8

BAB 2

Landasan Teori

2.1 Pengertian Teknologi Informasi

Menurut Alter (1999, p42), teknologi informasi merupakan perangkat keras

(hardware) dan perangkat lunak (software) yang digunakan oleh sistem

informasi. Hardware merupakan sekumpulan peralatan fisik yang terlibat dalam

proses informasi, seperti komputer, workstation, peralatan jaringan, tempat

penyimpanan data (data storage), dan peralatan transmisi (transmission devices).

Sedangkan software merupakan program komputer yang menginterpretasikan

masukan (input) oleh user dan memberitahukan kepada komputer tentang apa

yang harus dilakukan.

Menurut Ward dan Peppard (2002, p3), teknologi informasi secara khusus

ditujukan untuk teknologi, khususnya hardware, software dan jaringan

telekomunikasi. Teknologi informasi memfasilitasi perolehan, pemrosesan,

penyimpanan, pengiriman dan pembagian informasi dan isi digital lainnya.

Menurut Indrajit (2001, p2), teknologi informasi adalah suatu teknologi yang

berhubungan dengan pengolahan data menjadi informasi dan proses penyaluran

data atau informasi dalam batas-batas ruang dan waktu.

Menurut O’ Brien (2003, p7), teknologi informasi adalah seperangkat hardware,

software, telekomunikasi, manajemen basis data dan teknologi pemrosesan

9

informasi yang digunakan berdasarkan CBIS (Control Based Information

Sistem).

Teknologi Informasi pada dasarnya merupakan perpaduan perangkat keras

(Hardware) dan perangkat lunak (Software) yang digunakan oleh sistem

informasi. Perangkat keras itu sendiri merupakan sekumpulan peralatan fisik

yang terlibat dalam informasi seperti komputer, Printer, peralatan jaringan,

tempat penyimpanan data (data storage) dan peralatan transmisi (transmission

device).

Perangkat lunak merupakan program komputer yang menginterprestasikan

masukan (input) oleh user dan memberikan kepada komputer tentang apa yang

harus dilakukan. Tujuan teknologi informasi adalah memecahkan masalah,

membuka kreatifitas dan membuat orang menjadi lebih efektif dari pada jika

mereka tidak menggunakan teknologi informasi dalam pekerjaannya.

Menurut Benson et al. (2004, p187-192), teknologi informasi telah dan masih

menjadi alat pendukung utama atas berjalannya organisasi. Tujuan dan

kriterianya untuk menuju kesuksesan telah diwujudkan pada kemampuan

bereaksi atas kebutuhan aplikasi bisnis, kemampuan infrastruktur dan pelayanan

pendukung. Dengan teknologi informasi, organisasi dapat menciptakan dan

membedakan produk, pasar dan konsumen yang potensial.

Teknologi Informasi (TI) memiliki tiga komponen utama yang mempunyai

hubungan yang sangat erat. Ketiga komponen utama tersebut yaitu :

10

1. Komputer

Terdiri dari perangkat keras dan piranti lunak.

Perangkat keras, umumnya terdiri dari :

a. Perangkat masukan, seperti keyboard, mouse, digitzpen, scanner,

dan lain–lain.

b. Perangkat proses atau CPU (Central Processing Unit).

c. Perangkat keluaran, seperti monitor dan printer.

Perangkat lunak seperti aplikasi–aplikasi perangkat lunak dan bahasa

pemrograman.

2. Jaringan komunikasi

Suatu hubungan antara lokasi stasiun yang berbeda melalui suatu media yang

dapat memungkinkan manusia untuk saling mengirim dan menerima

informasi.

3. Pengetahuan

Kemampuan untuk melakukan sesuatu yang baik dan meliputi:

a. Mengenal dengan baik elemen – elemen teknologi informasi.

b. Kemampuan yang dibutuhkan untuk menggunakan elemen–

elemen tersebut.

c. Memahami waktu penggunaan teknologi informasi untuk

memecahkan masalah.

11

2.2 Pengembangan Teknologi Informasi dengan Praktek Innovation

Oleh karena itu, kegiatan innovation merupakan salah satu kegiatan terpenting

yang harus dilakukan oleh organisasi, terutama di bidang teknologi informasi.

Innovation terdiri dari empat komponen, yaitu :

a. Business and Technology monitoring (pemantauan bisnis dan teknologi):

meninjau kembali manajemen bisnis dan TI dari faktor perubahan bisnis

dan teknologi yang akan memberikan pengaruh bisnis (apa saja

perubahan yang mempengaruhi organisasi? ).

b. Innovation Visioning (visi inovasi): mengembangkan alternative visi atau

arah bagi organisasi, merespon perubahan bisnis dan TI serta

memperoleh kesepakatan atas alternatif visi (“Apa yang akan kita

lakukan?”).

c. Business Context and Choices (konteks dan pilihan bisnis): memberikan

pilihan mengenai visi atau arah bagi organisasi yang menjelaskan

bagaimana bisnis dapat berfungsi (“Apa yang harus kita lakukan?”).

d. Actionable Innovation (Innovasi yang dapat ditindaklanjuti): membentuk

skenario dan prototipe perencanaan aksi untuk innovation yang

menciptakan outline perencanaan yang dapat dilakukan. (“Apa yang akan

kita lakukan?”).

12

2.3 Risiko

2.3.1 Pengertian Risiko

Menurut Peltier (2001, p21), risiko adalah seseorang atau sesuatu yang membuat

atau menyarankan sebuah bahaya.

Menurut Djojosoerdarso (2003, p2), istilah risiko sudah bisa dipakai dalam

kehidupan kita sehari-hari, yang umumnya sudah dipahami secara institutif.

Tetapi pengertian secara ilmiah dari risiko sampai saat ini masih tetap beragam,

antara lain :

1. Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama

periode tertentu.

2. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan

peristiwa kerugian (loss).

3. Risiko adalah ketidakpastian atas terjadinya suatu peristiwa.

4. Risiko merupakan penyebaran/penyimpangan hasil aktual dari hasil yang

diharapkan.

5. Risiko adalah probabilitas sesuatu hasil/outcome yang berbeda dengan yang

diharapkan.

2.3.2 Analisa Risiko

Menurut Peltier (2001, p21), analisis risiko adalah proses mengidentifikasi asset

dan ancaman, memprioritaskan ancaman-ancaman dan mengidentifikasi

penanganan yang tepat.

13

Proses analisa risiko terbagi menjadi 2 kategori yaitu:

a. Analisa risiko kualitatif adalah teknik yang digunakan untuk menemukan

tingkat perlindungan yang disyaratkan untuk aplikasi sistem, fasilitas,

ataupun asset organisasi lainnya.

b. Analisa risiko kuantitatif mengusahakan untuk menentukan nilai-nilai

numerik secara objektif pada komponen analisa risiko dan tingkat kerugian

potensial.

2.4 Pengertian Manajemen Risiko

Menurut Peltier (2001, p224), manajemen risiko merupakan proses

mengidentifikasi risiko, pengukuran pengurangan risiko, efek dari implementasi

keputusan yang berkaitan dengan penerimaan, pencegahan dan penerimaan risiko

Menurut William dan Dorofee (2003, preface) pengertian dari teknik manajemen

risiko adalah teknik yang difokuskan pada risiko penting yang dapat

mempengaruhi tujuan proyek.

Menurut Horcher, (2005, 27) “Risk management is a process to deal with the

uncertainties of risk.” Management risiko adalah sebuah proses yang

berhubungan dengan risiko yang tidak pasti.

Sebuah pendekatan kelemahan risiko dapat membantu orang mengerti

bagaimana keamanan informasi berdampak terhadap misi organisasi mereka dan

tujuan bisnis, serta menetapkan pemilihan asset yang dianggap penting dalam

organisasi dan bagaimana keadaan risiko mereka.

14

2.5 Risiko Keamanan Informasi

Sebuah risiko keamanan informasi dipecahkan dalam 4 komponen besar: Asset,

ancaman, Kerentanan dan dampak. Sebuah evaluasi risiko keamanan harus

dicatat dan semua komponen ini. OCTAVE adalah evaluasi pendekatan

penggerak asset, penyusunan risiko organisasi.

Menurut Fites 89 (2003, Section 1.3), evaluasi aktivitas adalah efisien dari

mengurangi angka ancaman dan risiko yang harus kita pertimbangkan selama

evaluasi.

OCTAVE memerlukan tim analisis untuk mengidentifikasi informasi yang

berhubungan dengan asset (cth: informasi, sistem) yang penting untuk organisasi

dan fokus pada analisis risiko aktivitas dalam beberapa asset yang dinilai bisa

menjadi paling penting dalam organisasi.

Ada 4 pendekatan dalam risiko keamanan informasi

1. Vulnerability Assesment (Pendekatan Kelemahan)

Pendekatan Kelemahan adalah sistematika, pemeriksaan secara langsung

dari basis teknologi, kebijakan dan peraturan dari sebuah organisasi.

Termasuk analisis lengkap dari keamanan lingkungan komputerisasi

internal dan kelemahan dari serangan internal dan eksternal.

Dorongan kelemahan teknologi ini secara umum :

a. Menggunakan standar dari aktivitas keamanan teknologi

informasi yang spesifik (seperti berbagai jenis platform

yang berbeda).

15

b. Kelemahan dari seluruh infrastruktur komputerisasi

c. Menggunakan peralatan perangkat lunak untuk menganalisa

infrastruktur dan semua komponennya

d. Menyediakan analisis secara lengkap untuk menunjukkan

kelemahan teknologi yang terdeteksi dan rekomendasi

langkah yang spesifik untuk mengatasi kelemahan-

kelemahan itu.

2. Audit Sistem Informasi

Audit Sistem Informasi adalah penilaian secara independen dari

pengaturan internal organisasi untuk menjamin pengelolaan, pengaturan

kewenangan, dan pembagian saham organisasi yang menyediakan

informasi yang akurat dan sah. Audit secara tipikal berpengaruh pada

contoh proses industri yang spesifik, tanda untuk menentukan tingginya

letak suatu daerah, standar dari perawatan dan pengadaan dari latihan

yang terbaik.

Mereka melihat dari sisi keuangan dan kinerja operasional. Audit

juga berdasar dari pengaturan risiko proses bisnis yang berkaitan dan

metode alat dan analisis. Audit dijalankan oleh auditor yang mempunyai

ijin atau sertifikasi dan mempunyai pengertian yang sah dan kemampuan.

Selama audit, catatan bisnis dari organisasi ditinjau untuk akurasi dan

keutuhannya.

16

3. Evaluasi Risiko Keamanan Informasi

Evaluasi risiko keamanan berkembang sesuai pendekatan

kelemahan untuk melihat dari risiko keamanan yang berkaitan dengan

sebuah organisasi, termasuk sumber risiko internal dan eksternal yang

berdasar elektronik dan risiko berdasar sumber daya manusia. Evaluasi

beraneka segi yang berkeinginan untuk meluruskan evaluasi risiko

dengan tujuan dari organisasi dan biasanya berfokus kepada empat aspek

dari keamanan :

a. Memeriksa kegiatan organisasi yang terkait pada keamanan untuk

mengidentifikasi kekuatan dan kelemahan yang dapat

menciptakan atau mengurangi risiko keamanan.

b. Prosedur ini termasuk analisis perbandingan yang membagi

informasi berdasarkan standar industri dan latihan terbaik dengan

memasukkan pemeriksaan teknologi dari sistem, ringkasan dari

kebijakan, dan inspeksi dari keamanan fisikal.

Memeriksa infrastruktur IT untuk mengidentifikasi kemampuan teknologi

yang lemah. Kelemahan seperti itu termasuk kerentanan dari situasi berikut:

a. Pengenalan dari kode yang berbahaya

b. Korupsi atau penghancuran data

c. Penyaringan dari informasi

d. Penolakan jasa

e. Perubahan tidak sah dari hak akses dan hak istimewa

17

f. Membantu pembuat keputusan untuk memeriksa penukaran

dengan memilih tindakan balasan untuk mengefektifkan biaya.

Menurut William dan Dorofee (2003, preface) ada 2 hal penting dalam

evaluasi kelemahan:

Hal penting pertama adalah evaluasi kelemahan dapat dipertunjukkan dalam

sebuah isi di dalam risiko informasi. Karena keamanan risiko informasi

mereka adalah sebuah misi organisasi dan tujuan bisnis, menjadi lebih

mendekati untuk mengikutsertakan staff bisnis sebagai tambahan untuk

pekerja teknologi informasi dalam sebuah evaluasi.

Hal penting kedua adalah observasi dari evaluasi kelemahan kita dalam

kegiatan sehari-hari dalam penempatan tingkatan dari keterlibatan dan

beberapa urutan kepemilikan atas hasil. Karena evaluasi kelemahan sangat

bergantung pada juru taksir yang ahli, letak keterlibatan personalia dalam

proses personalia dalam proses partisipasi sangat kecil.

4. Pengendalian Penyedia Jasa

Pengendalian penyedia jasa keamanan tergantung kepada keahlian

manusia untuk mengelola sebuah sistem organisasi dan jaringan-

jaringannya. Mereka sendiri yang mengamankan atau menggunakan

penjual perangkat lunak keamanan dari pihak lain dan peralatan yang

dapat melindungi sebuah infrastruktur.

18

Umumnya sebuah pengendalian penyedia jasa akan secara pro aktif

memantau dan melindungi sebuah infrastruktur komputer organisasi dari

serangan dan penyalahgunaan.

Solusi pemeliharaan harus diseragamkan untuk setiap klien yang unik

dan persyaratan bisnis pemilik teknologi. Mereka bisa secara aktif merespon

kepada perintah atau kejadian yang pernah dialami oleh mereka. Beberapa

pekerja otomatis, pembelajaran dan analisis berbasis komputer, perjanjian

mengurangi waktu respon dan meningkatkan akurasi.

2.6 Mitigasi Risiko

Tahap ini merupakan sebuah fase dimana sebuah organisasi mencoba untuk

mengurangi risiko, maksud dari proses ini adalah untuk mengurangi

kemungkinan dari risiko yang akan terjadi dan membatasi kemungkinan kerugian

organisasi melawan risiko yang telah dikenali. Dari pengetahuan yang telah

penulis pelajari sebelumnya seperti daftar dari risiko dan acuan risiko, penulis

bisa memulai perencanaan cara mengurangi risiko yang merupakan hasil dari

rencana pengurangan risiko.

Menurut Lembaga Management Risiko (2006 : 10), menetapkan pengurangan

risiko akan menjadi kecil dari :

a. Keberhasilan dan kegunaan operasi organisasi.

b. Proses analisa risiko keberhasilan dan kegunaan operasi dari organisasi

telah diketahui risikonya yang membutuhkan perhatian dari management.

19

Mereka akan butuh mengutamakan tindakan pengendalian risiko di

pelatihan dari kemampuan mereka untuk keuntungan organisasi.

c. Keberhasilan pengendalian internal.

d. Keefektifan dari pengendalian internal adalah yang merupakan tingkatan,

risiko salah satu dari menghapus atau mengurangi dari usulan langkah

pengendalian.

Berikut ini adalah acuan dalam mengurangi risiko:

1. Menerima risiko atau menahan risiko (Retain Risk).

Organisasi memutuskan untuk melanjutkan kegiatan seperti biasa dengan

persetujuan umum untuk menerima sifat risiko yang terdiri dari:

a. Analisa biaya dan keuntungan.

b. Alokasi yang besar.

2. Mengalihkan risiko (Transferring Risk).

Organisasi memutuskan untuk mengalihkan risiko dari (contoh) satu unit

bisnis kepada lainnya atau dari satu area bisnis ke kelompok ketiga.

Contoh

a. Asuransi

b. Menggunakan pengendalian (pembendungan, meneruskan, kedepannya,

dll)

20

3. Menghindari risiko (Avoiding Risk).

Organisasi memutuskan untuk menghindari atau mencegah risiko dengan

tidak mengerjakan proyek atau melakukan beberapa aktivitas bisnis yang

mempunyai kemungkinan risiko yang besar jika mereka melakukan itu.

Risiko yang bisa dihindari adalah risiko yang mempunyai :

a. Tujuan yang tidak sama dengan visi organisasi.

b. Mempunyai kerugian keuangan, sosial dan strategi yang besar untuk

organisasi.

c. Tidak ada peraturan perlindungan proyek.

d. Dampak yang melebihi batas.

4. Mengendalikan risiko (Controlling Risk).

Organisasi bisa mengendalikan sumber dan mencoba untuk

mengurangi risiko sebelum risiko itu terjadi.

a. Mencegah risiko muncul dengan memperkecil sumber risiko.

b. Memperkecil kerugian jika risiko tidak bisa dicegah.

c. Penggolongan dari kegiatan bisnis untuk membatasi jangkauan risiko.

21

Gambar 2.6 – Risk Mitigation

Ernst & Young, 2005.

diperoleh dari dosen manajemen risiko

2.7 Pengenalan Risiko

Pengenalan risiko adalah suatu upaya organisasi untuk mengenal setiap

risiko yang mungkin terjadi dengan cara menjalankan rencana dan cara kerja

secara subjektif.

Pengenalan risiko akan membantu memastikan semua kegiatan dalam

organisasi yang termasuk dalam cara pengenalan risiko. Semua perubahan

kegiatan ini akan dikenali dan digolongkan bila ada perubahan yang terjadi.

Definisi oleh Lembaga Risk Management (2006 : 5) akan diperiksa

dengan melakukan pengenalan risiko :

22

a. Rencana – Sasaran rencana jangka panjang dari organisasi. Mereka bisa

pura-pura seperti area yang luas tersedia, yang berkuasa dan risiko

politik, hukum dan perubahan aturan, reputasi dan perubahan fisik

lingkungan.

b. Cara kerja – memfokuskan hari ke hari persoalan organisasi, dan

menghadapi dengan sekuat tenaga untuk menyampaikan sasaran rencana.

c. Keuangan – memperhatikan keberhasilan management dan

mengendalikan keuangan dari organisasi dan keberhasilan faktor

eksternal seperti ketersediaan kredit dan kurs luar negeri, memperhatikan

pergerakan suku bunga dan pendapatan pasar lain.

d. Pengetahuan management – memperhatikan keberhasilan management

dan pengendalian dari pengetahuan sumber penghasilan, produksi

perlindungan dan komunikasinya.

e. Pemenuhan – memperhatikan pada persoalan kesehatan dan keamanan,

lingkungan, gambaran perdagangan, perlindungan pengguna,

perlindungan data, latihan pekerjaan dan pengaturan permasalahan.

23

Hal ini berisikan masukan untuk seorang manajer risiko untuk mengenal risiko

organisasinya. Keluaran dari cara pengenalan risiko adalah daftar dari risiko

(tabel risiko) seperti dibawah ini.

Daftar Risiko

Organisasi

Tanggal dari pengenalan

Fungsi bisnis/ proyek

No Tipe Risiko Risiko Level risiko

Tabel 2.7 Daftar dari Tabel Risiko

Daftar risiko ini dapat dikembangkan dengan melakukan beberapa pengaturan

kuantitatif seperti kuisioner atau menggunakan analisa. Metode kuantitatif

dilakukan dengan menyebarkan kuisioner tentang kemungkinan terjadinya risiko

kepada karyawan organisasi, setelah itu manajer risiko mengisi hasilnya pada

daftar risiko. Metode lainnya adalah menggunakan metode analisa. Manajer

risiko menganggap suatu kejadian yang terjadi diorganisasi dan menganalisa

dampak kerugian yang mungkin akan diderita oleh organisasi.

24

2.8 Pengukuran Risiko

Cara kedua dalam management risiko adalah proses pengukuran risiko.

Pengukuran risiko mempunyai tujuan untuk mengevaluasi dampak,

kemungkinan, kerangka waktu, penggolongan dan prioritas risiko dari

management. Perkiraan risiko bisa menjadi kuantitatif, semi kuantitatif atau

kualitatif di syarat-syarat dari kemungkinan dari kejadian dan kemungkinan

akibat. Pada kasus ini, penulis menggunakan metode kualitatif. Berikut

merupakan langkah – langkah Analisis Risiko Kualitatif yang dipaparkan oleh

Thomas R.Peltier :

1. Pengembangan Pernyataan Lingkup Analisis

Lingkup pernyataan ditujukan pada keseluruhan tujuan analisis, untuk

keamanan informasi, tujuan – tujuan tersebut akan berdampak pada ancaman

terhadap integritas, kerahasiaan, dan ketersediaan dari informasi yang sedang

diproses oleh aplikasi atau system spesifik.

Saat melaksanakan analisis risiko, membutuhkan untuk fokus pada

bagaimana ancaman – ancaman tersebut berdampak pada tujuan bisnis atau

misi organisasi, dan bukan pada bagaimana ancaman – ancaman tersebut

berdampak pada tujuan keamanan.

25

2. Pembentukan tim yang kompeten

Tim harus mempunyai personil yang kompeten dan berkualifikasi. Agar

efektif, proses analisis risiko harus mencakup setidaknya beberapa area

dibawah ini :

a. Pemilik fungsional

b. Pengguna sistem

c. Analisis sistem

d. Kelompok pemrograman sistem

e. Kelompok pemrograman aplikasi

f. Administrator basis data

g. Keamanan fisik

h. Keamanan informasi

i. Manajemen Operasi Pemrosesan

j. Kelompok jaringan komunikasi

k. Legal ( jika dibutuhkan )

l. Auditing ( jika dibutuhkan )

3. Mengidentifikasi Ancaman – ancaman

Evaluasi dampak risiko pada organisasi akan dilakukan dengan

membagi-bagi risiko kedalam 3 golongan dari high, medium dan low.

26

Pembatasan Dampak Risiko

Dampak risiko Batasan

High Risiko pada klasifikasi ini dapat menimbulkan dampak terhadap

kinerja atau operasi bisnis yang sangat besar pada organisasi

untuk dapat terus mengembangkan potensi – potensi dalam

organisasi itu sendiri.

Medium Risiko pada klasifikasi ini biasanya sering terjadi dengan

kerugian yang masih dalam toleransi yang ditetapkan. Namun

risiko pada klasifikasi ini akan sangat mengganggu kinerja

organisasi bila dilihat dari besar kerugian dan frekuensi

kejadiannya.

Low Risiko pada klasifikasi ini dinilai tidak membawa dampak

terhadap kinerja organisasi dan dapat diperbaiki. Frekuensinya

kejadian risiko pada klasifikasi ini sangat jarang terjadi.

Tabel 2.8 – Tabel yang Berisi Dampak Risiko

Standar ukuran dari pembatasan tergantung pada keperluan organisasi, skala

bisnis dan kondisi, pembatasan yang berbeda akan disesuaikan untuk

organisasi yang berbeda.

Ukuran kemungkinan risiko bisa dilakukan menurut pembagian risiko

kedalam golongan dari kemungkinan tinggi (besar), kemungkinan sedang

(menengah), kemungkinan rendah (kecil).

27

2.9 Framework - Framework Manajemen Risiko Teknologi Informasi

Ada beberapa dalam penerapan manajemen resiko teknologi Informasi terdiri dari :

a. The Operationally Critical Threat, Asset and Vulnerability Evaluation

(OCTAVE) memungkinkan sebuah organisasi untuk memudahkan

pemilihan dalam web kompleks dari segi masalah organisasi dan

teknologi untuk memahami dan mengalamatkan risiko keamanan untuk

evaluasi risiko keamanan informasi. OCTAVE-S ini terdiri dari: tahap

identifikasi, tahap analisa, tahap perencanaan dan tahap implementasi,

tahap monitoring dan tahap kontrol.

b. OCTAVE-S merupakan variasi pendekatan yang lebih terbatas dan unik

di dalam suatu organisasi yang mempunyai ruang lingkup lebih kecil dan

merupakan suatu metode pecahan digunakan untuk perusahaan dengan

skala yang tergolong kecil, dimana karyawannya terdiri kurang dari 100

orang dan terdiri dari tiga tahap yaitu:

1. Tahap 1 : Build Asset-Based Threat Profiles (membuat riwayat

ancaman yang terkait dengan asset)

2. Tahap 2 : Identify Infrastructure Vulnerabilities (identifikasi

kerawanan infrastruktur)

3. Tahap 3 : Develop Security Strategy and Plans (mengembangkan

strategi dan rencana keamanan).

28

c. COBIT (Control Objectives for Information and Related Technology)

Terdapat tujuh kriteria informasi dari COBIT yaitu:

1. Effectiveness.

2. Efficiency.

3. Confidentiality.

4. Integrity.

5. Availability.

6. Compliance.

7. Reliability.

d. NIST (National Institute of Standard and Technology) mengeluarkan

rekomendasi melalui publikasi khusus 800-30. Dengan menerima resiko

(risk assumption), mencegah terjadinya resiko (risk avoidance),

membatasi level resiko (risk limitation), atau mentransfer resiko (risk

transference), terdiri dari 3 proses yaitu:

1. Proses Pengurangan Risiko (Risk Mitigation).

2. Proses Penilaian Risiko (Risk Assessment).

3. Proses Evaluasi Risiko (Risk Evaluation)

29

2.9.1 Framework OCTAVE

Gambar 2.9.1A Framework menggunakan pendekatan OCTAVE

1. Tahap Identifikasi

Identifikasi merupakan proses transformasi ketidakpastian dan isu tentang

seberapa baik asset organisasi dilindungi dari risiko. Tugas yang harus

dilakukan adalah identifikasi profil risiko (asset kritis, ancaman terhadap

asset, kebutuhan keamanan untuk asset kritis, deskripsi tentang dampak

risiko pada organisasi, dan komponen infrastruktur utama yang berhubungan

dengan asset kritis) dan identifikasi informasi organisasi (kebijakan, praktek

30

dan prosedur keamanan, kelemahan teknologi dan kelemahan organisasi saat

ini ).

2. Tahap Analisa

Analisa merupakan proses untuk memproyeksikan bagaimana risiko-risiko

ekstensif dan bagaimana menggunakan proyeksi tersebut untuk membuat

skala prioritas. Tugas dalam proses analisa adalah melakukan evaluasi risiko

(Nilai-nilai untuk mengukur risiko - risiko dampak dan peluang) dan skala

prioritas risiko (pendekatan pengurangan risiko, menerima atau mengurangi

risiko).

3. Tahap Perencanaan

Perencanaan merupakan proses untuk menentukan aksi-aksi yang akan

diambil untuk meningkatkan postur dan perlindungan keamanan asset kritis

tersebut. Langkah dalam perencanaan adalah mengembangkan strategi

proteksi, rencana mitigasi risiko, rencana aksi, budget, jadwal, kriteria

sukses, ukuran-ukuran untuk monitor rencana aksi, dan penugasab personil

untuk implementasi rencana aksi.

4. Tahap Implementasi

Implementasi merupakan proses untuk melaksanakan aksi yang direncanakan

untuk meningkatkan keamanan sistem berdasarkan jadwal dan kriteria sukses

yang didefinisikan selama perencanaan risiko.Implementasi menghubungkan

antara perencanaan dengan monitor dan kontrol.

31

5. Monitoring

Proses ini memonitor jejak rencana aksi untuk menentukan status saat ini dan

meninjau ulang data organisasi sebagai tanda adanya risiko baru dan

perubahan risiko yang ada. Langkah dalam proses monitor adalah melakukan

eksekusi rencana aksi secara lengkap, mengambil data (data untuk melihat

jalur rencana aksi terkini, data tentang indikator risiko utama) dan laporan-

laporan terkini dan indikator risiko utama.

6. Kontrol

Mengontrol risiko adalah proses yang didesain agar personil melakukan

penyesuaian rencana aksi dan menentukan apakah merubah kondisi

organisasi akan menyebabkan timbulnya risiko baru. Langkah dalam proses

monitor risiko adalah analisa data (analisa laporan terkini dan analisa

indikator risiko), membuat keputusan (keputusan tentang rencana aksi dan

keputusan tentang identifikasi risiko baru), dan melakukan eksekusi

keputusan (mengkomunikasikan keputusan, mengimplementasikan

perubahan rencana aksi, dan memulai aktifitas identifikasi risiko).

A. OCTAVE

The Operationally Critical Threat, Asset and Vulnerability Evaluation

(OCTAVE) memungkinkan sebuah organisasi untuk memudahkan pemilihan

dalam web kompleks dari segi masalah organisasi dan teknologi untuk

memahami dan mengalamatkan risiko keamanan.

32

Untuk evaluasi risiko keamanan informasi. OCTAVE menjelaskan sebuah

pendekatan untuk evaluasi risiko keamanan itu: luas, sistematis, penggerak

kontekstual dan pengarahan diri. Dalam bagian OCTAVE adalah sebuah

konsep pengarahan diri, dengan pengertian bahwa orang dari organisasi

mengatur dan mengarahkan evaluasi informasi risiko

Dalam bagian OCTAVE adalah sebuah konsep pengarahan diri, dimana

pengertian bahwa orang dari organisasi mengatur dan mengarahkan evaluasi

informasi risiko keamanan untuk sebuah organisasi.

Keamanan Informasi Menurut OCTAVE

Keamanan informasi adalah tanggung jawab dari setiap orang di dalam

organisasi, bukan hanya untuk departemen IT. Orang-orang dalam organisasi

perlu diarahkan. Aktivitas dan membuat keputusan mengenai usaha

peningkatan keamanan informasi.

OCTAVE dicapai dengan mendirikan bagian kecil, tim antar cabang ilmu

pengetahuan dalam menggambarkan pegawai dari pemilik organisasi, disebut

tim analisis untuk memimpin proses evaluasi organisasi.

Tim analisis termasuk orang dari dua yaitu unit bisnis dan bagian IT, karena

informasi keamanan meliputi kedua masalah bisnis dan teknologi. Orang dan

unit bisnis sebuah organisasi informasi apa yang penting untuk

menyelesaikan tugasnya sebaik -baiknya dengan cara bagaimana mereka

mengakses dan menggunakan informasi itu.

33

Staff teknologi informasi mengerti masalah yang berhubungan dengan

bagaimana cara menghitung infrastruktur yang digambarkan penting untuk

dijalankan. Kedua dari pandangan ini penting dalam memahami pandangan

organisasi mengenai risiko keamanan informasi secara umum.

Metode Pengukuran Risiko Teknologi Informasi

Menurut Alberts et al. (2005, p6-88), OCTAVE-S adalah pendekatan secara

langsung maksudnya orang-orang dari organisasi-organisasi yang

bertanggungjawab untuk mengatur strategi keamanan organisasi atau

organisasi. OCTAVE-S merupakan variasi pendekatan yang lebih terbatas

dan unik di dalam suatu organisasi yang mempunyai ruang lingkup lebih

kecil (kurang lebih 100 orang).

Agar OCTAVE-S berjalan dengan baik, setiap anggota harus merupakan

wawasan dan pengetahuan yang luas mengenai bisnis organisasi dan proses-

proses keamanan, agar semua dapat berjalan sesuai dengan aktifitasnya.

B. OCTAVE – S

Pada skripsi ini penulis menggunakan Metode pengukuran risiko teknologi

informasi dengan menggunakan OCTAVE-S volume 3 yang terdiri dari 3 fase

yaitu:

34

1. Membangun Asset Berbasis Profil Ancaman

Tahap pertama adalah sebuah evaluasi dari aspek organisasi. Selama dalam

tahap ini, tim analisis menggambarkan kriteria dampak evaluasi yang akan

digunakan nantinya untuk mengevaluasi risiko. Hal ini juga mengidentifikasi

asset-asset organisasi yang penting, dan evaluasi praktek keamanan sekarang

dalam organisasi.

Tim menyelesaikan tugasnya sendiri, mengumpulkan informasi tambahan

hanya ketika diperlukan. Kemudian memilih 3 dari 5 asset kritikal untuk

menganalisa dasar kedalaman dari hubungan penting dalam organisasi.

Akhirnya, tim menggambarkan kebutuhan-kebutuhan keamanan dan

menggambarkan profil ancaman pada setiap asset. Dimana pada tahap ini

terdiri atas 2 proses, yaitu identifikasi informasi organisasi dan membuat

profil ancaman yang memiliki enam aktivitas.

a. Mengidentifikasi Kerentanan Infrastruktur

Selama tahap ini, tim analisis melakukan peninjauan ulang level

tinggi dari infrastruktur komputer organisasi, berfokus pada keamanan yang

mempertimbangkan perawatan dari infrastruktur. Tim analisis pertama

menganalisis bagaimana orang-orang menggunakan infrastruktur komputer

pada akses asset kritis, menghasilkan kunci dari kelas komponen-komponen.

Tahap ini memiliki satu proses yaitu memeriksa perhitungan infrastruktur

dalam kaitannya dengan asset yang kritis dimana terdapat dua aktivitas.

35

b. Mengembangkan Strategi Keamanan dan Perencanaan.

Selama tahap ini, tim analisis mengidentifikasi risiko dari asset kritis

organisasi dan memutuskan apa yang harus dilakukan. Berdasarkan dari

pengumpulan analisis informasi, tim membuat strategi perlindungan untuk

organisasi dan mengurangi rencana risiko yang ditujukan pada asset kritis.

Kertas kerja OCTAVE-S yang digunakan selama tahap ini mempunyai

struktur tinggi dan berhubungan erat dengan praktek katalog OCTAVE,

memungkinkan tim untuk menghubungkan rekomendasi-rekomendasinya

untuk meningkatkan praktek keamanan dari penerimaan yang lebih tinggi.

Tahap ini terdiri atas 2 proses, yaitu identifikasi dan analisis risiko serta

mengembangkan strategi perlindungan dan rencana mitigasi, di mana proses

ini memiliki delapan aktivitas.

Manajemen risiko keamanan informasi memerlukan sebuah keseimbangan

kegiatan reaksi dan proaktif. Selama dalam evaluasi OCTAVE- S, tim

analisis memandang keamanan dari berbagai perspektif, memastikan

rekomendasi mencapai keseimbangan dasar yang sesuai pada kebutuhan

organisasi.

36

Hasil utama dari OCTAVE-S adalah terdiri dari 3 tingkatan, terdiri dari:

1. Strategi perlindungan organisasi yang luas: perlindungan strategi

yang digariskan pimpinan organisasi dengan cermat untuk praktek

keamanan informasi.

2. Rencana mitigasi risiko: rencana ini dimaksudkan untuk mengurangi

risiko dari asset kritikal dan meningkatkan praktek keamanan yang

dipilih.

3. Daftar tindakan: tindakan ini termaksud item tindakan jangka pendek yang

diperlukan untuk mengatasi kelemahan tertentu.

Setiap tahap OCTAVE-S memproduksi hasil yang bermanfaat sehingga

sebagian evaluasi akan menghasilkan informasi yang berguna untuk

meningkatkan sikap keamanan organisasi.

C. Framework COBIT

COBIT (Control Objectives for Information and Related Technology)

merupakan standard yang dikeluarkan oleh ITGI (The IT Governance

Institute). COBIT merupakan suatu koleksi dokumen dan framework yang

diklasifikasikan dan secara umum diterima sebagai latihan terbaik untuk tata

kelola (IT Governance), kontrol dan jaminan TI.

Referensi perihal manajemen risiko secara khusus dibahas pada proses PO9

dalam COBIT. Proses-proses yang lain juga menjelaskan tentang manajemen

risiko namun tidak terlalu detil.

37

GAMBAR 2.9.1C Framework Manajemen Risiko COBIT

Sumber :

www.swpark.or.th//itsec2003/download/IT%20Risk%20Management.PDF

Risiko adalah segala hal yang mungkin berdampak pada kemampuan organisasi

dalam mencapai tujuannya. Framework manajemen risiko TI dengan

menggunakan COBIT (gambar 2.9.1C) terdiri dari :

1. Penetapan Objektif

Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam

mendefinisikan objektif TI. Terdapat tujuh kriteria informasi dari COBIT

yaitu: effectiveness, efficiency, confidentiality, integrity, availability,

compliance, dan reliability.

2. Identifikasi Risiko

38

Tabel 2.9.1 a Kejadian (Events) yang mengganggu pencapaian objective organisasi

Identifikasi risiko merupakan proses untuk mengetahui risiko. Sumber risiko

bisa berasal dari :

1. Manusia, proses dan teknologi

2. Internal (dari dalam organisasi) dan eksternal (dari luar organisasi)

3. Bencana (hazard), ketidakpastian (uncertainty) dan kesempatan

(opportunity).

Dari ketiga sumber risiko tersebut dapat diketahui kejadian-kejadian yang

dapat mengganggu organisasi dalam mencapai objektifnya (tabel 2.9.1a).

39

3. Penilaian Risiko

Proses untuk menilai seberapa sering risiko terjadi atau seberapa besar

dampak dari risiko (tabel 2.9.1 b). Dampak risiko terhadap bisnis (business

impact) bisa berupa: dampak terhadap financial, menurunnya reputasi

disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan

asset yang dapat dinilai (sistem dan data), dan penundaan proses

pengambilan keputusan.

Tabel 2.9.1 b Tingkatan Besarnya Dampak Risiko dan Frekuensi Terjadinya

Risiko

Sedangkan kecenderungan (likelihood) terjadinya risiko dapat disebabkan

oleh sifat alami dari bisnis, struktur dan budaya organisasi, sifat alami dari

sistem (tertutup atau terbuka, teknologi baru dan lama), dan kendali-kendali

yang ada. Proses penilaian risiko bisa berupa risiko yang tidak dapat

dipisahkan (inherent risks) dan sisa risiko (residual risks).

40

4. Respon Risiko

Untuk melakukan respon terhadap risiko adalah dengan menerapkan kontrol

objektif yang sesuai dalam melakukan manajemen risiko. Jika sisa risiko

masih melebihi risiko yang dapat diterima (acceptable risks), maka

diperlukan respon risiko tambahan. Proses-proses pada framework COBIT

(dari 34 Control Objectives) yang sesuai untuk manajemen risiko adalah :

a. PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage

Risks)

b. AI6 (Manages Change)

c. DS5 (Ensure Sistem and Security) dan DS11 (Manage Data)

d. ME1 (Monitor and Evaluate IT Performance)

5. Monitor Risiko

Setiap langkah dimonitor untuk menjamin bahwa risiko dan respon berjalan

sepanjang waktu.

41

D. Framework NIST Special Publication 800-30

Gambar 2.9.1 D Proses-proses manajemen risiko

NIST (National Institute of Standard and Technology) mengeluarkan

rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide

for Information Technology System. Terdapat tiga proses dalam manajemen

risiko (gambar 2.9.1 D) yaitu :

1. Proses Penilaian Risiko (Risk Assessment)

Terdapat sembilan langkah dalam proses penilaian risiko yaitu :

a. Mengetahui karakteristik dari sistem Teknologi Informasi: Hardware,

software, sistem antarmuka (koneksi internal atau eksternal), data dan

informasi, orang yang mendukung atau menggunakan sistem, arsitektur

keamanan sistem, topologi jaringan sistem.

42

b. Identifikasi Ancaman yang mungkin menyerang kelemahan sistem

Teknologi Informasi. Sumber ancaman bisa berasal dari alam, manusia

dan lingkungan.

c. Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur

keamanan, desain, implementasi, dan internal kontrol terhadap sistem

sehingga menghasilkan pelanggaran terhadap kebijakan keamanan

sistem.

d. Menganalisa kontrol - kontrol yang sudah diimplementasikan atau

direncanakan untuk diimplementasikan oleh organisasi untuk mengurangi

atau menghilangkan kecenderungan (kemungkinan) dari suatu ancaman

menyerang sistem yang kerentanan.

e. Penentuan Kecenderungan (likelihood) dari kejadian bertujuan untuk

memperoleh penilaian terhadap keseluruhan kecenderungan yang

mengindikasikan kemungkinan potensi kerentanan diserang oleh

lingkungan ancaman yang ada.

f. Analisa dampak yang kurang baik yang dihasilkan dari suksesnya

ancaman menyerang kerentanan. Seperti kehilangan kepercayaan,

kehilangan ketersediaan dan kehilangan kenyamanan. Pengukuran

dampak dari risiko Teknologi Informasi dapat dilakukan secara kualitatif

maupun kuantitatif. Dampak tersebut dapat diklasifikasikan menjadi 3

bagian yaitu : Tinggi, sedang dan rendah.

g. Penentuan Level Risiko. Penentuan level risiko dari Sistem Teknologi

Informasi yang merupakan pasangat ancaman / kerentanan merupakan

suatu fungsi :

43

h. Kecenderungan suatu sumber ancaman menyerang kerentanan dari

sistem Teknologi Informasi.

i. Besaran dampak yang akan terjadi jika sumber ancaman sukses

menyerang kerentanan dari sistem Teknologi Informasi.

j. Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi

dan menghilangkan risiko.

k. Rekomendasi - rekomendasi untuk mengurangi level risiko sistem

Teknologi Informasi dan data sehingga mencapai level yang bisa

diterima.

l. Dokumentasi hasil dalam bentuk laporan.

2. Proses Pengurangan Resiko (Risk Mitigation)

Strategi di dalam melakukan pengurangan resiko misalnya dengan menerima

resiko (risk assumption), mencegah terjadinya resiko (risk avoidance),

membatasi level resiko (risk limitation), atau mentransfer resiko (risk

transference). Metodologi pengurangan resiko berikut menggambarkan

pendekatan untuk mengimplementasikan kontrol :

a. Memprioritaskan aksi. Berdasarkan level resiko

b. Yang ditampilkan dari hasil penilaian resiko, implementasi dari aksi

diprioritaskan. Output dari langkah pertama ini adalah ranking aksi-

aksi mulai dari tinggi hingga rendah

44

c. Evaluasi terhadap kontrol yang direkomendasikan

d. Pada langkah ini, Kelayakan (misal kompatibilitas, penerimaan dari

user) dan efektifitas (misal tingkat proteksi dan level dari

pengurangan resiko) dari pilihan-pilihan kontrol yang

direkomendasikan dianalisa dengan tujuan untuk meminimalkan

resiko. Output dari langkah kedua adalah membuat daftar kontrol-

kontrol yang layak.

e. Melakukan cost-benefit analysis. Suatu cost-benefit analysis

dilakukan untuk menggambarkan biaya dan keuntungan jika

mengimplementasikan atau tidak mengimplementasikan kontrol -

kontrol tersebut.

f. Memilih kontrol. Berdasarkan hasil cost-benefit analysis, manajemen

menentukan control dengan biaya paling efektif untuk mengurangi

resiko terhadap misi organisasi.

g. Memberikan tanggung jawab. Personil yang sesuai (personil dari

dalam atau personil yang dikontrak dari luar) yang memiliki keahlian

dan ketrampilan ditugaskan untuk mengimplementasikan pemilihan

kontrol yang diidentifikasi, dan bertanggung jawab terhadap yang

ditugaskan.

h. Mengembangkan rencana implementasi safeguard yang minimal

mengandung informasi tentang resiko (pasangat vulnerability/

ancaman) dan level resiko (hasil dari laporan penilaian resiko),

kontrol yang direkomendasikan (hasil dari laporan penilaian resiko,

aksi-aksi yang diprioritaskan (dengan prioritas yang diberikan

45

terhadap pilihan level resiko tinggi atau sangat tinggi), pilih kontrol

yang telah direncanakan (tentukan berdasarkan kelayakan, efektifitas,

keuntungan terhadap organisasi dan biaya), sumberdaya yang

dibutuhkan untuk mengimplementasikan pilihan kontrol yang telah

direncanakan, buat daftar staf dan personil yang bertanggung jawab,

tanggal dimulainya implementasi, tanggal target penyelesaian untuk

implementasi dan kebutuhan untuk perawatan.

i. Implementasikan kontrol yang dipilih.Tergantung pada situasi

tertentu, kontrol yang dipilih akan menurunkan resiko tetapi tidak

menghilangkan resiko. Output dari langkah ketujuh adalah sisa

resiko.

3. Proses Evaluasi Resiko (Risk Evaluation)

Pada proses ini dilakukan evaluasi apakah pendekatan manajemen resiko

yang diterapkan sudah sesuai. Kemudian dilakukan penilaian resiko kembali

untuk memastikan keberadaan resiko yang teridentifikasi maupun resiko

yang belum teridentifikasi.

Setelah dilakukan penelitian yang kami lakukan, kami mengambil kesimpulan

bahwa pelaksaan OCTAVE-S pada peneltian sebelumnya memiliki banyak

perbedaan yaitu:

Adanya kesimpulan pada setiap tabel yang ada didalam bab 4, ruang lingkup OCTAVE-

S dibatasi hanya 5 tahap yang membagi risiko menjadi beberapa langkah, adanya Spot

light yang memberikan penjelasan tingkat dari dampak risiko yang akan ditimbulkan

jika tinggi maka akan mengeluarkan lampu merah.