2012100190 Ka Bab 2001

BAB 2

LANDASAN TEORI

2.1 Teori-teori Umum

2.1.1 Data

Data adalah urutan fakta-fakta mentah yang merupakan peristiwa

yang terjadi dalam organisasi atau lingkungan fisik sebelum mereka

terorganisir dan disusun menjadi bentuk yang orang-orang dapat

memahami dan menggunakannya. (Laudon & Laudon, 2010: 46)

Data dapat didefinisikan juga sebagai fakta mentah atau hasil

observasi yang biasanya berupa fenomena fisik atau transaksi bisnis.

(O’Brien & Marakas, 2008: 32)

2.1.2 Informasi

Informasi adalah data yang telah diproses atau data yang memiliki

arti. (McLeod, 2007: 15)

Informasi yang baik harus mencakup karakteristik sebagai

berikut: (1) relevan (akurat) – informasi harus bebas dari kesalahan-

kesalahan dan tidak menyesatkan para penggunanya; (2) timely (tepat

waktu) – informasi yang disajikan tepat pada saat yang dibutuhkan dan

bisa mempengaruhi proses pengambilan keputusan; (3) reliable (dapat

dipercaya) – informasi harus bebas dari kesalahan dan harus akurat

2012100190KABab2001 http://library.binus.ac.id/eColls/eThesisdoc/Bab2HTML/2012100190K...

1 of 92 5/21/2014 11:47 AM


2 of 92 5/21/2014 11:47 AM

8

dalamnya semua data yang relevan dan tidak mengabaikan yang

diharapkan oleh pembuat keputusan; (5) understandable (dapat

dimengerti) – informasi harus diagregasi agar sesuai dengan kebutuhan

pemakai. Manajer tingkat lebih rendah cenderung memerlukan informasi

yang sangat rinci; (6) variable – informasi yang dihasilkan tidak dapat

menyebabkan perbedaan dalam memahaminya; (7) accessible –

informasi dikatakan accessible bila tersedia pada saat diperlukan dalam

format yang sesuai dengan kepentingannya. (Karmawan, 2011: 1331)

2.1.3 Evaluasi

Evaluasi adalah suatu proses untuk menyediakan informasi

tentang sejauh mana suatu kegiatan tertentu telah dicapai, bagaimana

perbedaan pencapaian itu dengan suatu standar tertentu untuk

mengetahui apakah ada selisih diantara keduanya, serta bagaimana

manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-

harapan yang ingin diperoleh. (Nelly, dkk, 2011: 313)

2.1.4 Pengendalian

Pengendalian (kontrol) adalah sistem yang digunakan untuk

mencegah, mendeteksi, dan mengkoreksi kejadian yang tidak sesuai

peraturan. (Herawati, 2009: 86)

Control: any action taken by management to enhance the

likelihood that established objective and goals will be achieved. It results

from management’s planning, organizing, and directing, and the many

variants (e.g., management control, internal control, etc.) can be in


3 of 92 5/21/2014 11:47 AM


4 of 92 5/21/2014 11:47 AM

9

Teknologi informasi adalah hardware, software, telekomunikasi,

manajemen database, dan teknologi pemrosesan informasi lainnya yang

digunakan dalam sistem informasi berbasis komputer. (Harahap, Subita,

& Octavia, 2009: 21)

Teknologi informasi atau sistem informasi berbasis internet telah

menjadi sebuah kebutuhan penting dalam kesuksesan di era

perkembangan global saat ini. (Widjaya, 2012: 89)

2.1.5.1 Infrastruktur Teknologi Informasi

“Information technology infrastructure is the physical

facilities, IT components, IT services, and IT personel that

support the entire organization.” (Potter, 2007: 6)

Ada dua kategori dasar dalam teknologi informasi, yaitu

hardware (perangkat keras) dan software (perangkat lunak).

(Haag, Cummings, & McCubbrey, 2012: 15)

1. Hardware

Hardware is a set of devices such as a processor,

monitor, keyboard, and printer. Together these devices

accept data and information, process them, and display them.

(Turban, Rainer, & Potter, 2012: 37)

Hardware adalah:

a. Mesin dan media.

b. Perlengkapan fisik, kebalikan dari program komputer atau

metode penggunaan.


5 of 92 5/21/2014 11:47 AM


6 of 92 5/21/2014 11:47 AM

10

Artinya, hardware adalah peralatan fisik yang membentuk

suatu sistem komputer dan segala perlengkapan yang

berhubungan dengannya.

Hardware terdiri dari lima kategori, yaitu:

a. Input device, adalah peralatan yang digunakan untuk

menginput informasi dan perintah, yang terdiri dari

keyboard, mouse, touch screen, game controller, dan

barcode reader.

b. Output device, adalah peralatan yang digunakan untuk

melihat, mendengar, atau sebaliknya, mengenali hasil dari

permintaan proses informasi, yang terdiri dari printer,

monitor, dan speaker.

c. Storage device, adalah peralatan yang digunakan untuk

menyimpan informasi yang digunakan di lain waktu,

terdiri atas primary storage dan secondary storage, seperti

hard disk, flash disk, memory card, dan DVD.

d. CPU dan RAM. CPU adalah hardware yang mengartikan

dan menjalankan sistem serta instruksi-instruksi aplikasi

software dan mengatur pengoperasian dari keseluruhan

hardware. RAM adalah sebuah kawasan sementara untuk

informasi yang bekerja seperti halnya sistem dan aplikasi

software yang dibutuhkan oleh CPU sekarang ini.

e. Telecommunication device, adalah peralatan yang


7 of 92 5/21/2014 11:47 AM


8 of 92 5/21/2014 11:47 AM

11

orang atau komputer lain dalam satu jaringan. (Harahap,

Subita, & Octavia, 2009: 21)

2. Software

Software merupakan sebuah kumpulan rinci instruksi-

instruksi yang mengontrol sebuah komputer atau jaringan

komunikasi, yang terbagi menjadi dua, yaitu system software

dan application software.

Ada dua tipe utama software, yaitu:

a. Application software, memungkinkan untuk

menyelesaikan masalah-masalah spesifik atau

melaksanakan tugas-tugas spesifik.

b. System software, menangani tugas-tugas spesifik untuk

mengelola teknologi dan mengatur interaksi dari

keseluruhan peralatan teknologi. Di dalam system software

terdapat operating system software dan utility software.

Operating system software adalah software system yang

mengendalikan application software dan mengelola

bagaimana hardware bekerja secara bersama. Utility

software adalah software yang menyediakan tambahan

fungsionalitas untuk mengoperasikan system software,

seperti antivirus, screen saver, disk optimization.

(Harahap, Subita, & Octavia, 2009: 21)

3. Jaringan komputer


9 of 92 5/21/2014 11:47 AM


10 of 92 5/21/2014 11:47 AM

12

ekstranet perusahaan berbasis internet. Akan tetapi, dari sudut

pandang end user, hanya ada beberapa tipe dasar, seperti

jaringan area luas dan jaringan area lokal, serta jaringan

klien-ke-klien (client-to-client), klien ataupun server, dan

komputasi jaringan.

Berdasarkan rentang geografis yang dapat dicakup

oleh suatu jaringan, jaringan komputer terbagi menjadi tiga

jenis, yaitu:

a. LAN (Local Area Network)

LAN digunakan untuk menghubungkan komputer yang

berada di dalam suatu area yang kecil, misalnya di dalam

suatu gedung perkantoran atau kampus. Jarak

antarkomputer yang dihubungkan bisa mencapai 5-10 km.

Suatu LAN biasanya bekerja pada kecepatan mulai 10-100

Mbps. LAN menjadi populer karena memungkinkan

banyak pengguna untuk memakai sumber daya yang dapat

digunakan itu, misalnya mainframe, file server, printer,

dan sebagainya.

b. MAN (Metropolitan Area Network)

MAN merupakan suatu jaringan yang cakupannya

meliputi suatu kota. MAN menghubungkan banyak LAN

yang lokasinya berjauhan. Jangkauan MAN mencapai 10

km sampai beberapa ratus km. Suatu MAN biasanya


11 of 92 5/21/2014 11:47 AM


12 of 92 5/21/2014 11:47 AM

13

WAN dirancang untuk menghubungkan komputer-

komputer yang terletak pada suatu cakupan geografis yang

luas, seperti hubungan dari suatu kota ke kota lain di

dalam suatu negara. Cakupan WAN bisa meliputi 100-

1000 km, dan kecepatan antarkota bisa bervariasi antara

1,5 Mbps sampai 2,4 Gbps. Dalam biaya peralatan untuk

transmisi sangat tinggi, biasanya WAN dimiliki dan

dioperasikan sebagai jaringan public. (O’Brien, 2008: 276)

Berikut adalah beberapa contoh jaringan komputer.

a. Intranet

Intranet for internal use only is an organization’s internal

private network that uses the infrastructure and standards

of the internet and the web. (Sawyers & Williams, 2007:

319)

b. Internet

Internet is a worldwide computer network that connects

hundreds or thousands of smaller networks. These

networks link educational, commercial, nonprofit, and

military entities, as well as individuals. (Sawyers &

Williams, 2007: 11)

c. Ekstranet

Extranet for certain considers are private intranets that

connect not only internal personnel but also selected


13 of 92 5/21/2014 11:47 AM


14 of 92 5/21/2014 11:47 AM

14

2.1.6 Firewall

Firewall adalah sebuah sistem atau perangkat yang mengizinkan

pergerakan lalu lintas jaringan yang dianggap aman untuk dilalui dan

mencegah lalu lintas jaringan yang tidak aman. Firewall merupakan

metode penting yang digunakan untuk mengendalikan dan mengamankan

internet serta berbagai macam jaringan. Firewall dapat disebut juga

sebagai “gatekeeper” atau penjaga pintu gerbang, yang melindungi

internet dan jaringan komputer lainnya dari intrusi atau penyusup.

Firewall pada umumnya juga digunakan untuk mengontrol akses

terhadap siapapun yang memiliki akses terhadap jaringan pribadi dari

pihak luar. (O’Brien, 2008: 458)

2.1.7 Access Controls

Access controls are designed to prevent unauthorized individuals

from viewing, retrieving, corrupting, or destroying the entity’s data. The

purpose of access controls is to ensure that only authorized personnel

have access to the firm’s assets. Unauthorized access exposes assets to

misappropriation, damage, and and theft. Therefore, access controls play

an important role in safeguarding assets. Effective access control

requires more additional security measures. (Hall, 2011: 155)

2.1.8 Threat

Threat is potential events that have a negative impact on the

business objectives or mission statement of the enterprise. (Peltier, 2005:

161)


15 of 92 5/21/2014 11:47 AM


16 of 92 5/21/2014 11:47 AM

15

Risiko adalah kemungkinan untuk menderita kerugian atau

kehilangan. (Gui, Gondodiyoto, & Timotius, 2008: 34)

Risiko merupakan kemungkinan terjadinya beberapa ancaman

yang mudah menyerang. (Harahap, Subita, & Octavia, 2009: 21)

Risiko adalah kejadian yang selalu dihubungkan dengan

kemungkinan terjadinya sesuatu yang merugikan yang tidak diduga /

tidak diinginkan. Istilah risiko sudah biasa dipakai dalam kehidupan kita

sehari-hari, yang umumnya sudah dipahami secara intuitif. Tetapi

pengertian secara ilmiah dari risiko sampai saat ini masih tetap beragam,

antara lain:

1. Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama

periode tertentu.

2. Risiko adalah ketidakpastian yang mungkin melahirkan peristiwa

kerugian.

3. Risiko adalah ketidakpastian atas terjadinya suatu peristiwa.

4. Risiko merupakan penyebaran / penyimpangan hasil aktual dari hasil

yang diharapkan.

5. Risiko adalah probabilitas sesuatu hasil yang berbeda dengan yang

diharapkan. (Djojosoedarso, 2005: 2)

Risk is a likelihood that a threat will materialize. (Turban, Rainer,

& Potter, 2012: 381)

2.1.9.1 Macam-macam Risiko

Dari berbagai sudut pandang, risiko dapat dibedakan


17 of 92 5/21/2014 11:47 AM


18 of 92 5/21/2014 11:47 AM

16

1. Risiko bisnis, adalah risiko yang dapat disebabkan oleh

faktor-faktor internal maupun eksternal yang berakibat

kemungkinan tidak tercapainya tujuan organisasi.

2. Risiko bawaan, adalah potensi kesalahan atau

penyalahgunaan yang melekat pada suatu kegiatan, jika tidak

ada pengendalian internal.

3. Risiko pengendalian, adalah masih adanya risiko meskipun

sudah ada pengendalian.

4. Risiko deteksi, adalah risiko yang terjadi karena prosedur

audit yang dilakukan mungkin tidak dapat mendeteksi adanya

error yang cukup materialistis atau adanya kemungkinan

fraud.

5. Risiko audit, adalah risiko bahwa hasil pemeriksaan auditor

sebelumnya ternyata belum dapat mencerminkan keadaan

yang sesungguhnya. (Gondodiyoto, 2007: 110)

Jenis-jenis risiko ini dapat dibedakan dengan berbagai

macam cara, antara lain :

1. Menurut sifatnya risiko dapat dibedakan ke dalam:

a. Risiko yang tidak disengaja (risiko murni)

Risiko yang apabila terjadi tentu menimbulkan kerugian

dan terjadinya tanpa disengaja; misalnya risiko terjadinya

kebakaran, bencana alam, pencurian, penggelapan,

pengacauan, dan sebagainya.


19 of 92 5/21/2014 11:47 AM


20 of 92 5/21/2014 11:47 AM

17

Risiko yang sengaja ditimbulkan oleh yang bersangkutan,

agar terjadinya ketidakpastian memberikan keuntungan

kepadanya; misalnya risiko utang–piutang, perjudian,

perdagangan berjangka (hedging), dan sebagainya.

c. Risiko fundamental

Risiko yang penyebarannya tidak dapat dilimpahkan

kepada seseorang dan yang menderita tidak hanya satu

atau beberapa orang saja, tetapi banyak orang, seperti

banjir, angin topan, dan sebagainya.

d. Risiko khusus

Risiko yang bersumber pada peristiwa yang mandiri dan

umumnya mudah diketahui penyebabnya, seperti kapal

kandas, pesawat jatuh, tabrakan mobil, dan sebagainya.

e. Risiko dinamis

Risiko yang timbul karena perkembangan dan kemajuan

masyarakat di bidang ekonomi, ilmu dan teknologi, seperti

risiko keusangan, risiko perbangan luar angkasa.

Kebalikannya disebut risiko statis, seperti risiko hari tua,

risiko kematian, dan sebagainya.

2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain,

maka risiko dapat dibedakan ke dalam:

a. Risiko yang dapat dialihkan kepada pihak lain, dengan

mempertanggungkan suatu obyek yang akan terkena risiko


21 of 92 5/21/2014 11:47 AM


22 of 92 5/21/2014 11:47 AM

18

b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak

dapat diasuransikan); umumnya meliputi semua jenis

risiko spekulatif.

3. Menurut sumber / penyebab timbulnya, risiko dapat

dibedakan ke dalam:

a. Risiko internal

Risiko yang berasal dari dalam perusahaan itu sendiri,

seperti kerusakan aktiva karena ulah karyawan sendiri,

kecelakaan kerja, kesalahan manajemen.

b. Risiko eksternal

Risiko yang berasal dari luar perusahaan, seperti risiko

pencurian, penipuan, persaingan, fluktuasi harga,

perubahan kebijakan pemerintah, dan sebagainya.

(Djojosoedarso, 2005: 3)

Ancaman utama terhadap keamanan dapat bersifat

karena alam, manusia, yang bersifat kelalaian atau kesenjangan,

antara lain:

1. Ancaman kebakaran

Beberapa pelaksanaan keamanan untuk ancaman kebakaran,

yaitu:

a. Memiliki alat pemadam kebakaran otomatis dan tabung

pemadam kebakaran.

b. Memiliki pintu / tangga darurat.


23 of 92 5/21/2014 11:47 AM


24 of 92 5/21/2014 11:47 AM

19

c. Melakukan pengecekan rutin dan pengujian terhadap

sistem perlindungan kebakaran untuk dapat memastikan

segala sesuatunya telah dirawat dengan baik.

2. Ancaman banjir

Beberapa pelaksanaan keamanan untuk ancaman banjir,

yaitu:

a. Usahakan untuk atap, dinding, dan lantai yang tahan air.

b. Semua material aset sistem informasi diletakkan di tempat

yang tinggi.

c. Perubahan tegangan sumber energi.

d. Pelaksanaan pengamanan untuk mengantisipasi perubahan

tegangan sumber energi listrik, misalnya dengan

menggunakan stabilizer atau uninterruptible power supply

(UPS).

3. Kerusakan struktural

Pelaksanaan pengamanan untuk mengantisipasi kerusakan

struktural, misalnya dengan memilih lokasi perusahaan yang

jarang terjadi gempa, angin ribut, banjir, dan sebagainya.

4. Penyusup

Pelaksanaan keamanan untuk mengantisipasi penyusup

adalah penempatan penjaga dan penggunaan alarm ataupun

kamera pengawas.

5. Virus


25 of 92 5/21/2014 11:47 AM


26 of 92 5/21/2014 11:47 AM

20

a. Preventive, seperti menginstal antivirus dan melakukan

update antivirus secara rutin.

b. Detective, misalnya melakukan scan file sebelum

digunakan.

c. Corrective, misalnya memastikan backup data bebas virus,

pemakaian antivirus terhadap file yang terinfeksi.

6. Hacking

Beberapa pelaksanaan keamanan untuk mengantisipasi

hacking, yaitu:

a. Penggunaan logical control, seperti penggunaan password

yang sulit ditebak.

b. Petugas keamanan secara teratur memonitor sistem yang

digunakan. (Gondodiyoto, 2007: 303)

2.1.9.2 Upaya Penanggulangan Risiko

Sesuai dengan sifat dan objek yang terkena risiko, ada

beberapa cara yang dapat dilakukan untuk mengurangi risiko

kerugian, antara lain:

1. Melakukan pencegahan dan pengurangan terhadap

kemungkinan terjadinya peristiwa yang menimbulkan

kerugian, misalnya membangun gedung dengan bahan-bahan

yang tidak mudah terbakar, memagari mesin-mesin untuk

menghindari kecelakaan kerja, dan sebagainya.

2. Melakukan retensi, yaitu mentolerir atau membiarkan


27 of 92 5/21/2014 11:47 AM


28 of 92 5/21/2014 11:47 AM

21

terganggunya operasi perusahaan akibat kerugian tersebut

disediakan sejumlah dana untuk menanggulanginya.

3. Melakukan pengendalian terhadap risiko, contohnya

melakukan hedging (perdagangan berjangka) untuk

menanggulangi risiko kelangkaan dan fluktuasi harga bahan

baku / pembantu yang diperlukan.

4. Mengalihkan atau memindahkan risiko kepada orang lain,

yaitu dengan cara mengadakan kontrak pertanggungan

(asuransi) dengan perusahaan asuransi terhadap risiko

tertentu, dengan membayar sejumlah premi asuransi yang

telah ditetapkan, sehingga perusahaan asuransi akan

mengganti kerugian apabila betul terjadi kerugian yang

sesuai dengan perjanjian.

2.1.9.3 Risiko Teknologi Informasi

Penggunaan teknologi informasi berisiko terhadap

kehilangan informasi dan pemulihannya, yang tercakup dalam

enam kategori, yaitu:

1. Keamanan

Risiko di mana informasi diubah dan digunakan oleh orang

yang tidak berwenang, misalnya kejahatan komputer,

kebocoran internal, dan cyber terrorism.

2. Ketersediaan

Risiko di mana data tidak dapat diakses, misalnya setelah


29 of 92 5/21/2014 11:47 AM


30 of 92 5/21/2014 11:47 AM

22

(human error), perubahan konfigurasi, dan kurangnya

penggunaan arsitektur.

3. Daya pulih

Risiko di mana informasi yang diperlukan tidak dapat

dipulihkan dalam waktu yang cukup, setelah terjadinya

kegagalan pada software atau hardware, ancaman eksternal,

dan bencana alam.

4. Performa

Risiko di mana informasi tidak tersedia saat diperlukan, yang

diakibatkan oleh arsitektur terdistribusi, permintaan yang

tinggi, dan topografi teknologi informasi yang beragam.

5. Daya skala

Risiko di mana perkembangan bisnis, pengaturan kemacetan,

dan bentuk arsitektur membuat tidak mungkin menangani

banyak aplikasi baru dan biaya bisnis secara efektif.

6. Ketaatan

Risiko di mana manajemen atau penggunaan informasi

melanggar keperluan dari pihak pengatur. Hal ini mencakup

aturan pemerintah, panduan pengaturan perusahaan, dan

kebijakan internal. (Gui, Gondodiyoto, & Timotius, 2008:

34)

Risiko-risiko teknologi informasi didefinisikan dalam

tujuh kelas. Di mana pada setiap kasus, teknologi informasi


31 of 92 5/21/2014 11:47 AM


32 of 92 5/21/2014 11:47 AM

23

konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas

risiko, yaitu:

1. Projects – failing to deliver

Risiko ini bersangkutan dengan gagalnya suatu proyek TI.

Beberapa contoh dari gagalnya penyampaian proyek adalah

telat menyelesaikan proyek atau tidak pada waktunya,

sumber daya dan biaya yang dikonsumsi dalam penyelesaian

proyek besar sehingga tidak efisien, mengganggu proses

bisnis selama proses implementasi, dan juga fungsi dari

proyek tidak sesuai dengan keinginan yang diharapkan oleh

user.

2. IT service continuity – when business operations go off the

air

Risiko ini berhubungan dengan pelayanan TI yang

ketinggalan zaman dan tidak dapat diandalkan sehingga

mengganggu proses bisnis yang sedang berjalan. Risiko ini

biasanya berhubungan dengan sistem operasional dan

produksi perusahaan serta kemampuan mereka untuk

menyediakan kebutuhan user.

3. Information assets – failing to protect and preserve

Risiko ini berhubungan khusus dengan kerusakan,

kehilangan, dan eksploitasi aset informasi yang ada dalam

sistem. Dampaknya bisa sangat fatal bagi perusahaan,


33 of 92 5/21/2014 11:47 AM


34 of 92 5/21/2014 11:47 AM

24

pihak yang tidak berwenang, sehingga dengan demikian akan

merusak hubungan antara pelanggan dengan perusahaan dan

tentunya akan sangat merugikan perusahaan.

4. Service providers and vendors – break in the IT value chain

Risiko yang berhubungan dengan kemampuan dari provider

dan vendor. Bila mereka gagal dalam menyediakan

pelayanan yang baik, maka akan berdampak signifikan bagi

sistem TI perusahaan. Dampak lainnya berhubungan dengan

dampak jangka panjang, seperti kekurangan dalam

penyediaan layanan TI bagi user perusahaan tersebut.

5. Applications – flaky systems

Risiko yang berhubungan dengan kegagalan aplikasi TI yang

diterapkan. Aplikasi biasanya berinteraksi dengan user dalam

suatu perusahaan, biasanya terdapat kombinasi antara

software paket dan software buatan yang diintegrasikan

menjadi satu.

6. Infrastructure – shaky foundations

Risiko ini berhubungan dengan kegagalan dalam infrastruktur

TI. Kegagalan ini bisa bersifat permanen. Ketika suatu

komponen terbakar, dicuri, rusak, maupun koneksi jaringan

terputus, maka dampak dari kegagalan tersebut tergantung

dari ketahanan sistem yang ada. Jika risiko ini dapat

ditangani secara rutin, maka itu merupakan perencanaan


35 of 92 5/21/2014 11:47 AM


36 of 92 5/21/2014 11:47 AM

25

Risiko ini berhubungan dengan kemampuan TI untuk

memberitahukan status bisnis yang dilakukan. Dampak-

dampaknya tidak langsung, tetapi sangat signifikan dalam

pelaksanaan bisnis secara luas. Risiko merupakan

kemampuan perusahaan untuk terus bergerak maju ke arah

visi strategi, untuk tetap kompetitif diperlukan kemajuan TI

untuk memahami dan dicocokkan dengan potensi kesempatan

eksploitasi bisnis. (Jordan & Silcock, 2005: 49)

2.1.10 Proses Evaluasi Pengendalian Risiko

Berikut ini merupakan proses evaluasi pengendalian risiko.

1. Komunikasi dan konsultasi

Komunikasi risiko tidak untuk menyelesaikan suatu masalah

atau konflik. Akan tetapi, yang perlu digarisbawahi adalah kekeliruan

atau kesalahan karena mengabaikan komunikasi risiko dapat

mengakibatkan hilangnya kepercayaan atau lemahnya pengelolaan

risiko. Konsultasi dapat dijelaskan sebagai suatu proses komunikasi

antara perusahaan dengan para pemangku kepentingan, mengenai isi

tertentu terkait dengan pengambilan keputusan atau penentuan

langkah tertentu dalam menangani suatu masalah. Konsultasi memiliki

ciri-ciri sebagai berikut:

a. Merupakan proses, bukan hasil akhir.

b. Berdampak terhadap suatu keputusan menjadi pengaruh ketimbang

kekuasaan.


37 of 92 5/21/2014 11:47 AM


38 of 92 5/21/2014 11:47 AM

26

Keseluruhan proses komunikasi dan konsultasi kita anggap

terdiri dari empat proses besar yaitu persiapan, komunikasi eksternal,

komunikasi internal, komunikasi berlanjut sepanjang pelaksanaan

proses evaluasi pengendalian risiko. Penjelasan dari masing – masing

tahapan tersebut dapat diuraikan di bawah ini:

a. Persiapan proses komunikasi dan konsultasi

Proses ini berada pada Fungsi Evaluasi Pengendalian Risiko, tetapi

bagaimana mendesain dan merancang proses komunikasi serta

konsultasi akan disiapkan oleh fungsi komunikasi organisasi.

Secara khusus perlu berkonsultasi dengan para mitra stakeholder

yang lebih paham tentang perilaku masing-masing stakeholder.

Pihak lainnya cukup diberi informasi tentang proses persiapan ini.

b. Identifikasi stakeholder

Proses ini perlu dilakukan untuk dapat mengetahui denagan persis

siapa saja stakeholders kita, baik internal maupun eksternal.

Dengan memahami masing-masing stakeholder, kita dapat

mengetahui kepentingan, harapan dan persepsinya terhadap kita.

Begitu juga sebaliknya. Dengan demikian, dapat dipilih media dan

forum yang tepat untuk melakukan komunikasi serta konsultasi

dengan mereka.

c. Komunikasi dan konsultasi internal

Sasaran proses ini adalah menciptakan kesadaran dan pemahaman

mengenai risiko serta proses evaluasi pengendalian risiko, terutama


39 of 92 5/21/2014 11:47 AM


40 of 92 5/21/2014 11:47 AM

27

d. Komunikasi dan konsultasi eksternal

Pada proses ini dilaksanakan oleh Fungsi Komunikasi Organisasi

dengan didampingi Mitra stakeholders dan Fungsi Evaluasi

Pengendalian Risiko. Hasil pengolahan stakeholders analysis pada

persiapan menentukan kapan Direksi harus tampil sendiri dalam

proses komunikasi ini.

e. Proses komunikasi dan konsultasi berlanjut

Saat ini proses sudah beralih pada Fungsi Evaluasi Pengendalian

Risiko. Fungsi komunikasi akan menjadi pelaksana untuk

komunikasi eksternal dengan stakeholder terkait, dan masing-

masing kepala divisi untuk komunikasi eksternal. Dalam hal-hal

tertentu, Fungsi Evaluasi Pengendalian Risiko juga berperan

sebagai pelaksana untuk mendampingi mitra stakeholder atau

kepala divisi.

2. Evaluasi risiko

Tujuan dari evaluasi risiko adalah membantu proses

pengambilan keputusan berdasarkan hasil analisis risiko. Proses

evaluasi risiko akan menentukan risiko-risiko mana yang memerlukan

perlakuan dan bagaimana prioritas implementasi perlakuan risiko-

risiko tersebut. Keluaran dari proses evaluasi risiko ini akan menjadi

masukan untuk diolah lebih lanjut pada tahap berikutnya.

Analisis risiko merupakan proses mengevaluasi tingkat urgensi

masing-masing risiko menggunakan kriteria yang telah ditentukan


41 of 92 5/21/2014 11:47 AM


42 of 92 5/21/2014 11:47 AM

28

dalam kriteria yang ditetapkan maka perlakuan terhadap risiko

tersebut tidak perlu dipertimbangkan lagi.

Dalam mengambil keputusan terhadap perlakuan atas risiko,

organisasi perlu juga memperhatikan konteks yang lebih luas, yaitu

kemampuan memikul risiko pihak lain yang terlibat. Keputusan harus

diambil dalam konteks hukum, peraturan perundangan serta ketentuan

lain yang terkait.

Kriteria untuk pengambilan keputusan harus konsisten dengan

konteks eksternal, internal, dan manajemen risiko yang telah

didefinisikan. Selain itu, juga harus selalu memperhatikan sasaran

perusahaan, sasaran pengelolaan risiko, dan pendapat para pemangku

kepentingan.

Keputusan dalam mengevaluasi biasanya didasarkan pada

peringkat risiko yang diperoleh dari hasil analisis risiko, tetapi dapat

juga didasarkan pada nilai ambang yang ditetapkan sesuai dengan:

a. Tingkat dampak yang telah ditentukan.

b. Kemungkinan timbulnya suatu kejadian tertentu.

c. Efek kumulatif dari beberapa kejadian.

d. Rentang ketidakpastian terhadap tingkat – tingkat risiko pada satu

level kepercayaan.

Kriteria-kriteria evaluasi tersebut di atas pada dasarnya harus

disusun secara obyektif dan dapat dinyatakan baik secara kualitatif

maupun kuantitatif. Akan tetapi, masih terdapat kemungkinan distorsi


43 of 92 5/21/2014 11:47 AM


44 of 92 5/21/2014 11:47 AM

29

Pertimbangan nilai-nilai pada kriteria evaluasi sebenarnya secara

implisit terkandung dalam kriteria. Akan tetapi, pertimbangan ini

tergantung pada kebiasaan masing-masing individu menghadapi

risiko dan manfaat kegiatan tersebut. Risiko yang sama mungkin

tampak sepele bagi seseorang, tetapi sangat berbahaya bagi

oranglain. Karena itu, kriteria evaluasi harus diupayakan sesuai

dengan pandangan objektif dari semua orang yang terkena

pengaruh risiko tersebut, terutama para pemangku risiko itu sendiri.

b. Pengaruh kejadian-kejadian yang lalu

Kriteria untuk memutuskan apakah suatu risiko perlu ditangani

seringkali mengacu pada kegiatan yang sama pada kegiatan yang

sama pada masa lalu atau berdasarkan pengalaman sehari-hari.

Namun, data ini dapat mengalami penyimpangan karena:

1) Insiden besar, bencana yang baru satu kali terjadi atau

keuntungan besar yang tak disangka-sangka, akan sangat

mendominasi bank data.

2) Penurunan tingkat risiko karena peningkatan sistem

pengendalian setelah belajar dari insiden yang lalu, atau adanya

perbaikan standar pengendalian. Ini berarti bahwa kriteria yang

didasarkan pada risiko-risiko historis tidak dapat diandalkan

sepenuhnya sebagai acuan untuk mengendalikan situasi terkini.

3) Perubahan kegiatan, proses atau lingkungan yang tidak lagi

sesuai dengan situasi masa lalu.


45 of 92 5/21/2014 11:47 AM


46 of 92 5/21/2014 11:47 AM

30

Menyusun kriteria evaluasi berdasarkan pengalaman risiko masa

lalu harus memperhatikan permasalahan yang mungkin muncul,

yaitu:

1) Suatu risiko memerlukan perlakuan pada suatu kondisi tertentu,

tetapi pada kondisi lain tidak perlu ditangani.

2) Dengan metode analisis terbaru, risiko yang dapat “diterima” di

masa lalu kini “tidak dapat diterima” lagi. Begitu pula ada risiko

yang menurut standar sosial saat ini tidak dapat ditolerir lagi.

3) Lain padang lain belalang, latar belakang risiko yang berbeda

menimbulkan pertanyaan apakah standar evaluasi risiko harus

disusun sesuai dengan masing-masing situasi, ataukah dapat

bersifat universal. Untuk peristiwa semacam ini, diperlukan

pertimbangan yang menyangkut hal politik, sosial, dan ekonomi

yang dapat digunakan sebagai tambahan data risiko yang ada.

3. Perlakuan risiko

Perlakuan risiko meliputi upaya untuk menyeleksi pilihan-

pilihan yang dapat mengurangi atau meniadakan dampak serta

kemungkinan terjadinya risiko, kemudian menerapkan pilihan

tersebut.

Perlakuan risiko merupakan proses berulang, mari mulai dari

melakukan assessment terhadap sebuah perilaku risiko sampai

memperkirakan apakah tingkat risiko yang tersisa dapat diterima atau

tidak bila perlakuan ini diterapkan. Bila belum dapat diterima maka


47 of 92 5/21/2014 11:47 AM


48 of 92 5/21/2014 11:47 AM

31

menghasilkan tingkat risiko tersisa yang dapat diterima, sesuai dengan

kriteria yang ditetapkan organisasi tersebut.

Pilihan perlakuan risiko tidak harus bersifat khusus untuk satu

situasi tertentu, juga tidak harus berlaku umum. Pilihan-pilihan

perlakuan risiko antara lain:

a. Menghindari risiko, artinya membatalkan kegiatan yang

menimbulkan kemungkinan terjadinya risiko tersebut.

b. Mencari peluang yang tepat dengan membatalkan atau memulai

suatu kegiatan yang mungkin menimbulkan atau menaikkan tingkat

risiko.

c. Menghilangkan sumber risiko.

d. Mengubah sifat atau tingkat kemungkinan terjadinya risiko.

e. Mengubah dampak risiko.

f. Berbagi risiko dengan pihak lain.

g. Memilih mempertahankan tingkat risiko yang ada.

Memilih opsi perlakuan risiko yang paling tepat memerlukan

pertimbangan antar biaya dan upaya penerapannya, dibandingkan

dengan manfaat yang diperoleh dari sisi operasi, tanggung jawab

sosial dan tuntutan lainnya, misalnya aspek lingkungan hidup.

Dalam mengambil keputusan, perlu juga diperhatikan

pertimbangan tetapi sangat jarang terjadi. Beberapa opsi perlakuan

risiko dapat dilaksanakan secara terpisah, tetapi bisa juga diterapkan

menggunakan kombinasi dengan opsi lainnya.


49 of 92 5/21/2014 11:47 AM


50 of 92 5/21/2014 11:47 AM

32

perlakuan risiko. Risiko tersisa ini harus didokumentasikan dengan

baik dan selalu dimonitor. Bila perlu lakukan penanganan lebih lanjut.

2.1.11 FRAP (Facilitated Risk Analysis Process)

2.1.11.1 Definisi FRAP

FRAP (Facilitated Risk Analysis Process) was develop

as an efficient and diciplined process for ensuring that

information security-related risks to business operations are

considered and documented. (Peltier, 2005: 69)

FRAP adalah suatu pendekatan terstruktur (metodologi)

terhadap proses penentuan risiko dan dampaknya, proses

penentuan prioritas, dan proses penentuan kontrol pengamanan.

Selama sesi FRAP, tim mengidentifikasi ancaman

potensial, kerentanan dan dampak negatif pada integritas data,

kerahasiaan dan ketersediaan. Dengan menggunakan FRAP

diharapkan proses analisis risiko dapat dilakukan dalam

hitungan hari, bukan mingguan atau bulanan sehingga analisis

risiko bukan merupakan kendala, tetapi proses yang sangat

mungkin dilakukan (feasible) dan perlu (enabler).

2.1.11.2 Kebutuhan FRAP

Sebelum pembangunan FRAP, analisis risiko sering

dianggap sebagai tugas utama yang dibutuhkan perusahaan

untuk mempekerjakan konsultan luar dan dapat memakan waktu

yang panjang, di mana proses analisis risiko menggunakan


51 of 92 5/21/2014 11:47 AM


52 of 92 5/21/2014 11:47 AM

33

mempekerjakan konsultan luar, keahlian para staf dalam

perusahaan sering diabaikan dan hasil yang didapat tidak dapat

diterima oleh manajer unit bisnis.

Hasil dari proses yang lama adalah manajer bisnis yang

tidak mengerti kontrol yang diajukan, serta tidak mengerti

kontrol yang disarankan dan sering merusak proses pelaksanaan.

Yang diperlukan adalah proses analisis risiko yang dikendalikan

oleh manajer bisnis, membutuhkan waktu dalam hitungan hari,

bukan mingguan atau bulanan, biaya yang efektif serta

menggunakan in-house expert. FRAP dapat dilakukan oleh

seseorang dengan pengetahuan proses bisnis yang terbatas atau

sistem tertentu tetapi dengan keterampilan fasilitas yang baik.

FRAP adalah metodologi formal yang dikembangkan

melalui pemahaman bagaimana sebelumnya dikembangkan oleh

proses analisis risiko kualitatif dimodifikasi untuk memenuhi

kebutuhan saat ini. Didorong oleh sisi bisnis dari perusahaan

dan memastikan bahwa kontrol memungkinkan proses bisnis

utnuk memenuhi tujuan. Tidak pernah ada diskusi tentang

kontrol seperti keamanan atau persyaratan audit. FRAP berfokus

pada kebutuhan bisnis dan kurangnya waktu yang dapat

dihabiskan untuk tugas-tugas.

Dengan melibatkan unit bisnis, FRAP digunakan untuk

mengidentifikasi risiko dan ancaman. Sesekali pemilik sumber


53 of 92 5/21/2014 11:47 AM


54 of 92 5/21/2014 11:47 AM

34

kontrol biaya yang efektif untuk membantu mengatasi exposure.

FRAP memungkinkan unit-unit usaha untuk mengendalikan

sumber daya mereka. Hal ini memungkinkan mereka untuk

menentukan apa yang diperlukan untuk menjaga dan siapa yang

akan bertanggung jawab untuk melaksanakan pengamanan.

Hasil komprehensif FRAP adalah dokumen yang

mengidentifikasi ancaman, memprioritaskan ancaman-ancaman,

dan mengidentifikasi kontrol yang akan membantu mengurangi

ancaman-ancaman. Yang paling penting, dengan melibatkan

manajer bisnis, FRAP menyediakan klien atau pemilik yang

percaya pada action plan.

2.1.11.3 Komponen Utama dalam FRAP

Pendekatan FRAP (Facilitated Risk Analysis Process)

adalah bentuk pendekatan analisis risiko kualitatif yang paling

banyak digunakan saat ini. FRAP terdiri dari 3 komponen

utama, di antaranya:

1. Pre-FRAP meeting

Pre-FRAP meeting merupakan kunci sukses dalam suatu

proyek. Pada tahap ini pertemuan biasanya berlangsung

sekitar 1 – 1,5 jam dan biasanya dilakukan di kantor klien.

Ada 6 komponen utama yang muncul dari sesi ini, yaitu:

a. Pre-screening results

Pre-screening merupakan sebuah metode yang akan


55 of 92 5/21/2014 11:47 AM


56 of 92 5/21/2014 11:47 AM

35

melakukan manajemen risiko. Dalam tahapan Pre-FRAP

meeting, application owner, project leader, dan facilitator

akan mengajukan pertanyaan-pertanyaan untuk

menentukan apa saja kebutuhan-kebutuhan yang harus

dipenuhi untuk aset tertentu (sesuai dengan objek

pembahasan). Pertanyaan-pertanyaan tersebut biasanya

membahas tentang tingkat sensitivitas data atau informasi

(disclosure), atau tentang tingkat kritis sebuah sistem atau

proses bisnis (criticality). Di mana dalam menentukan

dasar dalam pengajuan pertanyaan-pertanyaan, application

owner akan memilih kategori yang hampir sesuai dengan

kualitas aset perusahaan serta kondisi perusahaan saat ini.

Kategori pertama merupakan kategori yang berhubungan

dengan tingkat disclosure, sedangkan kategori kedua

dilihat dari tingkat criticality. Setelah level pada setiap

kategori ditentukan, maka application owner akan

menyesuaikan pilihannya dengan matriks dari kategori

pre-screening dan menentukan persimpangan dari kedua

level tersebut. Dengan demikian dapat dilihat aksi-aksi apa

yang menjadi rekomendasi selama kegiatan FRAP

dilakukan, di mana aksi-aksi tersebut harus melalui

persetujuan dan perintah dari application owner terlebih

dahulu.


57 of 92 5/21/2014 11:47 AM


58 of 92 5/21/2014 11:47 AM

36

Project leader dan facilitator membuat pernyataan

mengenai peluang-peluang yang ada untuk kemudian

ditinjau. Hasilnya kemudian akan dikembangkan dalam

bentuk sebuah narasi atau pernyataan tentang apa yang

seharusnya di-review dalam proses FRAP ini.

c. Visual model

Pembuatan diagram proses (gambaran) yang merupakan

satu halaman yang berisi tentang tampilan proses yang

akan dijalankan, guna meninjau setiap proses atau tahapan

yang berjalan. Visual model digunakan selama sesi FRAP

untuk memperkenalkan pada tim mengenai di mana proses

dimulai dan berakhir.

d. Team member

Selama Pre-FRAP meeting, project leader dan facilitator

perlu mengidentifikasi siapa yang harus menjadi bagian

dari FRAP session. Jumlah peserta yang ideal adalah

antara 7-15 orang. Wakil-wakil dari bidang berikut akan

dimasukkan ke dalam proses FRAP:

1) Functional owner

2) System user

3) System administrator

4) System analysis

5) System programming


59 of 92 5/21/2014 11:47 AM


60 of 92 5/21/2014 11:47 AM

37

8) Telecommunications

9) Network administration

10) Service provider

11) Auditing (jika diperlukan)

12) Legal (jika diperlukan)

13) Human resources (jika diperlukan)

14) Labor relations (jika diperlukan)

Tidak ada aturan khusus mengenai siapa yang harus hadir,

tetapi agar proses FRAP ini berhasil, application owner

dan system user harus menjadi bagian dari FRAP.

e. Meeting mechanics

Dalam proses ini project leader memilih seseorang dari

stafnya untuk bertanggung jawab terhadap ketersediaan

ruang meeting, menentukan jadwal meeting serta

menyiapkan kebutuhan yang diperlukan untuk

menjalankan meeting.

f. Agreement of definitions

Dalam sesi pre-FRAP meeting ini dibutuhkan persetujuan

terhadap definisi FRAP. Terdapat lima definisi utama

yang perlu dipahami oleh para staf sebelum melakukan

FRAP yaitu:

1) Threat

Kejadian yang berpotensial memiliki dampak negatif


61 of 92 5/21/2014 11:47 AM


62 of 92 5/21/2014 11:47 AM

38

2) Control

Suatu ukuran yang diambil untuk mencegah,

mendeteksi, mengurangi, atau pulih dari risiko untuk

melindungi proses bisnis atau misi perusahaan.

3) Integrity

Informasi seperti yang dimaksudkan/diinginkan, tanpa

pengungkapan informasi yang tidak sah atau yang tidak

diinginkan.

4) Confidentiality

Informasi yang belum mengalami pengungkapan

informasi yang tidak sah atau yang tidak diinginkan.

5) Availability

Aplikasi, sistem, atau sumber daya informasi bisa

diakses saat diperlukan.

6) Probability

Kemungkinan dimana sebuah peristiwa akan terjadi

atau kemungkinan dimana nilai kerugian tertentu

dicapai dari kejadian suatu peristiwa.

a) High: Sangat mungkin terjadinya ancaman dalam

tahun selanjutnya.

b) Medium: Adanya kemungkinan terjadinya ancaman

dalam tahun selanjutnya.

c) Low: Sangat tidak mungkin terjadinya ancaman


63 of 92 5/21/2014 11:47 AM


64 of 92 5/21/2014 11:47 AM

39

Ukuran dari tangible dan intangible effect (akibat) oleh

kegiatan satu hal atau entitas atau pengaruh atas yang

lain.

a) High: Berdampak terhadap seluruh misi atau bisnis

perusahaan.

b) Medium: Kerugian dibatasi pada satu unit bisnis atau

tujuan.

c) Low: Bisnis seperti pada umumnya.

2. FRAP session

Tahapan FRAP session dibagi menjadi 2 tahapan, di mana

tahap pertama biasa berlangsung sekitar 4 (empat) jam yang

akan melakukan pembahasan tentang:

a. Mengidentifikasi ancaman (threat).

b. Menetapkan tingkat risiko (risk level).

c. Mendokumentasikan kontrol, di mana dalam menentukan

tingkat suatu risiko, perlu ditentukan matriks dari risiko

tersebut, dilihat dari tingkat kemungkinannya (probability)

dan pengaruhnya terhadap bisnis (impact). Dalam matriks

ini, terdapt beberapa definisi-definisi yang harus dipahami,

di antaranya adalah:

1) High probability: Tingkat kelemahan yang sangat besar

yang ada di dalam sistem atau operasional perusahaan

dan berpotensi berdampak pada proses bisnis secara


65 of 92 5/21/2014 11:47 AM


66 of 92 5/21/2014 11:47 AM

40

2) Medium probability: Ada beberapa kelemahan dan

berpotensi berdampak pada proses bisnis secara

signifikan, kontrol dapat dilakukan dan harus

ditingkatkan.

3) Low probability: Sistem sudah harus dibangun dengan

baik dan dioperasikan dengan benar. Tidak ada kontrol

tambahan yang dibutuhkan untuk mengurangi

kerentanan.

4) High impact: Cenderung menempatkan perusahaan di

luar dari bisnis atau sangat merusak prospek usaha dan

pembangunan.

5) Medium impact: Akan menyebabkan kerusakan yang

signifikan dan biaya, namun perusahaan akan bertahan.

6) Low impact: Operasional yang diharapkan mampu

dikelola sebagai bagian dari business life cycle.

Berikut merupakan Matriks Tingkat Risiko (Risk Level

Matrix) dalam menganalisis tindakan dan kontrol yang

harus diimplementasikan berdasarkan tipe tinggi atau

rendahnya dampak bisnis dan tingkat kemungkinan yang

dapat terjadi pada sistem perusahaan.


67 of 92 5/21/2014 11:47 AM


68 of 92 5/21/2014 11:47 AM

41

Medium Lo

High

Medium

Low

Gambar 2.1 Risk Level Matrix

Keterangan:

A – Tindakan korektif harus diterapkan

B – Tindakan perbaikan sebaiknya diterapkan

C – Membutuhkan pemantauan

D – Tidak ada tindakan yang diperlukan

Setelah tahapan pertama dari FRAP session ini telah selesai,

maka tim akan berlanjut melaksanakan tahapan kedua dari

FRAP session, yaitu:

a. Mengidentifikasi kontrol yang ada.

b. Menentukan kontrol terhadap risiko high-level (dalam hal

ini risiko yang memiliki prioritas A dan B), yang belum

memiliki kontrol sebelumnya.

c. Memilih departemen, kelompok, atau orang yang akan

bertanggung jawab untuk mengimplementasikan kontrol

yang baru.

A B C

B B C

C C D

Impact

High Medium Low


69 of 92 5/21/2014 11:47 AM


70 of 92 5/21/2014 11:47 AM

42

Pada tahap ini pertemuan biasanya berlangsung sekitar 10

hari dan memiliki tiga elemen, yaitu:

a. Creation on the action plan

Untuk mendapatkan laporan lengkap, project leader dan

facilitator harus membuat action plan (rencana aksi), yaitu

dengan menggabungkan risiko dari risk list dengan kontrol

dari control list, dengan tujuan mengetahui tindakan apa

yang dilaksanakan dan oleh siapa dilaksanakan, serta

status dari rencana aksi tersebut agar dapat membantu

perusahaan dalam melaksanakan penerapan kontrol yang

diusulkan.

b. Creation on the cross-reference sheet

Membuat cross-reference sheet berdasarkan tabel risiko

dan tabel kontrol untuk mengidentifikasi pengendalian

yang cocok dengan risiko yang teridentifikasi.

c. Final report

Membuat laporan akhir yang berisi hasil dari FRAP yang

telah dilakukan.

2.1.11.4 Tahapan FRAP

1. Pre-FRAP meeting

a. Menjelaskan mengenai proses FRAP dan komponen

sistem yang akan dianalisis.

b. Menentukan ruang lingkup.


71 of 92 5/21/2014 11:47 AM


72 of 92 5/21/2014 11:47 AM

43

d. Menentukan anggota tim yang akan ikut serta dalam

proses FRAP.

e. Menentukan waktu, ruang, dan berbagai kebutuhan

lainnya yang dibutuhkan selama meeting berlangsung.

f. Persetujuan terhadap definisi.

2. FRAP session

a. Perkenalan anggota FRAP.

b. Overview pernyataan ruang lingkup dan persetujuan

definisi.

c. Proses brainstorming dilakukan dengan memberi

kesempatan kepada tiap anggota tim untuk menulis risiko

yang mungkin dari sistem yang didiskusikan pada

selembar kertas kecil. Setelah 3 sampai 5 menit, facilitator

akan mengumpulkan kertas tersebut dan proses tersebut

diulang sampai tidak ada risiko yang dapat teridentifikasi

lagi.

d. Kemudian facilitator akan menyortir dan mengumpulkan

risiko yang serupa serta menempelkan pada papan.

Sementara anggota tim lainnya diberi kesempatan untuk

break selama 10-15 menit.

e. Proses dilanjutkan dengan menentukan tingkat risiko yang

telah diidentifikasi berdasarkan kriteria dan juga definisi

yang telah disepakati pada sesi pre-FRAP meeting.


73 of 92 5/21/2014 11:47 AM


74 of 92 5/21/2014 11:47 AM

44

dapat seperti pada cara penentuan risiko atau dengan cara

memberikan daftar kontrol pengamanan yang biasa

digunakan dalam sistem yang sejenis dan meminta tim

untuk memilih kontrol pengamanan yang cocok serta

menentukan orang yang berhak atau wajib melakukan

kontrol tersebut.

3. Post-FRAP

a. Project leader dan facilitator akan melihat kontrol mana

saja yang sudah diterapkan pada risiko yang ada.

b. Project leader dan facilitator akan bertemu dengan

manajer bisnis untuk meninjau ulang dan mengidentifikasi

kontrol apa saja yang dapat digunakan untuk mengatasi

risiko-risiko yang masih terbuka.

c. Membuat action plan untuk risiko-risiko yang masih

terbuka dan risiko-risiko yang akan diimplementasikan

kontrolnya. Project leader, facilitator, dan manajer bisnis

menentukan kontrol apa saja yang paling efektif dan

menentukan pihak mana saja yang akan

mengimplementasikan kontrol tersebut beserta dengan

tanggal pelaksanaannya.

d. Membuat cross-reference sheet yang berisikan masing-

masing kontrol dan risiko-risiko apa saja yang dapat

berkurang sebagai akibat dari pelaksanaan kontrol


75 of 92 5/21/2014 11:47 AM


76 of 92 5/21/2014 11:47 AM

45

e. Setelah risiko tersebut telah dikontrol atau ternyata bisnis

manajer telah mengidentifikasikan bahwa risiko tersebut

dapat diterima maka final report akan dibuat.

2.2 Teori-teori Khusus

2.2.1 Definisi Ruang Server

Ruang server adalah suatu jenis ruang yang berisi instalasi

komputer server, baik tunggal maupun jaringan, atau tempat perangkat

utama komputer server diletakkan. (Rahardjo, Yuhana, & Shiddiqi, 2011:

1)

Server room adalah sebuah ruangan yang digunakan untuk

menyimpan server (aplikasi dan database), perangkat jaringan (router,

hub, dan lain-lain), dan perangkat lainnya yang terkait dengan

operasional sistem sehari-hari, seperti UPS, AC, dan lain-lain. (Alatas,

2011: 3)

Ruang server merupakan fasilitas yang digunakan untuk

menempatkan beberapa server atau sistem komputer dan sistem

penyimpanan data (storage) yang dikondisikan dengan pengaturan daya

dan udara, pencegahan bahaya kebakaran, dan biasanya dilengkapi pula

dengan sistem keamanan fisik. (Kementerian Perhubungan Republik

Indonesia, 2011: 5)

2.2.2 Fungsi Ruang Server

Ruang server berfungsi sebagai sistem pengelolaan data, mulai


77 of 92 5/21/2014 11:47 AM


78 of 92 5/21/2014 11:47 AM

46

keputusan (decision support system). (Kementerian Perhubungan

Republik Indonesia, 2011: 5)

2.2.3 Perancangan Ruang Server yang Ideal

Kriteria perancangan sebuah ruang server secara umum antara

lain adalah:

1. Availability

Ruang server diciptakan untuk mampu memberikan operasi yang

berkelanjutan dan terus-menerus bagi suatu perusahaan baik dalam

keadaan normal maupun dalam keadaan terjadinya suatu kerusakan

yang berarti atau tidak. Ruang server harus dibuat sebisa mungkin

mendekati zero-failure untuk seluruh komponennya.

2. Scalability dan flexibility

Ruang server harus mampu beradaptasi dengan pertumbuhan

kebutuhan yang cepat atau ketika adanya service baru yang harus

disediakan oleh ruang server tanpa melakukan perubahan yang cukup

berarti bagi ruang server secara keseluruhan.

3. Security

Ruang server menyimpan berbagai aset perusahaan yang berharga,

oleh karenanya sistem keamanan dibuat seketat mungkin, baik

pengamanan secara fisik maupun pengamanan non-fisik. Terdapat dua

jenis pengaturan, yakni:

a. Physical security control

1) Lokasi


79 of 92 5/21/2014 11:47 AM


80 of 92 5/21/2014 11:47 AM

47

Memenuhi syarat sipil bangunan, geologi, vulkanologi,

topografi, memiliki DRC (Disaster Recovery Center) > 40 km

dari ruang server utama.

2) Sarana penunjang

Memiliki pengatur udara (heating, ventilation, dan air

conditioner), UPS (uninterruptible power supply) dan genset,

sistem komunikasi untuk koordinasi. Access control (PIN /

finger scan), closed room, log book.

b. Environment control

Fire protection, leakage protection, raised floor, electrical fault

protection. (Kementerian Perhubungan Republik Indonesia, 2011:

5)

2.2.4 Standar Ruang Server

Standar ruang server adalah sebagai berikut.

1. Spesifikasi ruangan

Dinding, atap, dan pintu sebaiknya kedap suara terhadap ruangan

sekitar.

Pintu sebaiknya memiliki lebar 1 – 1,2 meter dan tinggi 2,4 meter.

Disarankan menggunakan lantai anti static untuk raised floor.

Ruangan tidak boleh ada jendela (untuk alasan keamanan, suara,

dan lingkungan sekitar).

Ruangan tidak boleh dilalui oleh jalur / pipa air.

2. Equipment


81 of 92 5/21/2014 11:47 AM


82 of 92 5/21/2014 11:47 AM

48

Rak komputer harus memiliki jarak yang cukup (tidak kurang dari

1,2 meter depan dan 90 cm belakang). Ruangan sebaiknya

memiliki jarak minimum 1,5 meter dari plafon.

Ruangan harus memiliki paling tidak 1 buah telepon.

3. Pencegahan kebakaran

Ruangan sebaiknya dilengkapi dengan pemadam api (pre-action

system sangat disarankan).

Bahaya kebakaran dapat berkurang apabila cabling dan cooling

system berada di tempat yang sama, yaitu di atas atau di bawah

lantai.

4. Pendingin

Pendingin ruangan melalui bawah lantai lebih disukai, walau

demikian pendingin dari atas masih dapat diterima.

Apabila melalui bawah lantai, ketinggian minimum 60 cm dan

raised floor harus didesain agar dapat mengakomodasi berat dari

server rack dan equipment yang ada atau yang akan ditempatkan.

5. Sistem mekanikal

a. Air conditioner (AC)

Alat pendingin ruangan dan kelembaban harus berdiri sendiri

(tidak menjadi satu dengan pendingin gedung) dengan perkiraan

temperatur dan kelembaban sekitar 20o

(+ 2o) C dan 45% (+

5%).

Jarak antara AC dengan rak atau peralatan lain minimum 1,2


83 of 92 5/21/2014 11:47 AM


84 of 92 5/21/2014 11:47 AM

49

b. Alat pengukur suhu dan kelembaban

Suhu dan kelembaban pada ruang server yaitu 18 o-20o C atau

sekitar 40%.

c. Rencana jangka panjang

Ruangan harus didesain untuk dapat mengeluarkan proses

kondensasi.

Redundan cooling system dapat dipertimbangkan dan dipasang

jika memungkinkan.

Kemungkinan pengembangan jangka panjang sebaiknya

dipertimbangkan dan didesain seiring dengan spesifikasi elektrik

dan mekanik.

Dalam fase desain dan operasional, administrator sebaiknya

menghitung “thermal buffer” dari ruangan, sehingga ketika

terjadi kegagalan cooling system sebagian atau seluruhnya,

ruangan masih dapat terakomodasi.

Administrator diharapkan dapat menggunakan automatic

software and hardware shutdown berdasarkan kondisi yang

terjadi di ruang server, misalnya temperatur, alarm kebakaran,

sensor air, dan sebagainya.

6. Sistem listrik

a. Kapasitas dan kualitas

Ruang server harus memiliki power panel tersendiri dan

terpisah antara peralatan komputer dan AC. Mechanical dan


85 of 92 5/21/2014 11:47 AM


86 of 92 5/21/2014 11:47 AM

50

Membentuk power supply yang berkualitas harus

dipertimbangkan untuk digunakan oleh transformer, UPS, dan

sistem pendingin lain.

Power distribution unit (PDU) layout sangat disarankan, dengan

power monitor dan UPS support berdasarkan rack basis.

Sistem listrik harus didesain dengan memberikan isolated

ground, dedicated neutral, dan grounding grid.

b. Emergency planning

Emergency / backup power harus tersedia dan tidak terikat

dengan gedung power system. Departemen harus menyiapkan

power supply cadangan (misalnya UPS atau genset), bila perlu.

Sistem listrik ruang server harus dengan mudah dilakukan

pemutusan untuk emergency shutdown.

7. Alarm dan security

a. Alarm system

Critical alarm yang berhubungan dengan fungsi AC dan

lingkungan ruang server secara fisik harus dimasukkan ke dalam

fasilitas gedung.

Departemen terkait juga harus memberikan monitoring dan

alarm terpisah apabila diperlukan, supaya dapat memberikan

pemberitahuan kejadian critical di dalam ruang server.

Ruang server harus memiliki sensor air yang terhubung dengan

alarm ke gedung dan departemen terkait.


87 of 92 5/21/2014 11:47 AM


88 of 92 5/21/2014 11:47 AM

51

Semua jalan masuk ke dalam ruang server harus dalam

keadaan aman, termonitor, dan menggunakan alarm apabila

diperlukan. (Inspire IT Solution & Consultant, 2011: 1)

2.2.5 Hak Akses Ruang Server

Ruang server merupakan ruang yang digunakan untuk

menempatkan sistem komputer dan komponen-komponen terkaitnya,

seperti sistem telekomunikasi dan penyimpanan data. Fasilitas ini

biasanya mencakup juga satu daya redundan atau cadangan, koneksi

komunikasi data redundan, pengontrol lingkungan (misalnya AC,

ventilasi), pencegah bahaya kebakaran, serta piranti keamanan fisik,

sehingga hak akses user pun menjadi terbatas, hanya user yang

berwenang dapat mengakses ruang server. User yang akan masuk ke

dalam ruang server diperkenankan untuk membuka alas kaki dikarenakan

ruangan tersebut tidak boleh kotor, dilarang membawa makanan, dan

dilarang merokok. (Kementerian Perhubungan Republik Indonesia, 2011:

11)

2.2.6 Kebijakan Keamanan Ruang Server

Keamanan fisik dalam ruang server tidak terlepas dari kebijakan

keamanan yang diterapkan di sebuah ruang server. Prosedur dan

kebijakan yang diterapkan harus dapat berhasil dengan efektif. Namun,

kebijakan dan prosedur yang diterapkan sangat terkait sumber daya

manusia yang akan melakukan kebijakan. Secara umum kebijakan

keamanan menyangkut pengaturan terhadap sistem, pengaturan hak akses


89 of 92 5/21/2014 11:47 AM


90 of 92 5/21/2014 11:47 AM

52

akses fisik dan lainnya. Memberikan pelatihan kepada staf tentang

pentingnya mematuhi dan menjalankan prosedur serta kebijakan yang

berlaku merupakan sebuah cara yang dapat dilakukan agar kebijakan

keamanan dapat mencapai tujuannya. (Isa, 2008: 55)


91 of 92 5/21/2014 11:47 AM


92 of 92 5/21/2014 11:47 AM

2012100190 Ka Bab 2001

Documents

Transcript of 2012100190 Ka Bab 2001