2 BAB II

LANDASAN TEORI

2.1 Teori Keamanan Informasi

Ketika suatu informasi berharga suatu organisasi berada di salah satu

anggotanya, maka kerentanan telah muncul. Karena itu dengan pemahaman dan

persepsi yang memadai akan isu keamanan informasi akan menyebabkan

perubahan perilaku anggota organisasi tersebut untuk melindungi informasi

berharga organisasi (Mattia, 2011).

Keamanan sistem informasi jauh lebih luas perspektifnya dibandingkan

dengan keamanan komputer. Hal tersebut termasuk sistem manual dan “human

processors.”(Mattia, 2011).

Penelitian Aishboul (2010) menunjukkan bahwa pentingnya korelasi antara

aset organisasi, gangguan keamanan data, dan evaluasi tingkat keamanan sistem

informasi. Selain itu, untuk mengelola tingkat keamanan informasi yang

diharapkan, haruslah mengimplementasikan prosedur, pengukuran tingkat

keamanan, serta panduan.

Allen (2007) mengutip pengertian pengelolaan keamanan informasi menurut

US National Institute of Standards and Technology (NIST) adalah suatu proses

dalam membangun dan mengelola suatu kerangka dan mendukung struktur

manajemen dan proses-proses untuk menyediakan keyakinan akan strategi

keamanan informasi. Selain itu, isu keamanan informasi pada dasarnya ada

budaya kelompok atau organisasi. Dengan terciptanya budaya akan mendorong

hubungan berkesinambungan antara kebijakan , proses, orang, dan kinerja (Allen,

2007).

Untuk mengetahui bagaimana organisasi menempatkan keamanan informasi

sebagai perhatian penting sekalian pengelolaan adalah dengan melihat bagaimana

pemimpin organisasi menyebarluaskan keyakinan, perilaku, kapabilitas, dan

tindakan yang sesuai dengan standar dan praktek yang biasa digunakan di tingkat

internasional secara periodik. (Allen, 2007).

2.2 Model Bisnis untuk Keamanan Informasi

Suatu kepercayaan umum, bahwa untuk menangani area kritis seperti

keamanan informasi, harus didukung dengan model yang telah terbukti berhasil.

Information Systems Audit and Control Association (ISACA) dalam publikasinya,

“An Introduction to the Business Model for Information Security” mengenalkan

Model Bisnis untuk Keamanan Informasi. Model ini merupakan model

manajemen keamanan sistemik, diciptakan oleh Dr Laree Kiely dan Terry Benzel

di USC Marshall School of Business Institute untuk Perlindungan Infrastruktur

Informasi Kritis (ISACA, 2010).

Model ini mengambil pendekatan yang berorientasi bisnis untuk mengelola

keamanan informasi. Pendekatan keamanan informasi tersebut bersifat dinamis

dalam konteks bisnis dan menunjukkan bahwa keamanan informasi perusahaan

dapat baik prediktif dan proaktif. Model ini dapat diadopsi tanpa memperhatikan

ukuran organisasi atau arus kerangka keamanan informasi organisasi di tempat itu.

Selain itu, model tersebut tidak tergantung pada setiap teknologi tertentu atau

perubahan teknologi dari waktu ke waktu. Model ini dapat diterapkan di berbagai

industri, geografi, peraturan dan sistem hukum. Model ini mencakup keamanan

informasi tradisional maupun privasi, berkaitaan dengan risiko, maupun secara

keamanan fisik dan kepatuhan (ISACA, 2010).

.

2.2.1 Organisasi

Unsur Organisasi, ditunjukkan dalam gambar di atas, merupakan komponen

penting dari Model Bisnis untuk Keamanan Informasi. Desain keseluruhan dari

perusahaan adalah salah satu bagian dari elemen ini, sedangkan strategi adalah

prasyarat menyeluruh yang mempengaruhi unsur Organisasi. Banyak pendekatan

Gambar 2.1 The Business Model for Information Security (ISACA, 2010)

untuk memfokuskan keamanan informasi pada Orang, Proses dan pandangan

teknologi keamanan, tetapi tidak memeriksa perusahaan secara keseluruhan.

Pendekatan ini mencakup aspek spesifik dari kesulitan dan masalah diamati, tanpa

menyertakan aspek-aspek lain dari perusahaan secara keseluruhan yang mungkin

telah berkontribusi terhadap pengamatan ini. Pendekatan ini sering berpusat pada

teknologi atau proses, tapi tanpa pemahaman tentang kekuatan sekitar yang

mungkin menetralisir usaha pengamanan informasi.

2.2.2 Proses

Elemen Proses menyediakan kaitan penting untuk semua Model. Proses

diciptakan untuk membantu organisasi mencapai strategi mereka. Proses adalah

kegiatan terstruktur yang diciptakan untuk mencapai hasil tertentu melalui

individu atau serangkaian tugas yang diterapkan secara konsisten. Elemen Proses

menjelaskan praktek dan prosedur sebagai orang dan organisasi ingin mereka

capai. Proses adalah persyaratan mendasar bagi suatu perusahaan untuk

mengembangkan, menyebarluaskan, mendidik dan menegakkan praktik dan

prosedur keamanan dalam suatu cara yang sedang berlangsung.

2.2.3 Teknologi

Teknologi seringkali bagian paling kompleks dari program keamanan

informasi dalam model ini. Teknologi memberikan praktisi keamanan banyak alat

untuk mencapai misi dan strategi keamanan informasi perusahaan secara

keseluruhan, termasuk parameter keamanan generik kerahasiaan, integritas dan

ketersediaan. Namun, tidak semua teknologi yang ada untuk keamanan informasi,

meskipun sering ada kesalahpahaman bahwa investasi di bidang teknologi akan

menyelesaikan setiap dan semua masalah keamanan.

2.2.4 Orang

Orang merupakan sumber daya manusia dalam suatu organisasi-dalam,

kontraktor karyawan, vendor dan penyedia layanan. Orang-orang utama dalam

Model Bisnis untuk Keamanan Informasi adalah mereka yang bekerja atau

berhubungan dengan organisasi.

Namun, dalam situasi outsourcing, hubungan beberapa vendor atau

pengelolaan layanan solusi teknologi, ada lingkaran kedua dimana ada orang yang

tidak langsung bekerja di dalam atau untuk organisasi. Ini lingkaran orang yang

lebih luas perlu dipertimbangkan, tetapi dampak mereka pada keamanan mungkin

tidak berada dalam elemen Orang. Sebagai contoh, penyedia layanan help desk

dapat dilihat sebagai suatu Proses dalam elemen, dan setiap efek sistemik

berbasis orang akan melalui Munculnya. Dalam prakteknya, hasil akhir dari

perubahan sistemik tentang orang sering kali sama-terlepas dari apakah orang

internal atau eksternal yang diperbantukan.

Keamanan informasi menurut ISO/IEC 17799: 2005 adalah:

the ‘preservation of the confidentiality, integrity and availability of

information; in addition, other properties, such as authenticity, accountability,

non-repudiation and reliability can also be involved’. Dengan kata lain, ada tiga

unsur utama yang terkandung dalam konteks keamanan informasi, yaitu:

confidentiality, integrity, dan availibiliy, selain itu tambahannya adalah keaslian,

akuntabilitas, tidak mengelak, dan keandalan Lebih lanjut pengertian tiga unsur

utama tersebut adalah sebagai berikut.

1. Confidentiality

ISO/IEC 27001 mendefinisikan confidentiality adalah bahwa informasi

tidak tersedia atau diungkapkan kepada individu, entitas, atau proses yang tidak

sah. Misalnya pengungkapan informasi pada pihak tidak berhak secara lisan, surat

elektronik, menyalin, mencetak dokumen, dan sebagainya.

2. Integrity

ISO/IEC 27001 mendefinisikan integrity adalah tindakan menjaga

keakuratan dan kelengkapan aset. Integritas suatu data bukan hanya benar, tetapi

juga terpercaya. Sebagai contoh, jika sebuah informasi disalin ke dalam USB atau

mengupload ke email, maka informasi tersebut bukan hanya tidak rahasia lagi,

tetapi telah diragukan integritasnya. Sebab, jika sebuah file/data telah digandakan,

maka akan terbuka kemungkinan risiko untuk diubah atau mengalami modifikasi.

3. Availability

ISO/IEC 27001 mendefinisikan availability sebagai aset yang dapat diakses

dan digunakan saat diminta oleh entitas yang berwenang. Ketersediaan dapat

diukur dengan sebagai contoh adalah dalam konteks bisnis memiliki web portal

yang aman melawan serangan Denial of Service (DoS) atau bila ketersediaan

infrastruktur komputer tidak dapat diyakini bekerja pada sistem organisasi, hal ini

menyebabkan proses atau orang-orang tidak dapat bekerja pada saat itu.

Veiga (2007) mengatakan Komponen keamanan informasi dapat dijelaskan

sebagai prinsip yang memungkinkan implementasi dan maintenance keamanan

informasi seperti kebijakan keamanan informasi, penilaian risiko, pengendalian

teknikal, dan kesadaran keamanan informasi. Semua komponen tersebut meliputi

Information Security Governance Framework.

2.3 Manajemen Risiko

Wheeler (2011) menyatakan bahwa pengertian risiko yang dilekatkan pada

informasi adalah kemungkinan frekuensi dan kemungkinan besarnya kehilangan

kerahasiaan, ketersediaan, integritas, atau akuntabilitas pada masa depan.

Kerahasiaan, keakuratan, dan ketersediaan merupakan elemen penting

dalam keamanan informasi. Risiko gangguan terhadap elemen tersebut merupakan

hal yang sangat mungkin terjadi. Karena itu untuk meminimalkan risiko serta

mengupayakan agar sistem informasi tetap berjalan dibutuhkan suatu manajemen

atas risiko tersebut.

Gallagher (2012) menyatakan bahwa proses manajemen risiko yaitu: (1)

memetakan risiko, (2) menilai risiko, (3) respon terhadap risiko, dan (4)

pemantauan risiko.

Jayawardhana (2009) menyatakan bahwa risiko yang dihadapi organisasi

yang kurang memadai yaitu: kerusakan operasional, kerusakan reputasi, dan

kerusakan legal. Kerusakan ini bisa berdampak jangka pendek dan jangka

panjang.

Manajemen risiko merupakan salah satu bagian terpenting dalam

pengelolaan keamanan sistem informasi. Agar pengelolaan risiko tersebut berjalan

efektif, ISO/IEC 27001: 2005 memberikan klausul bahwa organisasi harus

menjalankan manajemen risiko. Di dalam ISO/IEC 27001: 2005, manajemen

risiko disempurnakan oleh pengembangan manajemen risiko, dimana aset,

ancaman, dan kerentanan diidentifikasi dan risiko sepadan diukur.

Jones (2007) menyatakan bahwa ada empat prinsip dasar yang mendukung

strategi manajemen risiko, yaitu: koordinasi, kredibilitas, efektivitas, dan

transparansi. Jones menjelaskan keempat prinsip tersebut sebagai berikut:

1. Koordinasi

Ketika suatu risiko berhasil diidentifikasi, hal itu boleh jadi akan berdampak

pada bagian lain dalam organisasi. Orang yang bertanggung jawab atas risiko

tersebut perlu diberikan otoritas untuk mengkoordinasikan setiap risiko yang

muncul pada berbagai area yang relevan.

2. Kredibilitas

Pendekatan manajemen risiko sedapat mungkin proaktif dan proporsional

dan ancaman (threats) potensial dan kerentanan seharusnya ditangani sebelum

ada dampak. Ketika tindakan diambil, seharusnya biaya berimbang dengan

dampak potensial.

3. Efektivitas

Pendekatan manajemen risiko harus kuat dan mencakup seluruh aspek dari

proses. Pendekatan tersebut harus dapat berlaku bagi pengawasan internal maupun

eksternal dan seharusnya dibangun dari praktek yang berlaku umum (best

practices).

4. Transparansi

Agar proses manajemen risiko dapat berjalan efektif, maka dibutuhkan

keterbukaan akan proses tersebut. Pada risiko yang telah diidentifikasi, staf yang

berkaitan harus diberikan akses pada informasi terkait sesuai dengan kebutuhan

organisasi.

Lebih lanjut Jones (2007) menjelaskan bahwa untuk menjelaskan prinsip

dan komponen esensial dari proses manajemen risiko keamanan, diperlukan

kerangka risiko (risk framework). Kerangka tersebut akan menjelaskan bagaimana

risiko keamanan informasi yang signifikan dapat diidentifikasi (identified), dinilai

(assessed), dievaluasi (monitored), dan diperlakukan (treated). Pemetaan

kerangka risiko tersebut terhadap siklus model plan-do-check-act (PDCA) dapat

dilihat pada gambar berikut.

Gambar 2 Pemetaan kerangka risiko pada model PDCA

Tremper (2005) menyatakan fungsi umum yang biasa digunakan dalam

menghitung risiko adalah: RISK = Probability x Impact, dimana probability

ialah ukuran kemungkinan suatu kejadian, dan impact adalah ukuran dampak jika

hal tersebut terjadi.

2.3.1 Identifikasi risiko

Identifikasi risiko secara akurat merupakan kegiatan penting dalam

manajemen risiko. Setiap organisasi memiliki cara tersendiri dalam membuat

daftar hasil identifikasi risiko. Pentingnya membuat identifikasi maupun pemetaan

risiko agar organisasi memahami risiko bisnisnya dan selanjutnya membuat

mitigasinya.

Gallagher (2012) menyatakan bahwa memetakan risiko bertujuan untuk

menghasilkan strategi manajemen risiko yang menunjukkan bagaimana organisasi

bermaksud menilai risiko, merespons risiko, dan memantau risiko.

Identifikasi risiko terdiri dari:

1. Kepatuhan terhadap standar dan regulasi

Pada semua organisasi, ada regulasi tertentu yang meminta agar organisasi

untuk memenuhi standar yang diatur. Sebagai contoh produk perundangan seperti

Sarbanes Oxley dan Basel II, standar sektor perdagangan, dan juga standar dan

kebijakan yang berlaku secara internasional yang diadopsi oleh organisasi.

Regulasi yang relevan harus diidentifikasi dan persayaratan dalam regulasi

tersebut harus dipahami.

2. Identifikasi aset dan proses

Pengidentifikasian aset dan proses dilakukan untuk melihat elemen mana

saja yang akan menjadi subjek penilaian risiko. Identifikasi ini akan mencakup

aset berwujud (tangible assets) dan aset tak berwujud (intangible assets). Selain

itu, bila organisasi menggunakan teknologi informasi dalam operasinya, maka

pemahaman komprehensif akan lingkungan operasi bisnis mesti ditangkap

(captured). Sebuah survey dapat dilakukan untuk untuk menangkap dan merekam

sumber daya (resources), lokasi, konfigurasi hardware dan software, antar muka

(interface) dan saling ketergantungan (interdependencies).

3. Pemetaan lingkungan teknologi informasi

Tujuan melakukan pemetaan lingkungan teknologi informasi adalah

memperoleh pemahaman akan infrastruktur teknologi informasi organisasi untuk

mengidentifikasi secara utuh kebutuhan keamanan informasi. Pemetaan ini

mencakup pemetaan infrastruktur yang mendukung fungsi-fungsi bisnis dan

kebijakan keamanan, standar, dan prosedur yang sedang digunakan. Hal ini juga

mengkaji teknologi informasi terkait dengan hukum dan persyaratan yang telah

diatur.

4. Identifikasi risiko

Proses pengidentifikasian risiko dilakukan untuk mengetahui informasi yang

memadai agar dilakukan perhitungan akan nilai setiap ancaman (threat) dan

kerentanan (vulnerabilities) yang telah teridentifikasi. Nilai tersebut berdasarkan

kemungkinan ancaman mengekspolitasi kerentanan dan tingkat dampak yang

muncul dari ancaman yang mengeksploitasi kerentanan yang ada terdapat pada

sistem. Dampak didefinisikan sebagai kehilangan kerahasiaan (confidentiality),

integritas (integrity), dan ketersediaan (availibility). Proses tersebut dapat dilihat

pada gambar berikut.

Penjelasan gambar di atas adalah sebagai berikut:

(1) pengidentifikasian ancaman potensial pada sistem;

(2) pengidentifikasian kerentanan yang dapat dieksploitasi;

(3) pengidentifikasian pengendalian dan penanggulangan

(countermeasures) yang memitigasi kemungkinan (likelihood)

kerentanan yang dapat dieksploitasi;

(4) Perhitungan tingkat dampak yang dibuat oleh ancaman yang

mengeksploitasi kerentanan;

(5) Perhitungan tingkat risiko ancaman yang mengeksploitasi

kerentanan spesifik; dan

Gambar 2.3 Identifikasi Risiko (Jones, 2007)

(6) Pengidentifikasian dan pendokumentasian risiko residu.

5. Kepemilikan risiko

Kepemilikan risiko yaitu orang yang bertanggung jawab untuk memastikan

strategi penanggulangan risiko telah memadai, dan orang yang memiliki otoritas

untuk memastikan tindakan yang tepat telah dilakukan.

2.3.2 Penilaian risiko

Proses penilaian risiko dicapai dengan pembentukan keterkaitan kualitatif

dan kuantitatif antara risiko-risiko yang telah teridentifikasi. Hal tersebut meliputi

proses penentuan signifikansi pasangan ancaman dan kerentanan, dan

pengestimasian risiko yang mungkin muncul terhadap sistem akibat ancaman dan

kerentanan tersebut. Bila dilihat dari sudut pandang perencanaan, hal-hal yang

berkaitan dengan penilaian risiko adalah sebagai berikut:

1. Perencanaan pengurangan risiko

(1) Evaluasi atas pilihan dan identifikasi solusi yang diharapkan

Pada bagian ini, rencana keamanan informasi bertujuan untuk memperkuat

perlindungan.

(2) Prioritas terhadap tindakan

Hal-hal yang perlu dipertimbangkan dalam menentukan prioritas antara

lain: dampak potensial bagi organisasi, biaya pencegahan dibandingkan

biaya akibat gangguan, waktu, tenaga dan kompleksitas penerapan,

kemungkinan keberhasilan, dan konsekwensi pengendalian yang baru atas

suatu proses.

(3) Pembuatan dan penerapan suatu rencana aksi keamanan

Sebuah rencana aksi keamanan adalah dokumen yang bertujuan untuk

mengetahui langkah-langkah yang tepat dalam rangka mengatasi

permasalahan disertai dengan jadwal waktu penerapannya.

(4) Review kebijakan dan prosedur

Pada bagian ini, dilakukan perbaikan atas tindakan yang telah dilakukan,

perbaikan tersebut dapat bersumber dari analisis atas pelajaran yang

diperoleh (lesson learned) dan analisis kejadian setelah suatu tindakan

telah diambil.

(5) Pembangunan rencana manajemen krisis

Pada bagian ini, serangkaian skenario kemungkinan krisis disusun setelah

laporan penilaian risiko diterbitkan. Rencana manajemen krisis terdiri dari

analisis ruang lingkup skenario krisis potensial dan pembangunan rencana

tindak atas respon dari skenario krisis.

(6) Pembangunan rencana komunikasi

Pada bagian ini, dibangun rencana komunikasi untuk meyakinkan setiap

anggota organisasi tahu siapa orang yang berkaitan dengan aspek

komunikasi selama krisis.

(7) Pengembangan rencana pemulihan setelah krisis

Pada bagian ini, dibangun rencana secara sistematis untuk mengembalikan

krisis ke operasi normal, serta meyakinkan biaya pemulihan setelah krisis

masih di dalam anggaran organisasi.

2. Pemodelan risiko

Tujuan melakukan pemodelan risiko adalah menyajikan aspek keamanan

informasi organisasi untuk mengeksplorasi sistem dengan menggunakan

pertanyaan apa-jika (what-if scenario). Contoh: apa dampak kerentanan yang ada

dalam sistem?, apa hal yang harus dilakukan untuk mengurangi dampak pada

sebuah insiden?, penanggulangan apa yang efektif?

3. Pengujian

Tujuan pengujian yaitu mengetahui apakah perencanaan maupun prosedur

yang telah dirancang dapat memberikan hasil yang diharapkan. Selain itu pada

tahapan ini dilakukan review atas implementasi perencanaan, merumuskan

kembali perencanaan, dan melakukan kembali rencana tersebut. pada dasarnya

dalam manajemen risiko, haruslah dilihat sebagai sebuah siklus dari mulai

pengidentifikasian risiko, penilaian risiko, perlakuan risiko, dan monitoring dan

pelaporan risiko.

2.3.3 Analisis Risiko

Munteanu (2006) menyimpulkan bahwa pengukuran resiko keamanan

merupakan pekerjaan yang sulit, yang hampir tidak mungkin dilakukan secara

akurat, untuk sebuah SI. Pada literatur keamanan informasi, dapat dilihat bahwa

dalam metode kuantitatif terdapat tahapan penilaian value of the assets. Dalam

memperoleh nilai aset, seperti aset berupa informasi atau database, sangat terbuka

peluang munculnya subjektifitas penilai. Sebab dalam penilaian tersebut, terdiri

dari beberapa elemen yang harus ditaksir. Elemen tersebut antara lain, nilai dari

kompetitis aset, biaya perangkat lunak, biaya untuk melindunginya, dan lain-lain.

Sedangkan pada metode kualitatif menggunakan kuesioner untuk memperoleh

fakta, melalui estimasi secara statistik, dengan penilaian low, medium dan high,

sehingga ditemukan kesulitan dalam menghitung kerugian finansial jika hanya

berdasarkan asumsi atau judgment.

Mazareanu (2007) menyimpulkan bahwa pada pendekatan kualitatif sangat

didominasi oleh pengukuran yang subjektif, sedangkan pada pendekatan

kuantitatif dapat meniadakan sifat subjektif yang ada, sehingga akan lebih objektif

dibandingkan metode kualitatif.

Hasil penelitian yang dituliskan oleh Munteanu (2006), bahwa pendekatan

kualitatif dan kuantitatif, sama-sama tidak dapat terlepas dari penilaian yang

bersifat subjektif, karena pada pendekatan kuantitatif pun ditemukan tahapan

dimana perlu dilakukan sebuah perkiraan dan judgment dari peneliti agar dapat

menilai value of asset, nilai dari kompetitif aset, biaya perangkat lunak, biaya

untuk melindunginya. Sedangkan hasil penelitian yang dituliskan oleh Mazareanu

(2007), menyatakan bahwa pendekatan kuantitif dapat menghilangkan penilaian

yang bersifat subjektif, karena melakukan penilaian dengan angka-angka yang

akurat dan terukur.

2.3.4 Penanggulangan risiko

Ada empat penanggulangan terhadap risiko setelah berhasil diidentifikasi,

yaitu sebagai berikut:

1. Penghindaran risiko (risk avoidance)

Penghindaran risiko berarti tidak melakukan aktivitas apapun yang

memungkinkan datangnya risiko. Menghindari semua risiko berarti membatasi

seluruh fungsionalitas sistem atau menghindari timbulnya biaya tambahan bila

risiko diterima.

2. Pengurangan risiko (risk reduction)

Pengurangan risiko adalah perlakuan yang mencakup metode yang diambil

untuk mengurangi keparahan akibat suatu insiden. Contoh pengurangan risiko

antara lain penggunaan pengendalian internal yang efektif, penggunaan firewall

dan intruder detection systems (IDSs) untuk mengurangi kemungkinan serangan

terhadap kerentanan, atau simplifikasi proses bisnis yang dapat mengurangi risiko

atau mengurangi biaya.

3. Penerimaan risiko (risk acceptance)

Penerimaan risiko adalah perlakuan dimana risiko dari insiden dapat

diterima. Penerimaan terhadap suatu risiko dapat menjadi layak ketika dampak

atau kemungkinannya kecil, atau biaya untuk menanggulanginya lebih kecil dari

kemungkinan dampak yang dihasilkan. Risiko yang tidak semuanya dihindari,

dikurangi, atau dialihkan merupakan bagian dari penerimaan risiko.

4. pengalihan risiko (risk transfer)

Pengalihan risiko berarti mengalihkan risiko ke pihak lain. Contoh

pengalihan risiko adalah asuransi.

Pilihan perlakuan atas risiko terkait dengan frekuensi dan dampaknya

tersebut dapat dilihat pada gambar berikut.

Gambar 2.4 Pilihan perlakuan risiko (Jones, 2007)

Menurut Krutz (2003), dengan menggunakan kontrol keamanan informasi,

diharapkan akan mampu meredam risiko yang ada, dimana kontrol akan memiliki

fungsi sebagai berikut:

- Kontrol pencegahan (preventive control), yaitu kontrol yang befungsi

melakukan pencegahan dari upaya-upaya melanggar kebijakan dan aturan

keamanan informasi.

- Kontrol pendeteksi (detective control): yaitu kontrol yang berfungsi

melakukan peringatan adanya pelanggaran yang terjadi sebagai upaya

pelanggaran kebijakan atau aturan keamanan informasi. Beberapa detective

control overlap dengan preventive control, karena sebuah kontrol dapat

digunakan sebagai preventive untuk masa depan, dan detective untuk

kejadian saat ini.

- Kontrol koreksi (corrective control), yaitu kontrol yang berfungsi untuk

melakukan recovery dari dampak yang telah ditimbulkan oleh terjadinya

risiko.

2.3.5 Monitoring dan pelaporan risiko

1. Monitoring risiko

Monitoring risiko adalah aktivitas pemantauan yang dilakukan pihak

internal dalam tiap jangka waktu tertentu. Monitoring risiko dapat berupa

pengelolaan dokumentasi atas accidents dan incidents yang berpengaruh terhadap

sistem informasi, pengidentifikasian risiko baru yang mungkin terjadi serta

pendeteksian perubahan atas risiko yang telah teridentifikasi, menyediakan

peringatan atas kerentanan dan insiden, dan mengelola rencana manajemen risiko.

2. Pelaporan

Pelaporan yang efektif merupakan elemen mendasar dari manajemen risiko.

Suatu pelaporan risiko seharusnya menyediakan informasi yang terpercaya dan

relevan bagi para pembaca agar pembaca memperoleh pemahaman yang cukup

atas risiko yang mengancam organisasi. Selanjutnya, atas pemahaman tersebut

digunakan untuk pengambilan keputusan.

Penilaian risiko merupakan bagian penting dari manajemen risiko dan

berhubungan dengan mengidentifikasi dan grading risiko bagi organisasi. Peltier

(2009) menyatakan bahwa penilaian risiko adalah serangkaian proses untuk

mengidentifikasi ancaman (threats) secara sistematis dan dan menentukan level

risiko berdasarkan metode spesifik. Dengan mengetahui tingkat risiko, organisasi

dapat mengidentifikasi pengukuran pengendalian untuk mengurangi risiko yang

dapat diterima. Penilaian risiko memiliki empat tahapan utama, yaitu

mengidentifikasi ancaman terhadap misi organisasi, memprioritaskan ancaman

tersebut ke tingkat risiko, mengidentifikasi mitigasi kontrol atau perlindungan,

dan membuat rencana aksi untuk menerapkan kontrol-kontrol yang meringankan

risiko.

Penilaian risiko terdiri dari analisis risiko dan evaluasi risiko. Analisis risiko

adalah pendekatan sistematis memperkirakan besarnya risiko. Evaluasi risiko

adalah proses membandingkan estimasi risiko terhadap kriteria risiko untuk

menentukan signifikansi risiko (ISO 17799).

2.4 Sistem Manajemen Keamanan Informasi

Sistem Manajemen Keamanan Informasi (SMKI) merupakan bagian dari

manajemen secara keseluruhan. Informasi dipandang sebagai aset penting sama

seperti aset perusahaan lainnya, karena itu bagi perusahaan adalah hal yang

penting untuk menggunakan pendekatan risiko dalam mengelola aset tersebut

(ISO 27001:2005). Pengamanan atas aset informasi tersebut mencakup aspek

kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability).

Tujuan pengamanan atas informasi tersebut pada dasarnya adalah melindungi

informasi dari berbagai ancaman agar aktivitas bisnis dapat terus berlangsung

serta risiko bisnis dapat terminimalisasi.

Sistem Manajemen Keamanan Informasi (SMKI) diterapkan dengan

menggunakan model Plan Do Check Act (PDCA). Tahapan dalam model tersebut

adalah sebagai berikut (SNI ISO/IEC 27001:2009).

1. Plan (penetapan SMKI)

Menetapkan kebijakan, sasaran,proses dan prosedur SMKI yang sesuai

untuk pengelolaan risiko dan perbaikan keamanan informasi agarmenghasilkan

hasil yang sesuai dengan kebijakan dan sasaran organisasi secara keseluruhan.

2. Do (penerapan dan pengoperasian SMKI)

Menerapkan dan mengoperasikan kebijakan, pengendalian, proses, dan

prosedur SMKI.

3. Check (pemantauan dan pengkajian SMKI)

Mengases dan, apabila berlaku, mengukur kinerja proses terhadap

kebijakan, sasaran SMKI dan pengalaman praktis dan melaporkan hasilnya

kepada manajemen untuk pengkajian.

4. Act (peningkatan dan pemeliharaan SMKI)

Mengambil tindakan korektif dan pencegahan berdasarkan hasil internal

audit SMKI dan tinjauan manajemen atau informasi terkait lainnya,untuk

mencapai perbaikan berkesinambungan dalam SMKI.

Hubungan antara Plan, Do, Act, dan Check dalam SMKI dapat dilihat pada

gambar berikut.

Manfaat implementasi dari sistem manajemen keamanan informasi yang

komprehensif, seperti yang disebutkan oleh Jalil (2004) dari hasil survei adalah

sebagai berikut:

1. Meningkatkan pemahaman terhadap aspek-aspek bisnis

2. Mengurangi pelanggaran pengamanan atau keluhan

3. Mengurangi publikasi yang merugikan

4. Memperbaiki rating dari liabilitas jaminan perusahaan

5. Mengidentifikasi aset-aset kritikal melalui penilaian risiko bisnis

6. Menjamin bahwa modal pengetahuan akan disimpan dalam sistem manajemen

bisnis

7. Meningkatkan faktor kepercayaan diri, baik internal maupun eksternal

8. Pendekatan sistematik

9. Menyediakan struktur untuk perbaikan terus menerus

10. Meningkatkan pengetahuan dan kepentingan dari isu-isu tentang pengamanan

di level manajemen

Kakkar (2012) menyatakan bahwa kebutuhan utama sistem manajemen

keamanan informasi adalah untuk mengelola risiko terkait keamanan informasi.

Dengan membangun sistem manajemen keamanan informasi, organisasi dapat

menentukan tingkat keamanan, rencana mitigasi, dan menyebarkan risiko terkait

aset-aset tersebut pada upaya-upaya penanggulangan secara teknikal. Selain itu,

sistem manajemen keamanan informasi memungkinkan untuk membantu

organisasi dalam membangun pemahaman akan aktivitas utama bisnis dan strategi

serta mengidentifikasi risiko-risiko terkait aktivitas tersebut.

Gambar 2.5 Pemetaan ISMS/SMKI terhadap model PDCA

Namun Kakkar (2012) menyatakan bahwa bahwa pemilihan dan

implementasi sistem manajemen keamanan informasi memiliki kelemahan dalam

kondisi berikut:

1. Definisi ruang lingkup kebijakan keamanan informasi adalah langkah krusial.

Banyak organisasi memilih ruang lingkup yang terlalu terbatas untuk

meminimalisasi kompleksitas, namun ketika tahap implementasi, mereka tidak

efektif melakukannya.

2. Tujuan utama sistem manajemen keamanan informasi pada dasarnya adalah

keuntungan keamanan informasi terhadap organisasi. Banyak organisasi

mengimplementasikan sistem manajemen keamanan informasi hanya untuk

mendapatkan sertifikasi dan menunjukkannya pada pelanggan. Hal ini

menyebabkan tujuan penerapan sistem manajemen keamanan informasi

berisiko kehilangan kefektifannya.

3. Implementasi sistem manajemen keamanan informasi membutuhkan biaya.

Karena itu manajemen seharusnya memahami bahwa keuntungan (akan

keamanan informasi) tidak pernah gratis.

4. Sebelum tergantung akan sistem manajemen keamanan informasi, organisasi

harus memahami bahwa keberhasilan dan keefektifan sistem manajemen

keamanan informasi sangat tergantung pada faktor kesadaran dan ketertarikan

orang di dalamnya.

5. Di beberapa organisasi, banyak orang yang enggan mengambil tanggung

jawab dalam kaitannya kewajiban keamanan karena takut akan kesalahan dan

kelalaian. Manajemen seharusnya menyadari bahwa keberhasilan tidak dapat

dicapai dalam waktu semalam, karena itu dibutuhkan tindakan proaktif agar

memberikan hasil nyata.

6. Kesadaran dan training tentang kebijakan keamanan informasi, prosedur dan

keuntungannya adalah faktor kunci keberhasilan sistem manjemen keamanan

informasi. Hal itu membutuhkan partisipasi aktif orang-orang dari setiap level

dalam organisasi.

7. Meski sistem manajemen keamanan informasi dilakukan oleh orang-orang.

Namun kenyataannya faktor teknologi dan teknikal merupakan faktor

mayoritas dalam pengimplementasiannya. Karena itu dibutuhkan analisis

selanjutnya seperti biaya, kelayakan praktikal, keefektifan, kegunaan,

keuntungan, dan seterusnya.

8. Setelah pengimplementasian sistem manajemen keamanan informasi, langkah

penting selanjutnya adalah melakukan assessment dan pengembangan.

Assessment seharusnya dilakukan secara komprehensif, tertata dengan baik,

dan fokus pada tujuan. Hasil studi menunjukkan bahwa banyak organisasi

tidak melakukan assesstment secara menyeluruh, sehingga dampak ancaman

internal dan eksternal boleh jadi terdapat dalam perlindungan data sementara

belum pernah ditentukan risiko yang dapat diterima dimana seharusnya dapat

dirumuskan seperti apa pengamanannya.

9. Frekuensi audit dan assessment juga memegang peranan penting. Assessment

yang terlalu cepat di awal akan mengeluarkan banyak biaya dan tidak

memberi banyak perubahan, sementara assessment yang terlalu lama di akhir

akan membuat terlalu banyak risiko keamanan.

10. Mengembangkan sistem manajemen keamanan informasi setelah adanya hasil

audit merupakan hal yang penting. Menunda pengembangan berarti tidak ada

pengembangan. Pengembangan yang dilakukan tepat waktu berarti

peningkatan akan keuntungan dari sistem manajemen keamanan informasi.

Banyak organisasi yang menunda melakukan perbaikan pada kebijakan

keamanan maupun teknologinya. Hal ini berarti memperbesar risiko akan

keamanan informasinya.

Calder dan Watkins (2006) menyatakan bahwa ketika bahaya keamanan

informasi begitu jelas mengancam kerahasiaan, integritas, dan ketersediaan,

tanggung jawab stratejik untuk menyelamatkan aset informasi bukan hanya

pekerjaan Chief Information Officer(CIO).

2.5 ISO 27001: 2005

ISO 27001: 2005 merupakan standar spesifikasi kebutuhan sistem

manajemen keamanan informasi yang dikeluarkan oleh the International

Organisation for Standardisation (ISO) dan the International Electrotechnical

Commission (IEC) pada bulan Oktober 2005.

Standar ini telah disiapkan untuk menyediakan model untuk penetapan,

penerapan, pelaksanaan, pemantauan, pengkajian, pemeliharaan dan perbaikan

sebuah Sistem Manajemen Keamanan Informasi (SMKI).

ISO/IEC 27001:2005 awalnya muncul sebagai BS 7799 (standar Inggris)

pada tahun 1999. BS7799 diinsiasi oleh Departemen Industri dan Perdagangan

Inggris bersama dengan sektor industri terkemuka di Inggris. Awalnya BS 7799

adalah sebuah standar praktek manajemen keamanan informasi. Bagi organisasi

yang SMKI-nya berkembang dengan baik, dapat menerapkan BS7799 dengan

baik. Namun, saat itu tidak ada yang bisa memperoleh sertifikasi BS7799, sebab

United Kingdom Accreditation Service (UKAS), sebuah badan yang bertugas

memberi akreditasi pada badan sertifikasi di Inggris, tidak masuk ke ranah

BS7799. BS7799 part 1 direvisi oleh British Standard Institute (BSI) pada tahun

2000, menjadi ISO/IEC 17799:2000. Pada tahun 2002, part 2 dari BS7799

diluncurkan dengan nama BS7799-2. Pada part 2 ini telah mencakup SMKI, lebih

dari sekedar code of practice, dan telah mendekati standar manajemen mutu

seperti ISO 9000. Alasan mengapa BSI memutuskan agar BS7799 dijadikan

sebagai standar manajemen keamanan informasi internasional adalah agar setiap

organisasi dapat melindungi proses bisnis dan aktivitas untuk mencapai kebutuhan

bisnis dengan berbagai macam kontrol. Dengan menggunakan best practice

internasional diharapkan banyak organisasi dapat mengamankan prosesdan

aktivitias bisnis untuk mencapai tujuan.

Pada 15 Juni 2005, diluncurkan dengan secara eksplisit menggabungkan

Plan-Do-Check-Act ke dalam konsep siklus proses, akhirnya ISO 27001:2005

menggantikan ISO/IEC 17799:2000.

Pada tahun 2009, Indonesia melalui Badan Standardisasi Nasional (BSN)

menyusun standar SNI ISO/IEC 27001: 2009 “ Teknologi informasi – Teknik

Keamanan – Sistem manajemen keamanan informasi – Persyaratan” disusun

secara adopsi identik terhadap standar ISO/IEC 27001:2005, Information

technology – security techniques- Information security management systems –

Requirements, dengan metode terjemahan oleh Panitia Teknis Sistem Manajemen

Mutu yang dibentuk oleh BSN.

ISO/IEC 27001 adalah bagian dari standar manajemen keamanan informasi

seri 27000. Adapun seri lengkapnya sebagai berikut.

1. ISO/IEC 27000 – Overview and Vocabulary;

2. ISO/IEC 27001:2005 – ISMS Requirements (revised BS7799 Part 2:200);

3. ISO/IEC 27002:2005 – Code of Practice for Information Security

Management; sebelumnya ISO/IEC 17799;

4. ISO/IEC 27003 – ISMS Implementation Guidance;

5. ISO/IEC 27004 – Information Security Management Measurement;

6. ISO/IEC 27005 – Information Security Risk Management;

7. ISO/IEC 27006 – Requirements for bodies providing audit and

certification of information security management systems.

SMKI merupakan suatu proses dan bukan suatu produk, dalam hal ini dapat

diartikan sebagai suatu proses yang bertujuan untuk mengidentifikasikan dan

meminimalkan resiko keamanan informasi sampai ketingkat yang dapat diterima,

proses dimaksud haruslah dapat dikelola sesuai dengan standar yang telah

ditetapkan.

ISO telah memperkenalkan Standar ini dengan konsep “Sistem Manajemen"

ke dalam bidang keamanan, yang secara garis besar dapat dikatakan sebagai suatu

perangkat yang diambil dari sistem yang berkualitas untuk

menyimpan/memelihara proses keamanan di bawah kendali yang secara sistematis

dan dari waktu ke waktu dengan menjelasankan peran, tanggung-jawab, prosedur

formal dan saluran komunikasi. Dimana suatu Sistem Manajemen Keamanan

Informasi yang efektif dan efisien mengizinkan perusahaan/organisasi untuk:

1. Secara konstan diperbaharui atas adanya ancaman baru dan poin-poin penting

serta mengambilnya ke dalam pertimbangan sistematis

2. Menangani kecelakaan dan kerugian dari segi pandangan pencegahan dan

peningkatan sistem berlanjut

3. Mengetahui ketika kebijakan dan prosedur tidak cukup diterapkan pada

mulanya untuk mencegah kerusakan

4. Menerapkan kebijakan dan prosedur tentang pentingnya manajemen

keamanan, dengan mengikuti "prosedur praktek terbaik" dan manajemen

resiko yang baik.

ISMS tidak spesifik mengarah ke salah satu industri, namun merupakan

kerangka kerja yang dengan memodifikasinya dapat diterapkan di berbagai

industri seperti perbankan, pemerintahan, manufaktur dan sebagainya.

Struktur ISO/IEC 27001:2005 ini terdiri dari 11 klausa utama, 39 kontrol

obyektif, dan 134 kontrol individual. Masing-masing area kontroltersebut

menyediakan panduan dan best practices dalam membuata suatu pengamanan

yang efektif. Kesebelas klausa utama tersebut yaitu:

1. Security Policy (Kebijakan keamanan);

Kebijakan keamanan informasi bertujuan untuk menyediakan arahan dan

dukungan manajemen untuk keamanan informasi termasuk regulasi.

2. Organization of information security (Organisasi keamanan informasi);

Organisasi keamanan informasi merupakan proses yang diimplementasikan

untuk pengelolaan keamanan informasi dalam organisasi.

3. Asset Management (Manajemen aset);

Bertujuan untuk memelihara perlindungan yang sesuai terhadap aset

organisasi

4. Human resources security (Keamanan sumberdaya manusia);

Bertujuan untuk mengurangi risiko terjadinya human error, pencurian,dan

penyalahgunaan fasilitas

5. Physical and Environmental Security (Keamanan fisik dan lingkungan);

Bertujuan untuk mencegah akses yang tidak terotorisasi, kehancuran, dan

campur tangan pada informasi dan proses bisnis.

6. Communication and operations management (Komunikasi dan manajemen

operasi );

Bertujuan untuk menjamin ketepatan dan keamanan fasilitas pemrosesan

informasi.

7. Access Control (Kendali Akses);

Bertujuan untuk mengontrol akses informasi.

8. Information systems acquisition, development and maintenance (Akuisisi

sistem informasi, pengembangan dan pemeliharaan);

Bertujuan uyntuk menjamin pengamanan sistem informasi.

9. Information security incident management (Manajemen kejadian keamanan

informasi);

Bertujuan untuk menjamin insidaen yang berkaitan denganpenamanan

indormasi dikomuniakasikandan ditangani melalui tindakan korektif.

10. Business continuity management (Manajemen kesinambungan bisnis);

Bertujuan untuk mengamankan interupsi pada aktivitas bisnis dan untuk

melindungi proses bisnis yang kritikal dari kegagalan yang terjadi ataupun

bencana.

11. Compliance (kepatuhan terhadap peraturan).

Bertujuan untuk menghindari terjadinya kriminalitas,pelanggaran hukum

dan pelanggaran peraturan.

Hui Lin (2012) mengatakan bahwa pada dasarnya organisasi dapat memilih

framework apa yang digunakan dalam rangka sistem manajemen keamanan

informasi, apakah yang sifatnya kontrol yang spesifik seperti ISO 27001 atau

yang sifatnya IT processes seperti COBIT. Dan bahkan dapat menggabungkan

beberapa framework sesuai kebutuhan organisasi tersebut.

Jayawickrama (2006) mengatakan bahwa kelebihan organisasi mengadopsi

ISO 27001:2005 sebagai sistem manajemen keamanan informasi adalah karena

ISO 27001:2005 memiliki pendekatan yang sistematis dan komprehensif atas

keamanan suatu prosesn sistem pengendalian. Salah satunya adalah penilaian

risiko dan rencana aksi atas fokus penilaian risiko dari suatu sistem atau proses

yang mempertimbangkan banyak faktor-faktor yang dapat berdampak pada

ketergantungan organisasi secara internal maupun eksternal.

ISO 27001:2005 mendefinisikan critical success factor dalam implementasi

pengamanan informasi yaitu sebagai berikut:

1. Kebijakan, tujuan dan kegiatan pengamanan informasi yang

mencerminkan tujuan bisnis;

2. Pendekatan dan kerangka untuk mengimplementasian, memelihara,

memonitor,dan memperbaiki pengamanan informasi yang konsisten

dalam budaya organisasi;

3. Dukungan dan komitmen yang jelas dari seluruh level manajemen

4. Pemahaman yang baik tentang keburuhan pengamanan informasi, risk

assessment, dan risk management;

5. Sosialiasi yang efektif tentang pengamanan informasi kepada semua

manaher, personil, dan pihak lain untuk menumbuhkan awareness

(kesadaran);

6. Distribusi panduan kebujakan pengamanan informasui,dan standar

kepada seluruh manajer,personil, dan pihak lain;

7. Komitmen untuk mendanai kegiatan manajemen pengamanan informasi;

8. Penyediaan training awareness dan pendidikan yang memadai;

9. Menetapkan proses manejemen insiden pengamanan informasi yang

efektif;

10. Implementasi dari sistem pengukuran yang digunakan untuk

mengevaluasi kinerja dalam manajemen oengamanan informasi dan

umpan balik untuk perbaikan.

2.6 Pengendalian Aplikasi

GAO (2009) menyatakan bahwa dalam evaluasi suatu pengendalian sistem

informasi, meliputi pengendalian umum dan pengendalian aplikasi. Suatu entitas

harus memiliki pengendalian umum dan pengendalian aplikasi yang efektif untuk

mencapai kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan

(availibility) informasi kritis yang sesuai.

ISACA (2009) memberikan pengertian pengendalian aplikasi adalah

kumpulan kebijakan, prosedur dan aktivitas yang dirancang untuk menyediakan

keyakinan yang memadai dimana tujuan-tujuan relevan dengan solusi otomatis

yang diberikan tercapai. Tujuan-tujuan tersebut yaitu:

1. Kelengkapan (completeness)

2. Akurasi (accuracy)

3. Validitas (validity)

4. Otorisasi (authorisation)

5. Pemisahan fungsi (segregation of duties)

2.7 Analytic Hierarchy Process

Analytic Hierarchy Process (AHP) adalah analisis pengambilan keputusan

dengan multi kriteria yang diperkenalkan oleh Saaty (1990). AHP merupakan

metode pengambilan keputusan dengan memetakan masalah ke dalam suatu

hierarki. Pada dasarnya, metode AHP adalah menempatkan tiap-tiap masalah dan

mendefinsikan dalam bentuk variabel, menatanya dalam susunan hierarki,

selanjutnya dengan pertimbangan subyektif memberi nilai tentang pentingnya

pada variabel tersebut dan selanjutnya menghitung serta menetapkan variabel

mana yang memiliki prioritas tertinggi dalam mempengaruhi situasi tersebut.

AHP lebih disukai karena problem pengambilan keputusan yang sangat

kompleks (dengan faktor berwujud atau tidak berwujud) dapat dibangun dengan

baik (Syamsuddin, 2011). Selanjutnya para pengambil keputusan dapat

memadukan analisis kualitatif dan kuantitatif dengan menggunakan teknik ini

(Syamsuddin, 2011). AHP juga telah terbukti sebagai teknik pengambilan

keputusan yang sudah terpakai luas 25 tahun atau lebih (Vadya dan Kumar,

2006).

Secara umum, ada empat langkah yang diambil dalam pengimplementasian

AHP (Saaty,1990), yaitu:

Langkah pertama, susun permasalahan dalam hirarki. Langkah ini

berisikan cara untuk memetakan permasalahan dalam elemen-elemen yang sesuai

dengan karakteristiknya dan bentuknya. Model pemetaan ini terdiri dari tiga level

yaitu: goal, criteria, dan alternatives.

Langkah kedua, bandingkan dan peroleh matriks judgment. Pada langkah

ini elemen pada tiap level dibandingkan dengan level di atasnya. Hasilnya berupa

local weight tiap level.

Langkah ketiga, rata-rata tertimbang (weight sum factor) dan konsistensi

perbandingan. Pada langkah ini menentukan weight sum factor tiap elemen dari

matriks dengan mengalikan row average dengan matriks awal, dan consistency

vector dengan membagi weight sum vector dengan row average.

Setelah mendapatkan consistency vector, lalu dapat dihitung lambda dan

consistency index dengan lambda (λ ) adalah rata-rata dari consistency vector

dan consistency index (CI) dengan rumus :

dimana n adalah jumlah item dari sistem yang dibandingkan. Setelah

mendapatkan consistency index (CI), bisa didapatkan consistency ratio (CR)

dengan rumus :

Dengan random index (RI) yang didapat dari tabel random index berikut

Untuk mendapatkan hasil yang konsisten, maka nilai dari consistency ratio

(CR) harus lebih kecil sama dengan 0,10. Jika CR lebih besar dari 0,10 maka

keputusan yang diambil harus dievaluasi ulang.

Langkah keempat, menghitung local weight antar level untuk menentukan

final weight dari alternatif-alternatif. Pada langkah ini, seluruh local weight

dikumpulkan dan dihitung secara keseluruhan untuk menentukan berapa final

weight untuk tiap alternatif-alternatif keputusan.