PENGUKURAN RISIKO TEKNOLOGI INFORMASI PADA PT MAZDA DENGAN MENGGUNAKAN METODE FRAP Aldo Inigo Nicholas Hardian Samekto

Bayu Wijayanto 1100000802 1100002770 1100007834

Kelas / Kelompok: 07PAA / 01

Abstrak

Teknologi informasi (TI) merupakan hal yang krusial dewasa ini. Banyak perusahaan yang bergerak dalam berbagai bidang usaha menggunakannya sebagai media pendukung dalam melakukan aktivitas bisnis. Tujuan penelitian ini adalah untuk mengidentifikasi dan mengukur risiko yang terkait dengan TI pada PT Mazda Motor Indonesia. Metodologi yang dipakai dalam penyusunan karya tulis ini adalah metode kualitatif. Metode pengumpulan data menggunakan teknik pengumpulan data dan teknik analisis. Teknik pengumpulan data terdiri dari metode studi pustaka, metode studi lapangan (wawancara), dan metode studi kasus. Teknik analisis yang digunakan penulis adalah teknik FRAP. Hasil yang dicapai adalah ditemukannya risiko-risiko keamanan pada sistem informasi, kesadaran karyawan yang kurang dan juga sudah terdapat praktek keamanan yang masih dalam tahap pengembangan serta telah adanya audit secara berkala. Kesimpulan dari penelitian ini adalah memberikan informasi kepada perusahaan mengenai risiko-risiko yang ada di perusahaan serta prioritas dan juga solusi menangani risiko tersebut.

Kata kunci: Pengukuran risiko, Risiko, Teknologi informasi, FRAP

I.

Pendahuluan Teknologi informasi (TI) merupakan hal yang krusial dewasa ini. Banyak perusahaan yang bergerak dalam berbagai bidang usaha menggunakannya sebagai media pendukung dalam melakukan aktivitas bisnis. Lewat dukungan teknologi informasi maka kegiatan operasional perusahaan yang sifatnya rutin dan non-rutin menjadi semakin dimudahkan. Perusahaan yang menggunakan teknologi informasi akan mendapat keuntungan-keuntungan kompetitif dibandingkan dengan perusahaan yang belum menggunakan teknologi informasi sebagai tulang punggung bisnisnya. (OBrien, 2005). Jika teknologi informasi adalah hal yang akan memberikan dukungan tambahan bagi perusahaan maka risiko adalah hal yang bersifat kontraproduktif bagi perusahaan. Risiko merupakan ketidakpastian yang mungkin melahirkan peristiwa kerugian (Djojosoedarso, 2003). Bila risiko dibiarkan dan tidak diberi suatu perhatian khusus oleh perusahaan mungkin saja di masa depan risiko tersebut menjadi ancaman lalu akhirnya merugikan perusahaan sendiri. Dengan adanya suatu manajemen risiko, risiko-risiko yang ada dapat dihilangkan, dikurangi, ataupun ditransfer. Oleh karena itu manajemen resiko di dalam suatu perusahaan amat penting dan dapat menghindari perusahaan dari kerugian-kerugian yang mungkin timbul di masa mendatang yang berasal dari resiko-resiko yang tidak dijadikan titik fokus di masa sekarang. (Gondodiyoto, 2009). Ada berbagai metode dalam menganilisa risiko salah satunya adalah FRAP. FRAP merupakan kependekan dari Facilitated Risk Analysis Process (Peltier, 2005). Metode FRAP dikembangkan sebagai proses yang efisien dan disiplin untuk menjamin resiko informasi terkait keamanan yang

berhubungan dengan operasi bisnis dipertimbangkan dan didokumentasikan. II. FRAP FRAP (Peltier, 2001, pp69-70) dikembangkan sebagai proses yang efisien dan disiplin untuk menjamin risiko informasi terkait keamanan yang berhubungan dengan operasi bisnis dipertimbangkan dan didokumentasikan. Prosesnya melibatkan penganalisaan satu sistem, aplikasi, atau segmen dari operasi bisnis pada satu waktu dan mengumpulkan sebuah tim dari individuindividu termasuk manajer bisnis yang akrab dengan kebutuhan informasi bisnis dan staf teknis yang memiliki pemahaman yang rinci tentang kelemahan sistem yang potensial dan terkait kontrol. Selama sesi ini, tim mengungkapkan pendapat tentang ancaman yang potensial, vulnerability, dan hasil dari dampak negatif pada integrity data, confidentiality, serta availability. Lalu tim akan menganalisa pengaruh dampak tersebut terhadap operasi bisnis dan secara luas mengkategorikan risiko menurut prioritas levelnya. Tim biasanya tidak mencoba untuk mendapatkan atau mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau perkiraan kerugian tahunan meskipun data untuk menentukan faktorfaktor tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan literatur, dan pengalaman mereka sendiri. Setelah mengidentifikasi dan mengkategorikan risiko, tim mengidentifikasi pengendalianpengendalian yang dapat diimplementasikan untuk mengurangi risiko, berfokus pada pengendalian yang paling efektif dari segi biaya. Tim akan menggunakan titik awal dari 26 kontrol

umum yang dirancang untuk mengatasi berbagai jenis risiko. Pada akhirnya, keputusan seperti apa yang dibutuhkan terkait pengendalian terletak pada manajer bisnis yang mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi bisnis dan biaya pengendalian. Kesimpulan tim mengenai risikorisiko apa yang ada, bagaimana prioritasnya, dan pengendalian apa yang yang dibutuhkan, didokumentasikan dan dikirim kepada pimpinan proyek dan manajer bisnis untuk menyelesaikan rencana aksi. Tiap proses analisa risiko (Peltier, 2001, pp70) dibagi menjadi empat sesi yang berbeda: a. Pre-FRAP meeting menghabiskan waktu satu jam dan melibatkan manajer bisnis, kepala proyek, dan fasilitator. b. FRAP session berlangsung sekitar empat jam dan termasuk tujuh hingga 15 orang, sesi dapat berisi paling banyak lima puluh orang dan minimal empat orang. c. FRAP analysis and report generation biasanya memakan waktu empat sampai enam hari dan diselesaikan oleh fasilitator. d. Post-FRAP session menghabiskan waktu satu jam dan yang menghadirinya sama dengan anggota yang hadir pada pre-FRAP meeting. III. FRAP yang telah dimodifikasi FRAP yang dimodifikasi adalah metode FRAP yang dari keempat tahapan tersebut ada satu atau beberapa sub tahapan yang dimodifikasi karena keterbatasan personnel ataupun waktu serta keadaan lingkungan perusahaan

yang tidak memungkinkan. Agar lebih jelasnya, berikut ini adalah tahapan FRAP yang telah dimodifikasi yang dilakukan penulis di PT MMI. 1. Rapat dalam tahap pre-FRAP kurang lebih dilakukan selama sejam dan melibatkan manajer logistik, manajer TI, dan penulis yang terdiri dari tiga orang sebagai fasilitator. Di dalam tahapan ini terdapat 5 komponen utama yaitu : a. Scope Statement Pimpinan proyek dan manajer bisnis harus menentukan ruang lingkup pembahasan. Karena penelitian yang dilakukan penulis merupakan penelitian yang digunakan untuk mendukung pembuatan skripsi maka scope statementnya menyesuaikan dengan ruang lingkup pada skripsi penulis yaitu hanya membahas mengenai hardware, software, dan jaringan yang digunakan pada PT Mazda Motor Indonesia. b. Visual Model Dibutuhkan suatu model visual dalam bentuk diagram yang menggambarkan proses yang akan direview. Penulis akan membuat model visual ini lalu dikomunikasikan kepada PT MMI. c. Menentukan Team FRAP Anggota team terdiri dari lima orang dan mewakili bidangnya masing-masing. Pihak Mazda yang terlibat adalah manajer logistik dan manajer TI. Sedangkan dari pihak penulis yang terlibat sebanyak tiga orang. Satu orang berperan sebagai kepala proyek dan fasilitator. Satu orang sebagai juru tulis dan fasilitator. Satu orang lagi berperan sebagai fasilitator saja. Konsultasi jadwal dengan pihak Mazda Project leader berkonsultasi dengan pihak Mazda untuk membuat jadwal bertemu d.

untuk melakukan wawancara.

brainstorming dan

e. Agreement on definitions Persetujuan mengenai definisi-definisi yang dipakai selama analisis, mencakup definisi integritas, kerahasiaan, dan ketersediaan. Penting juga menetapkan persetujuan mengenai : -Risiko -Control -Impact -Vulnerability - Distribusi - Logistik 2.Sesi FRAP dilakukan selama kurang lebih dua jam dan melibatkan tim FRAP seperti yang sudah dijelaskan di bagian pre-FRAP. Di dalam FRAP yang dimodifikasi, pada tahap ini pertemuan hanya dilakukan dengan dua manajer bisnis, Karena kesibukkan, waktu, dan lingkungan perusahaan yang tidak memungkinkan untuk mengumpulkan kesemua manajer bisnis yang mewakili bidangnya masing masing. Pertemuan dengan manajer bisnis lainnya dilakukan secara terjadwal dan bergantian. Manajer bisnis yang terlibat di sini terdiri dari manajer TI dan manajer logistik. Fase 1 Logistik Selama fase ini, tim FRAP akan memperkenalkan diri, memberikan nama, jabatan, departemen, dan nomor telepon (semuanya ini akan dicatat oleh juru tulis). Peran tim FRAP akan diidentifikasi dan dibahas. Ada lima peran: a. Pemilik Risiko b. Kepala Proyek. c. Fasilitator d. Juru tulis e. Anggota tim, dalam hal ini semua yang terlibat menjadi anggota FRAP Selama fase awal ini, tim FRAP akan diberikan gambaran proses di mana

mereka akan terlibat. Mereka juga akan dihadapkan pada pernyataan ruang lingkup, dan kemudian kepala proyek akan memberikan gambaran lima menit dari proses yang sedang ditinjau (model visual). Akhirnya, definisi akan ditinjau dan jumlah masing-masing harus diberikan sebuah salinan dari definisi. Fase 2 - Setelah pendahuluan selesai, tim FRAP akan memulai proses brainstorming yang meninjau setiap element (integrity, availability, confidentiality) dan mengidentifikasi risiko-risiko, ancaman-ancaman, concern, dan isu-isu untuk masingmasing element. Proses brainstorming dimulai ketika fasilitator menunjukkan definisidefinisi dan 120 risiko. Kemudian tim diberikan waktu sepuluh menit untuk menulis risiko-risiko yang menjadi perhatian mereka. Fasilitator kemudian akan mengumpulkan satu risiko dari masing-masing anggota. Anggota akan menemukan lebih dari satu risiko, namun prosesnya adalah untuk mendapatkan satu risiko dan berlanjut kepada orang berikutnya. Dengan cara ini, setiap orang dapat berpartisipasi. Proses berlanjut hingga semua orang mendapat giliran sampai risiko dinyatakan habis atau tidak ada lagi oleh tim. Risiko-risiko yang telah ditemukan oleh tim kemudian dirapihkan dan disalin serta dibuat perubahan di mana dirasa layak. Saat proses analisis mulai dilakukan, penulis berkonsentrasi untuk memprioritaskan risiko. Hal ini dilakukan dengan menentukan vulnerability dan dampak jika risiko terjadi. Penulis menggunakan sample priority mattrix sebagai acuan untuk menentukan prioritas risiko. Berikut ini adalah sample priority matrix (Gambar 1.1 Sample Priority Matrix)

Business Impact Sample Priority Matrix High Medium Low

High

B1

C1

Vulnerability

Medium

B3

B2

C2

Low

C4

C3

Gambar 1.1 Sample Priority Matrix Berikut ini adalah langkah penulis dalam menentukan prioritas dari risikorisiko yang ditemukan : a. Penulis mengacu pada 120 risiko FRAP kemudian team menentukan risikorisiko yang cocok dan relevan pada kondisi perusahaan. Tipe risiko sudah ditentukan oleh FRAP risk list. b. Penulis melakukan analisa pada setiap risiko satu persatu. Lalu dari tiaptiap risiko, penulis menentukan prioritas dari risiko berdasarkan impact dan vulnerability. Vulnerability ditentukan nilainya dengan cara melihat titik lemah yang ada di perusahaan, lalu dari pengertian yang sudah dipahami penulis mengenai masingmasing tingkatan vulnerability, penulis akan menentukan tingkatan vulnerability yang sesuai. Kemudian impact ditentukan dengan cara melihat seberapa besar dampak yang diterima perusahaan jika risiko terjadi. Penulis akan menentukan tingkatan impact dari analisa impact sebelumnya. Penentuan nilai vulnerability dan impact dilakukan tanpa existing control. melibatkan

c. Dari risiko yang sudah ditentukan tipe dan prioritasnya, penulis akan menentukan control yang mengacu kepada control list. Dari duapuluh enam control yang ada, dipilih beberapa yang sesuai dengan risiko. Semua risiko yang ditemukan selama FRAP Session dimasukkan ke dalam tabel FRAP Session Deliverable. Untuk risiko dengan prioritas A dan B diberikan suggested control, sedangkan untuk yang C dan D tidak. 3. Post-FRAP Tahap Post Frap dimulai dengan membuat cross reference sheet. Risiko yang dimasukkan ke dalam Cross reference Sheet adalah risiko yang mempunyai prioritas A dan B. Kemudian penulis akan membandingkan risiko yang ada dengan existing control di perusahaan. Langkah selanjutnya adalah berkonsultasi dengan pemilik risiko mengenai open risk. Langkah keempat adalah mengidentifikasi control terhadap open risk yang disetujui oleh pihak perusahaan. Di mana control yang diidentifikasi berasal dari suggested

control yang belum ada di existing control. Langkah terakhir adalah membuat final report letter yang berisi action plan yang sebaiknya dilakukan oleh perusahaan. IV. Studi Kasus Penulis memilih PT Mazda Motor Indonesia sebagai bahan untuk melakukan penelitian mengenai pengukuran risiko TI. PT Mazda Motor Indonesia merupakan distributor resmi dari Mazda Motor Corporation. PT Mazda Motor Indonesia telah berdiri sejak tahun 2006. PT MMI bergerak dibidang distribusi, dimana PT MMI mendistribusikan unit-unit dari PT Mazda Motor Corporation yang berada di Jepang. PT Mazda Motor Indonesia telah menjalankan kebijakan keamannan diantaranya : 1. Untuk mengakses komputer pada PT Mazda tidak semua orang bisa melakukannya. Hanya mereka yang terotorisasi saja yang bisa melakukannya. Mereka diberikan user ID dan password yang hanya diketahui oleh masing-masing dari mereka saja 2. Password untuk login windows diubah setiap tiga bulan sekali sedangkan untuk password login SAP diubah setiap dua bulan sekali. Format password untuk login windows terdiri dari enam huruf, satu angka, dan satu simbol. 3. Terdapat alarm yang menggunakan sensor gerak. Alarm ini diaktifkan setelah jam pulang kantor. 4. Ada backup terhadap data di komputer user dan di file server. Backup data dibagi menjadi tiga yaitu daily backup (backup yang dilakukan harian), weekly backup (backup yang dilakukan mingguan), dan monthly backup (backup yang dilakukan bulanan). 5. Informasi yang ada dan dapat diakses oleh pengguna terotorisasi adalah menjadi tanggung jawab

pengguna tersebut dan tidak boleh disebarkan kepada pihak manapun. 6. Ada training terhadap user mengenai SAP. 7. Data yang ada di komputer / notebook PT MMI juga diproteksi dengan menggunakan enkripsi. Enkripsi dilakukan saat pengadaan TI selesai dilakukan (saat komputer / notebook tersebut resmi menjadi milik PT MMI). 8. PT MMI menggunakan firewall yang berfungsi untuk mencegah serangan dari luar masuk ke sistem PT MMI. 9. Sistem operasi (Operating System) yang digunakan adalah Windows XP dan antivirus yang dipakai yaitu McAfee. Kedua-duanya terupdate secara baik. 10. UPS (Uninterruptible power supply) terpasang pada database server, file server, dan backup server, dan beberapa komputer user terutama yang membutuhkan dukungan energi listrik saat mati listrik. 11. Untuk akses ke ruangan, semua user bisa masuk ke dalam ruang komputer. Semua divisi bekerja dalam sebuah ruangan luas dan disekat satu sama lain. Sedangkan untuk server, ditempatkan di ruang terpisah. Ruang untuk masuk ke dalam tempat di mana server ditempatkan terkunci dan rak untuk menaruh server pun terkunci. 12. Bagian TI menggunakan active directory yaitu layanan yang dalam hal ini digunakan untuk melakukan pembatasan terhadap informasiinformasi yang bisa diakses untuk masing-masing divisi. 13. Setiap pengguna yang terotorisasi boleh menginstall program yang berhubungan dengan pekerjaan namun sebelumnya harus izin dulu kepada bagian TI MMI. Ada pembatasan di komputer MMI untuk menginstall program.

Setelah mengetahui praktek-praktek keamanan yang ada pada PT MMI, penulis melakukan analisis risiko. Hasil analisis risiko yang penulis dapatkan berdasarkan metode FRAP yang dimodifikasi adalah : 1.Pre FRAP Meeting Pada tahap ini dihasilkan team yang terlibat pada analisis risiko. Anggota tim yaitu penulis sebagai fasilitator dan Manajer Logistik dan Manajer Teknologi Informasi. Gambaran mengenai awal proses sampai akhir terdapat pada visual model (gambar1.1). Kemudian jadwal pertemuan dan persetujuan mengenai definisi juga telah dibuat. 2.FRAP Session Pada tahap ini, terdapat fase logistik. Fase logistik terdiri dari pengenalan nama, jabatan dan anggota departemen anggota FRAP, dan menjelaskan secara garis besar mengenai proses-proses yang akan dilakukan selama FRAP Session. 3.FRAP Analysis Pada tahap ini, fasilitator bersama pemilik risiko melakukan brainstorming untuk menentukan risiko-risiko, type risiko, priority dan control sesuai dengan control yang telah disediakan FRAP , dan hasilnya dituangkan kedalam FRAP Session deliverable. (Masukin gambar FRAP Deliverable) 4.Post FRAP Meetings Setelah membuat FRAP Session Deliverable, fasilitator membuat Cross Reference Sheet. Cross Reference Sheet mengelompokkan risiko berdasarkan ke dua puluh enam control FRAP. Satu control bisa mencakup beberapa risiko. (Masukin cross reference) Fasilitator mengidentifikasi existing control (control yang sudah ada di perusahaan). Selanjutnya, berdasarkan existing control tersebut, fasilitator membandingkan risiko yang sudah ditemukan dengan existing control untuk

melihat apakah prioritas risiko yang ada menjadi turun atau tetap. (tabel) Berdasarkan hasil perbandingan tersebut, fasilitator mengkonsultasikan kepada pemilik risiko, mengenai risiko yang masih mempunyai prioritas tinggi (open risk). Pemilik risiko akan memilih risiko ditemukan oleh fasilitator. Kemudian fasilitator membantu pemilik risiko dalam menentukan control yang telah dipilih tersebut. Control yang disarankan berdasarkan control yang ada dalam FRAP Session deliverable namun tidak semua control diterapkan, menyesuaikan dengan pertimbangan pemilik risiko dan existing control yang ada. Tahap akhir dari Post FRAP Meetings adalah membuat final report dan action plan. Final report merupakan laporan kepada pemilik risiko mengenai proses analisa risiko yang telah selesai dilakukan. Setelah final report mendapat persetujuan dari pemilik risiko, maka fasilitator memeberikan action plan. Action Plan adalah tindakan yang disarankan fasilitator yang harus diambil selanjutnya untuk menangani risiko.(masukin tabel) Dari hasil FRAP yang telah dilakukan,penulis mendapatkan hasil analisis risiko yang berbeda dibandingkan penelitian sebelumnya, yang menggunakan metode yang berbeda, yaitu OCTAVE-S. Melalui penelitian yang penulis lakukan dengan metode FRAP, penulis merasa mempunyai keunggulan tersendiri dalam proses analisis risiko. Di dalam metode FRAP, risiko dan control list sudah disediakan, sehingga fasilitator dapat memakai dan dapat bertukar pikiran dengan pemilik risiko mengenai risiko yang mungkin terjadi di perusahaan. Sedangkan di metode OCTAVE-S tidak disediakan daftar risiko dan control list. Tentunya, saat penulis menggunakan metode FRAP, penulis merasa terbantu dalam memilih dan menganalisis risiko.

Kemudian kelebihan lainnya di dalam metode FRAP, dalam penentuan open risk, penulis sebagai fasilitator berkonsultasi bersama pemilik risiko untuk menentukan risiko mana yang disetujui untuk diimplementasikan controlnya.

V.Kesimpulan Dari hasil analisis dan penelitian yang dilakukan penulis pada PT Mazda Motor Indonesia maka didapatkan kesimpulan sebagai berikut. 14. PT Mazda Motor Indonesia belum melakukan manajemen risiko teknologi informasi di perusahaannya. 15. Belum adanya Disaster Recovery Plan (DRP) pada PT Mazda Motor Indonesia. 16. Pengenalan mengenai keamanan system dan informasi hanya dilakukan saat pertama kali karyawan masuk menjadi anggota perusahaan. Training

yang dilakukan kepada karyawan hanya sebatas untuk system SAP dan belum mencakup untuk praktek kemaanan. 17. Manajemen sudah mendukung praktek keamanan pada PT Mazda Motor Indonesia. Infrastruktur TI pada PT Mazda Motor Indonesia sudah dikembangkan dan dikelola dengan baik sehingga dapat mendukung kegiatan operasional dan keamanan perusahaan. 18. Hasil penelitian terbatas hanya pada kantor Mazda cabang Indonesia, hasil simpulan bisa berbeda bila penelitian dilakukan pada kantor Mazda cabang Indonesia dan kantor Mazda pusat di Jepang. 19. Penelitian ini dilakukan dengan menggunakan metode FRAP untuk menentukan risiko-risiko yang ada di perusahaan. Bagi pihak yang ingin melanjutkan penelitian ini dapat menggunakan skripsi ini sebagai panduan.

Pre FRAP

FRAP Session

FRAP Analysis

Post FRAP Session

Scope Statement

Fase 1. Logistik

Fase 2. Brainstorming

Membuat Cross reference sheet

Visual Model

Menentukan risiko

Mengidentifikasi kontrol yang ada di perusahaan

Menentukan Tim FRAP

Memprioritaskan risiko Mengkonsultasi kan risiko-risiko yang berprioritas tinggi kepada owner

Melakukan prioritas risiko kembali setelah membandingkan risiko yang ada dengan control yang ada dalam perusahaan

Mengatur Jadwal pertemuan

Mengidentifikasikan control

Agreement on Definitions

Mengidentifikasi kontrol untuk risiko-risiko yang berprioritas tinggi

Gambar 1.1 Visual Model