|
BAB 2
LANDASAN TEORI
2.1 Teknologi Informasi
2.1.1
Pengertian Teknologi Informasi
Menurut Sawyer
dan
Williams
(2006, p3), Information
Technology is
general
term describe various technologies
that
assist
for
producing, manipulation, storage,
communication and disseminate information. (teknologi
informasi adalah istilah
umum
yang
mendeskripsikan
berbagai teknologi
yang
membantu
untuk
memproduksi,
manipulasi, penyimpanan, komunikasi dan menyebarluaskan informasi).
Jadi, pengertian teknologi
informasi adalah alat
yang mendukung aktifitas
sebuah sistem informasi.
Menurut penelitian Anonymous, Computer Weekly News (2010). Technopedia
and
The
IT
Genome
Center
showcase
BDNA's extensive industry content," said
Constantin Delivanis, CEO of BDNA and co-founder of Sand Hill Group. "Mapping the
DNA of business - the IT Genome - shows businesses what they're made of." The IT
Genome Center - Enterprise DNA Mapping According to industry analysts, 80 percent
of
IT
spending
goes
toward
internal
costs and only 20 percent to growth. Built on
Technopedia, The IT Genome Center can help CIOs to eliminate 75 percent of IT waste
and free budget for innovation...
|
|
2.1.2
Evolusi Perkembangan Teknologi Informasi
Menurut Indrajit (2002, p7), perkembangan teknologi yang sedemikian cepatnya
telah membawa dunia memasuki era baru yang lebih cepat dari
yang dibayangkan
sebelumnya.
Setidaknya
ada
empat
era
yang penting sejak ditemukannya komputer
sebagai alat pegolahan data sampai dengan era internet saat komputer menjadi senjata
utama dalam berkompetisi.
Empat era perkembangan teknologi komputer, adalah :
a. Era Komputerisasi
Dimulai
sekitar
tahun
1960-an,
dimana minicomputer
dan
mainframe
mulai
diperkenalkan ke dunia industri, kemampuan menghitungnya yang cepat mengakibatkan
banyak
perusahaan
yang
memanfaatkannya untuk
keperluan
pengolahan
data
(data
processing). Pemakaian komputer saat ini ditujukan untuk meningkatkan efisiensi,
karena terbukti untuk pekerjaan tertentu, menggunakan komputer jauh lebih efisien (dari
segi biaya dan waktu).
b. Era Teknologi Informasi
Di awal tahun 1970-an, teknologi PC atau Personal Computer mulai
diperkenalkan
sebagai
alternatif
pengganti minicomputer.
Pada
era
ini
komputer
memasuki babak barunya, yaitu sebagai suatu fasilitas yang dapat memberikan
keuntungan kompetitif
bagi perusahaan,
terutama
yang
bergerak
di bidang pelayanan
atau jasa.
c. Era Sistem Informasi
Teori-teori manajemen organisasi modern secara intensif mulai diperkenalkan di
awal
tahun 1980-an dan kunci
keberhasilan perusahaan
di
era tahun
1980-an
adalah
penciptaan dan penguasaan informasi secara cepat dan akurat.
|
|
d. Era Globalisasi Informasi
Sulit untuk menemukan teori yang menjelaskan semua fenomena yang terjadi
sejak awal tahun 1990-an, namun fakta yang terjadi dapat disimpulkan bahwa tidak ada
yang dapat menahan lajunya dari perkembangan teknologi informasi. Keberadaannya
yang telah menghilangkan garis batas antarnegara dalam hal flow of information. Tidak
ada
negara yang
mampu
mencegah
mengalirnya informasi
dari
atau
ke
luar
negara,
karena batasan antarnegara tidak dikenal dalam dunia maya.
2.2 Hardware dan Software
Menurut Haag, Cummings dan McCubbrey (2005, p15), ada 2 kategori dasar
dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan fisik yang
menyusun sebuah komputer (sering dikenal sebagai sistem komputer). Software adalah
kumpulan instruksi-instruksi yang menjalankan hardware untuk menyelesaikan tugas
tertentu.
Hardware dibagi menjadi enam kategori yaitu (1) input device, (2) output device,
(3) storage device, (4) CPU dan
RAM, (5) telecommunications device, (6) connecting
device.
Input device adalah peralatan yang digunakan untuk memasukkan informasi dan
perintah yang terdiri dari keyboard, mouse, touch screen, game controller dan bar code
reader. Output device adalah peralatan yang digunakan untuk melihat, mendengar, atau
sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer,
monitor dan speaker. Storage device adalah peralatan yang digunakan untuk menyimpan
informasi yang digunakan di lain waktu terdiri atas hard disk, flash memory card dan
DVD. CPU adalah hardware
yang
mengartikan dan menjalankan sistem dan
instruksi-
|
|
instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware.
RAM
adalah
sebuah
kawasan
sementara
untuk informasi yang bekerja seperti halnya
sistem, dan instruksi aplikasi software yang dibutuhkan CPU sekarang ini.
Telecommunications device adalah peralatan yang digunakan untuk mengirim informasi
dan
menerima informasi dari orang atau komputer
lain dalam satu jaringan contohnya
modem.
Connecting hardware
termasuk
hal-hal
seperti
terminal
paralel
yang
menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal
paralel dan peralatan penghubung internal yang sebagian besar termasuk alat pengantar
untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya.
Ada
2
tipe
utama
dari
software, yaitu
application
dan
system.
Application
software
yang
memungkinkan
untuk
menyelesaikan masalah-masalah
spesifik atau
menampilkan tugas-tugas spesifik. System software yaitu menangani tugas-tugas spesifik
untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan teknologi.
Di
dalam system software
ditemukan
operating
system
software dan
utility
software.
Operating
system
software adalah software sistem
yang
mengendalikan
software
aplikasi
dan
mengelola
bagaimana
peralatan hardware
bekerja
bersama-sama.
Utility
software adalah software yang
menyediakan
tambahan
fungsionalitas
untuk
mengoperasikan
sistem
software seperti
antivirus
software,
screen savers, disk
optimization software.
2.3 Jaringan
Menurut Turban, Rainer, Porter (2003, p178), sebuah jaringan komputer, terdiri
atas
media
komunikasi
peralatan-peralatan dan
software
yang
dibutuhkan
untuk
menghubungkan dua atau
lebih sistem komputer dan peralatan. Ada 2 ukuran jaringan
|
|
yang umum, yaitu LAN (Local Area Networks) dan WAN (Wide Area Networks). MAN
(Metropolitan
Area
Network) berada
di
antara
dua
ukuran
tersebut.
LAN
menghubungkan dua atau lebih alat
komunikasi
sampai
2000
kaki
(biasanya
dalam
gedung yang sama). Jadi, setiap pengguna alat dalam jaringan memiliki potensi untuk
berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang terdiri atas
kumpulan telepon atau jaringan International seperti penyedia layanan komunikasi
global, mungkin milik komersial, swasta, atau publik.
2.4 Internet, Intranet, Ekstranet
Menurut Turban, Rainer, Porter (2003, G11), internet adalah elektronik dan
jaringan telekomunikasi yang besar yang menghubungkan komputer bisnis, konsumen,
instansi pemerintah, sekolah, dan organisasi lainnya di seluruh dunia, yang
menggunakan pertukaran informasi secara lancar terbuka. Intranet adalah jaringan
pribadi
yang
menggunakan
jaringan
internet dan
perangkat
lunak
protokol
TCP
/
IP,
umumnya berupa, internet swasta, atau segmen kelompok swasta dari jaringan internet
publik.
Ekstranet
adalah
jaringan
yang aman
yang
menghubungkan
mitra
bisnis
dan
intranet lewat internet dengan menyediakan akses ke wilayah masing-masing perusahaan
intranet; perpanjangan dari intranet.
2.5 Risiko
2.5.1 Pengertian Risiko
Menurut Peltier (2001, p21), risiko adalah seseorang atau sesuatu yang membuat
atau menyarankan sebuah bahaya.
|
|
Menurut Djojosoedarso (2003, p2), pengertian risiko antara lain:
1. Risiko
adalah
suatu
variasi
dari
hasil-hasil
yang dapat
terjadi
selama
periode
tertentu (Arthur Williams dan Richard, M.H)
2. Risiko adalah ketidakpastian
(uncertainty)
yang mungkin
melahirkan peristiwa
kerugian (loss) (A.Abas Salim)
3. Risiko adalah ketidakpastian atas terjadinya suatu peristiwa (Soekarto)
4. Risiko merupakan penyebaran / penyimpangan hasil aktual dari hasil yang
diharapkan (Herman Darmawi)
5. Risiko
adalah
probabilitas
sesuatu
hasil / outcome
yang berbeda
dengan
yang
diharapkan (Herman Darmawi)
Definisi-definisi tersebut dapat disimpulkan bahwa risiko selalu dihubungkan
dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak diduga / tidak
diinginkan.
2.5.2
Macam-Macam Risiko
Menurut Gondodiyoto (2006), dari berbagai sudut pandang, risiko dapat
dibedakan dalam beberapa jenis :
1. Risiko Bisnis (Business Risks)
Risiko
Bisnis
adalah
risiko
yang
dapat disebabkan
oleh
faktor-faktor
intern
maupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi
(business goals/objectives).
2. Risiko Bawaaan (Inherent Risks)
Risiko Bawaan adalah potensi kesalahan atau penyalahgunaan yang melekat
pada suatu kegiatan, jika tidak ada pengendalian intern.
|
|
3. Risiko Pengendalian (Control Risks)
Dalam suatu
organisasi
yang
baik
seharusnya sudah
ada
Risk Assessment,
dan
dirancang pengendalian intern secara optimal terhadap setiap potensi risiko.
Risiko
Pengendalian
ialah
masih adanya
risiko
meskipun
sudah ada
pengendalian.
4. Risiko Audit (Audit Risks)
Risiko Audit adalah risiko bahwa hasil pemeriksaan auditor ternyata belum dapat
mencerminkan keadaan yang sesungguhnya.
Menurut Gondodiyoto (2006, p303), ancaman utama
terhadap keamanan dapat
bersifat karena alam, manusia, yang bersifat kelalaian atau kesengajaan, antara lain :
a. Ancaman kebakaran
Beberapa pelaksanaan keamanan untuk ancaman kebakaran :
-
Memiliki alat pemadam kebakaran otomatis dan tabung
pemadam
kebakaran
-
Memiliki pintu atau tangga darurat
-
Melakukan
pengecekan rutin
dan
pengujian
terhadap sistem
perlindungan kebakaran untuk dapat memastikan bahwa segala
sesuatunya telah dirawat dengan baik.
b. Ancaman banjir
Beberapa pelaksanaan pengamanan untuk ancaman banjir :
-
Semua material asset sistem informasi ditaruh ditempat yang tinggi
-
Pelaksanaan
pengamanan
untuk
mengantisipasi
perubahan
tegangan
sumber energi listrik, misalnya: stabilizer atau power supply (UPS)
-
Perubahan tegangan sumber energi
|
|
c. Kerusakan Struktural
Pelaksanaan
pengamanan
untuk
mengantisipasi
kerusakan struktural
misalnya:
memilih lokasi perusahaan yang jarang terjadi gempa, angin ribut, banjir.
d. Penyusup
Pelaksanaan pengamanan untuk mengantisipasi penyusup adalah penempatan
penjaga dan penggunaan alarm, atau kamera pengawas.
e. Virus
Pelaksanaan pengamanan untuk mengantisipasi virus adalah :
-
Preventif , seperti menginstall anti virus dan melakukan update secara rutin.
-
Detektif , misalnya melakukan scan file sebelum digunakan
-
Korektif, misalnya
memastikan back
up data bebas virus, pemakaian anti virus
terhadap file yang terinfeksi.
f.
Hacking
Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking :
-
Penggunaan kontrol logical seperti penggunaan password yang sulit tebak.
-
Petugas keamanan secara teratur memonitor sistem yang digunakan.
2.5.3
Karakteristik dan Wujud Risiko
Menurut Djojosoedarso (2005, p3), karakteristik risiko merupakan ketidakpastian
atas
terjadinya
suatu
peristiwa
dan
merupakan
ketidakpastian
bila terjadi akan
menimbulkan kerugian.
Menurut Djojosoedarso (2005, p3), wujud dari risiko itu
dapat bermacam-
macam, antara lain :
|
|
a.
Berupa
kerugian
atas
harta
milik/kekayaan atau
penghasilan,
misalnya
diakibatkan oleh kebakaran, pencurian, pengangguran dan sebagainya.
b. Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan.
c.
Berupa
tanggung jawab
hukum,
misalnya
risiko dari
perbuatan
atau
peristiwa
yang merugikan orang lain.
d.
Berupa kerugian karena perubahan keadaan pasar, misalnya terjadi perubahan
harga, perubahan selera konsumen dan sebagainya.
2.5.4
Upaya Penanggulangan Risiko
Menurut Djojosoedarso (2005, p4), upaya-upaya untuk menanggulangi risiko
harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai
dengan sifat dan objek yang terkena risiko,
ada beberapa cara yang dapat dilakukan
perusahaan untuk meminimumkan risiko kerugian, antara lain :
1.
Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya
peristiwa yang menimbulkan kerugian.
2. Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, dan
untuk mencegah terganggunya operasi perusahaan akibat
kerugian tersebut
disediakan sejumlah dana untuk menanggulanginya.
3. Melakukan pengenadalian terhadap risiko.
4. Mengalihkan / memindahkan risiko kepada pihak lain.
Tugas dari manager risiko adalah berkaitan erat dengan upaya memilih dan
menentukan cara-cara / metode
yang paling efisien dalam penanggulangan risiko
yang
dihadapi perusahaan.
|
|
2.6 Risiko Teknologi Informasi
2.6.1
Kategori Risiko Teknologi Informasi
Menurut Hughes
(2006,
p36),
dalam penggunaan
teknologi
informasi berisiko
terhadap kehilangan informasi dan pemulihannya yang tercakup dalam 6 kategori, yaitu:
a)
Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak
berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan terorisme
cyber.
b)
Ketersediaan
Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena
kesalahan
manusia
(human error), perubahan konfigurasi, dan kurangnya
penggunaan arsitektur.
c)
Daya Pulih
Risiko
dimana
informasi
yang
diperlukan tidak dapat dipulihkan dalam waktu
yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras,
ancaman eksternal, atau bencana alam.
d)
Performa
Risiko
dimana
informasi
tidak
tersedia saat diperlukan, yang
diakibatkan
oleh
arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi
yang beragam.
e)
Daya Skala
Risiko
yang
perkembangan
bisnis,
pengaturan bottleneck,
dan bentuk
arsitekturnya
membuatnya
tidak
mungkin menangani banyak aplikasi baru dan
biaya bisnis secara efektif.
|
|
f)
Ketaatan
Risiko yang manajemen atau penggunaan informasinya melanggar keperluan
dari
pihak
pengatur.
Yang
dipersalahkan
dalam hal
ini
mencakup
aturan
pemerintah, panduan pengaturan perusahaan dan kebijakan internal.
2.6.2
Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p49), risiko-risiko teknologi didefinisikan
dalam 7 kelas,
dimana pada
setiap
kasus, teknologi
informasi
dapat juga
melakukan
kesalahan, tetapi konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis.
Kelas-kelas risiko yaitu :
1. Projects-failing to deliver
Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari
gagalnya penyampaian proyek adalah menyelesaikan proyek yang ada telat / tidak pada
waktunya, sumber daya dan biaya yang di konsumsi dalam penyelesaian proyek besar
sehingga tidak efisien, mengganggu proses bisnis selama proses implementasi, dan juga
fungsi dari proyek tidak sesuai dengan keinginan dari yang diharapkan user.
2. IT service continuity-when business operations go off the air
Risiko ini berhubungan dengan pelayanan TI yang ketinggalan zaman dan tidak
dapat diandalkan
sehingga
mengganggu
proses bisnis
yang
sedang
berjalan. Biasanya
berhubungan
dengan
sistem operasional
dan
produksi
perusahaan
serta
kemampuan
mereka untuk menyediakan kebutuhan dari user.
3. Information assets-failing to protect and preserve
Risiko
ini
berhubungan
khusus
dengan
kerusakan,
kehilangan
dan
eksploitasi
aset informasi yang ada dalam sistem.
Dampaknya bisa sangat
fatal bagi perusahaan,
|
|
contohnya
informasi
yang penting
bisa
dicuri oleh
perusahaan
kompetitor,
detail dari
kartu kredit dapat dilihat oleh pihak yang tidak berwenang, sehingga dengan demikian
akan
merusak
hubungan antara pelanggan dengan perusahaan. Ini
tentunya akan sangat
merugikan perusahaan.
4. Service providers and vendors-breaks in the IT value chain
Risiko
ini
berhubungan
dengan
kemampuan
dari provider
dan vendor.
Bila
mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan berdampak
significant
bagi sistem
TI perusahaan. Dampak
lainnya berhubungan dengan
dampak
jangka panjang
seperti kekurangan dalam penyediaan layanan
TI bagi user perusahaan
tersebut.
5. Applications-flaky systems
Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi
biasanya
berinteraksi
dengan
user dan
dalam
suatu
perusahaan
biasanya
terdapat
kombinasi antara software paket dan software buatan yang diintegrasikan menjadi satu.
6. Infrastructure-shaky foundations
Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI. Infrastuktur
adalah suatu nama yang umum bagi komputer maupun jaringan yang sedang dipakai dan
berjalan
di
perusahaan
tersebut.
Didalam infrastuktur
juga termasuk
software,
seperti
Operation System dan Database Management System.
Kegagalan infrastuktur TI bisa bersifat
permanen,
ketika
suatu
komponen
terbakar,
dicuri, rusak maupun koneksi jaringannya sedang putus, maka dampak dari kegagalan
tersebut tergantung dari ketahanan sistem yang ada. Apabila terdapat sistem yang sudah
tidak kompatibel dengan model yang baru, maka sistem tersebut perlu diganti. Apabila
|
|
risiko
ini dapat ditangani secara rutin, maka
itu
merupakan suatu perencanaan jangka
panjang yang baik.
7. Strategic and energent-disabled by IT
Risiko
ini berhubungan dengan
kemampuan
TI
untuk
memberitahukan strategi
bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat
significant
dalam pelaksanaan bisnis
secara
luas.
Risiko
merupakan
kemampuan
dari
perusahaan
untuk terus bergerak maju kearah visi strategi, untuk tetap kompetitif diperlukan
kemajuan TI untuk dipahami dan dicocokan dengan potensi kesempatan eksploitasi bagi
bisnis.
2.6.3
Langkah Pemecahan Risiko Teknologi Informasi
Menurut Jordan dan Silcock
(2005,
p7),
ada
3
langkah
kunci dalam membuat
risiko
informasi
teknologi berjalan
untuk
anda,
dalam
menempatkan diri anda
dalam
satu posisi dimana anda dapat hidup dengan risiko :
1)
Anda perlu
menempatkan kepemimpinan dan
manajemen yang tepat pada
tempatnya melalui teknologi informasi dan kerangka cara pengaturan risiko.
2)
Anda perlu menggabungkan cara anda mengurus risiko informasi teknologi
dengan mengadopsi sebuah pendekatan manajemen tas surat yang proaktif.
3)
Anda perlu
mengatur
kompleksitas dengan
secara aktif
mengatur
setiap
jenis
risiko informasi teknologi.
2.7 Pengertian Manajemen
Robbins
and
Coulter
(2007,p37),
management
is
coordinating
and
overseeing
the work activities of others so that their activities are completed efficiently and
|
|
effectively (manajemen adalah mengkoordinasi dan mengawasi aktivitas kerja orang lain
sehingga aktivitas mereka selesai dengan efektif dan efisien).
Menurut penelitian Michael dan
Bruce
(2010), Chair
of
the
discussion
group
Ruth Fischer of R2 Consulting (Contoocook, NH) welcomed everyone and gave a brief
description of the discussion group as one being focused on a variety of issues
pertaining to professionalism in technical services. The discussion during the mid-winter
meeting in Philadelphia centered on the appropriate roles for copy catalogers compared
to those of professional catalogers. During the annual conference, the meeting's topic
was in part an outgrowth of management issues raised in January and in recognition of
just how
important
inspired
management
is
in
the world of
rapid
change in today's
library
environment.
Fisher
noted that
many
librarians
have
been
promoted
into
positions with management components without ever having any real formal training (or
experience) in managing per se. Many excellent professional librarians are promoted to
management-level positions simply because they are very good at their job, not
necessarily because they are good at managing.
2.8 Manajemen Risiko
2.8.1
Pengertian Manajemen Risiko
Manajemen risiko adalah proses mengenali risiko dan
mengembangkan metode
untuk
kedua
meminimalkan
dan
mengelola risiko.
Ini
memerlukan
pengembangan
metode untuk mengidentifikasi, memprioritaskan, memperlakukan (berurusan dengan),
kontrol dan memantau eksposur risiko. Dalam manajemen risiko, proses yang diikuti di
mana risiko
yang dinilai
terhadap kemungkinan (kesempatan)
dari
mereka terjadi dan
|
|
tingkat keparahan atau jumlah kerugian atau kerusakan (dampak) yang dapat berakibat
jika mereka terjadi.
Program manajemen
risiko
dengan
demikian
mencakup
tugas-tugas
seperti
berikut :
1)
Mengidentifikasi risiko-risiko yang dihadapi.
2)
Mengukur atau menentukan besarnya risiko tersebut.
3)
Mencari jalan untuk menghadapi atau menanggulangi risiko.
4)
Menyusun strategi untuk memperkecil ataupun mengendalikan risiko.
5)
Mengkoordinir pelaksanaan penanggulangan risiko serta
mengevaluasi program
penanggulangan risiko yang telah dibuat.
2.8.2 Tujuan Manajemen Risiko
According to Birch & McEvoy (1992, p45), objective
of
risk
management
is
reduce business exposure by balancing countermeasures investment againts risk (Tujuan
manajemen Risiko adalah mengurangi pembukaan bisnis dengan menyeimbangkan
tindakan balasan investasi terhadap risiko).
According Jacobson (2002, p1), Objective of risk management is to select risk
mitigation, risk transfer and risk recovery measures so as to optimise the performance of
an
organization (
Tujuan
manajemen
Risiko
adalah
memilih
pengukuran
peringanan
Risiko,
pemindahan
Risiko
dan
pemulihan
Risiko
untuk
mengoptimalkan kinerja
organisasi).
|
|
2.8.3
Pentingnya Mempelajari Manajemen Risiko
Menurut Djojosoedarso (2003, p5),
bagaimana pentingnya mempelajari
manajemen Risiko dapat dilihat dari dua segi , yaitu :
-
Seseorang sebagai anggota organisasi/perusahaan terutama seoarang manajer
akan dapat mengetahui cara-cara/metode yang tepat untuk menghindari atau
mengurangi besarnya kerugian yang diderita perusahaan, sebagai akibat
ketidakpastian terjadinya suatu peristiwa yang merugikan.
-
Seseorang sebagai pribadi :
1. Dapat
menjadi
seoarang
manajer risiko yang professional dalam
jangka
waktu
yang relatif lebih cepat daripada yang belum pernah mempelajarinya.
2. Dapat memberikan kontribusi yang bermanfaat bagi manajer risiko dari
perusahaan di mana yang bersangkutan menjadi anggota.
2.8.4
Dimensi Manajemen Risiko
Manajemen risiko NIST (2002, p4), mencakup tiga proses yaitu penilaian risiko,
pengalihan risiko dan evaluasi
serta
penilaian.
Proses penilaian risiko mencakup
identifikasi
dan
evaluasi
dari
risiko
dan
dampak
risiko,
dan
rekomendasi
dari
pengukuran pengurangan risiko. Proses pengalihan risiko mengacu pada pengukuran
pengurangan risiko yang sesuai rekomendasi dari proses penilaian risiko. Proses evaluasi
yang bersifat terus menerus adalah kunci dari implementasi sebuah program manajemen
risiko yang berhasil.
|
|
2.8.5
Kerangka Kerja Manajemen Risiko
Menurut Batuparan (BEI NEWS Edisi 5 Tahun II, Maret-April 2001), kerangka
kerja manajemen risiko pada dasarnya terbagi dalam tiga tahapan kerja:
A. Identifikasi Risiko
Identifikasi Risiko adalah rangkaian proses pengenalan yang seksama atas risiko
dan komponen risiko yang melekat pada suatu aktivitas atau transaksi yang diarahkan
kepada proses pengukuran serta pengelolaan risiko yang tepat.
Sebagai suatu rangkaian proses, identifikasi risiko dimulai dengan pemahaman
tentang apa yang sebenarnya yang disebut sebagai Risiko. Sebagaimana telah
didefinisikan
di
atas,
maka
risiko adalah tingkat ketidakpastian akan terjadinya
sesuatu/tidak terwujudnya sesuatu tujuan, pada suatu periode tertentu (time horizon).
Bertitik
tolak
dari
definisi tersebut
maka
terdapat
dua
tolak
ukur
penting
di
dalam
pengertian risiko, yaitu :
1. Tujuan (yang ingin dicapai)/Objectives
Untuk dapat menetapkan batas-batas risiko yang dapat diterima, maka suatu
perusahaan harus terlebih dahulu menetapkan tujuan-tujuan
yang ingin dicapai
secara jelas. Seringkali ketidakjelasaan
mengenai tujuan-tujuan
yang
ingin
dicapai mengakibatkan munculnya risiko-risiko yang tidak diharapkan.
2. Periode Waktu (Time Horizon)
Periode waktu yang digunakan di dalam mengukur tingkat risiko yang dihadapi,
sangatlah
tergantung pada
jenis
bisnis yang
dikerjakan
oleh
suatu perusahaan.
Semakin dinamis pergerakan faktor-faktor pasar untuk suatu jenis bisnis tertentu,
semakin singkat periode waktu yang digunakan di dalam mengukur tingkat risiko
yang dihadapi.
|
|
B. Pengukuran Risiko
Pengukuran Risiko adalah rangkaian proses yang dilakukan dengan tujuan untuk
memahami
signifikansi dari akibat yang akan ditimbulkan suatu risiko, baik secara
individual maupun portofolio, terhadap tingkat kesehatan dan kelangsungan usaha.
Pengukuran
Risiko
dibutuhkan
sebagai dasar
(tolak
ukur)
untuk
memahami
signifikansi dari akibat (kerugian) yang akan ditimbulkan oleh terealisirnya suatu risiko,
baik secara individual maupun portfolio, terhadap tingkat kesehatan dan kelangsungan
usaha. Lebih lanjut pemahaman yang akurat tentang signifikansi tersebut akan menjadi
dasar bagi pengelolaan risiko yang terarah dan berhasil guna.
1. Dimensi Risiko
Signifikansi suatu risiko maupun portofolio risiko dapat diketahui/disimpulkan
dengan melakukan pengukuran terhadap dua dimensi risiko yaitu :
-
Kuantitas (quantity) risiko, yaitu jumlah kerugian yang mungkin
muncul
dari
terjadinya/terealisirnya risiko. Dimensi
kuantitas risiko
dinyatakan dalam satuan mata uang.
-
Kualitas Risiko, yaitu probabilitas dari terjadinya risiko. Dimensi
kualitas
risiko
dapat
dinyatakan
dalam bentuk
: confidence
level,
matrix risiko (tinggi, sedang, rendah), dan lain-lain yang dapat
menggambarkan
kualitas
risiko.
Dua
dimensi
ini
harus
muncul
sebagai hasil dari proses pengukuran risiko.
2. Alat Ukur Risiko
Sebagai suatu konsep baru
yang sedang terus dikembangkan, terdapat berbagai
macam metode pengukuran risiko yang muncul dan diujicobakan oleh para
pelaku pasar.
|
|
-
Value At Risk
Konsep
VAR
berdiri
di
atas dasar observasi
statistik
atas
data-data
historis dan relatif dapat dikatakan sebagai suatu konsep yang bersifat
obyektif. VAR mengakomodasi kebutuhan untuk mengetahui potensi
kerugian atas exposure tertentu. Exposure adalah obyek yang rentan
terhadap risiko dan berdampak pada kinerja perusahaan apabila risiko
yang diprediksikan benar-benar terjadi. Exposure
yang paling
umum
berkaiatan dengan ukuran keuangan, misalnya harga saham, laba,
pertumbuhan penjualan, dan sebagainya.
-
Stress Testing
Salah satu keterbatasan konsep VAR adalah bahwa VAR hanya
efektif
diterapkan
dalam kondisi
pasar
yang
normal. Konsep
Stress
Testing memberikan jawaban untuk
masalah
yang
menyebabkan
runtuhnya pasar (unexpected event).
Konsep
ini
adalah
sebuah
rangkaian proses eksplorasi, mempertanyakan, dan berpikir tentang
kemungkinan-kemungkinan (khususnya terkait dengan risiko) pada
saat terjadinya sesuatu yang dianggap “tidak mungkin”
terjadi.
Didalam konsep Stress Testing dilakukan hal-hal sebagai berikut :
a)
Menyusun beberapa skenario (terjadinya unexpected event)
b)
Melakukan revaluasi risiko atas portfolio
c)
Menyusun kesimpulan atas skenario-skenario tersebut
-
Back Testing
Suatu model hanya berguna jika model tersebut dapat menerangkan
realitas yang terjadi. Demikian pula dengan model pengukuran risiko.
|
|
Untuk menjaga reability dari model, maka secara periodik suatu
model pengukuran harus duiji dengan menggunakan suatu konsep
yang dikenal dengan Back Testing.
3. Metode Pengukuran Kuantitas Risiko
-
National
Teknik pengukuran risiko berdasarkan batas atas besarnya nilai
yang
rentan terhadap risiko (exposure).
-
Sensitivitas
Teknik
pengukuran
berdasarkan
sensitivitas eksposure terhadap
pergerakan
satu
unit
variabel pasar.
Risiko
diukur
berdasarkan
seberapa sensitif suatu eksposure terhadap perubahan faktor tertentu.
-
Volatilitas
Teknik pengukuran berdasarkan rata-rata variasi nilai eksposure, baik
variasi negatif maupun positif. Risiko diukur berdasarkan seberapa
besar
nilai
eksposure
berfluktuasi.
Ukuran
umum standar
deviasi
:
“Semakin besar standar deviasi suatu eksposure, semakin berfluktuasi
nilai eksposure tersebut, yang berarti semakin beresiko eksposure atau
aset tersebut.
4. Risiko vis a vis Pricing dan Modal
Semakin tinggi risiko yang diambil, semakin besar pula modal yang dibutuhkan.
Penyisihan
sejumlah
modal
(di
luar PPAP) tersebut tentunya akan
mengakibatkan
munculnya opportunity lost bagi perusahaan. Sebagai
konsekuensi
maka
Risk
Management
mengenal
apa
yang
disebut
sebagai
RAROC atau Risk Adjusted Return On Capital. Konsep pricing yang
|
|
menggunakan RAROC akan secara jelas memperlihatkan seberapa tinggi risiko
dari satu counterpart dimata perusahaan yang melakukan evaluasi risiko.
C. Pengelolaan Risiko
Pengelolaan risiko pada dasarnya adalah rangkaian proses yang dilakukan untuk
meminimalisasi
tingkat risiko
yang
dihadapi sampai pada
batas
yang
dapat
diterima.
Secara kuantitatif upaya untuk
meminimalisasi risiko ini dilakukan dengan menerapkan
langkah-langkah
yang diarahkan pada turunnya (angka)
hasil ukur
yang diperoleh dari
proses pengukuran risiko.
Jika Risiko-Risiko yang dihadapi oleh perusahaan telah diidentifikasi dan diukur
maka akan dipertanyakan bagaimana cara memberikan struktur risiko yang terbaik bagi
perusahaan. Pertanyaan tersebut mengarah kepada upaya untuk :
1. Meningkatkan kualitas dan prediktabilitas dari pendapatan perusahaan (earning)
untuk mengoptimalkan nilai bagi pemegang saham (shareholder value).
2. Mengurangi
kemungkinan
munculnya
tekanan
pada kemampuan keuangan
(financial distress)
3. Mempertahankan margin operasi (operating margin)
Konsep pengelolaan risiko berbicara seputar alternatif cara untuk mencapai
tujuan-tujuan diatas. Pada dasarnya mekanisme Pengelolaan Risiko dapat
dikelompokkan sebagai berikut :
1. Membatasi Risiko (Mitigating Risk)
Membatasi Risiko dilakukan dengan menetapkan
limit
risiko.
Penetapan
limit
risiko yang dapat diterima oleh perusahaan tidak semata-mata dilakukan untuk
membatasi risiko yang diserap oleh perusahaan, melainkan juga harus diarahkan
kepada upaya
untuk
mengoptimalkan
nilai
bagi
pemegang
saham.
Pendekatan
|
|
tersebut
terkait
dengan
konsekuensi
(Modal/Capital) yang muncul dari angka-
angka risiko yang dihasilkan dari proses pengukuran risiko.
2. Mengelola Risiko (Managing Risk)
Sebagaimana kita ketahui,
nilai eksposure
yang dimiliki oleh perusahaan dapat
bergerak
setiap saat
sebagai
akibat
pergerakan
di
berbagai
faktor
yang
menentukan di pasar. Untuk itu maka dibutuhkan suatu proses untuk
mengembalikan profil risiko kembali kepada profil yang memberikan hasil
optimal bagi pemegang saham. Proses dimaksud dilakukan melalui berbagai
jenis transaksi yang pada dasarnya merupakan upaya untuk:
1)
Menyediakan
cushion/buffer
untuk
mengantisipasi
kerugian
yang
mungkin
muncul dalam hal risiko yang diambil terealisir.
2)
Mengurangi/menghindarkan perusahaan dari kerugian total (total loss) yang
muncul dalam hal risiko terealisir.
3)
Mengalihkan risiko kepada pihak lain.
3. Memantau Risiko (Monitoring Risk)
Pemantauan risiko pada dasarnya adalah mekanisme yang ditujukan untuk dapat
memperoleh informasi terkini (updated) dari profile perusahaan. Sekali lagi, Risk
Management
tetaplah
hanya
alat
bantu
bagi
manajemen
dalam proses
pengambilan keputusan.
|
|
2.9 Manajemen Risiko Teknologi Informasi
Menurut Alberts dan Dorefee (2004, p8), manajemen risiko adalah proses yang
berkelanjutan dalam mengenal risiko dan mengimplementasikan rencana untuk
menunjuk mereka.
Jadi, manajemen risiko adalah suatu proses identifikasi, mengukur risiko, serta
membentuk strartegi untuk mengelolanya melalui sumber daya yang tersedia. Strategi
yang dapat digunakan antara lain mentransfer risiko pada pihak lain, menghindari risiko,
mengurangi efek buruk dari risiko, dan menerima sebagian maupun seluruh konsekuensi
dari risiko tertentu.
2.9.1
Fungsi-fungsi Pokok Manajemen Risiko
Menurut Djojosoedarso (2005, p14), fungsi pokok manajemen risiko terdiri dari :
1. Menemukan Kerugian Potensial.
Artinya berupaya
untuk menemukan atau mengidentifikasi seluruh risiko
murni
yang dihadapi perusahaan, yang meliputi:
a)
Kerusakan fisik dari harta kekayaan perusahaan.
b)
Kehilangan pendapatan atau kerugian lainnya akibat
terganggunya operasi
perusahaan.
c)
Kerugian akibat adanya tuntutan hukum dari pihak lain.
d)
Kerugian-kerugian yang timbul karena penipuan, tindakan-tindakan kriminal
lainnya, tidak jujurnya karyawan.
e)
Kerugian-kerugian yang timbul akibat karyawan kunci atau (keymen) meninggal
dunia, sakit atau cacat.
|
|
1)
Pengenalan/penemuan
–
menaruh
risiko teknologi informasi pada radar
manajemen.
2. Mengevaluasi Kerugian Potensial
Artinya
melakukan
evaluasi
dan
penilaian terhadap semua kerugian potensial
yang dihadapi
oleh
perusahaan.
Evaluasi dan
penilaian
ini
akan
meliputi
perkiraan mengenai :
a)
Besarnya
kemungkinan
frekuensi
terjadinya kerugian artinya memperkirakan
jumlah
kemungkinan
terjadinya
kerugian selama
suatu
periode
tertentu
atau
berapa kali terjadinya kerugian tersebut selama suatu periode tertentu.
b)
Besarnya bahaya dari tiap-tiap kerugian, artinya menilai besarnya kerugian yang
diderita, yang biasanya dikaitkan dengan besarnya pengaruh kerugian tersebut,
terutama terhadap kondisi finansial perusahaan.
3. Memilih
teknis/cara yang
tepat
atau menentukan
suatu kombinasi dari
teknik-
teknik yang tepat guna menanggulangi kerugian.
Pada pokoknya ada empat cara yang dapat dipakai untuk menanggulangi risiko,
yaitu
mengurangi kesempatan
terjadinya kerugian,
meretensi,
mengasuransikan
dan
menghindari. Dimana
tugas dari
manajer
risiko
adalah
memilih
satu cara
yang paling
tepat
untuk
menanggulangi
suatu
risiko atau
memilih
suatu
kombinasi dari cara-cara yang paling tepat untuk menanggulangi risiko.
2.9.2
Tahap Manajemen Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen risiko
terdiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda untuk jenis
risiko yang berbeda :
|
|
teknologi
seperti perangkat keras, perangkat
lunak, data, personil atau
fasilitas.
Sebuah studi
empiris
pada suatu keamanan
komputer
mengungkapkan
bahwa,
2)
Penilaian/analisis – mengerti risiko
informasi
teknologi dalam konteks
tas surat
keseluruhan risiko informasi teknologi dan menilai kemungkinan munculnya dan
pengaruhnya pada bisnis.
3)
Perawatan –
menentukan pilihan
terbaik
dari
beberapa
langkah
tindakan
yang
memungkinkan untuk mengatasi risiko, merencanakan, dan menyelesaikan
tindakan yang diperlukan.
4)
Pengamatan dan peninjauan –
menindaklanjuti untuk memastikan apa yang
direncanakan itu dikerjakan dan dimengerti perubahan yang ada pada tas surat
risiko teknologi informasi.
2.9.3
Manajemen Identifikasi Risiko
Menurut Bandyopadhyay dan Mykytyn (1999, p437), langkah awal pada
pengenalan risiko adalah dengan menentukan lingkungan teknologi informasi.
Lingkungan teknologi informasi terdiri dari tiga tingkat :
1. Tingkat Aplikasi
Tingkat aplikasi berkonsentrasi pada risiko teknis atau kegagalan implementasi
aplikasi informasi teknologi. Risiko seperti ini dapat timbul dari sumber internal
dan eksternal. Ancaman eksternal adalah bencana alam, tindakan kompetitor,
hacker, dan virus komputer. Ancaman internal kepada aset teknologi informasi
dapat datang dari akses fisik berotoritas atau tanpa otoritas yang mengakibatkan
penyalahgunaan sistem.
Ancaman-ancaman
ini dapat
merusak
atau
menghancurkan
aset
informasi
|
|
pada tingkat aplikasi,
manajer-manajer menganggap bencana alam dan tindakan
kecelakaan pegawai sebagai risiko dengan tingkat terbesar. Mereka juga melihat
lingkungan komputer
mainframe lebih
aman
daripada
lingkungan
mikrokomputer.
2. Tingkat Organisasi
Pada tingkat organisasi, fokusnya adalah pada pengaruh informasi teknologi di
semua
bagian
fungsional
organisasi
daripada bagian aplikasi
yang
terisolasi.
Bisnis-bisnis
menempatkan
informasi
teknologi secara bertingkat pada tingkat
organisasi untuk mencapai keuntungan kompetitif.
Ketergantungan yang semakin berkembang terhadap teknologi informasi demi
mendapatkan keuntungan strategis untuk organisasi dapat membuat organisasi
menjadi sasaran berbagai jenis risiko.
3. Tingkat Interorganisasi
Pada
tingkat
interorganisasi,
fokusnya
adalah
pada
risiko
teknologi
informasi
pada organisasi yang beroperasi pada lingkungan jaringan. Penggunaan teknologi
informasi
yang paling mutakhir dan kuat sekarang ini
mencakup jaringan
yang
melewati batasan organisasi.
Ini adalah SI otomati
yang dibagi oleh dua
organisasi atau lebih. Perkembangan pada pemakaian sistem pada interorganisasi
(IOS) belakangan ini telah meningkatkan produktivitas, fleksibilitas, dan tingkat
kompetitif.
|
|
2.9.4
Implementasi Kemampuan Manajemen Risiko Teknologi Informasi
Menurut
Jordan dan
Silcock
(2005, p60),
kemampuan
manajemen
risiko
teknologi
informasi
yang
efektif
adalah kemampuan
manajemen
yang
memenuhi
kebutuhan bisnis, dimana elemen desain penting yang harus dipertimbangkan adalah :
1. Strategi dan Kebijakan
Strategi-strategi dan kebijakan-kebijakan manajemen risiko teknologi
informasi
diperlukan
untuk
dapat
menentukan
tujuan
dari
manajemen
risiko
teknologi informasi,
memastikan cakupan area yang potensial dari risiko teknologi
informasi dan menyediakan landasan peraturan dan prinsip-prinsip untuk mengelola
risiko. Kebijakan manajemen risiko teknologi informasi harus didokumentasikan
secara
formal
dan
didukung
oleh
tim tata
kelola
teknologi
informasi
dan
dikomunikasikan secara aktif kepada seluruh organisasi.
2. Peran dan Tanggung Jawab
Peran yang perlu ditentukan terlebih dahulu dan sesudah itu orang yang tepat
dan harus dipilih dan ditempatkan untuk melakukan peran
tersebut. Beberapa hal
yang perlu dipertimbangkan adalah :
a. Pemisahan tugas : untuk memastikan bahwa setiap peran kelas risiko independen
menjalankan pemantauan dan melakukan tinjauan ulang.
b.
Menyeimbangkan kebutuhan masukan untuk spesialis : kontribusi pengertian
proses, sistem dan risiko spesifik,
manajerial pembuat suatu keputusan
mempertimbangkan semua faktor dan menentukan tindakan.
c. Mencocokan peran manajemen risiko teknologi informasi kedalam struktur
dimana dia
seharusnya
ditempatkan.
Misalnya,
aktifitas
perawatan
manajemen
|
|
risiko
teknologi
informasi
harus
sejalan
dengan
manajer
proyek
untuk
risiko
proyek.
d.
Membuat peran manajemen risiko teknologi informasi yang baru ketika
dibutuhkan. Misalnya, lintas fungsional bisnis
dengan
koordinasi
peran
secara
berkelanjutan.
e. Mengalokasikan tanggung jawab bersama
jika diperlukan dan
memastikan
semua tempat telah diambil.
3. Proses dan Pendekatan
Siklus
hidup
manajemen
risiko
memiliki
beberapa
langkah, yang
dikembangkan dengan beberapa langkah yang berbeda untuk berbagai jenis risiko :
a. Identifikasi/Penemuan : Mendapatkan risiko teknologi informasi berdasarkan
radar dari manajemen
b. Penilaian/Analisis : Memahami risiko dalam konteks keseluruhan portfolio risiko
teknologi informasi dan menilai kemungkinan terjadinya dan dampak potensial
terhadap bisnis.
c. Perawatan : Menentukan pilihan terbaik dari banyaknya program untuk
menangani risiko, perencanaan dan menyelesaikan tindakan yang diperlukan.
d. Pemantauan dan Tinjauan : Menindaklanjuti untuk memastikan rencana apa yang
telah dilakukan dan
memahami adanya perubahan
lebih
lanjut dalam risiko dari
portfolio.
4. Orang dan Performa
Manajemen risiko teknologi informasi juga tentang orang dan performa
mereka.
Kemampuan
dan
pengetahuan
dari
orang-orang
dalam manajemen
risiko
teknologi informasi harus dikembangkan dan dipelihara. Pengembangan dan
|
|
2)
Identifikasi ancaman yang mungkin menyerang kelemahan sistem teknologi
informasi. Sumber ancaman bisa berasal dari alam, manusia dan lingkungan.
pemeliharaan ini memerlukan beberapa kombinasi pendidikan dan pelatihan
penanggulangan risiko teknologi informasi sesusai dengan peran dan tanggung
jawab yang ada.
5. Implementasi dan Pengembangan
Orang tidak hanya akan menerima
cara baru dalam pengelolaan risiko
teknologi informasi tanpa pernah diberitahu menagapa diperlukan. Sebauah cerita
yang
meyakinkan pentingnya
hal tersebut
untuk organisasi dan apakah itu penting
untuk organisasi
2.10
Pengukuran Risiko Teknologi Informasi
Berdasarkan penelitian yang kami lakukan, maka ditemukan beberapa metode
pengukuran risiko teknologi informasi diantaranya, yaitu metode NIST, metode
OCTAVE-S, dan metode COBIT yang digunakan untuk perbandingan :
2.10.1 NIST
(National
Institute
of
Standard
and
Technology)
Special
Publication
800-30
Menurut Maulana dan Supangkat (2006, p123), terdapat 9 langkah dalam proses
penilaian risiko, yaitu :
1) Mengetahui
karakteristik dari
sistem
teknologi
informasi
:
hardware, software
dan sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang
yang
mendukung
atau yang
menggunakan
sistem,
arsitektur
keamanan
sistem,
topologi jaringan sistem.
|
 ancaman yang timbul, sebelum
memulai analisis dampak, diperlukan informasi
sebagai berikut :
3)
Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur keamanan,
desain, implementasi dan internal control terhadap sistem sehingga menghasilkan
pelanggaran terhadap kebijakan keamanan sistem.
4)
Menganalisa kontrol-kontrol yang sudah di
implementasikan
atau direncanakan
untuk di implementasikan oleh organisasi untuk mengurangi atau menghilangkan
kecenderungan (kemungkinan) dari suatu ancaman menyerang sistem yang
vulnerable.
5) Penentuan
kecenderungan
(likelihood)
dari
kejadian
yang
bertujuan
untuk
memperoleh penilaian terhadap keseluruhan kecenderungan yang
mengindikasikan
kemungkinan
potensi vulnerability diserang oleh lingkungan
ancaman yang ada. Berikut ini faktor-faktor yang harus dipertimbangkan :
-
Motivasi dan Sumber Ancaman
-
Sifat dari Kerentanan
-
Keberadaan dan Efektivitas pengendalian saat ini
Tabel 2.1 Definisi kemungkinan / kecenderungan
Level
Kemungkinan
Definisi kemungkinan / kecenderungan
Tinggi
Sumber
ancaman
yang memiliki
motivasi
tinggi,
memiliki
kemampuan
yang
cukup,
dan
pengendalian
untuk
mencegah kerentanan yang mungkin terjadi tidak efektif.
Sedang
Sumber
ancaman
termotivasi
dan
mampu,
tetapi
pengendalian
yang
ada,
dapat
menghambat
kerentanan
dengan sukses.
Rendah
Sumber
ancaman
kurang
termotivasi
dan
mampu,
atau
pengendalian yang
ada untuk
mencegah
atau
setidaknya
secara signifikan menghambat kerentanan yang
mungkin
terjadi.
6)
Analisis Dampak
Menentukan
hasil dari dampak paling buruk yang
mungkin terjadi dari
sebuah
|
 risiko yang diidentifikasi. Tujuan dari rekomendasi pengendalian adalah
1. Sistem Misi (misalnya, proses yang dilakukan oleh sistem TI)
2. Sistem dan
Data Kritikal (misalnya, sistem nilai atau pentingnya
untuk
sebuah organisasi)
3. Sistem dan Sensitivitas Data
Tabel 2.2 Besarnya definisi dampak
Level
Dampak
Definisi Dampak
Tinggi
Penerapan Kerentanan:
1. Dapat menyebabkan kehilangan biaya yang sangat tinggi
dari aset utama.
2. Dapat menyebabkan kerugian
atau rintangan dalam misi
organisasi.
3. Dapat menyebabkan kematian atau cedera serius.
Sedang
Penerapan kerentanan:
1.
Dapat
menghasilkan
kehilangan
biaya
yang
tinggi
dari
sumber daya.
2.
Dapat
menyebabkan
pelanggaran
, kerugian atau
rintangan dalam misi organisasi.
3. Dapat menyebabkan cidera serius
Rendah
Penerapan kerentanan :
1. Dapat menghasilkan kehilangan
sebagian aset
nyata atau
sumber daya.
2.
Dapat
mempengaruhi
misi,
reputasi
dan
pendapatan
organisasi.
7)
Penentuan level risiko. Penentuan level risiko dari sistem yang merupakan
pasangan ancaman / vulnerability merupakan suatu fungsi :
-
Kecenderungan
suatu
sumber
ancaman
menyerang
sumber
vulnerability dari sistem teknologi informasi.
-
Besarnya
dampak
yang
terjadi
jika
sumber
ancaman
sukses
menyerang vulnerability sistem teknologi informasi.
-
Terpenuhinya
perencanaan
kontrol
keamanan
yang
ada
untuk
memenuhi dan mengurangi risiko.
8)
Rekomendasi Pengendalian
Selama proses ini pengendalian yang dapat mengurangi atau mengeliminasi
|
|
mengurangi tingkat risiko bagi sistem TI dan data ketingkat yang dapat diterima
oleh
organisasi.
Faktor-faktor
yang
harus dipertimbangkan
dalam rekomendasi
pengendalian dan solusi alternatif untuk meminimalkan risiko diidentifikasi :
a)
Keefektifan dari pilihan yang direkomendasikan
b)
Perundang-undangan dan peraturan
c)
Kebijakan Organisasi
d)
Dampak Operasional
e)
Keselamatan dan Kehandalan
9)
Dokumentasi hasil dalam bentuk laporan.
2.10.1.1 Proses Pengurangan Resiko (Risk Mitigation)
Strategi
di
dalam melakukan
pengurangan
resiko
misalnya
dengan
menerima
resiko (risk assumption), mencegah terjadinya resiko (risk avoidance), membatasi
level
resiko
(risk limitation),
atau
mentransfer
resiko
(risk
transference).
Metodologi
pengurangan
resiko
berikut
menggambarkan pendekatan
untuk
mengimplementasikan
kontrol :
1.
Memprioritaskan
aksi.
Berdasarkan level
resiko
yang
ditampilkan
dari
hasil
penilaian resiko, implementasi dari aksi diprioritaskan. Output dari langkah
pertama ini adalah ranking aksi-aksi mulai dari tinggi hingga rendah
2. Evaluasi terhadap kontrol yang direkomendasikan. Pada langkah ini, Kelayakan
(misal kompatibilitas, penerimaan dari user) dan efektifitas (misal tingkat
proteksi
dan
level
dari
pengurangan
resiko) dari pilihan-pilihan
kontrol
yang
direkomendasikan dianalisa
dengan tujuan
untuk
meminimalkan
resiko.
Output
dari langkah kedua adalah membuat daftar kontrol-kontrol yang layak
|
|
3.
Melakukan cost-benefit
analysis.
Suatu
costbenefit
analysis dilakukan.
Untuk
menggambarkan
biaya
dan
keuntungan
jika mengimplementasikan
atau
tidak
mengimplementasikan kontrol - kontrol tersebut.
4. Memilih
kontrol.
Berdasarkan
hasil
cost-benefit
analysis,
manajemen
menentukan kontrol dengan biaya paling efektif untuk mengurangi resiko
terhadap misi organisasi.
5.
Memberikan tanggung jawab. Personil yang sesuai (personil dari dalam atau
personil yang dikontrak dari luar)
yang
memiliki
keahlian
dan
ketrampilan
ditugaskan untuk mengimplementasikan pemilihan kontrol yang diidentifikasi,
dan bertanggung jawab terhadap yang ditugaskan.
6.
Mengembangkan
rencana
implementasi safeguard
yang
minimal
mengandung
informasi tentang resiko (pasangan vulnerability/ ancaman) dan level resiko
(hasil dari laporan penilaian resiko), kontrol
yang direkomendasikan (hasil dari
laporan penilaian resiko, aksi-aksi yang diprioritaskan (dengan prioritas yang
diberikan terhadap pilihan level resiko tinggi atau sangat tinggi), pilih kontrol
yang
telah direncanakan (tentukan berdasarkan kelayakan, efektifitas,
keuntungan terhadap organisasi dan biaya), sumberdaya
yang dibutuhkan untuk
mengimplementasikan pilihan kontrol yang telah direncanakan, buat daftar staf
dan personil yang bertanggung jawab, tanggal dimulainya implementasi, tanggal
target penyelesaian untuk implementasi dan Kebutuhan untuk perawatan.
7. Implementasikan kontrol yang dipilih. Tergantung pada situasi tertentu, kontrol
yang dipilih akan menurunkan resiko tetapi tidak menghilangkan resiko. Output
dari langkah ketujuh adalah sisa resiko.
|
|
2.10.1.2 Proses Evaluasi Resiko (Risk Evaluation)
Pada
proses
ini
dilakukan
evaluasi
apakah
pendekatan
manajemen
resiko yang
diterapkan sudah sesuai. Kemudian dilakukan penilaian resiko kembali untuk
memastikan keberadaan resiko yang teridentifikasi maupun resiko yang belum
teridentifikasi.
2.10.2 Pengukuran Risiko Teknologi Informasi Berdasarkan OCTAVE-S
Menurut Alberts, Dorofee, Steven dan Woody(2005, vol 1), OCTAVE is a suite
of tools, techniques and methods for risk-based information security strategic
assessment and planning. Dapat diartikan OCTAVE adalah suatu strategi pengamanan
berdasarkan teknik perencanaan dan risiko. OCTAVE merupakan salah satu teknik dan
metode yang digunakan untuk strategi dan perencanaan risiko keamanan informasi.
OCTAVE difokuskan pada risiko organisasi, hasil praktek dan strategi yang
saling
terkait.
Ketika
menerapkan
OCTAVE,
satu
tim kecil
yang
terdiri
dari
audit
operasional(atau bisnis) dan dari departemen teknologi informasi(TI) bekerja bersama-
sama untuk menunjukkan kebutuhan keamanan dari organisasi, menyeimbangkan 3
aspek utama: risiko operasional, praktek pengamanan dan teknologi.
Terdapat 3 jenis metode OCTAVE yaitu:
a. Metode
Original
OCTAVE
(OCTAVE
®)
digunakan
untuk
membentuk
dasar
pengetahuan OCTAVE.
b. Metode OCTAVE Allegro, digunakan dalam pendekatan efektif untuk keamanan
informasi dan jaminan.
|
|
c. Pengertian Metode OCTAVE-S, digunakan pada organisasi-organisasi yang
lebih kecil.
Metode-metode OCTAVE dapat ditemukan pada kriteria OCTAVE, pendekatan
umum untuk
penghilang
risiko
dan
pelatihan berbasis
evaluasi
keamanan
informasi.
Kriteria
OCTAVE
menetapkan prinsip
dasar
dan
atribut
manajemen
risiko
yang
digunakan dalam metode-metode OCTAVE.
Sarana dan keuntungan metode-metode OCTAVE adalah:
•
Self- directed: sekelompok anggota organisasi dalam unit-unit bisnis
yang bekerja bersama dengan divisi IT untuk mengidentifikasi kebutuhan
keamanan dari organisasi.
•
Flexible
:
Setiap
metode
dapat
diterapkan
pada
sasaran,
keamanan
dan
lingkungan risiko perusahaan di berbagai level.
•
Evolved
:
Octave
menjalankan
operasi
berbasis
risiko
perusahaan
pada
sisi keamanan dan menempatkan teknologi di bidang bisnis.
2.10.2.1 Pengertian Metode OCTAVE-S
Menurut Alberts et al (2005, p3), OCTAVE-S adalah sebuah variasi dari
pendekatan OCTAVE yang dikembangkan untuk
menemukan
kebutuhan-kebutuhan
kecil, organisasi-organisasi
yang
tidak
memiliki
hierarki. Hal
ini
memerlukan
sebuah
analisis tim untuk menguji risiko keamanan di sebuah aset organisasi dalam
hubungannya dengan objective bisnis. Dengan mengimplementasi hasil-hasil dari
OCTAVE-S, sebuah organisasi berusaha melindungi semua informasi dengan lebih baik
dan meningkatkan keseluruhan bidang keamanan.
|
|
2.11 OCTAVE-S
2.11.1 Tahap, Proses, dan Aktivitas OCTAVE-S
Menurut
Alberts
et
al (2005,
p5),
OCTAVE-S
berdasar
pada
3
tahap
yang
dideskipsikan
dalam kriteria
OCTAVE,
meskipun
nomor
dan
urutan
kegiatan
berbeda
dari
metode
OCTAVE
yang
digunakan.
Bagian ini
memberikan
tinjauan
singkat atas
tahapan, proses, dan kegiatan OCTAVE-S.
Tahap satu adalah
sebuah evaluasi darim aspek organisasi. Selama dalam
tahap
ini, tim analisis menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya
untuk mengevaluasi risiko. Hal ini juga mengidentifikasi aset-aset organisasi yang
penting,
dan mengevaluasi praktek keamanan dalam organisasi saat ini. Di mana pada
tahap ini terdiri atas 2 proses, yaitu identifikasi informasi organisasi dan membuat profil
ancaman serta memiliki enam aktifitas.
Tahap
kedua
yaitu
tim
analisis
melakukan
peninjauan
ulang level tinggi dari
perhitungan infrastruktur organisasi, yang berfokus pada keamanan yang
dipertimbangkan
pemelihara dari
infrastruktur. Tahap
ini
memiliki
satu
proses
yaitu
memeriksa
perhitungan
infrastruktur
dalam kaitannya
dengan
aset
yang
kritis dimana
terdapat dua aktivitas.
Selama
tahap
ketiga, tim
analisis
mengidentifikasi
risiko
dari
aset
kritis
organisasi dan memutuskan apa yang harusdilakukan mengenainya. Berdasarkan analisis
dari
kumpulan
informasi,
tim membuat
strategi
perlindungan
untuk
organisasi
dan
rencana mitigasi
yang ditujukan pada
aset kritis. Tahap
ini terdiri atas 2 proses, yaitu
identifikasi dan analisis risiko serta mengembangkan strategi perlindungan dan rencana
mitigasi, di mana proses ini memiliki delapan aktifitas.
|
|
2.11.2 Hasil OCTAVE-S
Menurut Alberts et al (2005, p6), selama mengevaluasi OCTAVE-S, tim analisis
melihat keamanan dari beberapa perspektif, memastikan bahwa rekomendasi yang
dicapai sesuai dengan keseimbangan berdasarkan kebutuhan organisasi. Hasil utama dari
OCTAVE-S, yaitu:
1. Strategi
perlindungan
organisasi
yang
luas; Perlindungan
strategi
menguraikan
secara singkat arah organisasi dengan mematuhi praktek keamanan informasi.
2. Rencana mitigasi risiko; rencana ini dimaksudkan untuk mengurangi risiko aset
kritis untuk meningkatkan praktek keamanan yang di pilih.
3. Daftar tindakan; Termasuk tindakan jangka pendek yangh dibutuhkan untuk
menunjukkan kelemahan yang spesifik.
Hasil OCTAVE-S yang berguna lainnya, yaitu :
1. Daftar informasi penting terkait dengan aset yang mendukung tujuan bisnis dan
sasaran organisasi.
2. Hasil
survei
menunjukkan sejauh
mana organisasi
mengikuti praktek keamanan
yang baik.
3. Profil risiko untuk setiap aset kritis menggambarkan jarak antara risiko terhadap
aset.
Setiap tahap OCTAVE-S memproduksi hasil yang bermanfaat sehingga sebagian
evaluasi
akan
menghasilkan
informasi
yang
berguna
untuk
meningkatkan
sikap
keamanan organisasi.
|
|
2.12 Pengukuran Risiko Teknologi Informasi Berdasarkan COBIT
2.12.1 Sejarah COBIT
COBIT
pertama kali dikembangkan
pada tahun
1996
oleh Informatian
System
Audit and Control Association (ISACA) dan disusun berdasarkan control objective yang
dimiliki
ISACA.
COBIT
edisi
kedua
dipublikasiakan pada
tahun
1998
dengan
menambahkan Implementation
Tool
Set dan
sedikit
revisi
pada High
Level
control
objectives dan detailed control objectives.
Pada tahun 2000, COBIT edisi
ketiga dirilis
dan
mulai
dikelola
oleh
IT
Governance
Institute
(ITGI).
Edisi
ini
berisi
pengembangan arahan bagi
management
dan pembaharuan dari edisi kedua yang memberikan referensi baru dan standar
internasional. Kerangka kerjanya diperbaharui dan ditambahkan untuk meningkatkan
pengendalian bagi manajemen, kinerja manajemen dan berorientasi pada pengembangan
tata kelola TI dengan menyediakan
maturity model, critical success factors, key goal
indicator, dan key performance indicators untuk pengelolaan TI.
COBIT edisi keempat dirilis pada bulan November tahun 2005. Dalam edisi ini
terdapat perubahan-perubahan yang cukup menonjol yaitu domain Monitor (M) berubah
menjadi Monitor and Evaluate (ME), serta adanya beberapa perubahan yang terjadi pada
proses-proses yang ada. Selain itu, pada COBIT edisi sebelumnya terdapat 318 detailed
control objective namun pada COBIT 4.0 ini menjadi 215 buah.
|
|
2.12.2 Misi COBIT
COBIT mempunyai
sebuah misi untuk meneliti, mengembangkan,
memperkenalkan, mempromosikan, dan mengupdate tujuan pengendalian TI yang dapat
digunakan oleh manajemen dan auditor serta dapat diterima secara internasional.
2.12.3 Manfaat COBIT
COBIT memberikan manfaat yang berarti bagi mereka yang menyadari akan
pentingnya
pengendalian
terhadap
sistem dan
informasi.
Manfaat
–
manfaat
tersebut
meliputi:
a. COBIT telah diakui secara
internasional, dan disusun berdasarkan pengalaman
para ahli dari seluruh dunia;
b. Memenuhi standar ISO17799, COSO I dan COSO II serta standar internasional
lainnya;
c. Mampu menjembatani komunikasi antara divisi TI, pihak
manajemen dan
auditor dengan cara memberikan pendekatan yang umum dan mudah untuk
dipahami;
d. Berorientasi pada manajemen serta mudah digunakan;
e. Mendukung
pelaksanaan audit
TI
sehingga
dapat
memberikan
hasil
audit
dan
opini yang berkualitas tinggi;
f.
Merupakan pendekatan yang fleksibel dan memungkinkan untuk disesuaikan
dengan semua organisasi yang mempunyai budaya, ukuran, serta kebutuhan yang
berbeda-beda;
g. Apa yang terdapat dalam COBIT lengkap, dikembangkan terus menerus dan
dipelihara oleh organisasi non-profit terkemuka.
|
|
2.12.4 Hubungan COBIT dengan Tata Kelola TI
Salah satu keuntungan utama yang didapatkan dari COBIT adalah sudah diterima
di seluruh dunia dan di publikasikan sebagai standar terbuka yang dapat dipakai oleh
organisasi manapun demi kepentingan tata kelola TI di organisasi mereka dan tujuan-
tujuannya yang relevan (Williams, 2006, p28).
COBIT,
khususnya
dalam
metode
Maturity
Model
dapat membawa pengaruh
terhadap
proses
tata kelola
TI dalam suatu organisasi karena
dapat
digunakan
untuk
menilai
dan
mengetahui
proses
pengelolaan
yang
ada
dalam organisasi.
Dengan
mengetahui performa tersebut, diharapkan pihak manajemen dapat menyadari seberapa
baik pengelolaan yang telah dilakukan dan hal-hal yang dibutuhkan untuk memperbaiki
atau mengembangkan sistem yang ada.
|