PENGUKURAN RISIKO TEKNOLOGI INFORMASI DENGAN PENDEKATAN OCTAVE –S PADA PT MANDALA MULTIFINANCE TBK Kevin Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected] Kelvin Jaya Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected] Purtan Hendri Effendi Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected] Bambang Gunawan Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected] Abstrak Keberadaan Teknologi Informasi merupakan sebuah kunci suatu keberhasilan sebuah perusahaan . Dimana Teknologi Informasi dapat mendukung kemajuan bisnis suatu perusahaan. Tujuan penulisan skripsi ini adalah mengukur manajemen risiko teknologi informasi yang sedang berjalan pada PT.Mandala Multifinance Tbk dan membantu memberikan rekomendasi terbaik terhadap risiko yang di temukan, Sehingga dapat membantu pihak perusahaan dalam memperbaiki manajemen risiko teknologi informasi pada perusahaan. Metode Penelitian yang dilakukan penulis untuk mengumpulkan data dan informasi yang di butuhkan adalah studi pustakaan dan penelitian lapangan : observasi, wawancara, serta metode analisis yang di gunakan adalah OCTAVE-S. HASIL YANG DI CAPAI dalam pengukuran Teknologi Informasi pada PT.MANDALA MULTIFINANCE Tbk di temukan risiko yang mungkin terjadi pada Teknologi Informasi. KESIMPULAN Hasil penelitian yang telah di lakukan adalah manajemen risiko informasi pada PT.MANDALA MULTIFINANCE Tbk masih memerlukan perbaikan. Kata Kunci: Pengukuran Risiko, Teknologi Informasi, OCTAVE-S MEASUREMENT OF RISK INFORMATION TECHNOLOGY USING OCTAVE-S AT PT.MANDALA MULTIFINANCE TBK Kevin Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected] Kelvin Jaya Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected] Purtan Hendri Effendi Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected] Bambang Gunawan Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, [email protected] Abstract The existence of information technology is a key to success for a company. Where information technology can support the progress of the business of a company. The purpose of this thesis writing is a measure of risk management information technology progress in PT. MANDALA MULTIFINANCE Tbk and help give the best recommendations against the risk of being found, so you can help the company in improving information technology risk management at the company. The research methods that author had done to collect the data and the information needed is study literature and field research: observation, interview, questionnaire and analysis method in use is the OCTAVE-S. The results achieved in the measurement of information technology at PT.MANDALA MULTIFINANCE Tbk on discover the risks that may occur in the information technology. Conclusion the results of the research that has been done is information risk management at PT. MANDALA MULTIFINANCE Tbk still requires improvement. Keyword : Risk measurement, Information technology, OCTAVE-S PENDAHULUAN Dalam kehidupan sehari-hari kita sering mendengar kata “Risiko” dan sudah biasa dipakai dalam percakapan sehari-hari oleh kebanyakan orang.Risiko dikaitkan dengan kemungkinan kejadian atau keadaan yang dapat mengancam pencapaian tujuan dan sasaran organisasi.Sebagaimana kita pahami dan sepakati bersama bahwa tujuan perusahaan adalah membangun dan memperluas keuntungan kompetitif organisasi. Risiko berhubungan dengan ketidakpastian ini terjadi karena kurangnya ketersediaan informasi tentang apa yang akan terjadi. Sesuatu yang tidak pasti (uncertain) dapat berakibat menguntungkan atau merugikan. Ketidakpastian yang menimbulkan kemungkinan menguntungkan dikenal dengan istilah peluang (opportunity), sedangkan ketidakpastian yang menimbulkan akibat yang merugikan disebut dengan istilah risiko (risk). Dalam beberapa tahun terakhir, manajemen risiko menjadi trend utama baik dalam perbincangan, praktik, maupun pelatihan kerja. Hal ini secara konkret menunjukkan pentingnya manajemen risiko dalam bisnis pada masa kini. Untuk mengurangi risiko teknologi informasi yang dihadapi, maka perusahaan harus mengukur risiko teknologi informasi yang ada, sehingga risiko yang berpotensi muncul dapat diantisipasi dari awal, dan dicari cara penanganannya agar dapat meminimalisir dan mencegah hal-hal yang tidak diinginkan. Pengukuran risiko teknologi informasi dilakukan pada divisi development system PT.Mandala Multifinance Tbk yang beranggotakan ± 10 orang. Dari berbagai macam teknik yang ada untuk mengukur risiko TI, maka penulis memutuskan untuk memakai OCTAVE-S. Metode ini merupakan variasi dari pendekatan OCTAVE, yang dikembangkan untuk mengukur risiko TI bagi organisasi yang beranggotakan 20 sampai 80 orang, dan diharapkan juga mempunyai 3 sampai 5 orang yang memahami tentang keamanan. Berdasarkan pada uraian latar belakang di atas maka masalah yang akan diteliti meliputi : 1. Mendefinisikan kriteria dampak evaluasi yang akan dipergunakan untuk mengevaluasi risiko. Juga mengidentifikasi aset perusahaan yang penting dan mengevaluasi praktek keamanan yang sedang berjalan dalam perusahaan. Pada akhirnya, tim mengidentifikasi kebutuhan keamanan dan suatu profil ancaman untuk masing-masing aset yang kritis. 2. Melaksanakan high level review dari infrastruktur perusahaan yang berfokus pada sejauh mana infrastruktur mempertimbangkan keamanan. Tim analisa menganalisa bagaimana orang-orang menggunakan infrastruktur untuk mengakses akses yang kritis, menghasilkan kelas kunci dari komponen seperti halnya siapa yang bertanggung jawab untuk mengatur dan memelihara komponen itu. 3. Mengidentifikasikan risiko ke aset kritis perusahaan dan memutuskan apa yang harus dilakukan terhadap aset kritis tersebut. Berdasarkan pada analisa dari informasi yang dikumpulkan, tim membuat strategi perlindungan untuk perusahaan dan rencana untuk mengurangi dan mengatasi risiko. Untuk lebih mengarahkan penyusunan dan penulisan skripsi ini, ruang lingkup penelitian dibatasi pada: 1. 2. 3. Penelitian dilakukan pada kantor pusat dan dikhususkan pada divisi development Teknologi Informasi Perusahaan. Penelitian dilakukan untuk melihat kinerja operasional bisnis perusahaan, terutama dalam hal pengembangan teknologi informasi yang mencakup infrastruktur, hardware dan software, jaringan, aplikasi dan juga sumber daya manusianya. Penelitian dilakukan dengan menggunakan pendekatan Octave-S . Tujuan dari penelitian adalah : 1. Untuk Mengetahui risiko-risiko yang tedapat dalam manajemen sistem informasi teknologi pada PT.Mandala Multifinance Tbk. 2. Untuk mengetahui hasil pengukuran risiko pada PT.Mandala Multifinance Tbk dengan menggunakan dengan metode OCTAVE-S. 3. Untuk Melakukan manajemen risiko pada PT.Mandala Multifinance Tbk. Manfaat : 1. 2. Hasil Analisis dapat digunakan PT Mandala Multifinance Tbk untuk mengetahui risiko pada teknologi informasi sebagai panduan untuk menyempurnakan penerapan teknologi informasi secara keseluruhan. Sebagai sarana bagi peneliti untuk memperdalam ilmu dibidang teknologi informasi serta mempraktekan ilmu yang telah didapat mengenai manajemen risiko berkomputer. Metodologi Penelitian Metode penelitian merupakan cara utama yang digunakan peneliti untuk mencapai tujuan dan menentukan jawaban atas masalah yang diajukan. Metode yang digunakan dalam penelitian ini adalah: 1. 2. 3. Metode pengumpulan Data Metode yang digunakan untuk mengumpulkan data dalam penelitian ini adalah sebagai berikut : Metode penelitian kepustakaan Dengan metode ini, pengumpulan data-data yaitu berupa buku-buku yang berhubungan dengan topic. Pengumpulan data dilakukan dengan mengunjungi perpusatakaan Universitas Bina Nusantara.selain itu juga didapatkan data tambahan dari media elektronik. Metode Penelitian Lapangan Terdapat 3(Tiga) metode dalam melakukan penelitian lapangan, yaitu a. Wawancara (Interview) Menurut Budiarto(2003,p40) wawancara merupakan proses interaksi atau komunikasi secara langsung antara pewawancara dengan responden. Dilakukan wawancara/interview dengan kepala dari bagian IT Risk Management. b. Pengamatan(Observasi) Menurut Budiarto(2003,p45) observasi merupakan salah satu teknik pengumpulan data yang menggunakan pertolongan indramata, penelitian ini dilakukan berdasarkan pengamatan langsung dengan mengunjungi perusahaan untuk memperoleh gambaran umum yang ada dalam perusahaan mengenai keadaan yang ada di perusahaan tersebut. Pengamatan yang dilakukan ditekankan pada pengelolaan risiko teknologi informasi pada perusahaan. c. Studi Dokumentasi Mengumpulkan dokumentasi yang terkait yang digunakan perusahaan dalam menjalankan kegiatan operasionalnya Teknik Analisis Untuk melakukan manajerial risiko pada PT. Mandala Multifinance TBK, Manajemen risiko menggunakan metode OCTAVE-S, karena dapat menyajikan langkah-langkah yang tepat untuk mengetahui tingkat-tingkat risiko yang ada pada perusahaan. Metode OCTAVE-S dinilai baik untuk perusahaan PT Mandala Multifinance Tbk karena perusahaan sudah menggunakan teknologi informasi dalam proses bisnis oleh karena itu penting sekali untuk mengukur tingkat risiko risiko yang ada dalam perusahaan tersebut, agar perkembangan teknologi informasi dalam PT Mandala Multifinance Tbk lebih baik untuk ke depannya. Langkah-langkah yang dilakukan, yaitu : 1. 2. Identifikasi Informasi Organisasi 1.1 Membangun dampak dari kriteria evaluasi. 1.2 Mengidentifikasi aset organisasi. 1.3 Mengevaluasi praktek keamanan organisasi. Profil Ancaman 2.1 Mengevaluasi praktek keamanan organisasi. 2.2 Identifikasi kebutuhan keamanan untuk aset kritis. 2.3 Identifikasi ancaman aset kritis. 3. 4. 5. Memeriksa Perhitungan Infrastruktur yang Berhubungan dengan Aset Kritis 3.1. Memeriksa jalur aset 3.2 Memeriksa proses yang terkait dengan teknologi Identifikasi dan Analisa Risiko 4.1 Mengevaluasi dampak ancaman. 4.2 Membangun kemungkinan kriteria evaluasi. 4.3 Mengevaluasi kemungkinan ancaman Mengembangkan Strategi Perlindungan dan Rencana Mitigasi 5.1 Menggambarkan strategi perlindungan saat ini 5.2 Memilih pendekatan mitigasi 5.3 Mengembangkan rencana mitigasi risiko 5.4 Mengidentifikasi perubahan untuk strategi perlindungan 5.5 Mengidentifikasi langkah selanjutnya OCTAVE-S adalah sebuah variasi dari pendekatan OCTAVE yang dikembangkan untuk menemukan kebutuhan-kebutuhan kecil, organisasi-organisasi yang tidak memiliki hierarki. Menurut Alberts et al. (2005, p5), OCTAVE-S berdasar pada 3 tahap yang dideskripsikan dalam kriteria OCTAVE, meskipun nomor dan urutan kegiatan berbeda dari metode OCTAVE yang digunakan. Bagian ini memberikan tinjauan singkat atas tahapan, proses, dan kegiatan OCTAVE-S. Tahap satu adalah sebuah evaluasi dari aspek organisasi. Selama dalam tahap ini, tim analisis menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya untuk mengevaluasi risiko. Hal ini juga mengindentifikasi aset-aset organisasi saat ini. Dimana pada tahap ini terdiri atas 2 proses, yaitu identifikasi informasi organisasi dan membuat profil ancaman serta memiliki enam aktivitas. Tahap kedua yaitu tim analisis melakukan peninjuan ulang level tinggi dari perhitungan infrastruktur organisasi, yang berfokus pada keamanan yang di pertimbangkan pemelihara dari infrast ruktur. Tahap ini memiliki satu proses yaitu memeriksa perhitungan infrastruktur dalam kaitannya dengan aset yang kritis dimana terdapat aktivitas. Tahap ketiga, tim analisis mengidentifikasi risiko dari aset kritis organisasi dan memutuskan apa yang harus dilakukan mengenainya. Berdasarkan analisis dari kumpulan informasi, tim membuat strategi perlindungan untuk organisai dan rencana mitigasi risiko yang ditujukan pada aset kritis. Tahap ini terdiri atas 2 proses, 3 yaitu identifikasi dan analisis risiko serta mengembangkan strategi perlindungan dan rencana mitigasi, di mana proses ini memiliki delapan aktivitas. Dari tahap-tahap yang sudah di jelaskan, berikut langkah–langkah penelitian yang kami gunakan : Tahap 1 : Build Asset- Based Thread Profile Proses 1 : Identifikasi Informasi Organisasi 1.1 Membangun dampak dari kriteria evaluasi Langkah 1 : Mendefinisikan suatu pengukuran berdasarkan kualitasnya (tinggi, sedang, rendah) terhadap efek risiko yang akan dievaluasi dalam misi organisasi dan tujuan bisnis organisasi. 1.2 Mengidentifikasi aset organisasi Langkah 2 : Mengidentifikasi aset yang berhubungan dengan informasi dalam organisasi (informasi, sistem, aplikasi dan orang). 1.3 2.1 Mengevaluasi praktek keamanan organisasi Langkah 3 : A. Menentukan batasan pada setiap praktek dalam survey yang digunakan dalam organisasi. B. Mengevaluasi praktek pengamanan dengan mempergunakan survey dari langkah sebelumnya. Langkah 4 : Setelah menyelesaikan langkah 3 tentukan stoplight status (merah, kuning, hijau) untuk area praktek pengamanan. Proses 2 : Membuat Profil Ancaman Memilih aset kritis Langkah 5 : 2.2 2.3 Mengkaji ulang aset yang berhubungan dengan informasi yang telah diidentifikasi pada saat langkah dua dan memilih kurang lebih lima aset yang paling kritis dalam organisasi. Langkah 6 : Memulai sebuah kertas kerja informasi aset kritis untuk stiap aset kritis. Catat nama aset kritis pada kertas kerja informasi aset kritis yang tepat. Langkah 7 : Mencatat dasar pemikiran untuk memilih setiap aset kritis pada kertas kerja informasi aset kritis. Langkah 8 : Mencatat deskripsi untuk setiap aset kritis pada kertas kerja informasi aset kritis. Pertimbangkan siapa saja yang menggunakan setiap aset kritis dan yang bertanggung jawab. Langkah 9 : Mencatat aset yang terkait dengan setiap aset kritis pada kertas kerja informasi aset kritis. Pada kertas kerja identifikasi aset menentukan aset yang berhubungan dengan aset kritis. Identifikasi kebutuhan keamanan untuk aset kritis Langkah 10 : Mencatat persyaratan pengamanan yang dibutuhkan untuk setiap aset kritis pada kertas kerja informasi aset kritis. Langkah 11 : Untuk setiap aset kritis, mencatat persayaratan keamanan yang paling penting pada aset kertas kerja informasi aset kritis. Identifikasi ancaman pada aset kritis Langkah 12 : Lengkapi semua skema ancaman yang sesuai untuk setiap aset kritis. Tandai setiap bagian dari tiap skema untuk ancaman yang tidak dapat diabaikan terhadap aset. Langkah 13 : Mencatat contoh spesifik dari pelaku ancaman pada kertas kerja profil risiko untuk setiap kombinasi motif pelaku yang sesuai. Langkah 14 : Mencatat kekuatan motif ancaman yang disengaja karena tindakan manusia. Catat seberapa besar kepercayaan terhadap perkiraan kekuatan atas motif pelaku. Langkah 15 : Mencatat seberapa sering ancaman telah terjadi dimasa lalu. Catat seberapa keakuratan data. Langkah 16 : Mencatat area yang terkait untuk setiap sumber ancaman yang sesuai. Area yang terkait menjadi suatu skenario yang mendefinisikan seberapa spesifik ancaman dapat mempengaruhi aset kritis. Tahap 2 : Identify Infrastructure Vulnerabilities Proses 3 : Memeriksa Perhitungan Infrastruktur yang Berhubungan dengan Aset Kritis 3.1 Memeriksa jalur aset Langkah 17 : Memilih sistem yang menarik untuk setiap aset kritis, yaitu sistem yang paling berkaitan erat dengan aset kritis. Langkah 18a : Memeriksa jalur yang digunakan untuk mengakses setiap aset kritis dan memilih kelas kunci dari komponen yang terkait untuk setiap aset kritis. Langkah 18b : Menentukan kelas komponen yang berfungsi sebagai jalur aset (misalnya, komponen yang digunakan untuk mengirimkan informasi dan aplikasi dari sistem yang menarik untuk orang). Langkah 18c : Menentukan kelas komponen, baik internal maupun eksternal ke jaringan organisasi, yang digunakan oleh orang (misalnya, pengguna, penyerang) untuk mengakses sistem. Langkah 18d : Menentukan dimana informasi yang menarik dari sistem disimpan untuk membuat back up. Langkah 18e : Menentukan sistem lain yang dapat mengakses informasi atau aplikasi dari system of interest dan kelas-kelas komponen mana yang dapat digunakan untuk mengakses informasi penting. 3.2 Menganalisa proses yang terkait dengan teknologi Langkah 19a : Tentukan kelas komponen yang terkait dengan satu atau lebih aset kritis dan yang dapat memberikan akses ke aset tersebut. Langkah 19b : Untuk setiap kelas komponen didokumentasikan dalam Langkah 19a, perhatikan aset kritis mana yang terkait dengan kelas tersebut. Langkah 20 : Untuk setiap kelas komponen didokumentasikan dalam Langkah 19a, perhatikan orang atau kelompok yang bertanggung jawab untuk memelihara dan melindungi kelas komponen. Langkah 21 : Untuk setiap kelas komponen didokumentasikan dalam Langkah 19a, perhatikan sejauh mana kelas tersebut dapat bertahan terhadap serangan jaringan. Juga catat bagaimana kesimpulan tersebut diperoleh. Akhirnya dokumen konteks tambahan yang berhubungan dengan analisis infrastruktur. Tahap 3 : Develop Security Strategy And Plans Proses 4 : Identifikasi dan Analisa Risiko 4.1 Mengevaluasi dampak ancaman Langkah 22 : Menggunakan kriteria evaluasi dampak sebagai panduan, menetapkan nilai dampak (tinggi, sedang, atau rendah) untuk ancaman aktif setiap aset kritis. 4.2 Membangun kemungkinan kriteria evaluasi Langkah 23 : Tentukan ukuran kualitatif pengukuran (tinggi, sedang, rendah) terhadap kemungkinan terjadinya ancaman yang akan di evaluasi. 4.3 Mengevaluasi kemungkinan ancaman Langkah 24 : Menggunakan kriteria evaluasi probabilitas sebagai panduan, menetapkan nilai probabilitas (tinggi, sedang, atau rendah) untuk masing-masing ancaman aktif untuk setiap aset kritis. Proses 5 : Mengembangkan Strategi Perlindungan dan Rencana Mitigasi 5.1 Menggambarkan strategi perlindungan saat ini Langkah 25 : mengirim status spotlight dari setiap area praktek keamanan yang sesuai dengan area yang terkait pada kertas kerja strategi perlindungan. Untuk setiap wilayah praktek keamanan, identifikasikan pendekatan organisasi saat ini untuk mengatasi area tersebut. 5.2 Memilih pendekatan mitigasi Langkah 26 : mengirim status spotlight dari setiap praktek keamanan dari kertas kerja praktek keamanan ke "area praktek keamanan" bagian (Langkah 26) dari setiap aset kritis dari kertas kerja profil risiko. Langkah 27 : Pilih pendekatan mitigasi (mengurangi, menunda, menerima) untuk setiap risiko yang aktif. Untuk setiap risiko diputuskan untuk ditangani, lingkaran satu atau lebih area praktek keamanan untuk dilaksanakan kegiatan mitigasi. 5.3 Mengembangkan rencana mitigasi risiko Langkah 28 : Mengembangkan rencana mitigasi untuk setiap area praktek keamanan yang dipilih pada Langkah 27. 5.4 Mengidentifikasi perubahan untuk strategi perlindungan Langkah 29 : Tentukan apakah rencana mitigasi mempengaruhi strategi perlindungan organisasi. Catat setiap perubahan kertas kerja strategi perlindungan. Selanjutnya, meninjau ulang strategi perlindungan, termasuk perubahan yang diajukan. 5.5 Mengidentifikasi langkah selanjutnya Langkah 30 : Tentukan apakah organisasi perlu melakukan penerapan hasil evaluasi ini dan mengembangkan sikap keamanan. HASIL DAN BAHASAN Analisa Pada PT Mandala Multifinance Tbk PT Mandala Multifinance Tbk saat ini mempunyai kategori reputasi yang baik, terbukti pada tahun 2011 pendapatan usaha meningkat 37% dibandingkan dengan pendapatan usaha pada tahun 2010, Pertumbuhan ekonomi Indonesia di tahun 2011semakin membaik dengan didukung oleh beberapaindikator ekonomi yang menunjukkan peningkatansignifikan. Secara keseluruhan kondisi makroekonomi berada dalam keadaan yang positifdan stabil di sepanjang tahun.Hal ini membawadampak baik terhadap pertumbuhan Perusahaanyang secara keseluruhan menunjukkan peningkatancukup baik dengan pencapaian laba bersihmeningkat 36%.Meski begitu Perusahaan tetapmemperhatikan faktor risiko global dan domestic dalam menjalankan strategi usahanya. PT Mandala Multifinance Tbk mempunyai aset aset yang penting dalam sistem development berupa spesifikasi program, source code program, dan Standard Operating Procedure(SOP) development. Spesifikasi program berisi tentang rancanganprogram yang akan dibuat dalam proses pengembangan sistem dalam perusahaan dengan cara memahami dan menyeleksi keadaan dan proses yang dilakukan pengguna untuk dapat mendukung kebutuhan pengguna. Sumber data awal dari pengguna yang dijadikan acuan dalam perencanaan, analisa, perancangan dan implementasi.Penggunaan acuan ini dimaksudkan agar sistem yang dibangun bisa menjembatani kebutuhan pengguna dari permasalahan yang dihadapinya.Source code berisi tentangkumpulan kode bahasa pemrograman tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh komputer dan untuk menjalankan source code tersebut membutuhkan sebuah penterjemah dalam hal ini adalah software tertentu.SOP atau Standard Operating Procedure berisikan tentang sistem atau prosedur yang disusun untuk memudahkan,merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan prosesmelakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP agar para karyawan dapat memahami dan melakukan tugasnya sesuai standar yang digariskan perusahaan. PT Mandala Multifinance Tbk memiliki 15 Praktik keamanan meliputi sebagai berikut : 1. Kesadaran Keamanan dan Pelatihan Kesadaran keamanan dan pelatihan di PT.Mandala Multifinance Tbk tergolong kurang baik. Karyawan tidak mempunyai kesadaran keamanan yang baik untuk dilakukan saat praktek langsung, serta pelatihan hanya diberikan pada saat penerimaan karyawan baru. 2. Strategi Keamanan Perusahaan memiliki strategi keamanan dan kebijakan dengan mempertimbangkan tujuan perusahaan dan keamanan informasi dalam menjalani proses bisnis. Strategi dan tujuan keamanan perusahaan telah mengalami pengkajian secara rutin dan didokumentasikan dengan baik oleh perusahaan. 3. Manajemen Keamanan PT.Mandala Multifinance Tbk telah menjelaskan peran keamanan bagi karyawan-karyawannya, agar setiap karyawan mengerti dan memahami apa arti peran dan tanggung jawab yang akan diberikan kepada tiap-tiap individu. Dalam pengelolaannya, PT.Mandala MultiFinance Tbk telah melakukan alokasi dana yang cukup besar untuk praktik keamanan di perusahaan, sehingga tingkat keamanan pada perusahaan bisa terbilang cukup aman. 4. Peraturan dan Kebijakan Keamanan PT Mandala Multifinance Tbk sudah memperhatikan keamanan informasi terhadap peraturan dan kebijakan keamanan. Peraturan dan kebijakan keamanan yang sudah ada sudah terdokumentasi dengan baik. 5. Manajemen Keamanan dan Kolaborasi PT.Mandala Multifinance Tbk sangat menjaga hubungan baik dengan perusahaan lain karena perusahaan lain atau relasi merupakan aset perusahaan yang sangat berharga untuk menjaganya, perusahaan membuat berbagai kebijakankebijakan dan prosedur-prosedur untuk bekerja sama dengan perusahaan lain. Rencana contigency Pada tahap contigency PT Mandala Multifinance Tbk sudah melakukan perencanaan bila terjadi bencana alam dan pemulihan dari bencana alam. Serta rencana kontinuitas bisnis perusahaan sudah terkontrol dengan baik dengan banyaknya cabang yang ada diseluruh indonesia perusahaan sudah mempertimbangkan dengan baik kebutuhan akses serta elektronik. Kesadaran dan pemahaman karyawan akan kemungkinan rencana pemulihan bencana cukup baik dikarenakan karyawan sudah diberikan pelatihan pada saat dini atau pada saat mereka sebelum menjadi karyawan PT Mandala Multifinance Tbk, yang membuat 6. mereka sadar akan tanggung jawab mereka dalam menghadapi kemungkinan pemulihan bencana. 7. Kontrol Akses Fisik PT Mandala Multifinance Tbksudah mempunyai prosedur dan kebijakan dalam menjaga akses fisik.Mengendalikan akses fisik serta menjaga informasi yang sensitif agar tidak dapat diakses oleh pihak yang tidak berwenang.Adanya pembatasan terhadap pengguna yang dapat mengakses ruang server (terbatas hanya oleh orangorang yang berkepentingan langsung). 8. Pemantauan dan audit keamanan fisik Pemantauan dan audit untuk keamanan fisik pada PT Mandala Multifinance Tbk sudah cukup baik dilakukan. Pemantauan dan audit yang dilakukan untuk keamanan fisik sudah baik dilakukan. Dalam pengotrolan akses fisik, karyawan ikut berpartisipasi dalam mengontrol akses fisik.Perusahaan memiliki catatan pemeliharaan guna dokumentasi perbaikan dan modifikasi dari komponen fisik fasilitas.Tindakan individu yang terkait dikendalikan secara fisik dan dapat dipertanggungjawabkan.Setiap orang yang hendak mendekati ruang server dipantau dan diawasi apakah ada akses yang tidak sah didalamnya.Pemantau keamanan fisik sudah dapat diverifikasi oleh perusahaan. 9. Manajemen dan Sistem Jaringan Perusahaan sudah memiliki rencana keamanan untuk menjaga sistem dan jaringan yang ada dalam perusahaan.Backup atas informasi yang sensitif disimpan dengan baik. Pihak TI melakukan revisi software dan patch terhadap sistem informasi sesuai rekomendasi dari bagian keamanan. Karyawan cukup baik dalam mengikuti prosedur dan kebijakan-kebijakan yang diterapkan dalam perusahaan. 10. Pemantauan dan Audit Keamanan TI Pada PT Mandala Multifinance Tbk sudah terdapat kebijakan keamanan dari perusahaan, Pemantauan keamanan TI dilakukan secara rutin oleh manager TI. 11. Pengesahan dan Otorisasi Karyawan perusahaan memahami tanggung jawabnya dalam hal control akses. Ada kebijakan dari perusahaan yang membatasi akses pengguna ke informasi, sistem sensitif, aplikasi dan layanan tertentu.Terdapat juga kebijakan dan prosedur terdokumentasi untuk mendirikan dan mengakhiri hak akses atas informasi. 12. Manajemen Kerentanan Pengelolaan kerentanan cukup baik dilakukan ini ditunjukkan dengan adanya evaluasi untuk menjaga kerentanan dari semua ancaman yang terjadi secara up to date. 13. Enkripsi PT Mandala Multifinance sendiri melakukan enskripsi yang digunakan untuk melindungi informasi sensitif selama dalam penyimpanan .Praktek ini hanya dilakukan oleh bagian internal perusahaan tanpa melibatkan bagian eksternal. 14. Perancangan dan arsitektur keamanan Desain dan arsitektur keamanan perusahaan masih terus direvisi dengan mempertimbangkan keamanan strategi, kebijakan, prosedur, dan hasil penilaian risiko agar perkembangan perusahaan dapat berjalan dengan lebih baik.Perusahaan tidak memiliki diagram up-to-date yang menunjukkan keamanan arsitektur dari perusahaan. 15. Manajemen Insiden Perusahaan memiliki prosedur resmi untuk mengidentifikasi, melaporkan, dan menanggapi dugaan pelanggaran dan insiden .seluruh prosedur sudah didokumentasikan dengan baik dan dilakukan pengevaluasian secara berkala oleh divisi-divisi terkait. Strategi Perlindungan Berdasarkan kertas kerja profil risiko yang terdapat pada lampiran terdapat beberapa area memiliki stoplightstatus merah. Pada PT Mandala Multifinance Tbk memiliki praktik keamanan yang berstatus merah, yaitu: 1. Kesadaran keamanan dan pelatihan Saat ini perusahaan sudah mempunyai strategi pelatihan yang diberikan secara tidak formal dan tidak didokumentasikan. Pelatihan kesadaran keamanan hanya diberikan untuk anggota karyawan baru sebagai bagian dari orientasi mereka dan selanjutnya karyawan belajar tentang masalah keamanan dengan sendirinya. Disamping itu, perusahaan tidak memiliki mekanisme untuk menyediakan anggota karyawan dengan pembaruan berkala tentang masalah keamanan. Rekomendasinya adalah : 1. Menyediakan pelatihan kesadaran keamanan pada seluruh karyawan perusahaan. Dimaksudkan agar dapat membantu perusahaan dalam meminimalkan risiko yang akan terjadi. Agar lebih efektif diperlukan pelatihan kesadaran keamanan secara berkala agar penerapaan keamanan akan lebih berfungsi secara baik. 2. Menyediakan pelatihan pendukung TI secara periodik pada karyawan TI karena perangkat TI selalu berkembang dan perlu adanya pelatihan dalam karyawan TI agar penerapan dalam organisasi lebih baik. 3. Memiliki mekanismeuntuk pelacakan dan verifikasi anggota karyawan yang menerima pelatihan yang terkait dengan keamanan. SIMPULAN DAN SARAN Simpulan Dari hasil penelitian yang dilakukan secara keseluruhan dengan pengukuran risiko teknologi informasi dengan menggunakan pendekatan OCTAVE-S terhadap PT. Mandala Multifinance Tbk dapat ditarik beberapa kesimpulan sebagai berikut : 1. Aset-aset kritis yang ada pada PT. Mandala Multifinance Tbk yaitu : A. Source code yaitu kumpulan kode bahasa pemrograman tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh komputer, merupakan aset penting dalam pengembangan sistem development. B. SOP Sistem atau prosedur yang disusun untuk memudahkan,merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan prosesmelakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP agar para karyawan dapat memahami dan melakukan tugasnya sesuai standar yang digariskan perusahaan. 2. Dari 15 praktek keamanan yang dievaluasi PT Mandala Multifinance Tbk memiliki kelemahan , yaitu kesadaran keamanan dan pelatihan. 3. Saat perusahaan mengalami ancaman risiko TI, dampak terhadap reputasi perusahaan tergolong baik, finansial dikategorikan baik, produktivitas perusahaaan dikategorikan sedang, perlindungan kesehatan setiap karyawan diperusahaan dikategorikan baik, dan denda perusahaan tergolong rendah. 4. Kurangnya kesadaraan karyawan akan peran keamanan dan tanggung jawab mereka. 5. PT Mandala Multifinance Tbk belum pernah melakukan pengukuran risiko Teknologi Informasi secara menyeluruh sebelumnya. Setel ah kami melakukan pengukuran risiko menggunakan OCTAVE-S ternyata terdapat ancaman yang dapat mengganggu proses bisnis PT Mandala Multifinance Tbk. 6. Rendahnya pengarahan tentang pentingnya kesadaran keamanan sehingga kesadaran karyawan menjaga keamanan Teknologi Informasi rendah. Saran Berdasarkan hasil penelitian yang diperoleh, maka dapat diusulkan beberapa saran : 1. Perusahaan sebaiknya menerapkan manajemen risiko teknologi informasi, sehingga dapat mengetahui risiko-risiko teknologi informasi yang dapat terjadi serta meminimalkan risiko-risiko tersebut. 2. Menyediakan pelatihan kesadaraan keamanan kepada seluruh karyawan perusahaan secara rutin agar karyawan dapat mengerti bagaimana menjaga keamanan. Serta akan meminimalkan risiko risiko. 3. Diberikan pengarahan agar karyawan dapat mengetahui pentingnya kesadaran keamanan. Daftar Pustaka - Gui,Anderes. Gondodiyoto, Sanyoto. Timotius, Irvan.(2010). PENGUKURAN RESIKO TEKNOLOGI INFORMASI (TI)DENGAN OCTAVE-S. Universitas Bina Nusantara. Jakarta. Retrieved 28 November 2012 from http://library.binus.ac.id/eColls/eJournal/05_Anderes_Gui.pdf - Alberts,Christopher. Dorofee, Audrey. Stevens, James. Woody, arol.(2006). OCTAVE-S Implementation.Carnegie Mellon Software Engineering Institute Retrieved 28 November 2012 http://www.sei.cmu.edu/reports/04hb003.pdf - - Alberts Christopher (2003). OCTAVE-S Implementation Guide, Version 1.0 Volume 1: Introduction to OCTAVE-S. Carnegie Mellon University. Anonim. OCTAVE-s. Retrieved 24 oktober 2009 from http://www.cert.org/octave/octaves.html Maulana, M.M., & Supangkat, S.H. (2006).Pemodelan Framework Manajemen Risiko Teknologi Informasi untuk Perusahaan di Negara Berkembang. Retrieved 26 September 2009 http://www.batan.go.id/sjk/eII2006/Page03/P03d.pdf- Gelinas, JR. U. J., Dull, R. B., Wheeler, P. R., (2012). Accounting Information Systems. Mason-Ohio: South-Western Cengange Learning. - ISO (2009). ISO Guide 73:2009 : Risk Management – Vocabulary. - Diana, Anastasia dan Lilis Setiawati. (2011). Sistem Informasi Akuntansi Perancangan, Proses, danPenerapan. Yogyakarta: Andi. - Hotopf, William. (2009). Embedding Risk Management At A Time Of Need – Proceedings. London: The Institute of Risk Management . - Mardi. (2011). Sistem Informasi Akuntansi. Bogor: Ghalia Indonesia. - Kailani, Nadief. (2011). TatakelolaTeknologiInformasiKomunikasi.Jakarta: Prima PundiRedana. - O’Brien, James A. &Marakas, George M. (2007). Management Information Systems.Edisi ke-7. New York: McGraw – Hill. - Syafrizal, Melwin. (2007).Mengenal Hardware-Software danPengelolaanInstalasiKomputer.Yogyakarta: Andi.w - Sofana, Iwan. (2008). Membangun Jaringan Komputer. Bandung: Informatika. - Sofana, Iwan. (2010). CISCO CCNA & Jaringan Komputer. Bandung: Informatika. - Gondodiyoto, Sanyoto. (2009). Pengendalian Fungsi Audit Sistem Informasi + Contoh Audit Charter. Edisi ke-2. Jakarta: MitraWacana Media. - Alberts, C., Dorofee, A., Stevens, J., Woody. C. (2005). Introduction to OCTAVE-S U.S. Patent & Trademark Office by Carnegie Mellon University, U.S: - Satzinger, J., Jackson, R., Burd, S. (2009). Systems Analysis & Design in a Changing World. Boston: Course Technology Cengange Learning. - Shelly, G.B., Rosenblatt, H.J. (2012). System Analysis and Design. Boston: Course Technology Cengange Learning. RIWAYAT PENULIS Kevin lahir di kota Jakarta pada 29 Oktober 1991. Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013. Kelvin Jaya lahir di kota Jakarta 2Agustus 1991. Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013. Purtan Hendri Effendi lahir di kota Palembang pada 20 Agustus 1990. Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013.