8

 

 

BAB 2

LANDASAN TEO RI

2.1 Sistem Informasi

Menurut Laudaon dan laudon (2006, p7), sistem informasi adalah sekumpulan

komponen yang saling berhubungan yang bekerja sama unt uk mengumpulkan,

memproses, menyimpan, dan mendistribusikan informasi sehingga dapat membant u

manajer mengambil keput usan dan pengkoordinasian, pengontrolan, penganalisaan,

penanggulangan masalah dalam suatu organisasi. Dan menurut Leitel dan Davis dalam

bukunya “Accounting Information System” mendefinisikan bahwa sistem informasi

adalah suatu sistem didalam suatu organisasi yang mempertemukan kebutuhan-

kebut uhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan

kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan

laporan-laporan yang diperlukan.

Oleh karena it u, sistem informasi sebagai suatu sistem dalam suatu organisasi

yang mengolah data menjadi bentuk yang lebih berguna menjadi suatu informasi yang

memenuhi kebutuhan para pemakai untuk mencapai suat u tujuan. Dari uraian tersebut,

jelas bahwa sistem informasi terdiri dari data yang diolah menjadi informasi sehingga

dapat terintegrasi dengan sistem.

9

 

 

2.1.1 Data

Sum ber dari informasi adalah data. Menurut Suyanto(2000, p6), data merupakan

catatan historis yang dicatat dan diarsipkan dan segera diambil kembali unt uk

pengambilan keputusan. Data yang telah ada diletakkan dalam konteks yang lebih

berarti dan berguna yang dikomunikasikan kepada penerima untuk digunakan di dalam

pembuatan keput usan disebut informasi. Jadi, data merupakan bent uk yang belum dapat

memberikan manfaat yang besar bagi penerimanya, sehingga perlu suatu model yang

nantinya akan dikelompokkan dan diproses untuk menghasilkan informasi.

sumber :http://blog.re.or.id/pengertian-informasi.htm, diakses tanggal 09 october

2009.

2.1.2 Informasi

Menurut Whitten, Bentley, Dittman (2004, p27), informasi merupakan data yang

diproses atau diorganisasikan kedalam suat u bent uk yang memiliki arti untuk seseorang.

Informasi dibent uk dari berbagai kom binasi data yang diharapkan dapat memberikan

makna bagi penerimanya. Dan menurut Mcleod (2008, p15), informasi adalah data yang

telah diproses atau data yang memiliki arti. Sedangkan, menurut O’Brien (2002, p12),

informasi adalah data yang telah diubah ke dalam sebuah bent uk yang mempunyai arti

dan berguna bagi pemakai tertentu atau khusus. Jadi, informasi adalah data yang telah

diolah menjadi bentuk yang mempunyai arti dan dapat bermanfaat bagi pengam bilan

keput usan saat ini dan masa yang akan datang.

10

 

 

2.1.3 Sistem

Menurut O’Brien (2002, p8), sistem merupakan sekumpulan komponen-

komponen yang saling berhubungan dan bekerja sama untuk mencapai tujuan bersama,

dengan menerima masukan dan menghasilkan pengeluaran melalui proses transformasi

yang terorganisir. Dan menurut Mathiassen (2000, p9), sistem adalah sekumpulan

komponen yang mengimplementasikan kebutuhan pemodelan fungsi dan antar muka.

Jadi, suatu sistem merupakan suatu jaringan kerja dari sekumpulan komponen yang

saling berhubungan, berkumpul bersama-sama unt uk melakukan suatu kegiatan atau

untuk menyelesaikan suatu sasaran yang tertentu.

2.2 Teknologi Informasi

Menurut Sawyer dan Willams (2005, p3), teknologi informasi adalah istilah

umum yang mendeskripsikan berbagai teknologi yang membant u untuk memproduksi,

manipulasi, penyimpanan, kom unikasi dan menyebarluaskan informasi. Dari sisi lain,

menurut Haag, Cimmings, dan McCubbrey (2005, p14), teknologi informasi adalah

komputer apa saja yang berbasiskan perangkat yang digunakan orang (people) unt uk

bekerja dengan informasi dan mendukung informasi dan kebutuhan proses informasi

dari sebuah organisasi.

Jadi, teknologi informasi merupakan teknologi yang biasanya berupa hardware,

software dan jaringan telekomunikasi yang memfasilitaskan dan mendukung proses

pengumpulan, pengelolaan, penyimpanan dan pert ukaran informasi, atau secara

11

 

 

sederhana teknologi informasi dapat berarti alat yang mendukung aktifitas dari sebuah

sistem informasi.

2.2.1 Infrastruktur Teknologi Informasi

Menurut Haag, Cummings, dan McCubbrey (2005, p15), ada dua kategori dasar

dalam teknologi informasi, yait u hardware dan software.

2.2.1.1 Hardware

Hardware terdiri dari peralatan fisik yang menyusun sebuah komputer yang juga

sering dikenal sebagai sistem komputer. Hardware dibagi menjadi 6 kategori, yait u : (1)

Input device; (2) Output device; (3) Storage device; (4) CPU dan RAM; (5)

Telecommunications device; (6) Connecting device.

Input device adalah peralatan yang digunakan untuk memasukkan informasi dan

perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan barcode

reader. Sedangkan Output device adalah peralatan yang digunakan untuk melihat,

mendengar, atau sebaliknya mengenali hasil dari permintaan proses informasi yang

terdiri dari printer, monitor dan speaker.

Storage device adalah peralatan yang digunakan unt uk menyimpan informasi

yang digunakan dilain waktu terdiri atas hard disk, flash memory card, dan DVD. CPU

adalah hardware yang mengartikan dan menjalankan sistem dan instruksi-instruksi

aplikasi software dan mengat ur pengoperasional dari keseluruhan hardware. RAM

12

 

 

adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya sistem,

dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini.

Telecommunications device adalah peralatan yang digunakan untuk mengirim

informasi dan menerima informasi dari orang atau komputer lain dalam sat u jaringan

contohnya modem. Connecting hardware termasuk hal-hal seperti terminal paralel yang

menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal

paralel dan peralatan penghubung internal yang sebagian besar termasuk alat pengantar

untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya.

2.2.1.2 Software

Software adalah kumpulan instruksi-instruksi yang menjalankan hardware unt uk

menyelesaikan tugas tertentu. Ada 2 tipe utama dari software, yaitu: application

software dan system software. Application software merupakan aplikasi yang

memungkinkan untuk menyelesaikan masalah-masalah spesifik atau menampilkan

tugas-t ugas spesifik. Sedangkan system software merupakan aplikasi yang menangani

tugas-t ugas spesifik unt uk mengelola teknologi dan mengatur interaksi dari keseluruhan

peralatan teknologi.

Didalam system software dibagi dalam 2 sistem, yaitu: operating system software

dan utility software. Operating system software adalah software sistem yang

mengendalikan software aplikasi dan mengelola bagaimana peralatan hardware bekerja

bersama-sama yang menyediakan tambahan fungsionalitas untuk mengoperasikan sistem

13

 

 

software, seperti antivirus software, screen savers, disk optimization software.

Sedangkan utility software adalah sistem software dengan fungsi tertentu, misalnya

pemeriksaaan perangkat keras (hardware troubleshooting)

2.2.2 Jaringan Komputer

Menurut Turban, Rainer, Porter (2003, p178), sebuah jaringan komputer terdiri

dari media komunikasi peralatan-peralatan dan software yang dibutuhkan unt uk

menghubungkan dua atau lebih sistem komputer dan peralatan. Jaringan komputer

menjadi penting bagi manusia dan organisasinya karena jaringan komputer mempunyai

tujuan yang menguntungkan bagi mereka. Beberapa manfaat dari jaringan komputer

adalah:

1. Menjadi medium komunikasi: memungkinkan kerjasama antar orang-orang yang

saling berjauhan melalui jaringan komputer baik untuk bertukar data maupun

berkom unikasi.

2. Menjadi sumber: seluruh program, peralatan dan data yang dapat digunakan oleh

setiap orang yang ada dijaringan tanpa dipengaruhi lokasi sumber dan pemakai.

3. Akses informasi luas: dapat mengakses dan mendapatkan informasi dari jarak jauh.

4. Memiliki kehandalan tinggi: tersedianya sumber-sumber alternatif kapanpun

diperlukan. Misalnya pada aplikasi perbankan, jika salah satu mesin tidak bekerja,

kinerja organisasi tidak terganggu karena mesin lain mempunyai sumber yang

sama.

14

 

 

5. Penghematan: membangun jaringan dengan komputer-komputer kecil lebih murah

dibandingkan dengan menggunakan mainframe. Data disimpan di sebuah

komputer yang bertindak sebagai server dan komputer lain yang menggunakan

data tersebut bertindak sebagai client. Bent uk ini disebut client-server.

6. Skalabilitas: meningkatkan kinerja dengan menambahkan komputer server atau

client dengan mudah tanpa mengganggu kinerja komputer server atau komputer

client yang sudah ada lebih dulu.

Ditinjau dari rentang geografis yang dicakup oleh suat u jaringan, jaringan

komputer biasanya terbagi menjadi tiga jenis, yait u: LAN (Local Area Networks), MAN

(Metropolitan Area Network) dan WAN (Wide Area Networks).

- LAN merupakan jaringan komputer yang mencakup area dalam sat u ruang, sat u

gedung, atau beberapa gedung yang berdekatan, sebagai contoh: jaringan dalam

satu kampus yang terpadu atau di sebuah lokasi perusahaan yang tergolong sebagai

LAN. LAN pada umumnya menggunakan media transmisi berupa kabel, namun ada

juga yang tidak menggunakan kabel dan disebut sebagai Wireless LAN (WLAN)

atau LAN tanpa kabel. Kecepatan LAN berkisar dari 10 Mbps sampai 1 Gbps.

- MAN merupakan jaringan yang mencakup area sat u kota atau dengan rentang 10 –

45 km. Jaringan MAN menghubungkan beberapa gedung yang terletak dalam sat u

kota atau kampus yang tersebar dalam beberapa lokasi. Jaringan seperti ini

15

 

 

umumnya menggunakan media transmisi dengan mikrogelom bang atau gelombang

radio. Namun ada juga yang menggunakan jalur sewa (leased line).

- WAN merupakan jaringan komputer yang mencakup area yang besar, sebagai

contoh yaitu jaringan komputer antarwilayah, antarkota atau bahkan antarnegara.

WAN digunakan untuk menghubungkan jaringan lokal yang satu dengan jaringan

lokal yang lain, sehingga pengguna atau komputer di lokasi yang satu dapat

berkom unikasi dengan pengguna dan komputer di lokasi yang lain.

Beberapa contoh dari jaringan komputer, yaitu: Internet, Intranet, dan Ekstranet.

Menurut Turban, Rainer, Porter (2003, p11), internet adalah elektronik dan jaringan

telekomunikasi yang besar yang menghubungkan komputer bisnis, konsumen, instansi

pemerintah, sekolah, dan organisasi lainnya di seluruh dunia, yang menggunakan

pertukaran informasi secara terbuka.

Intranet adalah jaringan pribadi yang menggunakan jaringan internet dan

perangkat lunak protocol T CP/IP, umumnya berupa internet swasta atau terbagi kedalam

kelompok swasta dari jaringan internet publik. Ekstranet adalah jaringan yang aman

yang menghubungkan mitra bisnis dan intranet lewat internet dengan menyediakan

akses ke wilayah masing-masing perusahaan intranet, perpanjangan dari intranet.

16

 

 

2.2.3 Arsitektur Teknologi Informasi

Menurut O’Brien dan George (2006, p480), arsitektur teknologi informasi

merupakan suatu desain konsept ual atau cetak biru yang meliputi 4 komponen, yaitu:

platform teknologi, sumber daya data, arsitektur aplikasi, dan organisasi teknologi

informasi.

1. Platform Teknologi (Technology Platform)

Internet, intranet, ekstranet, jaringan, sistem komputer, sistem software, dan

aplikasi software perusahaan terintegrasi yang menyediakan infrastrukt ur komunikasi.

Platform juga mendukung penggunaan strategi TI bagi e-business, e-commerce, dan

aplikasi bisnis/TI lainnya.

2. Sum ber Daya Data (Data Resources)

Banyak jenis database operasional dan spesialisasi database termasuk data

warehouse dan database internet/intranet, yang menyimpan dan menyediakan data serta

informasi untuk proses bisnis dan dukungan keputusan.

3. Arsitektur Aplikasi (Applications Architecture)

Aplikasi bisnis dari teknologi informasi dirancang sebagai sebuah arsitektur

terintegrasi atau portfolio sistem perusahaan yang mendukung usaha bisnis strategi

bisnis, serta proses lintas fungsi bisnis. Sebagai contoh, sebuah arsitektur aplikasi harus

meliputi dukungan unt uk ERP (Enterprise Resources Planning) dan aplikasi CRM

(Customer Resources Management).

17

 

 

4. Organisasi Teknologi Informasi (IT Organization)

Struktur organisasi dari fungsi sistem informasi dalam sebuah perusahaan dan

distribuasi pakar sistem informasi dirancang unt uk memenuhi strategi yang berubah dari

bisnis. Bentuk organisasi TI tergantung pada filosofi manajerial dan strategi bisnis/TI

yang dibentuk selama proses perencanaan bisnis.

2.3 Konsep Manajemen Risiko

2.3.1 Risiko

Menurut Peltier (2001, p21), risiko merupakan kemungkinan terjadinya beberapa

ancaman yang mudah menyerang. Jadi, Risiko adalah bahaya yang dapat terjadi akibat

dari sebuah proses yang sedang berlangsung atau kemungkinan terjadinya peristiwa

yang dapat merugikan perusahaan.

2.3.2 Manajemen Risiko

Menurut Djojosoedarso (2005, p2), manajemen risiko merupakan berbagai cara

penanggulangan risiko. Dan menurut Peltier (2001, p224), manajemen risiko merupakan

proses mengidentifikasi risiko, mengukur unt uk mengurangi risiko.

Oleh karena it u, dapat dikatakan bahwa setiap orang harus selalu berusaha unt uk

mencegah terjadinya resiko, artinya bahwa adanya upaya unt uk meminimumkan resiko

yang terjadi. Dan pencegahan resiko tersebut dapat dilakukan dengan berbagai cara.

18

 

 

Pengelolaan-pengelolaan dari pencegahan resiko inilah yang disebut sebagai manajemen

risiko.

2.3.3 Macam-macam Risiko

Menurut Djojosoedarso (2005, p3), risiko dibedakan dengan berbagai macam

cara, antara lain:

1. Menurut sifatnya risiko dapat dibedakan kedalam:

a. Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi tentu

menimbulkan kerugian dan terjadinya tanpa disengaja, misalnya: risiko terjadinya

kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya.

b. Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja ditimbulkan

oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan

kepadanya, misalnya: risiko utang-piutang, perjudian, perdagangan berjangka

(hedging), dan sebagainya.

c. Risiko fundamental adalah risiko yang penyebabnya tidak dapat dilimpahkan

kepada seseorang dan yang menderita tidak hanya sat u atau beberapa orang saja,

tetapi banyak orang, seperti: banjir, angin topan dan sebagainya.

d. Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan

umumnya mudah diketahui penyebabnya, seperti: kapal kandas, pesawat jatuh,

tabrakan mobil, dan sebagainya.

19

 

 

e. Risiko dinamis adalah risiko yang timbul karena perkem bangan dan kemajuan

(dinamika) masyarakat dibidang ekonomi, ilmu dan teknologi, seperti: risiko

keuangan, risiko penerbangan luar angkasa. Kebalikannya disebut risiko statis,

seperti: risiko hari t ua, risiko kematian dan sebagainya.

2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko dapat

dibedakan kedalam:

a. Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suat u

objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar

sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan pihak

perusahaan asuransi.

b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan);

umumnya meliputi semua jenis spekulatif.

3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan kedalam:

a. Risiko intern, yaitu risiko yang berasal dari dalam perusahaan it u sendiri, seperti:

kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja, kesalahan

manajemen dan sebagainya.

b. Risiko ekstern, yaitu risiko yang berasal luar perusahaan, seperti: risiko pencurian,

penipuan, persaingan, flukt uasi harga, perubahan kebijakan pemerintah, dan

sebagainya.

20

 

 

2.3.4 Penanggulangan Risiko

Menurut Djojosoedarso (2005, p4), upaya-upaya unt uk menanggulangi risiko

harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai

dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan

perusahaan untuk meminimumkan risiko kerugian, antara lain: (1) Melakukan

pencegahan dan pengurangan terhadap kem ungkinan terjadinya peristiwa yang

menimbulkan kerugian; (2) Melakukan retensi, artinya mentolerir/membiarkan unt uk

sementara terjadinya kerugian, dan unt uk mencegah terganggunya operasi perusahaan

akibat kerugian tersebut disediakan sejumlah dana unt uk menanggulanginya; (3)

Melakukan pengendalian terhadap risiko; (4) Mengalihkan / memindahkan risiko kepada

pihak lain.

Tugas dari manajer risiko adalah berkaitan erat dengan upaya memilih dan

menentukan cara-cara/metode-metode yang paling efisien dalam penanggulangan risiko

yang dihadapi perusahaan.

2.4 Risiko Teknologi Informasi

2.4.1 Kategori Risiko Teknologi Informasi

Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi berisiko

terhadap kehilangan informasi dan pem ulihannya yang tercakup dalam enam kategori,

yaitu:

21

 

 

1. Keamanan

Risiko yang informasinya diubah atau digunakan oleh orang yang tidak

berwenang, misalnya: kejahatan pada komputer, kebocoran internal dan terorisme cyber.

2. Ketersediaan

Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena

kesalahan manusia (human error), konfigurasi perusahaan, dan kurangnya pengurangan

arsitektur.

3. Daya pulih

Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu

yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau perangkat keras,

ancaman eksternal, atau bencana alam.

4. Performa

Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh

arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang

beragam.

5. Daya skala

Risiko dimana perkem bangan bisnis, pengaturan bottleneck, dan bentuk

arsitektur menyebabkan perusahaan tidak mungkin menangani banyak aplikasi baru dan

biaya bisnis secara efektif.

22

 

 

6. Ketaatan

Risiko yang manajemen atau penggunaan informasinya melanggar keperluan

dari pihak pengat ur. Yang dipersalahkan dalam hal ini mencakup aturan pemerintah,

panduan pengat uran perusahaan dan kebijakan internal.

2.4.2 Kelas-kelas Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p49), risiko-risiko teknologi didefinisikan

dalam tujuh kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan

kesalahan, tetapi konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas risiko

tersebut terdiri dari : Projects-failing to deliver, IT service continuity-when business

operations go off the air, Information assets – failing to project and preserve, Service

providers and vendors – breaks in the IT value chain, Applications – flaky systems,

Infrastructure – shaky foundations, Strategic and emergent-disabled by IT.

Kelas-kelas risiko teknologi informasi:

1. Projects-failing to deliver

Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari

gagalnya penyampaian proyek adalah: proyek yang telat diselesaikan/tidak pada

waktunya, sumber daya dan biaya yang disediakan dalam penyelesaian proyek tidak

sesuai dengan kebutuhannya sehingga menjadikan proyek tidak efisien dan dapat

23

 

 

menganggu proses bisnis selama proses implementasi, dan juga hasil dari proyek tidak

sesuai dengan keinginan dari yang diharapkan user.

2. IT service continuity-when business operations go off the air

Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman dan tidak

dapat diandalkan sehingga menganggu proses bisnis yang sedang berjalan. Biasanya

berhubungan dengan sistem operasional dan produksi perusahaan serta kemampuan

mereka unt uk menyediakan kebutuhan dari user.

3. Information assets – failing to project and preserve

Risiko ini berhubungan khusus dengan kerusakan, kehilangan, dan eksploitasi

asset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi perusahaan.

Contohnya informasi yang penting bisa dicuri oleh perusahaan kompetitor, detail dari

kartu kredit dapat dilihat oleh pihak yang tidak berwenang, sehingga dengan demikian

akan merusak hubungan antara pelanggan dengan perusahaan. Ini tentunya akan sangat

merugikan perusahaan.

4. Service providers and vendors – breaks in the IT value chain

Risiko ini berhubungan dengan kemampuan dari provider dan vendor. Bila

mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan berdampak

signifikan bagi sistem TI perusahaan. Dampak lainnya, berhubungan dengan dampak

jangka panjang seperti kekurangan dalam penyediaan layanan TI bagi user perusahaan

tersebut.

24

 

 

5. Applications – flaky systems

Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi

biasanya berinteraksi dengan user dan dalam suat u perusahaan biasanya terdapat

kombinasi antara software paket dan software buatan yang diintegrasikan menjadi sat u.

6. Infrastructure – shaky foundations

Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI. Infrastrukt ur

adalah suat u nama yang um um bagi komputer maupun jaringan yang sedang dipakai dan

berjalan di perusahaan tersebut. Didalam infrastruktur juga termasuk software, seperti:

sistem operasi dan sistem database management. Kegagalan infrastrukt ur TI bisa

bersifat permanen, ketika suatu komponen terbakar, dicuri, rusak maupun koneksi

jaringannya sedang put us, maka dampak dari kegagalan tersebut tergantung dari

ketahanan sistem yang ada. Apabila terdapat sitem yang sudah tidak cocok dengan

model yang baru, maka sistem tersebut perlu diganti. Apabila risiko ini dapat ditangani

secara rutin, maka itu merupakan suatu perencanaan jangka panjang yang baik.

7. Strategic and emergent-disabled by IT

Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan strategi

bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat signifikan

dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan dari perusahaan

untuk terus bergerak maju kearah visi strategi. Untuk tetap kompetitif diperlukan

kemajuan TI untuk dipahami dan dicocokan potensi kesempatan eksploitasi bagi bisnis.

25

 

 

Information Technology Management

Managing Business and IT Strategy

Managing Application Development and

Technology

Managing the IT organization and

Infrastructure

2.4.3 Pengelolaan Teknologi Informasi

Gambar 2.1 Komponen Utama Pengelolaan TI

Sum ber: O’Brien dan George (2006, p. 478)

Teknologi informasi merupakan sum ber daya bisnis penting yang harus dikelola

dengan benar. O’brien dan George (2006, p478), mengem ukakan sebuah pendekatan

yang terkenal untuk mengelola teknologi informasi dalam perusahaan besar. Pendekatan

tersebut terbagi atas tiga komponen utama, yaitu: (1) Strategi bisnis/TI; (2) Aplikasi dan

teknologi bisnis; serta (3) Organisasi dan infrastruktur TI.

Mengelola pengembangan dan implementasi bersama berbagai strategi bisnis/TI

(Managing the joint development and implementation of business/ IT strategy).

Pengelolaan pada bagian ini merupakan pemikiran dari tingkat top level management

yang dikem bangkan oleh manajer TI dan para professional TI untuk menggunakan TI

agar dapat mendukung prioritas strategi bisnis dalam perusahaan. Proses perencanaan

26

 

 

bisnis/TI sesuai dengan tujuan strategi bisnis TI. Proses tersebut juga meliputi evaluasi

proses bisnis/TI yang diajukan.

Mengelola pengem bangan dan implementasi aplikasi dan teknologi bisnis/TI

baru (Managing the development and implementation of new business/IT applications

and technologies). Pengelolaan pada bagian ini merupakan tanggung jawab dari top

level management. Area manajemen TI ini melibatkan pengelolaan proses

pengembangan dan implementasi sistem informasi, serta tanggung jawab penelitian ke

dalam penggunaan bisnis yang strategi atas TI yang baru.

Mengelola organisasi TI dan infrastruktur TI (Managing the IT organization and

IT infrastructure). Pengelolaan pada bagian ini merupakan tanggung jawab dari manajer

TI dalam mengelola t ugas dari para pakar TI yang biasanya diatur dalam berbagai tim

proyek dan subunit organisasi lainnya. Selain itu, manajer TI juga bertanggung jawab

dalam mengelola infrastruktur TI yang meliputi hardware, software, database, jaringan

telekomunikasi, dan sum ber daya TI lainnya yang harus diperoleh, dioperasikan,

dimonitor dan dipelihara.

2.4.4 Langkah Pemecahan Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p7), ada tiga langkah kunci dalam membuat

risiko informasi teknologi berjalan bersama-sama, dalam menempatkan diri satu posisi

dimana perusahaan mampu bertahan dengan risiko, yaitu: (1) Perusahaan perlu

menempatkan kepemimpinan dan manajemen yang tepat pada tempatnya melalui

27

 

 

teknologi informasi dan kerangka cara pengat uran risiko; (2) Perusahaan perlu

menggabungkan cara dalam mengurus risiko informasi teknologi dengan mengadopsi

sebuah pendekatan manajemen yang proaktif; (3) Perusahaan perlu mengat ur

kompleksitas dengan secara aktif mengatur setiap jenis risiko informasi teknologi.

2.4.5 Kegagalan dalam Pengelolaan Teknologi Informasi

Kegagalan dalam pengelolaan TI terletak dalam penggunaan TI dalam

perusahaan. Kegagalan dalam pengelolaan TI terletak pada pengggunaan TI yang tidak

efektif dan efisien (O’Brien dan George, 2006, p486), contohnya:

1. TI tidak digunakan secara efektif oleh perusahaan terutama unt uk

mengkomputerisasikan proses bisnis tradisional dan TI tidak digunakan unt uk

mengembangkan proses e-business yang inovatif dengan melibatkan pelanggan,

pemasok dan mitra bisnis lainnya, e-business, serta dukungan keputusan.

2. TI tidak digunakan secara efisien oleh sistem informasi yang memberikan respon

dalam waktu yang lama dan sering mengalami downtime, atau para professional

sistem informasi dan konsultan yang tidak mengelola proyek pengembangan

aplikasi secara tepat.

28

 

 

2.5 Manajemen Risiko Teknologi Informasi

Menurut Alberts, C dan Dorofee.A (2004, p8), manajemen risiko adalah proses

yang berkelanjutan dalam mengenal risiko dan mengimplementasikan rencana unt uk

menunjuk mereka. Dan menurut Djojosoerdarso (2005, p4), manajemen risiko adalah

pelaksanaan fungsi-fungsi manajemen dalam penanggulangan risiko, terutama risiko

yang dihadapi oleh organisasi/perusahaan, keluarga dan masyarakat.. Oleh karena it u,

kegiatan yang mencakup merencanakan, mengorganisir, menyusun, dan memimpin, dan

mengawasi termasuk mengevaluasi menjadi program penanggulangan risiko.

Jadi, manajemen risiko adalah suatu proses identifikasi, mengatur risiko, serta

membentuk strategi unt uk mengelolanya melalui sumber daya yang tersedia. Strategi

yang dapat digunakan antara lain: mentransfer risiko pada pihak lain, menghindari

risiko, mengurangi efek buruk dari risiko, dan menerima sebagian maupun seluruh

konsekuensi dari risiko tertentu.

Program manajemen risiko dengan demikian mencakup tugas-tugas, seperti: (1)

Mengidentifikasi risiko-risiko yang dihadapi; (2) Mengukur atau menent ukan besarnya

risiko tersebut; (3) Mencari jalan untuk menghadapi atau menanggulangi risiko; (4)

Menyusun strategi unt uk memperkecil ataupun mengendalikan risiko; (5)

Mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi program

penanggulangan risiko yang telah dibuat.

29

 

 

2.5.1 Fungsi- Fungsi Pokok Manajemen Risiko

Menurut Djojosoerdarso(2005, p14), fungsi pokok manajemen risiko terdiri dari:

1. Menemukan Kerugian Potensial

Adanya upaya untuk menem ukan atau mengidentifikasi seluruh risiko murni

yang dihadapi perusahaan, yang meliputi: (a) Kerusakan fisik dari harta kekayaan

perusahaan; (b) Kehilangan pendapatan atau kerugian lainnya akibat terganggunya

operasi perusahaan; (c) Kerugian akibat adanya tuntutan hukum dari pihak lain; (d)

Kerugian-kerugian yang timbul karena penipuan, tindakan-tindakan kriminal lainnya,

tidak jujurnya karyawan; (e) Kerugian-kerugian yang timbul akibat karyawan yang

memiliki peran utama diperusahaan meninggal dunia, sakit dan cacat.

2. Mengevaluasi Kerugian Potensial

Adanya evaluasi dan penilaian terhadap semua kerugian potensial yang dihadapi

oleh perusahaan. Evaluasi dan penilaian ini akan meliputi perkiraan mengenai: (a)

Besarnya kem ungkinan frekuensi terjadinya kerugian, artinya memperkirakan jumlah

kemungkinan terjadinya kerugian selama suat u periode tertentu atau berapa kali

terjadinya kerugian tersebut selama suatu periode tertentu; (b) Besarnya bahaya dari

tiap-tiap kerugian, artinya menilai besarnya kerugian yang diderita, yang biasanya

dikaitkan dengan besarnya pengaruh kerugian tersebut, terutama terhadap kondisi

financial perusahaan; (c) Memilih teknis/cara yang tepat atau menentukan suat u

kombinasi dari teknik-teknik yang tepat guna menanggulangi kerugian.

30

 

 

Pada intinya, ada empat cara yang dapat dipakai untuk menanggulangi risiko,

yaitu mengurangi kesempatan terjadinya kerugian, meretensi, mengasuransikan, dan

menghindari. Dimana tugas dari manajer risiko adalah memilih satu cara yang paling

tepat untuk menanggulangi suat u risiko atau memilih suatu kombinasi dari cara-cara

yang paling tepat untuk menanggulangi risiko.

2.5.2 Tahap Manajemen Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p62), manajemen risiko terdiri dari beberapa

tahap yang ditempatkan dengan cara yang berbeda untuk jenis risiko yang berbeda

tergantung pada pengenalan/penemuan risiko teknologi informasi pada radar

manajemen, adapun tahap-tahap tersebut yait u: (1) Penilaian/analisis-mengerti risiko

informasi teknologi dalam hal keseluruhan risiko informasi teknologi dan menilai

kemungkinan m unculnya dan pengaruhnya pada bisnis; (2) Perawatan-menentukan

pilihan terbaik dari beberapa langkah tindakan yang memungkinkan untuk mengatasi

risiko, merencanakan, dan menyelesaikan tindakan yang diperlukan; (3) Pengamatan dan

peninjauan-menindaklanjuti unt uk memastikan apa yang direncanakan itu dikerjakan

dan mengerti perubahan yang ada pada risiko teknologi informasi.

31

 

 

2.5.3 Implementasi Kemampuan Manajemen Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p60), kemampuan manajemen risiko

teknologi informasi yang efektif adalah kemampuan manajemen yang memenuhi

kebut uhan bisnis, dimana elemen desain penting yang harus dipertimbangkan adalah:

1. Strategi dan Kebijakan

Strategi-strategi dan kebijakan-kebijakan manajemen risiko teknologi informasi

diperlukan untuk menentukan tujuan dari manajemen risiko teknologi informasi secara

keseluruhan, untuk membangun prioritas dan pentingnya manajemen risiko teknologi

informasi, dan untuk memastikan cakupan area yang potensial dari risiko teknologi

informasi, serta unt uk menyediakan landasan perat uran dan prinsip-prinsip unt uk

mengelola risiko. Kebijakan manajemen risiko teknologi informasi harus

didokumentasikan secara formal dan didukung oleh tim tata kelola teknologi informasi

dan dikomunikasikan secara aktif kepada seluruh organisasi.

2. Peran dan Tanggung Jawab

Menentukan peran dan tanggung jawab, setelah itu menentukan pihak yang tepat

yang harus dipilih dan ditempatkan untuk melakukan peran tersebut. Beberapa hal yang

perlu dipertimbangkan adalah: (a) Pemisahan tugas dengan memastikan bahwa setiap

peran kelas risiko independen menjalankan pemantauan dan melakukan tinjauan ulang;

(b) Menyeimbangkan kebut uhan masukkan untuk spesialis dengan mengkontribusi

pengertian proses, sistem dan risiko spesifik, manajerial pembuatan keput usan-

mempertimbangkan sem ua faktor dan menentukan tindakan; (c) Mencocokkan peran

32

 

 

manajemen risiko teknologi informasi ke dalam struktur dimana seharusnya

ditempatkan. Misalnya, aktivitas perawatan manajemen risiko teknologi informasi harus

sejalan dengan manajer proyek untuk risiko proyek; (d) Membuat peran manajemen

risiko teknologi informasi yang baru ketika dibutuhkan, misalnya, lintas fungsional

bisnis dengan koordinasi peran secara berkelanjutan; (e) Mengalokasikan tanggung

jawab bersama jika diperlukan dan memastikan sem ua tempat telah diambil.

3. Proses dan Pendekatan

Siklus hidup manajemen risiko memiliki beberapa langkah yang dikembangkan

dengan beberapa langkah yang berbeda untuk berbagai jenis risiko, proses dan

pendekatan tersebut, yaitu: (a) Identifikasi/Penem uan dengan mendapatkan risiko

teknologi informasi berdasarkan radar dari manajemen; (b) Penilaian/Analisis dengan

memahami risiko dalam konteks keseluruhan portfolio risiko teknologi informasi dan

menilai kem ungkinan terjadinya dan dampak potensial terhadap bisnis; (c) Perawatan

dengan menentukan pilihan terbaik dari banyaknya program untuk menangani risiko,

perencanaan dan menyelesaikan tindakan yang diperlukan.; (d) Pemantauan dan tinjauan

dengan menindaklanjuti untuk memastikan rancana apa yang telah dilakukan dan

memahami adanya perubahan lebih lanjut dalam risiko dari portfolio.

4. SDM dan Performa

Manajemen risiko teknologi informasi juga berkaitan dengan SDM dan

performa. Dimana, kemampuan dan pengetahuan dari orang-orang dalam manajemen

risiko teknologi harus dikem bangkan dan dipelihara. Pengembangan dan pemeliharaan

33

 

 

ini memerlukan beberapa kom binasi pendidikan dan pelatihan penanggulangan risiko

teknologi informasi sesuai dengan peran dan tanggung jawab yang ada.

5. Implementasi dan Pengembangan

Orang tidak hanya akan menerima cara baru dalam pengelolaan risiko teknologi

informasi tanpa pernah diberitahu mengapa diperlukan. Sebuah cerita yang

menyakinkan pentingnya hal tersebut untuk organisasi dan apakah it u penting unt uk

organisasi.

2.6 Pengukuran Risiko Teknologi Informasi

Berdasarkan penelitian yang penulis lakukan, maka ditemukan beberapa metode

pengukuran risiko teknologi informasi diantaranya, yait u: metode OCTAVE, NIST ,

CobIT dan COSO yang digunakan untuk perbandingan.

2.6.1 NIST Special Publication 800-30

NIST (National Institute of Standard and Technology) mengeluarkan

rekomendasi melalui publikasi khusus 800 – 30 tentang Risk Management Guide for

Information Technology System. Terdapat tiga proses pengelolaan risiko, yaitu:

1. Proses Penilaian Risiko

a. Karakteristik Sistem

Dalam menilai risiko untuk sebuah sistem TI, langkah pertama adalah unt uk

menentukan cakupan usaha. Pada tahap ini, batas-batas terhadap sistem yang

34

 

 

diidentifikasi, bersama dengan sumber daya dan informasi yang merupakan sistem.

Karakteristik sebuah sistem TI membentuk ruang lingkup dari risiko usaha, yang

menggambarkan operasional otorisasi atau akreditasi batas-batas, dan menyediakan

informasi (misalnya, perangkat keras, perangkat lunak, sistem konektivitas, dan divisi

yang bertanggung jawab atau dukungan personil) yang penting unt uk menentukan risiko.

b. Identifikasi Ancaman

Identifikasi ancaman yang mungkin menyerang kelemahan sistem TI. Sebuah

kelemahan atau kerentanan dapat dipicu dari kesengajaan ataupun ketidaksengajaan,

sebuah sum ber ancaman tidak akan menghasilkan sebuah risiko jika tidak ada

kelemahan yang dibiarkan. Dalam mempertimbangkan kem ungkinan adanya ancaman,

hal yang tidak boleh diabaikan, yaitu: mempertimbangkan sumber ancaman, potensi

kerentanan, dan kontrol yang ada.

c. Identifikasi Kerentanan

Analisis ancaman untuk sebuah sistem TI harus disertai analisis dari kerentanan

yang terkait dengan sistem lingkungan. Tujuan dari langkah ini adalah unt uk mengetahui

kekurangan atau kelemahan dari sistem yang dapat dieksploitasi oleh sumber ancaman.

d. Analisis Pengendalian

Tujuan dari langkah ini adalah menganalisa pengendalian yang telah

dilaksanakan atau direncanakan untuk meminimalkan atau menghilangkan

kemungkinan-kemungkinan ancaman dari kelemahan atau kekurangan yang ada.

35

 

 

e. Penentuan Kemungkinana/Kecenderungan.

Untuk mendapatkan keseluruhan penilaian terhadap kem ungkinan atau

kecenderungan yang menunjukan adanya peluang kelemahan yang dapat dilakukan oleh

lingkungan ancaman. Berikut ini faktor-faktor yang harus dipertimbangkan: (1) Motivasi

dan Sum ber Ancaman; (2) Sifat dan Kerentanan; (3) Keberadaan dan Efektifitas

Pengendalian Saat Ini.

f. Analisis Dampak

Menentukan hasil dari dampak paling buruk yang mungkin terjadi dari sebuah

ancaman yang timbul, sebelum memulai analisis dampak, diperlukan informasi sebagai

(1) Sistem Misi (misalnya, proses yang dilakukan oleh sistem TI); (2) Sistem dan Data

Kritikal (misalnya, sistem nilai atau pentingnya untuk sebuah organisasi); (3) Sistem dan

Sensitivitas Data.

g. Penentuan Risiko

Tujuan dari langkah ini adalah unt uk menilai tingkat risiko bagi sistem TI.

Penentuan tingkat risiko ini merupakan suatu fungsi, yait u: (1) Kecenderungan suat u

sumber ancaman menyerang kerentanan dari sistem TI; (2) Besarnya dampak yang akan

terjadi jika sum ber ancaman sukses menyerang kerentanan dari sistem TI; (3)

Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan

menghilangkan resiko.

36

 

 

h. Rekomendasi Pengendalian

Selama proses ini, pengendalian yang dapat mengurangi atau mengeliminasi

risiko yang diidentifikasi. Tujuan dari rekomendasi pengendalian adalah mengurangi

tingkat risiko bagi sistem TI dan data ketingkat yang dapat diterima oleh organisasi.

Faktor-faktor yang harus dipertimbangkan dalam rekomendasi pengendalian dan solusi

alternative untuk meminimalkan atau mengeliminasi risiko diidentifikasi, yaitu:

keefektifan dari pilihan yang direkomendasikan, perundang-undangan dan peraturan,

kebijakan organisasi, dampak operasional, keselamatan dan kehandalan

i. Dokumentasi

Hasil-hasil setelah pengukuran risiko selesai dilakukan (sumber ancaman, dan

kerentanan telah diidentifikasi, penilaian risiko, dan rekomendasi pengendalian tersedia),

Hasil-hasil yang ada harus di dokumentasikan dalam laporan resmi.

2. Proses Pengurangan Risiko

Terdapat beberapa strategi dalam melakukan pengurangan risiko, yaitu dengan

menerima risiko (risk assumption), mencegah terjadinya risiko (risk avoidance),

membatasi level resiko (risk limitation), perencanaan risiko (risk plan), penelitian dan

pengakuan (research and acknowledgment), mentransfer risiko (risk transference).

Metodologi pengurangan risiko menggambarkan pendekatan unt uk

mengimplementasikan pengendalian, yang terdiri dari: memprioritaskan tindakan dalam

mengevaluasi pengendalian yang direkomendasikan, dan melakukan Cost-Benefit

37

 

 

Analysis, memilih pengendalian, memberikan tanggung jawab, mengem bangkan rencana

implementasi perlindungan serta implementasikan pengendalian yang dipilih.

3. Proses Evaluasi Risiko

Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko yang

diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali unt uk

memastikan keberadaan risiko yang teridentifikasi maupun risiko yang belum

teridentifikasi.

2.6.2 OCTAVE

2.6.2.1 Pengertian Metode OCTAVE   

Langkah pertama untuk mengelola resiko keamanan informasi adalah mengenali

potensi resiko-resiko apa saja yang terjadi di perusahaan. Setelah resiko diidentifikasi,

perusahaan dapat membuat rencana penanggulangan dan reduksi resiko terhadap

masing-masing resiko yang telah diketahui. Metode OCTAVE (The Operationally

Critical Threat, Asset, and Vulnerability Evaluation) memungkinkan perusahaan

melakukan hal di atas. OCTAVE adalah sebuah pendekatan terhadap evaluasi resiko

keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri.

Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari

evaluasi resiko keamanan informasi.

38

 

 

2.6.2.2 Pengenalan Metode OCTAVE   

Gambar 2.2 Besarnya Definisi Dampak

Kriteria OCTAVE memerlukan evaluasi yang harus dilakukan oleh sebuah tim

(interdisipliner) yang terdiri dari personil teknologi informasi dan bisnis organisasi.

Anggota tim bekerjasama unt uk membuat keput usan berdasarkan resiko terhadap aset

informasi kritis organisasi. Pada akhirnya, kriteria OCTAVE memerlukan katalog

informasi unt uk mengukur praktek organisasi, menganalisa ancaman, dan membangun

strategi proteksi. Katalog ini meliputi:

• catalog of practices – sebuah koleksi strategi dan praktek keamanan informasi.

• generic threat profile – sebuah koleksi sum ber ancaman utama.

OCTAVE criteria

 OCTAVE Method  

(as defined in  OCTAVE 

Method Implementation Guide v2.0)  

 An OCTAVE-Consistent Method for Small Organizations Under development by the SEI.

  Other Methods Consistent with the OCTAVE

criteria

Developed by others.

39

 

 

• catalog of vulnerabilities – sebuah koleksi dari vulnerability berdasarkan platform

dan aplikasi.

2.6.2.3 Tahap dan Aktivitas OCTAVE

Menurut Alberts et al. (2005, p5), OCTAVE berdasar pada 3 tahap yang

dideskripsikan dalam criteria OCTAVE, meskipun nomor dan urutan kegiatan berbeda

dari metode OCTAVE yang digunakan. Bagian ini memberikan tinjauan singkat atas

tahapan dan kegiatan OCTAVE.

Tahapan-tahapan yang berdasarkan pada framework OCTAVE, yaitu:

a. Membangun Aset Berbasis Profil Ancaman

Tahap satu adalah sebuah evaluasi dari aspek organisasi. Selama dalam tahap ini,

tim analisis menggam barkan kriteria dampak evaluasi yang akan digunakan nantinya

untuk mengevaluasi risiko. Tahap ini juga mengidentifikasi aset-aset organisasi yang

penting, dan mengevaluasi praktek keamanan dalam organisasi saat ini. Tim

menyelesaikan tugasnya sendiri dan mengumpulkan informasi tambahan hanya ketika

diperlukan. Kem udian memilih tiga dari lima aset kritikal unt uk menganalisa dasar

kedalaman dari hubungan penting dalam organisasi. Akhirnya, tim menggambarkan

kebut uhan-kebut uhan keamanan dan menggam barkan profil ancaman pada setiap aset.

Di mana pada tahap ini terdiri atas dua proses, yait u identifikasi informasi organisasi dan

membuat profil ancaman serta memiliki enam aktivitas.

40

 

 

b. Mengidentifikasi kerentanan infrastrukt ur

Tahap kedua yait u tim analisis melakukan peninjauan ulang level tinggi dari

perhitungan infrastruktur organisasi, yang berfokus pada keamanan yang

dipertimbangkan pemelihara dari infrastruktur. Tim analisis pertama menganalisis

bagaimana orang-orang menggunakan infrastruktur komputer pada akses aset kritis,

menghasilkan kunci dari kelas komponen-komponen. Tahap ini memiliki satu proses

yaitu memeriksa perhitungan infrastrukt ur dalam kaitannya dengan aset yang kritis

dimana terdapat dua aktivitas.

c. Mengem bangkan Strategi Keamanan dan Perencanaan.

Selama tahap ketiga tim analisis mengidentifikasi risiko dari aset kritis organisasi

dan memut uskan apa yang harus dilakukan mengenainya. Berdasarkan analisis dari

kumpulan informasi, tim membuat strategi perlindungan unt uk organisasi dan rencana

mitigrasi risiko yang dit ujukan pada aset kritis. Kertas kerja OCTAVE yang digunakan

selama tahap ini mempunyai struktur tinggi dan berhubungan erat dengan praktek

katalog OCTAVE, memungkinkan tim unt uk mengubungkan rekomendasi-

rekomendasinya untuk meningkatkan praktek keamanan dari penerimaan benchmark.

Tahap ini terdiri atas dua proses, yaitu : identifikasi dan analisis risiko serta

mengembangkan strategi perlindungan dan rencana mitigasi, di mana proses ini

memiliki delapan aktivitas.

41

 

 

Gambar 2.3 Proses Metode OCTAVE

Metode OCTAVE menggunakan pendekatan tiga fase untuk menguji isu-isu

teknologi, menyusun sebuah gam baran komprehensif keamanan informasi yang

dibut uhkan oleh perusahaan (dalam gam bar). Metode ini menggunakan lokakarya unt uk

melakukan diskusi dan pert ukaran informasi mengenai aset, praktek keamanan informasi

dan strategi keamanan informasi. Setiap fase terdiri dari beberapa proses dan setiap

proses memiliki satu atau lebih lokakarya yang dipimpin oleh tim analisis. Beberapa

aktifitas persiapan juga diperlukan untuk menetapkan dasar yang baik untuk suksesnya

evaluasi secara keseluruhan.

42

 

 

2.6.2.4 Proses OCTAVE

Proses-proses metode OCTAVE, yaitu:

1. Fase I (Organizational View)

Fase pertama dalam OCTAVE adalah Asset-Based Threat Profiles. Fase ini

meliputi lokakarya pengumpulan pengetahuan untuk memperoleh informasi mengenai

aset, keamanan yang dibut uhkan oleh setiap aset, area yang diperhatikan, strategi

proteksi yang sedang diterapkan,dan risiko yang ada saat ini di perusahaan. Pada fase ini

data yang diperoleh dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis

organisasi. Fase pertama ini meliputi empat proses yang harus dilakukan. Keempat

proses ini dibahas dalam penjelasan berikut :

a. Fase I proses I (Identify Senior Manager Knowledge)

Proses pertama dalam fase I adalah melakukan identifikasi pengetahuan manajer

senior dalam hal keamanan informasi. Tim analisis melakukan lokakarya dengan

manajer senior sebagai partisipan. Aktifitas dalam proses ini terdiri dari:

- Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang

penting unt uk mereka dan unt uk perusahaan. Mereka juga membuat skala prioritas

untuk mengidentifikasi lima aset yang terpenting.

- Mendeskripsikan aset-aset yang rawan risiko – Untuk lima aset terpenting, manajer

senior mendeskripsikan skenario bagaimana asset-aset tersebut terancam.

- Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior

mendefinisikan kebut uhan keamanan yang diperlukan unt uk aset terpenting.

43

 

 

- Mengidentifikasi strategi proteksi terkini dan tingkat risiko ada di perusahaan –

Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka

mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi

terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam

pandangan keamanan.

- Meninjau kembali cakupan evaluasi – Ini adalah kesempatan kedua unt uk manajer

senior terlibat dalam lokakarya proses pertama jika akan menambah atau

mengurangi daftar area operasi atau manajer.

Gambar 2.4 Identify Senior Manager Knowledge

44

 

 

b. Fase I proses II ( Identify Operational Management Knowledge)

Pada proses ke dua ini diperoleh gam baran pengetahuan dari manajer

operasional. Manajer ini adalah manajer dimana area yang dikelolanya termasuk dalam

cakupan OCTAVE. Tim analisis memfasilitasi lokakarya dengan manajer area

operasional sebagai parsisipannya. Aktifitas dalam proses ke-2 ini terdiri dari:

- Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang

penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas

untuk mengidentifikasi lima aset yang terpenting.

- Mendeskripsikan aset-aset yang rawan risiko – Untuk lima aset terpenting, manajer

senior mendeskripsikan skenario bagaimana asset-aset tersebut terancam.

- Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior

mendefinisikan kebut uhan keamanan yang diperlukan unt uk aset terpenting.

- Mengidentifikasi strategi proteksi terkini dan tingkat risiko yang ada di perusahaan

– Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka

mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi

terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam

pandangan keamanan.

- Memverifikasi staf yang menjadi partisipan – Manajer area meninjau kem bali

siapa saja staf yang akan menjadi partisipan dalam OCTAVE.

45

 

 

Gambar 2.5 Identify Operational Management Knowledge

c. Fase I proses III (Identify Staff Knowledge)

Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para staf umum dan

staf teknologi informasi. Para staf ini adalah para staf dimana area tempatnya bekerja

termasuk dalam cakupan OCTAVE. Tim analisis memfasilitasi lokakarya dengan para

staf sebagai parsisipannya. Partisipan dalam setiap lokakarya dibatasi lima orang, jika

jumlah staf lebih dari lima orang, maka akan diadakan beberapa lokakarya dengan

partisipan yang berbeda pada setiap lokakarya.Aktifitas dalam proses 3 ini terdiri dari:

- Mengidentifikasi aset penting – para staf mendefinisikan aset apa yang penting

untuk mereka dan unt uk organisasi. Mereka juga membuat skala prioritas unt uk

mengidentifikasi lima aset yang terpenting.

46

 

 

- Mendeskripsikan aset-aset yang rawan risiko – Untuk lima aset terpenting, para

staf mendeskripsikan skenario bagaimana asset-aset tersebut terancam.

- Mendefinisikan kebut uhan keamanan untuk setiap aset terpenting – Para staf

mendefinisikan kebut uhan keamanan yang diperlukan unt uk aset terpenting.

- Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Para staf

melengkapi survei berdasarkan catalog of practices. Mereka mendiskusikan

jawaban survei mereka unt uk memberikan tambahan informasi terhadap apa yang

sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.

Gambar 2.6 Identify Staff Knowledge

47

 

 

d. Fase I proses IV( Create Threat Profile)

Proses ke empat menggabungkan semua informasi yang diperoleh dalam proses

pertama sampai proses ke tiga dan membuat sebuah profil ancaman terhadap aset kritis.

Proses ke empat dilakukan oleh tim analisis (beserta tim tambahan jika diperlukan).

Aktifitas yang dilakukan terdiri dari:

- Konsolidasi data – tim analisis mendata daftar aset terpenting, kebutuhan

keamanan masing-masing aset, dan melihat aset yang rawan terhadap risiko pada

proses pertama sampai proses ke tiga.

- Memilih aset kritis - Dari keseluruhan aset terpenting yang diajukan oleh manajer

senior, manajer area operasional dan para staf, aset yang terpenting diseleksi oleh

tim analisis.

- Mendefinisikan kebut uhan keamanan unt uk aset kritis – tim analisisi

menyempurnakan informasi yang diperoleh pada proses pertama sampai ke tiga

untuk sampai pada sebuah rancangan akhir kebutuhan keamanan.

- Menentukan ancaman terhadap aset kritis – tim analisis menyempurnakan

informasi mengenai aset-aset yang rawan risiko yang diperoleh dari proses pertama

sampai proses ke tiga dan menjabarkannya dalam profil ancaman keamanan.

48

 

 

Gambar 2.7 Create Threat Profile

2. Fase II (Identify Infrastructure Vulnerability)

Fase ke dua dalam OCTAVE adalah Identify Infrastructure Vulnerabilities. Fase

ini melihat kerawanan risiko secara teknis yang terjadi pada aset kritis dan komponen

infrastruktur kunci yang mendukung aset tersebut. Fase ke dua ini meliputi dua proses

yang akan dibahas lebih lanjut.

a. Fase II proses V( Identify Key Components)

Proses kelima mengidentifikasi komponen kunci dari infrastruktur yang harus

diuji kerawanan risiko-nya secara teknis untuk setiap aset kritis. Tim analisis

mempertimbangkan berbagai macam sistem dalam organisasi dan masing-masing

49

 

 

komponennya. Tim analisis mencari “system of interest” unt uk setiap aset kritis, yait u

sistem yang paling dekat hubungannya dengan aset kritis. Aktifitas yang dilakukan

terdiri dari:

- Mengidentifikasi klasifikasi utama pada setiap komponen dari sebuah systems of

interest diidentifikasikan untuk setiap aset. Topologi atau pemetaan jaringan jenis

lain digunakan untuk meninjau di mana aset kritis berada dan bagaimana diakses.

Klasifikasi komponen utama dipilih berdasarkan bagaimana aset diakses dan

digunakan.

- Mengidentifikasi komponen infrastruktur yang akan diuji. Untuk setiap tipe

komponen, tim analisis memilih komponen tertentu untuk dievaluasi. Departemen

teknologi informasi harus memberikan alamat jaringan secara spesifik atau lokasi

fisiknya dan akan diperlukan untuk menyusun evaluasi.

Gambar 2.8 Identify Key Components

50

 

 

b. Fase II proses VI (Evaluate Selected Components)

Pada proses ini, komponen infrastrukt ur yang dipilih untuk setiap aset kritis

dievaluasi untuk mengetahui tingkat kerawanan secara teknis. Tim analisis menjalankan

peralatan evaluasi, menganalisa hasilnya dan membuat rangkuman untuk tiap aset kritis.

Aktifitas pada proses ini terdiri dari:

- Prework: menjalankan peralatan evaluasi vulnerability pada komponen

infrastruktur sebelum lokakarya. Peralatan evaluasi mungkin sudah dimiliki oleh

organisasi atau bisa juga disewa dari pihak lain.

- Mengkaji tingkat kerawanan teknologi dan merangkum hasilnya, dimana

pemimpin evaluasi mempresentasikan rangkuman hasil evaluasi kepada tim

analisis. Mereka kemudian mendiskusikan tingkat kerawanan yang mana yang

memerlukan perbaikan dalam jangka waktu dekat, menengah atau jangka panjang,

memodifikasi rangkuman jika diperlukan. Secara um um, hal ini berhubungan

dengan derajat kerumitan penentuan tingkat kerawanan dan aset kritis yang

dipengaruhinya.

51

 

 

Gambar 2.9 Evaluate Selected Components

3. Fase III (Develop Security Strategy and Plans)

Fase ke tiga dalam OCTAVE adalah Develop Security Strategy and Plans. Pada

fase ini didefinisikan resiko terkait dengan aset kritis, membuat rencana mitigasi unt uk

resiko tersebut, dan membuat strategi perlindungan bagi perusahaan. Rencana dan

strategi dikaji dan diterima oleh manajer senior. Terdapat dua proses dalam fase ke tiga

yang akan dibahas berikutnya.

a. Fase III proses VII (Conduct Risk Analysis)

Selama proses ke tujuh, tim analisis mengkaji semua informasi yang diperoleh

dari proses ke-1 sampai proses ke-6 dan membuat profil resiko unt uk setiap aset kritis.

Profil resiko merupakan perluasan dari profil ancaman, menambahkan pengukuran

52

 

 

kualitatif terhadap akibat kepada organisasi unt uk setiap kemungkinan ancaman yang

terjadi. Kemungkinan untuk setiap kejadian tidak digunakan. Karena menetapkan sebuah

alasan kemungkinan secara akurat dari setiap kejadian sangat sulit dan senantiasa

berubah-ubah, maka kem ungkinan unt uk setiap cabang diasumsikan sama. Aktifitas

pada proses ini terdiri dari:

- Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis – untuk setiap aset

kritis, dilihat seberapa besar ancaman akan mempengaruhi aset kritis diperusahaan.

- Membuat kriteria evaluasi – dengan menggunakan pernyataan akibat pada aktifitas

pertama, sebuah kriteria evaluasi akibat ditetapkan untuk ancaman terhadap aset

kritis perusahaan. Definisi tiga tingkatan evaluasi kualitatif (tinggi, menengah, dan

rendah) ditetapkan untuk banyak aspek (misalnya finansial atau akibat

operasional).

- Mengevaluasi akibat dari ancaman terhadap aset kritis – berdasarkan kriteria

evaluasi setiap akibat dari setiap ancaman didefinisikan sebagai tinggi, menengah,

atau rendah. Semua informasi mengenai hal ini dicatat dalam Asset Profile

Workbook.

53

 

 

Gambar 2.10 Conduct Risk Analysis

b. Fase III proses VIII (Develop Protection Strategy)

Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan strategi

proteksi organisasi secara menyeluruh, rencana mitigasi untuk resiko terhadap aset

kritis. Proses ini melibatkan dua lokakarya. Pada lokakarya pertama (disebut sebagai

lokakarya A), tim analisis menyusun proposal strategi dan perencanaan. Pada lokakarya

ke dua (disebut lokakarya B), manajer senior mengkaji proposal, membuat perubahan

yang diinginkan, dan menetapkan langkah selanjutnya untuk menerapkan strategi dan

perencanaan. Aktifitas pada Lokakarya A proses ini terdiri dari:

- Prework: Mengkompilasi hasil survey – hasil ini diperoleh dari kompilasi survey

pada proses 1 sampai proses 3. Hasilnya digunakan untuk melihat praktek mana

54

 

 

yang telah dianggap baik oleh sebagian besar responden dan mana yang dianggap

buruk oleh sebagian besar responden

- Mengkaji informasi – Informasi yang diperoleh dari proses-proses sebelumnya

dikaji ulang. Pengkajian ini meliputi vulnerability, praktek, informasi resiko, dan

kebut uhan keamanan aset kritis.

- Membuat strategi proteksi – strategi ini meliputi setiap praktek yang dianggap

harus dilaksanakan atau ditingkatkan, termasuk praktek mana yang sudah

dilaksanakan dengan baik. Mem buat rencana mitigasi – unt uk setiap aset, rencana

mitigasi dibuat untuk melakukan pencegahan, pengenalan, dan pemulihan dari

setiap resiko dan menjelaskan bagaimana mengukur efektifitas dari kegiatan

mitigasi.

- Membuat daftar aktifitas – sebuah daftar aktifitas yang segera dilaksanakan,

biasanya meliputi vulnerability yang memerlukan perbaikan dengan segera.

55

 

 

Gambar 2.11 Develop Protection Strategy A

Lokakarya B meliputi aktifitas:

- Prework: Membuat presentasi untuk manajer senior

- Mengkaji informasi resiko – tim analisis mempresentasikan informasi berkaitan

dengan aset kritis dan ringkasan hasil survey kepada manajer senior.

- Mengkaji ulang dan memperbaiki strategi proteksi, rencanan mitigasi dan daftar

aktifitas yang disebutkan dalam lokakarya A. Manajer senior dapat meminta

perubahan, penambahan, atau pengurangan.

56

 

 

- Menetapkan langkah selanjutnya – Manajer senior memutuskan bagaimana

mengimplementasikan strategi, perencanaan, dan aktifitas.

Gambar 2.12 Develop Protection Strategy B

Untuk mempersiapkan proses OCTAVE, ada beberapa hal yang menjadi dasar

untuk keberhasilan evaluasi, yaitu:

a. Mendapatkan dukungan sepenuhnya dari tingkatan manajemen tertinggi. Hal ini

merupakan faktor terpenting untuk keberhasilan evaluasi. Jika manajemen tertinggi

mendukung proses, maka orang-orang dalam perusahaan akan berpartisipasi secara aktif.

Dukungan, dalam hal ini terwujud sebagai berikut: dukungan nyata dan

57

 

 

berkesinambungan dalam aktifitas OCTAVE, peningkatan partisipasi aktif anggota

perusahaan, pendelegasian tanggungjawab dan otoritas untuk menyelesaikan seluruh

aktifitas OCTAVE, komitmen unt uk mengalokasikan sum berdaya yang dibutuhkan,

perset ujuan untuk meninjau hasil dan memutuskan langkah yang tepat yang harus

diambil dengan adanya hasil evaluasi yang telah dilakukan.

b. Memilih tim analisis. Anggota tim analisis harus memiliki kemampuan dan

keahlian yang mencukupi untuk memimpin evaluasi. Mereka juga harus mengatahui

bagaimana menambah pengetahuan dan kemampuan mereka di luar tim. Secara umum,

tim analisis terdiri dari tiga sampai lima orang dalam kelompok inti yang

merepresentasikan bisnis dan perspektif teknologi informasi, memiliki pengetahuan

dalam proses bisnis dan teknologi informasi, memiliki kemampuan yang baik dalam

berkom unikasi dan memfasilitasi, serta berkomitmen untuk mengerahkan kemampuan

yang dimiliki demi keberhasilan OCTAVE.

Aturan dan tanggung jawab tim analisis adalah untuk : bekerja dengan manajer

dalam menentukan cakupan evaluasi, memilih partisipan,dan menjadwalkan aktifitas

OCTAVE; berkoordinasi dengan manajer senior atau manajer operasional dan

pendukung teknologi informasi unt uk mengevaluasi kerawanan (vulnerability);

mendapatkan, menganalisa dan mengelola data dan hasil selama proses OCTAVE;

mengaktifkan aktifitas assessment, yang fungsi utamanya adalah menjamin bahwa

personil yang diinginkan hadir dalam lokakarya yang ditentukan; mengurus dukungan

logistik.

58

 

 

Secara umum, tim inti analisis harus memiliki kemampuan berikut:

fasilitasi,komunikasi yang baik, analisis yang baik, bekerjasama dengan manajer senior,

manajer operasional dan anggota organisasi, memahami lingkungan bisnis organisasi,

memahami lingkungan teknologi informasi dalam organisasi dan mengetahui bagaimana

staf bisnis menggunakan teknologi informasi organisasi.

Pada saat yang lain, tim inti analisis harus memiliki pengetahuan berikut ini, atau

memperolehnya melalui anggota tim tambahan: lingkungan teknologi informasi yang

ada diperusahaan dan pengetahuan topologi jaringan dalam perusahaan, mengetahui

aksploitasi terkini terhadap risiko yang ada, mengetahui bagaimana menginterpretasikan

hasil evaluasi terhadap risiko oleh perangkat lunak, mengetahui praktek perencanaan

perusahaan, serta mampu mengembangkan perencanaan.

c. Menentukan cakupan OCTAVE. Evaluasi harus mencakup area operasi yang

penting. Jika cakupan terlalu luas, maka akan sulit menganalisa data, dan jika cakupan

terlalu sempit maka hasilnya tidak akan banyak berarti.

d. Memilih partisipan. Setiap karyawan berbagai tingkatan divisi akan

menyumbangkan pengetahuannya. Dan setiap karyawan perlu mengetahui area kerja

mereka.

e. Mengkoordinasi logistik. Tim inti analisis melakukan koordinasilogistik yang

diperlukan dalam setiap aktifitas OCTAVE meliputi: penjadwalan, koordinasi persiapan

ruang pertemuan, peralatan yang diperlukan dalam setiap aktifitas OCTAVE, menangani

59

 

 

kejadian tidak terduga misalnya penggantian jadwal dan perubahan personil dalam

pertemuan.

Dari uraian tahap, proses dan aktivitas diatas, tim analisis memandang keamanan

dari berbagai perspektif, memastikan rekomendasi mencapai keseimbangan dasar yang

sesuai pada kebutuhan perusahaan. Dan hal tersebut dapat dilihat penjabaran tiga puluh

langkah OCTAVE yang terdapat pada lampiran.

2.6.2.5 Hasil OCTAVE

Menurut Alberts et al. (2005, p. 6), selama mengevaluasi OCTAVE, tim analisis

melibat keamanan dari beberapa perspektif, memastikan bahwa rekomendasi yang

dicapai sesuai dengan keseim bangan berdasarkan kebutuhan organisasi.

Hasil utama dari OCTAVE, yaitu:

1. Strategi perlindungan organisasi yang luas: Perlindungan strategi menguraikan

secara singkat arah organisasi dengan mematuhi praktek keamanan informasi.

2. Rencana mitigasi risiko: rencana ini dimaksudkan untuk mengurangi risiko aset

kritis untuk meningkatkan praktek keamanan yang di pilih.

3. Daftar tindakan: Termasuk tindakan jangka pendek yang dibutuhkan unt uk

menunjukkan kelemahan yang spesifik.

Hasil OCTAVE yang berguna lainnya, yaitu:

1. Daftar informasi penting terkait dengan aset yang mendukung tujuan bisnis dan

sasaran organisasi.

60

 

 

2. Hasil survei menunjukkan sejauh mana organisasi mengikuti praktek keamanan

yang baik.

3. Profil risiko untuk setiap aset kritis menggambarkan jarak antara risiko terhadap

aset.

Jadi, setiap tahap OCTAVE memproduksi hasil yang bermanfaat sehingga

sebagian evaluasi akan menghasilkan informasi yang berguna untuk meningkatkan sikap

keamanan organisasi.

2.6.2.6 Klasifikasi Hasil Penemuan Risiko Dengan OCTAVE

Dari hasil identifikasi risiko yang ada pada metode OCTAVE terdapat 3

klasifikasi yaitu :

1. Red

Stoplight merah menyatakan bahwa risiko yang m uncul harus diadakan mitigasi

untuk meminimalkan risiko yang mungkin terjadi.

2. Yellow

Stoplight kuning menyatakan bahwa jika terjadi risiko pada Stoplight ini, perusahaan

masih bisa menjalankan bisnis perusahaan

3. Green

Stoplight Hijau menyatakan bahwa risiko yang muncul sudah diatasi dengan baik

oleh perusahaan.

61

 

 

2.6.3 CobIT

CobIT adalah sekumpulan dokumentasi best practices unt uk IT Governance yang

dapat membantu auditor, pengguna (user), dan manajemen, untuk menjem batani gap

antara risiko bisnis, kebut uhan control dan masalah-masalah teknis TI. CobIT

bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam

identifikasi IT controls issues. CobIT berguna bagi IT users karena memperoleh

keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer

memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya,

menyusun strategic IT Plan, menentukan information architect ure,dan keputusan atas

procurement (pengadaan/pembelian) aset.

CobIT dikeluarkan oleh IT GI dapat diterima secara internasional sebagai praktek

pengendalian atas informasi, IT dan resiko terkait. CobIT digunakan untuk menjalankan

penentuan atas IT dan meningkatkan pengontrolan IT. CobIT juga berisi tujuan

pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan model

kedewasaan. Prinsip dasar dari kerangka CobIT adalah untuk menghubungkan

ekspektasi manajemen TI dengan tanggung jawab manajemen TI. Tujuan utamanya

adalah untuk memfasilitasi pengelolaan TI dalam memberikan penilaian TI guna

menanggulangi resiko TI. CobIT Framework terdiri atas 4 domain utama:

1. Perencanaan & Organisasi (Planning and Organisation)

Domain ini mencakup pembahasan tentang identifikasi dan strategi investasi TI

yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis.

62

 

 

Selanjutnya identifikasi dan visi strategi perlu direncanakan, dikom unikasikan, dan

diatur pelaksanaannya. Domain ini menitikberatkan pada proses perencanaan dan

penyelarasan strategi IT dengan strategi perusahaan.

Gambar 2.13: CobIT Business control Objectivities – IT Governance

2. Perolehan & Implementasi (Acquisition and Implementation)

63

 

 

Domain ini unt uk merealisasikan strategi TI dan perlu diatur kebutuhan TI,

diidentifikasi, dikembangkan, atau implementasikan secara terpadu dalam proses bisnis

perusahaan dan menitikberatkan pada proses pemilihan, pengadaaan dan penerapan

teknologi informasi yang digunakan.

3. Penyerahan & Pendukung (Delivery and Support)

Domain ini menitikberatkan pada proses pelayanan IT dan dukungan teknisnya.

4. Monitoring (Monitoring and Evaluation).

Domain ini menitikberatkan pada proses pengawasan pengelolaan TI perusahaan.

CobIT memiliki kriteria informasi yang baik, yakni:

- Efektif : berhubungan dengan informasi yang relevan dan berkenaan dengan proses

bisnis, serta penyampaian informasi yang benar, dapat dipercaya, tepat wakt u,

konsisten, dan berguna.

- Efisiensi: Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya

yang optimal.

- Kerahasiaan: memfokuskan proteksi terhadap informasi yang penting dari orang –

orang yang tidak memiliki hak otorisasi.

- Integritas: berhubungan dengan keakuratan dan kelengkapan dari sebuah informasi

sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.

64

 

 

- Ketersediaan: berhubungan dengan tersedianya informasi ketika dibutuhkan dalam

proses bisnis sekarang dan yang akan datang.

- Kepat uhan: sesuai menurut hukum, peraturan,rencana perjanjian untuk proses bisnis.

- Keakuratan Informasi: berhubungan dengan ketentuan kecocokan informasi unt uk

manajemen mengoperasikan entitas dan mengaturan pelatihan kuangan dan

kelengkapan laporan pertanggung jawaban.

Berhubungan dengan penyediaan informasi yang sesuai untuk Framework

manajemen resiko TI dengan menggunakan CobIT terdiri dari :

1. Penetapan Objektif

Kriteria informasi dari CobIT dapat digunakan sebagai dasar dalam

mendefinisikan objektif TI. Terdapat tujuh kriteria informasi dari CobIT yaitu :

effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan

reliability.  

2. Identifikasi Risiko

Identifikasi risiko merupakan proses unt uk mengetahui risiko. Sum ber risiko bisa

berasal dari: (1) Manusia, proses dan teknologi; (2) Internal (dari dalam perusahaan) dan

eksternal (dari luar perusahaan); (3) Bencana, ketidakpastian (uncertainty) dan

kesempatan (opportunity).

3. Penilaian Risiko

Dampak risiko terhadap bisnis (business impact) bisa berupa : dampak terhadap

financial, menurunnya reputasi yang disebabkan sistem yang tidak aman, terhentinya

65

 

 

operasi bisnis, kegagalan aset yang dapat dinilai (sistem dan data), dan penundaan

proses pengam bilan keputusan.

4. Respon Risiko

Untuk melakukan respon terhadap risiko adalah dengan menerapkan kontrol

objektif yang sesuai dalam melakukan manajemen risiko. Jika sisa resiko masih

melebihi risiko yang dapat diterima (acceptable risks), maka diperlukan respon risiko

tambahan. Proses-proses pada framework CobIT (dari 34 Control Objectives) yang

sesuai unt uk manajemen resiko adalah :

- PO1 (Define a Stretegic IT Plan) dan PO9

- (Assess and Manage Risks)

- AI6 (Manages Change)

- DS5 (Ensure System and Security) dan DS11

- (Manage Data)

- ME1 (Monitor and Evaluate IT Performance)

5. Monitor Resiko

Setiap langkah dimonitor unt uk menjamin bahwa risiko dan respon berjalan

sepanjang waktu dan sesuai dengan yang di harapkan.

66

 

 

2.6.4 COSO (Committee of Sponsoring Organisations of the Treadway Commission)

Framework .

COSO merupakan komite yang diorganisir oleh lima organisasi profesi, yaitu :

IIA, AICPA, IMA, FEI, dan AAA. Internal Control – Integrated Framework yang

disusun oleh COSO diterbitkan pertama kali pada tahun 1992. COSO memandang

pengendalian internal merupakan rangkaian tindakan yang menembus seluruh

organisasi. COSO juga membuat jelas bahwa pengendalian internal berada dalam proses

manajemen dasar, yaitu: perencanaan, pelaksanaan, dan monitoring. Pengendalian

bukanlah sesuatu yang ditambahkan ke dalam proses manajemen tersebut, akan tetapi

merupakan bagian integral ( yang tak terpisahkan ) dalam proses tersebut.

Framework COSO adalah salah sat u model pengendalian internal yang banyak

digunakan oleh para auditor sebagai dasar untuk mengevaluasi, mengembangkan

internal control. Internal Control menurut COSO merupakan suatu proses yang

melibatkan seluruh anggota organisasi, dan memiliki tiga tujuan utama, yaitu :

memberikan efektivitas dan efesiensi operasi, mendorong kehandalan informasi, dan

dipatuhinya hukum dan peraturan yang ada. Artinya dengan adanya sistem pengendalain

internal, maka diharapkan perusahaan dapat bekerja atau beroperasi secara efektif dan

efisiensi, penyajian informasi dapat diyakini kebenarannya dan semua pihak akan

mematuhi semua perat uran dan kebijakan yang ada baik peraturan dan kebijakan

perusahaan ataupun aturan pemerintah. Dengan dipat uhinya peraturan dan kebijakan

maka resiko dapat dihindari.

67

 

 

MODEL

NIST

OCTAVE

CobIT

COSO

Identifikasi Risiko

Proses penilaian risiko

Identifikasi risiko Penetapan objektif, identifikasi risiko

Identifikasi risiko

Analisa Risiko

Proses penilaian risiko

Proses penilaian risiko

Penilaian risiko Penilaian risiko

Respon Risiko

Proses penilaian risiko

Proses penilaian risiko

Respon risiko Penilaian risiko

Ev aluasi Risiko

Evaluasi risiko Monitor risiko, pengendalian

Monitor risiko Monitor risiko

Tabel 2.1 Perbandingan Metode Pengukuran Risiko Teknologi Informasi