Anda di halaman 1dari 37

Rancangan IT security Policy

Bisnis sangat memerlukan keamanan informasi seiring dengan semakin meningkatnya


ancaman pada keamanan sistem informasi pada akhir-akhir ini dan kemajuan teknologi
yang semakin pesat. Dalam perancangan suatu IT Security Policy, konsep yang efektif
adalah dengan membuat dokumen kebijakan (policy) yang mencakup semua informasi
yang berdasarkan keamanan, hal ini mencakup pengguna (user) tertentu dan membuat
proses yang efisien untuk semua orang.

Banyak metode bisa digunakan dalam perancangan IT security policy, banyak faktor
yang perlu dipertimbangkan termasuk pengguna (user) dan bisnis perusahaan serta
ukuran perusahaan tersebut. Berikut ini adalah pembahasan singkat (dasar) mengenai apa
saja yang perlu dipertimbangkan dalam rancangan IT security Policy.

Tujuan dasar dari suatu kebijakan (Policy);

1. Melindungi pengguna (user) dan informasi


2. Membuat aturan sebagai arahan untuk pengguna (user), sistem administrator,
manajemen dan petugas keamanan sistem informasi (IT security)
3. Menetapkan petugas keamanan untuk pengawasan, penyelidikan atau
pemeriksaan
4. Membantu mengurangi resiko yang mungkin akan muncul
5. Membantu arahan kepatuhan pada peraturan dan undang-undang
6. Menetapkan peraturan resmi perusahaan mengenai keamanan

Siapa yang akan menggunakan IT security Policy;

1. Manajemen – pada semua tingkatan


2. Technical staff – sistem administrator dan lainny
3. Pengguna (user)

Keamanan data akan sangat membantu user untuk pengawasan dan memastikan
informasi tersebut aman dari gangguan ataupun ancaman dari pihak yang tidak berhak.
Ada 3 aspek mengenai data security, sebagai berikut;

Confidentiality; melindungi informasi dari orang luar yang tidak berhak, atau
penghapusan informasi.

Integrity; melindungi informasi dari modifikasi yang tidak berhak dan memastikan
informasi tersebut akurat dan lengkap

Availability; memastikan informasi tersedia ketika dibutuhkan

Data-data tersebut disimpan dalam tempat yang beragam seperti server, PC, laptop, CD-
ROM, Flash disk, Media backup dan lainnya. Kemungkinan yang bisa menjadi penyebab
data-data tersebut hilang adalah
1. Natural Disaster (seperti kebakaran, banjir, dan lainnya)
2. Virus
3. Kesalahan manusia (human errors)
4. Software malfunction (kesalahan software)
5. Hardware dan software malfunction

Dalam pembuatan kebijakan, berikut contoh topik yang termasuk dalam isi IT Security
Policy adalah sebagai berikut

A. Kebijakan untuk pengguna umum (end users)

• Penggunaan CD, Flash disk


• Password
• Backup
• File

B. Kebijakan untuk Departemen

• Tentang prosedur keamanan tempat kerja, telephone


• alarm
• pengetahuan tentang keamanan sistem informasi

C. Kebijakan untuk Administrator

• Pembelian hardware
• Pengawasan hak akses
• Jaringan komputer
• Operating System (OS)
• Software
• Cyber crime
• Backup
• LAN
• Perlindungan terhadap virus

D. Kebijakan untuk DBA

• Transfer dan perubahan data


• Penyimpanan data
• Database

Contoh sederhana IT Policy (bag. 1)


Berikut adalah contoh IT policy pada perusahaan kecil – menengah

IT POLICY
PENDAHULUAN

IT Policy ini ditujukan untuk memastikan perlindungan yang efektif dan pemakaian
system computer yang benar di <nama perusahaan>

Pelanggaran terhadap IT Policy dapat mempengaruhi operasional dari <nama


perusahaan> dan semua pelanggaran akan di tanggapi secara serius

BAB I – SISTEM KOMPUTER

A. AKSES KE JARINGAN KOMPUTER (NETWORK ACCESS)

Manajemen jaringan komputer, administrasi dan perawatannya di <nama perusahaan>


adalah tanggung jawab dari divisi IT. Akses ke dan pemakaian server dibatasi hanya
untuk pegawai atau orang-orang yang mempunyai hak akses.

Penanggung Jawab: Divisi IT

B. PERANGKAT KERAS (HARDWARE)

a. Pemakaian pribadi untuk system komputer (Personal use of Computer System)

i. PC dan komputer notebook tidak boleh ditinggal tanpa ditunggu untuk waktu yang
lama dengan kondisi signed-on. Pemakai harus mematikannya atau meng-aktifkan
password dari screen saver pada saat meninggalkan PC nya

ii. PC dan komputer notebook digunakan hanya untuk keperluan bisnis, pemakaian
untuk personal hanya dalam batas-batas tertentu yang bisa diterima. Pemakain untuk
personal yang tidak diizinkan adalah seperti

• Pemakaian yang bertentangan dengan user job description


• Dapat mengganggu performance komputer atau jaringan komputer

iii. Pegawai tidak boleh menggunakan system <nama perusahaan> atau internet untuk
kegiatan perdagangan yang tidak ada hubungannya dengan bisnis <nama
perusahaan>Aktifitas yang terlarang adalah seperti Jual-beli lewat internet, transaksi mata
uang asing, menjual barang-barang pribadi

Penanggung Jawab: Semua karyawan

b. Komputer bersama (Sharing PCs)

i. Komputer bersama disediakan untuk karyawan yang tidak mempunyai komputer


seperti supir, petugas kebersihan di kantor pusat

ii. Semua peraturan IT policy dan prosedur berlaku terhadap komputer ini
Penanggung Jawab: Semua karyawan

c. Notebook

i. Tindakan pencegahan harus diambil untuk melindungi peralatan dari kerusakan,


kehilangan atau kecurian. Peralatan tidak boleh ditinggal tanpa ditunggu di tempat
umum. Kerusakan, kehilangan atau kecurian harus segera dilaporkan ke divisi IT

ii. Software Anti-virus harus di install di semua komputer notebook

iii. Data harus di back up secara berkala dan pemakai notebook harus memastikan bahwa
data dalam komputer notebooknya sudah di lakukan back up

iv. Notebook atau Laptop pribadi dilarang digunakan di lingkungan kantor <nama
perusahaan> karena alasan kerahasiaan data dan system

v. Karyawan harus memberitahukan divisi IT jika mau meminjam notebook atau laptop
dengan persetujuan manager yang bersangkutan

Penanggung Jawab: Semua karyawan yang mempunyai notebook

C. PERANGKAT LUNAK (SOFTWARE DAN SOFTWARE APPLICATIONS)

i. Software tidak boleh di gandakan, dihapus atau di transfer ke pihak ketiga atau
kepada peralatan bukan organisasi seperti PC pribadi tanpa izin tertulis dari <nama
perusahaan>

ii. Hanya software yang telah diizinkan oleh divsi IT dapat digunakan dalam PC dan
komputer notebook dan dihubungkan ke jaringan komputer <nama perusahaan>

iii. Downloading dari file executables (.exe) atau software dari internet adalah
terlarang tanpa ada izin tertulis dari IT manager.

iv. Peninjauan ulang terhadap software akan dilakukan secara berkala dan software
yang tidak diizinkan akan di selidiki. <nama perusahaan> mempunyai hak untuk
menghapus semua file atau data dari system IT termasuk semua informasi yang tidak sah
(illegal )

Penanggung Jawab: Semua karyawan

D. DATA / INFORMASI ELEKTRONIK / KERAHASIAAN

i. Data rahasia yang disimpan dalam media komputer (seperti floppy disk) harus di
simpan secara aman pada saat tidak digunakan
ii. PC atau notebook yang akan di disposal, data dalam hard disk harus dihapus
sebelum di distribusikan keluar <nama perusahaan>

Penanggung Jawab: Divisi IT

E. DATA BACK UP

Data harus di back-up ke dalam jaringan komputer secara teratur dan pemakai notebook
harus memastikan bahwa data dalam notebook mereka sudah dilakukan back-up

Penanggung Jawab: Divisi IT untuk server dan karyawan yang bertanggung jawab
terhadap aplikasi tersebut (seperti Accurate Accounting System)

F. ANTI VIRUS

i. Kerusakan data atau software dalam PC atau notebook yang disebabkan oleh
software jahat (seperi virus komputer atau worm) harus dilaporkan ke IT division

ii. Pemakai tidak diizinkan untuk mematikan atau menghapus software antivirus
dalam kondisi apapun

iii. Screen saver yang tidak layak tidak diizinkan digunakan, karena bisa menjadi
potensial virus komputer. Jika merasa ragu hubungi divisi IT

Penanggung Jawab: Semua Karyawan

BAB II – PEMAKAI KOMPUTER (COMPUTER USERS)

A. USER IDENTIFICATIONS AND PASSWORDS

i. Setiap pemakai mempunyai user name dan password pribadi. Password digunakan
untuk logon dan tidak boleh di tulis atau diperlihatkan kepada orang lain. Pemilik user
name dan password akan bertanggung jawab terhadap semua hal yang terjadi atau
dilakukan dengan menggunakan user name tersebut.

ii. Permintaan untuk Account atau pemakai komputer yang baru dan untuk pemutusan
account computer yang ada harus diketahui oleh IT Manager. Permintaan penambahan
akses untuk bisnis aplikasi tertentu seperti Financial account harus diketahui secara
tertulis oleh IT Manager dan dengan pemilik aplikasi tersebut.

iii. Karyawan yang pindah ke posisi baru atau lokasi baru harus memberitahukan IT
Manager. Hal ini diperlukan untuk mempersiapkan akses email yang tepat dan file server
yang sesuai.

iv. Line manajemen harus memberitahukan IT Manager untuk setiap perubahan


pegawai yang mempunyai efek dengan keamanan system.
Contoh: Seorang yang mempunyai akses ke client informasi yang rahasia dan kemudian
pindah ke tempat baru dimana akses tersebut tidak diperlukan.

v.Semua pemakai atau user harus mengikuti peraturan password sebagai berikut;

• Minimum panjang password adalah 8 character


• Menggunakan kombinasi dari Alpha dan numeric
• User diharuskan mengganti passwordnya setiap 6 bulan
• User tidak boleh mengulang kode password yang pernah digunakan
• Account akan di lock setelah 3 kali melakukan login yang salah

B. AKSES KE INFORMASI PERUSAHAAN (ACCESS TO COMPANY


INFORMATION)

1. Semua informasi yang ada dalam jaringan komputer termasuk email, file system
dan database adalah milik dari <nama perusahaan> dan pegawai tidak mempunyai
hak milik atas data-data tersebut
2. <nama perusahaan> mempunyai hak untuk mengawasi file-file yang disimpan,
email dan akses internet untuk tujuan system performance perawatan, auditing,
keamanan data atau investigasi terhadap fakta-fakta dari pelanggaran hukum atau
gangguan terhadap peraturan <nama perusahaan>
3. Permintaan untuk akses ke account komputer pegawai yang tidak masuk kantor
harus ditujukan ke IT Manager secara tertulis dengan sepengetahuan manager
yang bersangkutan. Akses yang diberikan akan merubah password dari users dan
memberikan akses ke Manager yang berhak atau rekannya untuk mengakses
account tersebut secara langsung.
4. Semua pegawai dilarang memberikan informasi apa saja kepada pihak ketiga
kecuali mempunyai izin untuk itu
5. User hanya diizinkan untuk mengakses informasi electronic dan data yang mereka
perlukan untuk menjalankan pekerjaannya
6. Jika ada informasi rahasia yang hilang, apakah karena notebook nya hilang, media
backup, atau pelanggaran keamanan lainnya, maka divisi IT harus diberitahu
segera
7. Semua komputer harus di matikan pada akhir hari kecuali server

Penanggung Jawab: Semua Karyawan

BAB III – EMAIL / INTERNET

A. EMAIL

1. User email harus berhati-hati dengan external attachment selain yang diterima
dari sumber yang dipercaya karena attachment ini bisa berisi virus komputer
2. Software email yang di install di <nama perusahaan> akan digunakan hanya
untuk bisinis dan terlarang untuk tujuan pribadi
3. User email harus mengerti dengan resiko yang mungkin timbul akibat dari
mengirim informasi rahasia atau sensitif informasi
4. User harus yakin bahwa dokumen yang dilampirkan melalui email bukan
dilindungi oleh hak cipta
5. Isi dari Email harus yang sewajarnya dan professional
6. Email yang sifatnya menfitnah tidak diizinkan
7. Users harus mengetahui tanggung jawabnya dalam perlindungan data dan tidak
boleh menggunakan email untuk mengirim data ke pihak ketiga
8. Semua email yang dikirim keluar harus mengikutsertakan standar <nama
perusahaan> disclaimer. User tidak diizinkan mengirim disclaimer mereka sendiri
melalui email

Penanggung Jawab: Semua Karyawan

B. INTERNET

1. Semua pegawai harus bertanggung jawab untuk pemakaian Internet secara


professional, etika dan sah secara hukum.
2. Pegawai harus berhati-hati ketika melakukan pembayaran dengan internet, karena
keamanan dari credit card yang tidak dapat dijamin. <nama perusahaan> tidak
mempunyai kewajiban karena masalah yang muncul akibat pemakaian financial
personal (seperti nomor credit card) melalui internet
3. Semua akses ke internet melalui jaringan komputer <nama perusahaan> akan
melalui channel yang telah disetujui dan aman dengan menggunakan firewall
4. User dianjurkan tidak menggunakan password yang sama untuk website internet
dengan system internal dari <nama perusahaan>
5. <nama perusahaan> mempunyai hak untuk meninjau ulang, audit, menangkap,
akses atau menutup semua akses ke internet. Hal ini termasuk mengirim email
dan menerima email dan file yang didownload dari internet

Penanggung Jawab: Semua Karyawan

BAB IV – PELANGGARAN TERHADAP IT POLICY DAN PROSEDUR

1. Karyawan yang melanggar Policy ini akan mendapat hukuman dari IT, termasuk
pengurangan atau penghapusan secara sementara atau selamanya untuk sebagian
atau semua hak pakai atau akses IT
2. Karyawan bisa dikenakan tuntutan kejahatan, civil liability, atau keduanya untuk
pelanggaran pemakaian yang melanggar hokum terhadap semua system IT
3. Karyawan harus membayar sejumlah uang dari data yang hilang dan di klaim oleh
seseorang atau pihak ketiga
4. Karyawan harus membayar sejumlah uang dari PC atau notebook yang hilang
atau kecurian

Dengan ini, saya telah membaca dan memahami isi IT Policy ini.
Jakarta, ….

Virtual Office
February 25, 2011 by heri sutrisno Leave a Comment

Jika anda termasuk orang yang mau memulai suatu usaha, salah satu bagian yang menjadi
pertimbangan adalah kantor. Dengan adanya kantor maka anda akan mempunyai alamat
yang jelas serta bisa dihubungi oleh pelanggan atau calon pelanggan anda. Tetapi biaya
sewa kantor yang permanen tentunya membutuhkan biaya yang tidak sedikit, sedangkan
usaha anda belum berjalan dengan semestinya, belum termasuk biaya pegawai, alat-alat
kantor dan sebagainya.

Virtual Office atau kantor virtual akan menjadi solusi anda, dimana pengaturan suatu
kantor virtual memungkinkan pemilik bisnis dan karyawan untuk bekerja dari lokasi
manapun dengan menggunakan teknologi seperti komputer laptop, ponsel dan akses
internet. Sebuah kantor virtual dapat memberikan penghematan yang signifikan dan
fleksibilitas dibandingkan dengan menyewa ruang kantor tradisional.

Memiliki ruang kantor virtual akan bermanfaat untuk pemilik usaha kecil atau pengusaha
dengan satu atau dua staf yang tidak memerlukan akomodasi dari kantor pengaturan skala
penuh. Individu yang menggunakan kantor virtual dapat memilih untuk mempekerjakan
karyawan yang bekerja dari rumah serta membayar layanan penjawab telepon untuk
menangani semua panggilan bisnis. Banyak orang yang bekerja di luar kantor virtual
menggunakan laptop untuk lebih memobilisasi pekerjaan mereka dan memanfaatkan
kantor virtual bisnis yang ditawarkan seperti OFIS 3 (lihat www.ofis3.com)

Sebuah kantor virtual menawarkan ruang untuk mengadakan rapat dengan klien, yang
merupakan nilai tambah bagi bisnis yang memiliki klien dengan kontak pribadi sebagai
faktor penting ketika melakukan interaksi bisnis.

Rapat dapat dilakukan melalui konferensi telekonferensi dan video, dan dokumen dapat
ditransmisikan secara elektronik. Beberapa perusahaan bahkan memberikan layanan
kantor virtual untuk memberikan kantor virtual prestise yang berhubungan dengan kantor
fisik, seperti alamat-penting terdengar, layanan telepon-penjawab profesional dan bahkan
sesekali sewa ruang kantor dan ruang pertemuan.

Sebuah kantor virtual memadukan rumah dan bekerja untuk mendapatkan efisiensi dalam
keduanya. Beban kantor rendah, sedangkan profesionalisme yang mempertahankan citra
kantor tradisional dengan biaya tinggi.

Seorang pengguna kantor virtual dapat mengurangi dampak lingkungan negatif mereka,
dengan bolak-balik setiap hari. Klien kantor virtual memiliki fleksibilitas untuk
menyesuaikan pengeluaran dengan fluktuasi pendapatan langsung, karena biasanya biaya
variabel. Sebuah kantor virtual dapat memungkinkan ekspansi murah tanpa komitmen
jangka panjang.
Beberapa contoh pengusaha yang memanfaatkan kantor virtual adalah sebagai berikut;

1. Pengusahan yang berbasis di rumah

2. Akuntan

3. Pengacara

4. Perusahaan Hukum

5. Perdagangan (Home industri jasa: Atap, listrik, Instalasi, konstruksi, perbaikan /


merombak, dll)

6. Dokter / Dokter Gigi

7. Therapist

8. Konsultan bisnis

9. Mediator / resolusi konflik

10. Perusahaan asing

11. Kamar Dagang

12. Real estate

13. perusahaan hipotek

14. Broker saham / perencana keuangan

15. Koleksi lembaga

16. Jaringan kelompok

Salah satu penyedia kantor virtual adalah OFIS 3 (www.ofis3.com) , dengan beberapa
manfaat seperti berikut

• Tidak memerlukan modal besar

• Tidak perlu membayar gaji pegawai

• Indentitas bisnis prestisius

• layanan pribadi handal dan terpercaya


Memulai sebuah bisnis diperlukan sarana pendukung yang tepat. OFIS 3 dengan
keunggulannya hadir sebagai mitra profesional yang membuat anda dapat lebih fokus
pada bisnis anda.

OFIS 3 ( www.ofis3.com ) adalah mitra bagi:

• Pengusaha bisnis online

• Pengguna ruang rapat yang berlokasi di pusat bisnis Jakarta

• Pebisnis yang tidak memiliki ruang kantor fisik, namun memerlukan meeting point
bagi para relasi

• Individu yang bekerja di rumah tetapi memerlukan identitas resmi

• Pebisnis yang memerlukan identitas kantor resmi tetapi tidak memiliki anggaran
untuk

kantor fisik

• Pebisnis yang baru memulai usaha, masih dalam tahap menguji pasar dan belum
dapat

mengeluarkan biaya untuk mendirikan sebuah kantor permanen

*** dari berbagai sumber

Filed under IT Management

Deskripsi Pekerjaan (Job Description) untuk IT


Manager (contoh)
February 25, 2011 by heri sutrisno Leave a Comment

1. TUJUAN / PURPOSE

a. Untuk mengelola pekerjaan Teknologi Informasi (TI) dalam operasional sehari-hari


dalam lingkungan perusahaan

b. Memberikan solusi dan konsultansi teknologi untuk mencapai tujuan dan strategi
bisnis perusahaan

2. DIMENSI / DIMENSION

a. Bertanggung jawab langsung pada Direktur …..


b. Bekerja sama dengan pimpinan bisnis unit lain dalam memberikan konsultansi,
rekomendasi tentang rencana kerja yang akan datang dan pengembangan sumber daya
teknologi seperti hardware, infrastruktur, telekomunikasi, dan lainnya.

c. Jumlah staff = ………. Orang

d. Dimensi area = ………..(sebutkan berapa jumlah kantor cabang yang di support)

3. TUGAS DAN TANGGUNG JAWAB / DUTIES AND RESPONSIBILITIES

a. Mengelola Teknologi Informasi dan sistem komputer

i. Bertanggung jawab pada kesiapan dan ketersediaan sistem komputer / aplikasi


dalam lingkungan perusahaan

ii. Membuat dan/atau implementasi semua sistem dan aplikasi

iii. Merancang, mengelola dan mengawasi serta meng-evaluasi operasional dari sistem
informasi (software dan aplikasi) dan pendukungnya (hardware, infrastruktur,
telekomunikasi)

iv. Membuat dan mengimplementasikan kebijakan dan prosedur TI (IT policy)


termasuk kebijakan keamanan TI (IT security policy)

v. Berkerja sama dengan TI vendor untuk merancang , membuat dan meng-


implementasikan sistem atau aplikasi jika diperlukan

vi. Membuat dan mengawasi anggaran TI (budget) dan expenditures

b. Memberikan solusi Teknologi Informasi

i. Bertanggung jawab pada penyediaan layanan infrastruktur termasuk aplikasi,


jaringan komputer (LAN / WAN), keamanan Teknologi Informasi dan telekomunikasi

ii. Memberikan rekomendasi tentang solusi sistem informasi dan pendukungnya

iii. Memberikan orientasi kepada pegawai baru mengenai aplikasi atau sistem yang
digunakan saat ini dan rencana atau strategi TI secara umum

iv. Merancang dan membuat TI DRP (Disaster Recovery Plan)

v. Memberikan arahan pada bawahan mengenai penggunaan dan solusi teknologi

c. Pengawasan dan perawatan Teknologi Informasi


i. Bekerja sama dengan senior manajemen untuk membuat, merancang pelayanan TI
dalam dokumen Service Level Agreements

ii. Memberikan laporan bulanan kepada Direktur Keuangan mengenai semua aspek
dari departemen TI (Teknologi Informasi)

4. FAKTOR KEBERHASILAN / KEY SUCCESS FACTOR

Seorang IT manager dianggap berhasil dalam pelaksaan tugasnya, dengan memiliki


keahlian dan pengetahuan sebagai berikut;

a. Pengetahuan

i. Berpengalaman dalam perancangan dan pengembangan infrastruktur TI

ii. Memiliki pengetahuan dalam mengelola departemen TI (managing the IT Department)

iii. Memiliki pengetahuan tentang Project Management Process

b. Keahlian

i. Mempunyai keahlian kepemimpinan yang kuat (management dan supervisory skill)

ii. Mengetahui secara umum instalasi dan administrasi hardware, software dan
jaringan

iii. Mempunyai kemampuan berkerja secara tim (team work)

iv. Mempunyai kemampuan analisa dan penyelesaian masalah

v. Mempunyai kemampuan dalam pembuatan keputusan (decision making)

vi. Kemampuan berkomunikasi secara verbal maupun tulisan

c. Personal

i. Kemampuan dalam melaksanakan tugas dalam tekanan kerja yang tinggi

ii. Jujur dan dapat dipercaya

iii. Felsibel terhadap kondisi dan lingkungan kerja

iv. Memiliki kepedulian dan sensitif terhadap kebutuhan bisnis

5. HUBUNGAN KERJA / WORKING RELATIONSHIP


a. Internal

i. Bekerja sama dengan pimpinan binis unit lain dalam perancangan, rekomendasi dan
konsultasi terhadap solusi teknologi

ii. Bekerja sama dengan senior manajemen dalam perancangan strategi TI untuk
mendukung keberhasilan tujuan perusahaan

iii. Bekerja sama dengan HR dalam pengembangan karir staff serta pemilihan staff TI
baru

iv. Bekerja sama dengan tim Legal dan HR dalam pembuatan kebijakan TI

v. Bekerja sama dnegan procurement dalam pengadaan inventory TI

b. Eksternal

i. Bekerja sama dengan vendor dalam pembuatan aplikasi (jika diperlukan)

ii. Bekerja sama dengan konsultan dalam pengembangan, solusi serta peningkatan
kinerja departmen TI (Teknologi Informasi)

iii. Bekerja sama dengan Internet provider dalam pengelolaan internet dan
telekomunikasi

6. INFORMASI LAIN / ADDITIONAL INFORMATION

a. Kompetensi teknikal / Technical Competencies – 30 %

b. Kompetensi manajerial / Management Competencies – 70%

Filed under IT Management

IT Disaster Recovery Plan


April 22, 2010 by heri sutrisno Leave a Comment

Selama tahun 1980-an, istilah Disaster Recovery (DR) menjadi terkenal sebagai definisi
untuk membangun ulang dan pemulihan akibat bencana. Sedangkan focus utama
daripada disaster recovery dapat disimpulkan dalam satu kata, yaitu rebuilding atau
pembangunan ulang.

Dalam tahun 1988, the Disaster Recovery Institute International (DRII) dibuat dan
kemudian mengeluarkan daftar dari praktek professional untuk perencanaan disaster
recovery . Tujuannya untuk membantu organisasi dengan rencana mereka untuk
memastikan bahwa mereka bisa membangun kembali dan memulihkan fasilitas mereka
dan peralatan akibat dari bencana.

Bencana atau gangguan yang menyebabkan sumber daya kritikal informasi menjadi tidak
bisa dijalankan dalam periode tertentu sangat berpengaruh pada operasional organisasi.
Ancaman yang paling besar terhadap kelangsungan organisasi apapun terpusat pada
kelangsungan financial mereka. Salah satu yang perlu diperhatikan dari semua kondisi
yang telah diukur adalah sebagai berikut;

• Organisasi tidak melanggar perjanjian kemitraan yang penting


• Investor tidak mengurangi stok nya dengan melakukan penjualan murah dan cepat
• Pelanggan tetap melanjutkan bisnis tanpa ragu-ragu atau membatalkan
pesanannya
• Rekan bisnis tetap melanjutkan pekerjaannya dengan persyaratan sebelumnya
sesuai dengan kontrak tanpa meminta persyaratan baru atau menunda pelayanan

Kegagalan dari kondisi tersebut bisa melemahkan struktur organisasi dan kemampuan
manajemen untuk melanjutkan operasional. Kebanyakan semua aktifitas dalam Disaster
Recovery (DR) fokus dalam pembangunan ulang untuk menyamakan reputasi bisnis
sebelum bencana. Tetapi semua itu bisa menjadi sia-sia tanpa pelanggan anda dan aliran
penghasilan yang dibuat karena pemebelian mereka.

Bencana dapat disebabkan oleh bencana alam, seperti gempa bumi, banjir, tornado,
kebakaran yang dapat mengakibatkan kerusakan pada fasilitas secara umum. Bencana
lain juga bisa disebabkan oleh gangguan yang terjadi pada pelayanan seperti sumber
listrik, telekomunikasi, persedian gas, atau pelayanan lain yang tidak bisa diberikan pada
perusahaan karena bencana alam atau sebab lainnya.

Tidak sama dengan Disaster Recovery (DR), fokus Business continuity (BC) adalah
revenue. Selama organisasi mempunyai waktu dan uang, organisasi tersebut dapat
melanjutkan fungsinya. Business continuity fokus pada memasukkan banyak uang di
bank, walaupun jika bisnis tidak mengirim produk. Tujuan utama dari business continuity
(BC) adalah untuk memastikan bahwa fungsi bisnis utama dapat dijalankan dengan cara
minimal atau tanpa hambatan.

Secara umum, konsep Business Continuity (BC) adalah sama dengan gabungan dari
disaster recovery planning ditambah dengan business continuity. Tergantung dengan
kompleksitas perusahaan, bisa jadi satu atau lebih rencana untuk mencatat beberapa
aspek dari business continuity dan disaster recovery.Walaupun dengan proses yang sama
dari organisasi yang sama bisa saja dibedakan oleh lokasi geografi. Solusi yang
disarankan bisa berbeda.

Business Continuity Planning (BCP) adalah sebuah proses yang dirancang untuk
mengurangi resiko bisnis pada organisasi yang muncul dari gangguan yang tidak
diharapkan. Hal ini termasuk sumber daya manusia atau material yang mendukung
kritikal fungsi atau operasional dan kepastian dari kelangsungan pelayanan, paling tidak
pada tingkat yang minimal.

Langkah pertama dalam persiapan rencana business continuity baru adalah meng-
identifikasi bisnis proses dari strategi yang penting, dimana proses utama tersebut adalah
ber tanggung jawab pada perkembangan dari bisnis dan untuk memenuhi tujuan bisnis.

Business Continuity Planning (BCP) adalah tanggung jawab utama dari senior
manajemen, sehingga mereka dipercaya dengan mengamankan asset dan kelangsungan
organisasi. Business Continuity secara umum diikuti oleh bisnis dan unit pendukung
untuk memberikan pelayanan minimum pada saat ada gangguan dan ketika pemulihan
dilakukan. Rencana harus mencakupi semua fungsi dan asset yang diperlukan untuk
melanjutkan kelangsungan organisasi.

Business continuity planning mempunyai beberapa pertimbangan sebagai berikut;

• Kritikal operasional yang sangat penting untuk kelangsungan organisasi


• Sumber daya manusia dan material yang mendukung nya

Selain perencanaan untuk kelangsungan operasional, BCP termasuk;

• Disaster Recovery Plan yang digunakan untuk memperbaiki fasilitas yang tidak
bisa dioperasikan, termasuk relokasi operasional ke lokasi yang baru
• Rencana perbaikan yang digunakan untuk mengembalikan operasional ke kondisi
normal dimana akan dioperasikan di lokasi baru

Bencana (Disaster) adalah gangguan yang menyebabkan sumber daya informasi tidak
bisa dioperasikan selama waktu tertentu dan mempunyai dampak yang tidak baik dalam
operasional organisasi. Disaster Recovery (DR) adalah bagian dari business continuity,
dan berhubungan dengan pengaruh langsung dari bencana. DR biasanya mempunyai
beberapa tahapan perencanaan, walaupun kadang-kadang tahapan tersebut menjadi kabur
dalam implementasinya karena situasi selama krisis hampir sangat berbeda dengan
rencana.

Disaster recovery mencakupi penghentian dampak dari bencana secepat mungkin dan
menjalankan alternatif lain segera. Seperti halnya mematikan server yang terkena
gangguan, evaluasi sistem yang terkena dampak seperti banjir atau gempa bumi dan
menetapkan cara yang terbaik dalam pelaksanaannya.

Berikut ini adalah siklus dari


perencanaan, implementasi dan penilaian
yang menjadi bagian daripada siklus
perawatan BC/DR .
Filed under IT Management

IT Department YANG Efektif


February 22, 2010 by heri sutrisno 3 Comments

Untuk mengimplementasikan manajemen efektif untuk departemen IT, diperluakan


kepimpinan yang benar dan perjanjian serta dukungan dari senior atau Top manajemen.
Berikut ini adalah langkah-langkah yang bisa sebagai contoh untuk membuat IT
Departemen lebih efektif serta pada akhirnya akan membantu pencapain tujuan bisnis.
Jika saat ini Departemen IT anda dirasakan belum efektif, mungkin langkah perbaikan
berikut ini bisa membantu.

1. Meningkatkan manajemen IT
a. Implementasikan IT Steering Committee, untuk memberikan arahan pada IT direktur
b. Upgrade manajemen IT dengan mengangkat IT direktur yang baik
c. Bersihkan struktur organisasi IT; berikan batas yang jelas antara aplikasi manajemen
dan operasional
d. Setiap staff IT harus mempunyai tugas dan tanggung jawab yang jelas

2. Project Management yang disiplin


a. Buat dokumentasi master untuk daftar projek-projek IT
b. Tentukan ROI untuk tiap projek
c. Projek yang tidak memberikan hasil revenue, pengurangan biaya atau menigkatkan
pengawasan bisnis, bisa dibatalkan
d. Prioritaskan projek berdasarkan manfaat, kesulitan, dan kecukupan dari sistem yang
ada

3. Pengaturan Vendor

a. Tentukan vendor yang baik, rekan bisnis yang baik akan membantu meningkatkan
produktivity
b. Negosiasi dengan vendor untuk mendapatkan harga yang baik, dan awasi mereka
selama dan sesudah pekerjaan untuk support
c. Tanya vendor, bagaimana dia mengukur kepuasan pelanggan

4. Fiscal Management / Budget

a. Tentukan bahwa perusahaan akan mendapatkan (contoh) Rp 100.000 untuk setiap


pengeluaran Rp 10.000 dari pengeluaran IT
b. Jika ada perbedaan budget, secara proaktif jelaskan pada senior manajemen
c. Bangun hubungan yang baik dengan CFO

5. Tingkatkan hubungan kerja dengan bisnis


a. Hindari saling tunjuk antara IT dan bisnis, dengan cara staff IT duduk dengan bisnis
yang di support sekali seminggu
b. IT direktur melakukan makan siang dengan bisnis unit manajer , manajer operasional
atau anggota IT Steering Committe.
c. Tugaskan IT Business manager untuk mempelajari lebih dalam mengenai bisnis dan
solusinya

Filed under IT Management

Pentingkah Tata Kelola Keamanan Informasi?


February 22, 2010 by heri sutrisno Leave a Comment

Tata kelola keamanan Informasi (Information Security Governance) adalah bagian dari
tata kelola perusahaan yang memberikan arahan strategi, memastikan bahwa tujuan
perusahaan dicapai, mengelola resiko, menggunakan sumber daya organisasi secara
bertanggung jawab, dan megawasi berhasil atau gagalnya program keamanan.

Tujuan utama dari Tata Kelola keamanan informasi adalah untuk mengurangi dampak
yang merugikan perusahaan sampai pada tingkatan yang bisa diterima oleh perusahaan.
Keamanan informasi mencakup semua jenis informasi, baik pisik dan elektronik; tidak
peduli apakah ada karyawan atau teknologi yang terlibat atau hubungan dengan parner
perdagangan, pelanggan dan pihak ketiga. Pada implementasi sehari-hari dalam
perusahaan, keamanan informasi melindungi semua aset informasi terhadap resiko
kehilangan, pemutusan operasional, salah pemakaian, pemakai yang tidak berhak ataupun
kerusakan informasi.

Keamanan informasi merupakan proses top-down, artinya inisiatif dan dukungan dimulai
dari top management sampaipada tingkat pegawai yang paling rendah, juga memerlukan
strategi keamanan yang berhubungan dengan proses dan strategi bisnis perusahaan.

Kerangka (framework) daripada Tata kelola keamanan informasi adalah sebagai berikut:

• Metodologi manajemen resiko keamanan informasi


• Strategi keamanan informasi yang mendukung tujuan bisnis dan IT
• Struktur organisasi keamanan yang efektif
• Kebijakan keamanan mencakupi semua aspek dari strategi, pengawasan dan
peraturan

Untuk memastikan elemen-elemen dari keamanan sudah terpenuhi dalam strategi


keamanan perusahaan, beberapa standard keamanan telah memberikan panduan, seperti,
Control Objectives for Information and Related Technology (COBIT), ISO 17799, FIPS
Publication 200 dan NIST 800-53 di US.

Dalam hal ini, harapan dari keamanan informasi adalah mencakup :


• Informasi bisa digunakan dan tersedia ketika diperlukan oleh perusahaan, serta
sistem yang menyediakan terlindungi dari serangan atau ancaman (Availability)
• Informasi digunakan hanya untuk yang berhak dan perlu (Confidentiality)
• Informasi sudah dilindungi dari kemungkinan perubahan yang tidak berhak
(Integrity)
• Transaksi bisnis dan juga pertukaran informasi antara lokasi atau dengan parner
binis diluar dapat dipercaya (authenticity dan non-repudiation)

Filed under IT Management

IT Department TIDAK Efektif (bag. 2)


January 14, 2010 by heri sutrisno Leave a Comment

Spending / Budgeting;

Pembiayaan yang dilakukan pada IT tidak hanya mengenai bagaimana aktual IT budget,
tetapi juga termasuk semua pembiayaan pada teknologi dalam perusahaan, pembiayaan
teknologi yang terjadi dalam bisnis unit, tentang teknologi apa saja yang berhubungan
dengan pekerja, pelayanan teknologi dari luar, hardware dan software.

Gejala-gejala dasar penyebab pembiayaan yang tidak terkendali pada departemen IT


dapat dijabarkan sebagai berikut;

1. Ekspansi IT budget yang besar tiap tahunnya tanpa diimbangi dengan peningkatan
volume bisnis

2. Pembiayaan keluar yang sangat tinggi, terutama pada pelayanan dan konsultan

3. Perusahaan gagal untuk menutup kelebihan biaya atau capital dari projek IT

4. Manajemen IT kesulitan merencanakan biaya tahunan untuk IT ataupun secara kuartal

5. Perbedaan yang besar dalam budget berjalan (bisa positif atau negatif) dalam
departemen IT

6. Infrastruktur teknologi tidak mampu mendukung inisiatif bisnis

Projects;

Dalam Departemen IT dibagi dalam 2 bagian projek yaitu projek internal IT dimana tidak
ada keterlibatan orang lain selain departemen IT; seperti pada projek upgrade server, e-
mail system dan lainnya. Bagian yang kedua adalah projek eksternal IT dimana ada
kordinasi dan keterlibatan pihak luar departemen IT; seperti pada projek implementasi
aplikasi finance, implementasi otomatisasi sales force dan lainnya.
Gejala-gejala umum pada departemen IT yang mengalami kesulitan dalam project
management bisa diuraikan sebagai berikut;

1. Tidak ada target yang jelas pada prek, dan tidak ada catatan dari projek sebelumnya
yang sukses dan sudah selesai

2. Terdapat beberapa projek dan tidak ada konsolidasi antara projek tersebut

3. Ada ketidakjelasan antara to-do list dan projek

4. Jumlah projek yang banyak (lebih dari 100)

5. Tidak ada projek charter untuk projek yang sedang berjalan

6. Dokumentasi projek tidak ada atau tidak lengkap

Staffing;

Gejala umum yang menjadi hambatan dalam departemen IT bisa dijabarkan sebagai
berikut;

1. Struktur organisasi yang tidak jelas, seperti operation support dan application support

2. Tidak ada standarisasi tugas dan kewajiban dan tidak dijelaskan dalam job description
pada tiap tingkatan di departemen IT

3. Terlalu banyak gosip dalam departemen IT

4. Tidak ada interaksi antara staff IT dengan staff lainnya dalam perusahaan

Filed under IT Management

IT Department TIDAK Efektif (bag. 1)


January 14, 2010 by heri sutrisno 4 Comments

Salah satu cara untuk memberikan penilaian terhadap efektifitas IT dalam organisasi
adalah dengan memetakan tingkatan kepuasan (satisfaction) terhadap kinerja IT. Ada
beberapa kriteria yang berpengaruh dalam IT satisfaction, yaitu mengenai tingkatan
pelayanan pada pelanggan (customer), pengurangan biaya-biaya dan juga meningkatkan
operasional bisnis, seperti pada gambar berikut;
Banyak perusahaan yang harus tetap melakukan investasi pada IT, jika bukan untuk
meningkatkan produktifitas, paling tidak untuk meng-imbangi saingan bisnis.

Pada gambar, akan menjadi harapan bagi manajemen dan perusahaan untuk selalu berada
pada posisi “high-satisfaction” , “low-spending”. Tetapi pada kenyataannya, banyak
perusahaan berada pada posisi “high-spending”,”low-satisfaction”.

Kombinasi dari ketidakpuasan IT dan pengeluaran biaya yang tinggi telah membuat suatu
kritikal program dalam memperbaiki departemen IT. Kendala dalam efektifitas IT yang
dihadapi oleh manajer IT dan senior manajemen dalm organisasi menjadi prioritas
organisasi saat ini.

Ada 4 kategori dari kendala yang bisa menjadi penyebab departemen IT TIDAK efektif,
yaitu;

1. Business satisfaction
2. Budgeting
3. Projects
4. Staffing

Business Satisfaction;

Banyak perusahaan mengalami masalah karena tidak harmonisnya hubungan antara


departemen IT dan bisnis sehingga menjadi penilaian yang tidak baik terhadap
departemen IT. Ketidakpuasan dari bisnis dapat dijelaskan beberapa hal sebagai berikut;

1. Pimpinan bisnis unit tidak puas dengan performance IT dan dukungan IT dalam
operasional sehari-hari

2. Bisnis manajer tidak percaya dengan komitmen IT dalam menyelesaikan tugas-


tugasnya
3. Bisnis tidak percaya bahwa IT mempunyai tujuan yang sama dalam bisnis, ada dugaan
bahwa IT tidak peduli untuk mencapai kesuksesan bisnis

4. Bisnis manajer dan user tidak mengetahui / mengerti prioritas dari departemen IT

5. IT menyatakan bahwa bisnis tidak menghargai mereka, dan/atau tidak peduli, dan tidak
menyertai IT dalam proses pembuatan keputusan

6. Bisnis unit membawa IT dalam pembuatan keputusan yang berpengaruh pada system
pada saat terakhir atau tidak sama sekali

7. Bisnis unit membuat dan menjalankan system atau aplikasi tanpa masukan atau
bantuan dari IT

8. bisnis unit menyalahkan IT mengenai kehilangan peluang bisnis atau kegagalan projek

Audit IT Security
January 16, 2010 by heri sutrisno Leave a Comment

Audit IT security dilakukan untuk melindungi sistem yang ada dari ancaman keamanan
yang mungkin terjadi, termasuk;

1. Akses ke data rahasia


2. Akses yang tidak sah ke komputer departemen
3. Pemakaian password
4. Serangan virus
5. Open ports

Audit juga dilakukan untuk memastikan;

1. Memastikan integrity, confidentiality dan availability dari informasi


2. Pengawasan terhadap semua ukuran keamanan berdasarkan IT Security policy
3. Menyelidiki gangguan keamanan yang tercatat dalam buku log

Contoh pertanyaan yang sering diajukan oleh IT Audit;

A. Umum

1. Apakah perusahaan / departemen mempunyai kebijakan keamanan IT, standar


atau prosedur?
2. Apakah kebijakan, standar atau prosedur tersebut disimpan ditempat yang mudah
diakses? dismpan dalam media apa?

B. Hardware
1. Apakah perusahaan / departemen mempunyai standar sistem perawatan dan
prosedur?
2. Apakah sistem administrator sudah memastikan semua data-data penting sudah
dihilangkan sebelum hardware dikirim keluar untuk perbaikan atau penggantian?

C. Software

1. Apakah mempunyai disks asli untuk install ulang jika software di hard disk
bermasalah?
2. Apakah ada panduan atau prosedur untuk melanjutkan operasional jika pusat
pelayanan software bermasalah?

D. Environmental

1. Apakah lingkungan kerja aman dan bebas dari kemungkinan bahaya? (seperti,
atap bocor, kecukupan listrik, dll)
2. Apakah UPS bisa membantu server dan PC jika ada masalah listrik?

E. User login dan Password

1. Apakah ada kebijakan untuk memilih password ?


2. Apakah password diganti? berapa lama?

F. Physical Security

1. Apakah ada prosedur untuk mengunci ruang komputer?


2. Apakah ada sistem alarm?
3. Apakah PC bisa dikunci untuk menghindari akses orang lain ke dalam komputer?

G. Network dan Configuration Security

1. Apakah perusahaan mempunyai diagram network?


2. Apakah perusahaan bisa melanjutkan operasional ketika ada masalah dengan
network?

H. Web Server

1. Apakah web server ditentukan hanya untuk port 80?


2. Apakah contoh file, script dan file development sudah dihapus?

I. FTP

1. Apakah semua FTP server sudah diatur hanya untuk pengguna yang berhak?
2. Apakah traffic di encrypted / aman?

J. Email
1. Apakah email server bisa untuk scan mail dan lampiran dari serangan virus?
2. Apakah akses web ke email aman?

K. Disaster Planning

1. Apakah ada contigency plan jika PC tidak bisa jalan?


2. Apakah contigency plan sudah dicoba secara berkala?

L. Backup dan Recovery

1. Apakah file / data backup disimpan ditempat yang aman?


2. Apakah file-file yang penting di backup secara berkala?

M. Change Management

1. Apakah perusahaan mempunyai version control untuk produk software atau


aplikasi?
2. Apakah hanya orang yang sudah terlatih d\yang diizinkan untuk install software?

N. Training

1. Apakah pegawai baru membaca dan mengerti tentang keamanan IT?


2. Apakah ada workshop untuk pegawai tentang keamanan IT?

O. Firewall

1. Seberapa sering log dilihat?


2. Apakah perusahaan mempunyai teknikal staff untuk menjalankan network
firewall?

P. Antivirus

1. Apakah PC menggunakan antivirus versi terbaru?


2. Seberapa sering anti virus diganti / update?

IT Risk Management
Seperti kita bersama-sama pahami, pemanfaatan Teknologi Informasi (TI) selain
mendatangkan benefit bagi perusahaan juga menghadirkan risiko.

Risiko ini tentunya dapat mengakibatkan kerugian baik materiil (seperti kerugian
finansial) ataupun immateriil (hancurnya image, hilangnya loyalitas pelanggan dll.) bagi
bisnis perusahaan. Bahkan tidak mustahil risiko tersebut bisa berdampak pada ditutupnya
perusahaan.

Risiko yang timbul akibat penggunaan TI ini seringkali tidak dapat dihindari atau
ditiadakan sama sekali, sehingga yang dapat dilakukan adalah bagaimana kita mengelola
risiko tersebut sehingga dampaknya masih dapat diterima oleh perusahaan. Di sini fokus
dari IT Risk Management, dimana perusahaan berupaya mengelola setiap potensi risiko
akibat penggunaan TI dengan mempertimbangkan cost and benefit dari setiap solusi
terkait risiko tersebut.

Berbagai macam risiko dapat timbul akibat dari penggunaan TI biasanya disebabkan
karena adanya sumber ancaman, kesempatan/ancaman itu sendiri dan juga
kerentanan (vulnerability) yang dimiliki TI yang diimplementasikan.

iValueIT memiliki sumber daya manusia yang memiliki wawasan luas dan
berpengalaman dalam membangun dan menerapkan IT Risk Management ini di
perusahaan-perusahaan dengan berdasarkan standard/best practices yang berlaku.
Pengalaman tersebut antara lain sebagai berikut:

Pak Budi, apakah solusi-solusi tadi dijamin dapat menghilangkan semua resiko IT yang
ada ?, tanya salah satu peserta Sharing Vision. Pertanyaan seperti ini banyak muncul
pada salah satu sesi Sharing Vision Enterprise Risk Management & Information
Technology yang diadakan di Hotel Grand Preanger Bandung beberapa waktu lalu.

Budi Rahardjo mengatakan bahwa


tidak mungkin menghapus atau
menghilangkan semua resiko yang
ada. Yang dapat dilakukan adalah
meminimalisasi segala kemungkinan
terjadinya resiko-resiko tersebut.
Menurut Budi, proses finansial dan
administrasi-lah yang memiliki
resiko IT paling tinggi. Lalu data-
data penting juga merupakan hal
yang rawan akan gangguan.

Mengenai data-data penting ini, Budi mencontohkan bahwa pada umumnya seseorang
gemar menimbun data seperti email namun tidak dipergunakan, sehingga menumpuk.
Data yang menumpuk ini biasanya juga rawan akan gangguan. Budi juga mengingatkan
ada beberapa hal penting dalam mempersiapkan atau membangun IT Risk Management
yang baik, yaitu cari kelemahan-kelemahan yang ada, lalu kemungkinan-kemungkinan
yang terjadi dan kira-kira darimana datangnya resiko tersebut.

Pembicara Sharing Vision lainnya Arry Akhmad Arman mengatakan saat membangun IT
Risk Management, perusahaan dapat mengadopsi beberapa standar yang ada seperti
COBIT dan ISO. “Diambil yang positif-positif saja atau yang sesuai dengan kebutuhan
perusahaan, sehingga tercipta standar sendiri“, tambah Arry. (Sharing Vision)
Strategi Pendekatan Manajemen Resiko Dalam
Pengembangan Sistem Informasi
Tulisan ini terdiri atas 2 tulisan terpisah yang saling melengkapi, yang merupakan bagian
dari perencanaan sistem. Suatu pengembangan sistem yang tidak memperhatikan faktor
resiko dan mendefinisikan kemungkinan adanya resiko dalam pengembangan sistem akan
menghasilkan sistem yang sarat dengan kelemahan serta kekurangan dalam
penerapannya.

1. PENDAHULUAN
Resiko adalah suatu umpan balik negatif yang timbul dari suatu kegiatan dengan tingkat
probabilitas berbeda untuk setiap kegiatan[4]. Pada dasarnya resiko dari suatu kegiatan
tidak dapat dihilangkan akan tetapi dapat diperkecil dampaknya terhadap hasil suatu
kegiatan. Proses menganalisa serta memperkirakan timbulnya suatu resiko dalam suatu
kegiatan disebut sebagai manajemen resiko.

Seiring dengan berkembangnya teknologi informasi yang bergerak sangat cepat dewasa
ini, pengembangan unit usaha yang berupaya menerapkan sistem informasi dalam
organisasinya telah menjadi kebutuhan dasar dan semakin meningkat dari tahun ke tahun.
Akan tetapi pola pembangunan sistem informasi yang mengindahkan faktor resiko telah
menyebabkan beberapa organisasi mengalami kegagalan menerapkan teknologi informasi
tersebut, atau meningkatnya nilai investasi dari plafon yang seharusnya, hal ini juga dapat
menghambat proses pencapaian misi organisasi.

Pada dasarnya, faktor resiko dalam suatu perencanaan sistem informasi, dapat
diklasifikasikan ke dalam 4 kategori resiko [3], yaitu :

a. Catastrophic (Bencana)

b. Critical (Kritis)

c. Marginal (kecil)

d. Negligible (dapat diabaikan)

Adapun pengaruh atau dampak yang ditimbulkan terhadap suatu proyek sistem informasi
dapat berpengaruh kepada a) nilai unjuk kerja dari sistem yang dikembangkan, b) biaya
yang dikeluarkan oleh suatu organisasi yang mengembangkan teknologi informasi, c)
dukungan pihak manajemen terhadap pengembangan teknologi informasi, dan d) skedul
waktu penerapan pengembangan teknologi informasi.[1]

Suatu resiko perlu didefinisikan dalam suatu pendekatan yang sistematis, sehingga
pengaruh dari resiko yang timbul atas pengembangan teknologi informasi pada suatu
organisasi dapat diantisipasi dan di identifikasi sebelumnya. Mendefinisikan suatu resiko
dalam pengembangan teknologi informasi pada suatu organisasi terkait *** dengan
Siklus Hidup Pengembangan Sistem (System Development Life Cycle [SDLC]), dimana
fase-fase penerapan SDLC dalam pengembangan teknologi informasi di spesifikasikan
*** analisa resiko.

2. POLA PENDEKATAN
System Development Life Cycle [SDLC] adalah suatu tahapan proses perancangan suatu
sistem yang dimulai dari tahap investigasi; pembangunan; implementasi;
operasi/perawatan; serta tahap penyelesaian [4]. Dari dasar tersebut di atas, strategi
penerapan manajemen resiko perlu mempertimbangkan dampak yang mungkin timbul
dengan tingkat probabilitas yang berbeda untuk setiap komponen pengembangan sistem
informasi.

Pola pendekatan manajemen resiko juga perlu mempertimbangkan faktor-faktor pada


System Development Life Cycle (SDLC) yang terintegrasi, yaitu Mengindentifikasikan
faktor-faktor resiko yang timbul dan diuraikan disetiap tahap perancangan sistem, yang
tersusun sebagai berikut :

Tahap 1. Investigasi

Tahap ini suatu sistem didefinisikan, menyangkut ruang lingkup pengembangan yang
akan dibuat, yang semua perencanaan atas pengembangan sistem di dokumentasikan
terlebih dahulu. Dukungan yang dibutuhkan dari manajemen resiko pada tahap ini adalah
faktor resiko yang mungkin terjadi dari suatu sistem informasi di identifikasikan,
termasuk di dalamnya masalah serta konsep pengoperasian keamanan sistem yang
semuanya bersifat strategis.

Tahap 2. Pengembangan

Tahap ini merupakan tahap dimana suatu sistem informasi dirancang, pembelian
komponen pendukung sistem di laksanakan, aplikasi di susun dalam program tertentu,
atau masa dimana konstruksi atas sistem di laksanakan. Pada proses ini, faktor resiko
diidentifikasikan selama tahap ini dilalui, dapat berupa analisa atas keamanan sistem
sampai dengan kemungkinan yang timbul selama masa konstruksi sistem di laksanakan.

Tahap 3. Implementasi

Tahap ini kebutuhan atas keamanan sistem dikonfigurasikan, aplikasi sistem di uji coba
sampai pada verifikasi atas suatu sistem informasi di lakukan. Pada tahap ini faktor resiko
di rancang guna mendukung proses pelaksanaan atas implementasi sistem informasi
sehingga kebutuhan riil di lapangan serta pengoperasian yang benar dapat dilaksanakan.

Tahap 4. Pengoperasian dan Perawatan


Tahap ini merupakan tahap dimana sistem informasi telah berjalan sebagaimana
mestinya, akan tetapi secara secara berkala sistem membutuhkan modifikasi,
penambahan peralatan baik perangkat keras maupun perangkat lunak pendukung,
perubahan tenaga pendukung operasi, perbaikan kebijakan maupun prosedur dari suatu
organisasi. Pada tahap ini manajemen resiko lebih menitik beratkan pada kontrol berkala
dari semua faktor yang menentukan berjalannya sistem, seperti perangkat keras,
perangkat lunak, analisa sumber daya manusia, analisa basis data, maupun analisa atas
jaringan sistem informasi yang ada.

Tahap 5. Penyelesaian/penyebaran

Tahap ini merupakan tahap dimana system informasi yang telah digunakan perlu di
lakukan investasi baru karena unjuk kerja atas sistem tersebut telah berkurang, sehingga
proses pemusnahan data, penggantian perangkat keras dan perangkat lunak, ataupun
berhentinya kegiatan atau kepindahan organisasi ke tempat yang baru. Manajemen resiko
yang perlu di perhatikan dalam tahap ini adalah memastikan proses pemusnahan atas
komponen-komponen system informasi dapat berjalan dengan baik, terkelola dari segi
keamanan.

Setelah pola pendekatan manajemen resiko di definisikan dalam masing-masing tahap


SDLC, maka tahap selanjutnya adalah menilai manajemen resiko dalam metodologi
tertentu. Upaya memberikan penilaian atas dampak resiko dalam pengembangan sistem
informasi, perlu dilakukan karena dapat memberikan gambaran atas besar atau kecilnya
dampak ancaman yang mungkin timbul selama proses pengembangan sistem.

3. METODOLOGI PENILAIAN RESIKO


Untuk menentukan kemungkinan resiko yang timbul selama proses pengembangan
sistem informasi berlangsung, maka organisasi yang bermaksud mengembangkan sistem
informasi perlu menganalisa beberapa kemungkinan yang timbul dari pengembangan
sistem informasi tersebut. Adapun metodologi penilaian resiko pengembangan sistem
informasi dapat diuraikan dalam 9 langkah[4], yang tersusun sebagai berikut :

a. Menentukan karakteristik dari suatu sistem

b. Mengidentifikasikan ancaman-ancaman

c. Mengidentifikasikan kelemahan sistem

d. Menganalisa pengawasan

e. Menentukan beberapa kemungkinan pemecahan masalah

f. Menganalisa pengaruh resiko terhadap pengembangan sistem


g. Menentukan resiko

h. Merekomendasikan cara-cara pengendalian resiko

i. Mendokumentasikan hasil keputusan

Tahap ke dua, tiga, empat dan enam dari langkah tersebut di atas dapat dilakukan secara
paralel setelah langkah pertama dilaksanakan. Adapun gambaran dari setiap langkah
tersebut adalah sebagai berikut :
Gambar Flowchart metodologi penilaian resiko
Langkah 1. Menentukan Karakterisasi Sistem

Pada langkah pertama ini batasan suatu sistem yang akan dikembangan di identifikasikan,
meliputi perangkat keras, perangkat lunak, sistem interface, data dan informasi, sumber
daya manusia yang mendukung sistem IT, tujuan dari sistem, sistem dan data kritis, serta
sistem dan data sensitif. Beberapa hal tambahan yang dapat diklasifikasikan pada
karakteristik sistem selain hal tersebut di atas seperti bentuk dari arsitektur keamanan
sistem, kebijakan yang dibuat dalam penanganan keamanan sistem informasi, bentuk
topologi jaringan komputer yang dimiliki oleh organisasi tersebut, Manajemen
pengawasan yang dipakai pada sistem TI di organisasi tersebut, dan hal lain yang
berhubungan dengan masalah keamanan seputar penerapan Teknologi Informasi di
organisasi yang bermaksud mengembangkan sistem informasi.

Adapun teknik pengumpulan informasi yang dapat diterapkan pada langkah ini meliputi :

1. Membuat daftar kuesinoner. Daftar kuesioner ini di susun untuk semua level
manajemen yang terlibat dalam sistem dengan tujuan mengumpulkan informasi
seputar keamanan data dan informasi dengan tujuan untuk memperoleh pola
resiko yang mungkin dihadapi oleh sistem.
2. Interview. Bentuk lain dari pengumpulan data dengan cara interview terhadap IT
Support atau personil yang terlibat dalam sistem informasi.
3. Review atas dokumen. Review atas dokumen pengembangan sistem, Dokumen
kebijakan, atau dokumen keamanan informasi dapat memberikan gambaran yang
bermanfaat tentang bentuk dari kontrol yang saat ini diterapkan oleh SI maupun
rencanan pengembangan dari pengawasan di masa depan.
4. Penerapan Tool. Menggunakan suatu tool aplikasi yang memiliki tujuan untuk
mengumpulkan informasi tentang sistem informasi yang digunakan merupakan
salah satu cara untuk dapat memetakan sistem secara keseluruhan, seperti
penggunakan network monitor, maupun tools lain.

Hasil output dari langkah pertama ini akan menghasilkan Penaksiran atas karakteristik
sistem IT, Gambaran tentang lingkungan sistem IT serta gambaran tentang batasan dari
sistem yang dikembangkan.

Langkah 2. Mengidentifikasikan ancaman-ancaman

Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang
dapat mengganggu keseimbangan sistem informasi. Timbulnya ancaman dapat dipicu
oleh suatu kondisi dari sumber ancaman. Sumber ancaman dapat muncul dari kegiatan
pengolahan informasi yang berasal dari 3 hal utama, yaitu (1) Ancaman Alam; (2)
Ancaman Manusia, dan (3) Ancaman Lingkungan. Ancaman yang berasal dari manusia
memiliki karakteristik tersendiri, serta memiliki alasan tersendiri dalam melakukan
gangguan terhadap sistem informasi yang ada. Adapun alasan yang timbul dari ancaman
manusia ini dapat di definisikan dalam tabel berikut :
Sumber ancaman Alasan Aksi yang timbul
• Hacking
• Tantangan
• Social Engineering
• Ego
Hacker, Cracker • Gangguan sistem

• Memberontak
• Akses terhadap sistem
• Perusakan informasi • Tindak Kriminal
• Penyingkapan informasi • Perbuatan curang
secara ilegal • Penyuapan
Kriminal
• Keuntungan moneter • Spoofing

• Merubah data • Intrusi atas sistem


• Bom/teror
• Surat kaleng
• Perang informasi
• Perusakan
• Penyerangan sistem
Teroris • Peledakan
• Penembusan atas sistem
• Balas dendam
• Tampering sistem
• Pencurian informasi
• Persaingan usaha
• Social engineering
Mata-mata
• Mata-mata ekonomi
• Penembusan atas sistem
• Surat kaleng
• Sabotase atas sistem
• Keingintahuan
• Bug sistem
• Ego
• Pencurian/penipuan
Orang dalam • Mata-mata
• Perubahan data
Organisasi • Balas dendam
• Virus, trojan, dll
• Kelalaian kerja
• Penyalahgunaan
komputer

Organisasi yang membutuhkan daftar dari sumber ancaman, perlu melakukan hubungan
dengan badan-badan atau sumber-sumber yang berhubungan dengan keamanan, seperti
misalnya sumber ancaman dari alam diharapkan hubungan dengan BMG yang menangani
masalah alam, atau pihak intelijen atau media massa yang dapat mendeteksi sumber
ancaman dari manusia. Hasil output dari ancaman ini merupakan pernyataan atau daftar
yang berisikan sumber ancaman yang mungkin dapat mengganggu sistem secara
keseluruhan.
Langkah 3. Identifikasi kelemahan

Cacat atau kelemahan dari suatu sistem adalah suatu kesalahan yang tidak terdeteksi yang
mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan
maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran
oleh sumber ancaman yang mencoba menyusup terhadap sistem tersebut.

Pada beberapa vendor besar, informasi atas kelemahan sistem yang dibuat oleh vendor
tersebut ditutup atau dihilangkan dengan penyediaan layanan purna jual dengan
menyediakan hot fixes, service pack, pathces ataupun bentuk layanan lain.

Penerapan metode proaktif atau tersedianya karyawan yang bertugas untuk melakukan
sistem test dapat di pakai untuk mencek kelemahan sistem secara efisien, dimana hal
tersebut tergantung kepada keberadaan sumber daya atau kondisi IT yang bersifat kritis.
Metode tes yang diterapkan dapat berbentuk :

• Penggunaan tool yang menscan kelemahan sistem secara automatis


• Adanya Evaluasi dan sekuriti tes (ST&E), atau
• Melakukan penetrasi tes

Penggunaan tools untuk mencek kelemahan sistem diterapkan pada grup perusahaan
dengan kelengkapan jaringan komputer yang memadai, yang digunakan untuk memindai
beberapa servis sistem yang disinyalir lemah (seperti : Diperbolehkannya anonymous
FTP, sendmail automatis, dll). Strategi ST&E merupakan metode tes yang di terapkan
pada saat proses penilaian atas resiko dilakukan. Metode ini diterapkan saat
pengembangan dan eksekusi atas Sistem Informasi berjalan yaitu pada bagian test plan.
Kegunaan dari metode ini adalah untuk melihat efektifitas dari kontrol atas sekuriti dari
sistem IT terimplementasikan dalam kondisi sistem beroperasi. Penetrasi tes merupakan
metode yang digunakan sebagai pelengkap dalam memeriksa kontrol atas sekuriti dan
menjamin tidak adanya masalah sekuriti yang mungkin timbul pada sistem IT.

Bentuk keluaran yang timbul pada langkah ketiga ini memungkinkan pihak penilai resiko
mendapatkan daftar dari kelemahan sistem yang dapat dianggap sebagai potensi dari
sumber ancaman di kemudian hari.

Langkah 4. Analisa pengawasan

Tujuan yang diharapkan pada langkah ini adalah untuk menganalisa penerapan kontrol
yang telah diimplementasikan atau yang direncanakan. Bagi organisasi langkah ini perlu
untuk meminimalisasi atau bahkan mengeliminasi probabilitas kemungkinan yang timbul
dari sumber ancaman atau potensi kelemahan atas sistem.

Metode pengawasan
Metode pengawasan terdiri atas metode yang bersifat teknis maupun non teknis. Metode
pengawasan secara teknis merupakan salah satu upaya perlindungan kepada organisasi
dalam hal perlindungan terhadap perangkat keras komputer, perangkat lunak maupun
mekanisme akses kontrol yang digunakan, sedangkan metode nonteknis lebih ditekankan
kepada pengawasan atas manajemen dan operasional penggunaan sistem IT di organisasi
tersebut, seperti penerapan policy keamanan, prosedur operasional, maupun manajemen
personel yang ada.

Kategori pengawasan

Kategori pengawasan baik secara teknis maupun non teknis dapat diklasifikasikan dalam
2 pendekatan yaitu pendekatan preventif atau detektif.

Pendekatan preventif adalah upaya untuk mencegah upaya pelanggaran atas policy
keamanan seperti pengaksesan atas sistem IT atau tindakan lain misalnya dengan cara
mengenkripsi informasi atau menerapkan otentifikasi atas informasi.

Pendekatan detektif adalah cara untuk memperingati pengguna atas terjadinya


pelanggaran atau percobaan pelanggaran atas policy keamanan yang ada, metode ini
contoh pada Microsoft Windows dengan menggunakan teknik audit trails, metode deteksi
penyusupan atau teknik checksum.

Teknis analisa pengawasan

Analisa pengawasan atas policy keamanan dapat menggunakan teknik checklist


pengguna yang mengakses sistem IT atau dengan penggunaan checklist yang tersedia
untuk memvalidasi keamanan, hal paling penting pada tahap ini adalah mengupdate terus
menerus atas checklist pengguna sistem untuk mengontrol pemakai.

Hasil yang diharapkan muncul pada tahap ini adalah tersedianya daftar kontrol yang
digunakan dan yang sedang direncanakan oleh sistem IT untuk memitigasi kemungkinan
adanya kelemahan atas sistem dan memperkecil dampak yang mungkin timbul atas
penerapan policy keamanan.

Langkah 5. Menerapkan beberapa kemungkinan

Pada langkah ini, semua skalabilitas kemungkinan yang mungkin timbul dari kelemahan
sistem didefinisikan. Terdapat beberapa faktor yang perlu dipertimbangkan dalam upaya
mendefinisikan skalabilitas seperti :

• Motif dan kapabilitas dari sumber ancaman


• Kelemahan bawaan dari sistem
• Eksistensi dan efektifitas kontrol yang di terapkan

Adapun level skalabilitas dari ancaman menurut Roger S. Pressman [3], dapat di
definisikan dalam 4 kategori yang didefinisi dalam tabel berikut :
Tingkat
Definisi
Ancaman
Pada level ini tingkat ancaman dapat dikategorikan sangat merusak,
dimana sumber ancaman memiliki motif besar saat melakukan
Catastrophics
kegiatannya. dampak yang ditimbulkan dari tingkat ini dapat membuat
sistem tidak berfungsi sama sekali.
Level ini dapat dikategorikan cukup membuat merusak sistem IT, akan
tetapi penggunaan kontrol yang diterapkan pada sistem telah dapat
Critical
menahan kondisi kerusakan sehingga tidak menyebabkan kerusakan yang
besar pada sistem.
Pada level ini kontrol keamanan mampu mendeteksi sumber ancaman
yang menyerang sistem IT, walau tingkat kerusakan pada sistem masih
Marginal
terjadi akan tetapi masih dapat di perbaiki dan dikembalikan kepada
kondisi semula
Pada level ini sumber ancaman tidak dapat mempengaruhi sistem,
Negligible dimana kontrol atas sistem sangat mampu mengantisipasi adanya
kemungkinan ancaman yang dapat mengganggu sistem

Hasil dari langkah kelima ini adalah terdefinisikan ancaman dalam beberapa tingkat
tertentu, yaitu kategori catastrophic, critical, marginal atau negligible

Langkah 6. Analisa dampak

Analisa dampak merupakan langkah untuk menentukan besaran dari resiko yang
memberi dampak terhadap sistem secara keseluruhan. Penilaian atas dampak yang terjadi
pada sistem berbeda-beda dimana nilai dari dampak sangat tergantung kepada

• Tujuan sistem IT tersebut saat di kembangkan


• Kondisi sistem dan data yang bersifat kritis, apakah dikategorikan penting atau
tidak
• Sistem dan data yang bersifat sensitif

Informasi tersebut di atas, dapat diperoleh dari sumber dokumentasi pengembangan


sistem di organisasi yang mengembangkan sistem informasi. Analisa dampak bagi
beberapa kalangan dapat juga disebut sebagai BIA (Business Impact Analysis) dimana
skala prioritas atas sumber daya yang dimiliki memiliki level yang berbeda.

Dampak yang ditimbulkan oleh suatu ancaman maupun kelemahan, dapat dianalisa
dengan mewawancarai pihak-pihak yang berkompeten, sehingga didapatkan gambaran
kerugian yang mungkin timbul dari kelemahan dan ancaman yang muncul. Adapun
dampak kerugian yang mungkin timbul dari suatu resiko dikategorikan dalam 3 (tiga)
kemungkinan yang mana dampak tersebut dapat berkonsekuensi atas satu atas kombinasi
dari ketiga hal tersebut. Dampak yang timbul dapat mengarah kepada :

a. Dampak atas Confidentiality (Kenyamanan).


Dampak ini akan berakibat kepada sistem dan kerahasiaan data dimana sumber daya
indormasi akan terbuka dan dapat membahayakan keamanan data. Penyingkapan atas
kerahasiaan data dapat menghasilkan tingkat kerugian pada menurunnya kepercayaan
atas sumber daya informasi dari sisi kualitatif, sedang dari sisi kuantitatif adalah
munculnya biaya perbaikan sistem dan waktu yang dibutuhkan untuk melakukan
recovery atas data

b· Dampak atas Integrity (Integritas)

Dampak integritas adalah termodifikasikan suatu informasi, dampak kualitatif dari


kerugian integrity ini adalah menurunkan tingkat produktifitas kerja karena gangguan
atas informasi adapun dampak kuantitatif adalah kebutuhan dana dan waktu merecovery
informasi yang berubah.

c· Dampak atas Availability (Ketersediaan)

Kerugian ini menimbulkan dampak yang cukup signifikan terhadap misi organisasi
karena terganggunya fungsionalitas sistem dan berkurangnya efektifitas operasional.

Adapun hasil keluaran dari langkah ke 6 ini adalah kategorisasi dampak dari resiko dalam
beberapa level seperti dijelaskan pada langkah 5 yang di implementasikan terhadap
tingkat CIA tersebut di atas.

Langkah 7. Tahap Penentuan Resiko

Dalam tahap ini, dampak resiko didefinisikan dalam bentuk matriks sehingga resiko
dapat terukur. Bentuk dari matriks tersebut dapat berupa matriks 4 x 4, 5 x 5 yang
tergantung dari bentuk ancaman dan dampak yang di timbulkan.

Probabilitas dari setiap ancaman dan dampak yang ditimbulkan dibuat dalam suatu skala
misalkan probabilitas yang timbul dari suatu ancaman pada langkah ke 5 di skalakan
dalam nilai 1.0 untuk tingkat Catastrophics, 0,7 untuk tingkat critical, 0,4 untuk tingkat
marginal dan 0,1 untuk tingkat negligible.

Adapun probabilitas dampak pada langkah ke 6 yang timbul di skalakan dalam 4 skala
yang sama dengan nilai 4 dampak, dimana skala sangat tinggi di definisikan dalam nilai
100, tinggi dalam nilai 70, sedang diskalakan dalam penilaian 40 dan rendah diskalakan
dalam nilai 10, maka matriks dari langkah ke 7 ini dapat di buat dalam bentuk :

Dampak
Sangat
Tingkat Tinggi Sedang Rendah
Tinggi
Ancaman
(70) (40) (10)
(100)
Catastro 100 x 1=70 x 1 =40 x 1 =10 x 1 =
phic (1,0) 100 70 40 10
Critical 100 x 0,770 x 0,740 x 0,7 =10 x 0,7 =
(0,7) = 0,7 = 49 28 7
Marginal 100 x 0,470 x 0,440 x 0,4 =10 x 0,4 =
(0,4) = 40 = 28 16 4
Negligibl 100 x 0,170 x 0,140 x 0,1 =10 x 0,1 =
e (0,1) = 10 =7 4 1

Langkah 8. Rekomendasi kontrol

Setelah langkah mendefinisikan suatu resiko dalam skala tertentu, langkah ke delapan ini
adalah membuat suatu rekomendasi dari hasil matriks yang timbul dimana rekomendasi
tersebut meliputi beberapa hal sebagai berikut :

1. Rekomendasi tingkat keefektifitasan suatu sistem secara keseluruhan


2. Rekomendasi yang berhubungan dengan regulasi dan undang-undang yang
berlaku
3. Rekomendasi atas kebijakan organisasi
4. Rekomendasi terhadap dampak operasi yang akan timbul
5. Rekomendasi atas tingkat keamanan dan kepercayaan

Pendefinisian skala rekomendasi yang dibuat berdasarkan skala prioritas dari organisasi
tersebut.

Langkah 9. Dokumentasi hasil pekerjaan

Langkah terakhir dari pekerjaan ini adalah pembuatan laporan hasil investigasi atas
resiko bidang sistem informasi. Laporan ini bersifat laporan manajemen yang digunakan
untuk melakukan proses mitigasi atas resiko di kemudian hari.

4. KESIMPULAN
Pendekatan manajemen resiko dalam pembangunan IT merupakan proses penting untuk
menghindari segala kemungkinan-kemungkinan yang terjadi saat IT tersebut dalam
proses pengembangan, maupun saat maintenance dari IT dilaksanakan. Proses
penganalisaan dampak resiko dapat di susun dalam bentuk matriks dampak untuk
memudahkan para pengambil kebijakan pada proses mitigasi resiko.

5. DAFTAR PUSTAKA
[1] Bonham, Stephen S., “IT Project Portfolio Management”, Artech House, Boston,
2005;
[2] O’ Brien, James A, “Management Information Systems, 4th Edition”, Galgotia
Publications Pvt, Ltd, New Delhi, 1999;

[3] Pressman, Roger S., “Software Engineering A Pratitioner’s Approach : 6th Ed.”,
McGraw Hill,New York, 2005;

[4] Stoneburner, Gary et. al, “Risk Management Guide for Information Technology
Systems”, U.S. Departement of Commerce, 2002;

[5] Blyth, Andrew & Gerald L. Kavacich, Information Assurance – Security in the
Information Environment 2nd Edt., Springer Verlag, London, 2006;