bab 2 landasan teori 2.1 sistem informasithesis.binus.ac.id/doc/bab2/2010-1-00361-ka bab...
TRANSCRIPT
8
BAB 2
LANDASAN TEO RI
2.1 Sistem Informasi
Menurut Laudaon dan laudon (2006, p7), sistem informasi adalah sekumpulan
komponen yang saling berhubungan yang bekerja sama unt uk mengumpulkan,
memproses, menyimpan, dan mendistribusikan informasi sehingga dapat membant u
manajer mengambil keput usan dan pengkoordinasian, pengontrolan, penganalisaan,
penanggulangan masalah dalam suatu organisasi. Dan menurut Leitel dan Davis dalam
bukunya “Accounting Information System” mendefinisikan bahwa sistem informasi
adalah suatu sistem didalam suatu organisasi yang mempertemukan kebutuhan-
kebut uhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan
kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan
laporan-laporan yang diperlukan.
Oleh karena it u, sistem informasi sebagai suatu sistem dalam suatu organisasi
yang mengolah data menjadi bentuk yang lebih berguna menjadi suatu informasi yang
memenuhi kebutuhan para pemakai untuk mencapai suat u tujuan. Dari uraian tersebut,
jelas bahwa sistem informasi terdiri dari data yang diolah menjadi informasi sehingga
dapat terintegrasi dengan sistem.
9
2.1.1 Data
Sum ber dari informasi adalah data. Menurut Suyanto(2000, p6), data merupakan
catatan historis yang dicatat dan diarsipkan dan segera diambil kembali unt uk
pengambilan keputusan. Data yang telah ada diletakkan dalam konteks yang lebih
berarti dan berguna yang dikomunikasikan kepada penerima untuk digunakan di dalam
pembuatan keput usan disebut informasi. Jadi, data merupakan bent uk yang belum dapat
memberikan manfaat yang besar bagi penerimanya, sehingga perlu suatu model yang
nantinya akan dikelompokkan dan diproses untuk menghasilkan informasi.
sumber :http://blog.re.or.id/pengertian-informasi.htm, diakses tanggal 09 october
2009.
2.1.2 Informasi
Menurut Whitten, Bentley, Dittman (2004, p27), informasi merupakan data yang
diproses atau diorganisasikan kedalam suat u bent uk yang memiliki arti untuk seseorang.
Informasi dibent uk dari berbagai kom binasi data yang diharapkan dapat memberikan
makna bagi penerimanya. Dan menurut Mcleod (2008, p15), informasi adalah data yang
telah diproses atau data yang memiliki arti. Sedangkan, menurut O’Brien (2002, p12),
informasi adalah data yang telah diubah ke dalam sebuah bent uk yang mempunyai arti
dan berguna bagi pemakai tertentu atau khusus. Jadi, informasi adalah data yang telah
diolah menjadi bentuk yang mempunyai arti dan dapat bermanfaat bagi pengam bilan
keput usan saat ini dan masa yang akan datang.
10
2.1.3 Sistem
Menurut O’Brien (2002, p8), sistem merupakan sekumpulan komponen-
komponen yang saling berhubungan dan bekerja sama untuk mencapai tujuan bersama,
dengan menerima masukan dan menghasilkan pengeluaran melalui proses transformasi
yang terorganisir. Dan menurut Mathiassen (2000, p9), sistem adalah sekumpulan
komponen yang mengimplementasikan kebutuhan pemodelan fungsi dan antar muka.
Jadi, suatu sistem merupakan suatu jaringan kerja dari sekumpulan komponen yang
saling berhubungan, berkumpul bersama-sama unt uk melakukan suatu kegiatan atau
untuk menyelesaikan suatu sasaran yang tertentu.
2.2 Teknologi Informasi
Menurut Sawyer dan Willams (2005, p3), teknologi informasi adalah istilah
umum yang mendeskripsikan berbagai teknologi yang membant u untuk memproduksi,
manipulasi, penyimpanan, kom unikasi dan menyebarluaskan informasi. Dari sisi lain,
menurut Haag, Cimmings, dan McCubbrey (2005, p14), teknologi informasi adalah
komputer apa saja yang berbasiskan perangkat yang digunakan orang (people) unt uk
bekerja dengan informasi dan mendukung informasi dan kebutuhan proses informasi
dari sebuah organisasi.
Jadi, teknologi informasi merupakan teknologi yang biasanya berupa hardware,
software dan jaringan telekomunikasi yang memfasilitaskan dan mendukung proses
pengumpulan, pengelolaan, penyimpanan dan pert ukaran informasi, atau secara
11
sederhana teknologi informasi dapat berarti alat yang mendukung aktifitas dari sebuah
sistem informasi.
2.2.1 Infrastruktur Teknologi Informasi
Menurut Haag, Cummings, dan McCubbrey (2005, p15), ada dua kategori dasar
dalam teknologi informasi, yait u hardware dan software.
2.2.1.1 Hardware
Hardware terdiri dari peralatan fisik yang menyusun sebuah komputer yang juga
sering dikenal sebagai sistem komputer. Hardware dibagi menjadi 6 kategori, yait u : (1)
Input device; (2) Output device; (3) Storage device; (4) CPU dan RAM; (5)
Telecommunications device; (6) Connecting device.
Input device adalah peralatan yang digunakan untuk memasukkan informasi dan
perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan barcode
reader. Sedangkan Output device adalah peralatan yang digunakan untuk melihat,
mendengar, atau sebaliknya mengenali hasil dari permintaan proses informasi yang
terdiri dari printer, monitor dan speaker.
Storage device adalah peralatan yang digunakan unt uk menyimpan informasi
yang digunakan dilain waktu terdiri atas hard disk, flash memory card, dan DVD. CPU
adalah hardware yang mengartikan dan menjalankan sistem dan instruksi-instruksi
aplikasi software dan mengat ur pengoperasional dari keseluruhan hardware. RAM
12
adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya sistem,
dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini.
Telecommunications device adalah peralatan yang digunakan untuk mengirim
informasi dan menerima informasi dari orang atau komputer lain dalam sat u jaringan
contohnya modem. Connecting hardware termasuk hal-hal seperti terminal paralel yang
menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal
paralel dan peralatan penghubung internal yang sebagian besar termasuk alat pengantar
untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya.
2.2.1.2 Software
Software adalah kumpulan instruksi-instruksi yang menjalankan hardware unt uk
menyelesaikan tugas tertentu. Ada 2 tipe utama dari software, yaitu: application
software dan system software. Application software merupakan aplikasi yang
memungkinkan untuk menyelesaikan masalah-masalah spesifik atau menampilkan
tugas-t ugas spesifik. Sedangkan system software merupakan aplikasi yang menangani
tugas-t ugas spesifik unt uk mengelola teknologi dan mengatur interaksi dari keseluruhan
peralatan teknologi.
Didalam system software dibagi dalam 2 sistem, yaitu: operating system software
dan utility software. Operating system software adalah software sistem yang
mengendalikan software aplikasi dan mengelola bagaimana peralatan hardware bekerja
bersama-sama yang menyediakan tambahan fungsionalitas untuk mengoperasikan sistem
13
software, seperti antivirus software, screen savers, disk optimization software.
Sedangkan utility software adalah sistem software dengan fungsi tertentu, misalnya
pemeriksaaan perangkat keras (hardware troubleshooting)
2.2.2 Jaringan Komputer
Menurut Turban, Rainer, Porter (2003, p178), sebuah jaringan komputer terdiri
dari media komunikasi peralatan-peralatan dan software yang dibutuhkan unt uk
menghubungkan dua atau lebih sistem komputer dan peralatan. Jaringan komputer
menjadi penting bagi manusia dan organisasinya karena jaringan komputer mempunyai
tujuan yang menguntungkan bagi mereka. Beberapa manfaat dari jaringan komputer
adalah:
1. Menjadi medium komunikasi: memungkinkan kerjasama antar orang-orang yang
saling berjauhan melalui jaringan komputer baik untuk bertukar data maupun
berkom unikasi.
2. Menjadi sumber: seluruh program, peralatan dan data yang dapat digunakan oleh
setiap orang yang ada dijaringan tanpa dipengaruhi lokasi sumber dan pemakai.
3. Akses informasi luas: dapat mengakses dan mendapatkan informasi dari jarak jauh.
4. Memiliki kehandalan tinggi: tersedianya sumber-sumber alternatif kapanpun
diperlukan. Misalnya pada aplikasi perbankan, jika salah satu mesin tidak bekerja,
kinerja organisasi tidak terganggu karena mesin lain mempunyai sumber yang
sama.
14
5. Penghematan: membangun jaringan dengan komputer-komputer kecil lebih murah
dibandingkan dengan menggunakan mainframe. Data disimpan di sebuah
komputer yang bertindak sebagai server dan komputer lain yang menggunakan
data tersebut bertindak sebagai client. Bent uk ini disebut client-server.
6. Skalabilitas: meningkatkan kinerja dengan menambahkan komputer server atau
client dengan mudah tanpa mengganggu kinerja komputer server atau komputer
client yang sudah ada lebih dulu.
Ditinjau dari rentang geografis yang dicakup oleh suat u jaringan, jaringan
komputer biasanya terbagi menjadi tiga jenis, yait u: LAN (Local Area Networks), MAN
(Metropolitan Area Network) dan WAN (Wide Area Networks).
- LAN merupakan jaringan komputer yang mencakup area dalam sat u ruang, sat u
gedung, atau beberapa gedung yang berdekatan, sebagai contoh: jaringan dalam
satu kampus yang terpadu atau di sebuah lokasi perusahaan yang tergolong sebagai
LAN. LAN pada umumnya menggunakan media transmisi berupa kabel, namun ada
juga yang tidak menggunakan kabel dan disebut sebagai Wireless LAN (WLAN)
atau LAN tanpa kabel. Kecepatan LAN berkisar dari 10 Mbps sampai 1 Gbps.
- MAN merupakan jaringan yang mencakup area sat u kota atau dengan rentang 10 –
45 km. Jaringan MAN menghubungkan beberapa gedung yang terletak dalam sat u
kota atau kampus yang tersebar dalam beberapa lokasi. Jaringan seperti ini
15
umumnya menggunakan media transmisi dengan mikrogelom bang atau gelombang
radio. Namun ada juga yang menggunakan jalur sewa (leased line).
- WAN merupakan jaringan komputer yang mencakup area yang besar, sebagai
contoh yaitu jaringan komputer antarwilayah, antarkota atau bahkan antarnegara.
WAN digunakan untuk menghubungkan jaringan lokal yang satu dengan jaringan
lokal yang lain, sehingga pengguna atau komputer di lokasi yang satu dapat
berkom unikasi dengan pengguna dan komputer di lokasi yang lain.
Beberapa contoh dari jaringan komputer, yaitu: Internet, Intranet, dan Ekstranet.
Menurut Turban, Rainer, Porter (2003, p11), internet adalah elektronik dan jaringan
telekomunikasi yang besar yang menghubungkan komputer bisnis, konsumen, instansi
pemerintah, sekolah, dan organisasi lainnya di seluruh dunia, yang menggunakan
pertukaran informasi secara terbuka.
Intranet adalah jaringan pribadi yang menggunakan jaringan internet dan
perangkat lunak protocol T CP/IP, umumnya berupa internet swasta atau terbagi kedalam
kelompok swasta dari jaringan internet publik. Ekstranet adalah jaringan yang aman
yang menghubungkan mitra bisnis dan intranet lewat internet dengan menyediakan
akses ke wilayah masing-masing perusahaan intranet, perpanjangan dari intranet.
16
2.2.3 Arsitektur Teknologi Informasi
Menurut O’Brien dan George (2006, p480), arsitektur teknologi informasi
merupakan suatu desain konsept ual atau cetak biru yang meliputi 4 komponen, yaitu:
platform teknologi, sumber daya data, arsitektur aplikasi, dan organisasi teknologi
informasi.
1. Platform Teknologi (Technology Platform)
Internet, intranet, ekstranet, jaringan, sistem komputer, sistem software, dan
aplikasi software perusahaan terintegrasi yang menyediakan infrastrukt ur komunikasi.
Platform juga mendukung penggunaan strategi TI bagi e-business, e-commerce, dan
aplikasi bisnis/TI lainnya.
2. Sum ber Daya Data (Data Resources)
Banyak jenis database operasional dan spesialisasi database termasuk data
warehouse dan database internet/intranet, yang menyimpan dan menyediakan data serta
informasi untuk proses bisnis dan dukungan keputusan.
3. Arsitektur Aplikasi (Applications Architecture)
Aplikasi bisnis dari teknologi informasi dirancang sebagai sebuah arsitektur
terintegrasi atau portfolio sistem perusahaan yang mendukung usaha bisnis strategi
bisnis, serta proses lintas fungsi bisnis. Sebagai contoh, sebuah arsitektur aplikasi harus
meliputi dukungan unt uk ERP (Enterprise Resources Planning) dan aplikasi CRM
(Customer Resources Management).
17
4. Organisasi Teknologi Informasi (IT Organization)
Struktur organisasi dari fungsi sistem informasi dalam sebuah perusahaan dan
distribuasi pakar sistem informasi dirancang unt uk memenuhi strategi yang berubah dari
bisnis. Bentuk organisasi TI tergantung pada filosofi manajerial dan strategi bisnis/TI
yang dibentuk selama proses perencanaan bisnis.
2.3 Konsep Manajemen Risiko
2.3.1 Risiko
Menurut Peltier (2001, p21), risiko merupakan kemungkinan terjadinya beberapa
ancaman yang mudah menyerang. Jadi, Risiko adalah bahaya yang dapat terjadi akibat
dari sebuah proses yang sedang berlangsung atau kemungkinan terjadinya peristiwa
yang dapat merugikan perusahaan.
2.3.2 Manajemen Risiko
Menurut Djojosoedarso (2005, p2), manajemen risiko merupakan berbagai cara
penanggulangan risiko. Dan menurut Peltier (2001, p224), manajemen risiko merupakan
proses mengidentifikasi risiko, mengukur unt uk mengurangi risiko.
Oleh karena it u, dapat dikatakan bahwa setiap orang harus selalu berusaha unt uk
mencegah terjadinya resiko, artinya bahwa adanya upaya unt uk meminimumkan resiko
yang terjadi. Dan pencegahan resiko tersebut dapat dilakukan dengan berbagai cara.
18
Pengelolaan-pengelolaan dari pencegahan resiko inilah yang disebut sebagai manajemen
risiko.
2.3.3 Macam-macam Risiko
Menurut Djojosoedarso (2005, p3), risiko dibedakan dengan berbagai macam
cara, antara lain:
1. Menurut sifatnya risiko dapat dibedakan kedalam:
a. Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi tentu
menimbulkan kerugian dan terjadinya tanpa disengaja, misalnya: risiko terjadinya
kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya.
b. Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja ditimbulkan
oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan
kepadanya, misalnya: risiko utang-piutang, perjudian, perdagangan berjangka
(hedging), dan sebagainya.
c. Risiko fundamental adalah risiko yang penyebabnya tidak dapat dilimpahkan
kepada seseorang dan yang menderita tidak hanya sat u atau beberapa orang saja,
tetapi banyak orang, seperti: banjir, angin topan dan sebagainya.
d. Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan
umumnya mudah diketahui penyebabnya, seperti: kapal kandas, pesawat jatuh,
tabrakan mobil, dan sebagainya.
19
e. Risiko dinamis adalah risiko yang timbul karena perkem bangan dan kemajuan
(dinamika) masyarakat dibidang ekonomi, ilmu dan teknologi, seperti: risiko
keuangan, risiko penerbangan luar angkasa. Kebalikannya disebut risiko statis,
seperti: risiko hari t ua, risiko kematian dan sebagainya.
2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko dapat
dibedakan kedalam:
a. Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suat u
objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar
sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan pihak
perusahaan asuransi.
b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan);
umumnya meliputi semua jenis spekulatif.
3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan kedalam:
a. Risiko intern, yaitu risiko yang berasal dari dalam perusahaan it u sendiri, seperti:
kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja, kesalahan
manajemen dan sebagainya.
b. Risiko ekstern, yaitu risiko yang berasal luar perusahaan, seperti: risiko pencurian,
penipuan, persaingan, flukt uasi harga, perubahan kebijakan pemerintah, dan
sebagainya.
20
2.3.4 Penanggulangan Risiko
Menurut Djojosoedarso (2005, p4), upaya-upaya unt uk menanggulangi risiko
harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai
dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan
perusahaan untuk meminimumkan risiko kerugian, antara lain: (1) Melakukan
pencegahan dan pengurangan terhadap kem ungkinan terjadinya peristiwa yang
menimbulkan kerugian; (2) Melakukan retensi, artinya mentolerir/membiarkan unt uk
sementara terjadinya kerugian, dan unt uk mencegah terganggunya operasi perusahaan
akibat kerugian tersebut disediakan sejumlah dana unt uk menanggulanginya; (3)
Melakukan pengendalian terhadap risiko; (4) Mengalihkan / memindahkan risiko kepada
pihak lain.
Tugas dari manajer risiko adalah berkaitan erat dengan upaya memilih dan
menentukan cara-cara/metode-metode yang paling efisien dalam penanggulangan risiko
yang dihadapi perusahaan.
2.4 Risiko Teknologi Informasi
2.4.1 Kategori Risiko Teknologi Informasi
Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi berisiko
terhadap kehilangan informasi dan pem ulihannya yang tercakup dalam enam kategori,
yaitu:
21
1. Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak
berwenang, misalnya: kejahatan pada komputer, kebocoran internal dan terorisme cyber.
2. Ketersediaan
Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena
kesalahan manusia (human error), konfigurasi perusahaan, dan kurangnya pengurangan
arsitektur.
3. Daya pulih
Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu
yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau perangkat keras,
ancaman eksternal, atau bencana alam.
4. Performa
Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh
arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang
beragam.
5. Daya skala
Risiko dimana perkem bangan bisnis, pengaturan bottleneck, dan bentuk
arsitektur menyebabkan perusahaan tidak mungkin menangani banyak aplikasi baru dan
biaya bisnis secara efektif.
22
6. Ketaatan
Risiko yang manajemen atau penggunaan informasinya melanggar keperluan
dari pihak pengat ur. Yang dipersalahkan dalam hal ini mencakup aturan pemerintah,
panduan pengat uran perusahaan dan kebijakan internal.
2.4.2 Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p49), risiko-risiko teknologi didefinisikan
dalam tujuh kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan
kesalahan, tetapi konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas risiko
tersebut terdiri dari : Projects-failing to deliver, IT service continuity-when business
operations go off the air, Information assets – failing to project and preserve, Service
providers and vendors – breaks in the IT value chain, Applications – flaky systems,
Infrastructure – shaky foundations, Strategic and emergent-disabled by IT.
Kelas-kelas risiko teknologi informasi:
1. Projects-failing to deliver
Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari
gagalnya penyampaian proyek adalah: proyek yang telat diselesaikan/tidak pada
waktunya, sumber daya dan biaya yang disediakan dalam penyelesaian proyek tidak
sesuai dengan kebutuhannya sehingga menjadikan proyek tidak efisien dan dapat
23
menganggu proses bisnis selama proses implementasi, dan juga hasil dari proyek tidak
sesuai dengan keinginan dari yang diharapkan user.
2. IT service continuity-when business operations go off the air
Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman dan tidak
dapat diandalkan sehingga menganggu proses bisnis yang sedang berjalan. Biasanya
berhubungan dengan sistem operasional dan produksi perusahaan serta kemampuan
mereka unt uk menyediakan kebutuhan dari user.
3. Information assets – failing to project and preserve
Risiko ini berhubungan khusus dengan kerusakan, kehilangan, dan eksploitasi
asset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi perusahaan.
Contohnya informasi yang penting bisa dicuri oleh perusahaan kompetitor, detail dari
kartu kredit dapat dilihat oleh pihak yang tidak berwenang, sehingga dengan demikian
akan merusak hubungan antara pelanggan dengan perusahaan. Ini tentunya akan sangat
merugikan perusahaan.
4. Service providers and vendors – breaks in the IT value chain
Risiko ini berhubungan dengan kemampuan dari provider dan vendor. Bila
mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan berdampak
signifikan bagi sistem TI perusahaan. Dampak lainnya, berhubungan dengan dampak
jangka panjang seperti kekurangan dalam penyediaan layanan TI bagi user perusahaan
tersebut.
24
5. Applications – flaky systems
Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi
biasanya berinteraksi dengan user dan dalam suat u perusahaan biasanya terdapat
kombinasi antara software paket dan software buatan yang diintegrasikan menjadi sat u.
6. Infrastructure – shaky foundations
Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI. Infrastrukt ur
adalah suat u nama yang um um bagi komputer maupun jaringan yang sedang dipakai dan
berjalan di perusahaan tersebut. Didalam infrastruktur juga termasuk software, seperti:
sistem operasi dan sistem database management. Kegagalan infrastrukt ur TI bisa
bersifat permanen, ketika suatu komponen terbakar, dicuri, rusak maupun koneksi
jaringannya sedang put us, maka dampak dari kegagalan tersebut tergantung dari
ketahanan sistem yang ada. Apabila terdapat sitem yang sudah tidak cocok dengan
model yang baru, maka sistem tersebut perlu diganti. Apabila risiko ini dapat ditangani
secara rutin, maka itu merupakan suatu perencanaan jangka panjang yang baik.
7. Strategic and emergent-disabled by IT
Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan strategi
bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat signifikan
dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan dari perusahaan
untuk terus bergerak maju kearah visi strategi. Untuk tetap kompetitif diperlukan
kemajuan TI untuk dipahami dan dicocokan potensi kesempatan eksploitasi bagi bisnis.
25
Information Technology Management
Managing Business and IT Strategy
Managing Application Development and
Technology
Managing the IT organization and
Infrastructure
2.4.3 Pengelolaan Teknologi Informasi
Gambar 2.1 Komponen Utama Pengelolaan TI
Sum ber: O’Brien dan George (2006, p. 478)
Teknologi informasi merupakan sum ber daya bisnis penting yang harus dikelola
dengan benar. O’brien dan George (2006, p478), mengem ukakan sebuah pendekatan
yang terkenal untuk mengelola teknologi informasi dalam perusahaan besar. Pendekatan
tersebut terbagi atas tiga komponen utama, yaitu: (1) Strategi bisnis/TI; (2) Aplikasi dan
teknologi bisnis; serta (3) Organisasi dan infrastruktur TI.
Mengelola pengembangan dan implementasi bersama berbagai strategi bisnis/TI
(Managing the joint development and implementation of business/ IT strategy).
Pengelolaan pada bagian ini merupakan pemikiran dari tingkat top level management
yang dikem bangkan oleh manajer TI dan para professional TI untuk menggunakan TI
agar dapat mendukung prioritas strategi bisnis dalam perusahaan. Proses perencanaan
26
bisnis/TI sesuai dengan tujuan strategi bisnis TI. Proses tersebut juga meliputi evaluasi
proses bisnis/TI yang diajukan.
Mengelola pengem bangan dan implementasi aplikasi dan teknologi bisnis/TI
baru (Managing the development and implementation of new business/IT applications
and technologies). Pengelolaan pada bagian ini merupakan tanggung jawab dari top
level management. Area manajemen TI ini melibatkan pengelolaan proses
pengembangan dan implementasi sistem informasi, serta tanggung jawab penelitian ke
dalam penggunaan bisnis yang strategi atas TI yang baru.
Mengelola organisasi TI dan infrastruktur TI (Managing the IT organization and
IT infrastructure). Pengelolaan pada bagian ini merupakan tanggung jawab dari manajer
TI dalam mengelola t ugas dari para pakar TI yang biasanya diatur dalam berbagai tim
proyek dan subunit organisasi lainnya. Selain itu, manajer TI juga bertanggung jawab
dalam mengelola infrastruktur TI yang meliputi hardware, software, database, jaringan
telekomunikasi, dan sum ber daya TI lainnya yang harus diperoleh, dioperasikan,
dimonitor dan dipelihara.
2.4.4 Langkah Pemecahan Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p7), ada tiga langkah kunci dalam membuat
risiko informasi teknologi berjalan bersama-sama, dalam menempatkan diri satu posisi
dimana perusahaan mampu bertahan dengan risiko, yaitu: (1) Perusahaan perlu
menempatkan kepemimpinan dan manajemen yang tepat pada tempatnya melalui
27
teknologi informasi dan kerangka cara pengat uran risiko; (2) Perusahaan perlu
menggabungkan cara dalam mengurus risiko informasi teknologi dengan mengadopsi
sebuah pendekatan manajemen yang proaktif; (3) Perusahaan perlu mengat ur
kompleksitas dengan secara aktif mengatur setiap jenis risiko informasi teknologi.
2.4.5 Kegagalan dalam Pengelolaan Teknologi Informasi
Kegagalan dalam pengelolaan TI terletak dalam penggunaan TI dalam
perusahaan. Kegagalan dalam pengelolaan TI terletak pada pengggunaan TI yang tidak
efektif dan efisien (O’Brien dan George, 2006, p486), contohnya:
1. TI tidak digunakan secara efektif oleh perusahaan terutama unt uk
mengkomputerisasikan proses bisnis tradisional dan TI tidak digunakan unt uk
mengembangkan proses e-business yang inovatif dengan melibatkan pelanggan,
pemasok dan mitra bisnis lainnya, e-business, serta dukungan keputusan.
2. TI tidak digunakan secara efisien oleh sistem informasi yang memberikan respon
dalam waktu yang lama dan sering mengalami downtime, atau para professional
sistem informasi dan konsultan yang tidak mengelola proyek pengembangan
aplikasi secara tepat.
28
2.5 Manajemen Risiko Teknologi Informasi
Menurut Alberts, C dan Dorofee.A (2004, p8), manajemen risiko adalah proses
yang berkelanjutan dalam mengenal risiko dan mengimplementasikan rencana unt uk
menunjuk mereka. Dan menurut Djojosoerdarso (2005, p4), manajemen risiko adalah
pelaksanaan fungsi-fungsi manajemen dalam penanggulangan risiko, terutama risiko
yang dihadapi oleh organisasi/perusahaan, keluarga dan masyarakat.. Oleh karena it u,
kegiatan yang mencakup merencanakan, mengorganisir, menyusun, dan memimpin, dan
mengawasi termasuk mengevaluasi menjadi program penanggulangan risiko.
Jadi, manajemen risiko adalah suatu proses identifikasi, mengatur risiko, serta
membentuk strategi unt uk mengelolanya melalui sumber daya yang tersedia. Strategi
yang dapat digunakan antara lain: mentransfer risiko pada pihak lain, menghindari
risiko, mengurangi efek buruk dari risiko, dan menerima sebagian maupun seluruh
konsekuensi dari risiko tertentu.
Program manajemen risiko dengan demikian mencakup tugas-tugas, seperti: (1)
Mengidentifikasi risiko-risiko yang dihadapi; (2) Mengukur atau menent ukan besarnya
risiko tersebut; (3) Mencari jalan untuk menghadapi atau menanggulangi risiko; (4)
Menyusun strategi unt uk memperkecil ataupun mengendalikan risiko; (5)
Mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi program
penanggulangan risiko yang telah dibuat.
29
2.5.1 Fungsi- Fungsi Pokok Manajemen Risiko
Menurut Djojosoerdarso(2005, p14), fungsi pokok manajemen risiko terdiri dari:
1. Menemukan Kerugian Potensial
Adanya upaya untuk menem ukan atau mengidentifikasi seluruh risiko murni
yang dihadapi perusahaan, yang meliputi: (a) Kerusakan fisik dari harta kekayaan
perusahaan; (b) Kehilangan pendapatan atau kerugian lainnya akibat terganggunya
operasi perusahaan; (c) Kerugian akibat adanya tuntutan hukum dari pihak lain; (d)
Kerugian-kerugian yang timbul karena penipuan, tindakan-tindakan kriminal lainnya,
tidak jujurnya karyawan; (e) Kerugian-kerugian yang timbul akibat karyawan yang
memiliki peran utama diperusahaan meninggal dunia, sakit dan cacat.
2. Mengevaluasi Kerugian Potensial
Adanya evaluasi dan penilaian terhadap semua kerugian potensial yang dihadapi
oleh perusahaan. Evaluasi dan penilaian ini akan meliputi perkiraan mengenai: (a)
Besarnya kem ungkinan frekuensi terjadinya kerugian, artinya memperkirakan jumlah
kemungkinan terjadinya kerugian selama suat u periode tertentu atau berapa kali
terjadinya kerugian tersebut selama suatu periode tertentu; (b) Besarnya bahaya dari
tiap-tiap kerugian, artinya menilai besarnya kerugian yang diderita, yang biasanya
dikaitkan dengan besarnya pengaruh kerugian tersebut, terutama terhadap kondisi
financial perusahaan; (c) Memilih teknis/cara yang tepat atau menentukan suat u
kombinasi dari teknik-teknik yang tepat guna menanggulangi kerugian.
30
Pada intinya, ada empat cara yang dapat dipakai untuk menanggulangi risiko,
yaitu mengurangi kesempatan terjadinya kerugian, meretensi, mengasuransikan, dan
menghindari. Dimana tugas dari manajer risiko adalah memilih satu cara yang paling
tepat untuk menanggulangi suat u risiko atau memilih suatu kombinasi dari cara-cara
yang paling tepat untuk menanggulangi risiko.
2.5.2 Tahap Manajemen Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p62), manajemen risiko terdiri dari beberapa
tahap yang ditempatkan dengan cara yang berbeda untuk jenis risiko yang berbeda
tergantung pada pengenalan/penemuan risiko teknologi informasi pada radar
manajemen, adapun tahap-tahap tersebut yait u: (1) Penilaian/analisis-mengerti risiko
informasi teknologi dalam hal keseluruhan risiko informasi teknologi dan menilai
kemungkinan m unculnya dan pengaruhnya pada bisnis; (2) Perawatan-menentukan
pilihan terbaik dari beberapa langkah tindakan yang memungkinkan untuk mengatasi
risiko, merencanakan, dan menyelesaikan tindakan yang diperlukan; (3) Pengamatan dan
peninjauan-menindaklanjuti unt uk memastikan apa yang direncanakan itu dikerjakan
dan mengerti perubahan yang ada pada risiko teknologi informasi.
31
2.5.3 Implementasi Kemampuan Manajemen Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p60), kemampuan manajemen risiko
teknologi informasi yang efektif adalah kemampuan manajemen yang memenuhi
kebut uhan bisnis, dimana elemen desain penting yang harus dipertimbangkan adalah:
1. Strategi dan Kebijakan
Strategi-strategi dan kebijakan-kebijakan manajemen risiko teknologi informasi
diperlukan untuk menentukan tujuan dari manajemen risiko teknologi informasi secara
keseluruhan, untuk membangun prioritas dan pentingnya manajemen risiko teknologi
informasi, dan untuk memastikan cakupan area yang potensial dari risiko teknologi
informasi, serta unt uk menyediakan landasan perat uran dan prinsip-prinsip unt uk
mengelola risiko. Kebijakan manajemen risiko teknologi informasi harus
didokumentasikan secara formal dan didukung oleh tim tata kelola teknologi informasi
dan dikomunikasikan secara aktif kepada seluruh organisasi.
2. Peran dan Tanggung Jawab
Menentukan peran dan tanggung jawab, setelah itu menentukan pihak yang tepat
yang harus dipilih dan ditempatkan untuk melakukan peran tersebut. Beberapa hal yang
perlu dipertimbangkan adalah: (a) Pemisahan tugas dengan memastikan bahwa setiap
peran kelas risiko independen menjalankan pemantauan dan melakukan tinjauan ulang;
(b) Menyeimbangkan kebut uhan masukkan untuk spesialis dengan mengkontribusi
pengertian proses, sistem dan risiko spesifik, manajerial pembuatan keput usan-
mempertimbangkan sem ua faktor dan menentukan tindakan; (c) Mencocokkan peran
32
manajemen risiko teknologi informasi ke dalam struktur dimana seharusnya
ditempatkan. Misalnya, aktivitas perawatan manajemen risiko teknologi informasi harus
sejalan dengan manajer proyek untuk risiko proyek; (d) Membuat peran manajemen
risiko teknologi informasi yang baru ketika dibutuhkan, misalnya, lintas fungsional
bisnis dengan koordinasi peran secara berkelanjutan; (e) Mengalokasikan tanggung
jawab bersama jika diperlukan dan memastikan sem ua tempat telah diambil.
3. Proses dan Pendekatan
Siklus hidup manajemen risiko memiliki beberapa langkah yang dikembangkan
dengan beberapa langkah yang berbeda untuk berbagai jenis risiko, proses dan
pendekatan tersebut, yaitu: (a) Identifikasi/Penem uan dengan mendapatkan risiko
teknologi informasi berdasarkan radar dari manajemen; (b) Penilaian/Analisis dengan
memahami risiko dalam konteks keseluruhan portfolio risiko teknologi informasi dan
menilai kem ungkinan terjadinya dan dampak potensial terhadap bisnis; (c) Perawatan
dengan menentukan pilihan terbaik dari banyaknya program untuk menangani risiko,
perencanaan dan menyelesaikan tindakan yang diperlukan.; (d) Pemantauan dan tinjauan
dengan menindaklanjuti untuk memastikan rancana apa yang telah dilakukan dan
memahami adanya perubahan lebih lanjut dalam risiko dari portfolio.
4. SDM dan Performa
Manajemen risiko teknologi informasi juga berkaitan dengan SDM dan
performa. Dimana, kemampuan dan pengetahuan dari orang-orang dalam manajemen
risiko teknologi harus dikem bangkan dan dipelihara. Pengembangan dan pemeliharaan
33
ini memerlukan beberapa kom binasi pendidikan dan pelatihan penanggulangan risiko
teknologi informasi sesuai dengan peran dan tanggung jawab yang ada.
5. Implementasi dan Pengembangan
Orang tidak hanya akan menerima cara baru dalam pengelolaan risiko teknologi
informasi tanpa pernah diberitahu mengapa diperlukan. Sebuah cerita yang
menyakinkan pentingnya hal tersebut untuk organisasi dan apakah it u penting unt uk
organisasi.
2.6 Pengukuran Risiko Teknologi Informasi
Berdasarkan penelitian yang penulis lakukan, maka ditemukan beberapa metode
pengukuran risiko teknologi informasi diantaranya, yait u: metode OCTAVE, NIST ,
CobIT dan COSO yang digunakan untuk perbandingan.
2.6.1 NIST Special Publication 800-30
NIST (National Institute of Standard and Technology) mengeluarkan
rekomendasi melalui publikasi khusus 800 – 30 tentang Risk Management Guide for
Information Technology System. Terdapat tiga proses pengelolaan risiko, yaitu:
1. Proses Penilaian Risiko
a. Karakteristik Sistem
Dalam menilai risiko untuk sebuah sistem TI, langkah pertama adalah unt uk
menentukan cakupan usaha. Pada tahap ini, batas-batas terhadap sistem yang
34
diidentifikasi, bersama dengan sumber daya dan informasi yang merupakan sistem.
Karakteristik sebuah sistem TI membentuk ruang lingkup dari risiko usaha, yang
menggambarkan operasional otorisasi atau akreditasi batas-batas, dan menyediakan
informasi (misalnya, perangkat keras, perangkat lunak, sistem konektivitas, dan divisi
yang bertanggung jawab atau dukungan personil) yang penting unt uk menentukan risiko.
b. Identifikasi Ancaman
Identifikasi ancaman yang mungkin menyerang kelemahan sistem TI. Sebuah
kelemahan atau kerentanan dapat dipicu dari kesengajaan ataupun ketidaksengajaan,
sebuah sum ber ancaman tidak akan menghasilkan sebuah risiko jika tidak ada
kelemahan yang dibiarkan. Dalam mempertimbangkan kem ungkinan adanya ancaman,
hal yang tidak boleh diabaikan, yaitu: mempertimbangkan sumber ancaman, potensi
kerentanan, dan kontrol yang ada.
c. Identifikasi Kerentanan
Analisis ancaman untuk sebuah sistem TI harus disertai analisis dari kerentanan
yang terkait dengan sistem lingkungan. Tujuan dari langkah ini adalah unt uk mengetahui
kekurangan atau kelemahan dari sistem yang dapat dieksploitasi oleh sumber ancaman.
d. Analisis Pengendalian
Tujuan dari langkah ini adalah menganalisa pengendalian yang telah
dilaksanakan atau direncanakan untuk meminimalkan atau menghilangkan
kemungkinan-kemungkinan ancaman dari kelemahan atau kekurangan yang ada.
35
e. Penentuan Kemungkinana/Kecenderungan.
Untuk mendapatkan keseluruhan penilaian terhadap kem ungkinan atau
kecenderungan yang menunjukan adanya peluang kelemahan yang dapat dilakukan oleh
lingkungan ancaman. Berikut ini faktor-faktor yang harus dipertimbangkan: (1) Motivasi
dan Sum ber Ancaman; (2) Sifat dan Kerentanan; (3) Keberadaan dan Efektifitas
Pengendalian Saat Ini.
f. Analisis Dampak
Menentukan hasil dari dampak paling buruk yang mungkin terjadi dari sebuah
ancaman yang timbul, sebelum memulai analisis dampak, diperlukan informasi sebagai
(1) Sistem Misi (misalnya, proses yang dilakukan oleh sistem TI); (2) Sistem dan Data
Kritikal (misalnya, sistem nilai atau pentingnya untuk sebuah organisasi); (3) Sistem dan
Sensitivitas Data.
g. Penentuan Risiko
Tujuan dari langkah ini adalah unt uk menilai tingkat risiko bagi sistem TI.
Penentuan tingkat risiko ini merupakan suatu fungsi, yait u: (1) Kecenderungan suat u
sumber ancaman menyerang kerentanan dari sistem TI; (2) Besarnya dampak yang akan
terjadi jika sum ber ancaman sukses menyerang kerentanan dari sistem TI; (3)
Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan
menghilangkan resiko.
36
h. Rekomendasi Pengendalian
Selama proses ini, pengendalian yang dapat mengurangi atau mengeliminasi
risiko yang diidentifikasi. Tujuan dari rekomendasi pengendalian adalah mengurangi
tingkat risiko bagi sistem TI dan data ketingkat yang dapat diterima oleh organisasi.
Faktor-faktor yang harus dipertimbangkan dalam rekomendasi pengendalian dan solusi
alternative untuk meminimalkan atau mengeliminasi risiko diidentifikasi, yaitu:
keefektifan dari pilihan yang direkomendasikan, perundang-undangan dan peraturan,
kebijakan organisasi, dampak operasional, keselamatan dan kehandalan
i. Dokumentasi
Hasil-hasil setelah pengukuran risiko selesai dilakukan (sumber ancaman, dan
kerentanan telah diidentifikasi, penilaian risiko, dan rekomendasi pengendalian tersedia),
Hasil-hasil yang ada harus di dokumentasikan dalam laporan resmi.
2. Proses Pengurangan Risiko
Terdapat beberapa strategi dalam melakukan pengurangan risiko, yaitu dengan
menerima risiko (risk assumption), mencegah terjadinya risiko (risk avoidance),
membatasi level resiko (risk limitation), perencanaan risiko (risk plan), penelitian dan
pengakuan (research and acknowledgment), mentransfer risiko (risk transference).
Metodologi pengurangan risiko menggambarkan pendekatan unt uk
mengimplementasikan pengendalian, yang terdiri dari: memprioritaskan tindakan dalam
mengevaluasi pengendalian yang direkomendasikan, dan melakukan Cost-Benefit
37
Analysis, memilih pengendalian, memberikan tanggung jawab, mengem bangkan rencana
implementasi perlindungan serta implementasikan pengendalian yang dipilih.
3. Proses Evaluasi Risiko
Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko yang
diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali unt uk
memastikan keberadaan risiko yang teridentifikasi maupun risiko yang belum
teridentifikasi.
2.6.2 OCTAVE
2.6.2.1 Pengertian Metode OCTAVE
Langkah pertama untuk mengelola resiko keamanan informasi adalah mengenali
potensi resiko-resiko apa saja yang terjadi di perusahaan. Setelah resiko diidentifikasi,
perusahaan dapat membuat rencana penanggulangan dan reduksi resiko terhadap
masing-masing resiko yang telah diketahui. Metode OCTAVE (The Operationally
Critical Threat, Asset, and Vulnerability Evaluation) memungkinkan perusahaan
melakukan hal di atas. OCTAVE adalah sebuah pendekatan terhadap evaluasi resiko
keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri.
Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari
evaluasi resiko keamanan informasi.
38
2.6.2.2 Pengenalan Metode OCTAVE
Gambar 2.2 Besarnya Definisi Dampak
Kriteria OCTAVE memerlukan evaluasi yang harus dilakukan oleh sebuah tim
(interdisipliner) yang terdiri dari personil teknologi informasi dan bisnis organisasi.
Anggota tim bekerjasama unt uk membuat keput usan berdasarkan resiko terhadap aset
informasi kritis organisasi. Pada akhirnya, kriteria OCTAVE memerlukan katalog
informasi unt uk mengukur praktek organisasi, menganalisa ancaman, dan membangun
strategi proteksi. Katalog ini meliputi:
• catalog of practices – sebuah koleksi strategi dan praktek keamanan informasi.
• generic threat profile – sebuah koleksi sum ber ancaman utama.
OCTAVE criteria
OCTAVE Method
(as defined in OCTAVE
Method Implementation Guide v2.0)
An OCTAVE-Consistent Method for Small Organizations Under development by the SEI.
Other Methods Consistent with the OCTAVE
criteria
Developed by others.
39
• catalog of vulnerabilities – sebuah koleksi dari vulnerability berdasarkan platform
dan aplikasi.
2.6.2.3 Tahap dan Aktivitas OCTAVE
Menurut Alberts et al. (2005, p5), OCTAVE berdasar pada 3 tahap yang
dideskripsikan dalam criteria OCTAVE, meskipun nomor dan urutan kegiatan berbeda
dari metode OCTAVE yang digunakan. Bagian ini memberikan tinjauan singkat atas
tahapan dan kegiatan OCTAVE.
Tahapan-tahapan yang berdasarkan pada framework OCTAVE, yaitu:
a. Membangun Aset Berbasis Profil Ancaman
Tahap satu adalah sebuah evaluasi dari aspek organisasi. Selama dalam tahap ini,
tim analisis menggam barkan kriteria dampak evaluasi yang akan digunakan nantinya
untuk mengevaluasi risiko. Tahap ini juga mengidentifikasi aset-aset organisasi yang
penting, dan mengevaluasi praktek keamanan dalam organisasi saat ini. Tim
menyelesaikan tugasnya sendiri dan mengumpulkan informasi tambahan hanya ketika
diperlukan. Kem udian memilih tiga dari lima aset kritikal unt uk menganalisa dasar
kedalaman dari hubungan penting dalam organisasi. Akhirnya, tim menggambarkan
kebut uhan-kebut uhan keamanan dan menggam barkan profil ancaman pada setiap aset.
Di mana pada tahap ini terdiri atas dua proses, yait u identifikasi informasi organisasi dan
membuat profil ancaman serta memiliki enam aktivitas.
40
b. Mengidentifikasi kerentanan infrastrukt ur
Tahap kedua yait u tim analisis melakukan peninjauan ulang level tinggi dari
perhitungan infrastruktur organisasi, yang berfokus pada keamanan yang
dipertimbangkan pemelihara dari infrastruktur. Tim analisis pertama menganalisis
bagaimana orang-orang menggunakan infrastruktur komputer pada akses aset kritis,
menghasilkan kunci dari kelas komponen-komponen. Tahap ini memiliki satu proses
yaitu memeriksa perhitungan infrastrukt ur dalam kaitannya dengan aset yang kritis
dimana terdapat dua aktivitas.
c. Mengem bangkan Strategi Keamanan dan Perencanaan.
Selama tahap ketiga tim analisis mengidentifikasi risiko dari aset kritis organisasi
dan memut uskan apa yang harus dilakukan mengenainya. Berdasarkan analisis dari
kumpulan informasi, tim membuat strategi perlindungan unt uk organisasi dan rencana
mitigrasi risiko yang dit ujukan pada aset kritis. Kertas kerja OCTAVE yang digunakan
selama tahap ini mempunyai struktur tinggi dan berhubungan erat dengan praktek
katalog OCTAVE, memungkinkan tim unt uk mengubungkan rekomendasi-
rekomendasinya untuk meningkatkan praktek keamanan dari penerimaan benchmark.
Tahap ini terdiri atas dua proses, yaitu : identifikasi dan analisis risiko serta
mengembangkan strategi perlindungan dan rencana mitigasi, di mana proses ini
memiliki delapan aktivitas.
41
Gambar 2.3 Proses Metode OCTAVE
Metode OCTAVE menggunakan pendekatan tiga fase untuk menguji isu-isu
teknologi, menyusun sebuah gam baran komprehensif keamanan informasi yang
dibut uhkan oleh perusahaan (dalam gam bar). Metode ini menggunakan lokakarya unt uk
melakukan diskusi dan pert ukaran informasi mengenai aset, praktek keamanan informasi
dan strategi keamanan informasi. Setiap fase terdiri dari beberapa proses dan setiap
proses memiliki satu atau lebih lokakarya yang dipimpin oleh tim analisis. Beberapa
aktifitas persiapan juga diperlukan untuk menetapkan dasar yang baik untuk suksesnya
evaluasi secara keseluruhan.
42
2.6.2.4 Proses OCTAVE
Proses-proses metode OCTAVE, yaitu:
1. Fase I (Organizational View)
Fase pertama dalam OCTAVE adalah Asset-Based Threat Profiles. Fase ini
meliputi lokakarya pengumpulan pengetahuan untuk memperoleh informasi mengenai
aset, keamanan yang dibut uhkan oleh setiap aset, area yang diperhatikan, strategi
proteksi yang sedang diterapkan,dan risiko yang ada saat ini di perusahaan. Pada fase ini
data yang diperoleh dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis
organisasi. Fase pertama ini meliputi empat proses yang harus dilakukan. Keempat
proses ini dibahas dalam penjelasan berikut :
a. Fase I proses I (Identify Senior Manager Knowledge)
Proses pertama dalam fase I adalah melakukan identifikasi pengetahuan manajer
senior dalam hal keamanan informasi. Tim analisis melakukan lokakarya dengan
manajer senior sebagai partisipan. Aktifitas dalam proses ini terdiri dari:
- Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang
penting unt uk mereka dan unt uk perusahaan. Mereka juga membuat skala prioritas
untuk mengidentifikasi lima aset yang terpenting.
- Mendeskripsikan aset-aset yang rawan risiko – Untuk lima aset terpenting, manajer
senior mendeskripsikan skenario bagaimana asset-aset tersebut terancam.
- Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior
mendefinisikan kebut uhan keamanan yang diperlukan unt uk aset terpenting.
43
- Mengidentifikasi strategi proteksi terkini dan tingkat risiko ada di perusahaan –
Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka
mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi
terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam
pandangan keamanan.
- Meninjau kembali cakupan evaluasi – Ini adalah kesempatan kedua unt uk manajer
senior terlibat dalam lokakarya proses pertama jika akan menambah atau
mengurangi daftar area operasi atau manajer.
Gambar 2.4 Identify Senior Manager Knowledge
44
b. Fase I proses II ( Identify Operational Management Knowledge)
Pada proses ke dua ini diperoleh gam baran pengetahuan dari manajer
operasional. Manajer ini adalah manajer dimana area yang dikelolanya termasuk dalam
cakupan OCTAVE. Tim analisis memfasilitasi lokakarya dengan manajer area
operasional sebagai parsisipannya. Aktifitas dalam proses ke-2 ini terdiri dari:
- Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang
penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas
untuk mengidentifikasi lima aset yang terpenting.
- Mendeskripsikan aset-aset yang rawan risiko – Untuk lima aset terpenting, manajer
senior mendeskripsikan skenario bagaimana asset-aset tersebut terancam.
- Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior
mendefinisikan kebut uhan keamanan yang diperlukan unt uk aset terpenting.
- Mengidentifikasi strategi proteksi terkini dan tingkat risiko yang ada di perusahaan
– Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka
mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi
terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam
pandangan keamanan.
- Memverifikasi staf yang menjadi partisipan – Manajer area meninjau kem bali
siapa saja staf yang akan menjadi partisipan dalam OCTAVE.
45
Gambar 2.5 Identify Operational Management Knowledge
c. Fase I proses III (Identify Staff Knowledge)
Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para staf umum dan
staf teknologi informasi. Para staf ini adalah para staf dimana area tempatnya bekerja
termasuk dalam cakupan OCTAVE. Tim analisis memfasilitasi lokakarya dengan para
staf sebagai parsisipannya. Partisipan dalam setiap lokakarya dibatasi lima orang, jika
jumlah staf lebih dari lima orang, maka akan diadakan beberapa lokakarya dengan
partisipan yang berbeda pada setiap lokakarya.Aktifitas dalam proses 3 ini terdiri dari:
- Mengidentifikasi aset penting – para staf mendefinisikan aset apa yang penting
untuk mereka dan unt uk organisasi. Mereka juga membuat skala prioritas unt uk
mengidentifikasi lima aset yang terpenting.
46
- Mendeskripsikan aset-aset yang rawan risiko – Untuk lima aset terpenting, para
staf mendeskripsikan skenario bagaimana asset-aset tersebut terancam.
- Mendefinisikan kebut uhan keamanan untuk setiap aset terpenting – Para staf
mendefinisikan kebut uhan keamanan yang diperlukan unt uk aset terpenting.
- Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Para staf
melengkapi survei berdasarkan catalog of practices. Mereka mendiskusikan
jawaban survei mereka unt uk memberikan tambahan informasi terhadap apa yang
sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.
Gambar 2.6 Identify Staff Knowledge
47
d. Fase I proses IV( Create Threat Profile)
Proses ke empat menggabungkan semua informasi yang diperoleh dalam proses
pertama sampai proses ke tiga dan membuat sebuah profil ancaman terhadap aset kritis.
Proses ke empat dilakukan oleh tim analisis (beserta tim tambahan jika diperlukan).
Aktifitas yang dilakukan terdiri dari:
- Konsolidasi data – tim analisis mendata daftar aset terpenting, kebutuhan
keamanan masing-masing aset, dan melihat aset yang rawan terhadap risiko pada
proses pertama sampai proses ke tiga.
- Memilih aset kritis - Dari keseluruhan aset terpenting yang diajukan oleh manajer
senior, manajer area operasional dan para staf, aset yang terpenting diseleksi oleh
tim analisis.
- Mendefinisikan kebut uhan keamanan unt uk aset kritis – tim analisisi
menyempurnakan informasi yang diperoleh pada proses pertama sampai ke tiga
untuk sampai pada sebuah rancangan akhir kebutuhan keamanan.
- Menentukan ancaman terhadap aset kritis – tim analisis menyempurnakan
informasi mengenai aset-aset yang rawan risiko yang diperoleh dari proses pertama
sampai proses ke tiga dan menjabarkannya dalam profil ancaman keamanan.
48
Gambar 2.7 Create Threat Profile
2. Fase II (Identify Infrastructure Vulnerability)
Fase ke dua dalam OCTAVE adalah Identify Infrastructure Vulnerabilities. Fase
ini melihat kerawanan risiko secara teknis yang terjadi pada aset kritis dan komponen
infrastruktur kunci yang mendukung aset tersebut. Fase ke dua ini meliputi dua proses
yang akan dibahas lebih lanjut.
a. Fase II proses V( Identify Key Components)
Proses kelima mengidentifikasi komponen kunci dari infrastruktur yang harus
diuji kerawanan risiko-nya secara teknis untuk setiap aset kritis. Tim analisis
mempertimbangkan berbagai macam sistem dalam organisasi dan masing-masing
49
komponennya. Tim analisis mencari “system of interest” unt uk setiap aset kritis, yait u
sistem yang paling dekat hubungannya dengan aset kritis. Aktifitas yang dilakukan
terdiri dari:
- Mengidentifikasi klasifikasi utama pada setiap komponen dari sebuah systems of
interest diidentifikasikan untuk setiap aset. Topologi atau pemetaan jaringan jenis
lain digunakan untuk meninjau di mana aset kritis berada dan bagaimana diakses.
Klasifikasi komponen utama dipilih berdasarkan bagaimana aset diakses dan
digunakan.
- Mengidentifikasi komponen infrastruktur yang akan diuji. Untuk setiap tipe
komponen, tim analisis memilih komponen tertentu untuk dievaluasi. Departemen
teknologi informasi harus memberikan alamat jaringan secara spesifik atau lokasi
fisiknya dan akan diperlukan untuk menyusun evaluasi.
Gambar 2.8 Identify Key Components
50
b. Fase II proses VI (Evaluate Selected Components)
Pada proses ini, komponen infrastrukt ur yang dipilih untuk setiap aset kritis
dievaluasi untuk mengetahui tingkat kerawanan secara teknis. Tim analisis menjalankan
peralatan evaluasi, menganalisa hasilnya dan membuat rangkuman untuk tiap aset kritis.
Aktifitas pada proses ini terdiri dari:
- Prework: menjalankan peralatan evaluasi vulnerability pada komponen
infrastruktur sebelum lokakarya. Peralatan evaluasi mungkin sudah dimiliki oleh
organisasi atau bisa juga disewa dari pihak lain.
- Mengkaji tingkat kerawanan teknologi dan merangkum hasilnya, dimana
pemimpin evaluasi mempresentasikan rangkuman hasil evaluasi kepada tim
analisis. Mereka kemudian mendiskusikan tingkat kerawanan yang mana yang
memerlukan perbaikan dalam jangka waktu dekat, menengah atau jangka panjang,
memodifikasi rangkuman jika diperlukan. Secara um um, hal ini berhubungan
dengan derajat kerumitan penentuan tingkat kerawanan dan aset kritis yang
dipengaruhinya.
51
Gambar 2.9 Evaluate Selected Components
3. Fase III (Develop Security Strategy and Plans)
Fase ke tiga dalam OCTAVE adalah Develop Security Strategy and Plans. Pada
fase ini didefinisikan resiko terkait dengan aset kritis, membuat rencana mitigasi unt uk
resiko tersebut, dan membuat strategi perlindungan bagi perusahaan. Rencana dan
strategi dikaji dan diterima oleh manajer senior. Terdapat dua proses dalam fase ke tiga
yang akan dibahas berikutnya.
a. Fase III proses VII (Conduct Risk Analysis)
Selama proses ke tujuh, tim analisis mengkaji semua informasi yang diperoleh
dari proses ke-1 sampai proses ke-6 dan membuat profil resiko unt uk setiap aset kritis.
Profil resiko merupakan perluasan dari profil ancaman, menambahkan pengukuran
52
kualitatif terhadap akibat kepada organisasi unt uk setiap kemungkinan ancaman yang
terjadi. Kemungkinan untuk setiap kejadian tidak digunakan. Karena menetapkan sebuah
alasan kemungkinan secara akurat dari setiap kejadian sangat sulit dan senantiasa
berubah-ubah, maka kem ungkinan unt uk setiap cabang diasumsikan sama. Aktifitas
pada proses ini terdiri dari:
- Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis – untuk setiap aset
kritis, dilihat seberapa besar ancaman akan mempengaruhi aset kritis diperusahaan.
- Membuat kriteria evaluasi – dengan menggunakan pernyataan akibat pada aktifitas
pertama, sebuah kriteria evaluasi akibat ditetapkan untuk ancaman terhadap aset
kritis perusahaan. Definisi tiga tingkatan evaluasi kualitatif (tinggi, menengah, dan
rendah) ditetapkan untuk banyak aspek (misalnya finansial atau akibat
operasional).
- Mengevaluasi akibat dari ancaman terhadap aset kritis – berdasarkan kriteria
evaluasi setiap akibat dari setiap ancaman didefinisikan sebagai tinggi, menengah,
atau rendah. Semua informasi mengenai hal ini dicatat dalam Asset Profile
Workbook.
53
Gambar 2.10 Conduct Risk Analysis
b. Fase III proses VIII (Develop Protection Strategy)
Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan strategi
proteksi organisasi secara menyeluruh, rencana mitigasi untuk resiko terhadap aset
kritis. Proses ini melibatkan dua lokakarya. Pada lokakarya pertama (disebut sebagai
lokakarya A), tim analisis menyusun proposal strategi dan perencanaan. Pada lokakarya
ke dua (disebut lokakarya B), manajer senior mengkaji proposal, membuat perubahan
yang diinginkan, dan menetapkan langkah selanjutnya untuk menerapkan strategi dan
perencanaan. Aktifitas pada Lokakarya A proses ini terdiri dari:
- Prework: Mengkompilasi hasil survey – hasil ini diperoleh dari kompilasi survey
pada proses 1 sampai proses 3. Hasilnya digunakan untuk melihat praktek mana
54
yang telah dianggap baik oleh sebagian besar responden dan mana yang dianggap
buruk oleh sebagian besar responden
- Mengkaji informasi – Informasi yang diperoleh dari proses-proses sebelumnya
dikaji ulang. Pengkajian ini meliputi vulnerability, praktek, informasi resiko, dan
kebut uhan keamanan aset kritis.
- Membuat strategi proteksi – strategi ini meliputi setiap praktek yang dianggap
harus dilaksanakan atau ditingkatkan, termasuk praktek mana yang sudah
dilaksanakan dengan baik. Mem buat rencana mitigasi – unt uk setiap aset, rencana
mitigasi dibuat untuk melakukan pencegahan, pengenalan, dan pemulihan dari
setiap resiko dan menjelaskan bagaimana mengukur efektifitas dari kegiatan
mitigasi.
- Membuat daftar aktifitas – sebuah daftar aktifitas yang segera dilaksanakan,
biasanya meliputi vulnerability yang memerlukan perbaikan dengan segera.
55
Gambar 2.11 Develop Protection Strategy A
Lokakarya B meliputi aktifitas:
- Prework: Membuat presentasi untuk manajer senior
- Mengkaji informasi resiko – tim analisis mempresentasikan informasi berkaitan
dengan aset kritis dan ringkasan hasil survey kepada manajer senior.
- Mengkaji ulang dan memperbaiki strategi proteksi, rencanan mitigasi dan daftar
aktifitas yang disebutkan dalam lokakarya A. Manajer senior dapat meminta
perubahan, penambahan, atau pengurangan.
56
- Menetapkan langkah selanjutnya – Manajer senior memutuskan bagaimana
mengimplementasikan strategi, perencanaan, dan aktifitas.
Gambar 2.12 Develop Protection Strategy B
Untuk mempersiapkan proses OCTAVE, ada beberapa hal yang menjadi dasar
untuk keberhasilan evaluasi, yaitu:
a. Mendapatkan dukungan sepenuhnya dari tingkatan manajemen tertinggi. Hal ini
merupakan faktor terpenting untuk keberhasilan evaluasi. Jika manajemen tertinggi
mendukung proses, maka orang-orang dalam perusahaan akan berpartisipasi secara aktif.
Dukungan, dalam hal ini terwujud sebagai berikut: dukungan nyata dan
57
berkesinambungan dalam aktifitas OCTAVE, peningkatan partisipasi aktif anggota
perusahaan, pendelegasian tanggungjawab dan otoritas untuk menyelesaikan seluruh
aktifitas OCTAVE, komitmen unt uk mengalokasikan sum berdaya yang dibutuhkan,
perset ujuan untuk meninjau hasil dan memutuskan langkah yang tepat yang harus
diambil dengan adanya hasil evaluasi yang telah dilakukan.
b. Memilih tim analisis. Anggota tim analisis harus memiliki kemampuan dan
keahlian yang mencukupi untuk memimpin evaluasi. Mereka juga harus mengatahui
bagaimana menambah pengetahuan dan kemampuan mereka di luar tim. Secara umum,
tim analisis terdiri dari tiga sampai lima orang dalam kelompok inti yang
merepresentasikan bisnis dan perspektif teknologi informasi, memiliki pengetahuan
dalam proses bisnis dan teknologi informasi, memiliki kemampuan yang baik dalam
berkom unikasi dan memfasilitasi, serta berkomitmen untuk mengerahkan kemampuan
yang dimiliki demi keberhasilan OCTAVE.
Aturan dan tanggung jawab tim analisis adalah untuk : bekerja dengan manajer
dalam menentukan cakupan evaluasi, memilih partisipan,dan menjadwalkan aktifitas
OCTAVE; berkoordinasi dengan manajer senior atau manajer operasional dan
pendukung teknologi informasi unt uk mengevaluasi kerawanan (vulnerability);
mendapatkan, menganalisa dan mengelola data dan hasil selama proses OCTAVE;
mengaktifkan aktifitas assessment, yang fungsi utamanya adalah menjamin bahwa
personil yang diinginkan hadir dalam lokakarya yang ditentukan; mengurus dukungan
logistik.
58
Secara umum, tim inti analisis harus memiliki kemampuan berikut:
fasilitasi,komunikasi yang baik, analisis yang baik, bekerjasama dengan manajer senior,
manajer operasional dan anggota organisasi, memahami lingkungan bisnis organisasi,
memahami lingkungan teknologi informasi dalam organisasi dan mengetahui bagaimana
staf bisnis menggunakan teknologi informasi organisasi.
Pada saat yang lain, tim inti analisis harus memiliki pengetahuan berikut ini, atau
memperolehnya melalui anggota tim tambahan: lingkungan teknologi informasi yang
ada diperusahaan dan pengetahuan topologi jaringan dalam perusahaan, mengetahui
aksploitasi terkini terhadap risiko yang ada, mengetahui bagaimana menginterpretasikan
hasil evaluasi terhadap risiko oleh perangkat lunak, mengetahui praktek perencanaan
perusahaan, serta mampu mengembangkan perencanaan.
c. Menentukan cakupan OCTAVE. Evaluasi harus mencakup area operasi yang
penting. Jika cakupan terlalu luas, maka akan sulit menganalisa data, dan jika cakupan
terlalu sempit maka hasilnya tidak akan banyak berarti.
d. Memilih partisipan. Setiap karyawan berbagai tingkatan divisi akan
menyumbangkan pengetahuannya. Dan setiap karyawan perlu mengetahui area kerja
mereka.
e. Mengkoordinasi logistik. Tim inti analisis melakukan koordinasilogistik yang
diperlukan dalam setiap aktifitas OCTAVE meliputi: penjadwalan, koordinasi persiapan
ruang pertemuan, peralatan yang diperlukan dalam setiap aktifitas OCTAVE, menangani
59
kejadian tidak terduga misalnya penggantian jadwal dan perubahan personil dalam
pertemuan.
Dari uraian tahap, proses dan aktivitas diatas, tim analisis memandang keamanan
dari berbagai perspektif, memastikan rekomendasi mencapai keseimbangan dasar yang
sesuai pada kebutuhan perusahaan. Dan hal tersebut dapat dilihat penjabaran tiga puluh
langkah OCTAVE yang terdapat pada lampiran.
2.6.2.5 Hasil OCTAVE
Menurut Alberts et al. (2005, p. 6), selama mengevaluasi OCTAVE, tim analisis
melibat keamanan dari beberapa perspektif, memastikan bahwa rekomendasi yang
dicapai sesuai dengan keseim bangan berdasarkan kebutuhan organisasi.
Hasil utama dari OCTAVE, yaitu:
1. Strategi perlindungan organisasi yang luas: Perlindungan strategi menguraikan
secara singkat arah organisasi dengan mematuhi praktek keamanan informasi.
2. Rencana mitigasi risiko: rencana ini dimaksudkan untuk mengurangi risiko aset
kritis untuk meningkatkan praktek keamanan yang di pilih.
3. Daftar tindakan: Termasuk tindakan jangka pendek yang dibutuhkan unt uk
menunjukkan kelemahan yang spesifik.
Hasil OCTAVE yang berguna lainnya, yaitu:
1. Daftar informasi penting terkait dengan aset yang mendukung tujuan bisnis dan
sasaran organisasi.
60
2. Hasil survei menunjukkan sejauh mana organisasi mengikuti praktek keamanan
yang baik.
3. Profil risiko untuk setiap aset kritis menggambarkan jarak antara risiko terhadap
aset.
Jadi, setiap tahap OCTAVE memproduksi hasil yang bermanfaat sehingga
sebagian evaluasi akan menghasilkan informasi yang berguna untuk meningkatkan sikap
keamanan organisasi.
2.6.2.6 Klasifikasi Hasil Penemuan Risiko Dengan OCTAVE
Dari hasil identifikasi risiko yang ada pada metode OCTAVE terdapat 3
klasifikasi yaitu :
1. Red
Stoplight merah menyatakan bahwa risiko yang m uncul harus diadakan mitigasi
untuk meminimalkan risiko yang mungkin terjadi.
2. Yellow
Stoplight kuning menyatakan bahwa jika terjadi risiko pada Stoplight ini, perusahaan
masih bisa menjalankan bisnis perusahaan
3. Green
Stoplight Hijau menyatakan bahwa risiko yang muncul sudah diatasi dengan baik
oleh perusahaan.
61
2.6.3 CobIT
CobIT adalah sekumpulan dokumentasi best practices unt uk IT Governance yang
dapat membantu auditor, pengguna (user), dan manajemen, untuk menjem batani gap
antara risiko bisnis, kebut uhan control dan masalah-masalah teknis TI. CobIT
bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam
identifikasi IT controls issues. CobIT berguna bagi IT users karena memperoleh
keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer
memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya,
menyusun strategic IT Plan, menentukan information architect ure,dan keputusan atas
procurement (pengadaan/pembelian) aset.
CobIT dikeluarkan oleh IT GI dapat diterima secara internasional sebagai praktek
pengendalian atas informasi, IT dan resiko terkait. CobIT digunakan untuk menjalankan
penentuan atas IT dan meningkatkan pengontrolan IT. CobIT juga berisi tujuan
pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan model
kedewasaan. Prinsip dasar dari kerangka CobIT adalah untuk menghubungkan
ekspektasi manajemen TI dengan tanggung jawab manajemen TI. Tujuan utamanya
adalah untuk memfasilitasi pengelolaan TI dalam memberikan penilaian TI guna
menanggulangi resiko TI. CobIT Framework terdiri atas 4 domain utama:
1. Perencanaan & Organisasi (Planning and Organisation)
Domain ini mencakup pembahasan tentang identifikasi dan strategi investasi TI
yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis.
62
Selanjutnya identifikasi dan visi strategi perlu direncanakan, dikom unikasikan, dan
diatur pelaksanaannya. Domain ini menitikberatkan pada proses perencanaan dan
penyelarasan strategi IT dengan strategi perusahaan.
Gambar 2.13: CobIT Business control Objectivities – IT Governance
2. Perolehan & Implementasi (Acquisition and Implementation)
63
Domain ini unt uk merealisasikan strategi TI dan perlu diatur kebutuhan TI,
diidentifikasi, dikembangkan, atau implementasikan secara terpadu dalam proses bisnis
perusahaan dan menitikberatkan pada proses pemilihan, pengadaaan dan penerapan
teknologi informasi yang digunakan.
3. Penyerahan & Pendukung (Delivery and Support)
Domain ini menitikberatkan pada proses pelayanan IT dan dukungan teknisnya.
4. Monitoring (Monitoring and Evaluation).
Domain ini menitikberatkan pada proses pengawasan pengelolaan TI perusahaan.
CobIT memiliki kriteria informasi yang baik, yakni:
- Efektif : berhubungan dengan informasi yang relevan dan berkenaan dengan proses
bisnis, serta penyampaian informasi yang benar, dapat dipercaya, tepat wakt u,
konsisten, dan berguna.
- Efisiensi: Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya
yang optimal.
- Kerahasiaan: memfokuskan proteksi terhadap informasi yang penting dari orang –
orang yang tidak memiliki hak otorisasi.
- Integritas: berhubungan dengan keakuratan dan kelengkapan dari sebuah informasi
sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
64
- Ketersediaan: berhubungan dengan tersedianya informasi ketika dibutuhkan dalam
proses bisnis sekarang dan yang akan datang.
- Kepat uhan: sesuai menurut hukum, peraturan,rencana perjanjian untuk proses bisnis.
- Keakuratan Informasi: berhubungan dengan ketentuan kecocokan informasi unt uk
manajemen mengoperasikan entitas dan mengaturan pelatihan kuangan dan
kelengkapan laporan pertanggung jawaban.
Berhubungan dengan penyediaan informasi yang sesuai untuk Framework
manajemen resiko TI dengan menggunakan CobIT terdiri dari :
1. Penetapan Objektif
Kriteria informasi dari CobIT dapat digunakan sebagai dasar dalam
mendefinisikan objektif TI. Terdapat tujuh kriteria informasi dari CobIT yaitu :
effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan
reliability.
2. Identifikasi Risiko
Identifikasi risiko merupakan proses unt uk mengetahui risiko. Sum ber risiko bisa
berasal dari: (1) Manusia, proses dan teknologi; (2) Internal (dari dalam perusahaan) dan
eksternal (dari luar perusahaan); (3) Bencana, ketidakpastian (uncertainty) dan
kesempatan (opportunity).
3. Penilaian Risiko
Dampak risiko terhadap bisnis (business impact) bisa berupa : dampak terhadap
financial, menurunnya reputasi yang disebabkan sistem yang tidak aman, terhentinya
65
operasi bisnis, kegagalan aset yang dapat dinilai (sistem dan data), dan penundaan
proses pengam bilan keputusan.
4. Respon Risiko
Untuk melakukan respon terhadap risiko adalah dengan menerapkan kontrol
objektif yang sesuai dalam melakukan manajemen risiko. Jika sisa resiko masih
melebihi risiko yang dapat diterima (acceptable risks), maka diperlukan respon risiko
tambahan. Proses-proses pada framework CobIT (dari 34 Control Objectives) yang
sesuai unt uk manajemen resiko adalah :
- PO1 (Define a Stretegic IT Plan) dan PO9
- (Assess and Manage Risks)
- AI6 (Manages Change)
- DS5 (Ensure System and Security) dan DS11
- (Manage Data)
- ME1 (Monitor and Evaluate IT Performance)
5. Monitor Resiko
Setiap langkah dimonitor unt uk menjamin bahwa risiko dan respon berjalan
sepanjang waktu dan sesuai dengan yang di harapkan.
66
2.6.4 COSO (Committee of Sponsoring Organisations of the Treadway Commission)
Framework .
COSO merupakan komite yang diorganisir oleh lima organisasi profesi, yaitu :
IIA, AICPA, IMA, FEI, dan AAA. Internal Control – Integrated Framework yang
disusun oleh COSO diterbitkan pertama kali pada tahun 1992. COSO memandang
pengendalian internal merupakan rangkaian tindakan yang menembus seluruh
organisasi. COSO juga membuat jelas bahwa pengendalian internal berada dalam proses
manajemen dasar, yaitu: perencanaan, pelaksanaan, dan monitoring. Pengendalian
bukanlah sesuatu yang ditambahkan ke dalam proses manajemen tersebut, akan tetapi
merupakan bagian integral ( yang tak terpisahkan ) dalam proses tersebut.
Framework COSO adalah salah sat u model pengendalian internal yang banyak
digunakan oleh para auditor sebagai dasar untuk mengevaluasi, mengembangkan
internal control. Internal Control menurut COSO merupakan suatu proses yang
melibatkan seluruh anggota organisasi, dan memiliki tiga tujuan utama, yaitu :
memberikan efektivitas dan efesiensi operasi, mendorong kehandalan informasi, dan
dipatuhinya hukum dan peraturan yang ada. Artinya dengan adanya sistem pengendalain
internal, maka diharapkan perusahaan dapat bekerja atau beroperasi secara efektif dan
efisiensi, penyajian informasi dapat diyakini kebenarannya dan semua pihak akan
mematuhi semua perat uran dan kebijakan yang ada baik peraturan dan kebijakan
perusahaan ataupun aturan pemerintah. Dengan dipat uhinya peraturan dan kebijakan
maka resiko dapat dihindari.
67
MODEL
NIST
OCTAVE
CobIT
COSO
Identifikasi Risiko
Proses penilaian risiko
Identifikasi risiko Penetapan objektif, identifikasi risiko
Identifikasi risiko
Analisa Risiko
Proses penilaian risiko
Proses penilaian risiko
Penilaian risiko Penilaian risiko
Respon Risiko
Proses penilaian risiko
Proses penilaian risiko
Respon risiko Penilaian risiko
Ev aluasi Risiko
Evaluasi risiko Monitor risiko, pengendalian
Monitor risiko Monitor risiko
Tabel 2.1 Perbandingan Metode Pengukuran Risiko Teknologi Informasi