2.1 Pengertian Teknologi Informasithesis.binus.ac.id/Asli/Bab2/2009-2-00693-KA Bab 2.pdf ·...
Transcript of 2.1 Pengertian Teknologi Informasithesis.binus.ac.id/Asli/Bab2/2009-2-00693-KA Bab 2.pdf ·...
8
BAB 2
Landasan Teori
2.1 Pengertian Teknologi Informasi
Menurut Alter (1999, p42), teknologi informasi merupakan perangkat keras
(hardware) dan perangkat lunak (software) yang digunakan oleh sistem
informasi. Hardware merupakan sekumpulan peralatan fisik yang terlibat dalam
proses informasi, seperti komputer, workstation, peralatan jaringan, tempat
penyimpanan data (data storage), dan peralatan transmisi (transmission devices).
Sedangkan software merupakan program komputer yang menginterpretasikan
masukan (input) oleh user dan memberitahukan kepada komputer tentang apa
yang harus dilakukan.
Menurut Ward dan Peppard (2002, p3), teknologi informasi secara khusus
ditujukan untuk teknologi, khususnya hardware, software dan jaringan
telekomunikasi. Teknologi informasi memfasilitasi perolehan, pemrosesan,
penyimpanan, pengiriman dan pembagian informasi dan isi digital lainnya.
Menurut Indrajit (2001, p2), teknologi informasi adalah suatu teknologi yang
berhubungan dengan pengolahan data menjadi informasi dan proses penyaluran
data atau informasi dalam batas-batas ruang dan waktu.
Menurut O’ Brien (2003, p7), teknologi informasi adalah seperangkat hardware,
software, telekomunikasi, manajemen basis data dan teknologi pemrosesan
9
informasi yang digunakan berdasarkan CBIS (Control Based Information
Sistem).
Teknologi Informasi pada dasarnya merupakan perpaduan perangkat keras
(Hardware) dan perangkat lunak (Software) yang digunakan oleh sistem
informasi. Perangkat keras itu sendiri merupakan sekumpulan peralatan fisik
yang terlibat dalam informasi seperti komputer, Printer, peralatan jaringan,
tempat penyimpanan data (data storage) dan peralatan transmisi (transmission
device).
Perangkat lunak merupakan program komputer yang menginterprestasikan
masukan (input) oleh user dan memberikan kepada komputer tentang apa yang
harus dilakukan. Tujuan teknologi informasi adalah memecahkan masalah,
membuka kreatifitas dan membuat orang menjadi lebih efektif dari pada jika
mereka tidak menggunakan teknologi informasi dalam pekerjaannya.
Menurut Benson et al. (2004, p187-192), teknologi informasi telah dan masih
menjadi alat pendukung utama atas berjalannya organisasi. Tujuan dan
kriterianya untuk menuju kesuksesan telah diwujudkan pada kemampuan
bereaksi atas kebutuhan aplikasi bisnis, kemampuan infrastruktur dan pelayanan
pendukung. Dengan teknologi informasi, organisasi dapat menciptakan dan
membedakan produk, pasar dan konsumen yang potensial.
Teknologi Informasi (TI) memiliki tiga komponen utama yang mempunyai
hubungan yang sangat erat. Ketiga komponen utama tersebut yaitu :
10
1. Komputer
Terdiri dari perangkat keras dan piranti lunak.
Perangkat keras, umumnya terdiri dari :
a. Perangkat masukan, seperti keyboard, mouse, digitzpen, scanner,
dan lain–lain.
b. Perangkat proses atau CPU (Central Processing Unit).
c. Perangkat keluaran, seperti monitor dan printer.
Perangkat lunak seperti aplikasi–aplikasi perangkat lunak dan bahasa
pemrograman.
2. Jaringan komunikasi
Suatu hubungan antara lokasi stasiun yang berbeda melalui suatu media yang
dapat memungkinkan manusia untuk saling mengirim dan menerima
informasi.
3. Pengetahuan
Kemampuan untuk melakukan sesuatu yang baik dan meliputi:
a. Mengenal dengan baik elemen – elemen teknologi informasi.
b. Kemampuan yang dibutuhkan untuk menggunakan elemen–
elemen tersebut.
c. Memahami waktu penggunaan teknologi informasi untuk
memecahkan masalah.
11
2.2 Pengembangan Teknologi Informasi dengan Praktek Innovation
Oleh karena itu, kegiatan innovation merupakan salah satu kegiatan terpenting
yang harus dilakukan oleh organisasi, terutama di bidang teknologi informasi.
Innovation terdiri dari empat komponen, yaitu :
a. Business and Technology monitoring (pemantauan bisnis dan teknologi):
meninjau kembali manajemen bisnis dan TI dari faktor perubahan bisnis
dan teknologi yang akan memberikan pengaruh bisnis (apa saja
perubahan yang mempengaruhi organisasi? ).
b. Innovation Visioning (visi inovasi): mengembangkan alternative visi atau
arah bagi organisasi, merespon perubahan bisnis dan TI serta
memperoleh kesepakatan atas alternatif visi (“Apa yang akan kita
lakukan?”).
c. Business Context and Choices (konteks dan pilihan bisnis): memberikan
pilihan mengenai visi atau arah bagi organisasi yang menjelaskan
bagaimana bisnis dapat berfungsi (“Apa yang harus kita lakukan?”).
d. Actionable Innovation (Innovasi yang dapat ditindaklanjuti): membentuk
skenario dan prototipe perencanaan aksi untuk innovation yang
menciptakan outline perencanaan yang dapat dilakukan. (“Apa yang akan
kita lakukan?”).
12
2.3 Risiko
2.3.1 Pengertian Risiko
Menurut Peltier (2001, p21), risiko adalah seseorang atau sesuatu yang membuat
atau menyarankan sebuah bahaya.
Menurut Djojosoerdarso (2003, p2), istilah risiko sudah bisa dipakai dalam
kehidupan kita sehari-hari, yang umumnya sudah dipahami secara institutif.
Tetapi pengertian secara ilmiah dari risiko sampai saat ini masih tetap beragam,
antara lain :
1. Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama
periode tertentu.
2. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan
peristiwa kerugian (loss).
3. Risiko adalah ketidakpastian atas terjadinya suatu peristiwa.
4. Risiko merupakan penyebaran/penyimpangan hasil aktual dari hasil yang
diharapkan.
5. Risiko adalah probabilitas sesuatu hasil/outcome yang berbeda dengan yang
diharapkan.
2.3.2 Analisa Risiko
Menurut Peltier (2001, p21), analisis risiko adalah proses mengidentifikasi asset
dan ancaman, memprioritaskan ancaman-ancaman dan mengidentifikasi
penanganan yang tepat.
13
Proses analisa risiko terbagi menjadi 2 kategori yaitu:
a. Analisa risiko kualitatif adalah teknik yang digunakan untuk menemukan
tingkat perlindungan yang disyaratkan untuk aplikasi sistem, fasilitas,
ataupun asset organisasi lainnya.
b. Analisa risiko kuantitatif mengusahakan untuk menentukan nilai-nilai
numerik secara objektif pada komponen analisa risiko dan tingkat kerugian
potensial.
2.4 Pengertian Manajemen Risiko
Menurut Peltier (2001, p224), manajemen risiko merupakan proses
mengidentifikasi risiko, pengukuran pengurangan risiko, efek dari implementasi
keputusan yang berkaitan dengan penerimaan, pencegahan dan penerimaan risiko
Menurut William dan Dorofee (2003, preface) pengertian dari teknik manajemen
risiko adalah teknik yang difokuskan pada risiko penting yang dapat
mempengaruhi tujuan proyek.
Menurut Horcher, (2005, 27) “Risk management is a process to deal with the
uncertainties of risk.” Management risiko adalah sebuah proses yang
berhubungan dengan risiko yang tidak pasti.
Sebuah pendekatan kelemahan risiko dapat membantu orang mengerti
bagaimana keamanan informasi berdampak terhadap misi organisasi mereka dan
tujuan bisnis, serta menetapkan pemilihan asset yang dianggap penting dalam
organisasi dan bagaimana keadaan risiko mereka.
14
2.5 Risiko Keamanan Informasi
Sebuah risiko keamanan informasi dipecahkan dalam 4 komponen besar: Asset,
ancaman, Kerentanan dan dampak. Sebuah evaluasi risiko keamanan harus
dicatat dan semua komponen ini. OCTAVE adalah evaluasi pendekatan
penggerak asset, penyusunan risiko organisasi.
Menurut Fites 89 (2003, Section 1.3), evaluasi aktivitas adalah efisien dari
mengurangi angka ancaman dan risiko yang harus kita pertimbangkan selama
evaluasi.
OCTAVE memerlukan tim analisis untuk mengidentifikasi informasi yang
berhubungan dengan asset (cth: informasi, sistem) yang penting untuk organisasi
dan fokus pada analisis risiko aktivitas dalam beberapa asset yang dinilai bisa
menjadi paling penting dalam organisasi.
Ada 4 pendekatan dalam risiko keamanan informasi
1. Vulnerability Assesment (Pendekatan Kelemahan)
Pendekatan Kelemahan adalah sistematika, pemeriksaan secara langsung
dari basis teknologi, kebijakan dan peraturan dari sebuah organisasi.
Termasuk analisis lengkap dari keamanan lingkungan komputerisasi
internal dan kelemahan dari serangan internal dan eksternal.
Dorongan kelemahan teknologi ini secara umum :
a. Menggunakan standar dari aktivitas keamanan teknologi
informasi yang spesifik (seperti berbagai jenis platform
yang berbeda).
15
b. Kelemahan dari seluruh infrastruktur komputerisasi
c. Menggunakan peralatan perangkat lunak untuk menganalisa
infrastruktur dan semua komponennya
d. Menyediakan analisis secara lengkap untuk menunjukkan
kelemahan teknologi yang terdeteksi dan rekomendasi
langkah yang spesifik untuk mengatasi kelemahan-
kelemahan itu.
2. Audit Sistem Informasi
Audit Sistem Informasi adalah penilaian secara independen dari
pengaturan internal organisasi untuk menjamin pengelolaan, pengaturan
kewenangan, dan pembagian saham organisasi yang menyediakan
informasi yang akurat dan sah. Audit secara tipikal berpengaruh pada
contoh proses industri yang spesifik, tanda untuk menentukan tingginya
letak suatu daerah, standar dari perawatan dan pengadaan dari latihan
yang terbaik.
Mereka melihat dari sisi keuangan dan kinerja operasional. Audit
juga berdasar dari pengaturan risiko proses bisnis yang berkaitan dan
metode alat dan analisis. Audit dijalankan oleh auditor yang mempunyai
ijin atau sertifikasi dan mempunyai pengertian yang sah dan kemampuan.
Selama audit, catatan bisnis dari organisasi ditinjau untuk akurasi dan
keutuhannya.
16
3. Evaluasi Risiko Keamanan Informasi
Evaluasi risiko keamanan berkembang sesuai pendekatan
kelemahan untuk melihat dari risiko keamanan yang berkaitan dengan
sebuah organisasi, termasuk sumber risiko internal dan eksternal yang
berdasar elektronik dan risiko berdasar sumber daya manusia. Evaluasi
beraneka segi yang berkeinginan untuk meluruskan evaluasi risiko
dengan tujuan dari organisasi dan biasanya berfokus kepada empat aspek
dari keamanan :
a. Memeriksa kegiatan organisasi yang terkait pada keamanan untuk
mengidentifikasi kekuatan dan kelemahan yang dapat
menciptakan atau mengurangi risiko keamanan.
b. Prosedur ini termasuk analisis perbandingan yang membagi
informasi berdasarkan standar industri dan latihan terbaik dengan
memasukkan pemeriksaan teknologi dari sistem, ringkasan dari
kebijakan, dan inspeksi dari keamanan fisikal.
Memeriksa infrastruktur IT untuk mengidentifikasi kemampuan teknologi
yang lemah. Kelemahan seperti itu termasuk kerentanan dari situasi berikut:
a. Pengenalan dari kode yang berbahaya
b. Korupsi atau penghancuran data
c. Penyaringan dari informasi
d. Penolakan jasa
e. Perubahan tidak sah dari hak akses dan hak istimewa
17
f. Membantu pembuat keputusan untuk memeriksa penukaran
dengan memilih tindakan balasan untuk mengefektifkan biaya.
Menurut William dan Dorofee (2003, preface) ada 2 hal penting dalam
evaluasi kelemahan:
Hal penting pertama adalah evaluasi kelemahan dapat dipertunjukkan dalam
sebuah isi di dalam risiko informasi. Karena keamanan risiko informasi
mereka adalah sebuah misi organisasi dan tujuan bisnis, menjadi lebih
mendekati untuk mengikutsertakan staff bisnis sebagai tambahan untuk
pekerja teknologi informasi dalam sebuah evaluasi.
Hal penting kedua adalah observasi dari evaluasi kelemahan kita dalam
kegiatan sehari-hari dalam penempatan tingkatan dari keterlibatan dan
beberapa urutan kepemilikan atas hasil. Karena evaluasi kelemahan sangat
bergantung pada juru taksir yang ahli, letak keterlibatan personalia dalam
proses personalia dalam proses partisipasi sangat kecil.
4. Pengendalian Penyedia Jasa
Pengendalian penyedia jasa keamanan tergantung kepada keahlian
manusia untuk mengelola sebuah sistem organisasi dan jaringan-
jaringannya. Mereka sendiri yang mengamankan atau menggunakan
penjual perangkat lunak keamanan dari pihak lain dan peralatan yang
dapat melindungi sebuah infrastruktur.
18
Umumnya sebuah pengendalian penyedia jasa akan secara pro aktif
memantau dan melindungi sebuah infrastruktur komputer organisasi dari
serangan dan penyalahgunaan.
Solusi pemeliharaan harus diseragamkan untuk setiap klien yang unik
dan persyaratan bisnis pemilik teknologi. Mereka bisa secara aktif merespon
kepada perintah atau kejadian yang pernah dialami oleh mereka. Beberapa
pekerja otomatis, pembelajaran dan analisis berbasis komputer, perjanjian
mengurangi waktu respon dan meningkatkan akurasi.
2.6 Mitigasi Risiko
Tahap ini merupakan sebuah fase dimana sebuah organisasi mencoba untuk
mengurangi risiko, maksud dari proses ini adalah untuk mengurangi
kemungkinan dari risiko yang akan terjadi dan membatasi kemungkinan kerugian
organisasi melawan risiko yang telah dikenali. Dari pengetahuan yang telah
penulis pelajari sebelumnya seperti daftar dari risiko dan acuan risiko, penulis
bisa memulai perencanaan cara mengurangi risiko yang merupakan hasil dari
rencana pengurangan risiko.
Menurut Lembaga Management Risiko (2006 : 10), menetapkan pengurangan
risiko akan menjadi kecil dari :
a. Keberhasilan dan kegunaan operasi organisasi.
b. Proses analisa risiko keberhasilan dan kegunaan operasi dari organisasi
telah diketahui risikonya yang membutuhkan perhatian dari management.
19
Mereka akan butuh mengutamakan tindakan pengendalian risiko di
pelatihan dari kemampuan mereka untuk keuntungan organisasi.
c. Keberhasilan pengendalian internal.
d. Keefektifan dari pengendalian internal adalah yang merupakan tingkatan,
risiko salah satu dari menghapus atau mengurangi dari usulan langkah
pengendalian.
Berikut ini adalah acuan dalam mengurangi risiko:
1. Menerima risiko atau menahan risiko (Retain Risk).
Organisasi memutuskan untuk melanjutkan kegiatan seperti biasa dengan
persetujuan umum untuk menerima sifat risiko yang terdiri dari:
a. Analisa biaya dan keuntungan.
b. Alokasi yang besar.
2. Mengalihkan risiko (Transferring Risk).
Organisasi memutuskan untuk mengalihkan risiko dari (contoh) satu unit
bisnis kepada lainnya atau dari satu area bisnis ke kelompok ketiga.
Contoh
a. Asuransi
b. Menggunakan pengendalian (pembendungan, meneruskan, kedepannya,
dll)
20
3. Menghindari risiko (Avoiding Risk).
Organisasi memutuskan untuk menghindari atau mencegah risiko dengan
tidak mengerjakan proyek atau melakukan beberapa aktivitas bisnis yang
mempunyai kemungkinan risiko yang besar jika mereka melakukan itu.
Risiko yang bisa dihindari adalah risiko yang mempunyai :
a. Tujuan yang tidak sama dengan visi organisasi.
b. Mempunyai kerugian keuangan, sosial dan strategi yang besar untuk
organisasi.
c. Tidak ada peraturan perlindungan proyek.
d. Dampak yang melebihi batas.
4. Mengendalikan risiko (Controlling Risk).
Organisasi bisa mengendalikan sumber dan mencoba untuk
mengurangi risiko sebelum risiko itu terjadi.
a. Mencegah risiko muncul dengan memperkecil sumber risiko.
b. Memperkecil kerugian jika risiko tidak bisa dicegah.
c. Penggolongan dari kegiatan bisnis untuk membatasi jangkauan risiko.
21
Gambar 2.6 – Risk Mitigation
Ernst & Young, 2005.
diperoleh dari dosen manajemen risiko
2.7 Pengenalan Risiko
Pengenalan risiko adalah suatu upaya organisasi untuk mengenal setiap
risiko yang mungkin terjadi dengan cara menjalankan rencana dan cara kerja
secara subjektif.
Pengenalan risiko akan membantu memastikan semua kegiatan dalam
organisasi yang termasuk dalam cara pengenalan risiko. Semua perubahan
kegiatan ini akan dikenali dan digolongkan bila ada perubahan yang terjadi.
Definisi oleh Lembaga Risk Management (2006 : 5) akan diperiksa
dengan melakukan pengenalan risiko :
22
a. Rencana – Sasaran rencana jangka panjang dari organisasi. Mereka bisa
pura-pura seperti area yang luas tersedia, yang berkuasa dan risiko
politik, hukum dan perubahan aturan, reputasi dan perubahan fisik
lingkungan.
b. Cara kerja – memfokuskan hari ke hari persoalan organisasi, dan
menghadapi dengan sekuat tenaga untuk menyampaikan sasaran rencana.
c. Keuangan – memperhatikan keberhasilan management dan
mengendalikan keuangan dari organisasi dan keberhasilan faktor
eksternal seperti ketersediaan kredit dan kurs luar negeri, memperhatikan
pergerakan suku bunga dan pendapatan pasar lain.
d. Pengetahuan management – memperhatikan keberhasilan management
dan pengendalian dari pengetahuan sumber penghasilan, produksi
perlindungan dan komunikasinya.
e. Pemenuhan – memperhatikan pada persoalan kesehatan dan keamanan,
lingkungan, gambaran perdagangan, perlindungan pengguna,
perlindungan data, latihan pekerjaan dan pengaturan permasalahan.
23
Hal ini berisikan masukan untuk seorang manajer risiko untuk mengenal risiko
organisasinya. Keluaran dari cara pengenalan risiko adalah daftar dari risiko
(tabel risiko) seperti dibawah ini.
Daftar Risiko
Organisasi
Tanggal dari pengenalan
Fungsi bisnis/ proyek
No Tipe Risiko Risiko Level risiko
Tabel 2.7 Daftar dari Tabel Risiko
Daftar risiko ini dapat dikembangkan dengan melakukan beberapa pengaturan
kuantitatif seperti kuisioner atau menggunakan analisa. Metode kuantitatif
dilakukan dengan menyebarkan kuisioner tentang kemungkinan terjadinya risiko
kepada karyawan organisasi, setelah itu manajer risiko mengisi hasilnya pada
daftar risiko. Metode lainnya adalah menggunakan metode analisa. Manajer
risiko menganggap suatu kejadian yang terjadi diorganisasi dan menganalisa
dampak kerugian yang mungkin akan diderita oleh organisasi.
24
2.8 Pengukuran Risiko
Cara kedua dalam management risiko adalah proses pengukuran risiko.
Pengukuran risiko mempunyai tujuan untuk mengevaluasi dampak,
kemungkinan, kerangka waktu, penggolongan dan prioritas risiko dari
management. Perkiraan risiko bisa menjadi kuantitatif, semi kuantitatif atau
kualitatif di syarat-syarat dari kemungkinan dari kejadian dan kemungkinan
akibat. Pada kasus ini, penulis menggunakan metode kualitatif. Berikut
merupakan langkah – langkah Analisis Risiko Kualitatif yang dipaparkan oleh
Thomas R.Peltier :
1. Pengembangan Pernyataan Lingkup Analisis
Lingkup pernyataan ditujukan pada keseluruhan tujuan analisis, untuk
keamanan informasi, tujuan – tujuan tersebut akan berdampak pada ancaman
terhadap integritas, kerahasiaan, dan ketersediaan dari informasi yang sedang
diproses oleh aplikasi atau system spesifik.
Saat melaksanakan analisis risiko, membutuhkan untuk fokus pada
bagaimana ancaman – ancaman tersebut berdampak pada tujuan bisnis atau
misi organisasi, dan bukan pada bagaimana ancaman – ancaman tersebut
berdampak pada tujuan keamanan.
25
2. Pembentukan tim yang kompeten
Tim harus mempunyai personil yang kompeten dan berkualifikasi. Agar
efektif, proses analisis risiko harus mencakup setidaknya beberapa area
dibawah ini :
a. Pemilik fungsional
b. Pengguna sistem
c. Analisis sistem
d. Kelompok pemrograman sistem
e. Kelompok pemrograman aplikasi
f. Administrator basis data
g. Keamanan fisik
h. Keamanan informasi
i. Manajemen Operasi Pemrosesan
j. Kelompok jaringan komunikasi
k. Legal ( jika dibutuhkan )
l. Auditing ( jika dibutuhkan )
3. Mengidentifikasi Ancaman – ancaman
Evaluasi dampak risiko pada organisasi akan dilakukan dengan
membagi-bagi risiko kedalam 3 golongan dari high, medium dan low.
26
Pembatasan Dampak Risiko
Dampak risiko Batasan
High Risiko pada klasifikasi ini dapat menimbulkan dampak terhadap
kinerja atau operasi bisnis yang sangat besar pada organisasi
untuk dapat terus mengembangkan potensi – potensi dalam
organisasi itu sendiri.
Medium Risiko pada klasifikasi ini biasanya sering terjadi dengan
kerugian yang masih dalam toleransi yang ditetapkan. Namun
risiko pada klasifikasi ini akan sangat mengganggu kinerja
organisasi bila dilihat dari besar kerugian dan frekuensi
kejadiannya.
Low Risiko pada klasifikasi ini dinilai tidak membawa dampak
terhadap kinerja organisasi dan dapat diperbaiki. Frekuensinya
kejadian risiko pada klasifikasi ini sangat jarang terjadi.
Tabel 2.8 – Tabel yang Berisi Dampak Risiko
Standar ukuran dari pembatasan tergantung pada keperluan organisasi, skala
bisnis dan kondisi, pembatasan yang berbeda akan disesuaikan untuk
organisasi yang berbeda.
Ukuran kemungkinan risiko bisa dilakukan menurut pembagian risiko
kedalam golongan dari kemungkinan tinggi (besar), kemungkinan sedang
(menengah), kemungkinan rendah (kecil).
27
2.9 Framework - Framework Manajemen Risiko Teknologi Informasi
Ada beberapa dalam penerapan manajemen resiko teknologi Informasi terdiri dari :
a. The Operationally Critical Threat, Asset and Vulnerability Evaluation
(OCTAVE) memungkinkan sebuah organisasi untuk memudahkan
pemilihan dalam web kompleks dari segi masalah organisasi dan
teknologi untuk memahami dan mengalamatkan risiko keamanan untuk
evaluasi risiko keamanan informasi. OCTAVE-S ini terdiri dari: tahap
identifikasi, tahap analisa, tahap perencanaan dan tahap implementasi,
tahap monitoring dan tahap kontrol.
b. OCTAVE-S merupakan variasi pendekatan yang lebih terbatas dan unik
di dalam suatu organisasi yang mempunyai ruang lingkup lebih kecil dan
merupakan suatu metode pecahan digunakan untuk perusahaan dengan
skala yang tergolong kecil, dimana karyawannya terdiri kurang dari 100
orang dan terdiri dari tiga tahap yaitu:
1. Tahap 1 : Build Asset-Based Threat Profiles (membuat riwayat
ancaman yang terkait dengan asset)
2. Tahap 2 : Identify Infrastructure Vulnerabilities (identifikasi
kerawanan infrastruktur)
3. Tahap 3 : Develop Security Strategy and Plans (mengembangkan
strategi dan rencana keamanan).
28
c. COBIT (Control Objectives for Information and Related Technology)
Terdapat tujuh kriteria informasi dari COBIT yaitu:
1. Effectiveness.
2. Efficiency.
3. Confidentiality.
4. Integrity.
5. Availability.
6. Compliance.
7. Reliability.
d. NIST (National Institute of Standard and Technology) mengeluarkan
rekomendasi melalui publikasi khusus 800-30. Dengan menerima resiko
(risk assumption), mencegah terjadinya resiko (risk avoidance),
membatasi level resiko (risk limitation), atau mentransfer resiko (risk
transference), terdiri dari 3 proses yaitu:
1. Proses Pengurangan Risiko (Risk Mitigation).
2. Proses Penilaian Risiko (Risk Assessment).
3. Proses Evaluasi Risiko (Risk Evaluation)
29
2.9.1 Framework OCTAVE
Gambar 2.9.1A Framework menggunakan pendekatan OCTAVE
1. Tahap Identifikasi
Identifikasi merupakan proses transformasi ketidakpastian dan isu tentang
seberapa baik asset organisasi dilindungi dari risiko. Tugas yang harus
dilakukan adalah identifikasi profil risiko (asset kritis, ancaman terhadap
asset, kebutuhan keamanan untuk asset kritis, deskripsi tentang dampak
risiko pada organisasi, dan komponen infrastruktur utama yang berhubungan
dengan asset kritis) dan identifikasi informasi organisasi (kebijakan, praktek
30
dan prosedur keamanan, kelemahan teknologi dan kelemahan organisasi saat
ini ).
2. Tahap Analisa
Analisa merupakan proses untuk memproyeksikan bagaimana risiko-risiko
ekstensif dan bagaimana menggunakan proyeksi tersebut untuk membuat
skala prioritas. Tugas dalam proses analisa adalah melakukan evaluasi risiko
(Nilai-nilai untuk mengukur risiko - risiko dampak dan peluang) dan skala
prioritas risiko (pendekatan pengurangan risiko, menerima atau mengurangi
risiko).
3. Tahap Perencanaan
Perencanaan merupakan proses untuk menentukan aksi-aksi yang akan
diambil untuk meningkatkan postur dan perlindungan keamanan asset kritis
tersebut. Langkah dalam perencanaan adalah mengembangkan strategi
proteksi, rencana mitigasi risiko, rencana aksi, budget, jadwal, kriteria
sukses, ukuran-ukuran untuk monitor rencana aksi, dan penugasab personil
untuk implementasi rencana aksi.
4. Tahap Implementasi
Implementasi merupakan proses untuk melaksanakan aksi yang direncanakan
untuk meningkatkan keamanan sistem berdasarkan jadwal dan kriteria sukses
yang didefinisikan selama perencanaan risiko.Implementasi menghubungkan
antara perencanaan dengan monitor dan kontrol.
31
5. Monitoring
Proses ini memonitor jejak rencana aksi untuk menentukan status saat ini dan
meninjau ulang data organisasi sebagai tanda adanya risiko baru dan
perubahan risiko yang ada. Langkah dalam proses monitor adalah melakukan
eksekusi rencana aksi secara lengkap, mengambil data (data untuk melihat
jalur rencana aksi terkini, data tentang indikator risiko utama) dan laporan-
laporan terkini dan indikator risiko utama.
6. Kontrol
Mengontrol risiko adalah proses yang didesain agar personil melakukan
penyesuaian rencana aksi dan menentukan apakah merubah kondisi
organisasi akan menyebabkan timbulnya risiko baru. Langkah dalam proses
monitor risiko adalah analisa data (analisa laporan terkini dan analisa
indikator risiko), membuat keputusan (keputusan tentang rencana aksi dan
keputusan tentang identifikasi risiko baru), dan melakukan eksekusi
keputusan (mengkomunikasikan keputusan, mengimplementasikan
perubahan rencana aksi, dan memulai aktifitas identifikasi risiko).
A. OCTAVE
The Operationally Critical Threat, Asset and Vulnerability Evaluation
(OCTAVE) memungkinkan sebuah organisasi untuk memudahkan pemilihan
dalam web kompleks dari segi masalah organisasi dan teknologi untuk
memahami dan mengalamatkan risiko keamanan.
32
Untuk evaluasi risiko keamanan informasi. OCTAVE menjelaskan sebuah
pendekatan untuk evaluasi risiko keamanan itu: luas, sistematis, penggerak
kontekstual dan pengarahan diri. Dalam bagian OCTAVE adalah sebuah
konsep pengarahan diri, dengan pengertian bahwa orang dari organisasi
mengatur dan mengarahkan evaluasi informasi risiko
Dalam bagian OCTAVE adalah sebuah konsep pengarahan diri, dimana
pengertian bahwa orang dari organisasi mengatur dan mengarahkan evaluasi
informasi risiko keamanan untuk sebuah organisasi.
Keamanan Informasi Menurut OCTAVE
Keamanan informasi adalah tanggung jawab dari setiap orang di dalam
organisasi, bukan hanya untuk departemen IT. Orang-orang dalam organisasi
perlu diarahkan. Aktivitas dan membuat keputusan mengenai usaha
peningkatan keamanan informasi.
OCTAVE dicapai dengan mendirikan bagian kecil, tim antar cabang ilmu
pengetahuan dalam menggambarkan pegawai dari pemilik organisasi, disebut
tim analisis untuk memimpin proses evaluasi organisasi.
Tim analisis termasuk orang dari dua yaitu unit bisnis dan bagian IT, karena
informasi keamanan meliputi kedua masalah bisnis dan teknologi. Orang dan
unit bisnis sebuah organisasi informasi apa yang penting untuk
menyelesaikan tugasnya sebaik -baiknya dengan cara bagaimana mereka
mengakses dan menggunakan informasi itu.
33
Staff teknologi informasi mengerti masalah yang berhubungan dengan
bagaimana cara menghitung infrastruktur yang digambarkan penting untuk
dijalankan. Kedua dari pandangan ini penting dalam memahami pandangan
organisasi mengenai risiko keamanan informasi secara umum.
Metode Pengukuran Risiko Teknologi Informasi
Menurut Alberts et al. (2005, p6-88), OCTAVE-S adalah pendekatan secara
langsung maksudnya orang-orang dari organisasi-organisasi yang
bertanggungjawab untuk mengatur strategi keamanan organisasi atau
organisasi. OCTAVE-S merupakan variasi pendekatan yang lebih terbatas
dan unik di dalam suatu organisasi yang mempunyai ruang lingkup lebih
kecil (kurang lebih 100 orang).
Agar OCTAVE-S berjalan dengan baik, setiap anggota harus merupakan
wawasan dan pengetahuan yang luas mengenai bisnis organisasi dan proses-
proses keamanan, agar semua dapat berjalan sesuai dengan aktifitasnya.
B. OCTAVE – S
Pada skripsi ini penulis menggunakan Metode pengukuran risiko teknologi
informasi dengan menggunakan OCTAVE-S volume 3 yang terdiri dari 3 fase
yaitu:
34
1. Membangun Asset Berbasis Profil Ancaman
Tahap pertama adalah sebuah evaluasi dari aspek organisasi. Selama dalam
tahap ini, tim analisis menggambarkan kriteria dampak evaluasi yang akan
digunakan nantinya untuk mengevaluasi risiko. Hal ini juga mengidentifikasi
asset-asset organisasi yang penting, dan evaluasi praktek keamanan sekarang
dalam organisasi.
Tim menyelesaikan tugasnya sendiri, mengumpulkan informasi tambahan
hanya ketika diperlukan. Kemudian memilih 3 dari 5 asset kritikal untuk
menganalisa dasar kedalaman dari hubungan penting dalam organisasi.
Akhirnya, tim menggambarkan kebutuhan-kebutuhan keamanan dan
menggambarkan profil ancaman pada setiap asset. Dimana pada tahap ini
terdiri atas 2 proses, yaitu identifikasi informasi organisasi dan membuat
profil ancaman yang memiliki enam aktivitas.
a. Mengidentifikasi Kerentanan Infrastruktur
Selama tahap ini, tim analisis melakukan peninjauan ulang level
tinggi dari infrastruktur komputer organisasi, berfokus pada keamanan yang
mempertimbangkan perawatan dari infrastruktur. Tim analisis pertama
menganalisis bagaimana orang-orang menggunakan infrastruktur komputer
pada akses asset kritis, menghasilkan kunci dari kelas komponen-komponen.
Tahap ini memiliki satu proses yaitu memeriksa perhitungan infrastruktur
dalam kaitannya dengan asset yang kritis dimana terdapat dua aktivitas.
35
b. Mengembangkan Strategi Keamanan dan Perencanaan.
Selama tahap ini, tim analisis mengidentifikasi risiko dari asset kritis
organisasi dan memutuskan apa yang harus dilakukan. Berdasarkan dari
pengumpulan analisis informasi, tim membuat strategi perlindungan untuk
organisasi dan mengurangi rencana risiko yang ditujukan pada asset kritis.
Kertas kerja OCTAVE-S yang digunakan selama tahap ini mempunyai
struktur tinggi dan berhubungan erat dengan praktek katalog OCTAVE,
memungkinkan tim untuk menghubungkan rekomendasi-rekomendasinya
untuk meningkatkan praktek keamanan dari penerimaan yang lebih tinggi.
Tahap ini terdiri atas 2 proses, yaitu identifikasi dan analisis risiko serta
mengembangkan strategi perlindungan dan rencana mitigasi, di mana proses
ini memiliki delapan aktivitas.
Manajemen risiko keamanan informasi memerlukan sebuah keseimbangan
kegiatan reaksi dan proaktif. Selama dalam evaluasi OCTAVE- S, tim
analisis memandang keamanan dari berbagai perspektif, memastikan
rekomendasi mencapai keseimbangan dasar yang sesuai pada kebutuhan
organisasi.
36
Hasil utama dari OCTAVE-S adalah terdiri dari 3 tingkatan, terdiri dari:
1. Strategi perlindungan organisasi yang luas: perlindungan strategi
yang digariskan pimpinan organisasi dengan cermat untuk praktek
keamanan informasi.
2. Rencana mitigasi risiko: rencana ini dimaksudkan untuk mengurangi
risiko dari asset kritikal dan meningkatkan praktek keamanan yang
dipilih.
3. Daftar tindakan: tindakan ini termaksud item tindakan jangka pendek yang
diperlukan untuk mengatasi kelemahan tertentu.
Setiap tahap OCTAVE-S memproduksi hasil yang bermanfaat sehingga
sebagian evaluasi akan menghasilkan informasi yang berguna untuk
meningkatkan sikap keamanan organisasi.
C. Framework COBIT
COBIT (Control Objectives for Information and Related Technology)
merupakan standard yang dikeluarkan oleh ITGI (The IT Governance
Institute). COBIT merupakan suatu koleksi dokumen dan framework yang
diklasifikasikan dan secara umum diterima sebagai latihan terbaik untuk tata
kelola (IT Governance), kontrol dan jaminan TI.
Referensi perihal manajemen risiko secara khusus dibahas pada proses PO9
dalam COBIT. Proses-proses yang lain juga menjelaskan tentang manajemen
risiko namun tidak terlalu detil.
37
GAMBAR 2.9.1C Framework Manajemen Risiko COBIT
Sumber :
www.swpark.or.th//itsec2003/download/IT%20Risk%20Management.PDF
Risiko adalah segala hal yang mungkin berdampak pada kemampuan organisasi
dalam mencapai tujuannya. Framework manajemen risiko TI dengan
menggunakan COBIT (gambar 2.9.1C) terdiri dari :
1. Penetapan Objektif
Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam
mendefinisikan objektif TI. Terdapat tujuh kriteria informasi dari COBIT
yaitu: effectiveness, efficiency, confidentiality, integrity, availability,
compliance, dan reliability.
2. Identifikasi Risiko
38
Tabel 2.9.1 a Kejadian (Events) yang mengganggu pencapaian objective organisasi
Identifikasi risiko merupakan proses untuk mengetahui risiko. Sumber risiko
bisa berasal dari :
1. Manusia, proses dan teknologi
2. Internal (dari dalam organisasi) dan eksternal (dari luar organisasi)
3. Bencana (hazard), ketidakpastian (uncertainty) dan kesempatan
(opportunity).
Dari ketiga sumber risiko tersebut dapat diketahui kejadian-kejadian yang
dapat mengganggu organisasi dalam mencapai objektifnya (tabel 2.9.1a).
39
3. Penilaian Risiko
Proses untuk menilai seberapa sering risiko terjadi atau seberapa besar
dampak dari risiko (tabel 2.9.1 b). Dampak risiko terhadap bisnis (business
impact) bisa berupa: dampak terhadap financial, menurunnya reputasi
disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan
asset yang dapat dinilai (sistem dan data), dan penundaan proses
pengambilan keputusan.
Tabel 2.9.1 b Tingkatan Besarnya Dampak Risiko dan Frekuensi Terjadinya
Risiko
Sedangkan kecenderungan (likelihood) terjadinya risiko dapat disebabkan
oleh sifat alami dari bisnis, struktur dan budaya organisasi, sifat alami dari
sistem (tertutup atau terbuka, teknologi baru dan lama), dan kendali-kendali
yang ada. Proses penilaian risiko bisa berupa risiko yang tidak dapat
dipisahkan (inherent risks) dan sisa risiko (residual risks).
40
4. Respon Risiko
Untuk melakukan respon terhadap risiko adalah dengan menerapkan kontrol
objektif yang sesuai dalam melakukan manajemen risiko. Jika sisa risiko
masih melebihi risiko yang dapat diterima (acceptable risks), maka
diperlukan respon risiko tambahan. Proses-proses pada framework COBIT
(dari 34 Control Objectives) yang sesuai untuk manajemen risiko adalah :
a. PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage
Risks)
b. AI6 (Manages Change)
c. DS5 (Ensure Sistem and Security) dan DS11 (Manage Data)
d. ME1 (Monitor and Evaluate IT Performance)
5. Monitor Risiko
Setiap langkah dimonitor untuk menjamin bahwa risiko dan respon berjalan
sepanjang waktu.
41
D. Framework NIST Special Publication 800-30
Gambar 2.9.1 D Proses-proses manajemen risiko
NIST (National Institute of Standard and Technology) mengeluarkan
rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide
for Information Technology System. Terdapat tiga proses dalam manajemen
risiko (gambar 2.9.1 D) yaitu :
1. Proses Penilaian Risiko (Risk Assessment)
Terdapat sembilan langkah dalam proses penilaian risiko yaitu :
a. Mengetahui karakteristik dari sistem Teknologi Informasi: Hardware,
software, sistem antarmuka (koneksi internal atau eksternal), data dan
informasi, orang yang mendukung atau menggunakan sistem, arsitektur
keamanan sistem, topologi jaringan sistem.
42
b. Identifikasi Ancaman yang mungkin menyerang kelemahan sistem
Teknologi Informasi. Sumber ancaman bisa berasal dari alam, manusia
dan lingkungan.
c. Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur
keamanan, desain, implementasi, dan internal kontrol terhadap sistem
sehingga menghasilkan pelanggaran terhadap kebijakan keamanan
sistem.
d. Menganalisa kontrol - kontrol yang sudah diimplementasikan atau
direncanakan untuk diimplementasikan oleh organisasi untuk mengurangi
atau menghilangkan kecenderungan (kemungkinan) dari suatu ancaman
menyerang sistem yang kerentanan.
e. Penentuan Kecenderungan (likelihood) dari kejadian bertujuan untuk
memperoleh penilaian terhadap keseluruhan kecenderungan yang
mengindikasikan kemungkinan potensi kerentanan diserang oleh
lingkungan ancaman yang ada.
f. Analisa dampak yang kurang baik yang dihasilkan dari suksesnya
ancaman menyerang kerentanan. Seperti kehilangan kepercayaan,
kehilangan ketersediaan dan kehilangan kenyamanan. Pengukuran
dampak dari risiko Teknologi Informasi dapat dilakukan secara kualitatif
maupun kuantitatif. Dampak tersebut dapat diklasifikasikan menjadi 3
bagian yaitu : Tinggi, sedang dan rendah.
g. Penentuan Level Risiko. Penentuan level risiko dari Sistem Teknologi
Informasi yang merupakan pasangat ancaman / kerentanan merupakan
suatu fungsi :
43
h. Kecenderungan suatu sumber ancaman menyerang kerentanan dari
sistem Teknologi Informasi.
i. Besaran dampak yang akan terjadi jika sumber ancaman sukses
menyerang kerentanan dari sistem Teknologi Informasi.
j. Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi
dan menghilangkan risiko.
k. Rekomendasi - rekomendasi untuk mengurangi level risiko sistem
Teknologi Informasi dan data sehingga mencapai level yang bisa
diterima.
l. Dokumentasi hasil dalam bentuk laporan.
2. Proses Pengurangan Resiko (Risk Mitigation)
Strategi di dalam melakukan pengurangan resiko misalnya dengan menerima
resiko (risk assumption), mencegah terjadinya resiko (risk avoidance),
membatasi level resiko (risk limitation), atau mentransfer resiko (risk
transference). Metodologi pengurangan resiko berikut menggambarkan
pendekatan untuk mengimplementasikan kontrol :
a. Memprioritaskan aksi. Berdasarkan level resiko
b. Yang ditampilkan dari hasil penilaian resiko, implementasi dari aksi
diprioritaskan. Output dari langkah pertama ini adalah ranking aksi-
aksi mulai dari tinggi hingga rendah
44
c. Evaluasi terhadap kontrol yang direkomendasikan
d. Pada langkah ini, Kelayakan (misal kompatibilitas, penerimaan dari
user) dan efektifitas (misal tingkat proteksi dan level dari
pengurangan resiko) dari pilihan-pilihan kontrol yang
direkomendasikan dianalisa dengan tujuan untuk meminimalkan
resiko. Output dari langkah kedua adalah membuat daftar kontrol-
kontrol yang layak.
e. Melakukan cost-benefit analysis. Suatu cost-benefit analysis
dilakukan untuk menggambarkan biaya dan keuntungan jika
mengimplementasikan atau tidak mengimplementasikan kontrol -
kontrol tersebut.
f. Memilih kontrol. Berdasarkan hasil cost-benefit analysis, manajemen
menentukan control dengan biaya paling efektif untuk mengurangi
resiko terhadap misi organisasi.
g. Memberikan tanggung jawab. Personil yang sesuai (personil dari
dalam atau personil yang dikontrak dari luar) yang memiliki keahlian
dan ketrampilan ditugaskan untuk mengimplementasikan pemilihan
kontrol yang diidentifikasi, dan bertanggung jawab terhadap yang
ditugaskan.
h. Mengembangkan rencana implementasi safeguard yang minimal
mengandung informasi tentang resiko (pasangat vulnerability/
ancaman) dan level resiko (hasil dari laporan penilaian resiko),
kontrol yang direkomendasikan (hasil dari laporan penilaian resiko,
aksi-aksi yang diprioritaskan (dengan prioritas yang diberikan
45
terhadap pilihan level resiko tinggi atau sangat tinggi), pilih kontrol
yang telah direncanakan (tentukan berdasarkan kelayakan, efektifitas,
keuntungan terhadap organisasi dan biaya), sumberdaya yang
dibutuhkan untuk mengimplementasikan pilihan kontrol yang telah
direncanakan, buat daftar staf dan personil yang bertanggung jawab,
tanggal dimulainya implementasi, tanggal target penyelesaian untuk
implementasi dan kebutuhan untuk perawatan.
i. Implementasikan kontrol yang dipilih.Tergantung pada situasi
tertentu, kontrol yang dipilih akan menurunkan resiko tetapi tidak
menghilangkan resiko. Output dari langkah ketujuh adalah sisa
resiko.
3. Proses Evaluasi Resiko (Risk Evaluation)
Pada proses ini dilakukan evaluasi apakah pendekatan manajemen resiko
yang diterapkan sudah sesuai. Kemudian dilakukan penilaian resiko kembali
untuk memastikan keberadaan resiko yang teridentifikasi maupun resiko
yang belum teridentifikasi.
Setelah dilakukan penelitian yang kami lakukan, kami mengambil kesimpulan
bahwa pelaksaan OCTAVE-S pada peneltian sebelumnya memiliki banyak
perbedaan yaitu:
Adanya kesimpulan pada setiap tabel yang ada didalam bab 4, ruang lingkup OCTAVE-
S dibatasi hanya 5 tahap yang membagi risiko menjadi beberapa langkah, adanya Spot
light yang memberikan penjelasan tingkat dari dampak risiko yang akan ditimbulkan
jika tinggi maka akan mengeluarkan lampu merah.