Critical Asset Information Worksheet.
2.c) Identify Threats to Critical Assets
Langkah 12 : Lengkapi semua skema ancaman yang sesuai untuk
masing-masing aset yang kritis. Tandai masing-masing bagian dari tiap
skema untuk ancaman yang tidak penting terhadap aset. Saat
melengkapi langkah ini, apabila menemukan kesulitan dalam
menafsirkan sebuah ancaman dalam skema ancaman, periksa kembali
gambaran dan contoh dari ancaman tersebut dalam Threat Translation
Guide.
Langkah 13 : Mencatat contoh spesifik dari pelaku ancaman pada Risk
Profile Worksheet untuk setiap kombinasi motif pelaku yang sesuai.
49
Langkah 14 : Mencatat seberapa besar kekuatan dari motif ancaman
yang disengaja yang disebabkan oleh pelaku. Catat seberapa besar
perkiraan kekuatan motif dari pelaku.
Langkah 15 : Mencatat seberapa sering ancaman-ancaman tersebut
terjadi di masa lampau. Dan juga catat seberapa keakuratan data.
Langkah 16 : Catat area terkait untuk setiap sumber ancaman yang
sesuai. Area terkait merupakan suatu skenario yang menjelaskan
bagaimana ancaman spesifik dapat mempengaruhi aset kritis.
Phase 2 : Identify Infrastructures Vulnerabilities
Selama tahap ini, tim analisa melaksanakan high level review dari
infrastruktur organisasi, berfokus pada sejauh mana maintainers dari
infrastruktur mempertimbangkan keamanan. Tim analisa menganalisa
bagaimana orang-orang menggunakan infrastruktur untuk mengakses akses
yang kritis, menghasilkan kelas kunci dari komponen seperti halnya siapa
yang bertangggung jawab untuk mengatur dan memelihara komponen itu.
Process 3 : Examine Computing Infrastructure in Relation to Critical Assets
Aktifitasnya :
3.a) Examine Access Paths
Langkah 17 : Memilih sistem yang menarik untuk setiap aset kritis
(yaitu sistem yang paling berkaitan erat pada aset kritis.
50
Langkah 18 dibagi menjadi 5:
- Memeriksa kembali jalur yang digunakan untuk mengakses setiap aset
kritis dan memilih kelas kunci dari komponen yang berhubungan pada
masing-masing aset kritis.
- Menentukan kelas mana dari komponen yang bertugas sebagai
perantara jalur aset (yaitu komponen yang biasanya mengirimkan
informasi dan aplikasi dari system of interest kepada orang-orang).
- Menentukan kelas mana dari komponen, baik internal dan eksternal
untuk jaringan organisasi, yang digunakan oleh orang-orang (misalnya,
pengguna, penyerang) untuk mengakses sistem.
- Menentukan di mana informasi dari system of interest disimpan untuk
membuak backup.
- Menentukan sistem akses informasi dan aplikasi-aplikasi dari system
of interest dan kelas dari komponen lain yang mana yang dapat
digunakan sebagai aset yang kritis.
3.b) Analyze Technology-Related Processes
Langkah 19 dibagi menjadi 2 :
- Menetukan kelas dari komponen yang terkait dari satu atau lebih aset
kritis dan yang dapat mendukung akses ke aset-aset tersebut. Tandai
jalur pasa setiap kelas yang terpilih pada langkah 18. Mencatat
subclasses yang cocok atau contoh spesifik pada saat dibutuhkan.
51
- Untuk setiap kelas dari komponen yang didokumentasikan pada
langkah sebelumnya, catat aset kritis yang mana yang berhubungan
terhadap kelas tersebut.
Langkah
20
:
Untuk
setiap
kelas
dari
komponen
yang
didokumentasikan di langkah 19.1, catat orang atau grup yang
bertanggung jawab untuk memelihara dan mengamankan kelas
komponen tersebut.
Langkah
21
:
Untuk
setiap
kelas
dari
komponen
yang
didokumentasikan di langkah 19.1, catat sejauh mana kelas tahan
terhadap serangan jaringan. Kemudain catat bagaimana kesimpulan
tersebut didapatkan. Pada akhirnya dokumentasikan semua tambahan
konteks yang relevan terhadap analisa infrastruktur.
Phase 3: Develop Security Strategy and Plans
Selama tahap 3, tim analisa mengidentifikasikan Risiko ke aset kritis
organisasi dan memutuskan apa yang harus dilakukan terhadap aset krtitis
tersebut. Berdasarkan pada analisa dari informasi yang dikumpulkan, tim
membuat strategi perlindungan untuk organisasi dan rencana untuk
mengurangi dan mengatasi Risiko aset-aset kritis.
Process 4 : Identify and Analyze Risks
Aktifitasnya :
4.a) Evaluate Impacts of Threats
52
Langkah 22 : Menggunakan kriteria evaluasi dampak sebagai panduan,
menentukan nilai dampak (high ,medium, low) untuk setiap ancaman
yang aktif untuk masing-masing asset kritis.
4.b) Establish Probability Evaluation Criteria
Langkah 23 : Mendefenisikan ukuran kwalitatif dari pengukuran (high,
medium, low) yang bertentangan terhadap kemungkinan ancaman yang
akan terjadi pada saat evaluasi.
4.c) Evaluate Probabilites of Threats
Langkah 24 : Menggunakan kemungkinan kriteria evaluasi sebagai
suatu panduan, menentukan suatu nilai kemungkinan (high, medium,
low) untuk setiap ancaman yang aktif untuk masing-masing aset kritis.
Mendokumentasikan taraf kepercayaan pada estimasi kemungkinan
tersebut.
Process 5 : Develop Protection Strategy and Mitigation Plans
Aktifitasnya :
5.a) Describe Current Protection Strategy
Langkah 25 : Mentransfer stoplight status pada masing-masing area
praktek pengamanan terhadap area tanggapan pada Protection Strategy
Worksheet.
Untuk masing-masing area praktek pengamanan,
identifikasi pendekatan organisasi saat ini untuk menangani area
tersebut.
53
5.b) Select Mitigation Approaches
Langkah 26 : Mentransfer stoplight status dari masing-masing area
praktek pengamanan dari Security Practice Worksheet ke bagian
Security Practice Area dari masing-masing aset kritis pada Risk Profile
Worksheet.
Langkah 27 : Memilih salah satu pendekatan pengurangan Risiko
(mengurangi, menunda, menerima) untuk masing-masing Risiko aktif.
5.c) Develop Risk Mitigation Plans
Langkah 28 : Mengembangkan rencana pengurangan beban untuk
masing-masing area praktek pengamanan yang dipilih selama langkah
27.
5.d) Identify Changes to Protection Strategy
Langkah 29 : Menentukan apakah rencana pengurangan Risiko
mempengaruhi strategi pengamanan organisasi. Catat semua perubahan
apapun pada Protection Strategy Worksheet.
5.e) Identify Next Steps
Langkah 30 : Menetukan apa yang dibutuhkan oleh organisasi,
mengimplementasikan keamanan dari hasil dari evaluasi serta
meningkatkan keamanan.
54
b. OCTAVE-S outputs
Menurut Alberts, Dorofee, Steven, dan Woody (2005,vol 1), hasil utama
dari OCTAVE-S memiliki 3 strata dan meliputi :
-Organization
Wide
Protection
Strategy:
memperhatikan
praktek
pengamanan informasi.
-Risk Mitigation Plans: rencana ini dimaksudkan untuk mengurangi risiko
terhadap asset kritis dengan meningkatkan praktek keamanan yang dipilih.
-Action List: Ini termasuk tindakan jangka pendak yang digunakan untuk
menunjukkan kekurangan spesifik.
Kegunaan Output OCTAVE-S lainnya, meliputi :
- Daftar dari asset-asset yang berhubungan dengan informasi penting
yang mendukung tujuan dan sasaran bisnis organisasi.
- Hasil survey menunjukkan sejauh mana organisasi mengikuti praktek
keamanan yang baik.
- Profil Risiko untuk masing-masing asset kritis yang menggambarkan
jangkauan risiko terhadap aset tersebut.
Masing-masing tahap dari OCTAVE-S menghasilkan hasil yang dapat
dipakai bahkan suatu evaluasi kecil akan menghasilkan informasi yang berguna
untuk meningkatkan sikap keamanan organisasi.
Download