2.4 Manajemen Risiko Teknologi Informasi
advertisement
BAB 2 LANDASAN TEORI 2.1 Teknologi informasi Terdapat beberapa pengertian Teknologi informasi, salah satunya seperti yang dikemukakan oleh Gupta, Phalguni et al. (2010, p13) Teknologi informasi (TI) adalah cabang dari teknologi yang berkaitan dengan penyebaran, pengolahan, dan penyimpanan informasi, khususnya dengan bantuan komputer. Ini berkaitan dengan, pengembangan desain, dukungan manajemen dan sistem informasi berbasis komputer, khususnya perangkat keras komputer dan program komputer. IT mendukung penggunaan komputer untuk menyimpan, mengolah, mengubah, mengirimkan, melindungi, dan menerima informasi jika diperlukan. Sebagian besar organisasi telah menggunakan teknologi sebagai salah satu perangkat pengolah infomasi dan menjadi sesuatu yang penting. 2.1.1 Komponen Teknologi Informasi Di dalam Teknologi informasi tentunya terdapat beberapa komponen yang membangunnya. Infrastruktur TI terdiri dari sumber daya dan kemampuan yang dibangun melalui interaksi antara teknologi dan orang-orang dalam organisasi (misalnya : Hardware, Software, Network, Brainware, dll). Ini terdiri dari unsur bersama oleh berbagai tingkat pengguna dan proses, dan menyediakan platfrom kepada orang-orang untuk berbagi pengetahuan. Melalui infrastruktur TI dan manajemen yang sangat penting untuk kelancaran organisasi, beberapa tantangan 8 9 yang dihadapi dalam pengelolaan dan pengembangan infrastruktur TI (Gupta, Phalguni et al, 2010, P19). Penggunaan teknologi yang diakses oleh orang-orang menjadikan teknologi mampu memberikan informasi yang diperlukan bagi organisasi dalam melakukan perkembangan kedepan. Salah satu unsur yang mendukung infrastuktur teknologi informasi adalah topologi jaringan. Topologi suatu jaringan didasarkan pada cara penghubung sejumlah node atau sentral dalam membentuk suatu sistem jaringan. Topologi jaringan yang umum dipakai adalah : Mesh, Bintang (Star), Bus, Tree, dan Cincin (Ring). a. Topologi Jaringan Mesh Topologi jaringan ini menerapkan hubungan antar sentral secara penuh. Jumlah saluran harus disediakan untuk membentuk jaringan mesh adalah jumlah sentral dikurangi 1 (n-1, n = jumlah sentral). Tingkat kerumitan jaringan sebanding dengan meningkatnya jumlah sentral yang terpasang. Dengan demikian disamping kurang ekonomis juga relatif mahal dalam pengoperasiannya. b. Topologi Jaringan Bintang (Star) Dalam topologi jaringan bintang, salah satu sentral dibuat sebagai sentral pusat. Bila dibandingkan dengan sistem mesh, sistem ini mempunyai tingkat kerumitan jaringan yang lebih sederhana sehingga sistem menjadi lebih ekonomis, tetapi beban yang dipikul sentral pusat cukup berat. Dengan demikian kemungkinan tingkat kerusakan atau gangguan dari sentral ini lebih besar. 10 c. Topologi Jaringan Bus Pada topologi ini semua sentral dihubungkan secara langsung pada medium transmisi dengan konfigurasi yang disebut Bus. Transmisi sinyal dari suatu sentral tidak dialirkan secara bersamaan dalam dua arah. Hal ini berbeda sekali dengan yang terjadi pada topologi jaringan mesh atau bintang, yang pada kedua sistem tersebut dapat dilakukan komunikasi atau interkoneksi antar sentral secara bersamaan.topologi jaringan bus tidak umum digunakan untuk interkoneksi antar sentral, tetapi biasanya digunakan pada sistem jaringan komputer. d. Topologi Jaringan Pohon (Tree) Topologi jaringan ini disebut juga sebagai topologi jaringan bertingkat. Topologi ini biasanya digunakan untuk interkoneksi antar sentral dengan hirarki yang berbeda. Untuk hirarki yang lebih rendah digambarkan pada lokasi yang rendah dan semakin keatas mempunyai hirarki semakin tinggi. Topologi jaringan jenis ini cocok digunakan pada sistem jaringan komputer . e. Topologi Jaringan Cincin (Ring) Untuk membentuk jaringan cincin, setiap sentral harus dihubungkan seri satu dengan yang lain dan hubungan ini akan membentuk loop tertutup. Dalam sistem ini setiap sentral harus dirancang agar dapat berinteraksi dengan sentral yang berdekatan maupun berjauhan. Dengan demikian kemampuan melakukan switching ke berbagai arah sentral. Keuntungan dari topologi jaringan ini antara lain : tingkat kerumitan jaringan rendah (sederhana), juga bila ada gangguan atau kerusakan pada suatu sentral maka aliran trafik dapat dilewatkan pada arah lain dalam sistem. 11 Yang paling banyak digunakan dalam jaringan komputer adalah jaringan bertipe bus dan pohon (tree), hal ini karena alasan kerumitan, kemudahan Instalasi dan pemeliharaan serta harga yang harus dibayar. Tapi hanya jaringan bertipe pohon (tree) saja yang diakui kehandalannya karena putusnya salah satu kabel pada client, tidak akan mempengaruhi hubungan client yang lain. 2.2 Risiko Di dalam Labombang, Mastura (2011) Risiko merupakan variasi dalam hal- hal yang mungkin terjadi secara alami didalam suatu situasi (Fisk, 1997). Risiko adalah ancaman terhadap kehidupan, properti atau keuntungan finansial akibat bahaya yang terjadi (Duffield & Trigunarsyah, 1999). Secara umum risiko dikaitkan dengan kemungkinan (probabilitas) terjadinya peristiwa diluar yang diharapkan (Soeharto, 1995). David Mc Namee & Georges Selim (1998) di dalam Istiningrum, A. Ari (2011) mendefinisikan risiko sebagai konsep yang digunakan untuk menyatakan ketidakpastian atas kejadian dan atau akibatnya yang dapat berdampak secara material bagi tujuan organisasi. Disampaikan juga oleh Bringham (1999) di dalam Istiningrum, A. Ari (2011) yang menyatakan bahwa risiko adalah bahaya, petaka; kemungkinan menderita rugi atau mengalami kerusakan. Dari pengertian tersebut dapat ditarik kesimpulan bahwa risiko mengandung tiga unsur pembentuk risiko, yaitu (i) kemungkinan kejadian atau peristiwa, (ii) dampak atau konsekuensi (jika terjadi, risiko akan membawa akibat atau konsekuensi, dan (iii) kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas). 12 2.2.1 Macam-macam risiko Secara umum risiko dapat diklasifikasikan menurut berbagai sudut pandang yang tergantung dari dari kebutuhan dalam penanganannya (Rahayu, 2001) di Labombang, Mastura (2011) : 1) Risiko murni dan risiko spekulatif (Pure risk and speculative risk) Risiko murni dianggap sebagai suatu ketidakpastian yang dikaitkan dengan adanya suatu luaran (outcome) yaitu kerugian. Contoh risiko murni yakni kecelakaan kerja di proyek. Karena itu risiko murni dikenal dengan nama risiko statis. Risiko spekulatif mengandung dua keluaran yaitu kerugian (loss) dan keuntungan (gain). Risiko spekulatif dikenal sebagai risiko dinamis. Contoh risiko spekulatif pada perusahaan asuransi jika risiko yang dijamin terjadi maka pihak asuransi akan mengalami kerugian karena harus menanggung uang pertanggungan sebesar nilai kerugian yang terjadi tetapi bila risiko yang dijamin tidak terjadi maka perusahaan akan meperoleh keuntungan. 2) Risiko terhadap benda dan manusia, dimana risiko terhadap benda adalah risiko yang menimpa benda seperti rumah terbakar sedangkan risiko terhadap manusia adalah risiko yang menimpa manusia seperti risiko hari tua, kematian dsb 3) Risiko fundamental dan risiko khusus (fundamental risk and particular risk) Risiko fundamental adalah risiko yang kemungkinannya dapat timbul pada hampir sebagian besar anggota masyarakat dan tidak dapat 13 disalahkan pada seseorang atau beberapa orang sebagai penyebabnya, contoh risiko fundamental: bencana alam, peperangan. Risiko khusus adalah risiko yang bersumber dari peristiwa-peristiwa yang mandiri dimana sifat dari risiko ini adalah tidak selalu bersifat bencana, bisa dikendalikan atau umumnya dapat diasuransikan. 2.2.2 Kategori Risiko Teknologi Informasi Menurut Hughes (2006: 36) di dalam Gui, Anderes et al (2008), kategori risiko TI antara kehilangan informasi potensial dan pemulihannya adalah sebagai berikut. Pertama adalah keamanan. Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berotoritas. Ini termasuk kejahatan komputer, kebocoran internal, dan terorisme cyber. Kedua adalah ketersediaan. Risiko yang datanya tidak dapat diakses seperti setelah kegagalan sistem, karena kesalahan manusia, perubahan konfigurasi, kurangnya pengurangan arsitektur atau akibat lainnya. Ketiga adalah daya pulih. Risiko di mana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup, setelah sebuah kejadian keamanan atau ketersediaan seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau bencana alam. 14 Keempat adalah performa. Risiko di mana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi, dan topografi informasi teknologi yang beragam. Kelima adalah daya skala. Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif. Keenam adalah ketaatan. Risiko yang manajemen atau penggunaan informasinya melanggar keperluan regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah, panduan pengaturan korporat, dan kebijakan internal. 2.2.3 Penilaian Risiko Ketidakpastian risiko harus dikelola dengan baik, salah satu langkahnya adalah dengan melakukan penilaian risiko. Di Istiningrum, A. Ari (2011), NSH Health Scotland (2010) menyebutkan penilaian risiko adalah metode sistematis dalam melihat aktivitas kerja, memikirkan apa yang dapat menjadi buruk, dan memutuskan kendali yang cocok untuk mencegah terjadinya kerugian, kerusakan, atau cedera di tempat kerja. Penilaian ini harus juga melibatkan pengendalian yang diperlukan untuk menghilangkan, mengurangi,atau meminimalkan resiko. Definisi lain tertuang dalam Peraturan Pemerintah No. 60 Tahun 2008 yang menyatakan bahwa penilaian risiko adalah proses yang dilakukan oleh suatu instansi atau organisasi dan merupakan bagian yang integral dari proses pengelolaan risiko dalam 15 pengambilan keputusan risiko dengan melakukan tahap identifikasi rasio, analisis rasio dan evaluasi risiko. Menurut BPKP (2010) di dalam Istiningrum, A. Ari (2011) mengatakan penilaian risiko bertujuan untuk (i) mengidentifikasi dan menguraikan semua risikorisiko potensial yang berasal baik dari faktor internal maupun faktor eksternal, (ii) memeringkat risiko-risiko yang memerlukan perhatian manajemen instansi dan yang memerlukan penanganan segera atau tidak memerlukan tindakan lebih lanjut, dan (iii) memberikan suatu masukan atau rekomendasi untuk meyakinkan bahwa terdapat risiko-risiko yang menjadi prioritas paling tinggi untuk dikelola dengan efektif. Penilaian risiko dilakukan terhadap faktor-faktor yang mengancam tercapainya tujuan organisasi.Oleh karena itu, penetapan tujuan baik itu tujuan organisasi maupun tujuan kegiatan merupakan langkap awal dalam melakukan penilaian risiko. Dengan adanya penilaian risiko yang dilakukan maka risiko akan mudah untuk diminimalisir. 2.2.4 Penanggulangan Risiko Penanggulangan risiko dilakukan setelah dilakukannya peniliaian risiko. Di dalam menanggulangi risiko, ada beberapa jenis cara untuk pengelolaan risiko: 1. Risk avoidance Yaitu memutuskan untuk tida k melakukan aktivitas yang mengandung risiko sama sekali. Dalam memutuskan untuk melakukannya, maka harus dipertimbangkan potensial keuntungan dan potensial kerugian yang dihasilkan oleh suatu aktivitas. 16 2. Risk reduction Risk reduction atau disebut juga risk mitigation yaitu merupakan metode yang mengurangi kemungkinan terjadinya suatu risiko ataupun mengurangi dampak kerusakan yang dihasilkan oleh suatu risiko. 3. Risk transfer Yatu memindahkan risiko kepada pihak lain, umumnya melalui suatu kontrak (asuransi) maupun hedging. 4. Risk deferral Dampak suatu risiko tidak selalu konstan. Risk deferral meliputi menunda aspek suatu proyek hingga saat dimana probabilitas terjadinya risiko tersebut kecil. 5. Risk retention Walaupun risiko tertentu dapat dihilangkan dengan cara mengurnagi maupun mentransfernya, namun beberapa risiko harus tetap diterima sebagai bagian penting dari suatu kegiatan bisnis. 2.3 Manajemen Risiko Di dalam Labombang, Mastura (2011) Manajemen risiko merupakan Pendekatan yang dilakukan terhadap risiko yaitu dengan memahami, mengidentifikasi dan mengevaluasi risiko. Kemudian mempertimbangkan apa yang akan dilakukan terhadap dampak yang ditimbulkan dan kemungkinan pengalihan risiko kepada pihak lain atau mengurangi risiko yang terjadi. Manajemen risiko 17 adalah semua rangkaian kegiatan yang berhubungan dengan risiko yaitu perencanaan (planning), penilaian (assessment), penanganan (handling) dan pemantauan (monitoring) risiko (Kerzner, 2001). Definisi Manajemen Risiko seperti dikutip dalam Risk Management Handbook AS/NZ 4360 di dalam Afifa, L. Nur (2011) didefinisikan sebagai teknik yang dilakukan orang pada seluruh level dengan pendekatan sistematis untuk mengelola risiko sebagai bagian dari tanggungjawabnya. Afifa, L. Nur (2011) juga mengambil pendapat Peltier (2001) mengenai pengertian manajemen Risiko yaitu proses yang memberikan hak kepada manajer untuk memberikan perlindungan yang seimbang terhadap biaya operasional dan ekonomi serta kemampuan dalam meraih misi dengan melindungi proses bisnis yang mendukung tujuan bisnis atau tujuan perusahaan. H., Alvin aditya (2010) menyebutkan manajemen risiko (dalam proyek) merupakan ilmu dalam mengidentifikasikan, analisa, dan merespon kemungkinan risiko selama proses proyek berjalan. Manajemen Risiko sering kali terabaikan dalam sebuah proyek, tapi sebenarnya manajemen risiko dapat membantu mengembangkan sebuah estimasi yang realistis. Manajemen risiko dilakukan dengan tindakan proaktif yaitu memikirkan risiko sebelum kerja teknis diawali. Risiko potensial diidentifikasi, probabilitas dan pengaruh proyek diperkirakan, dan diprioritaskan menurut kepentingan. Terdapat beberapa tahap dalam manajemen risiko : 1. Risk management planning: Memutuskan bagaimana cara merencanakan atau pendekatan untuk melakukan aktivitas manajemen risiko 2. Risk identification: Menentukan atau mengidentifikasikan risiko-risiko yang dapat berdampak pada proyek. 18 3. Qualitative risk analysis: Prioritaskan risiko berdasarkan peluang dan dampak terjadinya risiko tersebut. Estimasi berdasarkan efek risiko kerugian secara nominal terhadap tujuan proyek. 4. Risk response planning: langkah-langkah untuk meningkatkan peluang dan mereduksi ancaman untuk dapat mencapai tujuan proyek. 5. Risk monitoring and control: Memonitor risiko-risiko yang terjadi atau rawan terjadi selama proses proyek berlangsung. Berdasarkan American Dictionary of English language seperti disebutkan A. McAdam (2004) di Afifa, L. Nur (2011), Manajemen Risiko adalah tindakan dalam melakukan pengontrolan, mengurangi sejumlah kerugian yang menjadi beban organisasi karena berbagai tindakan atau situasi yang merugikan, apakah disengaja ataupun tidak disengaja. Berdasarkan NIST SP 800-30, Manajemen Risiko adalah proses mengidentifikasi risiko, menilai risiko, dan melakukan langkah-langkah untuk mereduksi risiko sesuai dengan level yang dapat diterima. Afifa, L. Nur (2011) menyediakan contoh berdasarkan ISO/IEC 27005 manajemen risiko yang disusun dari 6 proses seperti pada Gambar 2.1, yaitu terdiri dari: a. Proses mengkomunikasikan risiko b. Karakteristik sistem atau menentukan konteks c. Proses penilaian risiko, yang terdiri dari dua sub proses yaitu • Analisis risiko 19 • Evaluasi risiko d. Proses penanganan (treatment) risiko e. Proses penerimaan risiko f. Memonitor manajemen risiko dan mengkaji ulang proses Gambar 2.1 Proses Manajemen Risiko Keamanan Informasi (ISO/IEC 27005) (Sumber : Usulan Panduan Pelaksanaan Manajemen Risiko Tata Kelola Tik Nasional, 2011) 20 Pada gambar 2.1 tersebut menggambarkan secara garis besar langkah-langkah manajemen risiko guna keamanan informasi berdasarkan ISO/IEC 27005 dan secara umum manajemen risiko memang bertujuan untuk melihat dan mengkaji risiko secara lebih dalam. Contoh manajemen risiko tersebut diatas hanya merupakan salah satu dari banyak yang dapat digunakan dalam manajemen risiko. 2.4 Manajemen Risiko Teknologi Informasi Manajemen Teknologi Informasi berkaitan dengan studi mengeksplorasi, dan pengelolaan teknologi informasi sebagai sumber daya teknologi. Manajemen TI membantu dalam merancang, mengembangkan, dan menyebarkan produk TI dan layanan kepuasan pelanggan, produktivitas bisnis yang berdampak pada profitabilitas dan daya saing (Gupta, Phalguni et al,2010,P14). Menurut Purtell, Tim (2008) Program ITRM (Information Technology Risk Management) dirancang untuk mengeksekusi, mengelola, mengukur, mengendalikan, dan melaporkan hal-hal risiko dalam TI. Hal ini penting untuk risiko secara keseluruhan kemampuan organisasi manajemen dan efektivitas. Jika berhasil, program ITRM memberikan dewan direksi, manajemen senior, regulator, dan pemangku kepentingan eksternal lainnya dengan keyakinan bahwa TI dapat memberikan nilai bisnis secara efisien dan aman, sambil memberikan jaminan kualitas yang tinggi terkait integritas data, ketersediaan, dan kerahasiaan. Program ITRM juga harus menentukan pandangan risiko pada berbagai tingkatan dalam perusahaan-organisasi, regional, negara, dan lini bisnis-dan mampu mengidentifikasi tren dalam spesifik proses TI di semua pandangan. Misalnya, jika manajemen memiliki pandangan diskrit (pandangan yang hanya melihat pada yang 21 tidak berhubungan sama sekali) tentang bagaimana kontrol sekitar perubahan proses manajemen yang beroperasi di berbagai geografi dan unit bisnis, dapat menentukan mana varians yang terjadi dan apakah mereka insidental atau merupakan tren (Purtell, Tim,2008). Menurut AICPA (2012) Mengamankan lingkungan teknologi informasi merupakan tantangan yang semakin kompleks untuk kantor akuntan publik, bisnis dan organisasi lainnya. Organisasi meningkatkan penggunaan alat-alat teknologi informasi dan sumber daya lainnya, mengadopsi teknologi baru dan mengeksplorasi cara-cara baru untuk menggunakan teknologi. Seperti penggunaan teknologi informasi terus berkembang dan diversifikasi, begitu juga risiko dalam mengelola teknologi. 2.4.1 Tujuan Manajemen Risiko Teknologi Informasi Dalam mengamankan lingkungan TI (information security) yang menjadi resikonya ialah sebuah organisasi yang tidak mempertimbangkan semua kerentanan dan ancaman yang berhubungan dengan teknologi informasi, dan memiliki kebijakan keamanan yang tidak memadai, bisa menjadi risiko serius. Kerugian, pencurian atau kompromi dari perangkat mobile dapat mengganggu operasi organisasi dan mengakibatkan hilangnya data klien yang sensitif atau rahasia (AICPA, 2012). Manajemen risiko TI ialah melindungi aset Teknologi Informasi seperti data, hardware, software, personel dan fasilitas dari semua (kegagalan teknis misalnya, akses yang tidak sah) ancaman eksternal (bencana alam misalnya) dan internal sehingga biaya kerugian yang diakibatkan oleh realisasi ancaman tersebut diminimalkan. Tujuannya adalah untuk menghindari atau mengurangi kerugian dengan memilih dan menerapkan kombinasi terbaik dari langkah-langkah keamanan 22 (Artur Rot, 2009). Manajemen risiko teknologi informasi adalah cara mengakui adanya ancaman, menentukan konsekuensinya pada sumber daya, dan menerapkan faktor modifikasi dengan cara yang hemat biaya untuk menjaga konsekuensi yang merugikan dalam batas-batas tertentu. Perusahaan besar yang terus-menerus berada di bawah tekanan dari berbagai jenis audit yang menunjukkan efisiensi dalam lingkup pemenuhan kebutuhan yang berbeda mengenai keamanan informasi. Kebutuhan manajemen risiko di perusahaan menjadi lebih kompleks, adanya saling ketergantungan dalam menjalin relasi dengan mitra bisnis, kegiatan outsourcing, dan juga, konsultan mitra dan kontraktor. Manajemen risiko yang sukses dan efektif adalah dasar dari keberhasilan dan keefektifan keamanan IT. Karena realitas sumber daya yang terbatas dan ancaman hampir tak terbatas, keputusan yang wajar harus dibuat mengenai pengalokasian sumber daya untuk melindungi sistem. Risiko praktek manajemen memungkinkan organisasi untuk melindungi informasi dan proses bisnis yang sepadan dengan nilai mereka. Untuk memastikan nilai maksimum manajemen risiko, itu harus konsisten dan berulang, sementara fokus pada penurunan risiko yang terukur. Membangun dan memanfaatkan, kualitas manajemen risiko proses yang efektif tinggi dan mendasarkan kegiatan keamanan informasi dari organisasi pada proses ini akan mengarah pada program keamanan informasi yang efektif dalam organisasi (Deloitte, 2012). 23 2.5 Metode pengukuran risiko Teknologi Informasi Dalam melakukan proses pengukuran risiko teknologi informasi penulis membutuhkan metode yang dapat dijadikan pedoman. Berikut adalah beberapa metode yang tersedia dalam melakukan pengukuran risiko teknologi informasi. 2.5.1 OCTAVE Elky, Steve (2007) Software Engineering Institute (SEI) di Carnegie Mellon University mengembangkan Operationally Critical, Threat, Asset and Vulnerability Evaluation (OCTAVE). Tujuan utama dalam mengembangkan OCTAVE adalah untuk membantu organisasi meningkatkan kemampuan mereka untuk mengelola dan melindungi diri dari risiko keamanan informasi. OCTAVE adalah workshop yang berbasis sebagai metode (tool). Ada tiga tahap workshop di dalamnya, yaitu : Tahap 1 -- mengumpulkan pengetahuan tentang aset penting, ancaman, dan perlindungan strategi dari manajer senior. Tahap 1 terdiri dari proses berikut: • Proses 1: Identifikasi Knowledge Management Senior • Proses 2: (multiple) Mengidentifikasi Knowledge Management Area Operasional • Proses 3: (multiple) Mengidentifikasi Staf Knowledge • Proses 4: Buat Profil Ancaman Tahap 2 -- mengumpulkan pengetahuan dari pengelola area operasional. Tahap 2 terdiri dari proses: • Proses 5: Identifikasi Komponen Utama • Proses 6: Evaluasi Komponen yang dipilih 24 Tahap 3 -- mengumpulkan informasi dari staf. Tahap 3 terdiri dari proses berikut: • Proses 7: Melakukan Analisis Risiko • Proses 8: Mengembangkan Strategi Perlindungan (workshop A: pengembangan strategi) (workshop B: Ulasan strategi, revisi, persetujuan) Kegiatan ini menghasilkan pandangan risiko yang mengambil sudut pandang dari seluruh organisasi, sambil meminimalkan waktu masingmasing peserta. Output dari proses OCTAVE adalah: o Strategi Perlindungan o Rencana Mitigasi o Action List Menurut Octave Methodology (2006), Metode OCTAVE melibatkan dua jenis workshop (pelatihan): (1) diskusi difasilitasi dengan berbagai anggota organisasi dan (2) workshop di mana tim analisis melakukan serangkaian kegiatan sendiri. Semua workshop memiliki leader (pemimpin/ketua) dan juru tulis. Pemimpin bertanggung jawab untuk membimbing semua kegiatan workshop dan memastikan bahwa semua ini (termasuk persiapan dan tindak lanjut kegiatan) selesai. Pemimpin juga bertanggung jawab untuk memastikan bahwa semua peserta memahami peran mereka dan bahwa setiap anggota baru atau tambahan tim analisis siap untuk berpartisipasi aktif dalam workshop. Semua pemimpin workshop juga harus memastikan bahwa mereka memilih pengambilan keputusan Pendekatan (misalnya, suara mayoritas, konsensus) untuk digunakan selama workshop. Juru tulis 25 yang bertanggung jawab untuk merekam informasi yang dihasilkan selama lokakarya (pertemuan ilmiah kecil), baik secara elektronik atau di atas kertas. Fokus awal dari metode OCTAVE mempersiapkan untuk evaluasi. Di dalamnya terdapat beberapa kunci yang menjadi faktor penentu keberhasilan : Mendapatkan sponsor manajemen senior. Ini adalah faktor keberhasilan teratas untuk evaluasi resiko keamanan informasi. Jika manajer senior tidak mendukung proses, staf pendukung untuk evaluasi akan menghilang dengan cepat. Memilih tim analisis. Tim Analisis bertanggung jawab untuk mengelola proses dan menganalisis Informasi. Para anggota tim harus memiliki keterampilan yang memadai dan pelatihan untuk memimpin evaluasi dan untuk tahu kapan untuk meningkatkan pengetahuan dan keterampilan dengan memasukkan orang-orang tambahan untuk satu atau lebih kegiatan. Mengatur ruang lingkup yang tepat dari Metode OCTAVE. Evaluasi harus mencakup penting wilayah operasional, tetapi cakupannya tidak bisa terlalu besar. Jika terlalu luas, maka akan sulit bagi tim analisis untuk menganalisis semua informasi. Jika ruang lingkup evaluasi yang terlalu kecil, hasilnya mungkin tidak bermakna sebagaimana mestinya. Memilih peserta. Selama pelatihan pengetahuan elisitasi (proses 1 sampai 3), anggota staf dari berbagai tingkat organisasi akan menyumbangkan pengetahuan mereka tentang organisasi. mereka harus ditugaskan untuk 26 pelatihan karena pengetahuan dan keterampilan, bukan semata-mata didasarkan pada siapa yang tersedia. Tujuan dari persiapan adalah untuk memastikan untuk memastikan bahwa evaluasi berjalan sesuai lingkupan dengan tepat, bahwa manajer senior organisasi mendukungnya, dan bahwa semua orang yang berpartisipasi dalam proses memahami perannya. Tahap 1: Build AssetBased -- Profil ancaman Pada fase 1 Anda mulai membangun pandangan organisasi OCTAVE dengan berfokus pada orang-orang dalam organisasi. Proses 1 sampai 3. Tim analisis memfasilitasi pelatihan pengetahuan elisitasi selama proses 1 sampai 3. Peserta dari seluruh organisasi berkontribusi dengan perspektif mereka tentang apa yang penting bagi organisasi (aset) dan seberapa baik aset tersebut diproteksi. Daftar berikut menyoroti fokus untuk masing-masing proses: Proses 1: Identifikasi Pengetahuan Manajemen Senior. Para peserta dalam proses ini adalah manajer senior organisasi. Proses 2: Identifikasi Pengetahuan Management Area Operasional. Para peserta dalam proses ini adalah bagian menengah organisasi (tengah) manajer. Proses 3: Identifikasi Pengetahuan Staf. Para peserta dalam proses ini adalah staf anggota organisasi Anggota staf teknologi informasi biasanya berpartisipasi dalam sebuah workshop terpisah dari itu salah satu dihadiri oleh anggota staf umum. Empat kegiatan yang 27 dilakukan untuk memperoleh pengetahuan dari peserta lokakarya selama proses 1 sampai 3 ini adalah identifikasi: aset, prioritas relatif, bidang yang menjadi perhatian, persyaratan keamanan untuk aset yang paling penting dan pemahaman mengenai pengetahuan praktik keamanan saat ini dan kerentanan organisasi. Proses 4 : Buat Profil Ancaman. Para peserta dalam proses ini adalah anggota tim analisis. Selama Proses 4, tim mengidentifikasi aset yang paling penting bagi organisasi dan menjelaskan bagaimana aset tersebut terancam. Proses 4 terdiri dari kegiatan sebagai berikut: Informasi konsolidasi dari proses 1 sampai 3, memilih aset kritis, menyempurnakan persyaratan keamanan untuk aset kritis, mengidentifikasi ancaman terhadap aset kritis. Tahap 2 : Identifikasi Kerentanan Infrastruktur Tahap 2 ini juga disebut "teknologi tampilan" dari Metode OCTAVE, karena ini adalah di mana mengubah cara anda memperhatikan infrastruktur komputasi organisasi Anda. Tahap kedua evaluasi mencakup dua proses. Proses 5: Identifikasi Komponen utama. Para peserta dalam proses ini adalah tim analisis dan dipilih anggota staf teknologi informasi (TI). Tujuan utama dari proses 5 adalah untuk memilih komponen infrastruktur yang akan diperiksa kelemahan teknologinya selama proses 6. 28 Proses 5 terdiri dari dua kegiatan: mengidentifikasi kelas utama dari komponen dan mengidentifikasi komponen infrastruktur untuk diperiksa. Proses 6: Evaluasi Komponen terpilih. Para peserta dalam proses ini adalah tim analisis dan memilih anggota staf TI. Tujuan dari proses 6 adalah untuk mengidentifikasi kelemahan teknologi dalam komponen infrastruktur yang diidentifikasi selama proses 5. Kelemahan teknologi memberikan indikasi betapa rapuhnya infrastruktur komputasi organisasi. Proses 6 terdiri dari dua kegiatan: menjalankan alat evaluasi kerentanan atas komponen infrastruktur yang dipilih, meninjau teknologi kerentanan dan hasil ringkasan. Tahap 3: Mengembangkan Strategi dan Rencana Keamanan Tahap 3 ini dirancang untuk memahami informasi yang telah dikumpulkan sejauh ini di evaluasi. Sekarang selama fase ini bahwa Anda mengembangkan strategi keamanan dan rencana yang dirancang untuk mengatasi risiko organisasi dan isu-isu yang ada. Kedua proses fase 3 yang ditunjukkan pada : Proses 7: Melakukan Analisis Risiko. Para peserta dalam proses 7 adalah anggota tim analisis, dan tujuan dari proses ini adalah untuk mengidentifikasi dan menganalisis risiko terhadap aset kritis organisasi. 29 Proses 7 meliputi mengikuti tiga kegiatan: mengidentifikasi dampak ancaman terhadap aset kritis, membuat kriteria evaluasi resiko, mengevaluasi dampak dari ancaman terhadap aset kritis. Proses 8: Mengembangkan Strategi Perlindungan. Proses 8 mencakup dua pelatihan. Para peserta dalam workshop pertama untuk proses 8 adalah anggota tim analisis dan beberapa anggota dari organisasi (jika tim analisis memutuskan untuk menambah keterampilan dan pengalaman untuk pengembangan strategi perlindungan). Tujuan dari proses 8 adalah untuk mengembangkan strategi perlindungan bagi organisasi, mitigasi berencana untuk risiko terhadap aset kritis, dan daftar tindakan. Berikut ini adalah kegiatan workshop pertama proses 8: konsolidasi informasi dari proses 1 sampai 3, review informasi risiko, penciptaan strategi perlindungan, rencana mitigasi dan daftar tindakan yang dapat dilakukan. Dalam workshop kedua proses 8, tim analisis menyajikan strategi perlindungan yang diusulkan, mitigasi rencana, dan daftar tindakan untuk manajer senior dalam organisasi. Para manajer senior meninjau dan merevisi strategi dan rencana yang diperlukan dan kemudian memutuskan bagaimana organisasi akan membangun hasil evaluasi. Berikut ini adalah kegiatan workshops kedua proses 8: persiapan untuk pertemuan dengan manajemen senior, penyajian informasi risiko, review dan penyempurnaan strategi perlindungan, mitigasi rencana, dan daftar aksi penentuan langkah selanjutnya. Pada titik ini, organisasi telah menyelesaikan Metode OCTAVE 30 2.5.2 NIST Elky, Steve (2007) NIST (National Institute of Standard and Technology) Special Publication (SP) 800-30, Panduan Manajemen Risiko untuk Sistem Teknologi Informasi yang merupakan standar Pemerintah Federal US. Metodologi ini terutama dirancang untuk menjadi suatu perhitungan kualitatif dan didasarkan pada analisa keamanan yang cukup sesuai dengan keinginan pemilik sistem dan ahli teknis untuk benar-benar mengidentifikasi, mengevaluasi dan mengelola risiko dalam sistem TI. Proses ini sangat komprehensif, meliputi segala sesuatu dari ancamansumber identifikasi untuk evaluasi berkelanjutan dan penilaian. Metodologi NIST terdiri dari 9 langkah: Langkah 1: Karakterisasi Sistem Langkah 2: Identifikasi Ancaman Langkah 3: Identifikasi Kerentanan Langkah 4: Analisis Pengendalian Langkah 5: Penentuan Kemungkinan Langkah 6: Analisis Dampak Langkah 7: Penentuan Risiko Langkah 8: Rekomendasi Kontrol Langkah 9: Hasil Dokumentasi 31 HIPAA (2012) menjelaskan mengenai panduan dalam menggunakan metode NIST (National Institute of Standard and Technology) Special Publication (SP) 80030. Berikut adalah penjelasan lebih rinci mengenai sembilan langkah pada metode NIST. Langkah 1. Karakterisasi system Langkah pertama dalam menilai risiko adalah untuk menentukan ruang lingkup usaha. Untuk melakukan hal ini, mengidentifikasi di mana dibuat, diterima, dipelihara, diproses, atau ditransmisikan. Menggunakan teknik pengumpulan informasi, batasan sistem TI diidentifikasi, serta sumber daya dan informasi yang merupakan bagian dari sistem. Mempertimbangkan kebijakan , hukum, tenaga kerja dan telecommuters, dan media removable dan perangkat komputasi portabel (misalnya, laptop, media removable, dan media backup). Output - Karakterisasi dari sistem TI dinilai, gambar yang bagus dari lingkungan sistem IT, dan batas sistem. Langkah 2. Identifikasi ancaman Untuk langkah ini, potensi ancaman (potensi sumber ancaman untuk berhasil melaksanakan kerentanan tertentu) diidentifikasi dan didokumentasikan. Sumber ancaman adalah setiap keadaan atau peristiwa dengan potensi untuk menyebabkan kerusakan pada sistem IT (disengaja atau tidak disengaja). Sumber ancaman secara umum dapat dari alam, manusia, atau pertimbangan lingkungan. semua potensi ancaman - sumber, melihat kembali kejadian sebelumnya dan data dari badan-badan intelijen, pemerintah, dll, membantu menghasilkan item untuk dimasukkan pada daftar. Daftar berdasar pada organisasi secara individu dan pengolahan lingkungan. 32 Output - Sebuah pernyataan ancaman yang berisi daftar ancaman - sumber yang dapat mengeksploitasi sistem kerentanan. Langkah 3. Identifikasi kerentanan Tujuan dari langkah ini adalah untuk mengembangkan daftar kerentanan sistem teknis dan non-teknis (kekurangan atau kelemahan) yang dapat dimanfaatkan atau dipicu oleh sumber-sumber ancaman - potensial. Kerentanan dapat berkisar dari kebijakan yang tidak lengkap atau bertentangan yang mengatur penggunaan komputer organisasi untuk perlindungan memadai untuk melindungi fasilitas peralatan komputer ke sejumlah perangkat lunak, perangkat keras, atau kekurangan lain yang terdiri dari jaringan komputer organisasi. Output - Sebuah daftar kerentanan sistem (pengamatan) yang dapat dieksekusi oleh sumber ancamanpotensial. Langkah 4. Analisis pengendalian Tujuan dari langkah ini adalah untuk mendokumentasikan dan menilai efektivitas pengendalian teknis dan non-teknis yang telah atau akan dilaksanakan oleh organisasi untuk meminimalkan atau menghilangkan kemungkinan (probabilitas atau) dari sumber ancaman - mengeksploitasi kerentanan sistem. Output - Daftar kontrol saat ini atau yang direncanakan (kebijakan, prosedur, pelatihan, mekanisme teknis, asuransi, dll) yang digunakan untuk sistem TI untuk mengurangi kemungkinan kerentanan yang dilakukan dan mengurangi dampak seperti sebuah peristiwa yang merugikan. 33 Langkah 5. Penentuan kemungkinan (Probability) Tujuan dari langkah ini adalah untuk menentukan nilai keseluruhan kemungkinan yang menunjukkan kemungkinan bahwa kerentanan dapat dimanfaatkan oleh sumber ancaman yang diberikan kontrol keamanan yang ada atau yang direncanakan. Output - Kemungkinan rating rendah (.1), menengah (.5), atau tinggi (1). Rujuk ke SP NIST 800-30 definisi rendah, menengah, dan tinggi. Langkah 6. Analisis Dampak Tujuan dari langkah ini adalah untuk menentukan tingkat dampak negatif yang akan dihasilkan dari ancaman berhasil mengeksploitasi kerentanan. Faktor data dan sistem untuk mempertimbangkan harus mencakup pentingnya misi organisasi, kepekaan dan kekritisan (nilai atau kepentingan), biaya yang terkait, hilangnya kerahasiaan, integritas, dan ketersediaan sistem dan data. Output - Besaran Peringkat dampak rendah (10), menengah (50), atau tinggi (100). Rujuk ke SP NIST 800-30 definisi rendah, menengah, dan tinggi. Langkah 7. Penentuan risiko Dengan mengalikan peringkat dari penentuan kemungkinan dan analisis dampak, tingkat resiko ditentukan. Ini merupakan derajat atau tingkat risiko yang bersistem TI, fasilitas, atau prosedur mungkin terkena jika kerentanan yang diberikan telah dieksekusi. Peringkat risiko juga menyajikan tindakan manajemen senior (pemilik misi) yang harus diambil untuk setiap tingkat risiko. Output - Risiko tingkat 34 rendah (1-10), menengah (> 10-50) atau tinggi (> 50-100). Rujuk ke SP NIST 80030 definisi rendah, menengah, dan tinggi. Langkah 8. Rekomendasi kontrol Tujuan dari langkah ini adalah untuk mengidentifikasi kontrol yang dapat mengurangi atau menghilangkan risiko yang teridentifikasi, sesuai dengan operasi organisasi. Tujuan dari kontrol ini adalah untuk mengurangi tingkat risiko terhadap sistem dan data ke tingkat yang dapat diterima. Faktor-faktor yang perlu dipertimbangkan ketika mengembangkan kontrol mungkin termasuk efektivitas atas pilihan yang direkomendasikan (yaitu, kompatibilitas sistem), undang-undang dan peraturan, kebijakan organisasi, dampak operasional, dan keselamatan dan keandalan. Rekomendasi kontrol memberikan masukan untuk proses mitigasi risiko, di mana kontrol direkomendasikan keamanan prosedural dan teknis dievaluasi, diprioritaskan, dan diimplementasikan. Output - Rekomendasi kontrol(s) dan solusi alternatif untuk mengurangi risiko. Langkah 9. Dokumentasi hasil Hasil dari penilaian risiko yang didokumentasikan dalam laporan resmi atau briefing dan diberikan kepada manajemen senior (pemilik misi) untuk membuat keputusan tentang kebijakan, prosedur, anggaran, dan sistem perubahan operasional dan manajemen. Output - Sebuah laporan penilaian risiko yang menggambarkan ancaman dan kerentanan, mengukur risiko, dan memberikan rekomendasi untuk pelaksanaan kontrol. Setelah menyelesaikan proses sembilan langkah penilaian risiko, langkah berikutnya adalah mitigasi risiko. Mitigasi risiko melibatkan 35 memprioritaskan, mengevaluasi, dan menerapkan sesuai mengurangi risiko kontrol direkomendasikan dari proses penilaian risiko. 36 Risk Assessment Methodology Flowchart NIST SP 800-30 Input Output Risk Assessment Activities Hardware Software System interfaces Data and information People System mission Step 1. System Characterization History of system attack Data from intelligence agencies, NIPC, OIG, FedCIRC, mass media Step 2. Threat Identification Threat Statement Step 3. Vulnerability Identification List of Potential Vulnerabilities Reports from prior risk assessments Any audit recommendations Security requirements Security test results Current controls Planned controls Step 4. Control Analysis List of Current and Planned Controls Threat-source motivation Threat capacity Nature of vulnerability Current controls Step 5. Likelihood Determination Likelihood Rating Mission impact analysis Asset criticality assessment Data criticality Data sensitivity System Boundary System Functions System and Data Criticality System and Data Sensitivity Step 6. Impact Analysis Likelihood of treat exploitation Magnitude of impact Adequacy of planned or current controls Impact Rating Loss of Integrity Loss of Availability Loss of Confidentiality Step 7. Risk Determination Risks and Associated Risk Levels Step 8. Control Recommendations Recommended Controls Step 9. Risk Assessment Report Gambar 2.2 Risk Asessment Flowchart from Results Documentation NIST SP 800-30 Sumber : Recommendations of the National Institute of Standards and Technology, Juli 2002 37 2.5.3 COBRA The Consultative, Objective and Bi-functional Risk Analysis (COBRA) Proses awalnya diciptakan oleh C & A Sistem Keamanan Ltd pada tahun 1991. Dibutuhkan pendekatan bahwa penilaian risiko adalah lebih kearah masalah bisnis daripada masalah teknis. Ini terdiri dari alat-alat yang dapat dibeli dan kemudian digunakan untuk melakukan penilaian risiko, sementara menurut pada pengetahuan para ahli ini juga dianggap sebagai alat. Dasar yang menjadi pengetahuan utama adalah: • Keamanan TI (atau default) • Risiko Operasional • Risiko ‘cepat mengalami peningkatan' atau 'tingkat risiko tinggi' • e-Security Konsultan Risiko adalah tool dengan basis pengetahuan dan dibangun dalam template yang memungkinkan pengguna untuk membuat kuesioner untuk mengumpulkan informasi tentang jenis aset, kerentanan, ancaman, dan kontrol. Dari informasi ini, konsultan risiko dapat membuat laporan dan membuat rekomendasi, yang kemudian dapat disesuaikan. Kepatuhan serupa ISO, hanya produk ini difokuskan pada ISO 17799 (Elky, Steve 2007). 2.5.4 Risk Watch Elky, Steve (2007) risk watch adalah alat (metode) lain yang menggunakan pengetahuan ahli yang terintegrasi untuk menjalankan penggunaan melalui penilaian risiko dan memberikan laporan mengenai kepatuhan serta rekomendasi untuk mengelola risiko. Risk watch mencakup informasi statistik untuk mendukung penilaian risiko kuantitatif, yang memungkinkan pengguna untuk menunjukkan ROI 38 untuk berbagai strategi. Risk watch memiliki beberapa produk, masing-masing difokuskan di sepanjang kebutuhan kepatuhan yang berbeda. Ada produk berdasarkan NIST Standar (pemerintah AS), ISO 17799, HIPAA dan Lembaga Keuangan standar (Gramm Leach Bliley Act, California SB 1386 (Identify Theft standards), Facilities Access Standards dan the FFIEC Standards for Information Systems). 2.5.5 FRAP Facilitated Risk Analysis Process (FRAP) adalah penciptaan Thomas Peltier. Hal ini didasarkan pada penerapan teknik manajemen risiko dengan cara yang sangat hemat biaya. FRAP menggunakan metodologi analisis secara kualitatif terkait risiko menggunakan analisis kerentanan, analisis dampak kerusakan (hazard), serta analisa ancaman. Selain itu, FRAP menekankan pra-screening system dan hanya melakukan penilaian risiko formal pada sistem saat diperlukan (Elky, Steve, 2007). Di dalam Peltier, Thomas R. (2001) menyebutkan FRAP adalah metodologi formal yang dikembangkan melalui pemahaman proses risiko yang sebelumnya adalah analisis kualitatif dan dimodifikasi untuk memenuhi persyaratan saat ini. Hal ini didorong oleh sisi bisnis perusahaan dan memastikan bahwa kontrol memungkinkan proses bisnis untuk memenuhi tujuannya. Tidak pernah ada diskusi tentang kontrol sebagai keamanan atau persyaratan audit. FRAP berfokus pada kebutuhan bisnis dan kurangnya waktu yang dapat dihabiskan untuk tugas-tugas tersebut. Dengan melibatkan unit bisnis, FRAP menggunakan mereka untuk mengidentifikasi risiko dan ancaman. Setelah pemilik sumber daya yang terlibat dalam mengidentifikasi ancaman, maka mereka umumnya mengatur dan mencari 39 bantuan dalam melaksanakan cost effective control untuk membantu membatasi eksposur. FRAP memungkinkan bisnis unit untuk mengendalikan sumber daya mereka. Hal ini memungkinkan mereka untuk menentukan apa perlindungan yang diperlukan dan siapa yang akan bertanggung jawab untuk melaksanakan pengamanan tersebut. Setiap proses analisis risiko dibagi menjadi empat sesi yang berbeda: 1. The Pre-FRAP Meeting memakan waktu sekitar satu jam dan melibatkan manajer bisnis, pemimpin proyek, dan fasilitator. 2. The FRAP Session berlangsung sekitar empat jam dan melibatkan 7 sampai 15 orang, meskipun sesi dengan sebanyak 50 dan sedikitnya empat orang pernah terjadi. 3. FRAP analysis dan pembuatan laporan biasanya memakan waktu 4 sampai 6 hari dan diselesaikan oleh fasilitator dan juru tulis. 4. Sesi Post-FRAP Meeting memakan waktu sekitar satu jam dan memiliki peserta yang sama dengan pertemuan pre-FRAP. Sesi di dalam metode FRAP ini sendiri dijabarkan seperti dibawah ini : The Pre-FRAP Meeting Pra-FRAP meeting adalah kunci bagi keberhasilan proyek. Pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilaksanakan di kantor klien. Pertemuan harus dihadiri manajer bisnis (perwakilan), pemimpin pengembangan 40 proyek, dan fasilitator. Akan ada lima komponen utama yang dihasilkan dari sesi satu jam. 1. Lingkup pernyataan (Scope statement) Dalam hal ini pimpinan proyek dan manajer bisnis membuat pernyataan dalam bentuk dokumen yang digunakan untuk mengkonfirmasikan pemahaman bersama akan ruang lingkup atau batasan proyek yang perlu ditinjau. 2. Model visual (Visual model) Berupa diagram yang menggambarkan proses yang harus ditinjau dan digunakan selama sesi FRAP dari dimulainya proses sampai dengan proses akhir. 3. Membentuk tim FRAP (Establish the FRAP team) Sebuah tim FRAP umumnya terdiri antara 7 – 15 anggota dan memiliki perwakilan dari sejumlah area baik bisnis maupun bagian lain yang menunjang. Selama pertemuan pre-FRAP, manajer bisnis dan pimpinan proyek perlu untuk menentukan siapa saja yang sebaiknya menjadi bagian dari sesi FRAP. Jumlah ideal tim FRAP adalah antara 7 dan 15 peserta. Disarankan bahwa wakil-wakil dari bidang-bidang berikut dimasukkan dalam proses FRAP: • Pemilik fungsional • Pengguna sistem 41 • Sistem administrator • Sistem analisis • Sistem pemrograman • Aplikasi pemrograman • Administrasi database • Keamanan informasi • Keamanan fisik • Telekomunikasi • Administrasi Jaringan • Penyedia layanan • Pemeriksaan (jika diperlukan) • Hukum (jika diperlukan) • HRD (jika diperlukan) Tidak ada aturan yang mutlak dan memaksa mengenai siapa yang harus hadir, tetapi jalannya FRAP harus berhasil, maka akan diperlukan pemilik bisnis fungsional dan pengguna sistem untuk menjadi bagian dari FRAP tersebut. Ini adalah proses bisnis dari perusahaan yang akan diulas dan nantinya sangat penting sebagai bagian dari proses FRAP. 42 Di dalam pembentukan tim FRAP diperlukan peran penting dari fasilitator FRAP. Fasilator dalam memfasilitasi FRAP perlu memiliki sejumlah keterampilan khusus. Keterampilan ini dapat ditingkatkan dengan menghadiri pelatihan khusus dan dengan pemfasilitasan. Keterampilan yang diperlukan mencakup kemampuan untuk: • Mendengarkan, fasilitator sebaiknya memiliki kemampuan untuk menjadi responsif terhadap perilaku peserta dalam bentuk verbal maupun non-verbal. Mampu memberikan tanggapan parafrase ke subjek yang sedang dikaji dan dapat memperjelas tanggapan. • Memimpin, fasilitator akan menentukan kapan sesi FRAP dimulai dan mendorong terjadinya diskusi sekaligus menjaga tim FRAP agar tetap fokus pada topik yang ada. • Menggambarkan, fasilitator harus mampu memberikan ide-ide dalam bentuk kata-kata yang baru atau untuk memberikan penegasan. • Merangkum, fasilitator harus mampu menarik inti dari tema dan ideide yang dihasilkan bersama-sama dengan anggota tim. • Confront, fasilitator harus mampu memberikan umpan balik (feed back) terhadap pendapat, bereaksi secara jujur terhadap masukan dari tim dan mampu menerima komentar kasar dan mengubahnya menjadi pernyataan positif. • Mendukung, fasilitator harus mampu menciptakan iklim kerja yang penuh dengan rasa kepercayaan dan penerimaan di dalam tim. 43 • Mengintervensi krisis, fasilitator membantu untuk memperluas pilihan atau alternatif visi dari seseorang dan untuk memperkuat poin atas tindakan yang dapat membantu menyelesaikan konflik atau krisis. • Berperan sebagai pusat, fasilitator berperan dalam membantu tim untuk menerima pandangan orang lain dan membangun kepercayaan untuk semua anggota tim untuk berani merespon dan berpartisipasi aktif. • Memecahkan masalah, fasilitator mengumpulkan informasi yang relevan tentang masalah-masalah yang ada dan membantu tim dalam membangun tujuan pengendalian yang efektif. • Merubah perilaku, fasilitator mencari orang-orang yang tampaknya tidak menjadi bagian dari proses dan membawa mereka untuk menjadi lebih berpartisipasi secara aktif. 4. Mekanika Pertemuan (Meeting mechanics) Menentukan ruangan meeting, mengatur jadwal, mendapatkan materi yang dibutuhkan (overhead, flip charts, kopi dan donut). 5. Perjanjian tentang definisi (Agreement on definitions) Pre-FRAP session juga akan selesai saat perjanjian akan pendefinisian juga telah dilengkapi. Perjanjian mengenai pengertian atau definisi perlu dibuat terkait beberapa elemen yang akan ditinjau (integrity, confidentiality, availability). 44 Selain elemen yang ada diatas, juga diperlukan untuk menyetujui definisi mengenai: o Risiko o Kontrol o Dampak o Kerentanan The FRAP Session (fase 1) Setelah pre-FRAP dilaksanakan selanjutnya akan dimuali sesi FRAP. Pada sesi ini umumnya dijadwalkan selama empat jam. Beberapa organisasi telah memperluas proses berlangsungnya sesi ini selama tiga hari, tetapi biasanya, batas empat jam didasarkan pada jadwal-jadwal sibuk dan fleksibilitas FRAP tersebut. Sesi FRAP dapat dibagi menjadi tiga bagian yang berbeda, dengan sembilan elemen yang memunculkan tiga hal yang dihasilkan. Tahap 1, Logistik - selama fase ini tim FRAP akan memperkenalkan dirinya sendiri, memberi nama, judul, departemen, dan nomor telepon (semua ini akan direkam oleh juru tulis tersebut). Peran tim FRAP akan diidentifikasi dan dibahas. Biasanya ada sekitar lima peran yaitu : 1. Pemilik 2. Lead Proyek 3. Fasilitator 45 4. Scribe (juru tulis) 5. Para Anggota Tim Selama fase awal ini, tim FRAP akan diberikan overview tentang proses dimana mereka akan menjadi bagian di dalamnya. Mereka juga akan diberitahukan mengenai scope statement, dan kemudian seseorang dari tim teknikal akan memberikan waktu lima menit untuk melakukan kajian (overview) atas proses yang dibahas (menggunakan visual model). Pada akhirnya, pendefinisan yang dilakukan sebelumnya akan ditinjau dan setiap anggota harus diberikan salinan dari pendefinisan itu. The FRAP analysis (fase 2) Setelah pendahuluan dari sesi FRAP selesai dilakukan, tim FRAP akan memulai proses brainstorming mengenai definisi dan contoh dari risikorisiko. Pada Fase ini, dimana setiap elemen (integrity, confidentiality, dan availability) dibahas dan identifikasi risiko, ancaman, perhatian, dan masalahmasalah untuk setiap elemen. Tim ini kemudian diberi waktu tiga menit untuk menuliskan risiko yang menjadi perhatian bagi mereka. Fasilitator kemudian akan pergi di sekitar ruangan untuk mengumpulkan satu risiko dari setiap anggota tim. Nantinya akan dikumpulkan lebih dari satu risiko, dimana proses ini bertujuan mengumpulkan sebuah risiko dan kemudian pindah ke orang berikutnya. Dengan cara ini setiap orang mendapat giliran untuk berpartisipasi. Proses 46 berlanjut sampai setiap orang lewat (dimana tidak ada risiko lagi yang terpikirkan oleh tim). Proses brainstorming berlanjut sampai peninjauan ulang masing-masing elemen ini selesai. Setelah proses ini selesai, selanjutnya dianjurkan untuk memberikan tim istirahat. Ketika anggota tim kembali ke ruang konferensi, minta mereka untuk melakukan peninjauan atas risiko dicatat sebelumnya dan kemudian mengambil beberapa menit untuk memisahkan risiko yang sama dan membuat suntingan mana yang dianggap layak. Setelah pemisahan selesai (hanya memungkinkan sekitar 10 sampai 15 menit untuk proses ini), tim sekarang akan berkonsentrasi dalam memprioritaskan risiko. Hal ini dilakukan dengan menentukan kerentanan perusahaan untuk risiko dan dampak bisnis jika risiko benar terjadi. Definisi ini disepakati pada pertemuan pra-FRAP dan disajikan kepada tim selama sesi pengantar. Berikut adalah definisi-definisi khusus yang biasa digunakan: High Vulnerability: kelemahan yang sangat substansial ada dalam sistem atau rutinitas operasional, dan di mana potensi dampak bisnis yang parah atau signifikan, kontrol harus ditingkatkan. Medium Vulnerability: terdapat beberapa kelemahan dan di mana potensi dampak bisnis yang parah atau signifikan, kontrol dapat dan sebaiknya ditingkatkan. Low Vulnerability: sistem sudah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada kontrol tambahan yang diperlukan untuk mengurangi kerentanan. 47 Gambar 2.3 Contoh matrix proritas (Sumber : Information Security Risk Analysis, 2001, hal. 80) Severe Impact (High) : cenderung membuat perusahaan bangkrut atau mengalami kerugian yang parah dalam hal prospek bisnis dan pengembangan Significant Impact (Medium) : akan menyebabkan kerugian yang signifikan dan kehilangan banyak biaya, tapi perusahaan masih bisa bertahan. Minor Impact (low) : pada tipe ini, biasanya berupa dampak disisi operasional yang masih dapat dikelola sebagai bagian dari kehidupan bisnis yang biasa. Tim akan dibantu dengan menggunakan model prioritas seperti yang ditampilkan dalam gambar 2.3. Kotak yang dipilih dan disesuaikan 48 dengan nilai berupa huruf kemudian dicocokkan dengan risiko dan dikatakan sebagai prioritas. Tanggapan yang bisa dilakukan tim FRAP adalah sebagai berikut : • A - Tindakan korektif harus dilaksanakan • B - Tindakan korektif sebaiknya dilaksanakan • C - Membutuhkan pemantauan • D - Tidak ada tindakan yang diperlukan Sesi FRAP akan menghasilkan tiga hal yang disampaikan : Identifikasi risiko Prioritas risiko Pengedalian yang disarankan untuk risiko dengan tingkat prioritas tinggi atau yang utama Post-FRAP Meetings Melakukan analisa risiko dengan hanya sekitar 30 menit merupakan kesalahan, sehingga menjadi konsep yang benar bahwa FRAP dapat diselesaikan dalam waktu empat jam. Pertemuan pre-FRAP memakan waktu sekitar satu jam dan sesi FRAP akan memakan waktu sekitar empat jam. Keduanya itu merupakan bagian pengumpulan informasi dari proses analisis risiko. Untuk 49 mendapatkan laporan yang lengkap, manajer bisnis, pemimpin proyek dan fasilitator harus menyelesaikan action plan. Proses post-FRAP memiliki lima hasil: 1. Cross reference sheet 2. Identifikasi kontrol yang ada 3. Berkonsultasi dengan Owner pada open risk 4. Identifikasi kontrol untuk open risk 5. Laporan Akhir Kemajuan teknikal pada tingkat sekarang ini, cross reference sheet adalah proses yang paling memakan waktu bagi fasilitator atau juru tulis. Dokumen ini mengambil setiap kontrol dan mengidentifikasi semua risiko yang akan terkena dampak berdasarkan satu per satu kontrol. Sesudah cross reference sheet selesai (dua hari waktu kerja seharusnya sudah cukup), action plan dan cross reference sheet dikirimkan kepada manajer bisnis. Sesi FRAP akan menghasilkan laporan akhir. 2.6 Perbandingan antara OCTAVE, NIST, COBRA, Risk Watch dan FRAP Terdapat beberapa metode yang dapat digunakan dalam penilaian manajemen risiko teknologi informasi, antara lain OCTAVE, NIST, COBRA, Risk Watch dan FRAP. Secara umum metode yang dipilih untuk digunakan haruslah sesuai dengan kebutuhan perusahaan. Dari metode-metode yang telah ada tersebut OCTAVE dan 50 FRAP merupakan yang cukup sering ditemukan untuk melakukan pengukuran risiko teknologi informasi. OCTAVE merupakan metode yang cukup terstruktur akan tetapi metode ini merupakan metode yang cocok digunakan di perusahaan berskala kecil. Sedangkan untuk FRAP itu sendiri merupakan metode terstruktur yang berfokus pada pengkajian control perusahaan tersebut dengan keuntungannya yakni memakan sedikit waktu. Penggunaan NIST sebagai metode pengukuran risiko juga cukup baik namun demikian waktu yang digunakan cukup lama hingga berbulan-bulan minimal dua bulan tergantung dengan kebutuhan perusahaannya dan biasanya NIST digunakan pada skala perusahaan besar karena itu waktu yang ditempuh cukup lama. COBRA merupakan metode metode sesuai ISO akan tetapi lebih fokus kemasalah bisnis dari pada teknisnya dengan kata lain manajemen bisnis menjadi sesuatu yang dilihat disini, menganalisis bagaimana anggaran dana perusahaan dengan TI yang sedang berjalan apakah berkembang atau sebaliknya merugi, diketahui bahwa metode ini cukup konvensional dan merupakan alat yang tidak hanya mengatasi tuntutan baru dalam manajemen bisnis, tetapi cenderung untuk memperkenalkan kelemahan mereka sendiri dan kesulitan dalam bisnis perusahaan. Untuk metode Risk Watch sendiri, merupakan metode yang mengarah ke risiko investasi, berhubungan dengan keuangan dimana biasanya bank-bank besar mengadopsi metode ini untuk menilai kerentanan risiko perusahaan mereka. Metode ini menilai kerentanan sistem informasi mengenai aset-aset, perhitungan dampak potensial keuangan, dan lain lain. 51 Dengan analisis berbagai metode yang ada maka kami melihat metode yang paling sesuai dengan perusahaan PT.Arya Group ialah FRAP karena memakan waktu dan biaya sedikit. 2.7 Penelitian Sebelumnya Penulis telah melakukan analisa perbandingan mengenai pengukuran risiko teknologi informasi dengan metode FRAP dengan penelitian sebelumnya yang dilakukan oleh Sinta dan Sylvana (2011) yang mana keduanya melakukan penelitian pada perusahaan yang bergerak di bidang manufacturing. Mereka melakukan pengukuran risiko teknologi informasi dengan menggunakan metode OCTAVE-S. Berdasarkan studi yang dilakukan penulis, metode OCTAVE-S tersebut terdiri dari tiga tahapan. Tahap pertama, membangun profil ancaman berdasarkan aset. Pada tahap pertama ini terdapat dua proses yaitu mengidentifikasi informasi dalam organisasi dan proses kedua adalah menciptakan profil ancaman. Selanjutnya, tahap kedua dilakukan identifikasi kerentanan atas infrastruktur dalam hubungannya dengan aset kritis. Tahap terakhir adalah melakukan pengembangan strategi dan rencana keamanan. Ada dua proses yang menjadi bagian dari tahap ketiga ini yaitu mengidentifikasi dan menganalisa risiko dan mengembangkan strategi perlindungan dan rencana mitigasi. penulis menyimpulkan beberapa hal mengenai hasil analisa yang dilakukan yaitu diantaranya adalah : 1. Dengan metode FRAP, penulis dapat menghemat banyak waktu dalam melakukan pengukuran risiko teknologi informasi dalam perusahaan. 52 Karena dalam metode OCTAVE-S pengukuran risiko TI dilakukan secara keseluruhan sehingga memakan waktu yang cukup lama. 2. Selain itu karena pada metode FRAP staff non teknis atau non keamanan dapat terlibat dan juga melibatkan manajer operasional sehingga hasilnya dapat secara langsung terkait dengan strategi bisnis. Gambaran analisa pengukuran risiko TI nya juga mengacu kepada pendapat ahli yang dalam hal ini adalah manajer sebagai perwakilan perusahaan yang memahami risiko dan proses TI yang berlangsung. 3. OCTAVE-S memiliki terlalu banyak worksheet dan implemetasi yang dilakukan. Sedangkan pada FRAP format worksheet lebih sederhana karena sudah disediakan, selain itu daftar kontrol dan risiko juga telah direferensikan oleh FRAP sendiri.
