8

BAB 2

LANDASAN TEORI

2.1 Teknologi informasi

Terdapat beberapa pengertian Teknologi informasi, salah satunya seperti

yang dikemukakan oleh Gupta, Phalguni et al. (2010, p13) Teknologi informasi (TI)

adalah cabang dari teknologi yang berkaitan dengan penyebaran, pengolahan, dan

penyimpanan informasi, khususnya dengan bantuan komputer. Ini berkaitan dengan,

pengembangan desain, dukungan manajemen dan sistem informasi berbasis

komputer, khususnya perangkat keras komputer dan program komputer. IT

mendukung penggunaan komputer untuk menyimpan, mengolah, mengubah,

mengirimkan, melindungi, dan menerima informasi jika diperlukan. Sebagian besar

organisasi telah menggunakan teknologi sebagai salah satu perangkat pengolah

infomasi dan menjadi sesuatu yang penting.

2.1.1 Komponen Teknologi Informasi

Di dalam Teknologi informasi tentunya terdapat beberapa komponen yang

membangunnya. Infrastruktur TI terdiri dari sumber daya dan kemampuan yang

dibangun melalui interaksi antara teknologi dan orang-orang dalam organisasi

(misalnya : Hardware, Software, Network, Brainware, dll). Ini terdiri dari unsur

bersama oleh berbagai tingkat pengguna dan proses, dan menyediakan platfrom

kepada orang-orang untuk berbagi pengetahuan. Melalui infrastruktur TI dan

manajemen yang sangat penting untuk kelancaran organisasi, beberapa tantangan

9

yang dihadapi dalam pengelolaan dan pengembangan infrastruktur TI (Gupta,

Phalguni et al, 2010, P19). Penggunaan teknologi yang diakses oleh orang-orang

menjadikan teknologi mampu memberikan informasi yang diperlukan bagi

organisasi dalam melakukan perkembangan kedepan. Salah satu unsur yang

mendukung infrastuktur teknologi informasi adalah topologi jaringan. Topologi suatu

jaringan didasarkan pada cara penghubung sejumlah node atau sentral dalam

membentuk suatu sistem jaringan.

Topologi jaringan yang umum dipakai adalah : Mesh, Bintang (Star), Bus,

Tree, dan Cincin (Ring).

a. Topologi Jaringan Mesh

Topologi jaringan ini menerapkan hubungan antar sentral secara penuh.

Jumlah saluran harus disediakan untuk membentuk jaringan mesh adalah

jumlah sentral dikurangi 1 (n-1, n = jumlah sentral). Tingkat kerumitan

jaringan sebanding dengan meningkatnya jumlah sentral yang terpasang.

Dengan demikian disamping kurang ekonomis juga relatif mahal dalam

pengoperasiannya.

b. Topologi Jaringan Bintang (Star)

Dalam topologi jaringan bintang, salah satu sentral dibuat sebagai sentral

pusat. Bila dibandingkan dengan sistem mesh, sistem ini mempunyai

tingkat kerumitan jaringan yang lebih sederhana sehingga sistem menjadi

lebih ekonomis, tetapi beban yang dipikul sentral pusat cukup berat.

Dengan demikian kemungkinan tingkat kerusakan atau gangguan dari

sentral ini lebih besar.

10

c. Topologi Jaringan Bus

Pada topologi ini semua sentral dihubungkan secara langsung pada

medium transmisi dengan konfigurasi yang disebut Bus. Transmisi sinyal

dari suatu sentral tidak dialirkan secara bersamaan dalam dua arah. Hal

ini berbeda sekali dengan yang terjadi pada topologi jaringan mesh atau

bintang, yang pada kedua sistem tersebut dapat dilakukan komunikasi

atau interkoneksi antar sentral secara bersamaan.topologi jaringan bus

tidak umum digunakan untuk interkoneksi antar sentral, tetapi biasanya

digunakan pada sistem jaringan komputer.

d. Topologi Jaringan Pohon (Tree)

Topologi jaringan ini disebut juga sebagai topologi jaringan bertingkat.

Topologi ini biasanya digunakan untuk interkoneksi antar sentral dengan

hirarki yang berbeda. Untuk hirarki yang lebih rendah digambarkan pada

lokasi yang rendah dan semakin keatas mempunyai hirarki semakin

tinggi. Topologi jaringan jenis ini cocok digunakan pada sistem jaringan

komputer .

e. Topologi Jaringan Cincin (Ring)

Untuk membentuk jaringan cincin, setiap sentral harus dihubungkan seri

satu dengan yang lain dan hubungan ini akan membentuk loop tertutup.

Dalam sistem ini setiap sentral harus dirancang agar dapat berinteraksi

dengan sentral yang berdekatan maupun berjauhan. Dengan demikian

kemampuan melakukan switching ke berbagai arah sentral. Keuntungan

dari topologi jaringan ini antara lain : tingkat kerumitan jaringan rendah

(sederhana), juga bila ada gangguan atau kerusakan pada suatu sentral

maka aliran trafik dapat dilewatkan pada arah lain dalam sistem.

11

Yang paling banyak digunakan dalam jaringan komputer adalah jaringan

bertipe bus dan pohon (tree), hal ini karena alasan kerumitan, kemudahan Instalasi

dan pemeliharaan serta harga yang harus dibayar. Tapi hanya jaringan bertipe pohon

(tree) saja yang diakui kehandalannya karena putusnya salah satu kabel pada client,

tidak akan mempengaruhi hubungan client yang lain.

2.2 Risiko

Di dalam Labombang, Mastura (2011) Risiko merupakan variasi dalam hal-

hal yang mungkin terjadi secara alami didalam suatu situasi (Fisk, 1997). Risiko

adalah ancaman terhadap kehidupan, properti atau keuntungan finansial akibat

bahaya yang terjadi (Duffield & Trigunarsyah, 1999). Secara umum risiko dikaitkan

dengan kemungkinan (probabilitas) terjadinya peristiwa diluar yang diharapkan

(Soeharto, 1995).

David Mc Namee & Georges Selim (1998) di dalam Istiningrum, A. Ari

(2011) mendefinisikan risiko sebagai konsep yang digunakan untuk menyatakan

ketidakpastian atas kejadian dan atau akibatnya yang dapat berdampak secara

material bagi tujuan organisasi. Disampaikan juga oleh Bringham (1999) di dalam

Istiningrum, A. Ari (2011) yang menyatakan bahwa risiko adalah bahaya, petaka;

kemungkinan menderita rugi atau mengalami kerusakan. Dari pengertian tersebut

dapat ditarik kesimpulan bahwa risiko mengandung tiga unsur pembentuk risiko,

yaitu (i) kemungkinan kejadian atau peristiwa, (ii) dampak atau konsekuensi (jika

terjadi, risiko akan membawa akibat atau konsekuensi, dan (iii) kemungkinan

kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas).

12

2.2.1 Macam-macam risiko

Secara umum risiko dapat diklasifikasikan menurut berbagai sudut pandang

yang tergantung dari dari kebutuhan dalam penanganannya (Rahayu, 2001) di

Labombang, Mastura (2011) :

1) Risiko murni dan risiko spekulatif (Pure risk and speculative risk)

• Risiko murni dianggap sebagai suatu ketidakpastian yang dikaitkan

dengan adanya suatu luaran (outcome) yaitu kerugian. Contoh risiko

murni yakni kecelakaan kerja di proyek. Karena itu risiko murni

dikenal dengan nama risiko statis.

• Risiko spekulatif mengandung dua keluaran yaitu kerugian (loss) dan

keuntungan (gain). Risiko spekulatif dikenal sebagai risiko dinamis.

Contoh risiko spekulatif pada perusahaan asuransi jika risiko yang

dijamin terjadi maka pihak asuransi akan mengalami kerugian karena

harus menanggung uang pertanggungan sebesar nilai kerugian yang

terjadi tetapi bila risiko yang dijamin tidak terjadi maka perusahaan

akan meperoleh keuntungan.

2) Risiko terhadap benda dan manusia, dimana risiko terhadap benda adalah

risiko yang menimpa benda seperti rumah terbakar sedangkan risiko

terhadap manusia adalah risiko yang menimpa manusia seperti risiko hari

tua, kematian dsb

3) Risiko fundamental dan risiko khusus (fundamental risk and particular risk)

• Risiko fundamental adalah risiko yang kemungkinannya dapat timbul

pada hampir sebagian besar anggota masyarakat dan tidak dapat

13

disalahkan pada seseorang atau beberapa orang sebagai penyebabnya,

contoh risiko fundamental: bencana alam, peperangan.

• Risiko khusus adalah risiko yang bersumber dari peristiwa-peristiwa

yang mandiri dimana sifat dari risiko ini adalah tidak selalu bersifat

bencana, bisa dikendalikan atau umumnya dapat diasuransikan.

2.2.2 Kategori Risiko Teknologi Informasi

Menurut Hughes (2006: 36) di dalam Gui, Anderes et al (2008), kategori

risiko TI antara kehilangan informasi potensial dan pemulihannya adalah sebagai

berikut.

• Pertama adalah keamanan. Risiko yang informasinya diubah atau digunakan

oleh orang yang tidak berotoritas. Ini termasuk kejahatan komputer,

kebocoran internal, dan terorisme cyber.

• Kedua adalah ketersediaan. Risiko yang datanya tidak dapat diakses seperti

setelah kegagalan sistem, karena kesalahan manusia, perubahan konfigurasi,

kurangnya pengurangan arsitektur atau akibat lainnya.

• Ketiga adalah daya pulih. Risiko di mana informasi yang diperlukan tidak

dapat dipulihkan dalam waktu yang cukup, setelah sebuah kejadian

keamanan atau ketersediaan seperti kegagalan perangkat lunak atau keras,

ancaman eksternal, atau bencana alam.

14

• Keempat adalah performa. Risiko di mana informasi tidak tersedia saat

diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang

tinggi, dan topografi informasi teknologi yang beragam.

• Kelima adalah daya skala. Risiko yang perkembangan bisnis, pengaturan

bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin menangani

banyak aplikasi baru dan biaya bisnis secara efektif.

• Keenam adalah ketaatan. Risiko yang manajemen atau penggunaan

informasinya melanggar keperluan regulator. Yang dipersalahkan dalam hal

ini mencakup regulasi pemerintah, panduan pengaturan korporat, dan

kebijakan internal.

2.2.3 Penilaian Risiko

Ketidakpastian risiko harus dikelola dengan baik, salah satu langkahnya

adalah dengan melakukan penilaian risiko. Di Istiningrum, A. Ari (2011), NSH

Health Scotland (2010) menyebutkan penilaian risiko adalah metode sistematis

dalam melihat aktivitas kerja, memikirkan apa yang dapat menjadi buruk, dan

memutuskan kendali yang cocok untuk mencegah terjadinya kerugian, kerusakan,

atau cedera di tempat kerja. Penilaian ini harus juga melibatkan pengendalian yang

diperlukan untuk menghilangkan, mengurangi,atau meminimalkan resiko. Definisi

lain tertuang dalam Peraturan Pemerintah No. 60 Tahun 2008 yang menyatakan

bahwa penilaian risiko adalah proses yang dilakukan oleh suatu instansi atau

organisasi dan merupakan bagian yang integral dari proses pengelolaan risiko dalam

15

pengambilan keputusan risiko dengan melakukan tahap identifikasi rasio, analisis

rasio dan evaluasi risiko.

Menurut BPKP (2010) di dalam Istiningrum, A. Ari (2011) mengatakan

penilaian risiko bertujuan untuk (i) mengidentifikasi dan menguraikan semua risiko-

risiko potensial yang berasal baik dari faktor internal maupun faktor eksternal, (ii)

memeringkat risiko-risiko yang memerlukan perhatian manajemen instansi dan yang

memerlukan penanganan segera atau tidak memerlukan tindakan lebih lanjut, dan

(iii) memberikan suatu masukan atau rekomendasi untuk meyakinkan bahwa terdapat

risiko-risiko yang menjadi prioritas paling tinggi untuk dikelola dengan efektif.

Penilaian risiko dilakukan terhadap faktor-faktor yang mengancam tercapainya

tujuan organisasi.Oleh karena itu, penetapan tujuan baik itu tujuan organisasi

maupun tujuan kegiatan merupakan langkap awal dalam melakukan penilaian risiko.

Dengan adanya penilaian risiko yang dilakukan maka risiko akan mudah untuk

diminimalisir.

2.2.4 Penanggulangan Risiko

Penanggulangan risiko dilakukan setelah dilakukannya peniliaian risiko. Di

dalam menanggulangi risiko, ada beberapa jenis cara untuk pengelolaan risiko:

1. Risk avoidance

Yaitu memutuskan untuk tida k melakukan aktivitas yang mengandung risiko

sama sekali. Dalam memutuskan untuk melakukannya, maka harus

dipertimbangkan potensial keuntungan dan potensial kerugian yang

dihasilkan oleh suatu aktivitas.

16

2. Risk reduction

Risk reduction atau disebut juga risk mitigation yaitu merupakan metode

yang mengurangi kemungkinan terjadinya suatu risiko ataupun mengurangi

dampak kerusakan yang dihasilkan oleh suatu risiko.

3. Risk transfer

Yatu memindahkan risiko kepada pihak lain, umumnya melalui suatu kontrak

(asuransi) maupun hedging.

4. Risk deferral

Dampak suatu risiko tidak selalu konstan. Risk deferral meliputi menunda

aspek suatu proyek hingga saat dimana probabilitas terjadinya risiko tersebut

kecil.

5. Risk retention

Walaupun risiko tertentu dapat dihilangkan dengan cara mengurnagi maupun

mentransfernya, namun beberapa risiko harus tetap diterima sebagai bagian

penting dari suatu kegiatan bisnis.

2.3 Manajemen Risiko

Di dalam Labombang, Mastura (2011) Manajemen risiko merupakan

Pendekatan yang dilakukan terhadap risiko yaitu dengan memahami,

mengidentifikasi dan mengevaluasi risiko. Kemudian mempertimbangkan apa yang

akan dilakukan terhadap dampak yang ditimbulkan dan kemungkinan pengalihan

risiko kepada pihak lain atau mengurangi risiko yang terjadi. Manajemen risiko

17

adalah semua rangkaian kegiatan yang berhubungan dengan risiko yaitu perencanaan

(planning), penilaian (assessment), penanganan (handling) dan pemantauan

(monitoring) risiko (Kerzner, 2001).

Definisi Manajemen Risiko seperti dikutip dalam Risk Management

Handbook AS/NZ 4360 di dalam Afifa, L. Nur (2011) didefinisikan sebagai teknik

yang dilakukan orang pada seluruh level dengan pendekatan sistematis untuk

mengelola risiko sebagai bagian dari tanggungjawabnya. Afifa, L. Nur (2011) juga

mengambil pendapat Peltier (2001) mengenai pengertian manajemen Risiko yaitu

proses yang memberikan hak kepada manajer untuk memberikan perlindungan yang

seimbang terhadap biaya operasional dan ekonomi serta kemampuan dalam meraih

misi dengan melindungi proses bisnis yang mendukung tujuan bisnis atau tujuan

perusahaan.

H., Alvin aditya (2010) menyebutkan manajemen risiko (dalam proyek)

merupakan ilmu dalam mengidentifikasikan, analisa, dan merespon kemungkinan

risiko selama proses proyek berjalan. Manajemen Risiko sering kali terabaikan dalam

sebuah proyek, tapi sebenarnya manajemen risiko dapat membantu mengembangkan

sebuah estimasi yang realistis. Manajemen risiko dilakukan dengan tindakan proaktif

yaitu memikirkan risiko sebelum kerja teknis diawali. Risiko potensial diidentifikasi,

probabilitas dan pengaruh proyek diperkirakan, dan diprioritaskan menurut

kepentingan. Terdapat beberapa tahap dalam manajemen risiko :

1. Risk management planning: Memutuskan bagaimana cara merencanakan

atau pendekatan untuk melakukan aktivitas manajemen risiko

2. Risk identification: Menentukan atau mengidentifikasikan risiko-risiko yang

dapat berdampak pada proyek.

18

3. Qualitative risk analysis: Prioritaskan risiko berdasarkan peluang dan

dampak terjadinya risiko tersebut. Estimasi berdasarkan efek risiko kerugian

secara nominal terhadap tujuan proyek.

4. Risk response planning: langkah-langkah untuk meningkatkan peluang dan

mereduksi ancaman untuk dapat mencapai tujuan proyek.

5. Risk monitoring and control: Memonitor risiko-risiko yang terjadi atau

rawan terjadi selama proses proyek berlangsung.

Berdasarkan American Dictionary of English language seperti disebutkan A.

McAdam (2004) di Afifa, L. Nur (2011), Manajemen Risiko adalah tindakan dalam

melakukan pengontrolan, mengurangi sejumlah kerugian yang menjadi beban

organisasi karena berbagai tindakan atau situasi yang merugikan, apakah disengaja

ataupun tidak disengaja. Berdasarkan NIST SP 800-30, Manajemen Risiko adalah

proses mengidentifikasi risiko, menilai risiko, dan melakukan langkah-langkah untuk

mereduksi risiko sesuai dengan level yang dapat diterima.

Afifa, L. Nur (2011) menyediakan contoh berdasarkan ISO/IEC 27005

manajemen risiko yang disusun dari 6 proses seperti pada Gambar 2.1, yaitu terdiri

dari:

a. Proses mengkomunikasikan risiko

b. Karakteristik sistem atau menentukan konteks

c. Proses penilaian risiko, yang terdiri dari dua sub proses yaitu

• Analisis risiko

19

• Evaluasi risiko

d. Proses penanganan (treatment) risiko

e. Proses penerimaan risiko

f. Memonitor manajemen risiko dan mengkaji ulang proses

Gambar 2.1 Proses Manajemen Risiko Keamanan

Informasi (ISO/IEC 27005)

(Sumber : Usulan Panduan Pelaksanaan Manajemen Risiko Tata Kelola Tik

Nasional, 2011)

20

Pada gambar 2.1 tersebut menggambarkan secara garis besar langkah-langkah

manajemen risiko guna keamanan informasi berdasarkan ISO/IEC 27005 dan secara

umum manajemen risiko memang bertujuan untuk melihat dan mengkaji risiko

secara lebih dalam. Contoh manajemen risiko tersebut diatas hanya merupakan salah

satu dari banyak yang dapat digunakan dalam manajemen risiko.

2.4 Manajemen Risiko Teknologi Informasi

Manajemen Teknologi Informasi berkaitan dengan studi mengeksplorasi, dan

pengelolaan teknologi informasi sebagai sumber daya teknologi. Manajemen TI

membantu dalam merancang, mengembangkan, dan menyebarkan produk TI dan

layanan kepuasan pelanggan, produktivitas bisnis yang berdampak pada profitabilitas

dan daya saing (Gupta, Phalguni et al,2010,P14).

Menurut Purtell, Tim (2008) Program ITRM (Information Technology Risk

Management) dirancang untuk mengeksekusi, mengelola, mengukur,

mengendalikan, dan melaporkan hal-hal risiko dalam TI. Hal ini penting untuk risiko

secara keseluruhan kemampuan organisasi manajemen dan efektivitas. Jika berhasil,

program ITRM memberikan dewan direksi, manajemen senior, regulator, dan

pemangku kepentingan eksternal lainnya dengan keyakinan bahwa TI dapat

memberikan nilai bisnis secara efisien dan aman, sambil memberikan jaminan

kualitas yang tinggi terkait integritas data, ketersediaan, dan kerahasiaan.

Program ITRM juga harus menentukan pandangan risiko pada berbagai

tingkatan dalam perusahaan-organisasi, regional, negara, dan lini bisnis-dan mampu

mengidentifikasi tren dalam spesifik proses TI di semua pandangan. Misalnya, jika

manajemen memiliki pandangan diskrit (pandangan yang hanya melihat pada yang

21

tidak berhubungan sama sekali) tentang bagaimana kontrol sekitar perubahan proses

manajemen yang beroperasi di berbagai geografi dan unit bisnis, dapat menentukan

mana varians yang terjadi dan apakah mereka insidental atau merupakan tren

(Purtell, Tim,2008). Menurut AICPA (2012) Mengamankan lingkungan teknologi

informasi merupakan tantangan yang semakin kompleks untuk kantor akuntan

publik, bisnis dan organisasi lainnya. Organisasi meningkatkan penggunaan alat-alat

teknologi informasi dan sumber daya lainnya, mengadopsi teknologi baru dan

mengeksplorasi cara-cara baru untuk menggunakan teknologi. Seperti penggunaan

teknologi informasi terus berkembang dan diversifikasi, begitu juga risiko dalam

mengelola teknologi.

2.4.1 Tujuan Manajemen Risiko Teknologi Informasi

Dalam mengamankan lingkungan TI (information security) yang menjadi

resikonya ialah sebuah organisasi yang tidak mempertimbangkan semua kerentanan

dan ancaman yang berhubungan dengan teknologi informasi, dan memiliki kebijakan

keamanan yang tidak memadai, bisa menjadi risiko serius. Kerugian, pencurian atau

kompromi dari perangkat mobile dapat mengganggu operasi organisasi dan

mengakibatkan hilangnya data klien yang sensitif atau rahasia (AICPA, 2012).

Manajemen risiko TI ialah melindungi aset Teknologi Informasi seperti data,

hardware, software, personel dan fasilitas dari semua (kegagalan teknis misalnya,

akses yang tidak sah) ancaman eksternal (bencana alam misalnya) dan internal

sehingga biaya kerugian yang diakibatkan oleh realisasi ancaman tersebut

diminimalkan. Tujuannya adalah untuk menghindari atau mengurangi kerugian

dengan memilih dan menerapkan kombinasi terbaik dari langkah-langkah keamanan

22

(Artur Rot, 2009). Manajemen risiko teknologi informasi adalah cara mengakui

adanya ancaman, menentukan konsekuensinya pada sumber daya, dan menerapkan

faktor modifikasi dengan cara yang hemat biaya untuk menjaga konsekuensi yang

merugikan dalam batas-batas tertentu. Perusahaan besar yang terus-menerus berada

di bawah tekanan dari berbagai jenis audit yang menunjukkan efisiensi dalam

lingkup pemenuhan kebutuhan yang berbeda mengenai keamanan informasi.

Kebutuhan manajemen risiko di perusahaan menjadi lebih kompleks, adanya saling

ketergantungan dalam menjalin relasi dengan mitra bisnis, kegiatan outsourcing, dan

juga, konsultan mitra dan kontraktor.

Manajemen risiko yang sukses dan efektif adalah dasar dari keberhasilan dan

keefektifan keamanan IT. Karena realitas sumber daya yang terbatas dan ancaman

hampir tak terbatas, keputusan yang wajar harus dibuat mengenai pengalokasian

sumber daya untuk melindungi sistem. Risiko praktek manajemen memungkinkan

organisasi untuk melindungi informasi dan proses bisnis yang sepadan dengan nilai

mereka. Untuk memastikan nilai maksimum manajemen risiko, itu harus konsisten

dan berulang, sementara fokus pada penurunan risiko yang terukur. Membangun dan

memanfaatkan, kualitas manajemen risiko proses yang efektif tinggi dan

mendasarkan kegiatan keamanan informasi dari organisasi pada proses ini akan

mengarah pada program keamanan informasi yang efektif dalam organisasi (Deloitte,

2012).

23

2.5 Metode pengukuran risiko Teknologi Informasi

Dalam melakukan proses pengukuran risiko teknologi informasi penulis

membutuhkan metode yang dapat dijadikan pedoman. Berikut adalah beberapa

metode yang tersedia dalam melakukan pengukuran risiko teknologi informasi.

2.5.1 OCTAVE

Elky, Steve (2007) Software Engineering Institute (SEI) di Carnegie Mellon

University mengembangkan Operationally Critical, Threat, Asset and Vulnerability

Evaluation (OCTAVE). Tujuan utama dalam mengembangkan OCTAVE adalah

untuk membantu organisasi meningkatkan kemampuan mereka untuk mengelola dan

melindungi diri dari risiko keamanan informasi. OCTAVE adalah workshop yang

berbasis sebagai metode (tool). Ada tiga tahap workshop di dalamnya, yaitu :

• Tahap 1 -- mengumpulkan pengetahuan tentang aset penting, ancaman,

dan perlindungan strategi dari manajer senior. Tahap 1 terdiri dari proses

berikut:

• Proses 1: Identifikasi Knowledge Management Senior

• Proses 2: (multiple) Mengidentifikasi Knowledge Management Area

Operasional

• Proses 3: (multiple) Mengidentifikasi Staf Knowledge

• Proses 4: Buat Profil Ancaman

• Tahap 2 -- mengumpulkan pengetahuan dari pengelola area operasional.

Tahap 2 terdiri dari proses:

• Proses 5: Identifikasi Komponen Utama

• Proses 6: Evaluasi Komponen yang dipilih

24

• Tahap 3 -- mengumpulkan informasi dari staf. Tahap 3 terdiri dari proses

berikut:

• Proses 7: Melakukan Analisis Risiko

• Proses 8: Mengembangkan Strategi Perlindungan (workshop A:

pengembangan strategi) (workshop B: Ulasan strategi, revisi, persetujuan)

Kegiatan ini menghasilkan pandangan risiko yang mengambil sudut

pandang dari seluruh organisasi, sambil meminimalkan waktu masing-

masing peserta. Output dari proses OCTAVE adalah:

o Strategi Perlindungan

o Rencana Mitigasi

o Action List

Menurut Octave Methodology (2006), Metode OCTAVE melibatkan dua

jenis workshop (pelatihan): (1) diskusi difasilitasi dengan berbagai anggota

organisasi dan (2) workshop di mana tim analisis melakukan serangkaian kegiatan

sendiri. Semua workshop memiliki leader (pemimpin/ketua) dan juru tulis.

Pemimpin bertanggung jawab untuk membimbing semua kegiatan workshop dan

memastikan bahwa semua ini (termasuk persiapan dan tindak lanjut kegiatan) selesai.

Pemimpin juga bertanggung jawab untuk memastikan bahwa semua peserta

memahami peran mereka dan bahwa setiap anggota baru atau tambahan tim analisis

siap untuk berpartisipasi aktif dalam workshop. Semua pemimpin workshop juga

harus memastikan bahwa mereka memilih pengambilan keputusan Pendekatan

(misalnya, suara mayoritas, konsensus) untuk digunakan selama workshop. Juru tulis

25

yang bertanggung jawab untuk merekam informasi yang dihasilkan selama lokakarya

(pertemuan ilmiah kecil), baik secara elektronik atau di atas kertas.

Fokus awal dari metode OCTAVE mempersiapkan untuk evaluasi. Di

dalamnya terdapat beberapa kunci yang menjadi faktor penentu keberhasilan :

• Mendapatkan sponsor manajemen senior. Ini adalah faktor keberhasilan

teratas untuk evaluasi resiko keamanan informasi. Jika manajer senior

tidak mendukung proses, staf pendukung untuk evaluasi akan menghilang

dengan cepat.

• Memilih tim analisis. Tim Analisis bertanggung jawab untuk mengelola

proses dan menganalisis Informasi. Para anggota tim harus memiliki

keterampilan yang memadai dan pelatihan untuk memimpin evaluasi dan

untuk tahu kapan untuk meningkatkan pengetahuan dan keterampilan

dengan memasukkan orang-orang tambahan untuk satu atau lebih

kegiatan.

• Mengatur ruang lingkup yang tepat dari Metode OCTAVE. Evaluasi

harus mencakup penting wilayah operasional, tetapi cakupannya tidak

bisa terlalu besar. Jika terlalu luas, maka akan sulit bagi tim analisis untuk

menganalisis semua informasi. Jika ruang lingkup evaluasi yang terlalu

kecil, hasilnya mungkin tidak bermakna sebagaimana mestinya.

• Memilih peserta. Selama pelatihan pengetahuan elisitasi (proses 1 sampai

3), anggota staf dari berbagai tingkat organisasi akan menyumbangkan

pengetahuan mereka tentang organisasi. mereka harus ditugaskan untuk

26

pelatihan karena pengetahuan dan keterampilan, bukan semata-mata

didasarkan pada siapa yang tersedia.

Tujuan dari persiapan adalah untuk memastikan untuk memastikan bahwa

evaluasi berjalan sesuai lingkupan dengan tepat, bahwa manajer senior organisasi

mendukungnya, dan bahwa semua orang yang berpartisipasi dalam proses

memahami perannya.

Tahap 1: Build AssetBased -- Profil ancaman

Pada fase 1 Anda mulai membangun pandangan organisasi OCTAVE dengan

berfokus pada orang-orang dalam organisasi.

Proses 1 sampai 3. Tim analisis memfasilitasi pelatihan pengetahuan elisitasi

selama proses 1 sampai 3. Peserta dari seluruh organisasi berkontribusi dengan

perspektif mereka tentang apa yang penting bagi organisasi (aset) dan seberapa baik

aset tersebut diproteksi. Daftar berikut menyoroti fokus untuk masing-masing proses:

• Proses 1: Identifikasi Pengetahuan Manajemen Senior. Para peserta

dalam proses ini adalah manajer senior organisasi.

• Proses 2: Identifikasi Pengetahuan Management Area Operasional.

Para peserta dalam proses ini adalah bagian menengah organisasi

(tengah) manajer.

• Proses 3: Identifikasi Pengetahuan Staf. Para peserta dalam proses ini

adalah staf anggota organisasi Anggota staf teknologi informasi

biasanya berpartisipasi dalam sebuah workshop terpisah dari itu

salah satu dihadiri oleh anggota staf umum. Empat kegiatan yang

27

dilakukan untuk memperoleh pengetahuan dari peserta lokakarya

selama proses 1 sampai 3 ini adalah identifikasi: aset, prioritas relatif,

bidang yang menjadi perhatian, persyaratan keamanan untuk aset

yang paling penting dan pemahaman mengenai pengetahuan praktik

keamanan saat ini dan kerentanan organisasi.

• Proses 4 : Buat Profil Ancaman. Para peserta dalam proses ini adalah

anggota tim analisis. Selama Proses 4, tim mengidentifikasi aset yang

paling penting bagi organisasi dan menjelaskan bagaimana aset

tersebut terancam. Proses 4 terdiri dari kegiatan sebagai berikut:

Informasi konsolidasi dari proses 1 sampai 3, memilih aset kritis,

menyempurnakan persyaratan keamanan untuk aset kritis,

mengidentifikasi ancaman terhadap aset kritis.

Tahap 2 : Identifikasi Kerentanan Infrastruktur

Tahap 2 ini juga disebut "teknologi tampilan" dari Metode OCTAVE, karena

ini adalah di mana mengubah cara anda memperhatikan infrastruktur komputasi

organisasi Anda. Tahap kedua evaluasi mencakup dua proses.

• Proses 5: Identifikasi Komponen utama. Para peserta dalam proses ini

adalah tim analisis dan dipilih anggota staf teknologi informasi (TI).

Tujuan utama dari proses 5 adalah untuk memilih komponen

infrastruktur yang akan diperiksa kelemahan teknologinya selama

proses 6.

28

Proses 5 terdiri dari dua kegiatan: mengidentifikasi kelas utama dari

komponen dan mengidentifikasi komponen infrastruktur untuk

diperiksa.

• Proses 6: Evaluasi Komponen terpilih. Para peserta dalam proses ini

adalah tim analisis dan memilih anggota staf TI. Tujuan dari proses 6

adalah untuk mengidentifikasi kelemahan teknologi dalam komponen

infrastruktur yang diidentifikasi selama proses 5. Kelemahan

teknologi memberikan indikasi betapa rapuhnya infrastruktur

komputasi organisasi.

Proses 6 terdiri dari dua kegiatan: menjalankan alat evaluasi

kerentanan atas komponen infrastruktur yang dipilih, meninjau

teknologi kerentanan dan hasil ringkasan.

Tahap 3: Mengembangkan Strategi dan Rencana Keamanan

Tahap 3 ini dirancang untuk memahami informasi yang telah dikumpulkan

sejauh ini di evaluasi. Sekarang selama fase ini bahwa Anda mengembangkan

strategi keamanan dan rencana yang dirancang untuk mengatasi risiko organisasi dan

isu-isu yang ada. Kedua proses fase 3 yang ditunjukkan pada :

• Proses 7: Melakukan Analisis Risiko. Para peserta dalam proses 7

adalah anggota tim analisis, dan tujuan dari proses ini adalah untuk

mengidentifikasi dan menganalisis risiko terhadap aset kritis

organisasi.

29

Proses 7 meliputi mengikuti tiga kegiatan: mengidentifikasi dampak

ancaman terhadap aset kritis, membuat kriteria evaluasi resiko,

mengevaluasi dampak dari ancaman terhadap aset kritis.

• Proses 8: Mengembangkan Strategi Perlindungan. Proses 8 mencakup

dua pelatihan. Para peserta dalam workshop pertama untuk proses 8

adalah anggota tim analisis dan beberapa anggota dari organisasi (jika

tim analisis memutuskan untuk menambah keterampilan dan

pengalaman untuk pengembangan strategi perlindungan). Tujuan dari

proses 8 adalah untuk mengembangkan strategi perlindungan bagi

organisasi, mitigasi berencana untuk risiko terhadap aset kritis, dan

daftar tindakan. Berikut ini adalah kegiatan workshop pertama proses

8: konsolidasi informasi dari proses 1 sampai 3, review informasi

risiko, penciptaan strategi perlindungan, rencana mitigasi dan daftar

tindakan yang dapat dilakukan.

Dalam workshop kedua proses 8, tim analisis menyajikan strategi

perlindungan yang diusulkan, mitigasi rencana, dan daftar tindakan

untuk manajer senior dalam organisasi. Para manajer senior meninjau

dan merevisi strategi dan rencana yang diperlukan dan kemudian

memutuskan bagaimana organisasi akan membangun hasil evaluasi.

Berikut ini adalah kegiatan workshops kedua proses 8: persiapan

untuk pertemuan dengan manajemen senior, penyajian informasi

risiko, review dan penyempurnaan strategi perlindungan, mitigasi

rencana, dan daftar aksi penentuan langkah selanjutnya. Pada titik ini,

organisasi telah menyelesaikan Metode OCTAVE

30

2.5.2 NIST

Elky, Steve (2007) NIST (National Institute of Standard and Technology)

Special Publication (SP) 800-30, Panduan Manajemen Risiko untuk Sistem

Teknologi Informasi yang merupakan standar Pemerintah Federal US. Metodologi

ini terutama dirancang untuk menjadi suatu perhitungan kualitatif dan didasarkan

pada analisa keamanan yang cukup sesuai dengan keinginan pemilik sistem dan ahli

teknis untuk benar-benar mengidentifikasi, mengevaluasi dan mengelola risiko dalam

sistem TI. Proses ini sangat komprehensif, meliputi segala sesuatu dari ancaman-

sumber identifikasi untuk evaluasi berkelanjutan dan penilaian.

Metodologi NIST terdiri dari 9 langkah:

Langkah 1: Karakterisasi Sistem

Langkah 2: Identifikasi Ancaman

Langkah 3: Identifikasi Kerentanan

Langkah 4: Analisis Pengendalian

Langkah 5: Penentuan Kemungkinan

Langkah 6: Analisis Dampak

Langkah 7: Penentuan Risiko

Langkah 8: Rekomendasi Kontrol

Langkah 9: Hasil Dokumentasi

31

HIPAA (2012) menjelaskan mengenai panduan dalam menggunakan metode

NIST (National Institute of Standard and Technology) Special Publication (SP) 800-

30. Berikut adalah penjelasan lebih rinci mengenai sembilan langkah pada metode

NIST.

Langkah 1. Karakterisasi system

Langkah pertama dalam menilai risiko adalah untuk menentukan ruang

lingkup usaha. Untuk melakukan hal ini, mengidentifikasi di mana dibuat, diterima,

dipelihara, diproses, atau ditransmisikan. Menggunakan teknik pengumpulan

informasi, batasan sistem TI diidentifikasi, serta sumber daya dan informasi yang

merupakan bagian dari sistem. Mempertimbangkan kebijakan , hukum, tenaga kerja

dan telecommuters, dan media removable dan perangkat komputasi portabel

(misalnya, laptop, media removable, dan media backup). Output - Karakterisasi dari

sistem TI dinilai, gambar yang bagus dari lingkungan sistem IT, dan batas sistem.

Langkah 2. Identifikasi ancaman

Untuk langkah ini, potensi ancaman (potensi sumber ancaman untuk berhasil

melaksanakan kerentanan tertentu) diidentifikasi dan didokumentasikan. Sumber

ancaman adalah setiap keadaan atau peristiwa dengan potensi untuk menyebabkan

kerusakan pada sistem IT (disengaja atau tidak disengaja). Sumber ancaman secara

umum dapat dari alam, manusia, atau pertimbangan lingkungan. semua potensi

ancaman - sumber, melihat kembali kejadian sebelumnya dan data dari badan-badan

intelijen, pemerintah, dll, membantu menghasilkan item untuk dimasukkan pada

daftar. Daftar berdasar pada organisasi secara individu dan pengolahan lingkungan.

32

Output - Sebuah pernyataan ancaman yang berisi daftar ancaman - sumber yang

dapat mengeksploitasi sistem kerentanan.

Langkah 3. Identifikasi kerentanan

Tujuan dari langkah ini adalah untuk mengembangkan daftar kerentanan

sistem teknis dan non-teknis (kekurangan atau kelemahan) yang dapat dimanfaatkan

atau dipicu oleh sumber-sumber ancaman - potensial. Kerentanan dapat berkisar dari

kebijakan yang tidak lengkap atau bertentangan yang mengatur penggunaan

komputer organisasi untuk perlindungan memadai untuk melindungi fasilitas

peralatan komputer ke sejumlah perangkat lunak, perangkat keras, atau kekurangan

lain yang terdiri dari jaringan komputer organisasi. Output - Sebuah daftar

kerentanan sistem (pengamatan) yang dapat dieksekusi oleh sumber ancaman-

potensial.

Langkah 4. Analisis pengendalian

Tujuan dari langkah ini adalah untuk mendokumentasikan dan menilai

efektivitas pengendalian teknis dan non-teknis yang telah atau akan dilaksanakan

oleh organisasi untuk meminimalkan atau menghilangkan kemungkinan (probabilitas

atau) dari sumber ancaman - mengeksploitasi kerentanan sistem. Output - Daftar

kontrol saat ini atau yang direncanakan (kebijakan, prosedur, pelatihan, mekanisme

teknis, asuransi, dll) yang digunakan untuk sistem TI untuk mengurangi

kemungkinan kerentanan yang dilakukan dan mengurangi dampak seperti sebuah

peristiwa yang merugikan.

33

Langkah 5. Penentuan kemungkinan (Probability)

Tujuan dari langkah ini adalah untuk menentukan nilai keseluruhan

kemungkinan yang menunjukkan kemungkinan bahwa kerentanan dapat

dimanfaatkan oleh sumber ancaman yang diberikan kontrol keamanan yang ada atau

yang direncanakan. Output - Kemungkinan rating rendah (.1), menengah (.5), atau

tinggi (1). Rujuk ke SP NIST 800-30 definisi rendah, menengah, dan tinggi.

Langkah 6. Analisis Dampak

Tujuan dari langkah ini adalah untuk menentukan tingkat dampak negatif

yang akan dihasilkan dari ancaman berhasil mengeksploitasi kerentanan. Faktor data

dan sistem untuk mempertimbangkan harus mencakup pentingnya misi organisasi,

kepekaan dan kekritisan (nilai atau kepentingan), biaya yang terkait, hilangnya

kerahasiaan, integritas, dan ketersediaan sistem dan data. Output - Besaran Peringkat

dampak rendah (10), menengah (50), atau tinggi (100). Rujuk ke SP NIST 800-30

definisi rendah, menengah, dan tinggi.

Langkah 7. Penentuan risiko

Dengan mengalikan peringkat dari penentuan kemungkinan dan analisis

dampak, tingkat resiko ditentukan. Ini merupakan derajat atau tingkat risiko yang

bersistem TI, fasilitas, atau prosedur mungkin terkena jika kerentanan yang diberikan

telah dieksekusi. Peringkat risiko juga menyajikan tindakan manajemen senior

(pemilik misi) yang harus diambil untuk setiap tingkat risiko. Output - Risiko tingkat

34

rendah (1-10), menengah (> 10-50) atau tinggi (> 50-100). Rujuk ke SP NIST 800-

30 definisi rendah, menengah, dan tinggi.

Langkah 8. Rekomendasi kontrol

Tujuan dari langkah ini adalah untuk mengidentifikasi kontrol yang dapat

mengurangi atau menghilangkan risiko yang teridentifikasi, sesuai dengan operasi

organisasi. Tujuan dari kontrol ini adalah untuk mengurangi tingkat risiko terhadap

sistem dan data ke tingkat yang dapat diterima. Faktor-faktor yang perlu

dipertimbangkan ketika mengembangkan kontrol mungkin termasuk efektivitas atas

pilihan yang direkomendasikan (yaitu, kompatibilitas sistem), undang-undang dan

peraturan, kebijakan organisasi, dampak operasional, dan keselamatan dan

keandalan. Rekomendasi kontrol memberikan masukan untuk proses mitigasi risiko,

di mana kontrol direkomendasikan keamanan prosedural dan teknis dievaluasi,

diprioritaskan, dan diimplementasikan. Output - Rekomendasi kontrol(s) dan solusi

alternatif untuk mengurangi risiko.

Langkah 9. Dokumentasi hasil

Hasil dari penilaian risiko yang didokumentasikan dalam laporan resmi atau

briefing dan diberikan kepada manajemen senior (pemilik misi) untuk membuat

keputusan tentang kebijakan, prosedur, anggaran, dan sistem perubahan operasional

dan manajemen. Output - Sebuah laporan penilaian risiko yang menggambarkan

ancaman dan kerentanan, mengukur risiko, dan memberikan rekomendasi untuk

pelaksanaan kontrol. Setelah menyelesaikan proses sembilan langkah penilaian

risiko, langkah berikutnya adalah mitigasi risiko. Mitigasi risiko melibatkan

35

memprioritaskan, mengevaluasi, dan menerapkan sesuai mengurangi risiko kontrol

direkomendasikan dari proses penilaian risiko.

36

Gambar 2.2 Risk Asessment Flowchart from

NIST SP 800-30

Sumber : Recommendations of the National Institute of

Standards and Technology, Juli 2002

37

2.5.3 COBRA

The Consultative, Objective and Bi-functional Risk Analysis (COBRA) Proses

awalnya diciptakan oleh C & A Sistem Keamanan Ltd pada tahun 1991. Dibutuhkan

pendekatan bahwa penilaian risiko adalah lebih kearah masalah bisnis daripada

masalah teknis. Ini terdiri dari alat-alat yang dapat dibeli dan kemudian digunakan

untuk melakukan penilaian risiko, sementara menurut pada pengetahuan para ahli ini

juga dianggap sebagai alat. Dasar yang menjadi pengetahuan utama adalah:

• Keamanan TI (atau default)

• Risiko Operasional

• Risiko ‘cepat mengalami peningkatan' atau 'tingkat risiko tinggi'

• e-Security

Konsultan Risiko adalah tool dengan basis pengetahuan dan dibangun dalam

template yang memungkinkan pengguna untuk membuat kuesioner untuk

mengumpulkan informasi tentang jenis aset, kerentanan, ancaman, dan kontrol. Dari

informasi ini, konsultan risiko dapat membuat laporan dan membuat rekomendasi,

yang kemudian dapat disesuaikan. Kepatuhan serupa ISO, hanya produk ini

difokuskan pada ISO 17799 (Elky, Steve 2007).

2.5.4 Risk Watch

Elky, Steve (2007) risk watch adalah alat (metode) lain yang menggunakan

pengetahuan ahli yang terintegrasi untuk menjalankan penggunaan melalui penilaian

risiko dan memberikan laporan mengenai kepatuhan serta rekomendasi untuk

mengelola risiko. Risk watch mencakup informasi statistik untuk mendukung

penilaian risiko kuantitatif, yang memungkinkan pengguna untuk menunjukkan ROI

38

untuk berbagai strategi. Risk watch memiliki beberapa produk, masing-masing

difokuskan di sepanjang kebutuhan kepatuhan yang berbeda. Ada produk

berdasarkan NIST Standar (pemerintah AS), ISO 17799, HIPAA dan Lembaga

Keuangan standar (Gramm Leach Bliley Act, California SB 1386 (Identify Theft

standards), Facilities Access Standards dan the FFIEC Standards for Information

Systems).

2.5.5 FRAP

Facilitated Risk Analysis Process (FRAP) adalah penciptaan Thomas Peltier.

Hal ini didasarkan pada penerapan teknik manajemen risiko dengan cara yang sangat

hemat biaya. FRAP menggunakan metodologi analisis secara kualitatif terkait risiko

menggunakan analisis kerentanan, analisis dampak kerusakan (hazard), serta analisa

ancaman. Selain itu, FRAP menekankan pra-screening system dan hanya melakukan

penilaian risiko formal pada sistem saat diperlukan (Elky, Steve, 2007).

Di dalam Peltier, Thomas R. (2001) menyebutkan FRAP adalah metodologi

formal yang dikembangkan melalui pemahaman proses risiko yang sebelumnya

adalah analisis kualitatif dan dimodifikasi untuk memenuhi persyaratan saat ini. Hal

ini didorong oleh sisi bisnis perusahaan dan memastikan bahwa kontrol

memungkinkan proses bisnis untuk memenuhi tujuannya. Tidak pernah ada diskusi

tentang kontrol sebagai keamanan atau persyaratan audit. FRAP berfokus pada

kebutuhan bisnis dan kurangnya waktu yang dapat dihabiskan untuk tugas-tugas

tersebut. Dengan melibatkan unit bisnis, FRAP menggunakan mereka untuk

mengidentifikasi risiko dan ancaman. Setelah pemilik sumber daya yang terlibat

dalam mengidentifikasi ancaman, maka mereka umumnya mengatur dan mencari

39

bantuan dalam melaksanakan cost effective control untuk membantu membatasi

eksposur. FRAP memungkinkan bisnis unit untuk mengendalikan sumber daya

mereka. Hal ini memungkinkan mereka untuk menentukan apa perlindungan yang

diperlukan dan siapa yang akan bertanggung jawab untuk melaksanakan pengamanan

tersebut.

Setiap proses analisis risiko dibagi menjadi empat sesi yang berbeda:

1. The Pre-FRAP Meeting memakan waktu sekitar satu jam dan melibatkan

manajer bisnis, pemimpin proyek, dan fasilitator.

2. The FRAP Session berlangsung sekitar empat jam dan melibatkan 7

sampai 15 orang, meskipun sesi dengan sebanyak 50 dan sedikitnya empat

orang pernah terjadi.

3. FRAP analysis dan pembuatan laporan biasanya memakan waktu 4 sampai

6 hari dan diselesaikan oleh fasilitator dan juru tulis.

4. Sesi Post-FRAP Meeting memakan waktu sekitar satu jam dan memiliki

peserta yang sama dengan pertemuan pre-FRAP.

Sesi di dalam metode FRAP ini sendiri dijabarkan seperti dibawah ini :

• The Pre-FRAP Meeting

Pra-FRAP meeting adalah kunci bagi keberhasilan proyek. Pertemuan

biasanya berlangsung sekitar satu jam dan biasanya dilaksanakan di kantor klien.

Pertemuan harus dihadiri manajer bisnis (perwakilan), pemimpin pengembangan

40

proyek, dan fasilitator. Akan ada lima komponen utama yang dihasilkan dari sesi

satu jam.

1. Lingkup pernyataan (Scope statement)

• Dalam hal ini pimpinan proyek dan manajer bisnis membuat

pernyataan dalam bentuk dokumen yang digunakan untuk

mengkonfirmasikan pemahaman bersama akan ruang lingkup atau

batasan proyek yang perlu ditinjau.

2. Model visual (Visual model)

• Berupa diagram yang menggambarkan proses yang harus ditinjau dan

digunakan selama sesi FRAP dari dimulainya proses sampai dengan

proses akhir.

3. Membentuk tim FRAP (Establish the FRAP team)

• Sebuah tim FRAP umumnya terdiri antara 7 – 15 anggota dan

memiliki perwakilan dari sejumlah area baik bisnis maupun bagian

lain yang menunjang. Selama pertemuan pre-FRAP, manajer bisnis

dan pimpinan proyek perlu untuk menentukan siapa saja yang

sebaiknya menjadi bagian dari sesi FRAP. Jumlah ideal tim FRAP

adalah antara 7 dan 15 peserta. Disarankan bahwa wakil-wakil dari

bidang-bidang berikut dimasukkan dalam proses FRAP:

• Pemilik fungsional

• Pengguna sistem

41

• Sistem administrator

• Sistem analisis

• Sistem pemrograman

• Aplikasi pemrograman

• Administrasi database

• Keamanan informasi

• Keamanan fisik

• Telekomunikasi

• Administrasi Jaringan

• Penyedia layanan

• Pemeriksaan (jika diperlukan)

• Hukum (jika diperlukan)

• HRD (jika diperlukan)

Tidak ada aturan yang mutlak dan memaksa mengenai siapa yang

harus hadir, tetapi jalannya FRAP harus berhasil, maka akan

diperlukan pemilik bisnis fungsional dan pengguna sistem untuk

menjadi bagian dari FRAP tersebut. Ini adalah proses bisnis dari

perusahaan yang akan diulas dan nantinya sangat penting sebagai

bagian dari proses FRAP.

42

• Di dalam pembentukan tim FRAP diperlukan peran penting dari

fasilitator FRAP. Fasilator dalam memfasilitasi FRAP perlu memiliki

sejumlah keterampilan khusus. Keterampilan ini dapat ditingkatkan

dengan menghadiri pelatihan khusus dan dengan pemfasilitasan.

Keterampilan yang diperlukan mencakup kemampuan untuk:

• Mendengarkan, fasilitator sebaiknya memiliki kemampuan untuk

menjadi responsif terhadap perilaku peserta dalam bentuk verbal

maupun non-verbal. Mampu memberikan tanggapan parafrase ke

subjek yang sedang dikaji dan dapat memperjelas tanggapan.

• Memimpin, fasilitator akan menentukan kapan sesi FRAP dimulai

dan mendorong terjadinya diskusi sekaligus menjaga tim FRAP agar

tetap fokus pada topik yang ada.

• Menggambarkan, fasilitator harus mampu memberikan ide-ide

dalam bentuk kata-kata yang baru atau untuk memberikan penegasan.

• Merangkum, fasilitator harus mampu menarik inti dari tema dan ide-

ide yang dihasilkan bersama-sama dengan anggota tim.

• Confront, fasilitator harus mampu memberikan umpan balik (feed

back) terhadap pendapat, bereaksi secara jujur terhadap masukan dari

tim dan mampu menerima komentar kasar dan mengubahnya menjadi

pernyataan positif.

• Mendukung, fasilitator harus mampu menciptakan iklim kerja yang

penuh dengan rasa kepercayaan dan penerimaan di dalam tim.

43

• Mengintervensi krisis, fasilitator membantu untuk memperluas

pilihan atau alternatif visi dari seseorang dan untuk memperkuat poin

atas tindakan yang dapat membantu menyelesaikan konflik atau krisis.

• Berperan sebagai pusat, fasilitator berperan dalam membantu tim

untuk menerima pandangan orang lain dan membangun kepercayaan

untuk semua anggota tim untuk berani merespon dan berpartisipasi

aktif.

• Memecahkan masalah, fasilitator mengumpulkan informasi yang

relevan tentang masalah-masalah yang ada dan membantu tim dalam

membangun tujuan pengendalian yang efektif.

• Merubah perilaku, fasilitator mencari orang-orang yang tampaknya

tidak menjadi bagian dari proses dan membawa mereka untuk menjadi

lebih berpartisipasi secara aktif.

4. Mekanika Pertemuan (Meeting mechanics)

• Menentukan ruangan meeting, mengatur jadwal, mendapatkan materi

yang dibutuhkan (overhead, flip charts, kopi dan donut).

5. Perjanjian tentang definisi (Agreement on definitions)

• Pre-FRAP session juga akan selesai saat perjanjian akan pendefinisian

juga telah dilengkapi. Perjanjian mengenai pengertian atau definisi

perlu dibuat terkait beberapa elemen yang akan ditinjau (integrity,

confidentiality, availability).

44

Selain elemen yang ada diatas, juga diperlukan untuk menyetujui definisi

mengenai:

o Risiko

o Kontrol

o Dampak

o Kerentanan

• The FRAP Session (fase 1)

Setelah pre-FRAP dilaksanakan selanjutnya akan dimuali sesi FRAP. Pada

sesi ini umumnya dijadwalkan selama empat jam. Beberapa organisasi telah

memperluas proses berlangsungnya sesi ini selama tiga hari, tetapi biasanya,

batas empat jam didasarkan pada jadwal-jadwal sibuk dan fleksibilitas FRAP

tersebut. Sesi FRAP dapat dibagi menjadi tiga bagian yang berbeda, dengan

sembilan elemen yang memunculkan tiga hal yang dihasilkan. Tahap 1, Logistik

- selama fase ini tim FRAP akan memperkenalkan dirinya sendiri, memberi

nama, judul, departemen, dan nomor telepon (semua ini akan direkam oleh juru

tulis tersebut). Peran tim FRAP akan diidentifikasi dan dibahas. Biasanya ada

sekitar lima peran yaitu :

1. Pemilik

2. Lead Proyek

3. Fasilitator

45

4. Scribe (juru tulis)

5. Para Anggota Tim

Selama fase awal ini, tim FRAP akan diberikan overview tentang proses

dimana mereka akan menjadi bagian di dalamnya. Mereka juga akan

diberitahukan mengenai scope statement, dan kemudian seseorang dari tim

teknikal akan memberikan waktu lima menit untuk melakukan kajian (overview)

atas proses yang dibahas (menggunakan visual model). Pada akhirnya,

pendefinisan yang dilakukan sebelumnya akan ditinjau dan setiap anggota harus

diberikan salinan dari pendefinisan itu.

• The FRAP analysis (fase 2)

Setelah pendahuluan dari sesi FRAP selesai dilakukan, tim FRAP akan

memulai proses brainstorming mengenai definisi dan contoh dari risiko-

risiko. Pada Fase ini, dimana setiap elemen (integrity, confidentiality, dan

availability) dibahas dan identifikasi risiko, ancaman, perhatian, dan masalah-

masalah untuk setiap elemen.

Tim ini kemudian diberi waktu tiga menit untuk menuliskan risiko yang

menjadi perhatian bagi mereka. Fasilitator kemudian akan pergi di sekitar

ruangan untuk mengumpulkan satu risiko dari setiap anggota tim. Nantinya

akan dikumpulkan lebih dari satu risiko, dimana proses ini bertujuan

mengumpulkan sebuah risiko dan kemudian pindah ke orang berikutnya.

Dengan cara ini setiap orang mendapat giliran untuk berpartisipasi. Proses

46

berlanjut sampai setiap orang lewat (dimana tidak ada risiko lagi yang

terpikirkan oleh tim).

Proses brainstorming berlanjut sampai peninjauan ulang masing-masing

elemen ini selesai. Setelah proses ini selesai, selanjutnya dianjurkan untuk

memberikan tim istirahat. Ketika anggota tim kembali ke ruang konferensi,

minta mereka untuk melakukan peninjauan atas risiko dicatat sebelumnya dan

kemudian mengambil beberapa menit untuk memisahkan risiko yang sama

dan membuat suntingan mana yang dianggap layak. Setelah pemisahan

selesai (hanya memungkinkan sekitar 10 sampai 15 menit untuk proses ini),

tim sekarang akan berkonsentrasi dalam memprioritaskan risiko. Hal ini

dilakukan dengan menentukan kerentanan perusahaan untuk risiko dan

dampak bisnis jika risiko benar terjadi. Definisi ini disepakati pada pertemuan

pra-FRAP dan disajikan kepada tim selama sesi pengantar.

Berikut adalah definisi-definisi khusus yang biasa digunakan:

• High Vulnerability: kelemahan yang sangat substansial ada dalam

sistem atau rutinitas operasional, dan di mana potensi dampak

bisnis yang parah atau signifikan, kontrol harus ditingkatkan.

• Medium Vulnerability: terdapat beberapa kelemahan dan di mana

potensi dampak bisnis yang parah atau signifikan, kontrol dapat

dan sebaiknya ditingkatkan.

• Low Vulnerability: sistem sudah dibangun dengan baik dan

dioperasikan dengan benar. Tidak ada kontrol tambahan yang

diperlukan untuk mengurangi kerentanan.

47

Gambar 2.3 Contoh matrix proritas

(Sumber : Information Security Risk Analysis, 2001, hal. 80)

• Severe Impact (High) : cenderung membuat perusahaan bangkrut

atau mengalami kerugian yang parah dalam hal prospek bisnis dan

pengembangan

• Significant Impact (Medium) : akan menyebabkan kerugian yang

signifikan dan kehilangan banyak biaya, tapi perusahaan masih

bisa bertahan.

• Minor Impact (low) : pada tipe ini, biasanya berupa dampak disisi

operasional yang masih dapat dikelola sebagai bagian dari

kehidupan bisnis yang biasa.

Tim akan dibantu dengan menggunakan model prioritas seperti

yang ditampilkan dalam gambar 2.3. Kotak yang dipilih dan disesuaikan

48

dengan nilai berupa huruf kemudian dicocokkan dengan risiko dan

dikatakan sebagai prioritas. Tanggapan yang bisa dilakukan tim FRAP

adalah sebagai berikut :

• A - Tindakan korektif harus dilaksanakan

• B - Tindakan korektif sebaiknya dilaksanakan

• C - Membutuhkan pemantauan

• D - Tidak ada tindakan yang diperlukan

Sesi FRAP akan menghasilkan tiga hal yang disampaikan :

• Identifikasi risiko

• Prioritas risiko

• Pengedalian yang disarankan untuk risiko dengan tingkat prioritas

tinggi atau yang utama

• Post-FRAP Meetings

Melakukan analisa risiko dengan hanya sekitar 30 menit merupakan

kesalahan, sehingga menjadi konsep yang benar bahwa FRAP dapat diselesaikan

dalam waktu empat jam. Pertemuan pre-FRAP memakan waktu sekitar satu jam

dan sesi FRAP akan memakan waktu sekitar empat jam. Keduanya itu

merupakan bagian pengumpulan informasi dari proses analisis risiko. Untuk

49

mendapatkan laporan yang lengkap, manajer bisnis, pemimpin proyek dan

fasilitator harus menyelesaikan action plan.

Proses post-FRAP memiliki lima hasil:

1. Cross reference sheet

2. Identifikasi kontrol yang ada

3. Berkonsultasi dengan Owner pada open risk

4. Identifikasi kontrol untuk open risk

5. Laporan Akhir

Kemajuan teknikal pada tingkat sekarang ini, cross reference sheet adalah

proses yang paling memakan waktu bagi fasilitator atau juru tulis. Dokumen ini

mengambil setiap kontrol dan mengidentifikasi semua risiko yang akan terkena

dampak berdasarkan satu per satu kontrol. Sesudah cross reference sheet selesai

(dua hari waktu kerja seharusnya sudah cukup), action plan dan cross reference

sheet dikirimkan kepada manajer bisnis. Sesi FRAP akan menghasilkan laporan

akhir.

2.6 Perbandingan antara OCTAVE, NIST, COBRA, Risk Watch dan FRAP

Terdapat beberapa metode yang dapat digunakan dalam penilaian manajemen

risiko teknologi informasi, antara lain OCTAVE, NIST, COBRA, Risk Watch dan

FRAP. Secara umum metode yang dipilih untuk digunakan haruslah sesuai dengan

kebutuhan perusahaan. Dari metode-metode yang telah ada tersebut OCTAVE dan

50

FRAP merupakan yang cukup sering ditemukan untuk melakukan pengukuran risiko

teknologi informasi.

OCTAVE merupakan metode yang cukup terstruktur akan tetapi metode ini

merupakan metode yang cocok digunakan di perusahaan berskala kecil. Sedangkan

untuk FRAP itu sendiri merupakan metode terstruktur yang berfokus pada

pengkajian control perusahaan tersebut dengan keuntungannya yakni memakan

sedikit waktu.

Penggunaan NIST sebagai metode pengukuran risiko juga cukup baik namun

demikian waktu yang digunakan cukup lama hingga berbulan-bulan minimal dua

bulan tergantung dengan kebutuhan perusahaannya dan biasanya NIST digunakan

pada skala perusahaan besar karena itu waktu yang ditempuh cukup lama.

COBRA merupakan metode metode sesuai ISO akan tetapi lebih fokus

kemasalah bisnis dari pada teknisnya dengan kata lain manajemen bisnis menjadi

sesuatu yang dilihat disini, menganalisis bagaimana anggaran dana perusahaan

dengan TI yang sedang berjalan apakah berkembang atau sebaliknya merugi,

diketahui bahwa metode ini cukup konvensional dan merupakan alat yang tidak

hanya mengatasi tuntutan baru dalam manajemen bisnis, tetapi cenderung untuk

memperkenalkan kelemahan mereka sendiri dan kesulitan dalam bisnis perusahaan.

Untuk metode Risk Watch sendiri, merupakan metode yang mengarah ke

risiko investasi, berhubungan dengan keuangan dimana biasanya bank-bank besar

mengadopsi metode ini untuk menilai kerentanan risiko perusahaan mereka. Metode

ini menilai kerentanan sistem informasi mengenai aset-aset, perhitungan dampak

potensial keuangan, dan lain lain.

51

Dengan analisis berbagai metode yang ada maka kami melihat metode yang

paling sesuai dengan perusahaan PT.Arya Group ialah FRAP karena memakan waktu

dan biaya sedikit.

2.7 Penelitian Sebelumnya

Penulis telah melakukan analisa perbandingan mengenai pengukuran risiko

teknologi informasi dengan metode FRAP dengan penelitian sebelumnya yang

dilakukan oleh Sinta dan Sylvana (2011) yang mana keduanya melakukan penelitian

pada perusahaan yang bergerak di bidang manufacturing. Mereka melakukan

pengukuran risiko teknologi informasi dengan menggunakan metode OCTAVE-S.

Berdasarkan studi yang dilakukan penulis, metode OCTAVE-S tersebut terdiri dari

tiga tahapan.

Tahap pertama, membangun profil ancaman berdasarkan aset. Pada tahap

pertama ini terdapat dua proses yaitu mengidentifikasi informasi dalam organisasi

dan proses kedua adalah menciptakan profil ancaman. Selanjutnya, tahap kedua

dilakukan identifikasi kerentanan atas infrastruktur dalam hubungannya dengan aset

kritis. Tahap terakhir adalah melakukan pengembangan strategi dan rencana

keamanan. Ada dua proses yang menjadi bagian dari tahap ketiga ini yaitu

mengidentifikasi dan menganalisa risiko dan mengembangkan strategi perlindungan

dan rencana mitigasi. penulis menyimpulkan beberapa hal mengenai hasil analisa

yang dilakukan yaitu diantaranya adalah :

1. Dengan metode FRAP, penulis dapat menghemat banyak waktu dalam

melakukan pengukuran risiko teknologi informasi dalam perusahaan.

52

Karena dalam metode OCTAVE-S pengukuran risiko TI dilakukan secara

keseluruhan sehingga memakan waktu yang cukup lama.

2. Selain itu karena pada metode FRAP staff non teknis atau non keamanan

dapat terlibat dan juga melibatkan manajer operasional sehingga hasilnya

dapat secara langsung terkait dengan strategi bisnis. Gambaran analisa

pengukuran risiko TI nya juga mengacu kepada pendapat ahli yang dalam

hal ini adalah manajer sebagai perwakilan perusahaan yang memahami

risiko dan proses TI yang berlangsung.

3. OCTAVE-S memiliki terlalu banyak worksheet dan implemetasi yang

dilakukan. Sedangkan pada FRAP format worksheet lebih sederhana

karena sudah disediakan, selain itu daftar kontrol dan risiko juga telah

direferensikan oleh FRAP sendiri.