UNIVERSITAS INDONESIA

TUGAS MANAJEMEN INVESTASI TEKNOLOGI INFORMASI

Term Paper

IT Security Management : Korelasi Antara Nilai Investasi

dan Kerugian Finansial

KELAS 2014F - Kelompok 5

Anggota Kelompok:
Bagas Ryant Setiawan

(1406661453)

Danuk Cahya Permana

(1406661485)

Feri Firmansyah

(1406661560)

Sasmito Handoko

(1406661756)

Zaenal Arifin

(1406661876)

FAKULTAS ILMU KOMPUTER

MAGISTER TEKNOLOGI INFORMASI
UNIVERSITAS INDONESIA
2016

PENDAHULUAN
1.1 Latar Belakang
Perkembangan Teknologi Informasi (TI) dewasa ini selain membawa manfaat
bagi penggunanya, juga menghadirkan ancaman terutama terhadap aspek
keamanan dari pemanfaatan TI. Salah satu ancaman yang berkembang dengan
sangat pesat di antaranya adalah malware. Data yang dirilis oleh Symantec dalam
laporan Internet Security Threat Report 2015 menyatakan bahwa sepanjang tahun
2014 terdapat 317 juta malware baru yang muncul. Dari data tersebut, maka
diperkirakan hampir sekitar 1 juta malware baru muncul setiap harinya. Jumlah
tersebut meningkat dibandingkan dengan tahun 2013, di mana tercatat 252 juta
malware baru ditemukan (Symantec, 2015).
Data survei Price Waterhouse Cooper (PWC) pada tahun 2015 menunjukkan
3 dampak dengan prosentase paling besar yang dirasakan oleh organisasi adalah
terkait kebocoran dan kehilangan data.

Gambar 1 Dampak Security Incidents pada Organisasi (PWC, 2015)

Dalam dunia yang memiliki tingkat ketergantungan terhadap TI yang semakin

meningkat, ancaman terhadap keamanan data merupakan suatu hal yang serius
dan perlu mendapat perhatian ekstra. Selain itu, beberapa regulasi yang ada juga
secara jelas mensyaratkan adanya perlindungan terhadap kerahasiaan data dan
informasi, contohnya:
Health Insurance Portability and Accountability Act (HISPAA), pada tahun
1996 yang mensyaratkan perlindungan data kesehatan dari pasien.
Sarbanes-Oxley Act (SOX) pada tahun 2002 yang terkait dengan akurasi data,
secara tegas memberikan konsekuensi denda dan/ atau kurungan bagi
organisasi yang gagal memenuhi persyaratan akurasi data.
Di Indonesia walaupun tidak secara eksplisit menyatakan persyaratan
perlindungan data, pada bagian penjelasan UU nomor 11 tahun 2008 tentang
informasi dan transaksi elektronik disebutkan bahwa perlunya perhatian terhadap
sisi keamanan dan kepastian hukum dalam pemanfaatan teknologi informasi, dan
penekanan pada pendekatan hukum untuk mengatasi gangguan keamanan dalam
penyelenggaraan sistem elektronik. Selain aspek compliance terhadap regulasi,
aspek potential loss juga harus menjadi perhatian bagi organisasi pengguna TI.
Kehilangan data-data penting tentunya dapat menjadi suatu kerugian bagi
organisasi tersebut, dilihat dari nilai data yang hilang maupun terhadap biaya
untuk mendapatkan data tersebut kembali.
Meskipun banyaknya ancaman terhadap keamanan teknologi informasi dan
adanya kebutuhan untuk melindungi sistem TI dari ancaman tersebut telah
diketahui, namun banyak organisasi masih ragu untuk mengimplementasikan
security management di dalam organisasinya. Salah satu alasannya adalah security
management secara kasat mata merupakan salah satu komponen biaya yang harus
ditanggung oleh perusahaan. How do we demonstrate that information security
has value merupakan tantangan yang harus dijawab oleh para praktisi TI agar
dapat meyakinkan senior management untuk mengimplementasikan fitur
keamanan informasi di dalam organisasinya.

1.2 Permasalahan
Terkait dengan information security, tantangan terbesar dari implementasi
information security adalah bagaimana dapat mengetahui nilai manfaat (value)
dari information security. Untuk dapat menjawab tantangan tersebut pendekatan
yang dapat dilakukan adalah dengan melihat korelasi antara nilai investasi di
bidang security dengan tingkat kerugian (losses) yang dialami oleh organisasi.
Selanjutnya perubahan tingkat kerugian tersebut akan dapat merepresentasikan
nilai dari information security.

PEMBAHASAN
2.1 Investasi di Bidang Information Security
Peningkatan biaya investasi di bidang information security
Dalam menghadapi ancaman yang semakin beragam dan meningkat terhadap
keamanan informasi (information security), dibutuhkan pula sejumlah kontrol
yang harus dilakukan untuk menjaga keamanan informasi. Hal tersebut
mengakibatkan biaya yang dikeluarkan untuk kontrol dari resiko keamanan
menjadi semakin bertambah. Berdasarkan data yang diperoleh dari PWC dalam
The Global State of Information Security Survey, menunjukkan bahwa pada tahun
2015 terjadi peningkatan biaya investasi dalam nilai investasi di bidang
information security sebesar 24%.

Gambar 2. Peningkatan biaya investasi di bidang Information Security

Dari survei tersebut juga didapatkan bahwa jenis kontrol yang diterapkan
perusahaan dalam melindungi kemanan informasi yang ditunjukan pada gambar 3.
Jenis kontrol tersebut meliputi pemberian training dan awareness program;
pembuatan security baseline/ standar untuk pihak ketiga; memiliki CISO/CSO

untuk menangani keamanan informasi; melakukan threat assessment, dan

sebagainya. Kendati demikian, jika dilihat dari prosentasinya yang masih dibawah
60 % menunjukan bahwa tidak semua organisasi menerapkan kontrol tersebut.
Penambahan biaya investasi juga disebabkan oleh adanya inisiatif strategis yang
dilakukan organisasi untuk meningkatkan keamanan dan untuk mengurangi
resiko, yaitu meliputi inisiatif Cloud Based Cyber Security, big data analytic,
cyber security insurance, risk based security framework dan formally collaborate
with others.

Gambar 3. Prosentasi kontrol yang dilakukan untuk mengamankan informasi

Adapun nominal dari biaya investasi dari sejumlah industri seperti industri
Financial Service, Government Service dan Telecommunication dibandingkan dari
semua industri dapat dilihat di gambar 4. Dari gambar 4 tersebut didapatkan
bahwa biaya investasi lebih $10 juta dikeluarkan lebih banyak pada industri
telekomunikasi dan finansial.

Gambar 4. Nilai investasi dalam bidang information security beberapa industri

 Perhitungan investasi dalam bidang Information security dan faktor

yang mempengaruhi besarnya investasi?
Pengukuran nominal biaya atau investasi yang efektif dalam menerapkan
information security terkadang menjadi kesulitan tersendiri bagi organisasi. Hal
ini disebabkan karena investasi dalam bidang security bukan merupakan investasi
yang memberikan keuntungan secara langsung, melainkan lebih menitikberatkan
pada pencegahan kerugian (loss prevention). Dengan kata lain, investasi dalam
bidang security tidak terlalu mengharapkan manfaat bagi perusahaan dalam hal
peningkatan pendapatan dan keuntungan secara langsung, melainkan dalam hal
pengurangan resiko dan dampaknya yang mengancam aset penting perusahaan.
Oleh karena itu, pendekatan keuangan klasik melalui perhitungan ROI (Return of
Investment) tidak terlalu tepat untuk mengukur inisiatif yang berhubungan dengan
security. Untuk mengukur manfaat dari investasi dalam bidang security, dapat
menggunakan pengukuran kuatitatif melalui perhitungan Return on Security
Investment (ROSI). Perhitungan ini menitikberatkan kepada manfaat dari investasi
di bidang security berdasarkan seberapa banyak kerugian/ kehilangan yang dapat
dihindari. Menurut Enisa (2012), ROSI dapat memberikan jawaban secara
kuantitatif mengenai seberapa besar biaya yang harus dikeluarkan oleh organisasi
untuk investasi dalam security.
Return of Security Investment (ROSI)
Berdasarkan Enisa (2012) untuk menilai investasi dalam bidang security
diperlukan evaluasi terhadap seberapa besar potensi kerugian yang bisa dilindungi
dengan investasi tersebut. Oleh karena itu, nilai investasi tersebut harus
dibandingkan dengan nilai pengurangan resiko. Nilai pengurangan resiko dapat
diukur melalui quantitative risk assessment yang melibatkan beberapa faktor
berikut:
Single Lost Expectancy (SLE)
Menurut Enisa (2012), Single Lost Expectancy (SLE) merupakan jumlah
ekspektasi biaya yang akan hilang jika risiko terjadi. Sedangkan menurut Gibson

(2011) SLE merupakan total kerugian finansial akibat suatu insiden yang
mencakup nilai hardware, software, dan data. Dengan kata lain SLE bisa dianggap
sebagai nilai dari suatu aset ketika keamanan aset tersebut terganggu. Dalam
implementasinya pengukuran nilai dari suatu aset tidak hanya melihat dari nilai
eksplisit aset tersebut melainkan juga harus menghitung dampak bisnis jika aset
tersebut hilang atau terganggu keamanannya. Misalnya ketika komputer yang
berisi data penting perusahaan hilang, maka yang dihitung tidak hanya nilai/harga
dari komputer tersebut melainkan nilai dari informasi yang terdapat dalam
komputer tersebut termasuk dampaknya bagi bisnis ketika informasi tersebut
hilang.
Annual Rate of Occurrence (ARO)
Menurut Enisa (2012), Annual Rate of Occurrence (ARO) merupakan
kemungkinan dari resiko yang terjadi dalam satu tahun. Sedangkan menurut
Gibson (2011), ARO merupakan jumlah seberapa kali kerugian dari suatu
ancaman diharapkan terjadi dalam setahun.
Annual Loss Expectancy (ALE)
Menurut Enisa (2012), Annual Loss Expectancy (ALE) merupakan kerugian
secara finansial tahunan yang dapat diharapkan dari risiko tertentu pada aset
tertentu. Sedangkan menurut Gibson (2011), ALE didefinisikan sebagai total
kerugian yang diperkirakan dari risiko yang diberikan selama satu tahun. ALE
bisa dihitung melalui perkalian dari SLE dengan ARO.

Perhitungan ROSI
Berikut ini perhitungan dari Return of Security Investment berdasarkan Enisa
(2012):

Di mana monetary loss reduction didefinisikan sebagai selisih dari ALE tanpa
mengimplementasikan security solution, dengan modified ALE (mALE) dengan
mengimplementasikan security solution. Sedangkan Cost of Solution merupakan
total biaya yang dikeluarkan sebagai kontrol atau solusi dari resiko. Dengan
demikian perhitungannya menjadi sebagai berikut:

Monetary loss reduction juga bisa didefinisikan sebagai ratio pencegahan

(mitigation ratio) dari ALE, sehingga perhitungannya menjadi sebagai berikut:

2.2 Risiko dan Ancaman

Peningkatan risiko dan ancaman
Berdasarkan data hasil survei The Global State of Information Security
yang dilakukan oleh PWC, CIO, dan CSO, dalam kurun waktu 2009 sampai
dengan 2015, insiden keamanan yang terdeteksi dari tahun ke tahun semakin
meningkat. Pada tahun 2015, insiden keamanan yang terdeteksi meningkat 38%
dibandingkan tahun 2014, sedangkan tahun 2014 terjadi peningkatan sebesar 48%
dibanding dengan tahun 2013. Data dari survei tersebut juga menunjukkan bahwa
tingkat pertumbuhan tahunan dari insiden keamanan yang terdeteksi mengalami
peningkatan sebesar 66% dari tahun ke tahun sejak 2009. Hal ini menunjukkan
bahwa ancaman terhadap keamanan informasi semakin meningkat setiap
tahunnya. Dengan semakin banyak ditemukannya pelanggaran terhadap
keamanan, berarti risiko keamanan yang harus dihadapi oleh suatu perusahaan
juga menjadi semakin besar.
Menurut Gibson (2011), ancaman dapat berdampak pada keamanan
informasi meliputi aspek confidentiality, integrity, dan availability yang harus
dijaga untuk mengamankan aset perusahaan. Ancaman umumnya dikategorikan
sebagai ancaman dari manusia atau alam, dan katagori dapat disengaja atau tidak
disengaja. Ancaman manusia dapat berupa internal atau eksternal di mana

ancaman internal merupakan ancaman terbesar bagi suatu perusahaan. Elmrabit,

Yang, dan Yang (2015) mengategorikan ancaman internal menjadi tujuh
subkategori berdasarkan pengaruh terhadap tujuan keamanan informasi organisasi
dan faktor manusia yang bertindak dengan cara yang berbahaya yang dapat dilihat
pada tabel berikut.
Tabel 1. Kategori Ancaman Internal
Impact

Effect to Organisation
Information Security

Human Factors to Act a Threat

Confiden
tiality

Integrity

Availabil
ity

Motive

Opportu
nity

Capabili
ty

IT Sabotage

Low

Medium

High

High

Medium

Medium

Fraud

Low

High

Low

High

High

Medium

High

Low

Low

High

High

Medium

High

High

High

High

Low

Low

Unintentional

Medium

Medium

Medium

No

Low

Low

Cloud
Computing

Medium

Low

Low

High

High

Low

High

High

High

High

High

High

Theft
Intellectual
Property
Social
Engineering

National
Security

of

(Sumber: Elmrabit, Yang, & Yang, 2015)

Berdasarkan tabel di atas, terlihat bahwa kategori yang memberikan
dampak paling tinggi terhadap keamanan informasi organisasi adalah Social
Engineering dan National Security, sedangkan kategori berdasarkan faktor
manusia yang berdampak paling tinggi adalah National Security.
Data insiden keamanan yang terjadi sepanjang tahun 2015 berasal dari
berbagai sumber. Berikut sumber insiden keamanan berdasarkan data hasil survei
The Global State of Information Security tahun 2015:

Gambar 5. Sumber Insiden Keamanan (Sumber: PWC, 2015)

Berdasarkan gambar di atas, dapat dilihat bahwa sumber insiden keamanan
terbesar berasal dari current employees yaitu sebesar 33,56%, adapun yang
terkecil berasal dari domestic intelligence service yaitu sebesar 6,28%. Insiden
keamanan yang bersumber dari hackers menempati urutan ketiga terbesar yaitu
sebesar 22,59%. Dari data tersebut membuktikan bahwa ancaman eksternal seperti
hackers masih menjadi ancaman yang serius dan perlu diperhatikan.
Dampak yang ditimbulkan/Loss pada organisasi
Insiden keamanan atau pelanggaran yang dilakukan terhadap keamanan
dapat memberikan dampak terhadap organisasi berupa dampak finansial maupun
dampak non-finansial. Dampak finansial meliputi penurunan pendapatan,
gangguan sistem bisnis, hukuman peraturan, dan penurunan jumlah pelanggan.
Dampak non-finansial meliputi kehancuran reputasi, pembajakan produk, inovasi
terganggu, pencurian desain atau prototipe produk, dan kehilangan informasi yang
sensitif seperti rencana Mergers and Acquisitions (M&A) dan strategi perusahaan
(PWC, 2015).
Pada Gambar 1 mengenai dampak dari insiden keamanan seperti
dijelaskan sebelumnya di bagian latar belakang, menggambarkan variasi dampak

yang diterima organisasi akibat adanya pelanggaran terhadap keamanan. Dampak

paling besar adalah customer records compromised yaitu sebesar 38,27% dan
yang paling kecil adalah legal exposure/ lawsuit yaitu 9,61%. Hal ini memberikan
gambaran bahwa dampak yang ditimbulkan dari insiden keamanan dapat menjadi
sangat berbahaya bagi organisasi karena paling banyak kaitannya dengan data
pelanggan. Berikut ini adalah dampak yang ditimbulkan dari insiden keamanan
bagi organisasi (PWC, 2015):
Data pelanggan dikompromikan
Data karyawan dikompromikan
Kehilangan atau kerusakan data internal
Pencurian

kekayaan

intelektual

"lunak"

(misalnya,

proses,

pengetahuan institusional, dll)

Pencurian kekayaan intelektual "keras" (misalnya, rencana strategis
bisnis, dokumen kesepakatan, dokumen keuangan yang sensitif, dll)
Merek atau reputasi dikompromikan
Kehilangan pelanggan
Paparan atau gugatan hukum
2.3 Information security value
Peningkatan investasi sebagai realisasi sistem kontrol
Untuk menanggapi ancaman yang semakin berkembang, organisasi
dituntut untuk selalu memperbaharui teknologi keamanan TI yang telah dimiliki.
Dalam kaitannya dengan teknologi yang semakin berkembang, peningkatan
sistem keamanan TI biasanya diasosiasikan dengan peningkatan biaya investasi.
Hal ini disebabkan karena biaya investasi berbanding lurus dengan kapabilitas
perlindungan yang diberikan oleh suatu sistem. Semakin banyak ancaman yang
dapat diatasi oleh sistem perlindungan, maka semakin mahal harga dari sistem
tersebut. Teknologi yang digunakan menentukan kemampuan organisasi untuk
menangkal ancaman yang datang dari luar.
Berdasarkan survei yang dilakukan oleh PWC pada tahun 2016, terdapat 6
tindakan yang paling banyak dilakukan oleh organisasi untuk meningkatkan

keamanan TI mereka. Tindakan-tindakan tersebut dapat dilihat pada gambar 6

berikut.

Gambar 6. Jenis Perlindungan yang Diimplementasikan (Sumber: PWC, 2015)

Hasil survei tersebut memperlihatkan bahwa investasi dalam bidang
keamanan TI dilakukan tidak hanya pada sisi teknologi saja, tetapi juga dari sisi
sumber daya manusia dan proses/ prosedur. Teknologi pengamanan paling hebat
sekalipun akan menjadi tidak berguna jika tidak didukung oleh sumber daya
manusia yang memadai. Komitmen dari manajemen diperlukan untuk mengatasi
ancaman yang timbul dari orang dalam. Program pelatihan dan peningkatan
kesadaran pegawai terhadap keamanan merupakan bentuk investasi yang penting
pada sisi sumber daya manusia.
Dari sisi prosedur dan kebijakan, pembuatan strategi keamanan yang
menyeluruh merupakan langkah yang banyak dilakukan. Keberadaan Chief
Information Security Officer (CISO) yang bertanggung jawab untuk memastikan
aset informasi dan teknologi terlindungi dengan baik juga merupakan salah satu
upaya yang dilakukan oleh organisasi untuk meningkatkan keamanan TI. Prosedur
dan kebijakan berfungsi untuk mengatur interaksi antara sisi manusia dan
teknologi.

 Perbandingan antara nilai investasi dan financial loss

Penambahan anggaran investasi keamanan TI

merupakan upaya

peningkatan kontrol atas ancaman yang ada. Penentuan besarnya investasi pada
keamanan TI bergantung kepada seberapa besar nilai aset informasi yang harus
dilindungi. Nilai aset tersebut bervariasi berdasarkan besarnya organisasi dan jenis
industri. Organisasi harus terlebih dahulu mengetahui berapa nilai aset informasi
yang mereka miliki, kemudian menentukan banyaknya tindakan kontrol yang
diambil.
Penambahan

anggaran

investasi

keamanan

TI

diharapkan

dapat

mengurangi kerugian finansial atau mempertahankan kerugian pada tingkatan

yang dapat diterima. Berdasarkan survey The Global State of Information Security
PWC yang dikeluarkan tahun 2016, rata-rata responden meningkatkan anggaran
untuk keamanan TI

pada organisasi mereka sebesar 24% pada tahun 2015.

Adapun peningkatan anggaran tersebut menghasilkan penurunan kerugian

finansial sebesar 5% dari tahun 2014 ke tahun 2015.
Tujuan utama dari investasi pada IT Security adalah untuk mencegah
timbulnya biaya yang muncul apabila terjadi insiden keamanan sistem. Dengan
demikian, value dari keamanan TI

dapat dihitung berdasarkan selisih antara

kerugian yang terjadi apabila investasi belum dilakukan dan kerugian yang terjadi
setelah investasi dilakukan. Value dari keamanan TI adalah besarnya nilai risiko
yang dapat dikendalikan.

KESIMPULAN
Dari uraian di atas, dapat ditarik beberapa kesimpulan terkait permasalahan
investasi dalam bidang IT security yang menjadi inti dari pembahasan, yaitu
sebagai berikut:
Semakin meningkatnya ancaman cyber security serta kehilangan informasi
organisasi yang penting, membuat organisasi menjadi semakin peduli akan
pentingnya investasi di bidang IT Security.
Investasi di bidang IT Security merupakan bentuk kontrol pencegahan threat
untuk mempertahankan loss pada level yang dapat diterima.
Value dari keamanan TI (IT Security) dapat dihitung berdasarkan selisih
antara kerugian yang terjadi apabila investasi TI belum dilakukan dan
kerugian yang terjadi setelah investasi dilakukan. Value dari IT Security
adalah besarnya nilai risiko yang dapat dikendalikan.
Investasi di bidang IT Security, tidak akan berdampak luas dan signifikan jika
tidak mendapat dukungan dan komitmen yang kuat dari pihak manajemen
organisasi.
Kebijakan serta pelaksanaan IT Security harus selaras dengan proses bisnis
organisasi, berkolaborasi dengan tujuan bisnis serta berfungsi melindungi aset
utama organisasi.

DAFTAR PUSTAKA
Elmrabit, N., Yang, S., & Yang, L. (2015). Insider Threats in Information
Security Categories and Approaches. IEEE, 6.
Gibson, D. (2011). Managing Risk in Information Systems. Sudbury: Jones &
Bartlett Learning, LLC.
PWC. (2015). PWC Corporation. Retrieved from PWC Corporate Web site:
http://www.pwc.com/gx/en/issues/cyber-security/information-securitysurvey/data-explorer.html
Symantec. (2015). Symantec Corporation. Retrieved from Symantec
Corporate

web

site:

http://symantec.postclickmarketing.com/ISTR20?cid=70150000000dkPwAAI
Enisa. (2012). Introduction to Return on Security Investment. European
Network and Information Security Agency.
Gibson, Darill. (2011), Managing Risk in Information Systems, Jones &
Bartlett Learning