8 BAB 2 LANDAS AN TEORI 2.1 Definisi-definisi Berikut ini adalah definisi-definisi yang terdapat pada skripsi ini: Analisa Risiko (Peltier, 2001, p21) adalah proses mengidentifikasi asset dan ancaman, memprioritaskan kerentanan ancaman dan mengidentifikasi perlindungan yang tepat. Safeguard (Peltier, 2001, p21) adalah pengukuran protektif yang diimplementasikan untuk meyakinkan bahwa asset tersedia untuk memenuhi kebutuhan bisnis. Ancaman (Peltier, 2001, p21) adalah sebuah kejadian yang potensial yang menyebabkan akses yang tidak terotorisasi, modifikasi, pengungkapan atau kerusakan sumber daya informasi, aplikasi atau system. Vulnerability (Peltier, 2001, p21) adalah sebuah kelemahan di dalam sebuah sistem, aplikasi, infrastruktur, pengendalian atau desain yang cacat yang dapat dimanfaatkan untuk melanggar integritas sistem. Control (Peltier, 2001, p72) adalah suatu tindakan yang diambil untuk menghindari, mendeteksi, mengurangi, atau pulih dari risiko untuk melindungi proses bisnis atau misi perusahaan. Peril (Djojosoedarso, 2003, pp8-10) adalah peristiwa atau kejadian yang menimbulkan kerugian. Jadi merupakan kejadian/peristiwa sebagai penyebab langsung terjadinya suatu kerugian; misalnya kebakaran, pencurian, kecelakaan, dan sebagainya. Peril sering disebut juga bahaya, meskipun antara keduanya sebetulnya tidak persis sama. Hazard adalah keadaan dan kondisi yang memperbesar kemungkinan terjadinya peril. Jadi merupakan keadaan dan kondisi yang memperbesar kemungkinan sesuatu terkena peril. Contoh: jalan licin, tikungan tajam adalah 9 merupakan keadaan dan kondisi jalan yang memperbesar kemungkinan terjadinya kecelakaan di tempat tersebut. Dengan demikian hazard lebih erat kaitannya dengan masalah kemungkinan dari pada dengan masalah risiko, meskipun hal itu merupakan faktor yang tidak dapat diabaikan dalam upaya penanggulangan risiko. Sebab hazard pada hakikatnya merupakan dasar/bahan dalam upaya mengestimasi besarnya kemungkinan terjadinya peril. Ada beberapa macam tipe hazard, yaitu: 1. Physical Hazard Adalah keadaan dan kondisi yang memperbesar kemungkinan terjadinya peril, yang bersumber dari karakteristik secara fisik dari objek, baik yang bis a diawasi/diketahui maupun yang tidak. Kondisi ini biasanya dicoba diatasi (kemungkinannya diperkecil) dengan melakukan tindakan-tindakan preventif. M isalnya jalan licin, tikungan tajam yang memperbesar kemungkinan terjadinya kecelakaan, dicoba diatasi dengan pemasangan rambu-rambu lalu lintas ditempat tersebut. 2. Moral Hazard Adalah keadaan dan kondisi seseorang yang memperbesar kemungkinan terjadinya peril, yang bersumber pada sikap mental, pandangan hidup, kebiasaan dari orang yang bersangkutan. Jadi merupakan karakter pribadi seseorang yang memperbesar kemungkinan terjadinya peril. Contoh pelupa, akan memperbesar kemungkinan terjadinya musibah/kerugian yang menimpa orang tersebut. 10 3. Morale Hazard Adalah keadaan dan kondisi seseorang yang memperbesar kemungkinan terjadinya peril, yang bersumber pada perasaan hati orang yang bersangkutan, yang umumnya karena pengaruh dari suatu keadaan tertentu. 4. Legal Hazard Adalah perbuatan yang mengabaikan peraturan-peraturan atau perundangundangan yang berlaku (melanggar hukum), sehingga memperbesar kemungkinan terjadinya peril. Exposure adalah keadaan atau objek yang mengandung kemungkinan terkena peril, sehingga merupakan keadaan yang menjadi obyek dan upaya penanggulangan risiko, khususnya di bidang pertanggungan. Kemungkinan/probabilitas adalah keadaan yang mengacu pada waktu mendatang tentang kemungkinan terjadinya suatu peristiwa. Bagi pengelolaan risiko, terutama kemungkinan yang merugikan adalah merupakan hal yang harus dicermati. Karakteristik dan besarnya kemungkinan adalah hal yang menjadi perhatian utama dari perusahaan asuransi/penanggung. 2.2 Sistem Informasi M enurut O’Brien (2005, p5), sistem informasi merupakan kombinasi teratur apapun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi. Orang bergantung pada sistem informasi untuk berkomunikasi antara satu sama lain dengan menggunakan berbagai jenis alat fisik (hardware), perintah dan prosedur pemrosesan informasi (software), 11 saluran komunikasi (jaringan), dan data yang disimpan (sumber daya data) sejak permulaan peradaban. Sedangkan menurut Indrajid (2000, p3), sistem informasi merupakan suatu kumpulan dari komponen-komponen dalam perusahaan atau organisasi yang berhubungan dengan proses penciptaan dan pengaliran informasi. Fungsi sistem informasi (O’Brien, 2005, pp26-27): Area fungsional utama dari bisnis yang penting dalam keberhasilan bisnis, seperti fungsi akuntansi, keuangan, manajemen operasional, pemasaran dan manajemen sumber daya manusia. 1. Kontributor penting dalam efisiensi operasional, produktivitas dan moral pegawai, serta layanan dan kepuasan pelanggan. 2. sumber utama informasi dan dukungan yang dibutuhkan untuk menyebarluaskan pengambilan keputusan yang efektif oleh para manajer dan praktisi bisnis. 3. bahan yang sangat penting dalam mengembangkan produk dan jasa yang kompetitif, yang memberikan organisasi kelebihan strategis dalam pasar global 4. peluang berkarier yang dinamis, memuaskan, serta menantang bagi jutaan pria dan wanita 5. komponen penting dari sumber daya, infrastruktur, dan kemampuan perusahaan bisnis yang membentuk jaringan. 12 M enurut O’Brien (2005, p35), komponen sistem informasi: a) manusia, hardware, software, data, dan jaringan adalah lima sumber daya dasar sistem informasi b) sumber daya manusia meliputi pemakai akhir dan pakar SI, sumber daya hardware terdiri dari mesin dan media, sumber daya software meliputi baik program maupun prosedur, sumber daya data dapat meliputi dasar data dan pengetahuan, serta sumber daya jaringan yang meliputi media komunikasi dan jaringan c) sumber daya data diubah melalui aktivitas pemrosesan informasi menjadi berbagai produk informasi bagi pemakai akhir d) pemrosesan informasi terdiri dari aktiftas input dalam sistem, pemrosesan, output, penyimpanan, dan pengendalian 2.3 Sistem, Data dan Informasi M enurut O’Brien (2005, p29) sistem adalah sekelompok komponen yang saling berhubungan, bekerja bersama untuk mencapai tujuan bersama dengan menerima input serta menghasilkan output dalam proses transformasi yang teratur. M enurut O’Brien (2005, p32), sistem mempunyai 3 komponen yaitu : 1. Input melibatkan penagkapan dan perakitan berbagai elemen yang memasuki sistem untuk diproses. 2. Pemrosesan melibatkan proses transformasi yang mengubah input menjadi output. 13 3. Output melibatkan perpindahan elemen yang telah diproduksi oleh proses transformasi ke tujuan akhirnya. M enurut Sawyer (2010, p25), data adalah fakta awal yang akan diolah menjadi informasi. Informasi (Sawyer, 2010, p25) adalah data yang sudah disimpulkan atau dimanipulasi yang digunakan untuk pengambilan keputusan. Sedangkan menurut Indrajid (2000, p2), informasi yaitu hasil dari pengolahan data yang secara prinsip memiliki nilai atau value yang lebih dibandingkan dengan data mentah. 2.4 Teknologi Informasi M enurut Indrajid (2000, p2) teknologi informasi adalah suatu teknologi yang berhubungan dengan pengolahan data menjadi informasi dan proses penyaluran data/informasi tersebut dalam batas - batas ruang dan waktu. M enurut Thompson dan Cat-Baril (2003, p32), teknologi informasi adalah istilah yang digunakan untuk mencakup spektrum yang luas dari perangkat-perangkat komputasi (dan komunikasi). Bagaimanapun, semua perangkat-perangkat ini memberikan fitur-fitur umum. Semua teknologi informasi memiliki kemampuan untuk 1. M enangkap data (input) 2. Proses dan atau merubah data 3. M enyimpan data 4. M enyajikan data (output) Dan kebanyakan juga memiliki kemampuan untuk berkomunikasi dengan teknologi informasi lainnya. 14 Berdasarkan pendapat O’Brien (2005, p5), teknologi informasi terdiri dari: a. teknologi hardware komputer, termasuk microcomputer, server berukuran menengah, dan sistem mainframe besar, serta alat-alat input, output, dan media penyimpanan yang mendukung. b. teknologi software komputer, termasuk software sistem operasi, pencari web(browser), alat pembuat software, dan software untuk aplikasi bisnis seperti untuk manajemen hubungan pelanggan dan manajemen rantai pasokan (supply chain management). c. teknologi jaringan komunikasi, termasuk media telekomunikasi, prosesor dan software yang dibutuhkan untuk menyediakan akses kabel dan nirkabel serta dukungan untuk jaringan internet dan jaringan pribadi berbasis internet seperti intranet dan ekstranet. d. teknologi manajemen sumber daya data, termasuk software sistem manajemen database untuk mengembangkan, mengakses, dan memelihara database organisasi. 2.4.1 Infrastruktur TI Infrastruktur TI (Turban et al., 2003, pp55-198) terbagi menjadi hardware, software, managing organizational data and information, dan telecomunication system & network. 2.4.1.1 Hardware Hardware merupakan sebuah komponen yang digunakan untuk menjalankan sebuah sistem komputer, dimana hardware terdiri dari 5 bagian 15 yaitu : (1) Central processing unit (CPU) , (2) Memory (primary and secondary storage), (3) Input Technologies, (4) Output Technologies, (5) Communication processors. CPU adalah sebuah microprocessor yang terbuat dari jutaan transistor yang berukuran mikroskopis yang tertanam di dalam sirkuit pada sebuah chip yang berfungsi menghitung data yang masuk lalu nantinya diolah dengan kecepatan yang sangat cepat dan akan menghasilkan output berupa informasi. Memory merupakan suatu tempat yang digunakan untuk menyimpan informasi, memory terdiri dari 2 bagian yaitu primary memory yang merupakan memory utama yang digunakan untuk menyimpan data-data yang di proses pada CPU. Ada 4 tipe primary storage yaitu (1) Register, (2) random access memory (RAM), (3) Cache Memory, and (4) Read-only memory (ROM). Secondary storage merupakan tempat penyimpanan yang di buat dengan kapasitas yang besar, ada beberapa tipe secondary storage, (1) Magnetic media, (2) Magnetic Diskettes, (3) Optical Storages device, (4) Memory cards, (5) Expandable storages. Input technologies merupakan alat yang memungkin pengguna untuk memasukan data kedalam komputer. Input technologies terdiri dari dua jenis yaitu human data-entry devices terdiri dari alat-alat yang digunakan untuk memasukan data yang langsung di gunakan oleh manusia seperti (1) Keyboard, (2) Mouse, (3) Joystick, (4) Michrophone, lalu jenis input technologies lainnya adalah source data automation yaitu merupakan suatu objek yang digunakan untuk memasukan data kedalam komputer dengan menggunakan alat lainnya 16 dimana manusia tetap menjadi penjalannya, seperti (1) mesin ATM, (2) Optical scanner, (3) Voice recognation system, (3) sensors. Output technologies merupakan media yang digunakan untuk mempresentasikan informasi yang telah input oleh user dan diproses dalam komputer. Contoh output technologies yaitu (1) M onitor, (2) Retina scanning displays, (3) Printer, (4) Voice output, (5) Multimedia output (DVD,VCR). Communication processors merupakan devices yang digunakan untuk menunjang sistem telekomunikasi dalam mentransmisikan informasi. Contoh Communication processors adalah modem, switch. 2.4.1.2 Software Software terdiri dari program komputer yang memiliki urutan instruksi untuk komputer. Sotware memungkinkan pengguna untuk memerintahkan sistem komputer untuk melakukan suatu fungsi tertentu. Software terdiri dari 2 tipe, yaitu (1) system software dan (2) application software. System software adalah sekumpulan instruksi yang berfungsi terutama sebagai perantara antara hardware dan program aplikasi, dan juga dapat langsung dimanipulasi oleh pengguna pengetahuan. Application software adalah sekumpulan instruksi komputer yang menyediakan fungsi-fungsi yg lebih spesifik lainnya untuk user. Contoh application software seperti program penggajian. 17 2.4.1.3 Managing Organizational Data & Information Data sangat perlu untuk dikelola dengan baik agar menjadi informasi yang sangat berguna untuk pengambilan keputusan bisnis. Suatu perusahaan harus dapat memperoleh, mengelola, menganalisa dan melakukan pendekatan pada informasi. Ketika pada era awal pengembangan aplikasi komputer dengan menggunakan metode pendekatan file environment terdapat masalah seperti data yang berganda pada tempat penyimpanan yang sama (data redundancy), data yang sama tetapi memiliki nilai yang berbeda (data inconsistency), program data dependence yaitu saat data di suatu program yang spesifik akan di-update maka data yang ada di tempat penyimpanan pun harus diubah juga, dan adanya nilai-nilai yang berbeda dari bagian informasi yang sama dalam dua sistem yang berbeda (data isolation). Oleh karena banyaknya kelemahan yang ditemukan pada pendekatan file environment dikembangkanlah pendekatan database. Database merupakan kumpulan file yang saling terkait. Database terbagi menjadi 2 tipe yaitu centralized database dan distributed database. Centralized database merupakan penyimpanan file-file yang saling berhubungan yang terpusat pada 1 lokasi. Distributed database merupakan duplikasi database file-file yang saling berhubungan yang terdapat pada database pusat. Software yang dikembangkan untuk untuk database yaitu DBMS (Database management system), program ini dibuat untuk mempermudah akses ke database. DBMS memungkinkan pengguna untuk menyimpan data pada satu lokasi yang nantinya dapat di 18 manipulasi dari berbagai aplikasi lainnya yang berhubungan ke tempat penyimpanan data-data atau database. 2.4.1.4 Telecomunication System & Network Sistem telekomunikasi terdiri dari hardware dan software yang dapat mentransmisikan informasi dari satu tempat ke tempat lainnya. Komponen utama dari sistem telekomunikasi adalah hardware (berupa segala jenis perangkat komputer dan communication processor seperti modem), communication media (media yang digunakan untuk mentransmisikan data), communication networks (hubungan antara komputer dan perangkat komunikasi), communication software (merupakan suatu software yang dapat mengkontrol/mengatur sistem telekominikasi), communication providers (suatu badan usaha yang menyediakan layanan komunikasi), communication protocols (merupakan aturan-aturan dalam mentransmisikan informasi melalui sistem), communication application (aplikasi-aplikasi pendukung yang layanan telekomunikasi seperti Email, EDI ,electronic funds transfer ). Network terdiri dari communication media (coaxical cable,cellular radio), devices, and software yang di butuhkan untuk menghubungkan 2 atau lebih sistem komputer atau perangkat lainnya. Berikut ini merupakan jenis jaringan yang ada menurut rentan jarak yang dapat di cakup. a. LAN (Local area network) jaringan yang menghubungkan 2 atau lebih perangkat dalam suatu ruangan, gedung, perusahaan, sehingga pengguna perangkat bisa berkomunikasi dengan perangkat lainnya dalam satu jaringan. LAN biasa digunakan dalam 1 gedung, perusahaan. 19 b. MAN (Metropolitan Area network) Jaringan yang mencakup area kurang dari 45km, untuk menghubungkan beberapa jaringan yang terpisah dalam suatu kota. c. WAN (Wide area network) merupakan jaringan yang digunakan untuk mentransmisikan data yang tidak berada diluar LAN. WAN merupakan kombinasi dari berbagai switch, microwave, dan satelit telekomunikasi. Berikut ini contoh jaringan komputer, yaitu : internet, ekstranet, intranet. Internet merupakan jaringan yang menghubungkan seluruh jaringan yang ada di seluruh dunia untuk pertukaran informasi. Intranet, menggunakan internet dan TCP/IP, merupakan suatu jaringan internet pribadi yang di gunakan untuk orang-orang yang memiliki wewenang. Intranet biasa digunakan pada suatu perusahaan agar para pekerja dapat lebih mudah mengakses informasi perusahaan, dimana penggunaan diatur pada internal web server. Ekstranet merupakan suatu tipe jaringan interorganisasi sistem organisasi, ekstranet memungkinkan orang yang berada diluar perusahaan untuk berkomunikasi, berinteraksi dengan bagian internal perusahaan. Ekstranet biasa digunakan suatu perusahaan untuk berkomunikasi dengan mitra bisnisnya dengan menggunakan internet. 2.4.2 Arsitektur Teknologi Informasi M enurut O’Brien (2005, pp633-634), arsitektur teknologi adalah desain konseptual, atau cetak biru, yang meliputi komponen utama berikut ini : a. Platform Teknologi 20 Terdiri dari internet, ekstranet, internet, dan jaringan lainnya, sistem komputer, software sistem, serta software aplikasi perusahaan terintegrasi yang memberikan infrastruktur, atau platform, untuk komputasi dan komunikasi yang mendukung penggunaan strategis teknologi informasi bagi e-bussiness, e-commerce, dan aplikasi bisnis / TI lainnya. b. Sumber Daya Data Banyak jenis database operasional dan khusus, termasuk gudang data dan database internet / intranet yang menyimpan dan memberikan data serta informasi untuk proses bisnis dan dukungan keputusan. c. Arsitektur Aplikasi Aplikasi bisnis dari teknologi informasi didesain sebagai arsitektur terintegrasi atau portofolio dari sistem perusahaan yang mendukung usaha bisnis strategis, serta proses lintas fungsi bisnis. d. Organisasi TI Struktur organisasi dari fungsi SI dalam perusahaan dan penyebaran para pakar SI didesain untuk memenuhi strategi yang berubah dari bisnis. Bentuk dari organisasi teknologi informasi bergantung pada filosofi manajerial dan strategi bisnis / teknologi informasi yang dibentuk selama proses perencanaan strategis. 2.4.3 Mengelola Teknologi Informasi M enurut O’Brien (2005, pp631-632) pengelolaan teknologi informasi mempunyai tiga komponen penting, yaitu : 21 a. M engelola pengembangan dan implementasi bersama berbagai strategi bisnis. Dipimpin oleh CEO (Chief Executive Officer) dan CIO (Chief Information Officer), proposal dikembangkan oleh para manajer bisnis dan pakar teknologi informasi untuk menggunakan teknologi informasi agar dapat mendukung prioritas strategi bisnis perusahaan. Proses perencanaan bisnis / teknologi informasi sesuai dengan tujuan bisnis strategi teknologi informasi. Proses tersebut juga meliputi evaluasi proyek bisnis / teknologi informasi yang diajukan. b. M engelola pengembangan dan implementasi aplikasi dan teknologi bisnis / teknologi informasi baru. M erupakan tanggung jawab dari CIO dan CTO (Chief Technology Officer) yang melibatkan pengelolaan proses pengembangan sistem informasi dan implementasinya serta tanggung jawab penelitian ke dalam penggunaan bisnis yang strategis atas teknologi informasi baru. c. M engelola organisasi teknologi informasi dan infrastruktur teknologi informasi. CIO dan para manajer teknologi informasi berbagi tanggung jawab untuk mengelola pekerjaan para pakar teknologi informasi. M ereka juga bertanggung jawab untuk mengelola infrastruktur teknologi informasi dari hardware, software, database, jaringan telekomunikasi, dan sumber daya teknologi informasi lainnya, yang harus diperoleh, dioperasikan, dimonitor dan dipelihara. 22 M anajemen Teknologi Informasi M engelola Bisnis dan Strategi IT M engelola Pengembangan Aplikasi dan Teknologi M engelola Infrastruktur IT CEO &CIO CIO & CTO CIO & IT Gambar 2.1 Komponen Pengelolaan Teknologi Informasi Sumber: O’brien dan George (2006, p478) 2.4.4 Kegagalan dalam Manajemen Teknologi Informasi M enurut O’brien (p486, 2006) kegagalan dalam manajemen teknologi informas i yaitu, 1. Teknologi informasi tidak digunakan secara efektif oleh perusahaan dalam proses bisnisnya untuk bekerjasama dengan customer, supplier dan partner bisnis lain, untuk e-commerce dan web-enabled decision support. 2. Teknologi informasi tidak digunakan dengan efisien, sistem informasi mempunyai respon yang lambat dan tidak stabil, atau konsultan sistem informasi tidak mengelola dengan baik proyek pengembangan aplikasi. 2.5 Konsep Manajemen Risiko 2.5.1 Risiko M enurut A. Abas Salim, risiko (Djojosoedarso, 2003, p2) adalah ketidakpastian (uncertainty) yang mungkin melahirkan peristiwa kerugian (loss). 23 Risiko (Peltier, 2001, p21) adalah kemungkinan bahwa sebuah ancaman tertentu akan memanfaatkan sebuah kerentanan (vulnerability) tertentu. Karakteristik risiko (Djojosoedarso, 2003, pp2-4): 1. M erupakan ketidakpastian atas terjadinya suatu peristiwa. 2. M erupakan ketidakpastian bila terjadi akan menimbulkan kerugian. Wujud dari risiko itu dapat bermacam-macam, antara lain: 1. Berupa kerugian atas harta milik/kekayaan atau penghasilan, misalnya diakibatkan oleh kebakaran, pencurian, pengangguran, dan sebagainya. 2. Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan. 3. Berupa tanggung jawab hukum, misalnya risiko dari perbuatan atau peristiwa yang merugikan orang lain. 4. Berupa kerugian karena perubahan keadaan pasar, misalnya terjadinya perubahan harga, perubahan selera konsumen dan sebagainya. 2.5.1.1 Macam-Macam Risiko Risiko dapat dibedakan dengan berbagai macam cara, antara lain: 1. M enurut sifatnya risiko dapat dibedakan ke dalam: a. Risiko yang tidak disengaja (risiko murni), adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja; misalnya risiko terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya. 24 b. Risko yang disengaja (risiko spekulatif), adalah risiko yang sengaja ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya, misalnya risiko utang-piutang, perjudian, perdagangan berjangka (hedging), dan sebagainya. c. Risiko fundamental, adalah risiko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang, seperti banjir, angin topan, dan sebagainya. d. Risiko khusus, adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya. e. Risiko dinamis, adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi, seperti risiko keusangan, risiko penerbangan luar angkasa. Kebalikannya disebut risiko statis, seperti risiko hari tua, risiko kematian dan sebagainya. 2. Dapat-tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko dapat dibedakan ke dalam: a. Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suatu objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan (pindah) pihak perusahaan asuransi. b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan); umumnya meliputi semua jenis risiko spekulatif. 3. M enurut sumber/penyebab timbulnya, risiko dapat dibedakan ke dalam: 25 a. Risiko intern yaitu risiko yang berasal dari dalam perusahaan itu sendiri, seperti kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja, kesalahan manajemen dan sebagainya. b. Risiko ekstern yaitu risiko yang berasal luar perusahaan, seperti risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan pemerintah, dan sebagainya. 2.5.1.2 Kelas-kelas Risiko Teknologi Informasi M enurut Jordan dan Silcock (2005, pp49-52), kelas risiko teknologi informas i dibagi menjadi tujuh, yaitu 1. Projects – failing to deliver Kelas risiko ini berhubungan dengan proyek TI yang gagal. Tiga hal yang menjadi ukuran dari gagalnya performa yaitu waktu, kualitas, dan lingkup. Contohnya proyek terlambat diselesaikan, proyek banyak memakan banyak sumber daya dan dana dibandingkan dengan yang sudah direncanakan, memberikan fungsi yang kurang kepada pengguna dibandingkan dengan yang sudah direncanakan, mengganggu bisnis selama proses implementasi, dan lainlain. 2. IT service continuity – when business operations go off the air Kelas risiko ini berhubungan dengan layanan TI yang tidak berjalan dan ketidakandalan yang menyebabkan gangguan pada bisnis. Itu berhubungan dengan sistem operasional atau produksi dan kemampuan mereka untuk tetap beroperasi dengan andal untuk mendukung kebutuhan pengguna. 3. Information assets – failing to protect and preserve 26 Kelas risiko ini berhubungan secara khusus mengenai kerusakan, kerugian atau eksploitasi asset informasi yang ada dalam system TI. Dampak risiko asset informasi ini bisa sangat signifikan. M isalnya, informasi yang penting mungkin didapatkan kompetitor, detail dari kartu kredit konsumen bisa saja dicuri dan digunakan untuk tujuan yang sifatnya menipu, atau dipublikasikan dan nantinya merusak hubungan dengan pelanggan dan reputasi perusahaan. 4. Service providers and vendors – breaks in the IT value chain Layanan vendor dan penyedia memainkan peran yang signifikan dalam proyek TI dan berjalannya system dari hari ke hari. Bila mereka gagal dalam menyediakan layanan terbaik bagi perusahaan maka akan berdampak pada system dan layanan TI dan dampaknya bisa dirasakan dalam jangka panjang misalnya kelemahan pada kemampuan layanan TI bagi pengguna perusahaan tersebut. 5. Applications – flaky systems Kelas risiko ini berhubungan dengan kegagalan dalam aplikasi TI. Dampak dari aplikasi yang gagal untuk menjalankan fungsinya sebagaimana diharapkan dan dibutuhkan dapat berupa gangguan kecil hingga bencana besar bagi perusahaan. Aplikasi biasanya terhubung dengan banyak system lain di perusahaan sehingga dampaknya bisa terjadi pada hal-hal yang terkait tersebut. 6. Infrastructure – shaky foundations Kelas risiko ini terkait kegagalan dalam infrastruktur TI. Infrastruktur adalah nama yang umum untuk komputer dan jaringan yang tersentralisasi dan terdistribusi di mana aplikasi berjalan. Kegagalan infrastruktur TI dapat menjadi permanen – ketika sebuah komponen terbakar, tercuri, atau terhenti karena 27 perbaikan, maupun ketika pasokan energi tidak ada atau koneksi jaringan putus. Dampak kegagalan tergantung pada tingkat ketahanan dan redudansi pada sistem dan ketersediaan dan kesiapan dari fasilitas yang siap mendukung. Sistem yang sudah tidak cocok sebaiknya diganti oleh perusahaan. 7. Strategic and emergent – disabled by IT Kelas risiko ini terkait dengan kemampuan TI untuk mengekseusi strategi bisnis. Dampaknya tidak segera dirasakan namun akan menjadi signifikan pada perencanaan bisnis yang akan datang dan seterusnya. Risiko merupakan kemampuan dari perusahaan untuk terus bergerak menuju sebuah visi strategis. Untuk tetap kompetitif, penting untuk menjadi terdepan dalam TI dimengeri dan disesuaikan dengan peluang-peluang potensial untuk eksploitasi bisnis perusahaan. Saat penjajaran TI dengan strategi bisnis jelas, peluang dapat dieksploitasi lewat integrasi dan adaptasi yang efektif dan tepat waktu. 2.5.1.3 Kategori Risiko Teknologi Informasi M enurut Hughes (2006, p36), risiko teknologi informasi dibagi menjadi enam kelas utama yaitu : 1. Keamanan Risiko bahwa informasi diubah atau digunakan oleh orang yang tidakberwenang. Contohnya kejahatan pada computer, pelanggaran internal, dan cyberterrorism. 2. Ketersediaan Risiko bahwa data tidak dapat diakses, misalnya setelah kegagalan system, karena kesalahan manusia (human error), perubahan konfigurasi, dan lain-lain. 3. Kemampuan pemulihan (Recoverability) 28 Risiko bahwa informasi penting tidak dapat dipulihkan dalam waktu yang cukup setelah adanya kejadian terkait keamanan atau ketersediaan, seperti kegagalan software dan atau hardware, ancaman dari luar, dan lain-lain. 4. Performa Risiko bahwa informasi tidak tersedia ketika dibutuhkan yang disebabkan oleh arsitektur terdistribusi, permintaan yang mencapai puncaknya, dan topografi teknologi informasi yang beragam. 5. Daya skala (Scalability) Risiko bahwa pertumbuhan bisnis, pengaturan bottleneck, dan bentuk arsitektur membuat perusahaan tidak mungkin untuk menangani aplikasi utama baru dan biaya bisnis secara efektif. 6. Ketaatan Risiko bahwa manajemen atau pengguna informasi melanggar persyaratan dari pihak pengatur. Yang dipersalahkan di sini termasuk yang melakukan pelanggaran terhadap aturan pemerintah, panduan pengelolaan perusahaan, dan kebijakan internal. 2.5.1.4 Langkah Pemecahan Risiko Teknologi Informasi M enurut Jordan dan Silcock (2005, p7), langkah-langkah pemecahan risiko teknologi informasi yaitu, 1. M enjalankan kepemimpinan dan manajemen terkait framework teknologi informasi dan tata kelola teknologi informasi. 2. M engintegrasikan penanganan risiko teknologi informasi dengan cara melakukan pendekatan manajemen portofolio risiko teknologi informasi. 29 3. M engelola kompleksitas dengan cara menangani setiap risiko teknologi informasi yang berbeda-beda cara penanganannya. 2.5.2 Manajemen Risiko 2.5.2.1 Pengertian manajemen risiko Secara sederhana pengertian manajemen risiko (Djojosoedarso, 2003, pp4-5) adalah pelaksanaan fungsi-fungsi manajemen dalam penanggulangan risiko, terutama risiko yang dihadapi oleh organisasi/perusahaan, keluarga dan masyarakat. Program manajemen risiko dengan demikian mencakup tugas-tugas: 1. M engidentifikasi risiko-risiko yang dihadapi. 2. M engukur atau menentukan besarnya risiko tersebut. 3. M encari jalan untuk menghadapi atau menanggulangi risiko. 4. M enyusun strategi untuk memperkecil ataupun mengendalikan risiko. 5. M engkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi program penanggulangan risiko yang telah dibuat. 2.5.2.2 Sumbangan Manajemen Risiko bagi Perusahaan Adanya program penanggulangan risiko yang baik dari suatu perusahaan akan memberikan beberapa sumbangan yang sangat bermanfaat (Djojosoedarso, 2003, pp5-6), antara lain: 1. Evaluasi dari program penanggulangan risiko akan dapat memberikan gambaran mengenai keberhasilan dan kegagalan operasi perusahaan. M eskipun hal ini secara ekonomis tidak meningkatkan keuntungan perusahaan, tetapi hal itu akan 30 merupakan kritik bagi pengelolaan perusahaan, sehingga akan sangat bermanfaat bagi perbaikan pengelolaan usaha di masa datang. 2. Pelaksanaan program penanggulangan risiko juga dapat memberikan sumbangan langsung kepada upaya peningkatan keuntungan perusahaan. Hal ini dapat terjadi karena adanya pengurangan biaya melalui upaya pencegahan, pengurangan kerugian dengan memindahkan kemungkinan kerugian kepada pihak lain dengan biaya yang terendah, dan sebagainya. 3. Pelaksanaan program penanggulangan risiko yang berhasil juga menyumbang secara tidak langsung kepada pencapaian keuntungan perusahaan, melalui: a. Keberhasilan mengelola risiko murni akan menimbulkan keyakinan dan ketenangan hati kepada pimpinan/pengurus perusahaan, sehingga dapat membantu meningkatkan kemampuan untuk menganalisis dan menyimpulkan risiko spekulatif yang tidak dapat dihindari (dapat lebih berkonsentrasi pada pengelolaan risiko spekulatif). b. Adanya kondisi yang lebih baik dan kesempatan yang memungkinkan akan mendorong pimpinan/pengurus perusahaan untuk memperbaiki mutu keputusan, dengan lebih memperhatikan pekerjaan, terutama yang bersifat spekulatif. c. Berdasarkan hasil evaluasi pengelolaan risiko maka asumsi yang digunakan dalam menangani pekerjaan yang bersifat spekulatif akan lebih bijaksana dan lebih efisien. d. Karena masalah ketidakpastian sudah tertangani dengan baik oleh manajer risiko, maka akan dapat mengurangi keragu-raguan dalam pengambilan keputusan yang dapat mendatangkan keuntungan. 31 e. M elalui perencanaan yang matang, terutama yang menyangkut pengelolaan risiko, akan dapat menangkal timbulnya hal-hal yang dapat mengganggu kelancaran operasi perusahaan misalnya risiko akibat kebangkrutan pelanggan/penyalur, supplier, dan sebagainya. f. Dengan diperhatikannya unsur ketidakpastian, maka perusahaan akan mampu menyediakan sumber daya manusia serta sumber daya lainnya, yang memungkinkan perusahaan dapat mencapai pertumbuhan. g. Akan mendapatkan kepercayaan yang lebih besar dari pihak-pihak yang terkait dengan kegiatan perusahaan, meliputi kreditur, penyalur, pemasok, dan semua pihak yang berpotensi menyumbang kepada terciptanya keuntungan. Sebab pihak-pihak tersebut umumnya akan memilih bertransaksi dengan perusahaan yang mempunyai cara perlindungan yang baik terhadap risiko murni. 4. Ketenangan hati yang dihasilkan oleh cara pengelolaan risiko murni yang baik, menjadi barang ”nonekonomis” yang sangat berharga bagi perusahaan. Sebab hal itu akan memperbaiki kesehatan mental dan fisik pimpinan, pengurus maupun pemilik perusahaan. 5. Keberhasilan mengelola risiko murni juga dapat membantu kepentingan pihak lain, antara lain pada karyawan perusahaan, dapat menunjukkan wujud tanggung jawab sosial perusahaan terhadap masyarakat, sehingga perusahaan akan mendapatkan simpati masyarakat. 32 2.5.2.3 Tujuan Manajemen Risiko Tujuan yang ingin dicapai oleh manajemen risiko (Djojosoedarso, 2003, pp12-13) dapat dibagi menjadi dua kelompok yaitu: 1. Tujuan sebelum terjadinya peril. 2. Tujuan sesudah terjadinya peril. Tujuan Sebelum Terjadinya Peril Tujuan yang ingin dicapai menyangkut hal-hal sebelum terjadinya peril ada bermacam-macam, antara lain: 1. Hal-hal yang bersifat ekonomis, misalnya upaya untuk menanggulangi kemungkinan kerugian dengan cara yang paling ekonomis, yang dilakukan melalui analisis keuangan terhadap biaya program keselamatan, besarnya premi asuransi, maupun biaya dari bermacam-macam teknik penanggulangan risiko. 2. Hal-hal yang bersifat nonekonomis, yaitu upaya untuk mengurangi kecemasan, sebab adanya kemungkinan terjadinya peril tertentu dapat menimbulkan kecemasan dan ketakutan yang sangat, sehingga dengan adanya upaya penanggulangan maka kondisi itu dapat diatasi. 3. Tindakan penanggulangan risiko dilakukan untuk memenuhi kewajiban yang berasal dari pihak ketiga/pihak luar perusahaan. Tujuan Setelah Terjadinya Peril Tujuan yang ingin dicapai menyangkut hal-hal setelah terjadinya peril, dapat berupa: 1. M enyelamatkan operasi perusahaan 2. M encari upaya-upaya agar operasi perusahaan tetap perusahaan terkena peril. berlanjut sesudah 33 3. M engupayakan agar pendapatan perusahaan tetap mengalir, meskipun tidak sepenuhnya, paling tidak cukup untuk menutup biaya variabelnya. 4. M engusahakan tetap berlanjutnya pertumbuhan usaha bagi perusahaan yang sedang melakukan pengembangan usaha, misalnya yang sedang memproduksi barang baru, memasuki pasar baru dan sebagainya. 5. Berupaya tetap dapat melakukan tanggung jawab sosial dari perusahaan. Artinya harus dapat menyusun kebijaksanaan yang membuat seminimum mungkin pengaruh buruk dari suatu peril yang diderita perusahaan terhadap karyawannya, para pelanggan/penyalur, para pemasok, dan sebagainya. Artinya akibat dari peril jangan sampai menimbulkan masalah sosial, misalnya jangan sampai mengakibatkan terjadinya pengangguran. 2.5.2.4 Fungsi Pokok Manajemen Risiko Fungsi manajemen risiko (Djojosoedarso, 2003, p14)pada pokoknya mencakup: 1. M enemukan Kerugian Potensial Artinya berupaya untuk menemukan/mengidentifikasi seluruh risiko murni yang dihadapi oleh perusahaan, yang meliputi: a. Kerusakan fisik dari harta kekayaan perusahaan. b. Kehilangan pendapatan atau kerugian lainnya akibat terganggunya operasi perusahaan. c. Kerugian akibat adanya tuntutan hukum dari pihak lain. d. Kerugian-kerugian yang timbul karena: penipuan, tindakan-tindakan kriminal lainnya, tidak jujurnya karyawan, dan sebagainya. 34 e. Kerugian-kerugian yang timbul akibat karyawan kunci (keymen) meninggal dunia, sakit atau menjadi cacat. 2. M engevaluasi Kerugian Potensial Artinya melakukan evaluasi dan penilaian terhadap semua kerugian potensial yang dihadapi oleh perusahaan. 3. M emilih Teknik/Cara yang Tepat atau M enentukan suatu Kombinasi dari Teknik-teknik yang tepat guna menanggulangi kerugian pada pokoknya ada empat cara yang dapat dipakai untuk menanggulangi risiko, yaitu: mengurangi kesempatan terjadinya kerugian, meretensi, mengasuransikan, dan menghindari. Di mana tugas dari manajer risiko adalah memilih salah satu cara yang paling tepat untuk menanggulangi suatu risiko atau memilih suatu kombinasi dari caracara yang paling tepat untuk menanggulangi risiko. 2.5.2.5 Upaya Penanggulangan Risiko M enurut Djojosoedarso (2003, p4), upaya-upaya untuk menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan (perusahaan) untuk meminimumkan risiko kerugian, antara lain: 1. M elakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan bahan-bahan yang antiterbakar untuk mencegah bahaya kebakaran, memagari mesin-mesin untuk menghindari kecelakaan kerja, melakukan pemeliharaan dan penyimpanan yang baik terhadap bahan dan hasil produksi untuk menghindari 35 risiko kecurian dan kerusakan, mengadakan pendekatan kemanusiaan untuk mencegah terjadinya pemogokan, sabotase dan pengacauan. 2. M elakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut disediakan sejumlah dana untuk menanggulanginya (contoh: pos biaya lain-lain atau tak terduga dalam anggaran perusahaan). 3. M elakukan pengendalian terhadap risiko, contohnya melakukan hedging (perdagangan berjangka) untuk menanggulangi risiko kelangkaan dan fluktuasi harga bahan baku/pembantu yang diperlukan. 4. M engalihkan/memindahkan risiko kepada pihak lain, yaitu dengan cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi terhadap risiko tertentu, dengan membayar sejumlah premi asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan mengganti kerugian bila betulbetul terjadi kerugian yang sesuai dengan penjanjian. 2.5.2.6 Langkah-Langkah Proses Pengelolaan Risiko Dalam mengelola risiko, langkah-langkah proses yang harus dilalui (Djojosoedarso, 2003, p15) adalah: 1. M engidentifikasi/menentukan terlebih dahulu objektif/tujuan yang ingin dicapai melalui pengelolaan risiko. M isalnya penghasilan yang stabil, kedamaian hati, dan sebagainya. 2. M engidentifikasi kemungkinan-kemungkinan terjadinya kerugian/peril atau mengidentifikasi risiko-risiko yang dihadapi. Langkah ini adalah yang paling 36 sulit, tetapi juga paling penting, sebab keberhasilan pengelolaan risiko sangat tergantung pada hasil identifikasi ini. 3. M engevaluasi dan mengukur besarnya kerugian potensial, di mana yang dievaluasi dan diukur adalah: a. Besarnya kesempatan atau kemungkinan terjadinya peril yang akan terjadi selama suatu periode tertentu (frekuensinya). b. Besarnya akibat dari kerugian tersebut terhadap kondisi keuangan perusahaan/keluarga (kegawatannya). c. 4. Kemampuan meramalkan besarnya kerugian yang jelas akan timbul. M encari cara atau kombinasi cara-cara yang paling baik, paling tepat dan paling ekonomis untuk menyelesaikan masalah-masalah yang timbul akibat terjadinya suatu peril. Upaya-upaya tersebut antara lain meliputi 5. a. M enghindari kemungkinan terjadinya peril. b. M engurangi kesempatan terjadinya peril. c. M emindahkan kerugian potensial kepada pihak lain (mengasuransikan). d. M enerima dan memikul kerugian yang timbul (meretensi). M engkoordinir dan mengimplementasikan/melaksanakan keputusan- keputusan yang telah diambil untuk menanggulangi risiko. M isalnya membuat perlindungan yang layak terhadap kecelakaan kerja, menghubungi, memilih dan menyelesaikan pengalihan risiko kepada perusahaan asuransi. 6. M engadminsitrasi, memonitor, dan mengevaluasi semua langkah-langkah atau strategi yang telah diambil dalam menanggulangi risiko. Hal ini sangat penting terutama untuk dasar kebijaksanaan pengelolaan risiko di masa 37 mendatang. Di samping itu juga adanya kenyataan bahwa apabila kondisi suatu objek berubah penanggulangannya juga berubah. 2.5.2.7 Metode Pengidentifikasian Risko Dalam mengidentifikasi risiko ada beberapa metode yang dapat digunakan (Djojosoedarso, 2003, pp21-22), antara lain: 1. M enggunakan daftar pertanyaan/kuesioner untuk menganalisis risiko, yang dari jawaban-jawaban terhadap pertanyaan tersebut diharapkan dapat memberikan petunjuk-petunjuk tentang dinamika informasi khusus, yang dapat dirancang secara sistematis tentang risiko yang menyangkut kekayaan maupun operasi perusahaan. 2. M enggunakan laporan keuangan, yaitu dengan menganalisis neraca, laporan pengoperasian dan catatan-catatan pendukung lainnya, akan dapat diketahui/diidentifikasi semua harta kekayaan, utang-piutang, dan sebagainya. Dengan merangkaikan laporan-laporan tersebut dan berdasarkan ramalanramalan anggaran keuangan akan dapat ditentukan penanggulangan risiko di masa mendatang. 3. M embuat flow-chart aliran barang mulai dari bahan mentah sampai menjadi barang jadi sehingga dapat diketahui risiko-risiko yang dihadapi pada masingmasing tahap dari aliran tersebut. 4. Dengan pemeriksaan/inspeksi langsung di tempat, artinya dengan mengadakan pemeriksaan secara langsung di tempat operasi/aktivitas perusahaan. Dari pemeriksaan secara langsung itu M anajer Risiko daat belajar 38 banyak mengenai kenyataan-kenyataan di lapangan, yang akan sangat bermanfaat bagi upaya penanggulangan risiko. 5. M engadakan interaksi dengan departemen/bagian-bagian dalam perusahaan. Adapun cara-cara yang dapat ditempuh: a. Dengan mengadakan kunjungan ke departemen/bagian-bagian M anajer Risiko dapat meraih/memupuk saling pengertian antara kedua belah pihak dan dapat memberikan pemahaman yang lengkap tentang aktivitas mereka dan kerugian-kerugian potensial yang dihadapi bagian mereka. b. Dengan menerima, mengevaluasi, memonitor dan menanggapi laporanlaporan dari departemen/bagian-bagian M anajer Risiko dapat meningkatkan pemahaman tentang aktivitas dan risiko yang mereka hadapi. 6. M engadakan interaksi dengan pihak luar yaitu mengadakan hubungan dengan individu ataupun perusahaan-perusahaan lain, terutama pihak-pihak yang dapat membantu perusahaan dalam penanggulangan risiko, seperti akuntan, penasihat hukum, konsultan manajemen, perusahaan asuransi, dan sebagainya. Pihak-pihak luar ini dapat banyak membantu dalam mengembangkan identifikasi terhadap kerugian-kerugian potensial. 7. M elakukan analisis terhadap kontrak-kontrak yang telah dibuat dengan pihak lain. Dari analisis tersebut akan dapat diketahui kemungkinan adanya risiko dari kontrak tersebut, misalnya rekanan tidak dapat memenuhi kewajibannya, denda keterlambatan memenuhi kewajiban, dan sebagainya. 8. M embuat dan menganalisis catatan/statistik mengenai bermacam-macam kerugian yang telah pernah diderita. Dan catatan-catatan itu akan dapat 39 diperhitungkan kemungkinan terulangnya suatu jenis risiko tertentu. Di samping itu, dapat diketahui penyebab, lokasi, jumlah dan variabel-variabel risiko lainnya, yang perlu diperhitungkan dalam upaya penanggulangan risiko. 9. M engadakan analisis lingkungan, yang sangat diperlukan untuk mengetahui kondisi yang mempengaruhi timbulnya risiko potensial, seperti konsumen, pemasok, penyalut, pesaing, dasemuan pemerintah (pembuat peraturan/perundang-undangan). 2.5.2.8 Siklus Manajemen Risiko Siklus manajemen risiko (Peltier, 2001, pp18-19): a. M enilai risiko menentukan kebutuhan 1. Kenali sumber daya informasi sebagai aset penting perusahaan 2. M engembangkan proses analisis risiko praktis yang menghubungkan pengendalian kepada kebutuhan bisnis 3. M enganggap manajer bisnis bertanggungjawab untuk melindungi sumberdaya informasi 4. b. c. M engelola risiko secara berkelanjutan M enerapkan kebijakan yang tepat dan control terkait 1. Hubungkan kebijakan kepada risiko bisnis 2. M elaksanakan standar untuk mendukung kebijakan 3. M embedakan antara standar dan pedoman 4. M embuat kebijakan yang mendukung isu-isu review manajemen M eningkatkan kesadaran 40 1. Secara berkelanjutan mendidik pengguna dan lainnya pada risiko dan terkait aturan dan pengendalian 2. M elaporkan kepada manajemen, dengan basis tahunan, bagian bisnis yang terkait risiko d. M onitor dan Evaluasi Kebijakan dan Efektivitas Pengendalian 1. M onitor faktor-faktor yang mempengaruhi risiko dan mengindikasikan keefektifan keamanan. 2. M enggunakan hasil-hasil untuk mengarahkan usaha-usaha di masa depan dan membuat manajer bertanggungjawab. 3. Waspada terhadap teknik-teknik dan alat-alat monitor baru Assess Risk and Determine Needs Implemented Policies and Control Central Focal Point Promote awareness Gambar 2.2 S iklus Manajemen Risiko Sumber: Peltier (2001, p18) M onitor and evaluate 41 2.5.3 Jaminan Kualitas Informasi Tujuan dari program jaminan kualitas informasi perusahaan (Peltier, 2001, pp4-5) adalah untuk menjaga: Integrity: Informasi yang ada adalah sebagaimana dimaksud tanpa modifikasi yang tidak tepat atau korupsi. Confidentiality: Informasi yang ada dilindungi dari pengungkapan yang tidak sah atau tidak sengaja. Availability: Pengguna yang terotorisasi dapat mengakses aplikasi-aplikasi dan system-sistem ketika dibutuhkan untuk melaksanakan tugas mereka. 2.5.4 Manajemen Risiko Teknologi Informasi 2.5.4.1 Mengimplementasikan Kemampuan Manajemen Risiko Teknologi Informasi M enurut Jordan dan Silcock (2005, p60), kemampuan manajemen risiko teknologi informasi yang efektif adalah yang dapat memenuhi kebutuhan bisnis perusahaan, dengan mempertimbangkan unsur-unsur elemen desain penting seperti: 1. Strategi dan kebijakan Strategi dan kebijakan manajemen risiko teknologi informasi diperlukan untuk mendefinisikan tujuan keseluruhan dari manajemen risiko teknologi informasi, membangun prioritas dan pentingnya manajemen risiko teknologi informasi, menjamin cakupan yang cukup pada area-area potensial dari risiko teknologi informasi, dan menyajikan landasan aturan dan prinsip-prinsip untuk mengelola risiko. Kebijakan manajemen risiko teknologi informasi 42 sebaiknya secara formal didokumentasikan dan didukung oleh tim tata kelola teknologi informasi dan dikomunikasikan secara aktif kepada seluruh organisasi. Karena tiap orang dalam organisasi menjadi peserta dalam tata kelola teknologi informasi dan proses manajemen risiko, maka penting untuk mempromosikan kebijakan secara luas. 2. Peran dan tanggung jawab Peran perlu didefinisikan dan kemudian orang yang tepat dipilih dan dialokasikan untuk melakukan peran tersebut.Kerangka kerja tanggung jawab mungkin lebih baik digambarkan ke dalam bentuk matrix, mempertimbangkan tipe-tipe risiko teknologi informasi yang berbeda dan siklus hidup manajemen risiko. Ada beberapa hal yang perlu dipertimbangkan, yaitu: a. Pemisahan tugas – memastikan untuk tiap kelas risiko ada sebuah peran independen yang melakukan aktivitas pemantauan dan review. b. M enyeimbangkan kebutuhan untuk ahli input – mengkontribusikan pengertian proses, system atau risiko spesifik, dan pengambilan keputusan manajerial – mempertimbangkan semua factor dan menentukan tindakan. c. M enyesuaikan peran manajemen risiko teknologi informasi ke dalam struktur yang telah ada di mana seharusnya ditempatkan. M isalnya aksi perlakuan manajemen risiko seharusnya sejalan dengan manajer proyek untuk risiko proyek. 43 d. M embuat peran manajemen risiko teknologi informasi baru ketika dibutuhkan, misalnya peran koordinasi berkelanjutan dari bisnis lintas fungsional e. M engalokasikan tanggung jawab bersama ketika dibutuhkan dan menjamin semua tempat telah diambil. 3. Proses dan pendekatan Kemampuan manajemen risiko teknologi informasi yang dapat diprediksi dan dapat diulang didirikan pada satu set proses yang dimengerti dan diikuti secara konsisten. Proses manajemen risiko tidak perlu rumit. Siklus hidup manajemen risiko meliputi langkah-langkah berikut ini, disebarkan dalam cara yang berbeda untuk tipe risiko yang berbeda: a. Identifikasi / penemuan – mendapatkan risiko teknologi informasi pada radar manajemen. b. Penilaian / analisa – mengerti risiko teknologi informasi dalam konteks keseluruhan portfolio risiko teknologi informasi dan menilai kemungkinan terjadinya dan dampak potensial pada bisnis. c. Perlakuan – menentukan pilihan terbaik dari banyaknya program untuk menangani risiko, perencanaan dan menyelesaikan tindakan-tindakan yang dibutuhkan. d. Pemantauan dan peninjauan – melakukan tindak lanjut untuk menjamin apa yang telah di rencanakan telah diselesaikan dan untuk memahami perubahan-perubahan pada portfolio risiko teknologi informasi. 44 4. Sumber daya manusia dan performa Kemampuan dan pengetahuan sumber daya manusia pada manajemen risiko teknologi informasi perlu dikembangkan dan dipelihara. Hal ini membutuhkan kombinasi dari edukasi dan training yang berhubungan dengan risiko teknologi informasi, sesuai dengan peran dan tanggung jawab yang diemban. 5. Implementasi dan pengembangan Orang-orang tidak hanya akan menerima cara baru dalam mengelola teknologi informasi tanpa diberitahu mengapa hal itu penting. Sebuah alasan harus dapat meyakinkan pentingnya hal tersebut untuk perusahaan dan apakah hal itu penting bagi perusahaan. 2.5.4.2 Lima Langkah Praktik Terbaik Manajemen Risiko Teknologi Informasi M enurut Hughes (2006, p36), langkah yang sebaiknya dilakukan pimpinan bisnis agar mendapat hasil pengembangan yang substansial untuk nilai pemegang saham adalah dengan berangkat dari praktik terbaik jaminan risiko teknologi informasi, yaitu dengan 1. M engembangkan kesadaran dari risiko-risiko teknologi informasi yang berbeda pada bisnis. Risiko teknologi informasi memberi perhatian baik kepada kerugian potensial informasi dan bagaimana cara mengembalikannya, atau pada pengunaan informasi yang terus menerus . 45 2. M engukur dampak terhadap bisnis dari hilangnya informasi atau akses ke aplikasi. M erupakan hal yang penting untuk mengerti risiko dalam hal probabilitas dari suatu kejadian yang akan memicu risiko, dan bagaimana hal ini terkait dengan nilai waktu dari exposure seperti risiko dapat terjadi. Selanjutnya risiko perlu dihitung untuk masing-masing aplikasi bisnis yang kritis. M emahami dua parameter ini memungkinkan pembuat keputusan menggambarkan nilai pada grafik sederhana dua dimensi dan menetapkan mitigasi untuk aplikasi yang berbeda. 3. M emahami alat-alat pendukung yang tersedia untuk manajemen risiko teknologi informasi. Risiko teknologi informasi memiliki penyebab yang berbeda-beda, dengan demikian dibutuhkan pendekatan yang berbeda-beda juga untuk mengatur dan memitigasinya. Secara luas, pendekatan-pendekatan ini membutuhkan kombinasi dari proses, orang, teknologi, dan informasi. Pertama, proses untuk menjalankan data center dan operasi teknologi informasi berkembang ke arah yang lebih teliti dalam hal desain, pendekatan yang sistematis yang terukur dan tereksekusi. ITIL, ISO, dan standar lainnya dimunculkan untuk mendeskripsikan ”best of breed” dari proses operasional. Kedua, perusahaan memberikan perhatian lebih pada cara mereka mempekerjakan karyawannya dalam melawan risiko. Perusahaan bereksperimen pada teknik yang luas termasuk membangun kesadaran dan kemampuan mitigasi risiko pada semua level. Ketiga, software baru muncul dari vendor yang memberika respon terhadap permintaan 46 manajemen risiko teknologi informasi yang dikembangkan. Terakhir, sumber informasi tersedia yang menyajikan pengetahuan mengenai ancaman, titik lemah yang dapat diukur terhadap lingkungan keamanan internal perusahaan untuk mengidentifikasi exposure dan mengembangkan rencana mitigasi. 4. M enyesuaikan biaya manajemen risiko teknologi informasi dengan nilai bisnis Investasi dalam proses, orang, teknologi, dan informasi dibutuhkan untuk mitigasi risiko. Bagaimanapun, sejak biaya teknologi informasi dibatasi, perusahaan terkemuka perlu yakin bahwa mereka mereka tidak melakukan investasi manajemen risiko yang kelebihan (over-investing) ataupun kekurangan (under-investing). Pendekatan utilitas komputer muncul untuk menyejajarkan biaya teknologi informasi dengan nilai bisnis.Empat tahap dalam pedekatan ini yaitu: a. M enjadikan teknologi informasi sebagai kumpulan layanan yang didefinisikan dengan baik, dikembangkan dan diatur oleh grup ”service management” yang berhadapan langsung dengan bisnis. b. M enyajikan layanan ini untuk bisnis lewat ”service level agreements” dan dibebankan kembali ke bisnis. c. M embangun dan mengelola infrastruktur yang berbeda-beda untuk mengembangkan modal pemanfaatan dan mengurangi biaya, daripada membangun sistem sesuai keinginan untuk masing-masing aplikasi. 47 d. M enjalankan operasi teknologi informasi secara otomatis untuk meningkatkan efisiensi pekerja dan mengurangi biaya. 5. M embangun kemampuan perusahaan yang sistematis untuk mengatur risiko keamanan. Perusahaan terkemuka membangun sebuah kemampuan kelembagaan untuk memahami, bertindak, dan mengontrol risiko teknologi informasi dalam level yang sama pada pengawasan dan urgensi sebagai risiko finansial. Dengan menggunakan berbagai macam sumber pengetahuan dapat menunjukkan dampak potensial dari risiko dan enam kemungkinan risiko teknologi informasi pada bisnis perusahaan, proses bisnis inti, atau aplikasi utama. Lalu perusahaan membuat program prioritas untuk memulihkan risiko ini dan menyebarkan software, orang, pengembangan proses, dan informasi. Akhirnya perusahaan mengendalikan risiko dengan pengukuran yang berkelanjutan dan perbaikan. M anajemen risiko teknologi informasi secara fundamental mempengaruhi tata kelola teknologi informasi dan pendekatan tata kelola risiko 2.5.4.3 Tahap Manajemen Risiko Teknologi Informasi M enurut Jordan dan Silcock (2005, p62), manajemen risiko terdiri dari beberapa tahap yang ditempatkan dalam cara yang berbeda untuk tipe risiko yang berbeda. Tahap-tahapnya adalah (1) melakukan identifikasi atau menemukan risiko teknologi informasi, (2) melakukan penilaian atau analisa terkait risiko teknologi informasi dan menilai kemungkinan terjadinya dan dampak potensial pada bisnis, (3) menentukan pilihan terbaik dari banyaknya program untuk menangani risiko, 48 perencanaan dan menyelesaikan tindakan-tindakan yang dibutuhkan, dan (4) melakukan pemantauan dan peninjauan untuk menjamin apa yang telah di rencanakan telah diselesaikan dan untuk memahami perubahan-perubahan pada portfolio risiko teknologi informasi. 2.6 Metode Penilaian Risiko Teknologi Informasi Dalam skripsi ini, penulis akan membandingkan manajemen risiko standar, penilaian risiko dengan metode FRAP, dan penilaian risiko dengan metode OCTAVE. 2.6.1 Manajemen Risiko S tandar M anajemen risiko (Dorfman, 2005, pp44-60) didefinisikan sebagai sebuah pengembangan logis dan menjalankan rencana untuk menghadapi potensi kerugian. Tujuan dari manajemen risiko adalah untuk mengelola exposure suatu perusahaan yang dapat menimbulkan kerugian dan melindungi asset perusahaan. Tujuan lain dari manajemen risiko agar perusahaan dapat mampu bertahan dari kerugian, lalu program manajemen risiko dapat memungkinkan perusahaan untuk terus berkembang setelah terjadi kerugian, seperti tidak terjadi kerugian. Selain itu manajemen risiko juga memiliki tujuan yaitu agar proses manajemen risiko berjalan lebih efisien, lancar dan baik. Dalam melakukan manajemen risiko, kegiatan harus sesuai dengan regulasi pemerintah dan aturan yang berlaku. Saat menjalankan manajemen risiko, tujuan, aturan, dan prosedur harus dituangkan petunjuk tertulis (manual). 49 Proses manajemen risiko sebagai berikut ini : 1. Langkah pertama : mengidentifikasi dan mengukur potensi kehilangan. Secara logis, berbicara tentang kehilangan dimulai dengan mengkategorisasikan kemungkinan kedalam empat kelas yaitu : a. Kerugian properti secara langsung. b. Kerugian dalam pendapatan dan adanya beban tambahan sebagai akibat dari kerugian properti. c. Kerugian yang muncul dari sisi hukum. d. Kerugian yang menyebabkan kematian, ketidakmampuan, atau pengundurkan diri yang tidak direncanakan dari karyawan kunci. 2. Langkah kedua : M emilih metode yang paling efisien dari pengendalian dan eksposure kehilangan financial dan mengimplementasikannya. Di dalam langkah ini terdapat metode : a. Loss Control Aktifitas loss control didesain untuk mengurangi biaya kerugian dan didalamnya termasuk alat manajemen risiko yaitu risk avoidance, risk prevention, dan loss reduction, dan federal loss control regulation. Federal loss control regulation dalam buku sumber mengacu pada aturan yang berlaku di Amerika Serikat. b. Risk Financing Risk financing menentukan kapan dan oleh siapa biaya kerugian ditanggung. Risk financing meliputi alternatif berikut ini, risk assumption, 50 risk transfer other than insurance, self insurance and financial risk retention, insurance. 3. Langkah ketiga : M emantau hasil Setelah semua kerugian potensial diidentifikasi dan diimplementasikan, risk manager harus mereview program secara regular untuk memastikan semua kebutuhan terpenuhi. Review dari rencana manajemen risiko yang ada sangat berguna untuk menilai apakah rencana sudah sejalan tengan tujuan awalnya. 2.6.2 FRAP FRAP (Peltier, 2001, pp69-70) dikembangkan sebagai proses yang efisien dan disiplin untuk menjamin risiko informasi terkait keamanan yang berhubungan dengan operasi bisnis dipertimbangkan dan didokumentasikan. Prosesnya melibatkan penganalisaan satu sistem, aplikasi, atau segmen dari operasi bisnis pada satu waktu dan mengumpulkan sebuah tim dari individuindividu termasuk manajer bisnis yang akrab dengan kebutuhan informasi bisnis dan staf teknis yang memiliki pemahaman yang rinci tentang kelemahan sistem yang potensial dan terkait kontrol. Selama sesi FRAP, tim mengungkapkan pendapat tentang ancaman yang potensial, vulnerability, dan hasil dari dampak negatif pada integrity data, confidentiality, serta availability. Lalu tim akan menganalisa pengaruh dampak tersebut terhadap operasi bisnis dan secara luas mengkategorikan risiko menurut prioritas levelnya. Tim biasanya tidak mencoba untuk mendapatkan atau mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau perkiraan kerugian tahunan meskipun data untuk menentukan faktor-faktor 51 tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan literatur, dan pengalaman mereka sendiri. Setelah mengidentifikasi dan mengkategorikan risiko, tim mengidentifikasi pengendalian-pengendalian yang dapat diimplementasikan untuk mengurangi risiko, berfokus pada pengendalian yang paling efektif dari segi biaya. Tim akan menggunakan titik awal dari 26 kontrol umum yang dirancang untuk mengatasi berbagai jenis risiko. Pada akhirnya, keputusan seperti apa yang dibutuhkan terkait pengendalian terletak pada manajer bisnis yang mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi bisnis dan biaya pengendalian. Kesimpulan tim mengenai risiko-risiko apa yang ada, bagaimana prioritasnya, dan pengendalian apa yang yang dibutuhkan, didokumentasikan dan dikirim kepada pimpinan proyek dan manajer bisnis untuk menyelesaikan rencana aksi. Tiap proses analisa risiko (Peltier, 2001, pp70) dibagi menjadi empat sesi yang berbeda: a. Pre-FRAP meeting menghabiskan waktu satu jam dan melibatkan manajer bisnis, kepala proyek, dan fasilitator. b. FRAP session berlangsung sekitar empat jam dan termasuk tujuh hingga 15 orang, sesi dapat berisi paling banyak lima puluh orang dan minimal empat orang. c. FRAP analysis and report generation biasanya memakan waktu empat sampai enam hari dan diselesaikan oleh fasilitator dan penulis. 52 d. Post-FRAP session menghabiskan waktu satu jam dan yang menghadirinya sama dengan anggota yang hadir pada pre-FRAP meeting. 2.6.2.1 Pre-FRAP meeting M enurut Peltier (2001, pp72-73) Pertemuan ini memakan waktu satu jam. Pre-FRAP meeting sebaiknya melibatkan manajer bisnis, kepala pengembangan proyek, dan fasilitator. Ada lima komponen kunci yang menjadi hasil dari sesi satu jam ini: a. Scope statement. Kepala proyek dan manajer bisnis perlu untuk membuat ”a statement of opportunity” untuk di-review. Dituangkan dalam kata-kata apa yang secara jelas akan diperiksa. b. M odel visual. Dibutuhkan model visual. Ini dapat sebanyak satu halaman atau diagram foil yang menggambarkan proses yang akan diperiksa. o M enetapkan anggota FRAP. Tim FRAP memiliki antara tujuh hingga lima belas anggota dan memiliki wakil dari perusahaan dan area-area yang mendukung. c. Meeting mechanics. Ini merupakan pertemuan manajer unit bisnis dan bahwa individu bertanggunjawab untuk menyiapkan ruangan, jadwal, dan material yang dibutuhkan. d. Kesepaktan akan definisi-definis i. Sesi pre-FRAP adalah di mana kesepakatan tentang definisi FRAP telah didapatkan. Diperlukan adanya definisi mengenai unsur-unsur penilaian (integrity, confidentiality, availability). Disamping memeriksa unsur-unsur tersebut, perlu adanya kesepakatan pada: 53 1. Risiko 2. Pengendalian 3. Dampak 4. Vulnerability 2.6.2.2 FRAP S ession M enurut Peltier (2001, pp78-80), Fase 1 – Logistik – Selama fase ini, timFRAP akan memperkenalkan diri, memberikan nama, jabatan, departemen, dan nomor telepon (semuanya ini akan dicatat oleh juru tulis). Peran tim FRAP akan diidentifikasi dan dibahas. Biasanya ada lima peran: a. Pemilik b. Kepala proyek c. Fasilitator d. Juru tulis e. Anggota tim Selama fase awal ini, tim FRAP akan diberikan gambaran proses di mana mereka akan terlibat. M ereka juga akan dihadapkan pada pernyataan ruang lingkup, dan kemudian seseorang dari tim teknis akan memberikan gambaran lima menit dari dari proses yang sedang ditinjau (model visual). Akhirnya, definisi akan ditinjau dan jumlah masing-masing harus diberikan sebuah salinan dari definisi. Setelah pendahuluan selesai, tim FRAP akan memulai proses brainstorming. Ini adalah fase 2, yang meninjau setiap element (integrity, availability, confidentiality) dan mengidentifikasi risiko-risiko, ancaman-ancaman, concern, dan isu-isu untuk masing-masing element. 54 Proses untuk brainstorming adalah bahwa fasilitator akan menunjukkan definisi dan beberapa contoh risiko. Kemudian tim diberikan waktu tiga menit untuk menulis risiko-risiko yang menjadi perhatian mereka. Fasilitator kemudian akan mengumpulkan satu risiko dari masing-masing anggota. Anggota akan menemukan lebih dari satu risiko, namun prosesnya adalah untuk mendapatkan satu risiko dan berlanjut kepada orang berikutnya. Dengan cara ini, setiap orang dapat berpartisipasi. Proses berlanjut hingga semua orang mendapat giliran (bahw a tidak ada risiko yang tim dapat pikirkan lagi). Proses brainstorming berlanjut hingga masing-masing unsur penilaian sudah terpenuhi. Saat proses ini selesai, direkomendasikan bagi tim untuk beristirahat. Ketika anggota tim kembali ke ruangan pertemuan, mereka akan menilai risikorisiko yang ditempatkan di ruangan dan mendapatkan beberapa menit untuk merapikan risiko yang sudah disalin dan membuat perubahan di mana dirasa layak. Setelah proses menyalin selesai (hanya diberikan waktu sepuluh hingga lima belas menit untuk proses ini), tim akan berkonsentrasi untuk memprioritaskan risiko. Hal ini dilakukan dengan menentukan vulnerability perusahaan terhadap risiko dan dampak bisnis jika risiko terjadi. Definisi-definisi ini disetujui selama pertemuan pre-FRAP dan disajikan kepada seluruh tim selama pendahuluan. Satu set yang khas dari definisi-definisi mungkin saja seperti: a. High vulnerability: kelemahan yang sangat besar terdapat di dalam system atau dalam operasi rutin; dan di mana potensi dampak bisnis parah atau signifikan, pengendalianl harus ditingkatkan. 55 b. Medium vulnerability: ada beberapa kelemahan; dan di mana dampak potensi bisnis parah atau signifikan, pengendalian dapat dan sebaiknya ditingkatkan. c. Low vurnelability: sistem sudah dibangun dengan baik dan dioperasikan dengan tepat. Tidak ada tambahan pengendalian yang dibutuhkan untuk mengurangi vulnerability. d. Severe Impact (High): cenderung menempatkan perusahaan keluar dari bisnis atau merusak prospek dan pengembangannya. e. Significant Impact (Medium): akan mengakibatkan kerusakan dan biaya yang signifikan, namun perusahaan akan bertahan. f. Minor Impact (Low): tipe dari operasional yang berdampak pada satu ekspektasi harus diatur sebagai bagian dari kehidupan bisnis biasa. Tim akan dibantu dengan menggunakan model prioritas ditunjukkan dalam tabel 2.1. Kotak yang dipilih akan sesuai dengan nilai huruf yang ditetapkan ke risiko sebagai prioritasnya. Tanggapan dari tim FRAP akan sebagai berikut: A – aksi korektif harus diimplementasikan B – aksi korektif sebaiknya diimplementasikan C – membutuhkan pemantauan D – tidak ada aksi yang dibutuhkan 56 Ada banyak cara di mana tim dapat memberi prioritas kepada masing-masin g risiko. Tiga cara yang populer yaitu: 1. Fasilitator fokus kepada risiko satu per satu dan tim mendiskusikan masingmasing risiko dan kemudian mendapatkan kesepakatan. 2. Fasilitator menilai tiga atau empat risiko yang pertama untuk menjamin bahwa tim memiliki ide yang tepat pada bagaimana proses berjalan, dan kemudian masing-masing anggota tim diberikan spidol berwarna dan ditanya untuk menetapkan prioritas. Jika mereka tidak memiliki pendapat/ide, kemudian mereka akan membiarkannya kosong dan berpindah ke risiko berikutnya. Ketika tim selesai, fasilitator akan memulai diskusi tentang proses. Sebagai contoh, ketika ada lima belas anggota FRAP, dan sepuluh memberikan nilai ”C” kepada risiko dan lima yang lainnya memberikan ”A” atau ”B”, lalu fasilitator akan berdiskusi tentang isu tersebut untuk menjamin bahwa ”C” adalah jawaban yang paling tepat. 3. M etode ketiga yang dapat digunakan yaitu fasilitator memberikan masingmasing anggota sepuluh dot. M asing-masing anggota diperbolehkan untuk memilih sepuluh risiko utama. Risiko dengan dot akan membutuhkan pengendalian; risiko tanpa dot dipertimbangkan sebagai risiko minor. 57 Gambar 2.3 Sample Priority Matrix Business Impact Sample Matrix Priority Vulnerability High Medium Low High A B C Medium B B C Low C C D Sesi FRAP akan menghasilkan tiga hasil: a. Identifikasi risiko b. Prioritas risiko c. Pengendalian yang disarankan untuk risiko yang utama atau berisiko tinggi Tabel 2.1 mengindikasikan beberapa dari 120 risiko yang telah diidentifikasi pada sesi FRAP. Tabel 2.1 Contoh FRAP Session Deliverables Risk# 1 2 3 4 5 Risk Informasi diakses oleh personnel yang tidak mempunyai akse s Informasi yang tidak jelas atau tidak sebenarnya Database rusak karena gangguan pada hardware, incorrect,atau software yang rusak Data tidak terbaca karena proses pemindahan file yang tidak sempurna Kemampuan untuk merubah data sementara dan melakukan perubahan Type INT Priority B Controls 3,5,6,11,12,16 INT B 9, 13, 26 INT D INT C INT C 58 6 7 8 9 10 11 12 kembali untuk melindungi aktivitas Kesalahan pelaporan masalah integritas Proses yang tidak sempurna yang mengakibatkan kerusa kan data Kurangnya proses internal untuk membuat, mengendalikan, mengelola data antar fungsi Tidak ada pemberitahuan tentang masalah integritas Informasi sigunakan dalam konteks yang salah Informasi pihak ketiga mungkin memiliki masalah integritas Pihak ketiga yang mengakses informasi INT A 7, 11, 12, 13, 20, 21 1, 2, 12, 13,14, 15, 18, 20, 21, 25 INT A INT A 7, 13, 17, 20, 23, 25 INT A 7, 13,26 INT B 11,12,19 INT B 7, 13, 26 INT A 3,4,5 Proses akhir dari sesi FRAP adalah untuk mengidentifikasi pegendalian untuk beberapa resiko yang teridentifikasi yang dibutuhkan. Ketika undangan mengenai sesi FRAP sudah dikirimkan, manajer bisnis mengikutsertakan daftar dari 26 pengendalian, sebagaimana yang ditunjukkan dalam tabel 2.2, yang akan digunakan selama fase ini dalam sesi FRAP. Tabel 2.2 FRAP Control List No. 1 2 Kelas Deskripsi Backup Kebutuhan backup akan ditentukan dan dikomunikasikan kepada penyedia layanan, termasuk permintaan bahwa pemberitahuan elektronik yang dibackup telah selesai dikirim kepada administrator system aplikasi. Penyedia layanan akan diminta untuk menguji prosedur backup. Recovery Plan Mengembangkan, mendokumentasikan, dan menguji prosedur recovery yang didesain untuk menjamin bahwa aplikasi dan informasi dapat di-recover (dipulihkan), menggunakan backup yang telah dibuat, ketika terjadi kerugian. 59 3 4 Access Control Access Control Mengimplementasikan sebuah mekanisme pengendalian akse s untuk mencegah akse s yang tidak terotorisasi terhadap informasi. Mekanisme ini termasuk kemampuan mendeteksi, logging, dan melaporkan upaya untuk menerobos keamanan informasi. Akses sumber: Mengimplementasikan sebuah mekanisme untuk membatasi akse s kepada informasi rahasia ke network path tertentu atau lokasi fisik. Mengimplementasikan mekanisme otentikasi pengguna (seperti firewall, dial-in control, secure ID) untuk membatasi akse s ke personil yang tidak terotorisasi. 5 Access Control 6 Access Control Mengimplementasikan mekanisme enkripsi (data, endto-end) untuk mencegah akse s yang tidak terotorisasi untuk melindungi integritas dan kerahasiaan informasi. Application Control Mendesain dan mengimplementasikan pengendalian aplikasi (data entry edit checking, field requiring validation, alarm indicators, password expiration capabilities, checksums) untuk menjamin integritas, kerahasiaan, dan ketersediaan dari informasi aplikasi. 7 8 Acceptance Testing 9 Change Management Mengembangkan prosedur pengujian yang diikuti selama pengembangan aplikasi dan selama perubahan terhadap aplikasi yang telah ada yang di dalamnya melibatkan partisipasi dan penerimaan pengguna. Mengikuti proses manajemen perubahan yang didesain untuk memfasilitasi pendekatan terstruktur untuk perubahan, untuk menjamin langkah-langkah yang se suai dan pencegahan diikuti. Perubahan yang sifatnya “emergency” sebaiknya diikutsertakan dalam proses ini. 10 Anti Virus 1. Menjamin Administrator LAN menginstal software antivirus yang sesuai standar perusahaan pada semua computer. 2. Pelatihan dan kesadaran teknik pencegahan virus akan dimasukkan ke dalam program IP organisasi. 11 Policy Mengembangkan kebijakan dan prosedur untuk membatasi akse s dan hak istimewa operasional kepada mereka yang memiliki kebutuhan bisnis. 60 Training Pelatihan pengguna akan mencakup instruksi dan dokumentasi yang tepat ke aplikasi. Pentingnya menjaga kerahasiaan account pengguna, sandi, dan sifat rahasia dan kompetitif informasi akan ditekankan. Audit/Monitor Menerapkan mekanisme untuk memantau, melaporkan dan kegiatan audit yang diidentifikasi sebagai bahan tinjauan independen, termasuk tinjauan berkala dari userIDs untuk memastikan kebutuhan bisnis. Backup Kontrol Operasi: pelatihan untuk backup data untuk sistem administrator akan diberikan dan tugas dirotasi di antara mereka untuk memastikan kecukupan dari program pelatihan. Training Kontrol Operasi: pengembang aplikasi akan memberikan dokumentasi, bimbingan, dan dukungan untuk staf operasi (admin) dalam menerapkan mekanisme untuk memastikan bahwa transfer informasi antar aplikasi aman. 16 Access Control Kontrol Operasi: mekanisme untuk melindungi database dari akse s yang tidak sah, dan modifikasi dari luar aplikasi, akan ditentukan dan diimplementasikan. 17 Interface dependencies Kontrol operasi: sistem yang memberikan informasi akan diidentifikasi dan dikomunikasikan kepada admin untuk menekankan dampak yang akan terjadi terhadap fungsi tersebut jika aplikasi ini tidak tersedia. 18 Maintenance Kontrol Operasi: kebutuhan waktu untuk pemeliharaan teknis akan dilacak dan penyesuaian jadwal akan dikomunikasikan kepada manajemen. 19 Training User Control: Mengimplementasikan user program (user performance evaluation) yang didesain untuk mendorong kepatuhan terhadap kebijakan dan prosedur untuk menjamin penggunaan yang tepat terhadap aplikasi. 20 Service Agreement 21 Maintenance 12 13 14 15 Mendapatkan persetujuan mengenai tingkat pelayanan Level untuk menetapkan harapan pelanggan dan jaminan dari operasi pendukung. Memperoleh pemeliharaan dan persetujuan dengan pemasok untuk memfasilitasi secara terus-menerus mengenai aplikasi operasional. 61 22 Physical Security Konsultasi dengan facilities management, dalam hal memfasilitasi implementasi pengendalian keamanan fisik yang dirancang untuk melindungi informasi, software, dan hardware yang dibutuhkan oleh system 23 Management support Permintaan dukungan manajemen untuk menjamin kooperasi dan koordinasi dari berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi. 24 Prorietary Pengendalian hak milik. 25 Corrective strategies Tim pengembang akan mengembangkan strategi korektif, seperti mengecek kembali proses-pro ses yang ada dalam perusahaan, merevisi logika aplikasi, dll. 26 Change Management Mengontrol migrasi produk, seperti untuk proses pencarian dan menghapus, untuk memastikan tempat penyimpanan data aman. Pengendalian dapat diidentifikasikan secara umum dalam dua jenis: a. Fasilitator dapat fokus pada setiap risiko yang paling utama dan memilih team yang dapat mengatasi risiko tersebut. b. Fasilitator dapat fokus kepada tiga atau empat risiko prioritas utama dam kemudian membiarkan team untuk mebackup dan memilih risiko yang dipilih untuk mereka tangani sendiri. Jika risiko telah dipilih maka tidak perlu dipilih kembali. Perlu dimengerti bahwa semua pengendalian yang dipilih tidak semuanya akan diimplementasikan. M anajer bisnis, kepala proyek, dan fasilitator akan bekerja bersama dalam pertemuan post-FRAP untuk menetapkan satu atau dua pengedalian yang terbaik. 62 FRAP tidak akan mengurangi tiap risiko. M anajemen memiliki tugas untuk menentukan risiko mana yang akan diberi pengendalian dan mana yang akan diterima. FRAP session selesai ketika tiga hasil didapatkan yaitu: 1. Risiko diidentifikasi 2. Risiko diprioritaskan 3. Control diidentifikasi 2.6.2.3 Hasil Post-FRAP Meeting Proses Post-FRAP memiliki lima hasil: a. Cross-reference sheet b. Identification of existing control c. Consulting with owner on open risks d. Identification of controls for open risks e. Final report 2.6.3 OCTAVE OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) adalah serangkaian alat, teknik, dan metode pengukuran dan perencanaan strategi keamanan informasi berbasis risiko. 63 M etode OCTAVE Ada 3 metode OCTAVE: a. M etode OCTAVE asli, yang merupakan dasar dari tubuh pengetahuan OCTAVE. b. OCTAVE-S, untuk perusahaan-perusahaan yang lebih kecil. c. OCTAVE-Allegro, pendekatan yang efisien untuk pengukuran keamanan informasi dan jaminan. M etode OCTAVE dibangun di dalam kriteria OCTAVE – sebuah pendekatan standar untuk sebuah risk-driven dan evaluasi keamanan informas i berbasis praktek. Kriteria OCTAVE menetapkan prinsip-prinsip dasar dan atributatribut dari manajemen risiko yang digunakan oleh metode OCTAVE. Fitur-fitur dan keuntungan dari metode OCTAVE: a. Self-directed – tim-tim kecil dari personil organisasi lintas unit bisnis dan TI bekerja bersama untuk mendefinisikan kebutuhan keamanan organisasi. b. Fleksibel – tiap metode dapat disesuaikan dengan lingkungan risiko perusahaan yang unik, keamanan dan ketahanan terhadap tujuan, dan tingkat kemampuan. c. Evolved – OCTAVE menggerakkan organisasi menuju sebuah pandangan keamanan berbasis risiko operasional dan mendefinisikan teknologi dalam sebuah konteks bisnis. Sumber: http://www.cert.org/octave/, diakses tanggal 10 Oktober 2010. 64 Tiga fase OCTAVE Organisasi, teknologi, dan aspek analisis dari sebuah evaluasi risiko keamanan informasi bersandar pada pendekatan tiga fase. OCTAVE dikelola dalam aspekaspek dasar ini (ilustrasi dalam figure 2), memungkinkan personil perusahaan untuk merakit gambaran yang komprehensif tentang kebutuhan keamanan informasi perusahaan. Fase-fasenya adalah a. Fase 1: Bangun profile ancaman berdasarkan asset – Ini merupakan evaluasi organisasi. Anggota staff dari organisasi memberikan kontribusi lewat perspektif mereka pada apa yang penting bagi perusahaan (aset terkait informasi) dan apa yang saat ini telah selesai dilakukan untuk melindungi aset-aset tersebut. Tim analisa mengonsolidasi informasi dan memilih aset yang paling penting bagi perusahaan (aset kritis). Tim lalu mendeskripsikan kebutuhan keamanan untuk aset kritis dan mengidentifikasi ancaman untuk aset kritis, membuat profil ancaman. b. Fase 2: Identifikasi titik lemah (vulnerability) infrastruktur – Ini adalah evaluasi dari infrastruktur informasi. Tim analisa mengidentifikasi sistem teknologi informasi kunci dan komponen yang terkait kepada masingmasing aset kritis. Tim lalu menguji komponen-komponen kunci untuk kelemahan (titik lemah teknologi) yang dapat berakibat tindakan-tindakan tanpa otorisasi terhadap aset kritis. c. Fase 3: M engembangkan rencana dan strategi keamanan – Selama bagian evaluasi ini, tim analisa mengidentifikasi resiko terhadap aset kritis organisasi dan memutuskan apa yang akan dilakukan terhadap hal tersebut. Tim membuat strategi perlindungan untuk perusahaan dan rencana mitigasi 65 untuk mengidentifikasi resiko terhadap aset kritis, berdasarkan analisa informasi yang didapatkan. Gambar 2.4 Fase OCTAVE OCTAVE menyajikan gambaran organisasi secara luas dari risiko keamanan informasi terkini. OCTAVE menyajikan gambaran pada suatu waktu, ataupun dasar, yang dapat digunakan untuk berfokus pada mitigasi dan aktivitas-aktivitas pengembangan. Selama OCTAVE, sebuah tim analisa melakukan aktivitasaktivitas untuk: a. M engidentifikasi risiko keamanan informasi perusahaan. b. M enganalisa risiko-risiko untuk menentukan prioritas. c. M erencanakan untuk pengembangan dengan mengembangkan sebuah strategi perlindungan untuk pengembangan organisasi dan rencana mitigasi risiko untuk mengurangi risiko terhadap aset perusahaan yang kritis. 66 Sebuah perusahaan tidak akan melakukan pengembangan jika perusahaan tersebut tidak mengimplementasikan rencananya. Aktivitas-aktivitas pengembangan ini dilakukan setelah OCTAVE sudah diselesaikan. Setelah OCTAVE, tim analisa, atau personil lain yang ditunjuk a. M erencanakan bagaimana mengimplementasikan strategi perlindungan dan rencana mitigasi risiko dengan mengembangkan rencana aksi yang detail. Aktivitas ini dapat mengikutsertakan analisa cost-benefit yang detail di antara strategi dan aksi, dan hal itu menghasilkan rencana implementasi yang detail. b. M engimplementasikan rencana aksi yang lebih detail. c. M emantau jalannya rencana aksi dan keefektifannya. Aktivitas ini termasuk memantau resiko untuk segala perubahan. d. M engendalikan perbedaaan dalam rencana eksekusi dengan mengambil langkah korektif yang tepat. PRINS IP OCTAVE Prinsip adalah konsep dasar yang mendefinisikan filosofi dibalik proses evaluasi. Prinsip membentuk pendekatan evaluasi dan menyajikan dasar untuk proses evaluasi. Kami telah mengelompokkan prinsip-prinsip tersebut ke dalam tiga area di bawah ini. a. Prinsip-prinsip evaluasi risiko keamanan informasi: Ini merupakan aspek kunci yang membentuk fondasi evaluasi risiko keamanan informasi yang efektif. 67 - Self direction - Adaptable measures - Defined process - Foundation for a continous process b. Prinsip-prinsip manajemen risiko: Ini merupakan prinsip-prinsip dasar umum untuk praktek manajemen risiko yang efektif. - Forward-looking view - Focus on the critical view - Integrated management c. Prinsip budaya dan organisasi: Ini adalah aspek-aspek organisasi dan budayanya yang diperlukan untuk mencapai manajemen risiko keamanan informasi yang sukses. - Open communication - Global perspective - Teamwork Gambar 2.5 Prinsip OCTAVE 68 2.6.4 Perbandingan antara Manajemen Risiko standar, FRAP, dan Octave Tabel 2.3 Perbandingan Metode Pengukuran Risiko Teknologi Informasi FRAP OCTAVE Risk Management standard Identifikasi risiko Identifikasi risiko Identifikasi risiko Identifikasi risiko Analisa risiko Memberikan Proses mengukur Respon Risiko prioritas dan tipe risiko risiko Menyarankan Proses pengendalian risiko risiko Penilaian potensi kerugian penilaian Memilih metode yang paling efisien untuk pengendalian dan potensi kerugian Hasil dan Evaluasi Menggolongkan risiko pengendalian risiko, berdasarkan control list, pengelompokan Membagi 3 klasifikasi Memonitor hasil dan pengendalian melakukan Red risiko, (harus ada (perusahaan dan bisa Mengkonsultasikan proses bisnis, dengan dalam owner hal risk adanya masi menjalankan resiko di kebijakan klasifikasi ini), Green yang sudah ada dan (Risiko yang muncul risiko yang ditemukan sudah diatasi dengan baik oleh perusahaan) lalu Monitor apakah tujuan awal Yellow dari manajemen risiko mitigasi), vulnerability, tipe data kepada review di dan pengendalian risiko telah belum. tercapai atau 69 2.7 Penelitian Sebelumnya Penulis melakukan studi banding dengan cara mengacu kepada penelitian sebelumnya yang dilakukan Susan et al (2010). Penelitian tersebut dilakukan pada perusahaan yang bergerak di bidang distribusi. M ereka melakukan pengukuran risiko teknologi informasi menggunakan metode octave-s dimana terdiri dari 3 tahap, membangun profil ancaman berdasarkan aset yang didalamnya juga terdiri atas 2 proses , yaitu mengidentifikasi informasi organisasi, dan menciptakan profil ancaman, lalu tahap kedua adalah identifikasi kerentanan infrastruktur dalam hubungannya dengan aset kritis. Tahap ketiga adalah mengembangkan strategi dan rencana keamanan dimana didalam terdapat 2 proses, yaitu mengidentifikasi dan menganalisa risiko dan mengembangkan strategi perlindungan dan rencana mitigasi. Setelah Susan et al melakukan analisa diketahui bahwa 1. Perusahaan sebaiknya menerapkan manajemen risiko TI. 2. Diadakan pelatihan keamanan TI secara rutin kepada karyawan. 3. Perusahaan harus mempertahankan keamanan sistem dan jaringan yang ada di perusahaan agar tetap terjaga.