LANDASAN TEORI
2.1
Sistem informasi
Menurut Gelinas, Dull, Wheeler (2012: 14) Information System is a man made
system that generally consist of an integrated set of computer based components and
manual components established to collect, store, and manage data, and to provide output
information to users.
Sistem informasi merupakan sistem buatan manusia yang secara umum terdiri
dari sekumpulan komponen berbasis komputer yang terintegrasi dan komponen manual
yang ditetapkan
Informasi
Menurut Sawyer dan Williams (2007, p25), informasi adalah data yang telah
dirangkum atau dimanipulasi dalam bentuk lain untuk tujuan pengambilan keputusan.
Misalnya, jumlah suara untuk sebuah kandidat yang dipakai dalam penentuan pemenang
pemilu.
Menurut (Mardi, 2011, p. 4), informasi adalah hasil proses atau hasil
pengolahan data, meliputi hasil gabungan, analisis, penyimpulan dan pengolahan sistem
informasi komputerisasi.
2.1.2
Sistem
Menurut (Diana & Setiawati, 2011, p. 3), sistem merupakan serangkaian bagian
yang saling tergantung dan bekerja sama untuk mencapai tujuan tertentu.
Menurut (Puspitawati & Anggadini, 2011, p. 2), sesuatu dapat dikatakan sistem
apabila memenuhi 2 syarat, yaitu :
1.
2.
2.1.3
Analisa Sistem
Menurut Satzinger, Jackson, Burd (2009: 4) System Analysis is the process of
understanding and specifying in detail what the information system should accomplish.
Analisa sistem adalah proses pemahaman dan menetapkan apa yang seharusnya
dicapai oleh sistem secara detail.
Menurut Shelly, Rosenblatt (2012: 142) analisa sistem terdiri dari 4 aktivitas
utama :
1) Requirements Modeling
Aktivitas yang dilakukan disini meliputi pencarian fakta-fakta yang
menggambarkan sistem berjalan dan mengidentifikasi kebutuhan-kebutuhan
untuk pembuatan sistem baru seperti input, output, proses, kinerja, dan
keamanan sistem.
aktivitas
ini
dilakukan
pembuatan
model
proses
yang
Perancangan Sistem
Menurut Satzinger, Jackson, Burd (2009: 4) System Design is the process of
specifying in detail how the many components of the information system should be
physically implemented.
Perancangan sistem adalah proses penetapan secara detail bagaimana komponenkomponen sistem informasi yang banyak itu seharusnya diimplementasikan secara fisik.
Menurut Shelly, Rosenblatt (2012: 333) ada 3 aktivitas utama dalam perancangan
sistem :
1) User Interface Design
Pada
aktivitas
ini
dilakukan
perancangan
tampilan
sistem
yang
diorganisir,
disimpan, dan diatur yang akan memberikan dampak pada kualitas dan
konsistensi data.
3) System Architecture
Pada aktivitas ini dilakukan penetapan semua arsitektur sistem yang
mentranslasikan desain logis dari sebuah sistem informasi ke struktur fisik
(hardware,
software,
jaringan
pendukung,
metode
pemrosesan,
dan
2.2
InformationTechnology(IT)
Menurut (Kailani, 2011, p. 23), teknologi informasi adalah hasil rekayasa manusia
terhadap proses penyampaian informasi dari pengirim ke penerima sehingga pengiriman
informasi tersebut akan lebih cepat, lebih luas sebarannya, dan lebih lama
penyimpanannya.
2.2.1
Software
Menurut Wiliams dan Sawyer (2005,p12), perangkat lunak (software) adalah
instruksi tahapan demi tahapan yang diberikan kode secara elektronikal yang
memberitahu perangkat keras komputer untuk menampilkan tugas. Secara umum
software dibagi menjadi 2tipe, yaitu sistem software dan application software.Sistem
software membantu komputer untuk menjalankan tugas-tugas operasi yang penting dan
mengijinkan software aplikasi untuk dijalankan, Contohnya yaitu Windows XP, Linux.
Sedangkan application software memberikan pengguna untuk dapat mejalankan hal
spesifik memecahkan masalah atau menampilkan pekerjaan, contohnya yaitu Adobe
Photoshop, Microsoft Word, dll.
Sedangkan menurut (Syafrizal, 2007, p. 22) mendefinisikan perangkat lunak
sebagai berikut :Berfungsi
intruksi yang mengarah pada sistem komputer. Perangkat lunak menjembatani interaksi
user dengan komputer yang hanya memahami bahasa mesin.
2.2.2
Jaringan Komputer
Menurut (Sofana, 2008, p. 3), jaringan komputer (computer networks) adalah suatu
himpunan interkoneksi sejumlah komputer autonomous. Dalam bahasa yang popular
dapat dijelaskan bahwa jaringan komputer adalah kumpulan beberapa komputer (dan
perangkat lain seperti printer, hub, dan sebagainya) yang saling terhubung satu sama lain
melalui media perantara. Media perantara ini bisa berupa media kabel ataupun media
tanpa kabel (nirkabel). Informasi berupa data akan mengalir dari suatu komputer ke
komputer lainnya atau dari satu komputer ke perangkat lain, sehingga masing-masing
komputer yang terhubung tersebut bisa saling bertukar data atau sebagai perangkat keras.
Tujuan dari jaringan komputer adalah:
A. Membagi sumber daya: contohnya berbagi pemakaian printer,CPU,hardisk.
B. Komunikasi: contohnya e-mail, instant messenger, chatting.
C. Akses informasi: contohnya web browsing.
Agar dapat mencapai tujuan yang sama, setiap bagian dari jaringan komputer
meminta dan memberikan layanan (service). Pihak yang meminta / menerima layanan
disebut klien (client) dan yang memberikan / mengirim layanan disebut pelayan (server).
Arsitektur ini disebut dengan sistem client server, dan digunakan pada hampir seluruh
aplikasi jaringan komputer.
c. Wide Area Network (WAN): jaraknya antar kota, negara, dan benua. Ini sama
dengan internet.
B. Menurut(Sofana, 2010, p. 110), berdasarkan pola pengoprasiannya dan fungsi
:
a. Topologi Bus
backbonedan semua
host
Risiko
Risiko akan selalu ditemukan dalam kehidupan dimana apabila dikelola
dengan baik dapat menjadi sebuah kesempatan (opportunity) dan sebaliknya,
apabila manajemennya buruk maka akan menjadi sebuah ancaman (threat).
Definisi risiko menurut ISO (ISO Guide 73:2009, p.9) adalah suatu efek dari
ketidakpastian dalam pencapaian suatu tujuan. Dan mereka juga menambahkan
bahwa efek tersebut bisa bersifat negatif maupun positif.
2.3.2
Manajemen Risiko
Menurut William Hotopf (2009, p.4) mendefinisikan manajemen risiko
sebagai
manajemen
keterjadian dan dampak yang dapat terjadi apabila risiko penting tidak
dikendalikan atau dimitigasi. Dari dua definisi manajemen risiko diatas maka
dapat ditarik kesimpulan bahwa manajemen risiko untuk setiap bidang bisnis
akan berbeda dan
karena
manajemen
risiko akan
semakin
seiring dengan
pertumbuhan
perusahaaan.
2.3.3
JenisJenis Risiko
Menurut (Gondodiyoto, 2009, pp. 110-111)dari berbagai sudut pandang,
risiko dapat dibedakan dalam beberapa jenis :
a. Risiko Bisnis (Business Risks)
Risiko bisnis adalah risiko yang dapat disebabkan oleh factorfaktor
internmaupun
ekstern yang
berakibat
kemungkinan
tidak
2.4.2
Ancaman
Menurut Peltier (2001, p21), ancaman adalah sebuah kejadian dengan
potensi yang menyebabkan akses yang tidak terotorisasi, modifikasi, perusakan
dari sumber daya informasi, aplikasi atau sistem.
2.4.3
2.
3.
secara
5.
berinteraksi
dengan
merupakan
kebanyakan organisasi
6.
7.
2.4.4
2.
3.
4.
2.4.5
Gambar 2.1
Managing Application
Development and
Technology
Managing the IT
organization and
Infrastructure
Menurut OBrien (2006, p. 478) Teknologi informasi merupakan sumber daya bisnis
penting yang harus dikelola dengan benar. Obrien dan George (2006, p478), mengemukakan
sebuah pendekatan yang terkenal untuk mengelola teknologi informasi dalam perusahaan
besar. Pendekatan untuk menggunakan TI agar dapat mendukung prioritas strategi bisnis
dalam perusahaan. Proses perencanaan bisnis/TI sesuai dengan tujuan strategi bisnis TI.
Proses tersebut juga meliputi evaluasi proses bisnis/TI yang diajukan. Mengelola
pengembangan dan implementasi aplikasi dan teknologi bisnis/TI baru (Managing the
penggunaan
2.5
2.5.1 OCTAVE
Identifikasi
Identifikasi merupakan proses transformasi ketidakpastian dan isu
tentang seberapa baik aset organisasi dilindungi dari risiko. Tugas yang
harus dilakukan adalah identifikasi profil risiko (aset kritis, ancaman
terhadap aset, kebutuhan keamanan untuk aset kritis, deskripsi tentang
dampak risiko pada organisasi, dan komponen infrastruktur utama yang
berhubungan dengan aset kritis) dan identifikasi informasi organisasi 3
(kebijakan, praktek dan prosedur keamanan, kelemahan teknologi dan
kelemahan organisasi saat ini ).
2.
Analisa
Analisa merupakan proses untuk memproyeksikan bagaimana
risiko-risiko ekstensif dan bagaimana menggunakan proyeksi tersebut
untuk membuat skala prioritas. Tugas dalam proses analisa adalah
melakukan evaluasi risiko (Nilai-nilai untuk mengukur risiko, dampak dan
peluang) dan skala prioritas risiko (pendekatan pengurangan risiko,
menerima atau mengurangi risiko).
3.
Perencanaan
Perencanaan merupakan proses untuk menentukan aksi-aksi yang
akan diambil untuk meningkatkan postur dan perlindungan keamanan aset
kritis tersebut. Langkah dalam perencanaan
adalah mengembangkan
Implementasi
Implementasi merupakan proses untuk melaksanakan aksi yang
direncanakan untuk meningkatkan keamanan sistem berdasarkan jadwal
dan kriteria sukses yang didefinisikan selama perencanaan risiko.
Implementasi menghubungkan antara perencanaan dengan monitor dan
kontrol.
5.
Monitor
6.
Kontrol
Mengontrol risiko adalah proses yang
eksekusi
keputusan
(mengkomunikasikan
keputusan,
Menurut Alberts et al. (2005, p5), OCTAVE-S berdasar pada 3 tahap yang
dideskripsikan dalam kriteria OCTAVE, meskipun nomor dan urutan kegiatan
berbeda dari metode OCTAVE yang digunakan. Bagian ini memberikan tinjauan
singkat atas tahapan, proses, dan kegiatan OCTAVE-S. Tahap satu adalah sebuah
evaluasi dari aspek organisasi. Selama dalam tahap ini, tim analisis
menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya untuk
mengevaluasi risiko. Hal ini juga mengindentifikasi aset-aset organisasi saat ini.
Dimana pada tahap ini terdiri atas 2 proses, yaitu identifikasi informasi organisasi
dan membuat profil ancaman serta memiliki enam aktivitas.
Tahap kedua yaitu tim analisis melakukan peninjuan ulang level tinggi
dari perhitungan infrastruktur organisasi, yang berfokus pada keamanan yang di
pertimbangkan pemelihara dari infrast ruktur. Tahap ini memiliki satu proses
yaitu memeriksa perhitungan infrastruktur dalam kaitannya dengan aset yang
kritis dimana terdapat aktivitas. Selama tahap ketiga, tim analisis mengidentifikasi
risiko dari aset kritis organisasi dan memutuskan apa yang harus dilakukan
mengenainya. Berdasarkan analisis dari kumpulan informasi, tim membuat
strategi perlindungan untuk organisai dan rencana mitigasi risiko yang ditujukan
pada aset kritis. Tahap ini terdiri atas 2 proses, 3 yaitu identifikasi dan analisis
risiko serta mengembangkan strategi perlindungan dan rencana mitigasi, di mana
proses ini memiliki delapan aktivitas.
2.5.2.2 Proses OCTAVE-S
Proses-proses metode OCTAVE-S, yaitu:
1. Fase I (Organizational View)
Asset-Based Threat
risiko
ada
di
manajer
senior
mendeskripsikan
skenario
bagaimana asset-aset
diperoleh pada
berbagai
macam
mencari system of interest untuk setiap aset kritis, yaitu sistem yang
paling dekat hubungannya dengan aset kritis. Aktifitas yang dilakukan
terdiri dari:
1. Mengidentifikasi klasifikasi utama pada setiap komponen dari
sebuah systems of interest diident ifikasikan untuk set iap
aset . Topologi atau pemetaan jaringan jenis lain digunakan
untuk meninjau di mana aset kritis berada dan bagaimana
diakses. Klasifikasi komponen utama dipilih berdasarkan
bagaimana aset diakses dan digunakan.
2.
jangka panjang,
memodif ikasi
rangkuman
jika
organisasi
untuk
setiap
kemungkinan
ancaman
yang
Asset Profile
Workbook.
B. Fase III proses VIII (Develop Protection Strategy)
Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan
strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk
risiko terhadap aset kritis. Proses ini melibatkan dua lokakarya. Pada
praktek,
informasi
risiko,
dan
kebutuhan
2.
3.
4.
Untuk mempersiapkan proses OCTAVE-S, ada beberapa hal yang menjadi dasar
untuk keberhasilan evaluasi, yaitu:
1.
untuk
mengevaluasi
kerawanan
(vulnerability);
teknologi
pengetahuan
topologi
informasi
yang
ada
diperusahaan
dan
4.
5.
1.2
1.3
2.1
Langkah 9 : Mencatat aset yang terkait dengan setiap aset kritis pada kertas kerja
informasi aset kritis. Pada kertas kerja identifikasi aset menentukan
aset yang berhubungan dengan aset kritis.
2.2
3.2
Langkah 19a : Tentukan kelas komponen yang terkait dengan satu atau lebih aset
kritis dan yang dapat memberikan akses ke aset tersebut.
Langkah 19b : Untuk setiap kelas komponen didokumentasikan dalam Langkah
19a, perhatikan aset kritis mana yang terkait dengan kelas
tersebut.
Langkah 20 : Untuk setiap kelas komponen didokumentasikan dalam Langkah
19a, perhatikan orang atau kelompok yang bertanggung jawab
untuk memelihara dan melindungi kelas komponen.
Langkah 21 : Untuk setiap kelas komponen didokumentasikan dalam Langkah
19a, perhatikan sejauh mana kelas tersebut dapat bertahan
terhadap serangan jaringan. Juga catat bagaimana kesimpulan
tersebut diperoleh. Akhirnya dokumen konteks tambahan yang
berhubungan dengan analisis infrastruktur.
4.2
4.3
5.1
Untuk
setiap
wilayah
praktek
strategi
keamanan,
5.3
5.4
identifikasi risiko (sumber risiko, kejadian risiko, dampak risiko), analisa risiko (tingkat
kecenderungan dan besarnya dampak risiko), respon risiko (hilangkan risiko, kurangi
risiko, cegah risiko atau transfer risiko) dan evaluasi risiko (adakah sisa risiko atau risiko
baru) (Tabel 2.2). Model framework manajemen risiko yang sederhana ini dapat
membantu perusahaan TI di negara-negara berkembang untuk dapat mengenal risiko TI
di perusahaannya, menganalisa risiko, dan memilih respon terhadap risiko yang
teridentifikasi tersebut.
elicitation
keamanan, ancaman, dan praktik keamanan. Asumsinya adalah bahwa tim analisis telah
mengetahui informasi ini.
2.
keseluruhan tidak memiliki kemampuan untuk menjalankan atau menafsirkan hasil alat
kerentanan. OCTAVE-S dikembangkan dan dikemudikan dengan organisasi-organisasi
kecil mulai 20-80 orang.Pengendali organisasi bersama. Pertama, struktur organisasi
mereka yang relatif datar, dan orang-orang dari berbagai tingkat organisasi yang terbiasa
bekerja dengan satu sama lain. Kedua, orang-orang sering diharuskan untuk multitask,
memperlihatkan anggota staf dengan proses dan prosedur yang digunakan di seluruh
perusahaan. Menurut Christopher Alberts (2003, P 5 - 6), OCTAVE-s didasarkan tahapan
yang dijelaskan dalam kriteria OCTAVE. Meskipun jumlah dan urutan kegiatan yang
berbeda dari yang digunakan dalam Metode OCTAVE. Bagian ini memberikan gambaran
singkat mengenai tahapan, proses, dan aktivitas OCTAVE S :
1. Fase 1 : Pembangunan Aset Berdasarkan Profil ancaman
Fase 1 merupakan evaluasi terhadap aspek organisasi. Selama fase ini, tim analisis
mendefinisikan dampak kriteria evaluasi yang akan digunakan kemudian untuk
mengevaluasi risiko. Ini juga mengidentifikasi aset organisasi yang penting dan
mengevaluasi praktik keamanan terkini didalam organisasi. Tim menyelesaikan semua
tugas dengan sendirinya, mengumpulkan informasi tambahan hanya jika diperlukan. 4
Kemudian memilih 3-5 aset penting untuk menganalisis secara mendalam berdasarkan
relatif penting bagi organisasi. Akhirnya, tim mendefinisikan persyaratan keamanan dan
mendefinisikan profil ancaman untuk setiap aset kritis. Tabel 2.5 menggambarkan proses
dan kegiatan Fase 1.
Phase
Process
Activity
OrganizaTional
Impact
Information
Criteria
S1.2
Establish
Evaluation
Identify
Organizational
Process
Security Practices
S2:Create S2.1 Select Critical
Threat Profile
Assets
S2.2
Identify
Security
Requirements
for
Critical Assets
S3.2
Analyze
Technology Related
Processes
Tabel 2.3 Proses dan Aktivitas dari Fase 1
(Sumber : Albert Christopher, OCTAVE -s Implemention Guide, Version
1.0,Volume 1 : Introduction to Octave-s)
2. Fase 2 : Mengidentifikasi Kerentanan Infrastruktur
Selama fase ini, tim analisis melakukan review tingkat tinggi pada infrastruktur
organisasi yang terkomputerisasi, dengan fokus pada sejauh mana keamanan dianggap
oleh pengelola infrastruktur. Tim analisis pertama menganalisa bagaimana orang
menggunakan infrastruktur komputeriasi untuk mengakses aset kritis, menghasilkan
kelas-kelas utama dari komponen komponenseperti siapa yang bertanggung jawab untuk
mengkonfigurasi dan memelihara
sejauh mana masing-masing pihak bertanggung jawab atas keamanan yang terdapat
dalam teknologi informasi praktik dan proses. Proses dan kegiatan fase 2 diperlihatkan
dalam Tabel 2.6
Phase
Phase
2:
Identify Process
Infrastructure
Computing
Paths
S3.2
Vulnerabilities
Infrastructure
Technology
Relation
to
Analiyze
in
Related
Critical
Processes
Assets
Tabel 2.4 Proses dan Aktivitas dari Fase 2
(Sumber : Albert Christopher, OCTAVE-s Implemention Guide, Version 1.0,Volumme 1 :
Introduction to Octave-s)
informasi yang dikumpulkan, tim membuat strategi perlindungan bagi organisasi dan
rencana mitigasi untuk mengatasi risiko terhadap aset kritis. Lembar kerja OCTAVE-s
yang digunakan selama Tahap 3 ini sangat terstruktur dan terkait erat dengan praktek
Phase
Process
Activity
Phase 3:Develop Security Process S4 : Identify and S4.1 Evaluate Impacts of
Strategy and plans
analyze risks
Threats
S4.2Establish Probabilities
Evaluation criteria
S4.3
Establish
Process
Probabilities of Threath
S5:Develop S5.1 Describe Current
Select
Mitigation
Approaches
S5.3Develop
Risk
Mitigation Plans
S5.4 Identify changes to
Protection Strategy
S5.5 Identify Next Steps
Tabel 2.5 Proses dan Aktivitas dari Fase 3
(Sumber : Albert Christopher, OCTAVE-s Implemention Guide, Version 1.0,
Volumme 1 : Introduction to Octave-s)