Anda di halaman 1dari 10

MANAJEMEN RISIKO PADA PEMANFAATAN TEKNOLOGI WEB 2.

I.

Pendahuluan Seiring dengan berkembangnya teknologi informasi yang bergerak sangat cepat

dewasa ini, pengembangan unit usaha yang berupaya menerapkan sistem informasi dalam organisasinya telah menjadi kebutuhan dasar dan semakin meningkat dari tahun ke tahun. Akan tetapi pola pembangunan sistem informasi yang mengindahkan faktor resiko telah menyebabkan beberapa organisasi mengalami kegagalan menerapkan teknologi informasi tersebut, atau meningkatnya nilai investasi dari platform yang seharusnya, hal ini juga dapat menghambat proses pencapaian misi organisasi. Web 2.0 mengacu pada generasi kedua dari desain dan pengembangan web dan yang telah membawa perubahan signifikan di internet seperti adanya web-based communities, hosted service dan aplikasi khusus seperti situs jaringan sosial, wiki, blog, situs berbagi video, RSS feed, dan banyak lagi. Web 2.0 memberikan jenis baru web pengalaman yang interaktif, realtime, dan kolaboratif. Meskipun banyak dari komponen teknis yang mendasari Web tetap sama, penggunaan Web sebagai platform untuk membangun aplikasi yang kaya menjadi salah satu modal transformasi informasi. Organisasi juga berinvestasi dalam teknologi Web 2.0 untuk memanfaatkan kekuatan untuk menarik lebih banyak pelanggan.

II. Pemecahan pendekatan masalah 2.1 Manajemen Risiko Risiko adalah suatu umpan balik negatif yang timbul dari suatu kegiatan dengan tingkat probabilitas berbeda untuk setiap kegiatan. Pada dasarnya risiko dari suatu kegiatan tidak dapat dihilangkan akan tetapi dapat diperkecil dampaknya terhadap hasil suatu kegiatan. Proses menganalisa serta memperkirakan timbulnya suatu risiko dalam suatu kegiatan disebut sebagai manajemen risiko. Manajemen risiko merupakan serangkaian prosedur dan metodologi yang digunakan untuk mengidentifikasi, mengukur, memantau, mengendalikan risiko yang timbul dari suatu kegiatan tertentu.[Stoneburner et al, 2002] Pola pendekatan manajemen risiko juga perlu mempertimbangkan faktor-faktor pada System development Life Cycle (SDLC) yang terintegrasi, yaitu mengidentifikasikan faktorfaktor risiko yang timbul dan diuraikan disetiap tahap perancangan sistem, yang tersusun sebagai berikut :

1. Tahap 1 : Investigasi 2. Tahap 2 : Pengembangan 3. Tahap 3 : Implementasi 4. Tahap 4 : Pengoperasian dan perawatan 5. Tahap 5 : Penyelesaian dan penyebaran

2.2 Lingkungan Web 2.0 Perkembangan web 2.0 lebih menekankan pada perubahan cara berpikir dalam menyajikan konten dan tampilan di dalam sebuah website. Sebagian besar cara berpikir tersebut mengadaptasi gabungan dari teknologi web yang telah ada saat ini. Karakteristik web 2.0, adalah : 1. Web sebagai platform utama yang menyediakan seluruhaplikasi dan dapat dijalankan secara langsung melalui internet. 2. Web melibatkan partisipasi pengguna dalam berkolaborasi pengetahuan 3. Data menjadi sebuah trademark aplikasi, sehingga memberikan garansi kepercayaan kepada pengunjungnya 4. Web 2.0 sebagai akhir dari siklus peluncuran produk software, mengilustrasikan setiap produsen software tidak lagi meluncurkan produknya dalam bentuk fisik. Karena web menjadi platform, pengguna cukup datang ke website untuk menjalankan aplikasi yang ingin mereka gunakan. Hasil dari pengembangan fitur di dalam software dapat langsung dirasakan oleh pengguna. Software tidak lagi dijual sebagai produk namun berupa layanan. 5. Adanya dukungan pada pemrograman yang sederhana dan ide akan web service atau RSS. 6. Keberadaan software tidak lagi terbatas pada perangkat tertentu. 7. Adanya kemajuan inovasi pada antar-muka di sisi pengguna.

Seperti halnya pergeseran paradigma, teknologi dan proses dapat membawa manusia ke tingkat baru dalam hal penggunaan dan produktivitas sebagai pengguna. Tetapi keberadaan teknologi yang sama juga menghadirkan tingkatan baru dari ancaman dan risiko.Apakah disengaja ataupun tidak, ancaman yang timbul bisa sangat membahayakan baik bagi pengguna maupun bisnis organisasi secara umum. Risiko tersebut apabila dikenali dan

dikendalikan dengan cara yang tepat, dapat membawa banyak manfaat bagi organisasi dan masyarakat secara keseluruhan

III. Hasil dan pembahasan 3.1 Sumber Ancaman pada Web 2.0 Tabel 1 memperlihatkan beberapa contoh dari jenis ancaman yang mungkin timbul pada lingkungan pengembangan web 2.0

Sumber ancaman

Vulnerables area Jaringan sosial, blog, instant messenger, email pribadi dll

Dampak ancaman Hilangnya data-data krusial tanpa atau dengan sepengetahuan Malware, spyware, virus, logic bombs yang merujuk pada terbukanya peluang ancaman lain Malware,logic bombs

Implikasi Kehilangan reputasi di mata publik

Manusia

Jaringan / Sistem

Browser, sistem pengganti, server

Kehilangan implikasi legal dan kerugian finansial Kehilangan implikasi legal dan kerugian finansial Implikasi legal, reputasi tercemar dan kehilangan kesempatan bisnis

Aplikasi terkait

Aplikasi Tereksposnya keseluruhan organisasi kepada publik

Kendali yang tidak tepat

Kehilangan data, virus, logic bombs

Tabel 1. Sumber ancaman pada web 2.0

3.2 Strategi penanganan risiko Berikut ini penjelasan mengenai strategi-strategi yang nantinya bisa

diimplementasikan untuk mitigasi dan pengendalian terhadap ancaman dari beberapa sumber tertentu. Ancaman ini dapat dikurangi melalui proses pertahanan berlapis pengawasan internal, kontrol teknologi, dan proses.

3.3 Strategi menghadapi ancaman berupa manusia Manusia merupakan link terlemah sekaligus terkuat dari sebuah organisasi.Linkedln dan MySpace adalah dua jaringan sosial besar dimana para pekerjanya bisa saja membocorkan data sensitif secara disengaja maupun tidak disengaja. Organisasi tidak dapat membatasi keberadaan jaringan sosial karena itu merupakan infrastruktur dasar untuk bisnis dan interaksi personal di masa akan datang. Untuk

menggunakan jaringan sosial yang efektif di tempat kerja dan untuk memastikan bahwa data berharga tidak bocor, organisasi harus memastikan langkah-langkah minimal berikut: 1. Definisikan kebijakan pada lingkungan virtual Berikan penjelasan pada user jenis dokumen website/kegiatan yang diziinkan di dalam lingkungan virtual. Dengan bantuan seorang konsultan, dokumentasikan tindakan yang akan diberikan terhadap user yang tidak mematuhi kebijakan tersebut. 2. Monitor lingkungan virtual Tempat kerja bukan merupakan satu-satunya tempat kemungkinan terjadinya kebocoran data-data penting,karena itu monitor lingkungan virtual secara teratur. Manajer IT harus memastikan bahwa mereka mengatur tim internal untuk memonitor lingkungan virtual dari adanya komentar yang sifatnya memfitnah, keberadaan datadata sensitif maupun konten-konten tertentu. Hal ini hendaknya dilakukan secara berkala, setidaknya sebulan sekali kemudian laporannya disimpan. Jika terjadi penyimpangan, harus dilaporkan kepada pihak manajemen dan tindakan harus diambil sesuai dengan hukum lokal dan kebijakan organisasi. 3. Lakukan edukasi untuk pengguna Keamanan adalah tanggung jawab semua orang. Mendidik pengguna akhir akan kesadaran pentingnya keamanan di lingkungan web 2.0 harus lebih kritis dibandingkan sebelumnya. Sangat penting mengedukasi user, bukan sejedar dalam hal email, sistem dan keamanan web, tetapi juga apa yang dapat dibahas/diposting didalam lingkungan virtual. Edukasi juga menjelaskan dampak jika terjadinya penyimpangan dan risiko yang mungkin terjadi jika dilakukan pengaksesan data organisasi disembarang tempat. Manual pelatihan dibuat dan didistribusikan kesemua pihak dan selalu dilakukan pembaharuan. Selain itu juga dilakukan program program pelatihan kesadaran akan keamanan virtual secara reguler. 4. Adakan pelatihan dan pengembangan Untuk menjaga keamanan, sangatlah penting bagi organisasi untuk berinvestasi dalam pendidikan dan pelatihan personil akan adanya ancaman keamanan terbaru serta pelatihan pemanfaatan sumberdaya internal maupun eksternal, dan memastikan bahwa mereka tetap diperbaharui mengikuti tren dan teknologi terbaru. Untuk memperbaharui pengetahuan tentang keamanan sistem dan web, divisi keamanan IT haruslah berlangganan jurnal keamanan yang baik dan memiliki sponsor keanggotaan dalam organisasi profesional seperti ISSA, ISACA, IEEE dan sebagainya, yang akan memberikan banyak informasi mengenai keamanan dan penelitian yang terkait.

5. Menanamkan etika dan integritas kedalam budaya organisasi Penananam etika dan integritas merupakan senajata yang paling ampuh untuk menciptakan budaya keamanan dalam organisasi, tetapi juga yang paling sulit. Berikut ini beberapa poin yang harus dilakukan untuk membantu menciptakan dan meningkatkan budaya integritas dan etika di dalam organisasi : a. Organisasi harus memiliki kode etik tertulis yang melibatkan semua pimpinan bisnis, sehingga memastikan bahwa setiap karyawan menandatanganinya. Hal ini akan membuat karyawan tersebut memiliki kesadaran akan pentingnya melaporkan jika terjadi kasus pelanggaran. Selain itu diperlukan juga pelatihan reguler akan kesadara etika kerja bagi para karyawan. b. Pemimpin dan manajemen senior harus melatih etika dan integritas dalam menyelesaikan semua urusan mereka. Hal ini nantinya akan menular sebagai budaya dalam organisasi. c. Mengembangkan sistem manajemen kinerja karyawan yang lebih matang, adil dan disiplin. Hal ini nantinya akan memastikan bahwa orang yang tepat tetap dipertahankan, terlatih dan termotivasi. Organisasi harus memiliki insentif yang dikaitkan dengan prilaku dan tindakan etis, mengukur efektivitas dari waktu ke waktu, dan terus berinovasi untuk budaya yang sangat positif.

3.4 Perlindungan terhadap aset-aset sistem Aset - aset sistem termasuk didalamnya server, desktop, PDA, blackberry, laptop dan aset lainnya yang digunakan untuk mengakses data dalam suatu organisasi. Sejak web 2.0 berjalan pada semua browser web, eksploitasi dapat terjadi baik pada sisi server maupun sisi client. Oleh karena itu sangatlah penting untuk melindungi aset-aset sistem dengan cara sebagai berikut : 1. Sebuah standar dasar seperti NIST dapat digunakan untuk melindungi server, sistem operasi, PDA, desktop dan laptop. 2. Pastikan untuk memperbaharui antivirus yang berjalan pada semua aset sistem dalam organisasi 3. Melaksanakan Host Intrusion Prevention System (HIPS) dengan konfigurasi yang tepat untuk menguji anomali pada server dan host aplikasi web 4. Pastikan menguji semua aset sistem secara teratur untuk menjaga dari timbulnya ancaman.

3.5 Perlindungan jaringan sistem Perlindungan jaringan diimplementasikan dengan firewall yang tepat dan terkendali, sehingga memberikan perlindungan pada organisasi dari segala jenis ancaman. Memperkuat jaringan merupakan tingkat pertama pertahanan yang harus dilakukan dengan benar. Beberapa langkah yang perlu dilakukan sebagai solusi teknologi yang perlu dilaksanakan adalah : Lindungi semua perangkat jaringan menggunakan baseline standar seperti NIST. Mengelola perubahan secara lebih efektif pada jaringan, jika rute baru harus ditambahkan pada firewall/router, pastikan prosedur manajemen perubahan yang diikuti dan update manajemen konfigurasi.

1.

Implementasikan firewall Melakukan penyaringan URL tidaklah cukup. Hal ini hanya mengandalkan pada

kategorisasi basisdata yang hanya diperbaharui beberapa kali sehari. Apa yang dibutuhkan adalah reputasi sistem yang memberikan reputasi global untuk URL dan alamat IP serta bekerja berdampingan dengan basisdata yang dikategorikan untuk perlindungan utama. Sistem generasi ketiga yang lebih canggih menyediakan sebuah mekanisme untuk menentukan risiko yang terkait dengan menerima data dari situs web tertentu. Reputasi ini digunakan dalam kaitannya dengan kategori kebijakan keamanan organisasi, yang memungkinakan adanya kemampuan untuk membuat keputusan yang tepat terkait dengan isu keamanan. Penyaringan URL perlu dalam lingkup global untuk menangani situs web dalam bahasa apapun. Hal ini sangatlah penting, karena serangan berbahaya adalah multiprotocol, harus adanya penyaringan terhadap sistem maupun email terhadap kemungkinan ancaman web. Sebuah domain baru tanpa isi tidak dapat dikategorikan, tapi alamat IP nya bisa dikategorisasikan, sehingga bisa diketahui riwayat spam, phishing atau kegiatan berbahaya lainya, sehingga bisa dikategorisasikan langsung dan ditentukan jenis perlindungan keamanan bagi pengguna yang mencoba untuk mengakses situs ini. Organisasi harus menyediakan gateway email yang dapat menghentikan serangan berbahaya seperti spam dan rekayasa sosial dan kemudian mendeteksi URL atau alamat IP sehingga bisa dilakukan pemblokiran dan pencegahan.

2.

Pastikan semua cache dan proxy sevurityware

Objek yang dapat di-cache harus disaring untuk mencagah malware, isu keamanan dan kebijakan penyaringan URL sebelum pengiriman ke browser pengguna. Cache objek harus disertai penyaringan setiap kali objek dikirimkan ke pengguna akhir karena bisa saja terjadi perubahan atau perbedaan kebijakan keamanan antar pengguna.Kebijakan keamanan menyangkut reputasi, kebijakan penyaringan URL atau malware yang mungkin berbeda antar pengguna. Mengadakan cache dan proxy yang tidak dilakukan penyaringan akan mengakibatkan risiko dan ancaman yang membahayakan.

3.

Aktifkan filtering dua arah Memastikan bahwa filtering dua arah dan pengendalian aplikasi diimplementasikan di

pintu gerbang semua jenis lalu lintas web. Hal ini akan memindai semua lalu lintas keluar masuk web, yang akan membantu divisi keamanan IT dalam memantau apa yang datang dan keluar dari sistem. Penyaringan dimaksudkan terhadap pelanggaran, tanggapan kejadian dan forensik. Kemudian penyimpanan data ke server syslog dalam interval waktu tertentu.

4.

Implementasi proteksi terhadap konten Ada banyak produk yang tersedia di pasaran saat ini untuk menerapkan perlindungan

terhadap konten web. Tetapi untuk mencapai kesuksesan, organisasi harus memastikan langkah - langkah berikut ini : Apa kebijakan kebijakan keamanan yang harus dilakukan dan siapa yang melakukannya. Mendefinisikan data-data yang sifatnya sensitif dan tidak sensitif.

Setelah langkah-langkah tersebut diatas, maka perlindungan terhadap konten dilakukan dengan cara : pengklasifikasian informasi sehingga dapat dipastikan tidak akan dikirim melalui ID email pribadi, atau bahkan melalui ID resmi. Proteksi konten juga memberdayakan personil keamanan IT untuk mengendalikan hal-hal yang bisa dilakukan pengguna di dunia maya saat pengaksesan jaringan dan sistem organisasi. Misalnya pengguna dapat diperbolehkan mengakses jaringan sosial tetapi dibatasi akses posting.

5.

Gunakan akses komprehensif, manajemen dan pelaporan Organisasi/perusahaan harus menyebarkan solusi yang

menyediakan lokasi pelaporan status dan kondisi layanan mereka. Organisasi juga

memerlukan pelaporan forensik secara real time yang memungkinkan penelusuran permasalahan dan perbaikan pasca kejadian. Menyediakan pelaporan dan diperluas dengan fungsi kepentingan dalam memahami risiko dan memperbaiki kebijakan.

3.6 Perlindungan aplikasi Pengembangan aplikasi yang baik dan aman melibatkan berbagai tahapan. Walaupun ada sejumlah besar artikel dan standar yang tersedia pada kerentanan aplikasi yang berhubungan dengan web 2.0, organisasi tetap berfokus pada gambaran secara menyeluruh dan tidak mengeksplotasi garis-garis besar yang diambil dan tidak sekedar teknis. Berikut langkah langkah sederhana dalam memastikan pada tingkatan mana aplikasi yang aman dibangun :
1. Memiliki / menyewa programmer yang kompeten dan juga cekatan dalam menangani

keamanan aplikasi. Mengembangkan budaya pemrograman yang aman didalam tim IT. Memiliki anggota keamanan informasi yang berpartisipasi dalam proses pembangunan.
2. Praktek yang baik pada pengkodean standar menggunakan baseline dan standar lain

yang tersedia dari berbagai sumber, dalah satunya Open Web Application Security Project (OWASP) dan pastikan bahwa baseline dan standar ketat diikuti oleh tim pemrograman.
3. Membuat model ancaman dari aplikasi yang melibatkan insiden dikenal dan tidak

dikenal serta melakukan pengujian pada aplikasi sebelum dijalankan. Dokumen rekaman pengujian akan berfungsi sebagai titik acuan untuk membangun aplikasi masa depan dan menghemat waktu dan uang.
4. Memiliki penilaian kematangan risiko / proses manajemen ditempat yang memiliki

pendekatan holistik dalam pengembangan aplikasi : matriks orang-risiko,, risikoproses, risiko-teknologi. Dengan memiliki proses manajemen risiko yang matang , reproduksi proses akan menghemat waktu ketika aplikasi baru dibangun.
a. Orang risiko

Sering dianggap diluar bidang aplikasi, tetapi tetap harus diteliti sewaktu memproduksi kode-kode aplikasi.
b. Proses- risiko

Kebijakan perubahan manajemen yang efektif dan prosedur pelepasan penerapan manajemen harus ditetapkan dan dipelihara untuk pengembangan
c. Teknologi risiko

Meninjau sejauh mana teknologi terbaik digunakan.

3.7 Mekanisme proses dan kebijakan kendali


1. Kebijakan keamanan di lokasi

Adanya sebuah kebijakan keamanan yang efektif di tempat dan memastikan bahwa kebijakan tersebut diikuti semua pihak. Kebjiakan ini sejalan dengan tren perubahan keamanan dan bisnis dan adanya pengukuran efektivitas dalam membangkitkan kesadaran. Peninjauan dilakukan atas pelanggaran penggunaan teknologi, proses dan penguna. Lakukan pencatatan dan perbaikan.
2. Respon terhadap insiden

Terlepas dari tersedianya firewall, adanya kebijakan keamanan yang efektif dan audit serta personil yang terbaik, pelanggaran dan ancaman tetap saja terjadi. Jika insiden semacam itu terjadi, pastikan ada respon terencana dan menangani situasi. Lakukan pelatihan terhadap personil tentang prosedur manajemen insiden yang efektif.
3. Melakukan penilaian risiko berkesinambungan

Melakukan penilaian risiko secara teratur pada aplikasi web dengan pendekatan holistik terhadap keamanan dan memeriksa dalam kaitan peninjauan apakah kendali optimal yang diinginkan seperti yang diharapkan oleh unit bisnis dan manajemen eksekutif.
4. Mengikuti benchmark

Pada akhirnya, patokan startegi perlindungan organisasi secara berkala disesuaikan dengan standar global dan best practices lainnya. Padukan kebutuhan bisnis organisasi dengan rekanan atau organisasi lainnya.

KESIMPULAN Keberadaan web 2.0 merupakan sebuah kemajuan yang jika diterapkan dan dikelola dengan baik oleh organisasi, masyarakat dan negara dapat diperoleh manfaat dari pendekatan partisipatif dari internet kolaboratif. Organisasi dan pemerintah harus dapat berinisiatif dalam membuat peraturan yang baik dan menentukan langkah-langkah dalam menyukseskan tren terbaru yaitu cybersecurity dan situs web tidak bisa terbatas pada satu negara saja.

Sumber :
Sonatha, Yance, and Ruzita Sumiati. "MANAJEMEN RISIKO PADA PEMANFAATAN TEKNOLOGI WEB 2.0."