(1406661453)
(1406661485)
Feri Firmansyah
(1406661560)
Sasmito Handoko
(1406661756)
Zaenal Arifin
(1406661876)
PENDAHULUAN
1.1 Latar Belakang
Perkembangan Teknologi Informasi (TI) dewasa ini selain membawa manfaat
bagi penggunanya, juga menghadirkan ancaman terutama terhadap aspek
keamanan dari pemanfaatan TI. Salah satu ancaman yang berkembang dengan
sangat pesat di antaranya adalah malware. Data yang dirilis oleh Symantec dalam
laporan Internet Security Threat Report 2015 menyatakan bahwa sepanjang tahun
2014 terdapat 317 juta malware baru yang muncul. Dari data tersebut, maka
diperkirakan hampir sekitar 1 juta malware baru muncul setiap harinya. Jumlah
tersebut meningkat dibandingkan dengan tahun 2013, di mana tercatat 252 juta
malware baru ditemukan (Symantec, 2015).
Data survei Price Waterhouse Cooper (PWC) pada tahun 2015 menunjukkan
3 dampak dengan prosentase paling besar yang dirasakan oleh organisasi adalah
terkait kebocoran dan kehilangan data.
1.2 Permasalahan
Terkait dengan information security, tantangan terbesar dari implementasi
information security adalah bagaimana dapat mengetahui nilai manfaat (value)
dari information security. Untuk dapat menjawab tantangan tersebut pendekatan
yang dapat dilakukan adalah dengan melihat korelasi antara nilai investasi di
bidang security dengan tingkat kerugian (losses) yang dialami oleh organisasi.
Selanjutnya perubahan tingkat kerugian tersebut akan dapat merepresentasikan
nilai dari information security.
PEMBAHASAN
2.1 Investasi di Bidang Information Security
Peningkatan biaya investasi di bidang information security
Dalam menghadapi ancaman yang semakin beragam dan meningkat terhadap
keamanan informasi (information security), dibutuhkan pula sejumlah kontrol
yang harus dilakukan untuk menjaga keamanan informasi. Hal tersebut
mengakibatkan biaya yang dikeluarkan untuk kontrol dari resiko keamanan
menjadi semakin bertambah. Berdasarkan data yang diperoleh dari PWC dalam
The Global State of Information Security Survey, menunjukkan bahwa pada tahun
2015 terjadi peningkatan biaya investasi dalam nilai investasi di bidang
information security sebesar 24%.
(2011) SLE merupakan total kerugian finansial akibat suatu insiden yang
mencakup nilai hardware, software, dan data. Dengan kata lain SLE bisa dianggap
sebagai nilai dari suatu aset ketika keamanan aset tersebut terganggu. Dalam
implementasinya pengukuran nilai dari suatu aset tidak hanya melihat dari nilai
eksplisit aset tersebut melainkan juga harus menghitung dampak bisnis jika aset
tersebut hilang atau terganggu keamanannya. Misalnya ketika komputer yang
berisi data penting perusahaan hilang, maka yang dihitung tidak hanya nilai/harga
dari komputer tersebut melainkan nilai dari informasi yang terdapat dalam
komputer tersebut termasuk dampaknya bagi bisnis ketika informasi tersebut
hilang.
Annual Rate of Occurrence (ARO)
Menurut Enisa (2012), Annual Rate of Occurrence (ARO) merupakan
kemungkinan dari resiko yang terjadi dalam satu tahun. Sedangkan menurut
Gibson (2011), ARO merupakan jumlah seberapa kali kerugian dari suatu
ancaman diharapkan terjadi dalam setahun.
Annual Loss Expectancy (ALE)
Menurut Enisa (2012), Annual Loss Expectancy (ALE) merupakan kerugian
secara finansial tahunan yang dapat diharapkan dari risiko tertentu pada aset
tertentu. Sedangkan menurut Gibson (2011), ALE didefinisikan sebagai total
kerugian yang diperkirakan dari risiko yang diberikan selama satu tahun. ALE
bisa dihitung melalui perkalian dari SLE dengan ARO.
Perhitungan ROSI
Berikut ini perhitungan dari Return of Security Investment berdasarkan Enisa
(2012):
Di mana monetary loss reduction didefinisikan sebagai selisih dari ALE tanpa
mengimplementasikan security solution, dengan modified ALE (mALE) dengan
mengimplementasikan security solution. Sedangkan Cost of Solution merupakan
total biaya yang dikeluarkan sebagai kontrol atau solusi dari resiko. Dengan
demikian perhitungannya menjadi sebagai berikut:
Effect to Organisation
Information Security
Confiden
tiality
Integrity
Availabil
ity
Motive
Opportu
nity
Capabili
ty
IT Sabotage
Low
Medium
High
High
Medium
Medium
Fraud
Low
High
Low
High
High
Medium
High
Low
Low
High
High
Medium
High
High
High
High
Low
Low
Unintentional
Medium
Medium
Medium
No
Low
Low
Cloud
Computing
Medium
Low
Low
High
High
Low
High
High
High
High
High
High
Theft
Intellectual
Property
Social
Engineering
National
Security
of
kekayaan
intelektual
"lunak"
(misalnya,
proses,
merupakan upaya
peningkatan kontrol atas ancaman yang ada. Penentuan besarnya investasi pada
keamanan TI bergantung kepada seberapa besar nilai aset informasi yang harus
dilindungi. Nilai aset tersebut bervariasi berdasarkan besarnya organisasi dan jenis
industri. Organisasi harus terlebih dahulu mengetahui berapa nilai aset informasi
yang mereka miliki, kemudian menentukan banyaknya tindakan kontrol yang
diambil.
Penambahan
anggaran
investasi
keamanan
TI
diharapkan
dapat
kerugian yang terjadi apabila investasi belum dilakukan dan kerugian yang terjadi
setelah investasi dilakukan. Value dari keamanan TI adalah besarnya nilai risiko
yang dapat dikendalikan.
KESIMPULAN
Dari uraian di atas, dapat ditarik beberapa kesimpulan terkait permasalahan
investasi dalam bidang IT security yang menjadi inti dari pembahasan, yaitu
sebagai berikut:
Semakin meningkatnya ancaman cyber security serta kehilangan informasi
organisasi yang penting, membuat organisasi menjadi semakin peduli akan
pentingnya investasi di bidang IT Security.
Investasi di bidang IT Security merupakan bentuk kontrol pencegahan threat
untuk mempertahankan loss pada level yang dapat diterima.
Value dari keamanan TI (IT Security) dapat dihitung berdasarkan selisih
antara kerugian yang terjadi apabila investasi TI belum dilakukan dan
kerugian yang terjadi setelah investasi dilakukan. Value dari IT Security
adalah besarnya nilai risiko yang dapat dikendalikan.
Investasi di bidang IT Security, tidak akan berdampak luas dan signifikan jika
tidak mendapat dukungan dan komitmen yang kuat dari pihak manajemen
organisasi.
Kebijakan serta pelaksanaan IT Security harus selaras dengan proses bisnis
organisasi, berkolaborasi dengan tujuan bisnis serta berfungsi melindungi aset
utama organisasi.
DAFTAR PUSTAKA
Elmrabit, N., Yang, S., & Yang, L. (2015). Insider Threats in Information
Security Categories and Approaches. IEEE, 6.
Gibson, D. (2011). Managing Risk in Information Systems. Sudbury: Jones &
Bartlett Learning, LLC.
PWC. (2015). PWC Corporation. Retrieved from PWC Corporate Web site:
http://www.pwc.com/gx/en/issues/cyber-security/information-securitysurvey/data-explorer.html
Symantec. (2015). Symantec Corporation. Retrieved from Symantec
Corporate
web
site:
http://symantec.postclickmarketing.com/ISTR20?cid=70150000000dkPwAAI
Enisa. (2012). Introduction to Return on Security Investment. European
Network and Information Security Agency.
Gibson, Darill. (2011), Managing Risk in Information Systems, Jones &
Bartlett Learning