s pada pt mandala multifinance tbk

advertisement
PENGUKURAN RISIKO TEKNOLOGI
INFORMASI DENGAN PENDEKATAN
OCTAVE –S PADA PT MANDALA
MULTIFINANCE TBK
Kevin
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected]
Kelvin Jaya
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected]
Purtan Hendri Effendi
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected]
Bambang Gunawan
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected]
Abstrak
Keberadaan Teknologi Informasi merupakan sebuah kunci suatu keberhasilan sebuah perusahaan .
Dimana Teknologi Informasi dapat mendukung kemajuan bisnis suatu perusahaan. Tujuan penulisan
skripsi ini adalah mengukur manajemen risiko teknologi informasi yang sedang berjalan pada PT.Mandala
Multifinance Tbk dan membantu memberikan rekomendasi terbaik terhadap risiko yang di temukan,
Sehingga dapat membantu pihak perusahaan dalam memperbaiki manajemen risiko teknologi informasi
pada perusahaan. Metode Penelitian yang dilakukan penulis untuk mengumpulkan data dan informasi
yang di butuhkan adalah studi pustakaan dan penelitian lapangan : observasi, wawancara, serta metode
analisis yang di gunakan adalah OCTAVE-S. HASIL YANG DI CAPAI dalam pengukuran Teknologi
Informasi pada PT.MANDALA MULTIFINANCE Tbk di temukan risiko yang mungkin terjadi pada
Teknologi Informasi. KESIMPULAN Hasil penelitian yang telah di lakukan adalah manajemen risiko
informasi pada PT.MANDALA MULTIFINANCE Tbk masih memerlukan perbaikan.
Kata Kunci:
Pengukuran Risiko, Teknologi Informasi, OCTAVE-S
MEASUREMENT OF RISK INFORMATION
TECHNOLOGY USING OCTAVE-S AT
PT.MANDALA MULTIFINANCE TBK
Kevin
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected]
Kelvin Jaya
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected]
Purtan Hendri Effendi
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected]
Bambang Gunawan
Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected]
Abstract
The existence of information technology is a key to success for a company. Where information technology
can support the progress of the business of a company. The purpose of this thesis writing is a measure of
risk management information technology progress in PT. MANDALA MULTIFINANCE Tbk and help give
the best recommendations against the risk of being found, so you can help the company in improving
information technology risk management at the company. The research methods that author had done to
collect the data and the information needed is study literature and field research: observation, interview,
questionnaire and analysis method in use is the OCTAVE-S. The results achieved in the measurement of
information technology at PT.MANDALA MULTIFINANCE Tbk on discover the risks that may occur in the
information technology. Conclusion the results of the research that has been done is information risk
management at PT. MANDALA MULTIFINANCE Tbk still requires improvement.
Keyword :
Risk measurement, Information technology, OCTAVE-S
PENDAHULUAN
Dalam kehidupan sehari-hari kita sering mendengar kata “Risiko” dan sudah biasa
dipakai dalam percakapan sehari-hari oleh kebanyakan orang.Risiko dikaitkan dengan
kemungkinan kejadian atau keadaan yang dapat mengancam pencapaian tujuan dan sasaran
organisasi.Sebagaimana kita pahami dan sepakati bersama bahwa tujuan perusahaan adalah
membangun dan memperluas keuntungan kompetitif organisasi.
Risiko berhubungan dengan ketidakpastian ini terjadi karena kurangnya ketersediaan
informasi tentang apa yang akan terjadi. Sesuatu yang tidak pasti (uncertain) dapat berakibat
menguntungkan atau
merugikan. Ketidakpastian yang menimbulkan kemungkinan
menguntungkan dikenal dengan istilah peluang (opportunity), sedangkan ketidakpastian yang
menimbulkan akibat yang merugikan disebut dengan istilah risiko (risk). Dalam beberapa tahun
terakhir, manajemen risiko menjadi trend utama baik dalam perbincangan, praktik, maupun
pelatihan kerja. Hal ini secara konkret menunjukkan pentingnya manajemen risiko dalam bisnis
pada masa kini.
Untuk mengurangi risiko teknologi informasi yang dihadapi, maka perusahaan harus
mengukur risiko teknologi informasi yang ada, sehingga risiko yang berpotensi muncul dapat
diantisipasi dari awal, dan dicari cara penanganannya agar dapat meminimalisir dan mencegah
hal-hal yang tidak diinginkan.
Pengukuran risiko teknologi informasi dilakukan pada divisi development system
PT.Mandala Multifinance Tbk yang beranggotakan ± 10 orang. Dari berbagai macam teknik yang
ada untuk mengukur risiko TI, maka penulis memutuskan untuk memakai OCTAVE-S. Metode ini
merupakan variasi dari pendekatan OCTAVE, yang dikembangkan untuk mengukur risiko TI bagi
organisasi yang beranggotakan 20 sampai 80 orang, dan diharapkan juga mempunyai 3 sampai 5
orang yang memahami tentang keamanan.
Berdasarkan pada uraian latar belakang di atas maka masalah yang akan diteliti meliputi :
1.
Mendefinisikan kriteria dampak evaluasi yang akan dipergunakan untuk mengevaluasi risiko.
Juga mengidentifikasi aset perusahaan yang penting dan mengevaluasi praktek keamanan
yang sedang berjalan dalam perusahaan. Pada akhirnya, tim mengidentifikasi kebutuhan
keamanan dan suatu profil ancaman untuk masing-masing aset yang kritis.
2.
Melaksanakan high level review dari infrastruktur perusahaan yang berfokus pada sejauh
mana infrastruktur mempertimbangkan keamanan. Tim analisa menganalisa bagaimana
orang-orang menggunakan infrastruktur untuk mengakses akses yang kritis, menghasilkan
kelas kunci dari komponen seperti halnya siapa yang bertanggung jawab untuk mengatur
dan memelihara komponen itu.
3.
Mengidentifikasikan risiko ke aset kritis perusahaan dan memutuskan apa yang harus
dilakukan terhadap aset kritis tersebut. Berdasarkan pada analisa dari informasi yang
dikumpulkan, tim membuat strategi perlindungan untuk perusahaan dan rencana untuk
mengurangi dan mengatasi risiko.
Untuk lebih mengarahkan penyusunan dan penulisan skripsi ini, ruang lingkup penelitian
dibatasi pada:
1.
2.
3.
Penelitian dilakukan pada kantor pusat dan dikhususkan pada divisi development
Teknologi Informasi Perusahaan.
Penelitian dilakukan untuk melihat kinerja operasional bisnis perusahaan, terutama dalam
hal pengembangan teknologi informasi yang mencakup infrastruktur, hardware dan
software, jaringan, aplikasi dan juga sumber daya manusianya.
Penelitian dilakukan dengan menggunakan pendekatan Octave-S .
Tujuan dari penelitian adalah :
1. Untuk Mengetahui risiko-risiko yang tedapat dalam manajemen sistem
informasi teknologi pada PT.Mandala Multifinance Tbk.
2. Untuk mengetahui hasil pengukuran risiko pada PT.Mandala Multifinance
Tbk dengan menggunakan dengan metode OCTAVE-S.
3. Untuk Melakukan manajemen risiko pada PT.Mandala
Multifinance Tbk.
Manfaat :
1.
2.
Hasil Analisis dapat digunakan PT Mandala Multifinance Tbk untuk
mengetahui risiko pada teknologi informasi sebagai panduan untuk
menyempurnakan penerapan teknologi informasi secara keseluruhan.
Sebagai sarana bagi peneliti untuk memperdalam ilmu dibidang teknologi
informasi serta mempraktekan ilmu yang telah didapat mengenai
manajemen risiko berkomputer.
Metodologi Penelitian
Metode penelitian merupakan cara utama yang digunakan peneliti untuk mencapai tujuan
dan menentukan jawaban atas masalah yang diajukan.
Metode yang digunakan dalam penelitian ini adalah:
1.
2.
3.
Metode pengumpulan Data
Metode yang digunakan untuk mengumpulkan data dalam penelitian ini adalah sebagai
berikut :
Metode penelitian kepustakaan
Dengan metode ini, pengumpulan data-data yaitu berupa buku-buku yang berhubungan
dengan topic. Pengumpulan data dilakukan dengan mengunjungi perpusatakaan Universitas
Bina Nusantara.selain itu juga didapatkan data tambahan dari media elektronik.
Metode Penelitian Lapangan
Terdapat 3(Tiga) metode dalam melakukan penelitian lapangan, yaitu
a. Wawancara (Interview)
Menurut Budiarto(2003,p40) wawancara
merupakan
proses interaksi atau
komunikasi secara langsung antara pewawancara dengan responden. Dilakukan
wawancara/interview dengan kepala dari bagian IT Risk Management.
b. Pengamatan(Observasi)
Menurut Budiarto(2003,p45) observasi merupakan salah satu teknik pengumpulan
data yang menggunakan pertolongan indramata, penelitian ini dilakukan berdasarkan
pengamatan langsung dengan mengunjungi perusahaan untuk memperoleh gambaran
umum yang ada dalam perusahaan mengenai keadaan yang ada di perusahaan tersebut.
Pengamatan yang dilakukan ditekankan pada pengelolaan risiko teknologi informasi
pada perusahaan.
c. Studi Dokumentasi
Mengumpulkan dokumentasi yang terkait yang digunakan perusahaan dalam
menjalankan kegiatan operasionalnya
Teknik Analisis
Untuk melakukan manajerial risiko pada PT. Mandala Multifinance TBK, Manajemen
risiko menggunakan metode OCTAVE-S, karena dapat menyajikan langkah-langkah yang
tepat untuk mengetahui tingkat-tingkat risiko yang ada pada perusahaan.
Metode OCTAVE-S dinilai baik untuk perusahaan PT Mandala Multifinance Tbk karena
perusahaan sudah menggunakan teknologi informasi dalam proses bisnis oleh karena itu penting
sekali untuk mengukur tingkat risiko risiko yang ada dalam perusahaan tersebut, agar
perkembangan teknologi informasi dalam PT Mandala Multifinance Tbk lebih baik untuk ke
depannya.
Langkah-langkah yang dilakukan, yaitu :
1.
2.
Identifikasi Informasi Organisasi
1.1
Membangun dampak dari kriteria evaluasi.
1.2
Mengidentifikasi aset organisasi.
1.3
Mengevaluasi praktek keamanan organisasi.
Profil Ancaman
2.1
Mengevaluasi praktek keamanan organisasi.
2.2
Identifikasi kebutuhan keamanan untuk aset kritis.
2.3
Identifikasi ancaman aset kritis.
3.
4.
5.
Memeriksa Perhitungan Infrastruktur yang Berhubungan dengan Aset Kritis
3.1.
Memeriksa jalur aset
3.2
Memeriksa proses yang terkait dengan teknologi
Identifikasi dan Analisa Risiko
4.1
Mengevaluasi dampak ancaman.
4.2
Membangun kemungkinan kriteria evaluasi.
4.3
Mengevaluasi kemungkinan ancaman
Mengembangkan Strategi Perlindungan dan Rencana Mitigasi
5.1
Menggambarkan strategi perlindungan saat ini
5.2
Memilih pendekatan mitigasi
5.3
Mengembangkan rencana mitigasi risiko
5.4
Mengidentifikasi perubahan untuk strategi perlindungan
5.5
Mengidentifikasi langkah selanjutnya
OCTAVE-S adalah sebuah variasi dari pendekatan OCTAVE yang dikembangkan untuk
menemukan kebutuhan-kebutuhan kecil, organisasi-organisasi yang tidak memiliki hierarki.
Menurut Alberts et al. (2005, p5), OCTAVE-S berdasar pada 3 tahap yang dideskripsikan
dalam kriteria OCTAVE, meskipun nomor dan urutan kegiatan berbeda dari metode OCTAVE
yang digunakan. Bagian ini memberikan tinjauan singkat atas tahapan, proses, dan kegiatan
OCTAVE-S. Tahap satu adalah sebuah evaluasi dari aspek organisasi. Selama dalam tahap ini, tim
analisis menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya untuk
mengevaluasi risiko. Hal ini juga mengindentifikasi aset-aset organisasi saat ini. Dimana pada
tahap ini terdiri atas 2 proses, yaitu identifikasi informasi organisasi dan membuat profil ancaman
serta memiliki enam aktivitas.
Tahap kedua yaitu tim analisis melakukan peninjuan ulang level tinggi dari perhitungan
infrastruktur organisasi, yang berfokus pada keamanan yang di pertimbangkan pemelihara dari
infrast ruktur. Tahap ini memiliki satu proses yaitu memeriksa perhitungan infrastruktur dalam
kaitannya dengan aset yang kritis dimana terdapat aktivitas.
Tahap ketiga, tim analisis mengidentifikasi risiko dari aset kritis organisasi dan
memutuskan apa yang harus dilakukan mengenainya. Berdasarkan analisis dari kumpulan
informasi, tim membuat strategi perlindungan untuk organisai dan rencana mitigasi risiko yang
ditujukan pada aset kritis. Tahap ini terdiri atas 2 proses, 3 yaitu identifikasi dan analisis risiko
serta mengembangkan strategi perlindungan dan rencana mitigasi, di mana proses ini memiliki
delapan aktivitas.
Dari tahap-tahap yang sudah di jelaskan, berikut langkah–langkah penelitian yang kami
gunakan :
Tahap 1 : Build Asset- Based Thread Profile
Proses 1 : Identifikasi Informasi Organisasi
1.1
Membangun dampak dari kriteria evaluasi
Langkah 1 : Mendefinisikan suatu pengukuran berdasarkan kualitasnya (tinggi, sedang,
rendah) terhadap efek risiko yang akan dievaluasi dalam misi
organisasi dan tujuan bisnis organisasi.
1.2
Mengidentifikasi aset organisasi
Langkah 2 : Mengidentifikasi aset yang berhubungan dengan informasi dalam organisasi
(informasi, sistem, aplikasi dan orang).
1.3
2.1
Mengevaluasi praktek keamanan organisasi
Langkah 3 :
A. Menentukan batasan pada setiap praktek dalam survey yang digunakan
dalam organisasi.
B. Mengevaluasi praktek pengamanan dengan mempergunakan survey dari
langkah sebelumnya.
Langkah 4 : Setelah menyelesaikan langkah 3 tentukan stoplight status (merah, kuning,
hijau) untuk area praktek pengamanan.
Proses 2 : Membuat Profil Ancaman
Memilih aset kritis
Langkah 5 :
2.2
2.3
Mengkaji ulang aset yang berhubungan dengan informasi yang telah
diidentifikasi pada saat langkah dua dan memilih kurang lebih lima aset
yang paling kritis dalam organisasi.
Langkah 6 :
Memulai sebuah kertas kerja informasi aset kritis untuk stiap aset kritis.
Catat nama aset kritis pada kertas kerja informasi aset kritis yang tepat.
Langkah 7 :
Mencatat dasar pemikiran untuk memilih setiap aset kritis pada kertas
kerja informasi aset kritis.
Langkah 8 : Mencatat deskripsi untuk setiap aset kritis pada kertas kerja informasi aset
kritis. Pertimbangkan siapa saja yang menggunakan setiap aset kritis dan
yang bertanggung jawab.
Langkah 9 : Mencatat aset yang terkait dengan setiap aset kritis pada kertas kerja
informasi aset kritis. Pada kertas kerja identifikasi aset menentukan aset
yang berhubungan dengan aset kritis.
Identifikasi kebutuhan keamanan untuk aset kritis
Langkah 10 : Mencatat persyaratan pengamanan yang dibutuhkan untuk setiap aset
kritis pada kertas kerja informasi aset kritis.
Langkah 11 : Untuk setiap aset kritis, mencatat persayaratan keamanan yang paling
penting pada aset kertas kerja informasi aset kritis.
Identifikasi ancaman pada aset kritis
Langkah 12 : Lengkapi semua skema ancaman yang sesuai untuk setiap aset kritis. Tandai
setiap bagian dari tiap skema untuk ancaman yang tidak dapat diabaikan
terhadap aset.
Langkah 13 : Mencatat contoh spesifik dari pelaku ancaman pada kertas kerja profil risiko
untuk setiap kombinasi motif pelaku yang sesuai.
Langkah 14 : Mencatat kekuatan motif ancaman yang disengaja karena tindakan manusia.
Catat seberapa besar kepercayaan terhadap perkiraan kekuatan atas
motif pelaku.
Langkah 15 : Mencatat seberapa sering ancaman telah terjadi dimasa lalu. Catat seberapa
keakuratan data.
Langkah 16 : Mencatat area yang terkait untuk setiap sumber ancaman yang sesuai. Area
yang terkait menjadi suatu skenario yang mendefinisikan seberapa
spesifik ancaman dapat mempengaruhi aset kritis.
Tahap 2 : Identify Infrastructure Vulnerabilities
Proses 3 : Memeriksa Perhitungan Infrastruktur yang Berhubungan dengan Aset
Kritis
3.1
Memeriksa jalur aset
Langkah 17 : Memilih sistem yang menarik untuk setiap aset kritis, yaitu sistem yang
paling berkaitan erat dengan aset kritis.
Langkah 18a : Memeriksa jalur yang digunakan untuk mengakses setiap aset kritis dan
memilih kelas kunci dari komponen yang terkait untuk setiap aset kritis.
Langkah 18b : Menentukan kelas komponen yang berfungsi sebagai jalur aset (misalnya,
komponen yang digunakan untuk mengirimkan informasi dan aplikasi
dari sistem yang menarik untuk orang).
Langkah 18c : Menentukan kelas komponen, baik internal maupun eksternal ke jaringan
organisasi, yang digunakan oleh orang (misalnya, pengguna,
penyerang) untuk mengakses sistem.
Langkah 18d : Menentukan dimana informasi yang menarik dari sistem disimpan untuk
membuat back up.
Langkah 18e : Menentukan sistem lain yang dapat mengakses informasi atau aplikasi dari
system of interest dan kelas-kelas komponen mana yang dapat
digunakan untuk mengakses informasi penting.
3.2
Menganalisa proses yang terkait dengan teknologi
Langkah 19a : Tentukan kelas komponen yang terkait dengan satu atau lebih aset kritis
dan yang dapat memberikan akses ke aset tersebut.
Langkah 19b : Untuk setiap kelas komponen didokumentasikan dalam Langkah 19a,
perhatikan aset kritis mana yang terkait dengan kelas tersebut.
Langkah 20 : Untuk setiap kelas komponen didokumentasikan dalam Langkah 19a,
perhatikan orang atau kelompok yang bertanggung jawab untuk
memelihara dan melindungi kelas komponen.
Langkah 21 : Untuk setiap kelas komponen didokumentasikan dalam Langkah 19a,
perhatikan sejauh mana kelas tersebut dapat bertahan terhadap
serangan jaringan. Juga catat bagaimana kesimpulan tersebut
diperoleh. Akhirnya dokumen konteks tambahan yang berhubungan
dengan analisis infrastruktur.
Tahap 3 : Develop Security Strategy And Plans
Proses 4 : Identifikasi dan Analisa Risiko
4.1
Mengevaluasi dampak ancaman
Langkah 22 : Menggunakan kriteria evaluasi dampak sebagai panduan, menetapkan nilai
dampak (tinggi, sedang, atau rendah) untuk ancaman aktif setiap aset
kritis.
4.2
Membangun kemungkinan kriteria evaluasi
Langkah 23 : Tentukan ukuran kualitatif pengukuran (tinggi, sedang, rendah) terhadap
kemungkinan terjadinya ancaman yang akan di evaluasi.
4.3
Mengevaluasi kemungkinan ancaman
Langkah 24 : Menggunakan kriteria evaluasi probabilitas sebagai panduan, menetapkan
nilai probabilitas (tinggi, sedang, atau rendah) untuk masing-masing
ancaman aktif untuk setiap aset kritis.
Proses 5 : Mengembangkan Strategi Perlindungan dan Rencana Mitigasi
5.1
Menggambarkan strategi perlindungan saat ini
Langkah 25 : mengirim status spotlight dari setiap area praktek keamanan yang sesuai
dengan area yang terkait pada kertas kerja strategi perlindungan. Untuk
setiap wilayah praktek keamanan, identifikasikan pendekatan organisasi
saat ini untuk mengatasi area tersebut.
5.2
Memilih pendekatan mitigasi
Langkah 26 : mengirim status spotlight dari setiap praktek keamanan dari kertas kerja
praktek keamanan ke "area praktek keamanan" bagian (Langkah 26) dari
setiap aset kritis dari kertas kerja profil risiko.
Langkah 27 : Pilih pendekatan mitigasi (mengurangi, menunda, menerima) untuk setiap
risiko yang aktif. Untuk setiap risiko diputuskan untuk ditangani,
lingkaran satu atau lebih area praktek keamanan untuk dilaksanakan
kegiatan mitigasi.
5.3
Mengembangkan rencana mitigasi risiko
Langkah 28 : Mengembangkan rencana mitigasi untuk setiap area praktek keamanan yang
dipilih pada Langkah 27.
5.4
Mengidentifikasi perubahan untuk strategi perlindungan
Langkah 29 : Tentukan apakah rencana mitigasi mempengaruhi strategi perlindungan
organisasi. Catat setiap perubahan kertas kerja strategi perlindungan.
Selanjutnya, meninjau ulang strategi perlindungan, termasuk perubahan
yang diajukan.
5.5
Mengidentifikasi langkah selanjutnya
Langkah 30 : Tentukan apakah organisasi perlu melakukan penerapan hasil evaluasi ini
dan mengembangkan sikap keamanan.
HASIL DAN BAHASAN
Analisa Pada PT Mandala Multifinance Tbk
PT Mandala Multifinance Tbk saat ini mempunyai kategori reputasi yang baik,
terbukti pada tahun 2011 pendapatan usaha meningkat 37% dibandingkan dengan
pendapatan usaha pada tahun 2010, Pertumbuhan ekonomi Indonesia di tahun
2011semakin membaik dengan didukung oleh beberapaindikator ekonomi yang
menunjukkan peningkatansignifikan. Secara keseluruhan kondisi makroekonomi berada
dalam keadaan yang positifdan stabil di sepanjang tahun.Hal ini membawadampak baik
terhadap
pertumbuhan
Perusahaanyang
secara
keseluruhan
menunjukkan
peningkatancukup baik dengan pencapaian laba bersihmeningkat 36%.Meski begitu
Perusahaan tetapmemperhatikan faktor risiko global dan domestic dalam menjalankan
strategi usahanya.
PT Mandala Multifinance Tbk mempunyai aset aset yang penting dalam sistem
development berupa spesifikasi program, source code program, dan Standard Operating
Procedure(SOP) development. Spesifikasi program berisi tentang rancanganprogram
yang akan dibuat dalam proses pengembangan sistem dalam perusahaan dengan cara
memahami dan menyeleksi keadaan dan proses yang dilakukan pengguna untuk dapat
mendukung kebutuhan pengguna. Sumber data awal dari pengguna yang dijadikan acuan
dalam perencanaan, analisa, perancangan dan implementasi.Penggunaan acuan ini
dimaksudkan agar sistem yang dibangun bisa menjembatani kebutuhan pengguna dari
permasalahan yang dihadapinya.Source code berisi tentangkumpulan kode bahasa
pemrograman tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca
oleh komputer dan untuk menjalankan source code tersebut membutuhkan sebuah
penterjemah dalam hal ini adalah software tertentu.SOP atau Standard Operating
Procedure berisikan tentang sistem atau prosedur yang disusun untuk
memudahkan,merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan
prosesmelakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP agar para
karyawan dapat memahami dan melakukan tugasnya sesuai standar yang digariskan
perusahaan.
PT Mandala Multifinance Tbk memiliki 15 Praktik keamanan meliputi sebagai berikut :
1. Kesadaran Keamanan dan Pelatihan
Kesadaran keamanan dan pelatihan di PT.Mandala Multifinance Tbk tergolong
kurang baik. Karyawan tidak mempunyai kesadaran keamanan yang baik untuk
dilakukan saat praktek langsung, serta pelatihan hanya diberikan pada saat
penerimaan karyawan baru.
2.
Strategi Keamanan
Perusahaan
memiliki
strategi
keamanan
dan
kebijakan
dengan
mempertimbangkan tujuan perusahaan dan keamanan informasi dalam menjalani
proses bisnis. Strategi dan tujuan keamanan perusahaan telah mengalami pengkajian
secara rutin dan didokumentasikan dengan baik oleh perusahaan.
3.
Manajemen Keamanan
PT.Mandala Multifinance Tbk telah menjelaskan peran keamanan bagi
karyawan-karyawannya, agar setiap karyawan mengerti dan memahami apa arti
peran dan tanggung jawab yang akan diberikan kepada tiap-tiap individu. Dalam
pengelolaannya, PT.Mandala MultiFinance Tbk telah melakukan alokasi dana yang
cukup besar untuk praktik keamanan di perusahaan, sehingga tingkat keamanan pada
perusahaan bisa terbilang cukup aman.
4.
Peraturan dan Kebijakan Keamanan
PT Mandala Multifinance Tbk sudah memperhatikan keamanan informasi
terhadap peraturan dan kebijakan keamanan. Peraturan dan kebijakan keamanan
yang sudah ada sudah terdokumentasi dengan baik.
5.
Manajemen Keamanan dan Kolaborasi
PT.Mandala Multifinance Tbk sangat menjaga hubungan baik dengan
perusahaan lain karena perusahaan lain atau relasi merupakan aset perusahaan yang
sangat berharga untuk menjaganya, perusahaan membuat berbagai kebijakankebijakan dan prosedur-prosedur untuk bekerja sama dengan perusahaan lain.
Rencana contigency
Pada tahap contigency PT Mandala Multifinance Tbk sudah melakukan
perencanaan bila terjadi bencana alam dan pemulihan dari bencana alam. Serta
rencana kontinuitas bisnis perusahaan sudah terkontrol dengan baik dengan
banyaknya cabang yang ada diseluruh indonesia perusahaan sudah
mempertimbangkan dengan baik kebutuhan akses serta elektronik. Kesadaran dan
pemahaman karyawan akan kemungkinan rencana pemulihan bencana cukup baik
dikarenakan karyawan sudah diberikan pelatihan pada saat dini atau pada saat
mereka sebelum menjadi karyawan PT Mandala Multifinance Tbk, yang membuat
6.
mereka sadar akan tanggung jawab mereka dalam menghadapi kemungkinan
pemulihan bencana.
7.
Kontrol Akses Fisik
PT Mandala Multifinance Tbksudah mempunyai prosedur dan kebijakan dalam
menjaga akses fisik.Mengendalikan akses fisik serta menjaga informasi yang sensitif
agar tidak dapat diakses oleh pihak yang tidak berwenang.Adanya pembatasan
terhadap pengguna yang dapat mengakses ruang server (terbatas hanya oleh orangorang yang berkepentingan langsung).
8.
Pemantauan dan audit keamanan fisik
Pemantauan dan audit untuk keamanan fisik pada PT Mandala Multifinance Tbk
sudah cukup baik dilakukan. Pemantauan dan audit yang dilakukan untuk keamanan
fisik sudah baik dilakukan. Dalam pengotrolan akses fisik, karyawan ikut
berpartisipasi dalam mengontrol akses fisik.Perusahaan memiliki catatan
pemeliharaan guna dokumentasi perbaikan dan modifikasi dari komponen fisik
fasilitas.Tindakan individu yang terkait dikendalikan secara fisik dan dapat
dipertanggungjawabkan.Setiap orang yang hendak mendekati ruang server dipantau
dan diawasi apakah ada akses yang tidak sah didalamnya.Pemantau keamanan fisik
sudah dapat diverifikasi oleh perusahaan.
9.
Manajemen dan Sistem Jaringan
Perusahaan sudah memiliki rencana keamanan untuk menjaga sistem dan
jaringan yang ada dalam perusahaan.Backup atas informasi yang sensitif disimpan
dengan baik.
Pihak TI melakukan revisi software dan patch terhadap sistem informasi sesuai
rekomendasi dari bagian keamanan. Karyawan cukup baik dalam mengikuti prosedur
dan kebijakan-kebijakan yang diterapkan dalam perusahaan.
10. Pemantauan dan Audit Keamanan TI
Pada PT Mandala Multifinance Tbk sudah terdapat kebijakan keamanan dari
perusahaan, Pemantauan keamanan TI dilakukan secara rutin oleh manager TI.
11.
Pengesahan dan Otorisasi
Karyawan perusahaan memahami tanggung jawabnya dalam hal control akses.
Ada kebijakan dari perusahaan yang membatasi akses pengguna ke informasi, sistem
sensitif, aplikasi dan layanan tertentu.Terdapat juga kebijakan dan prosedur
terdokumentasi untuk mendirikan dan mengakhiri hak akses atas informasi.
12. Manajemen Kerentanan
Pengelolaan kerentanan cukup baik dilakukan ini ditunjukkan dengan adanya
evaluasi untuk menjaga kerentanan dari semua ancaman yang terjadi secara up to
date.
13. Enkripsi
PT Mandala Multifinance sendiri melakukan enskripsi yang digunakan untuk
melindungi informasi sensitif selama dalam penyimpanan .Praktek ini hanya
dilakukan oleh bagian internal perusahaan tanpa melibatkan bagian eksternal.
14. Perancangan dan arsitektur keamanan
Desain dan arsitektur keamanan perusahaan masih terus direvisi dengan
mempertimbangkan keamanan strategi, kebijakan, prosedur, dan hasil penilaian
risiko agar perkembangan perusahaan dapat berjalan dengan lebih baik.Perusahaan
tidak memiliki diagram up-to-date yang menunjukkan keamanan arsitektur dari
perusahaan.
15. Manajemen Insiden
Perusahaan memiliki prosedur resmi untuk mengidentifikasi, melaporkan, dan
menanggapi dugaan pelanggaran dan insiden .seluruh prosedur sudah
didokumentasikan dengan baik dan dilakukan pengevaluasian secara berkala oleh
divisi-divisi terkait.
Strategi Perlindungan
Berdasarkan kertas kerja profil risiko yang terdapat pada lampiran terdapat
beberapa area memiliki stoplightstatus merah. Pada PT Mandala Multifinance Tbk
memiliki praktik keamanan yang berstatus merah, yaitu:
1.
Kesadaran keamanan dan pelatihan
Saat ini perusahaan sudah mempunyai strategi pelatihan yang diberikan
secara tidak formal dan tidak didokumentasikan. Pelatihan kesadaran
keamanan hanya diberikan untuk anggota karyawan baru sebagai
bagian dari orientasi mereka dan selanjutnya karyawan belajar tentang
masalah keamanan dengan sendirinya. Disamping itu, perusahaan tidak
memiliki mekanisme untuk menyediakan anggota karyawan dengan
pembaruan berkala tentang masalah keamanan.
Rekomendasinya adalah :
1. Menyediakan pelatihan kesadaran keamanan pada seluruh
karyawan perusahaan. Dimaksudkan agar dapat membantu
perusahaan dalam meminimalkan risiko yang akan terjadi. Agar
lebih efektif diperlukan pelatihan kesadaran keamanan secara
berkala agar penerapaan keamanan akan lebih berfungsi secara
baik.
2. Menyediakan pelatihan pendukung TI secara periodik pada
karyawan TI karena perangkat TI selalu berkembang dan perlu
adanya pelatihan dalam karyawan TI agar penerapan dalam
organisasi lebih baik.
3. Memiliki mekanismeuntuk pelacakan dan verifikasi anggota
karyawan yang menerima pelatihan yang terkait dengan keamanan.
SIMPULAN DAN SARAN
Simpulan
Dari hasil penelitian yang dilakukan secara keseluruhan dengan pengukuran risiko
teknologi informasi dengan menggunakan pendekatan OCTAVE-S terhadap PT. Mandala
Multifinance Tbk dapat ditarik beberapa kesimpulan sebagai berikut :
1. Aset-aset kritis yang ada pada PT. Mandala Multifinance Tbk yaitu :
A. Source code yaitu kumpulan kode bahasa pemrograman tertentu yang
membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh komputer,
merupakan aset penting dalam pengembangan sistem development.
B. SOP Sistem atau prosedur yang disusun untuk memudahkan,merapihkan dan
menertibkan pekerjaan. Sistem ini berisi urutan prosesmelakukan pekerjaan dari awal
sampai akhir. Perusahaan membuat SOP agar para karyawan dapat memahami dan
melakukan tugasnya sesuai standar yang digariskan perusahaan.
2.
Dari 15 praktek keamanan yang dievaluasi PT Mandala Multifinance Tbk memiliki
kelemahan , yaitu kesadaran keamanan dan pelatihan.
3.
Saat perusahaan mengalami ancaman risiko TI, dampak terhadap reputasi perusahaan
tergolong baik, finansial dikategorikan baik, produktivitas perusahaaan dikategorikan
sedang, perlindungan kesehatan setiap karyawan diperusahaan dikategorikan baik,
dan denda perusahaan tergolong rendah.
4.
Kurangnya kesadaraan karyawan akan peran keamanan dan tanggung jawab mereka.
5.
PT Mandala Multifinance Tbk belum pernah melakukan pengukuran risiko
Teknologi Informasi secara menyeluruh sebelumnya. Setel
ah
kami
melakukan pengukuran risiko menggunakan OCTAVE-S ternyata terdapat ancaman
yang dapat mengganggu proses bisnis PT Mandala Multifinance Tbk.
6.
Rendahnya pengarahan tentang pentingnya kesadaran keamanan sehingga kesadaran
karyawan menjaga keamanan Teknologi Informasi rendah.
Saran
Berdasarkan hasil penelitian yang diperoleh, maka dapat diusulkan beberapa
saran :
1. Perusahaan sebaiknya menerapkan manajemen risiko teknologi informasi, sehingga
dapat mengetahui risiko-risiko teknologi informasi yang dapat terjadi serta
meminimalkan risiko-risiko tersebut.
2. Menyediakan pelatihan kesadaraan keamanan kepada seluruh karyawan perusahaan
secara rutin agar karyawan dapat mengerti bagaimana menjaga keamanan. Serta akan
meminimalkan risiko risiko.
3. Diberikan pengarahan agar karyawan dapat mengetahui pentingnya kesadaran
keamanan.
Daftar Pustaka
-
Gui,Anderes. Gondodiyoto, Sanyoto. Timotius, Irvan.(2010). PENGUKURAN RESIKO
TEKNOLOGI INFORMASI (TI)DENGAN OCTAVE-S. Universitas Bina Nusantara. Jakarta.
Retrieved 28 November 2012 from http://library.binus.ac.id/eColls/eJournal/05_Anderes_Gui.pdf
-
Alberts,Christopher. Dorofee, Audrey. Stevens, James. Woody, arol.(2006). OCTAVE-S
Implementation.Carnegie Mellon Software Engineering Institute Retrieved 28 November 2012
http://www.sei.cmu.edu/reports/04hb003.pdf
-
-
Alberts Christopher (2003). OCTAVE-S Implementation Guide, Version 1.0 Volume 1:
Introduction to OCTAVE-S. Carnegie Mellon University.
Anonim. OCTAVE-s. Retrieved 24 oktober 2009 from http://www.cert.org/octave/octaves.html
Maulana, M.M., & Supangkat, S.H. (2006).Pemodelan Framework Manajemen Risiko Teknologi
Informasi untuk Perusahaan di Negara Berkembang. Retrieved 26 September 2009
http://www.batan.go.id/sjk/eII2006/Page03/P03d.pdf- Gelinas, JR. U. J., Dull, R. B., Wheeler, P.
R., (2012). Accounting Information Systems. Mason-Ohio: South-Western Cengange Learning.
-
ISO (2009). ISO Guide 73:2009 : Risk Management – Vocabulary.
-
Diana, Anastasia dan Lilis Setiawati. (2011). Sistem Informasi Akuntansi Perancangan, Proses,
danPenerapan. Yogyakarta: Andi.
-
Hotopf, William. (2009). Embedding Risk Management At A Time Of Need – Proceedings.
London: The Institute of Risk Management
.
-
Mardi. (2011). Sistem Informasi Akuntansi. Bogor: Ghalia Indonesia.
-
Kailani, Nadief. (2011). TatakelolaTeknologiInformasiKomunikasi.Jakarta: Prima PundiRedana.
-
O’Brien, James A. &Marakas, George M. (2007). Management Information Systems.Edisi ke-7.
New York: McGraw – Hill.
-
Syafrizal, Melwin. (2007).Mengenal Hardware-Software
danPengelolaanInstalasiKomputer.Yogyakarta: Andi.w
-
Sofana, Iwan. (2008). Membangun Jaringan Komputer. Bandung: Informatika.
-
Sofana, Iwan. (2010). CISCO CCNA & Jaringan Komputer. Bandung: Informatika.
-
Gondodiyoto, Sanyoto. (2009). Pengendalian Fungsi Audit Sistem Informasi + Contoh Audit
Charter. Edisi ke-2. Jakarta: MitraWacana Media.
-
Alberts, C., Dorofee, A., Stevens, J., Woody. C. (2005). Introduction to OCTAVE-S U.S. Patent &
Trademark Office by Carnegie Mellon University, U.S:
-
Satzinger, J., Jackson, R., Burd, S. (2009). Systems Analysis & Design in a Changing World.
Boston: Course Technology Cengange Learning.
-
Shelly, G.B., Rosenblatt, H.J. (2012). System Analysis and Design. Boston: Course Technology
Cengange Learning.
RIWAYAT PENULIS
Kevin lahir di kota Jakarta pada 29 Oktober 1991. Penulis menamatkan pendidikan S1 di
Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013.
Kelvin Jaya lahir di kota Jakarta 2Agustus 1991. Penulis menamatkan pendidikan S1 di
Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013.
Purtan Hendri Effendi lahir di kota Palembang pada 20 Agustus 1990. Penulis menamatkan
pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun
2013.
Download