8 BAB 2 LANDASAN TEORI 2.1 Definisi

8
BAB 2
LANDAS AN TEORI
2.1
Definisi-definisi
Berikut ini adalah definisi-definisi yang terdapat pada skripsi ini:
Analisa Risiko (Peltier, 2001, p21) adalah proses mengidentifikasi asset
dan ancaman, memprioritaskan kerentanan ancaman dan mengidentifikasi
perlindungan yang tepat.
Safeguard (Peltier, 2001, p21) adalah pengukuran protektif yang
diimplementasikan untuk meyakinkan bahwa asset tersedia untuk memenuhi
kebutuhan bisnis.
Ancaman (Peltier, 2001, p21) adalah sebuah kejadian yang potensial yang
menyebabkan akses yang tidak terotorisasi, modifikasi, pengungkapan atau
kerusakan sumber daya informasi, aplikasi atau system.
Vulnerability (Peltier, 2001, p21) adalah sebuah kelemahan di dalam
sebuah sistem, aplikasi, infrastruktur, pengendalian atau desain yang cacat yang
dapat dimanfaatkan untuk melanggar integritas sistem.
Control (Peltier, 2001, p72) adalah suatu tindakan yang diambil untuk
menghindari, mendeteksi, mengurangi, atau pulih dari risiko untuk melindungi
proses bisnis atau misi perusahaan.
Peril (Djojosoedarso, 2003, pp8-10) adalah peristiwa atau kejadian yang
menimbulkan kerugian. Jadi merupakan kejadian/peristiwa sebagai penyebab
langsung terjadinya suatu kerugian; misalnya kebakaran, pencurian, kecelakaan,
dan sebagainya. Peril sering disebut juga bahaya, meskipun antara keduanya
sebetulnya tidak persis sama.
Hazard adalah keadaan dan kondisi yang memperbesar kemungkinan
terjadinya peril. Jadi merupakan keadaan dan kondisi yang memperbesar
kemungkinan sesuatu terkena peril. Contoh: jalan licin, tikungan tajam adalah
9
merupakan keadaan dan kondisi jalan yang memperbesar kemungkinan
terjadinya kecelakaan di tempat tersebut.
Dengan
demikian hazard lebih erat kaitannya dengan masalah
kemungkinan dari pada dengan masalah risiko, meskipun hal itu merupakan
faktor yang tidak dapat diabaikan dalam upaya penanggulangan risiko. Sebab
hazard pada hakikatnya merupakan dasar/bahan dalam upaya mengestimasi
besarnya kemungkinan terjadinya peril. Ada beberapa macam tipe hazard, yaitu:
1.
Physical Hazard
Adalah keadaan dan kondisi yang memperbesar kemungkinan terjadinya peril,
yang bersumber dari karakteristik secara fisik dari objek, baik yang bis a
diawasi/diketahui maupun yang tidak.
Kondisi ini biasanya dicoba diatasi (kemungkinannya diperkecil) dengan
melakukan tindakan-tindakan preventif. M isalnya jalan licin, tikungan tajam
yang memperbesar kemungkinan terjadinya kecelakaan, dicoba diatasi dengan
pemasangan rambu-rambu lalu lintas ditempat tersebut.
2.
Moral Hazard
Adalah keadaan dan kondisi seseorang yang memperbesar kemungkinan
terjadinya peril, yang bersumber pada sikap mental, pandangan hidup, kebiasaan
dari orang yang bersangkutan. Jadi merupakan karakter pribadi seseorang yang
memperbesar kemungkinan terjadinya peril. Contoh pelupa, akan memperbesar
kemungkinan terjadinya musibah/kerugian yang menimpa orang tersebut.
10
3.
Morale Hazard
Adalah keadaan dan kondisi seseorang yang memperbesar kemungkinan
terjadinya peril, yang bersumber pada perasaan hati orang yang bersangkutan,
yang umumnya karena pengaruh dari suatu keadaan tertentu.
4.
Legal Hazard
Adalah perbuatan yang mengabaikan peraturan-peraturan atau perundangundangan
yang
berlaku
(melanggar
hukum),
sehingga
memperbesar
kemungkinan terjadinya peril.
Exposure adalah keadaan atau objek yang mengandung kemungkinan
terkena peril, sehingga merupakan keadaan yang menjadi obyek dan upaya
penanggulangan risiko, khususnya di bidang pertanggungan.
Kemungkinan/probabilitas adalah keadaan yang mengacu pada waktu
mendatang tentang kemungkinan terjadinya suatu peristiwa. Bagi pengelolaan
risiko, terutama kemungkinan yang merugikan adalah merupakan hal yang harus
dicermati. Karakteristik dan besarnya kemungkinan adalah hal yang menjadi
perhatian utama dari perusahaan asuransi/penanggung.
2.2 Sistem Informasi
M enurut O’Brien (2005, p5), sistem informasi merupakan kombinasi
teratur apapun dari orang-orang, hardware, software, jaringan komunikasi, dan
sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi
dalam sebuah organisasi. Orang bergantung pada sistem informasi untuk
berkomunikasi antara satu sama lain dengan menggunakan berbagai jenis alat
fisik (hardware), perintah dan prosedur pemrosesan informasi (software),
11
saluran komunikasi (jaringan), dan data yang disimpan (sumber daya data)
sejak permulaan peradaban. Sedangkan menurut Indrajid (2000, p3), sistem
informasi merupakan suatu kumpulan dari komponen-komponen dalam
perusahaan atau organisasi yang berhubungan dengan proses penciptaan dan
pengaliran informasi.
Fungsi sistem informasi (O’Brien, 2005, pp26-27):
Area fungsional utama dari bisnis yang penting dalam keberhasilan bisnis,
seperti fungsi akuntansi, keuangan, manajemen operasional, pemasaran dan
manajemen sumber daya manusia.
1. Kontributor penting dalam efisiensi operasional, produktivitas dan moral
pegawai, serta layanan dan kepuasan pelanggan.
2. sumber utama informasi dan dukungan yang dibutuhkan untuk
menyebarluaskan pengambilan keputusan yang efektif oleh para manajer
dan praktisi bisnis.
3. bahan yang sangat penting dalam mengembangkan produk dan jasa yang
kompetitif, yang memberikan organisasi kelebihan strategis dalam pasar
global
4. peluang berkarier yang dinamis, memuaskan, serta menantang bagi jutaan
pria dan wanita
5. komponen penting dari sumber daya, infrastruktur, dan kemampuan
perusahaan bisnis yang membentuk jaringan.
12
M enurut O’Brien (2005, p35), komponen sistem informasi:
a) manusia, hardware, software, data, dan jaringan adalah lima sumber daya
dasar sistem informasi
b) sumber daya manusia meliputi pemakai akhir dan pakar SI, sumber daya
hardware terdiri dari mesin dan media, sumber daya software meliputi
baik program maupun prosedur, sumber daya data dapat meliputi dasar
data dan pengetahuan, serta sumber daya jaringan yang meliputi media
komunikasi dan jaringan
c) sumber daya data diubah melalui aktivitas pemrosesan informasi menjadi
berbagai produk informasi bagi pemakai akhir
d) pemrosesan
informasi terdiri dari aktiftas
input
dalam sistem,
pemrosesan, output, penyimpanan, dan pengendalian
2.3 Sistem, Data dan Informasi
M enurut O’Brien (2005, p29) sistem adalah sekelompok komponen yang
saling berhubungan, bekerja bersama untuk mencapai tujuan bersama dengan
menerima input serta menghasilkan output dalam proses transformasi yang
teratur.
M enurut O’Brien (2005, p32), sistem mempunyai 3 komponen yaitu :
1. Input melibatkan penagkapan dan perakitan berbagai elemen yang
memasuki sistem untuk diproses.
2. Pemrosesan melibatkan proses transformasi yang mengubah input
menjadi output.
13
3. Output melibatkan perpindahan elemen yang telah diproduksi oleh proses
transformasi ke tujuan akhirnya.
M enurut Sawyer (2010, p25), data adalah fakta awal yang akan diolah
menjadi informasi. Informasi (Sawyer, 2010, p25) adalah data yang sudah
disimpulkan atau dimanipulasi yang digunakan untuk pengambilan keputusan.
Sedangkan menurut Indrajid (2000, p2), informasi yaitu hasil dari pengolahan
data yang secara prinsip memiliki nilai atau value yang lebih dibandingkan
dengan data mentah.
2.4 Teknologi Informasi
M enurut Indrajid (2000, p2) teknologi informasi adalah suatu teknologi
yang berhubungan dengan pengolahan data menjadi informasi dan proses
penyaluran data/informasi tersebut dalam batas - batas ruang dan waktu.
M enurut Thompson dan Cat-Baril (2003, p32), teknologi informasi
adalah istilah yang digunakan untuk mencakup spektrum yang luas dari
perangkat-perangkat komputasi (dan komunikasi). Bagaimanapun, semua
perangkat-perangkat ini memberikan fitur-fitur umum. Semua teknologi
informasi memiliki kemampuan untuk
1. M enangkap data (input)
2. Proses dan atau merubah data
3. M enyimpan data
4. M enyajikan data (output)
Dan kebanyakan juga memiliki kemampuan untuk berkomunikasi dengan
teknologi informasi lainnya.
14
Berdasarkan pendapat O’Brien (2005, p5), teknologi informasi terdiri dari:
a. teknologi hardware komputer, termasuk microcomputer, server berukuran
menengah, dan sistem mainframe besar, serta alat-alat input, output, dan
media penyimpanan yang mendukung.
b. teknologi software komputer, termasuk software sistem operasi, pencari
web(browser), alat pembuat software, dan software untuk aplikasi bisnis
seperti untuk manajemen hubungan pelanggan dan manajemen rantai
pasokan (supply chain management).
c. teknologi jaringan komunikasi, termasuk media telekomunikasi, prosesor
dan software yang dibutuhkan untuk menyediakan akses kabel dan nirkabel
serta dukungan untuk jaringan internet dan jaringan pribadi berbasis
internet seperti intranet dan ekstranet.
d. teknologi manajemen sumber daya data, termasuk software sistem
manajemen database untuk mengembangkan, mengakses, dan memelihara
database organisasi.
2.4.1 Infrastruktur TI
Infrastruktur TI (Turban et al., 2003, pp55-198) terbagi menjadi
hardware, software, managing organizational data and information, dan
telecomunication system & network.
2.4.1.1 Hardware
Hardware merupakan sebuah komponen yang digunakan untuk
menjalankan sebuah sistem komputer, dimana hardware terdiri dari 5 bagian
15
yaitu : (1) Central processing unit (CPU) , (2) Memory (primary and
secondary storage), (3) Input Technologies, (4) Output Technologies, (5)
Communication processors.
CPU adalah sebuah microprocessor yang terbuat dari jutaan transistor
yang berukuran mikroskopis yang tertanam di dalam sirkuit pada sebuah chip
yang berfungsi menghitung data yang masuk lalu nantinya diolah dengan
kecepatan yang sangat cepat dan akan menghasilkan output berupa informasi.
Memory merupakan suatu tempat yang digunakan untuk menyimpan informasi,
memory terdiri dari 2 bagian yaitu primary memory yang merupakan memory
utama yang digunakan untuk menyimpan data-data yang di proses pada CPU.
Ada 4 tipe primary storage yaitu (1) Register, (2) random access memory
(RAM), (3) Cache Memory, and (4) Read-only memory (ROM). Secondary
storage merupakan tempat penyimpanan yang di buat dengan kapasitas yang
besar, ada beberapa tipe secondary storage, (1) Magnetic media, (2) Magnetic
Diskettes, (3) Optical Storages device, (4) Memory cards, (5) Expandable
storages.
Input technologies merupakan alat yang memungkin pengguna untuk
memasukan data kedalam komputer. Input technologies terdiri dari dua jenis
yaitu human data-entry devices terdiri dari alat-alat yang digunakan untuk
memasukan data yang langsung di gunakan oleh manusia seperti (1) Keyboard,
(2) Mouse, (3) Joystick, (4) Michrophone, lalu jenis input technologies lainnya
adalah source data automation yaitu merupakan suatu objek yang digunakan
untuk memasukan data kedalam komputer dengan menggunakan alat lainnya
16
dimana manusia tetap menjadi penjalannya, seperti (1) mesin ATM, (2) Optical
scanner, (3) Voice recognation system, (3) sensors.
Output
technologies
merupakan
media
yang
digunakan
untuk
mempresentasikan informasi yang telah input oleh user dan diproses dalam
komputer. Contoh output technologies yaitu (1) M onitor, (2) Retina scanning
displays, (3) Printer, (4) Voice output, (5) Multimedia output (DVD,VCR).
Communication processors merupakan devices yang digunakan untuk
menunjang sistem telekomunikasi dalam mentransmisikan informasi. Contoh
Communication processors adalah modem, switch.
2.4.1.2 Software
Software terdiri dari program komputer yang memiliki urutan instruksi
untuk komputer. Sotware memungkinkan pengguna untuk memerintahkan
sistem komputer untuk melakukan suatu fungsi tertentu. Software terdiri dari 2
tipe, yaitu (1) system software dan (2) application software.
System software adalah sekumpulan instruksi yang berfungsi terutama sebagai
perantara antara hardware dan program aplikasi, dan juga dapat langsung
dimanipulasi oleh pengguna pengetahuan.
Application software adalah sekumpulan instruksi komputer yang
menyediakan fungsi-fungsi yg lebih spesifik lainnya untuk user. Contoh
application software seperti program penggajian.
17
2.4.1.3 Managing Organizational Data & Information
Data sangat perlu untuk dikelola dengan baik agar menjadi informasi
yang sangat berguna untuk pengambilan keputusan bisnis. Suatu perusahaan
harus dapat memperoleh, mengelola, menganalisa dan melakukan pendekatan
pada informasi.
Ketika pada era awal pengembangan aplikasi komputer dengan
menggunakan metode pendekatan file environment terdapat masalah seperti
data yang berganda pada tempat penyimpanan yang sama (data redundancy),
data yang sama tetapi memiliki nilai yang berbeda (data inconsistency),
program data dependence yaitu saat data di suatu program yang spesifik akan
di-update maka data yang ada di tempat penyimpanan pun harus diubah juga,
dan adanya nilai-nilai yang berbeda dari bagian informasi yang sama dalam dua
sistem yang berbeda (data isolation).
Oleh karena banyaknya kelemahan yang ditemukan pada pendekatan file
environment dikembangkanlah pendekatan database. Database merupakan
kumpulan file yang saling terkait. Database terbagi menjadi 2 tipe yaitu
centralized
database dan
distributed
database.
Centralized
database
merupakan penyimpanan file-file yang saling berhubungan yang terpusat pada 1
lokasi. Distributed database merupakan duplikasi database file-file yang saling
berhubungan yang terdapat pada database pusat. Software yang dikembangkan
untuk untuk database yaitu DBMS (Database management system), program ini
dibuat untuk mempermudah akses ke database. DBMS memungkinkan
pengguna untuk menyimpan data pada satu lokasi yang nantinya dapat di
18
manipulasi dari berbagai aplikasi lainnya yang berhubungan ke tempat
penyimpanan data-data atau database.
2.4.1.4 Telecomunication System & Network
Sistem telekomunikasi terdiri dari hardware dan software yang dapat
mentransmisikan informasi dari satu tempat ke tempat lainnya. Komponen
utama dari sistem telekomunikasi adalah hardware (berupa segala jenis
perangkat
komputer
dan
communication
processor
seperti
modem),
communication media (media yang digunakan untuk mentransmisikan data),
communication
networks
(hubungan
antara
komputer
dan
perangkat
komunikasi), communication software (merupakan suatu software yang dapat
mengkontrol/mengatur sistem telekominikasi), communication providers (suatu
badan usaha yang menyediakan layanan komunikasi), communication protocols
(merupakan aturan-aturan dalam mentransmisikan informasi melalui sistem),
communication
application (aplikasi-aplikasi pendukung yang layanan
telekomunikasi seperti Email, EDI ,electronic funds transfer ).
Network terdiri dari communication media (coaxical cable,cellular
radio), devices, and software yang di butuhkan untuk menghubungkan 2 atau
lebih sistem komputer atau perangkat lainnya. Berikut ini merupakan jenis
jaringan yang ada menurut rentan jarak yang dapat di cakup.
a.
LAN (Local area network) jaringan yang menghubungkan 2 atau lebih
perangkat dalam suatu ruangan, gedung, perusahaan, sehingga pengguna
perangkat bisa berkomunikasi dengan perangkat lainnya dalam satu
jaringan. LAN biasa digunakan dalam 1 gedung, perusahaan.
19
b.
MAN (Metropolitan Area network) Jaringan yang mencakup area kurang
dari 45km, untuk menghubungkan beberapa jaringan yang terpisah dalam
suatu kota.
c.
WAN (Wide area network) merupakan jaringan yang digunakan untuk
mentransmisikan data yang tidak berada diluar LAN. WAN merupakan
kombinasi dari berbagai switch, microwave, dan satelit telekomunikasi.
Berikut ini contoh jaringan komputer, yaitu : internet, ekstranet, intranet.
Internet merupakan jaringan yang menghubungkan seluruh jaringan yang ada di
seluruh dunia untuk pertukaran informasi.
Intranet, menggunakan internet dan TCP/IP, merupakan suatu jaringan
internet pribadi yang di gunakan untuk orang-orang yang memiliki wewenang.
Intranet biasa digunakan pada suatu perusahaan agar para pekerja dapat lebih
mudah mengakses informasi perusahaan, dimana penggunaan diatur pada
internal web server.
Ekstranet merupakan
suatu
tipe jaringan
interorganisasi sistem
organisasi, ekstranet memungkinkan orang yang berada diluar perusahaan
untuk berkomunikasi, berinteraksi dengan bagian
internal perusahaan.
Ekstranet biasa digunakan suatu perusahaan untuk berkomunikasi dengan mitra
bisnisnya dengan menggunakan internet.
2.4.2 Arsitektur Teknologi Informasi
M enurut O’Brien (2005, pp633-634), arsitektur teknologi adalah desain
konseptual, atau cetak biru, yang meliputi komponen utama berikut ini :
a.
Platform Teknologi
20
Terdiri dari internet, ekstranet, internet, dan jaringan lainnya, sistem
komputer, software sistem, serta software aplikasi perusahaan terintegrasi
yang memberikan infrastruktur, atau platform, untuk komputasi dan
komunikasi yang mendukung penggunaan strategis teknologi informasi
bagi e-bussiness, e-commerce, dan aplikasi bisnis / TI lainnya.
b.
Sumber Daya Data
Banyak jenis database operasional dan khusus, termasuk gudang data dan
database internet / intranet yang menyimpan dan memberikan data serta
informasi untuk proses bisnis dan dukungan keputusan.
c.
Arsitektur Aplikasi
Aplikasi bisnis dari teknologi informasi didesain sebagai arsitektur
terintegrasi atau portofolio dari sistem perusahaan yang mendukung usaha
bisnis strategis, serta proses lintas fungsi bisnis.
d.
Organisasi TI
Struktur organisasi dari fungsi SI dalam perusahaan dan penyebaran para
pakar SI didesain untuk memenuhi strategi yang berubah dari bisnis.
Bentuk dari organisasi teknologi informasi bergantung pada filosofi
manajerial dan strategi bisnis / teknologi informasi yang dibentuk selama
proses perencanaan strategis.
2.4.3 Mengelola Teknologi Informasi
M enurut O’Brien (2005, pp631-632) pengelolaan teknologi informasi
mempunyai tiga komponen penting, yaitu :
21
a.
M engelola pengembangan dan implementasi bersama berbagai strategi
bisnis. Dipimpin oleh CEO (Chief Executive Officer) dan CIO (Chief
Information Officer), proposal dikembangkan oleh para manajer bisnis dan
pakar teknologi informasi untuk menggunakan teknologi informasi agar
dapat mendukung prioritas strategi bisnis perusahaan. Proses perencanaan
bisnis / teknologi informasi sesuai dengan tujuan bisnis strategi teknologi
informasi. Proses tersebut juga meliputi evaluasi proyek bisnis / teknologi
informasi yang diajukan.
b.
M engelola pengembangan dan implementasi aplikasi dan teknologi bisnis /
teknologi informasi baru. M erupakan tanggung jawab dari CIO dan CTO
(Chief Technology
Officer) yang melibatkan
pengelolaan
proses
pengembangan sistem informasi dan implementasinya serta tanggung
jawab penelitian ke dalam penggunaan bisnis yang strategis atas teknologi
informasi baru.
c.
M engelola organisasi teknologi informasi dan infrastruktur teknologi
informasi. CIO dan para manajer teknologi informasi berbagi tanggung
jawab untuk mengelola pekerjaan para pakar teknologi informasi. M ereka
juga bertanggung jawab untuk mengelola infrastruktur teknologi informasi
dari hardware, software, database, jaringan telekomunikasi, dan sumber
daya teknologi informasi lainnya, yang harus diperoleh, dioperasikan,
dimonitor dan dipelihara.
22
M anajemen
Teknologi
Informasi
M engelola
Bisnis dan
Strategi IT
M engelola
Pengembangan
Aplikasi dan
Teknologi
M engelola
Infrastruktur
IT
CEO &CIO
CIO & CTO
CIO & IT
Gambar 2.1 Komponen Pengelolaan Teknologi Informasi
Sumber: O’brien dan George (2006, p478)
2.4.4 Kegagalan dalam Manajemen Teknologi Informasi
M enurut O’brien (p486, 2006) kegagalan dalam manajemen teknologi informas i
yaitu,
1. Teknologi informasi tidak digunakan secara efektif oleh perusahaan dalam
proses bisnisnya untuk bekerjasama dengan customer, supplier dan partner bisnis
lain, untuk e-commerce dan web-enabled decision support.
2. Teknologi informasi tidak digunakan dengan
efisien, sistem informasi
mempunyai respon yang lambat dan tidak stabil, atau konsultan sistem informasi
tidak mengelola dengan baik proyek pengembangan aplikasi.
2.5 Konsep Manajemen Risiko
2.5.1 Risiko
M enurut
A. Abas
Salim,
risiko
(Djojosoedarso, 2003,
p2)
adalah
ketidakpastian (uncertainty) yang mungkin melahirkan peristiwa kerugian (loss).
23
Risiko (Peltier, 2001, p21) adalah kemungkinan bahwa sebuah ancaman tertentu
akan memanfaatkan sebuah kerentanan (vulnerability) tertentu.
Karakteristik risiko (Djojosoedarso, 2003, pp2-4):
1. M erupakan ketidakpastian atas terjadinya suatu peristiwa.
2. M erupakan ketidakpastian bila terjadi akan menimbulkan kerugian.
Wujud dari risiko itu dapat bermacam-macam, antara lain:
1. Berupa kerugian atas harta milik/kekayaan atau penghasilan, misalnya
diakibatkan oleh kebakaran, pencurian, pengangguran, dan sebagainya.
2. Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan.
3. Berupa tanggung jawab hukum, misalnya risiko dari perbuatan atau peristiwa
yang merugikan orang lain.
4. Berupa kerugian karena perubahan keadaan pasar, misalnya terjadinya perubahan
harga, perubahan selera konsumen dan sebagainya.
2.5.1.1 Macam-Macam Risiko
Risiko dapat dibedakan dengan berbagai macam cara, antara lain:
1. M enurut sifatnya risiko dapat dibedakan ke dalam:
a. Risiko yang tidak disengaja (risiko murni), adalah risiko yang apabila terjadi
tentu menimbulkan kerugian dan terjadinya tanpa disengaja; misalnya risiko
terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan,
dan sebagainya.
24
b. Risko yang disengaja (risiko spekulatif), adalah risiko yang sengaja
ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian
memberikan
keuntungan
kepadanya,
misalnya
risiko
utang-piutang,
perjudian, perdagangan berjangka (hedging), dan sebagainya.
c. Risiko fundamental, adalah risiko yang penyebabnya tidak dapat dilimpahkan
kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang
saja, tetapi banyak orang, seperti banjir, angin topan, dan sebagainya.
d. Risiko khusus, adalah risiko yang bersumber pada peristiwa yang mandiri
dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat
jatuh, tabrakan mobil, dan sebagainya.
e. Risiko dinamis, adalah risiko yang timbul karena perkembangan dan
kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi,
seperti risiko keusangan, risiko penerbangan luar angkasa. Kebalikannya
disebut risiko statis, seperti risiko hari tua, risiko kematian dan sebagainya.
2. Dapat-tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko dapat
dibedakan ke dalam:
a. Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan
suatu objek yang akan terkena risiko kepada perusahaan asuransi, dengan
membayar sejumlah premi asuransi, sehingga semua kerugian menjadi
tanggungan (pindah) pihak perusahaan asuransi.
b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat
diasuransikan); umumnya meliputi semua jenis risiko spekulatif.
3. M enurut sumber/penyebab timbulnya, risiko dapat dibedakan ke dalam:
25
a. Risiko intern yaitu risiko yang berasal dari dalam perusahaan itu sendiri,
seperti kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja,
kesalahan manajemen dan sebagainya.
b. Risiko ekstern yaitu risiko yang berasal luar perusahaan, seperti risiko
pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan
pemerintah, dan sebagainya.
2.5.1.2 Kelas-kelas Risiko Teknologi Informasi
M enurut Jordan dan Silcock (2005, pp49-52), kelas risiko teknologi informas i
dibagi menjadi tujuh, yaitu
1. Projects – failing to deliver
Kelas risiko ini berhubungan dengan proyek TI yang gagal. Tiga hal yang
menjadi ukuran dari gagalnya performa yaitu waktu, kualitas, dan lingkup.
Contohnya proyek terlambat diselesaikan, proyek banyak memakan banyak
sumber daya dan dana dibandingkan dengan yang sudah direncanakan,
memberikan fungsi yang kurang kepada pengguna dibandingkan dengan yang
sudah direncanakan, mengganggu bisnis selama proses implementasi, dan lainlain.
2. IT service continuity – when business operations go off the air
Kelas risiko ini berhubungan dengan layanan TI yang tidak berjalan dan
ketidakandalan yang menyebabkan gangguan pada bisnis. Itu berhubungan
dengan sistem operasional atau produksi dan kemampuan mereka untuk tetap
beroperasi dengan andal untuk mendukung kebutuhan pengguna.
3. Information assets – failing to protect and preserve
26
Kelas risiko ini berhubungan secara khusus mengenai kerusakan, kerugian atau
eksploitasi asset informasi yang ada dalam system TI. Dampak risiko asset
informasi ini bisa sangat signifikan. M isalnya, informasi yang penting mungkin
didapatkan kompetitor, detail dari kartu kredit konsumen bisa saja dicuri dan
digunakan untuk tujuan yang sifatnya menipu, atau dipublikasikan dan nantinya
merusak hubungan dengan pelanggan dan reputasi perusahaan.
4. Service providers and vendors – breaks in the IT value chain
Layanan vendor dan penyedia memainkan peran yang signifikan dalam proyek
TI dan berjalannya system dari hari ke hari. Bila mereka gagal dalam
menyediakan layanan terbaik bagi perusahaan maka akan berdampak pada
system dan layanan TI dan dampaknya bisa dirasakan dalam jangka panjang
misalnya kelemahan pada kemampuan layanan TI bagi pengguna perusahaan
tersebut.
5. Applications – flaky systems
Kelas risiko ini berhubungan dengan kegagalan dalam aplikasi TI. Dampak dari
aplikasi yang gagal untuk menjalankan fungsinya sebagaimana diharapkan dan
dibutuhkan dapat berupa gangguan kecil hingga bencana besar bagi perusahaan.
Aplikasi biasanya terhubung dengan banyak system lain di perusahaan sehingga
dampaknya bisa terjadi pada hal-hal yang terkait tersebut.
6. Infrastructure – shaky foundations
Kelas risiko ini terkait kegagalan dalam infrastruktur TI. Infrastruktur adalah
nama yang umum untuk komputer dan jaringan yang tersentralisasi dan
terdistribusi di mana aplikasi berjalan. Kegagalan infrastruktur TI dapat menjadi
permanen – ketika sebuah komponen terbakar, tercuri, atau terhenti karena
27
perbaikan, maupun ketika pasokan energi tidak ada atau koneksi jaringan putus.
Dampak kegagalan tergantung pada tingkat ketahanan dan redudansi pada sistem
dan ketersediaan dan kesiapan dari fasilitas yang siap mendukung. Sistem yang
sudah tidak cocok sebaiknya diganti oleh perusahaan.
7. Strategic and emergent – disabled by IT
Kelas risiko ini terkait dengan kemampuan TI untuk mengekseusi strategi bisnis.
Dampaknya tidak segera dirasakan namun akan menjadi signifikan pada
perencanaan bisnis yang akan datang dan seterusnya. Risiko merupakan
kemampuan dari perusahaan untuk terus bergerak menuju sebuah visi strategis.
Untuk tetap kompetitif, penting untuk menjadi terdepan dalam TI dimengeri dan
disesuaikan
dengan
peluang-peluang potensial untuk
eksploitasi bisnis
perusahaan. Saat penjajaran TI dengan strategi bisnis jelas, peluang dapat
dieksploitasi lewat integrasi dan adaptasi yang efektif dan tepat waktu.
2.5.1.3 Kategori Risiko Teknologi Informasi
M enurut Hughes (2006, p36), risiko teknologi informasi dibagi menjadi enam kelas
utama yaitu :
1. Keamanan
Risiko bahwa informasi diubah atau digunakan oleh orang yang tidakberwenang.
Contohnya kejahatan pada computer, pelanggaran internal, dan cyberterrorism.
2. Ketersediaan
Risiko bahwa data tidak dapat diakses, misalnya setelah kegagalan system,
karena kesalahan manusia (human error), perubahan konfigurasi, dan lain-lain.
3. Kemampuan pemulihan (Recoverability)
28
Risiko bahwa informasi penting tidak dapat dipulihkan dalam waktu yang cukup
setelah adanya kejadian terkait keamanan atau ketersediaan, seperti kegagalan
software dan atau hardware, ancaman dari luar, dan lain-lain.
4. Performa
Risiko bahwa informasi tidak tersedia ketika dibutuhkan yang disebabkan oleh
arsitektur terdistribusi, permintaan yang mencapai puncaknya, dan topografi
teknologi informasi yang beragam.
5. Daya skala (Scalability)
Risiko bahwa pertumbuhan bisnis, pengaturan bottleneck, dan bentuk arsitektur
membuat perusahaan tidak mungkin untuk menangani aplikasi utama baru dan
biaya bisnis secara efektif.
6. Ketaatan
Risiko bahwa manajemen atau pengguna informasi melanggar persyaratan dari
pihak pengatur. Yang dipersalahkan di sini termasuk yang melakukan
pelanggaran terhadap aturan pemerintah, panduan pengelolaan perusahaan, dan
kebijakan internal.
2.5.1.4 Langkah Pemecahan Risiko Teknologi Informasi
M enurut Jordan dan Silcock (2005, p7), langkah-langkah pemecahan risiko
teknologi informasi yaitu,
1. M enjalankan kepemimpinan dan manajemen terkait framework teknologi
informasi dan tata kelola teknologi informasi.
2. M engintegrasikan penanganan risiko teknologi informasi dengan cara melakukan
pendekatan manajemen portofolio risiko teknologi informasi.
29
3. M engelola kompleksitas dengan cara menangani setiap risiko teknologi
informasi yang berbeda-beda cara penanganannya.
2.5.2 Manajemen Risiko
2.5.2.1 Pengertian manajemen risiko
Secara sederhana pengertian manajemen risiko (Djojosoedarso, 2003, pp4-5) adalah
pelaksanaan fungsi-fungsi manajemen dalam penanggulangan risiko, terutama risiko
yang dihadapi oleh organisasi/perusahaan, keluarga dan masyarakat.
Program manajemen risiko dengan demikian mencakup tugas-tugas:
1. M engidentifikasi risiko-risiko yang dihadapi.
2. M engukur atau menentukan besarnya risiko tersebut.
3. M encari jalan untuk menghadapi atau menanggulangi risiko.
4. M enyusun strategi untuk memperkecil ataupun mengendalikan risiko.
5. M engkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi program
penanggulangan risiko yang telah dibuat.
2.5.2.2 Sumbangan Manajemen Risiko bagi Perusahaan
Adanya program penanggulangan risiko yang baik dari suatu perusahaan akan
memberikan beberapa sumbangan yang sangat bermanfaat (Djojosoedarso, 2003,
pp5-6), antara lain:
1. Evaluasi dari program penanggulangan risiko akan dapat memberikan gambaran
mengenai keberhasilan dan kegagalan operasi perusahaan. M eskipun hal ini
secara ekonomis tidak meningkatkan keuntungan perusahaan, tetapi hal itu akan
30
merupakan kritik bagi pengelolaan perusahaan, sehingga akan sangat bermanfaat
bagi perbaikan pengelolaan usaha di masa datang.
2. Pelaksanaan program penanggulangan risiko juga dapat memberikan sumbangan
langsung kepada upaya peningkatan keuntungan perusahaan. Hal ini dapat terjadi
karena adanya pengurangan biaya melalui upaya pencegahan, pengurangan
kerugian dengan memindahkan kemungkinan kerugian kepada pihak lain dengan
biaya yang terendah, dan sebagainya.
3. Pelaksanaan program penanggulangan risiko yang berhasil juga menyumbang
secara tidak langsung kepada pencapaian keuntungan perusahaan, melalui:
a.
Keberhasilan mengelola risiko murni akan menimbulkan keyakinan dan
ketenangan hati kepada pimpinan/pengurus perusahaan, sehingga dapat
membantu
meningkatkan
kemampuan
untuk
menganalisis
dan
menyimpulkan risiko spekulatif yang tidak dapat dihindari (dapat lebih
berkonsentrasi pada pengelolaan risiko spekulatif).
b.
Adanya kondisi yang lebih baik dan kesempatan yang memungkinkan akan
mendorong pimpinan/pengurus perusahaan untuk memperbaiki mutu
keputusan, dengan lebih memperhatikan pekerjaan, terutama yang bersifat
spekulatif.
c.
Berdasarkan hasil evaluasi pengelolaan risiko maka asumsi yang digunakan
dalam menangani pekerjaan yang bersifat spekulatif akan lebih bijaksana
dan lebih efisien.
d.
Karena masalah ketidakpastian sudah tertangani dengan baik oleh manajer
risiko, maka akan dapat mengurangi keragu-raguan dalam pengambilan
keputusan yang dapat mendatangkan keuntungan.
31
e.
M elalui perencanaan yang matang, terutama yang menyangkut pengelolaan
risiko, akan dapat menangkal timbulnya hal-hal yang dapat mengganggu
kelancaran operasi perusahaan misalnya risiko akibat kebangkrutan
pelanggan/penyalur, supplier, dan sebagainya.
f.
Dengan diperhatikannya unsur ketidakpastian, maka perusahaan akan
mampu menyediakan sumber daya manusia serta sumber daya lainnya,
yang memungkinkan perusahaan dapat mencapai pertumbuhan.
g.
Akan mendapatkan kepercayaan yang lebih besar dari pihak-pihak yang
terkait dengan kegiatan perusahaan, meliputi kreditur, penyalur, pemasok,
dan semua pihak yang berpotensi menyumbang kepada terciptanya
keuntungan.
Sebab
pihak-pihak
tersebut
umumnya akan
memilih
bertransaksi dengan perusahaan yang mempunyai cara perlindungan yang
baik terhadap risiko murni.
4. Ketenangan hati yang dihasilkan oleh cara pengelolaan risiko murni yang baik,
menjadi barang ”nonekonomis” yang sangat berharga bagi perusahaan. Sebab hal
itu akan memperbaiki kesehatan mental dan fisik pimpinan, pengurus maupun
pemilik perusahaan.
5. Keberhasilan mengelola risiko murni juga dapat membantu kepentingan pihak
lain, antara lain pada karyawan perusahaan, dapat menunjukkan wujud tanggung
jawab sosial perusahaan terhadap masyarakat, sehingga perusahaan akan
mendapatkan simpati masyarakat.
32
2.5.2.3 Tujuan Manajemen Risiko
Tujuan yang ingin dicapai oleh manajemen risiko (Djojosoedarso, 2003, pp12-13)
dapat dibagi menjadi dua kelompok yaitu:
1.
Tujuan sebelum terjadinya peril.
2.
Tujuan sesudah terjadinya peril.
Tujuan Sebelum Terjadinya Peril
Tujuan yang ingin dicapai menyangkut hal-hal sebelum terjadinya peril ada
bermacam-macam, antara lain:
1. Hal-hal yang bersifat ekonomis, misalnya upaya untuk menanggulangi
kemungkinan kerugian dengan cara yang paling ekonomis, yang dilakukan
melalui analisis keuangan terhadap biaya program keselamatan, besarnya premi
asuransi, maupun biaya dari bermacam-macam teknik penanggulangan risiko.
2. Hal-hal yang bersifat nonekonomis, yaitu upaya untuk mengurangi kecemasan,
sebab adanya kemungkinan terjadinya peril tertentu dapat menimbulkan
kecemasan dan ketakutan yang sangat, sehingga dengan adanya upaya
penanggulangan maka kondisi itu dapat diatasi.
3. Tindakan penanggulangan risiko dilakukan untuk memenuhi kewajiban yang
berasal dari pihak ketiga/pihak luar perusahaan.
Tujuan Setelah Terjadinya Peril
Tujuan yang ingin dicapai menyangkut hal-hal setelah terjadinya peril, dapat
berupa:
1. M enyelamatkan operasi perusahaan
2. M encari upaya-upaya agar operasi perusahaan tetap
perusahaan terkena peril.
berlanjut sesudah
33
3. M engupayakan agar pendapatan perusahaan tetap mengalir, meskipun tidak
sepenuhnya, paling tidak cukup untuk menutup biaya variabelnya.
4. M engusahakan tetap berlanjutnya pertumbuhan usaha bagi perusahaan yang
sedang melakukan pengembangan usaha, misalnya yang sedang memproduksi
barang baru, memasuki pasar baru dan sebagainya.
5. Berupaya tetap dapat melakukan tanggung jawab sosial dari perusahaan. Artinya
harus dapat menyusun kebijaksanaan yang membuat seminimum mungkin
pengaruh buruk dari suatu peril yang diderita perusahaan terhadap karyawannya,
para pelanggan/penyalur, para pemasok, dan sebagainya. Artinya akibat dari
peril jangan sampai menimbulkan masalah sosial, misalnya jangan sampai
mengakibatkan terjadinya pengangguran.
2.5.2.4 Fungsi Pokok Manajemen Risiko
Fungsi manajemen risiko (Djojosoedarso, 2003, p14)pada pokoknya mencakup:
1. M enemukan Kerugian Potensial
Artinya berupaya untuk menemukan/mengidentifikasi seluruh risiko murni yang
dihadapi oleh perusahaan, yang meliputi:
a.
Kerusakan fisik dari harta kekayaan perusahaan.
b.
Kehilangan pendapatan atau kerugian lainnya akibat terganggunya operasi
perusahaan.
c.
Kerugian akibat adanya tuntutan hukum dari pihak lain.
d.
Kerugian-kerugian yang timbul karena: penipuan, tindakan-tindakan
kriminal lainnya, tidak jujurnya karyawan, dan sebagainya.
34
e.
Kerugian-kerugian yang timbul akibat karyawan kunci (keymen) meninggal
dunia, sakit atau menjadi cacat.
2. M engevaluasi Kerugian Potensial
Artinya melakukan evaluasi dan penilaian terhadap semua kerugian potensial
yang dihadapi oleh perusahaan.
3. M emilih Teknik/Cara yang Tepat atau M enentukan suatu Kombinasi dari
Teknik-teknik yang tepat guna menanggulangi kerugian pada pokoknya ada
empat cara yang dapat dipakai untuk menanggulangi risiko, yaitu: mengurangi
kesempatan terjadinya kerugian, meretensi, mengasuransikan, dan menghindari.
Di mana tugas dari manajer risiko adalah memilih salah satu cara yang paling
tepat untuk menanggulangi suatu risiko atau memilih suatu kombinasi dari caracara yang paling tepat untuk menanggulangi risiko.
2.5.2.5 Upaya Penanggulangan Risiko
M enurut Djojosoedarso (2003, p4), upaya-upaya untuk menanggulangi
risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan.
Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat
dilakukan (perusahaan) untuk meminimumkan risiko kerugian, antara lain:
1. M elakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya
peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan
bahan-bahan yang antiterbakar untuk mencegah bahaya kebakaran, memagari
mesin-mesin untuk menghindari kecelakaan kerja, melakukan pemeliharaan dan
penyimpanan yang baik terhadap bahan dan hasil produksi untuk menghindari
35
risiko kecurian dan kerusakan, mengadakan pendekatan kemanusiaan untuk
mencegah terjadinya pemogokan, sabotase dan pengacauan.
2. M elakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, dan
untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut
disediakan sejumlah dana untuk menanggulanginya (contoh: pos biaya lain-lain
atau tak terduga dalam anggaran perusahaan).
3. M elakukan pengendalian terhadap risiko, contohnya melakukan hedging
(perdagangan berjangka) untuk menanggulangi risiko kelangkaan dan fluktuasi
harga bahan baku/pembantu yang diperlukan.
4. M engalihkan/memindahkan risiko kepada pihak lain, yaitu dengan cara
mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi
terhadap risiko tertentu, dengan membayar sejumlah premi asuransi yang telah
ditetapkan, sehingga perusahaan asuransi akan mengganti kerugian bila betulbetul terjadi kerugian yang sesuai dengan penjanjian.
2.5.2.6 Langkah-Langkah Proses Pengelolaan Risiko
Dalam mengelola risiko, langkah-langkah proses yang harus dilalui
(Djojosoedarso, 2003, p15) adalah:
1.
M engidentifikasi/menentukan terlebih dahulu objektif/tujuan yang ingin
dicapai melalui pengelolaan risiko. M isalnya penghasilan yang stabil,
kedamaian hati, dan sebagainya.
2.
M engidentifikasi kemungkinan-kemungkinan terjadinya kerugian/peril atau
mengidentifikasi risiko-risiko yang dihadapi. Langkah ini adalah yang paling
36
sulit, tetapi juga paling penting, sebab keberhasilan pengelolaan risiko sangat
tergantung pada hasil identifikasi ini.
3.
M engevaluasi dan mengukur besarnya kerugian potensial, di mana yang
dievaluasi dan diukur adalah:
a.
Besarnya kesempatan atau kemungkinan terjadinya peril yang akan
terjadi selama suatu periode tertentu (frekuensinya).
b.
Besarnya akibat dari kerugian tersebut terhadap kondisi keuangan
perusahaan/keluarga (kegawatannya).
c.
4.
Kemampuan meramalkan besarnya kerugian yang jelas akan timbul.
M encari cara atau kombinasi cara-cara yang paling baik, paling tepat dan
paling ekonomis untuk menyelesaikan masalah-masalah yang timbul akibat
terjadinya suatu peril. Upaya-upaya tersebut antara lain meliputi
5.
a.
M enghindari kemungkinan terjadinya peril.
b.
M engurangi kesempatan terjadinya peril.
c.
M emindahkan kerugian potensial kepada pihak lain (mengasuransikan).
d.
M enerima dan memikul kerugian yang timbul (meretensi).
M engkoordinir
dan
mengimplementasikan/melaksanakan
keputusan-
keputusan yang telah diambil untuk menanggulangi risiko. M isalnya membuat
perlindungan yang layak terhadap kecelakaan kerja, menghubungi, memilih
dan menyelesaikan pengalihan risiko kepada perusahaan asuransi.
6.
M engadminsitrasi, memonitor, dan mengevaluasi semua langkah-langkah atau
strategi yang telah diambil dalam menanggulangi risiko. Hal ini sangat
penting terutama untuk dasar kebijaksanaan pengelolaan risiko di masa
37
mendatang. Di samping itu juga adanya kenyataan bahwa apabila kondisi
suatu objek berubah penanggulangannya juga berubah.
2.5.2.7 Metode Pengidentifikasian Risko
Dalam mengidentifikasi risiko ada beberapa metode yang dapat
digunakan (Djojosoedarso, 2003, pp21-22), antara lain:
1.
M enggunakan daftar pertanyaan/kuesioner untuk menganalisis risiko, yang
dari jawaban-jawaban terhadap
pertanyaan tersebut diharapkan dapat
memberikan petunjuk-petunjuk tentang dinamika informasi khusus, yang
dapat dirancang secara sistematis tentang risiko yang menyangkut kekayaan
maupun operasi perusahaan.
2.
M enggunakan laporan keuangan, yaitu dengan menganalisis neraca, laporan
pengoperasian
dan
catatan-catatan
pendukung
lainnya,
akan
dapat
diketahui/diidentifikasi semua harta kekayaan, utang-piutang, dan sebagainya.
Dengan merangkaikan laporan-laporan tersebut dan berdasarkan ramalanramalan anggaran keuangan akan dapat ditentukan penanggulangan risiko di
masa mendatang.
3.
M embuat flow-chart aliran barang mulai dari bahan mentah sampai menjadi
barang jadi sehingga dapat diketahui risiko-risiko yang dihadapi pada masingmasing tahap dari aliran tersebut.
4.
Dengan
pemeriksaan/inspeksi
langsung
di
tempat,
artinya
dengan
mengadakan pemeriksaan secara langsung di tempat operasi/aktivitas
perusahaan. Dari pemeriksaan secara langsung itu M anajer Risiko daat belajar
38
banyak mengenai kenyataan-kenyataan di lapangan, yang akan sangat
bermanfaat bagi upaya penanggulangan risiko.
5.
M engadakan interaksi dengan departemen/bagian-bagian dalam perusahaan.
Adapun cara-cara yang dapat ditempuh:
a.
Dengan mengadakan kunjungan ke departemen/bagian-bagian M anajer
Risiko dapat meraih/memupuk saling pengertian antara kedua belah pihak
dan dapat memberikan pemahaman yang lengkap tentang aktivitas
mereka dan kerugian-kerugian potensial yang dihadapi bagian mereka.
b.
Dengan menerima, mengevaluasi, memonitor dan menanggapi laporanlaporan
dari
departemen/bagian-bagian
M anajer
Risiko
dapat
meningkatkan pemahaman tentang aktivitas dan risiko yang mereka
hadapi.
6.
M engadakan interaksi dengan pihak luar yaitu mengadakan hubungan dengan
individu ataupun perusahaan-perusahaan lain, terutama pihak-pihak yang
dapat membantu perusahaan dalam penanggulangan risiko, seperti akuntan,
penasihat hukum, konsultan manajemen, perusahaan asuransi, dan sebagainya.
Pihak-pihak luar ini dapat banyak membantu dalam mengembangkan
identifikasi terhadap kerugian-kerugian potensial.
7.
M elakukan analisis terhadap kontrak-kontrak yang telah dibuat dengan pihak
lain. Dari analisis tersebut akan dapat diketahui kemungkinan adanya risiko
dari kontrak tersebut, misalnya rekanan tidak dapat memenuhi kewajibannya,
denda keterlambatan memenuhi kewajiban, dan sebagainya.
8.
M embuat dan menganalisis catatan/statistik mengenai bermacam-macam
kerugian yang telah pernah diderita. Dan catatan-catatan itu akan dapat
39
diperhitungkan kemungkinan terulangnya suatu jenis risiko tertentu. Di
samping itu, dapat diketahui penyebab, lokasi, jumlah dan variabel-variabel
risiko lainnya, yang perlu diperhitungkan dalam upaya penanggulangan risiko.
9.
M engadakan analisis lingkungan, yang sangat diperlukan untuk mengetahui
kondisi yang mempengaruhi timbulnya risiko potensial, seperti konsumen,
pemasok,
penyalut,
pesaing,
dasemuan
pemerintah
(pembuat
peraturan/perundang-undangan).
2.5.2.8 Siklus Manajemen Risiko
Siklus manajemen risiko (Peltier, 2001, pp18-19):
a.
M enilai risiko menentukan kebutuhan
1.
Kenali sumber daya informasi sebagai aset penting perusahaan
2.
M engembangkan proses analisis risiko praktis yang menghubungkan
pengendalian kepada kebutuhan bisnis
3.
M enganggap manajer bisnis bertanggungjawab untuk melindungi
sumberdaya informasi
4.
b.
c.
M engelola risiko secara berkelanjutan
M enerapkan kebijakan yang tepat dan control terkait
1.
Hubungkan kebijakan kepada risiko bisnis
2.
M elaksanakan standar untuk mendukung kebijakan
3.
M embedakan antara standar dan pedoman
4.
M embuat kebijakan yang mendukung isu-isu review manajemen
M eningkatkan kesadaran
40
1.
Secara berkelanjutan mendidik pengguna dan lainnya pada risiko dan
terkait aturan dan pengendalian
2.
M elaporkan kepada manajemen, dengan basis tahunan, bagian bisnis
yang terkait risiko
d.
M onitor dan Evaluasi Kebijakan dan Efektivitas Pengendalian
1.
M onitor faktor-faktor yang mempengaruhi risiko dan mengindikasikan
keefektifan keamanan.
2.
M enggunakan hasil-hasil untuk mengarahkan usaha-usaha di masa
depan dan membuat manajer bertanggungjawab.
3.
Waspada terhadap teknik-teknik dan alat-alat monitor baru
Assess
Risk
and
Determine Needs
Implemented
Policies and
Control
Central
Focal
Point
Promote
awareness
Gambar 2.2 S iklus Manajemen Risiko
Sumber: Peltier (2001, p18)
M onitor and
evaluate
41
2.5.3 Jaminan Kualitas Informasi
Tujuan dari program jaminan kualitas informasi perusahaan (Peltier, 2001, pp4-5)
adalah untuk menjaga:
Integrity: Informasi yang ada adalah sebagaimana dimaksud tanpa modifikasi yang
tidak tepat atau korupsi.
Confidentiality: Informasi yang ada dilindungi dari pengungkapan yang tidak sah
atau tidak sengaja.
Availability: Pengguna yang terotorisasi dapat mengakses aplikasi-aplikasi dan
system-sistem ketika dibutuhkan untuk melaksanakan tugas mereka.
2.5.4 Manajemen Risiko Teknologi Informasi
2.5.4.1 Mengimplementasikan Kemampuan Manajemen Risiko Teknologi
Informasi
M enurut Jordan dan Silcock (2005, p60), kemampuan manajemen risiko
teknologi informasi yang efektif adalah yang dapat memenuhi kebutuhan bisnis
perusahaan, dengan mempertimbangkan unsur-unsur elemen desain penting
seperti:
1.
Strategi dan kebijakan
Strategi dan kebijakan manajemen risiko teknologi informasi diperlukan untuk
mendefinisikan
tujuan
keseluruhan
dari manajemen
risiko
teknologi
informasi, membangun prioritas dan pentingnya manajemen risiko teknologi
informasi, menjamin cakupan yang cukup pada area-area potensial dari risiko
teknologi informasi, dan menyajikan landasan aturan dan prinsip-prinsip
untuk mengelola risiko. Kebijakan manajemen risiko teknologi informasi
42
sebaiknya secara formal didokumentasikan dan didukung oleh tim tata kelola
teknologi informasi dan dikomunikasikan secara aktif kepada seluruh
organisasi. Karena tiap orang dalam organisasi menjadi peserta dalam tata
kelola teknologi informasi dan proses manajemen risiko, maka penting untuk
mempromosikan kebijakan secara luas.
2.
Peran dan tanggung jawab
Peran perlu didefinisikan dan kemudian orang yang tepat dipilih dan
dialokasikan untuk melakukan peran tersebut.Kerangka kerja tanggung jawab
mungkin lebih baik digambarkan ke dalam bentuk matrix, mempertimbangkan
tipe-tipe risiko teknologi informasi yang berbeda dan siklus hidup manajemen
risiko. Ada beberapa hal yang perlu dipertimbangkan, yaitu:
a.
Pemisahan tugas – memastikan untuk tiap kelas risiko ada sebuah peran
independen yang melakukan aktivitas pemantauan dan review.
b.
M enyeimbangkan kebutuhan untuk ahli input – mengkontribusikan
pengertian proses, system atau risiko spesifik, dan pengambilan
keputusan
manajerial –
mempertimbangkan
semua factor
dan
menentukan tindakan.
c.
M enyesuaikan peran manajemen risiko teknologi informasi ke dalam
struktur yang telah ada di mana seharusnya ditempatkan. M isalnya aksi
perlakuan manajemen risiko seharusnya sejalan dengan manajer proyek
untuk risiko proyek.
43
d.
M embuat peran manajemen risiko teknologi informasi baru ketika
dibutuhkan, misalnya peran koordinasi berkelanjutan dari bisnis lintas
fungsional
e.
M engalokasikan tanggung jawab bersama ketika dibutuhkan dan
menjamin semua tempat telah diambil.
3.
Proses dan pendekatan
Kemampuan manajemen risiko teknologi informasi yang dapat diprediksi dan
dapat diulang didirikan pada satu set proses yang dimengerti dan diikuti
secara konsisten. Proses manajemen risiko tidak perlu rumit. Siklus hidup
manajemen risiko meliputi langkah-langkah berikut ini, disebarkan dalam cara
yang berbeda untuk tipe risiko yang berbeda:
a.
Identifikasi / penemuan – mendapatkan risiko teknologi informasi pada
radar manajemen.
b.
Penilaian / analisa – mengerti risiko teknologi informasi dalam konteks
keseluruhan
portfolio
risiko
teknologi
informasi
dan
menilai
kemungkinan terjadinya dan dampak potensial pada bisnis.
c.
Perlakuan – menentukan pilihan terbaik dari banyaknya program untuk
menangani risiko, perencanaan dan menyelesaikan tindakan-tindakan
yang dibutuhkan.
d.
Pemantauan dan peninjauan – melakukan tindak lanjut untuk menjamin
apa yang telah di rencanakan telah diselesaikan dan untuk memahami
perubahan-perubahan pada portfolio risiko teknologi informasi.
44
4.
Sumber daya manusia dan performa
Kemampuan dan pengetahuan sumber daya manusia pada manajemen risiko
teknologi informasi perlu dikembangkan dan dipelihara. Hal ini membutuhkan
kombinasi dari edukasi dan training yang berhubungan dengan risiko
teknologi informasi, sesuai dengan peran dan tanggung jawab yang diemban.
5.
Implementasi dan pengembangan
Orang-orang tidak hanya akan menerima cara baru dalam mengelola teknologi
informasi tanpa diberitahu mengapa hal itu penting. Sebuah alasan harus dapat
meyakinkan pentingnya hal tersebut untuk perusahaan dan apakah hal itu
penting bagi perusahaan.
2.5.4.2 Lima Langkah Praktik Terbaik Manajemen Risiko Teknologi
Informasi
M enurut Hughes (2006, p36), langkah yang sebaiknya dilakukan
pimpinan bisnis agar mendapat hasil pengembangan yang substansial untuk nilai
pemegang saham adalah dengan berangkat dari praktik terbaik jaminan risiko
teknologi informasi, yaitu dengan
1.
M engembangkan kesadaran dari risiko-risiko teknologi informasi yang
berbeda pada bisnis.
Risiko teknologi informasi memberi perhatian baik kepada kerugian
potensial informasi dan bagaimana cara mengembalikannya, atau pada
pengunaan informasi yang terus menerus
.
45
2.
M engukur dampak terhadap bisnis dari hilangnya informasi atau akses ke
aplikasi.
M erupakan hal yang penting untuk mengerti risiko dalam hal probabilitas
dari suatu kejadian yang akan memicu risiko, dan bagaimana hal ini terkait
dengan nilai waktu dari exposure seperti risiko dapat terjadi. Selanjutnya
risiko perlu dihitung untuk masing-masing aplikasi bisnis yang kritis.
M emahami dua parameter ini memungkinkan pembuat keputusan
menggambarkan nilai pada grafik sederhana dua dimensi dan menetapkan
mitigasi untuk aplikasi yang berbeda.
3.
M emahami alat-alat pendukung yang tersedia untuk manajemen risiko
teknologi informasi.
Risiko teknologi informasi memiliki penyebab yang berbeda-beda, dengan
demikian dibutuhkan pendekatan yang berbeda-beda juga untuk mengatur
dan memitigasinya. Secara luas, pendekatan-pendekatan ini membutuhkan
kombinasi dari proses, orang, teknologi, dan informasi. Pertama, proses
untuk
menjalankan data
center
dan
operasi teknologi informasi
berkembang ke arah yang lebih teliti dalam hal desain, pendekatan yang
sistematis yang terukur dan tereksekusi. ITIL, ISO, dan standar lainnya
dimunculkan untuk mendeskripsikan ”best of breed” dari proses
operasional. Kedua, perusahaan memberikan perhatian lebih pada cara
mereka mempekerjakan karyawannya dalam melawan risiko. Perusahaan
bereksperimen pada teknik yang luas termasuk membangun kesadaran dan
kemampuan mitigasi risiko pada semua level. Ketiga, software baru
muncul dari vendor yang memberika respon terhadap permintaan
46
manajemen risiko teknologi informasi yang dikembangkan. Terakhir,
sumber informasi tersedia yang menyajikan pengetahuan mengenai
ancaman, titik lemah yang dapat diukur terhadap lingkungan keamanan
internal perusahaan untuk mengidentifikasi exposure dan mengembangkan
rencana mitigasi.
4.
M enyesuaikan biaya manajemen risiko teknologi informasi dengan nilai
bisnis
Investasi dalam proses, orang, teknologi, dan informasi dibutuhkan untuk
mitigasi risiko. Bagaimanapun, sejak biaya teknologi informasi dibatasi,
perusahaan terkemuka perlu yakin bahwa mereka mereka tidak melakukan
investasi manajemen risiko yang kelebihan (over-investing) ataupun
kekurangan (under-investing). Pendekatan utilitas komputer muncul untuk
menyejajarkan biaya teknologi informasi dengan nilai bisnis.Empat tahap
dalam pedekatan ini yaitu:
a.
M enjadikan teknologi informasi sebagai kumpulan layanan yang
didefinisikan dengan baik, dikembangkan dan diatur oleh grup
”service management” yang berhadapan langsung dengan bisnis.
b.
M enyajikan layanan ini untuk bisnis lewat ”service level agreements”
dan dibebankan kembali ke bisnis.
c.
M embangun dan mengelola infrastruktur yang berbeda-beda untuk
mengembangkan
modal pemanfaatan
dan
mengurangi biaya,
daripada membangun sistem sesuai keinginan untuk masing-masing
aplikasi.
47
d.
M enjalankan operasi teknologi informasi secara otomatis untuk
meningkatkan efisiensi pekerja dan mengurangi biaya.
5.
M embangun kemampuan perusahaan yang sistematis untuk mengatur
risiko keamanan.
Perusahaan terkemuka membangun sebuah kemampuan kelembagaan
untuk memahami, bertindak, dan mengontrol risiko teknologi informasi
dalam level yang sama pada pengawasan dan urgensi sebagai risiko
finansial. Dengan menggunakan berbagai macam sumber pengetahuan
dapat menunjukkan dampak potensial dari risiko dan enam kemungkinan
risiko teknologi informasi pada bisnis perusahaan, proses bisnis inti, atau
aplikasi utama. Lalu perusahaan membuat program prioritas untuk
memulihkan risiko ini dan menyebarkan software, orang, pengembangan
proses, dan informasi. Akhirnya perusahaan mengendalikan risiko dengan
pengukuran yang berkelanjutan dan perbaikan. M anajemen risiko teknologi
informasi secara fundamental mempengaruhi tata kelola teknologi
informasi dan pendekatan tata kelola risiko
2.5.4.3 Tahap Manajemen Risiko Teknologi Informasi
M enurut Jordan dan Silcock (2005, p62), manajemen risiko terdiri dari
beberapa tahap yang ditempatkan dalam cara yang berbeda untuk tipe risiko yang
berbeda. Tahap-tahapnya adalah (1) melakukan identifikasi atau menemukan risiko
teknologi informasi, (2) melakukan penilaian atau analisa terkait risiko teknologi
informasi dan menilai kemungkinan terjadinya dan dampak potensial pada bisnis,
(3) menentukan pilihan terbaik dari banyaknya program untuk menangani risiko,
48
perencanaan dan menyelesaikan tindakan-tindakan yang dibutuhkan, dan (4)
melakukan pemantauan dan peninjauan untuk menjamin apa yang telah di
rencanakan telah diselesaikan dan untuk memahami perubahan-perubahan pada
portfolio risiko teknologi informasi.
2.6 Metode Penilaian Risiko Teknologi Informasi
Dalam skripsi ini, penulis akan membandingkan manajemen risiko standar,
penilaian risiko dengan metode FRAP, dan penilaian risiko dengan metode
OCTAVE.
2.6.1 Manajemen Risiko S tandar
M anajemen risiko (Dorfman, 2005, pp44-60) didefinisikan sebagai sebuah
pengembangan logis dan menjalankan rencana untuk menghadapi potensi
kerugian. Tujuan dari manajemen risiko adalah untuk mengelola exposure suatu
perusahaan yang dapat menimbulkan kerugian dan melindungi asset perusahaan.
Tujuan lain dari manajemen risiko agar perusahaan dapat mampu bertahan dari
kerugian, lalu program manajemen risiko dapat memungkinkan perusahaan untuk
terus berkembang setelah terjadi kerugian, seperti tidak terjadi kerugian. Selain itu
manajemen risiko juga memiliki tujuan yaitu agar proses manajemen risiko
berjalan lebih efisien, lancar dan baik. Dalam melakukan manajemen risiko,
kegiatan harus sesuai dengan regulasi pemerintah dan aturan yang berlaku. Saat
menjalankan manajemen risiko, tujuan, aturan, dan prosedur harus dituangkan
petunjuk tertulis (manual).
49
Proses manajemen risiko sebagai berikut ini :
1. Langkah pertama : mengidentifikasi dan mengukur potensi kehilangan.
Secara logis, berbicara tentang kehilangan dimulai dengan mengkategorisasikan
kemungkinan kedalam empat kelas yaitu :
a.
Kerugian properti secara langsung.
b.
Kerugian dalam pendapatan dan adanya beban tambahan sebagai akibat
dari kerugian properti.
c.
Kerugian yang muncul dari sisi hukum.
d.
Kerugian
yang
menyebabkan
kematian,
ketidakmampuan,
atau
pengundurkan diri yang tidak direncanakan dari karyawan kunci.
2. Langkah kedua : M emilih metode yang paling efisien dari pengendalian dan
eksposure kehilangan financial dan mengimplementasikannya.
Di dalam langkah ini terdapat metode :
a.
Loss Control
Aktifitas loss control didesain untuk mengurangi biaya kerugian dan
didalamnya termasuk alat manajemen risiko yaitu risk avoidance, risk
prevention, dan loss reduction, dan federal loss control regulation. Federal
loss control regulation dalam buku sumber mengacu pada aturan yang
berlaku di Amerika Serikat.
b.
Risk Financing
Risk financing menentukan kapan dan oleh siapa biaya kerugian
ditanggung. Risk financing meliputi alternatif berikut ini, risk assumption,
50
risk transfer other than insurance, self insurance and financial risk
retention, insurance.
3. Langkah ketiga : M emantau hasil
Setelah semua kerugian potensial diidentifikasi dan diimplementasikan, risk
manager harus mereview program secara regular untuk memastikan semua
kebutuhan terpenuhi. Review dari rencana manajemen risiko yang ada sangat
berguna untuk menilai apakah rencana sudah sejalan tengan tujuan awalnya.
2.6.2 FRAP
FRAP (Peltier, 2001, pp69-70) dikembangkan sebagai proses yang
efisien dan disiplin untuk menjamin risiko informasi terkait keamanan yang
berhubungan dengan operasi bisnis dipertimbangkan dan didokumentasikan.
Prosesnya melibatkan penganalisaan satu sistem, aplikasi, atau segmen dari
operasi bisnis pada satu waktu dan mengumpulkan sebuah tim dari individuindividu termasuk manajer bisnis yang akrab dengan kebutuhan informasi bisnis
dan staf teknis yang memiliki pemahaman yang rinci tentang kelemahan sistem
yang potensial dan terkait kontrol.
Selama sesi FRAP, tim mengungkapkan pendapat tentang ancaman yang
potensial, vulnerability, dan hasil dari dampak negatif pada integrity data,
confidentiality, serta availability. Lalu tim akan menganalisa pengaruh dampak
tersebut terhadap operasi bisnis dan secara luas mengkategorikan risiko menurut
prioritas levelnya. Tim biasanya tidak mencoba untuk mendapatkan atau
mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau
perkiraan kerugian tahunan meskipun data untuk menentukan faktor-faktor
51
tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan
kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan
literatur, dan pengalaman mereka sendiri.
Setelah
mengidentifikasi
dan
mengkategorikan
risiko,
tim
mengidentifikasi pengendalian-pengendalian yang dapat diimplementasikan untuk
mengurangi risiko, berfokus pada pengendalian yang paling efektif dari segi biaya.
Tim akan menggunakan titik awal dari 26 kontrol umum yang dirancang untuk
mengatasi berbagai jenis risiko. Pada akhirnya, keputusan seperti apa yang
dibutuhkan
terkait
pengendalian
terletak
pada
manajer
bisnis
yang
mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi
bisnis dan biaya pengendalian.
Kesimpulan tim mengenai risiko-risiko apa yang ada, bagaimana
prioritasnya, dan pengendalian apa yang yang dibutuhkan, didokumentasikan dan
dikirim kepada pimpinan proyek dan manajer bisnis untuk menyelesaikan rencana
aksi.
Tiap proses analisa risiko (Peltier, 2001, pp70) dibagi menjadi empat sesi
yang berbeda:
a.
Pre-FRAP meeting menghabiskan waktu satu jam dan melibatkan manajer
bisnis, kepala proyek, dan fasilitator.
b.
FRAP session berlangsung sekitar empat jam dan termasuk tujuh hingga 15
orang, sesi dapat berisi paling banyak lima puluh orang dan minimal empat
orang.
c.
FRAP analysis and report generation biasanya memakan waktu empat sampai
enam hari dan diselesaikan oleh fasilitator dan penulis.
52
d.
Post-FRAP session menghabiskan waktu satu jam dan yang menghadirinya
sama dengan anggota yang hadir pada pre-FRAP meeting.
2.6.2.1 Pre-FRAP meeting
M enurut Peltier (2001, pp72-73)
Pertemuan ini memakan waktu satu jam. Pre-FRAP meeting sebaiknya melibatkan
manajer bisnis, kepala pengembangan proyek, dan fasilitator. Ada lima komponen
kunci yang menjadi hasil dari sesi satu jam ini:
a.
Scope statement. Kepala proyek dan manajer bisnis perlu untuk membuat ”a
statement of opportunity” untuk di-review. Dituangkan dalam kata-kata apa
yang secara jelas akan diperiksa.
b.
M odel visual. Dibutuhkan model visual. Ini dapat sebanyak satu halaman
atau diagram foil yang menggambarkan proses yang akan diperiksa.
o
M enetapkan anggota FRAP. Tim FRAP memiliki antara tujuh hingga
lima belas anggota dan memiliki wakil dari perusahaan dan area-area
yang mendukung.
c.
Meeting mechanics. Ini merupakan pertemuan manajer unit bisnis dan bahwa
individu bertanggunjawab untuk menyiapkan ruangan, jadwal, dan material
yang dibutuhkan.
d.
Kesepaktan akan definisi-definis i.
Sesi pre-FRAP adalah
di mana
kesepakatan tentang definisi FRAP telah didapatkan. Diperlukan adanya
definisi
mengenai
unsur-unsur
penilaian
(integrity,
confidentiality,
availability). Disamping memeriksa unsur-unsur tersebut, perlu adanya
kesepakatan pada:
53
1.
Risiko
2.
Pengendalian
3.
Dampak
4.
Vulnerability
2.6.2.2 FRAP S ession
M enurut Peltier (2001, pp78-80), Fase 1 – Logistik – Selama fase ini,
timFRAP akan memperkenalkan diri, memberikan nama, jabatan, departemen, dan
nomor telepon (semuanya ini akan dicatat oleh juru tulis). Peran tim FRAP akan
diidentifikasi dan dibahas. Biasanya ada lima peran:
a.
Pemilik
b.
Kepala proyek
c.
Fasilitator
d.
Juru tulis
e.
Anggota tim
Selama fase awal ini, tim FRAP akan diberikan gambaran proses di mana
mereka akan terlibat. M ereka juga akan dihadapkan pada pernyataan ruang
lingkup, dan kemudian seseorang dari tim teknis akan memberikan gambaran lima
menit dari dari proses yang sedang ditinjau (model visual). Akhirnya, definisi akan
ditinjau dan jumlah masing-masing harus diberikan sebuah salinan dari definisi.
Setelah pendahuluan selesai, tim FRAP akan memulai proses brainstorming. Ini
adalah fase 2, yang meninjau setiap element (integrity, availability, confidentiality)
dan mengidentifikasi risiko-risiko, ancaman-ancaman, concern, dan isu-isu untuk
masing-masing element.
54
Proses untuk brainstorming adalah bahwa fasilitator akan menunjukkan
definisi dan beberapa contoh risiko. Kemudian tim diberikan waktu tiga menit
untuk menulis risiko-risiko yang menjadi perhatian mereka. Fasilitator kemudian
akan mengumpulkan satu risiko dari masing-masing anggota. Anggota akan
menemukan lebih dari satu risiko, namun prosesnya adalah untuk mendapatkan
satu risiko dan berlanjut kepada orang berikutnya. Dengan cara ini, setiap orang
dapat berpartisipasi. Proses berlanjut hingga semua orang mendapat giliran (bahw a
tidak ada risiko yang tim dapat pikirkan lagi).
Proses brainstorming berlanjut hingga masing-masing unsur penilaian sudah
terpenuhi. Saat proses ini selesai, direkomendasikan bagi tim untuk beristirahat.
Ketika anggota tim kembali ke ruangan pertemuan, mereka akan menilai risikorisiko yang ditempatkan di ruangan dan mendapatkan beberapa menit untuk
merapikan risiko yang sudah disalin dan membuat perubahan di mana dirasa layak.
Setelah proses menyalin selesai (hanya diberikan waktu sepuluh hingga lima
belas menit untuk proses ini), tim akan berkonsentrasi untuk memprioritaskan
risiko. Hal ini dilakukan dengan menentukan vulnerability perusahaan terhadap
risiko dan dampak bisnis jika risiko terjadi. Definisi-definisi ini disetujui selama
pertemuan pre-FRAP dan disajikan kepada seluruh tim selama pendahuluan. Satu
set yang khas dari definisi-definisi mungkin saja seperti:
a.
High vulnerability: kelemahan yang sangat besar terdapat di dalam system
atau dalam operasi rutin; dan di mana potensi dampak bisnis parah atau
signifikan, pengendalianl harus ditingkatkan.
55
b.
Medium vulnerability: ada beberapa kelemahan; dan di mana dampak
potensi bisnis parah atau signifikan, pengendalian dapat dan sebaiknya
ditingkatkan.
c.
Low vurnelability: sistem sudah dibangun dengan baik dan dioperasikan
dengan tepat. Tidak ada tambahan pengendalian yang dibutuhkan untuk
mengurangi vulnerability.
d.
Severe Impact (High): cenderung menempatkan perusahaan keluar dari
bisnis atau merusak prospek dan pengembangannya.
e.
Significant Impact (Medium): akan mengakibatkan kerusakan dan biaya
yang signifikan, namun perusahaan akan bertahan.
f.
Minor Impact (Low): tipe dari operasional yang berdampak pada satu
ekspektasi harus diatur sebagai bagian dari kehidupan bisnis biasa.
Tim akan dibantu dengan menggunakan model prioritas ditunjukkan dalam tabel
2.1. Kotak yang dipilih akan sesuai dengan nilai huruf yang ditetapkan ke risiko
sebagai prioritasnya. Tanggapan dari tim FRAP akan sebagai berikut:
A – aksi korektif harus diimplementasikan
B – aksi korektif sebaiknya diimplementasikan
C – membutuhkan pemantauan
D – tidak ada aksi yang dibutuhkan
56
Ada banyak cara di mana tim dapat memberi prioritas kepada masing-masin g
risiko. Tiga cara yang populer yaitu:
1.
Fasilitator fokus kepada risiko satu per satu dan tim mendiskusikan masingmasing risiko dan kemudian mendapatkan kesepakatan.
2.
Fasilitator menilai tiga atau empat risiko yang pertama untuk menjamin bahwa
tim memiliki ide yang tepat pada bagaimana proses berjalan, dan kemudian
masing-masing anggota tim diberikan spidol berwarna dan ditanya untuk
menetapkan prioritas. Jika mereka tidak memiliki pendapat/ide, kemudian
mereka akan membiarkannya kosong dan berpindah ke risiko berikutnya.
Ketika tim selesai, fasilitator akan memulai diskusi tentang proses. Sebagai
contoh, ketika ada lima belas anggota FRAP, dan sepuluh memberikan nilai
”C” kepada risiko dan lima yang lainnya memberikan ”A” atau ”B”, lalu
fasilitator akan berdiskusi tentang isu tersebut untuk menjamin bahwa ”C”
adalah jawaban yang paling tepat.
3.
M etode ketiga yang dapat digunakan yaitu fasilitator memberikan masingmasing anggota sepuluh dot. M asing-masing anggota diperbolehkan untuk
memilih sepuluh risiko utama. Risiko dengan dot akan membutuhkan
pengendalian; risiko tanpa dot dipertimbangkan sebagai risiko minor.
57
Gambar 2.3 Sample Priority Matrix
Business Impact
Sample
Matrix
Priority
Vulnerability
High
Medium
Low
High
A
B
C
Medium
B
B
C
Low
C
C
D
Sesi FRAP akan menghasilkan tiga hasil:
a. Identifikasi risiko
b. Prioritas risiko
c. Pengendalian yang disarankan untuk risiko yang utama atau berisiko tinggi
Tabel 2.1 mengindikasikan beberapa dari 120 risiko yang telah diidentifikasi pada
sesi FRAP.
Tabel 2.1 Contoh FRAP Session Deliverables
Risk#
1
2
3
4
5
Risk
Informasi
diakses
oleh
personnel
yang
tidak
mempunyai akse s
Informasi yang tidak jelas
atau tidak sebenarnya
Database
rusak
karena
gangguan pada hardware,
incorrect,atau software yang
rusak
Data tidak terbaca karena
proses pemindahan file yang
tidak sempurna
Kemampuan untuk merubah
data
sementara
dan
melakukan
perubahan
Type
INT
Priority
B
Controls
3,5,6,11,12,16
INT
B
9, 13, 26
INT
D
INT
C
INT
C
58
6
7
8
9
10
11
12
kembali untuk melindungi
aktivitas
Kesalahan
pelaporan
masalah integritas
Proses yang tidak sempurna
yang
mengakibatkan
kerusa kan data
Kurangnya proses internal
untuk
membuat,
mengendalikan, mengelola
data antar fungsi
Tidak ada pemberitahuan
tentang masalah integritas
Informasi sigunakan dalam
konteks yang salah
Informasi
pihak
ketiga
mungkin memiliki masalah
integritas
Pihak
ketiga
yang
mengakses informasi
INT
A
7, 11, 12, 13, 20,
21
1, 2, 12, 13,14, 15,
18, 20, 21, 25
INT
A
INT
A
7, 13, 17, 20, 23,
25
INT
A
7, 13,26
INT
B
11,12,19
INT
B
7, 13, 26
INT
A
3,4,5
Proses akhir dari sesi FRAP adalah untuk mengidentifikasi pegendalian untuk
beberapa resiko yang teridentifikasi yang dibutuhkan. Ketika undangan mengenai sesi
FRAP sudah dikirimkan, manajer bisnis mengikutsertakan daftar dari 26 pengendalian,
sebagaimana yang ditunjukkan dalam tabel 2.2, yang akan digunakan selama fase ini
dalam sesi FRAP.
Tabel 2.2 FRAP Control List
No.
1
2
Kelas
Deskripsi
Backup
Kebutuhan
backup
akan
ditentukan
dan
dikomunikasikan kepada penyedia layanan, termasuk
permintaan bahwa pemberitahuan elektronik yang
dibackup telah selesai dikirim kepada administrator
system aplikasi. Penyedia layanan akan diminta untuk
menguji prosedur backup.
Recovery Plan
Mengembangkan, mendokumentasikan, dan menguji
prosedur recovery yang didesain untuk menjamin
bahwa aplikasi dan informasi dapat di-recover
(dipulihkan), menggunakan backup yang telah dibuat,
ketika terjadi kerugian.
59
3
4
Access Control
Access Control
Mengimplementasikan
sebuah
mekanisme
pengendalian akse s untuk mencegah akse s yang tidak
terotorisasi terhadap informasi. Mekanisme ini
termasuk kemampuan mendeteksi, logging, dan
melaporkan upaya untuk menerobos keamanan
informasi.
Akses sumber: Mengimplementasikan sebuah
mekanisme untuk membatasi akse s kepada informasi
rahasia ke network path tertentu atau lokasi fisik.
Mengimplementasikan mekanisme otentikasi
pengguna (seperti firewall, dial-in control, secure ID)
untuk membatasi akse s ke personil yang tidak
terotorisasi.
5
Access Control
6
Access Control
Mengimplementasikan mekanisme enkripsi (data, endto-end) untuk mencegah akse s yang tidak terotorisasi
untuk melindungi integritas dan kerahasiaan informasi.
Application Control
Mendesain dan mengimplementasikan pengendalian
aplikasi (data entry edit checking, field requiring
validation, alarm indicators, password expiration
capabilities, checksums) untuk menjamin integritas,
kerahasiaan, dan ketersediaan dari informasi aplikasi.
7
8
Acceptance Testing
9
Change Management
Mengembangkan prosedur pengujian yang diikuti
selama pengembangan aplikasi dan selama perubahan
terhadap aplikasi yang telah ada yang di dalamnya
melibatkan partisipasi dan penerimaan pengguna.
Mengikuti proses manajemen perubahan yang didesain
untuk memfasilitasi pendekatan terstruktur untuk
perubahan, untuk menjamin langkah-langkah yang
se suai dan pencegahan diikuti. Perubahan yang
sifatnya “emergency” sebaiknya diikutsertakan dalam
proses ini.
10
Anti Virus
1. Menjamin Administrator LAN menginstal software
antivirus yang sesuai standar perusahaan pada semua
computer.
2. Pelatihan dan kesadaran teknik pencegahan virus
akan dimasukkan ke dalam program IP organisasi.
11
Policy
Mengembangkan kebijakan dan prosedur untuk
membatasi akse s dan hak istimewa operasional
kepada mereka yang memiliki kebutuhan bisnis.
60
Training
Pelatihan pengguna akan mencakup instruksi dan
dokumentasi yang tepat ke aplikasi. Pentingnya
menjaga kerahasiaan account pengguna, sandi, dan
sifat rahasia dan kompetitif informasi akan ditekankan.
Audit/Monitor
Menerapkan mekanisme untuk memantau, melaporkan
dan kegiatan audit yang diidentifikasi sebagai bahan
tinjauan independen, termasuk tinjauan berkala dari
userIDs untuk memastikan kebutuhan bisnis.
Backup
Kontrol Operasi: pelatihan untuk backup data untuk
sistem administrator akan diberikan dan tugas dirotasi
di antara mereka untuk memastikan kecukupan dari
program pelatihan.
Training
Kontrol
Operasi:
pengembang
aplikasi
akan
memberikan dokumentasi, bimbingan, dan dukungan
untuk staf operasi (admin)
dalam menerapkan
mekanisme untuk memastikan bahwa transfer
informasi antar aplikasi aman.
16
Access Control
Kontrol Operasi: mekanisme untuk melindungi
database dari akse s yang tidak sah, dan modifikasi
dari
luar
aplikasi,
akan
ditentukan
dan
diimplementasikan.
17
Interface
dependencies
Kontrol operasi: sistem yang memberikan informasi
akan diidentifikasi dan dikomunikasikan kepada admin
untuk menekankan dampak yang akan terjadi terhadap
fungsi tersebut jika aplikasi ini tidak tersedia.
18
Maintenance
Kontrol Operasi: kebutuhan waktu untuk pemeliharaan
teknis akan dilacak dan penyesuaian jadwal akan
dikomunikasikan kepada manajemen.
19
Training
User Control: Mengimplementasikan user program
(user performance evaluation) yang didesain untuk
mendorong kepatuhan terhadap kebijakan dan
prosedur untuk menjamin penggunaan yang tepat
terhadap aplikasi.
20
Service
Agreement
21
Maintenance
12
13
14
15
Mendapatkan persetujuan mengenai tingkat pelayanan
Level untuk menetapkan harapan pelanggan dan jaminan
dari operasi pendukung.
Memperoleh pemeliharaan dan persetujuan dengan
pemasok untuk memfasilitasi secara terus-menerus
mengenai aplikasi operasional.
61
22
Physical Security
Konsultasi dengan facilities management, dalam hal
memfasilitasi implementasi pengendalian keamanan
fisik yang dirancang untuk melindungi informasi,
software, dan hardware yang dibutuhkan oleh system
23
Management support
Permintaan dukungan manajemen untuk menjamin
kooperasi dan koordinasi dari berbagai unit bisnis,
untuk memfasilitasi kelancaran transisi ke aplikasi.
24
Prorietary
Pengendalian hak milik.
25
Corrective strategies
Tim pengembang akan mengembangkan strategi
korektif, seperti mengecek kembali proses-pro ses
yang ada dalam perusahaan, merevisi logika aplikasi,
dll.
26
Change Management
Mengontrol migrasi produk, seperti untuk proses
pencarian dan menghapus, untuk memastikan tempat
penyimpanan data aman.
Pengendalian dapat diidentifikasikan secara umum dalam dua jenis:
a.
Fasilitator dapat fokus pada setiap risiko yang paling utama dan memilih
team yang dapat mengatasi risiko tersebut.
b.
Fasilitator dapat fokus kepada tiga atau empat risiko prioritas utama dam
kemudian membiarkan team untuk mebackup dan memilih risiko yang
dipilih untuk mereka tangani sendiri. Jika risiko telah dipilih maka tidak
perlu dipilih kembali.
Perlu dimengerti bahwa semua pengendalian yang dipilih tidak semuanya akan
diimplementasikan. M anajer bisnis, kepala proyek, dan fasilitator akan bekerja
bersama dalam pertemuan post-FRAP untuk menetapkan satu atau dua
pengedalian yang terbaik.
62
FRAP tidak akan mengurangi tiap risiko. M anajemen memiliki tugas untuk
menentukan risiko mana yang akan diberi pengendalian dan mana yang akan
diterima.
FRAP session selesai ketika tiga hasil didapatkan yaitu:
1. Risiko diidentifikasi
2. Risiko diprioritaskan
3. Control diidentifikasi
2.6.2.3 Hasil Post-FRAP Meeting
Proses Post-FRAP memiliki lima hasil:
a.
Cross-reference sheet
b.
Identification of existing control
c.
Consulting with owner on open risks
d.
Identification of controls for open risks
e.
Final report
2.6.3 OCTAVE
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
adalah serangkaian alat, teknik, dan metode pengukuran dan perencanaan strategi
keamanan informasi berbasis risiko.
63
M etode OCTAVE
Ada 3 metode OCTAVE:
a.
M etode OCTAVE asli, yang merupakan dasar dari tubuh pengetahuan
OCTAVE.
b.
OCTAVE-S, untuk perusahaan-perusahaan yang lebih kecil.
c.
OCTAVE-Allegro, pendekatan yang efisien untuk pengukuran keamanan
informasi dan jaminan.
M etode OCTAVE dibangun di dalam kriteria OCTAVE – sebuah
pendekatan standar untuk sebuah risk-driven dan evaluasi keamanan informas i
berbasis praktek. Kriteria OCTAVE menetapkan prinsip-prinsip dasar dan atributatribut dari manajemen risiko yang digunakan oleh metode OCTAVE.
Fitur-fitur dan keuntungan dari metode OCTAVE:
a.
Self-directed – tim-tim kecil dari personil organisasi lintas unit bisnis dan TI
bekerja bersama untuk mendefinisikan kebutuhan keamanan organisasi.
b.
Fleksibel – tiap metode dapat disesuaikan dengan lingkungan risiko
perusahaan yang unik, keamanan dan ketahanan terhadap tujuan, dan tingkat
kemampuan.
c.
Evolved – OCTAVE menggerakkan organisasi menuju sebuah pandangan
keamanan berbasis risiko operasional dan mendefinisikan teknologi dalam
sebuah konteks bisnis.
Sumber: http://www.cert.org/octave/, diakses tanggal 10 Oktober 2010.
64
Tiga fase OCTAVE
Organisasi, teknologi, dan aspek analisis dari sebuah evaluasi risiko keamanan
informasi bersandar pada pendekatan tiga fase. OCTAVE dikelola dalam aspekaspek dasar ini (ilustrasi dalam figure 2), memungkinkan personil perusahaan
untuk merakit gambaran yang komprehensif tentang kebutuhan keamanan
informasi perusahaan. Fase-fasenya adalah
a.
Fase 1: Bangun profile ancaman berdasarkan asset – Ini merupakan evaluasi
organisasi. Anggota staff dari organisasi memberikan kontribusi lewat
perspektif mereka pada apa yang penting bagi perusahaan (aset terkait
informasi) dan apa yang saat ini telah selesai dilakukan untuk melindungi
aset-aset tersebut. Tim analisa mengonsolidasi informasi dan memilih aset
yang paling penting bagi perusahaan (aset kritis). Tim lalu mendeskripsikan
kebutuhan keamanan untuk aset kritis dan mengidentifikasi ancaman untuk
aset kritis, membuat profil ancaman.
b.
Fase 2: Identifikasi titik lemah (vulnerability) infrastruktur – Ini adalah
evaluasi dari infrastruktur informasi. Tim analisa mengidentifikasi sistem
teknologi informasi kunci dan komponen yang terkait kepada masingmasing aset kritis. Tim lalu menguji komponen-komponen kunci untuk
kelemahan (titik lemah teknologi) yang dapat berakibat tindakan-tindakan
tanpa otorisasi terhadap aset kritis.
c.
Fase 3: M engembangkan rencana dan strategi keamanan – Selama bagian
evaluasi ini, tim analisa mengidentifikasi resiko terhadap aset kritis
organisasi dan memutuskan apa yang akan dilakukan terhadap hal tersebut.
Tim membuat strategi perlindungan untuk perusahaan dan rencana mitigasi
65
untuk mengidentifikasi resiko terhadap aset kritis, berdasarkan analisa
informasi yang didapatkan.
Gambar 2.4 Fase OCTAVE
OCTAVE menyajikan gambaran organisasi secara luas dari risiko keamanan
informasi terkini. OCTAVE menyajikan gambaran pada suatu waktu, ataupun
dasar, yang dapat digunakan untuk berfokus pada mitigasi dan aktivitas-aktivitas
pengembangan. Selama OCTAVE, sebuah tim analisa melakukan aktivitasaktivitas untuk:
a.
M engidentifikasi risiko keamanan informasi perusahaan.
b.
M enganalisa risiko-risiko untuk menentukan prioritas.
c.
M erencanakan untuk pengembangan dengan mengembangkan sebuah
strategi perlindungan untuk pengembangan organisasi dan rencana mitigasi
risiko untuk mengurangi risiko terhadap aset perusahaan yang kritis.
66
Sebuah perusahaan tidak akan melakukan pengembangan jika perusahaan tersebut
tidak mengimplementasikan rencananya. Aktivitas-aktivitas pengembangan ini
dilakukan setelah OCTAVE sudah diselesaikan. Setelah OCTAVE, tim analisa,
atau personil lain yang ditunjuk
a.
M erencanakan bagaimana mengimplementasikan strategi perlindungan dan
rencana mitigasi risiko dengan mengembangkan rencana aksi yang detail.
Aktivitas ini dapat mengikutsertakan analisa cost-benefit yang detail di
antara strategi dan aksi, dan hal itu menghasilkan rencana implementasi yang
detail.
b.
M engimplementasikan rencana aksi yang lebih detail.
c.
M emantau jalannya rencana aksi dan keefektifannya. Aktivitas ini termasuk
memantau resiko untuk segala perubahan.
d.
M engendalikan perbedaaan dalam rencana eksekusi dengan mengambil
langkah korektif yang tepat.
PRINS IP OCTAVE
Prinsip adalah konsep dasar yang mendefinisikan filosofi dibalik proses evaluasi.
Prinsip membentuk pendekatan evaluasi dan menyajikan dasar untuk proses
evaluasi. Kami telah mengelompokkan prinsip-prinsip tersebut ke dalam tiga area
di bawah ini.
a.
Prinsip-prinsip evaluasi risiko keamanan informasi: Ini merupakan aspek
kunci yang membentuk fondasi evaluasi risiko keamanan informasi yang
efektif.
67
- Self direction
- Adaptable measures
- Defined process
- Foundation for a continous process
b.
Prinsip-prinsip manajemen risiko: Ini merupakan prinsip-prinsip dasar
umum untuk praktek manajemen risiko yang efektif.
- Forward-looking view
- Focus on the critical view
- Integrated management
c.
Prinsip budaya dan organisasi: Ini adalah aspek-aspek organisasi dan
budayanya yang diperlukan untuk mencapai manajemen risiko keamanan
informasi yang sukses.
- Open communication
- Global perspective
- Teamwork
Gambar 2.5 Prinsip OCTAVE
68
2.6.4 Perbandingan antara Manajemen Risiko standar, FRAP, dan Octave
Tabel 2.3 Perbandingan Metode Pengukuran Risiko Teknologi Informasi
FRAP
OCTAVE
Risk
Management
standard
Identifikasi risiko
Identifikasi risiko
Identifikasi risiko
Identifikasi risiko
Analisa risiko
Memberikan
Proses
mengukur
Respon Risiko
prioritas
dan tipe risiko
risiko
Menyarankan
Proses
pengendalian risiko
risiko
Penilaian
potensi
kerugian
penilaian
Memilih metode yang
paling efisien untuk
pengendalian
dan
potensi kerugian
Hasil dan Evaluasi
Menggolongkan
risiko
pengendalian
risiko,
berdasarkan
control
list,
pengelompokan
Membagi 3 klasifikasi
Memonitor hasil dan
pengendalian
melakukan
Red
risiko,
(harus
ada
(perusahaan
dan
bisa
Mengkonsultasikan
proses bisnis, dengan
dalam
owner
hal
risk
adanya
masi
menjalankan
resiko
di
kebijakan
klasifikasi ini), Green
yang sudah ada dan
(Risiko yang muncul
risiko yang ditemukan
sudah diatasi dengan
baik
oleh
perusahaan) lalu
Monitor
apakah tujuan awal
Yellow dari manajemen risiko
mitigasi),
vulnerability, tipe data
kepada
review
di
dan
pengendalian risiko
telah
belum.
tercapai
atau
69
2.7 Penelitian Sebelumnya
Penulis melakukan studi banding dengan cara mengacu kepada penelitian
sebelumnya yang dilakukan Susan et al (2010). Penelitian tersebut dilakukan pada
perusahaan yang bergerak di bidang distribusi. M ereka melakukan pengukuran
risiko teknologi informasi menggunakan metode octave-s dimana terdiri dari 3
tahap, membangun profil ancaman berdasarkan aset yang didalamnya juga terdiri
atas 2 proses , yaitu mengidentifikasi informasi organisasi, dan menciptakan profil
ancaman, lalu tahap kedua adalah identifikasi kerentanan infrastruktur dalam
hubungannya dengan aset kritis. Tahap ketiga adalah mengembangkan strategi dan
rencana keamanan dimana didalam terdapat 2 proses, yaitu mengidentifikasi dan
menganalisa risiko dan mengembangkan strategi perlindungan dan rencana
mitigasi. Setelah Susan et al melakukan analisa diketahui bahwa
1.
Perusahaan sebaiknya menerapkan manajemen risiko TI.
2.
Diadakan pelatihan keamanan TI secara rutin kepada karyawan.
3.
Perusahaan harus mempertahankan keamanan sistem dan jaringan yang ada di
perusahaan agar tetap terjaga.