Anda di halaman 1dari 45

BAB 2

LANDASAN TEORI

  • 2.1 Teknologi Informasi

Menurut Williams dan Sawyer, teknologi informasi adalah setiap teknologi yang membantu, menghasilkan, memanipulasi, menyimpan, berkomunikasi, dan/atau menyebarkan informasi. Dan sisi lain, menurut O’brien (2005), teknologi informasi adalah hardware, software, telekomunikasi, manajemen database, dan teknologi pemrosesan informasi lainnya yang digunakan dalam sistem informasi berbasis komputer.

  • 2.2 Infrakstruktur Teknol ogi Informasi

Menurut Williams dan Sawyer ada dua kategori dasar dalam teknologi informasi, yaitu hardware dan software.

2.2.1

Hardware

Hardware adalah semua mesin peralatan di komputer yang juga sering dikenal sebagai sistem komputer. Ada 6 kategori dasar dalam sistem komputer, yaitu :

1. Input. Yang berkaitan dengan peralatan, proses, atau saluran yang dilibatkan dalam pemasukan data ke sistem pemrosesan data. Alat input komputer mencakup keyboard, layar sentuh, pena, mouse, dan

lain-lan.

Alat

–alat

tersebut

mengonversi data ke dalam bentuk

13

14

elektronik dengan entri langsung atau melalui jaringan telekomunikasi ke dalam sistem komputer.

  • 2. Proses. Central processing unit (CPU) adalah komponen pemrosesan utama dari sistem komputer

  • 3. Storage. Fungsi storage dari sistem komputer berada pada sirkuit penyimpanan dari unit penyimpanan primer (primary storage unit) atau memori, yang didukung oleh alat penyimpanan sekunder (secondary storage), seperti disket, magnetis, dan disk drive optical.

  • 4. Output. Berkaitan dengan peralatan, proses, atau saluran yang dilibatkan dalam transfer data atau informasi ke luar dari sistem pemrosesan informasi. Alat output dari sistem komputer mencakup unit tampilan visual, printer, unit respons audio, dan lain-lain. Alat- alat ini mengubah informasi elektronik yang dihasilkan oleh sistem komputer menjadi bentuk yang dapat dipresentasikan ke pemakai.

  • 5. Komunikasi. Yang berkaitan dengan pengiriman informasi dan menerima informasi dari orang atau komputer lain dalam satu jaringan. Contohnya, modem.

  • 6. Connecting hardware. Termasuk hal-hal seperti terminal paralel yang menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal paralel dan peralatan penghubung internal yang sebagian besar termasuk alat pengantar untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya.

15

2.2.2

Software

Menurut Williams and Sawyer, software adalah program yang secara elektronik mengkodekan intruksi yang memberitahukan hardware komputer untuk melakukan tugas. Ada 2 tipe utama dari software, yaitu application software dan system software. Application software manajemen risiko berkaitan dengan potensi kerugian, termasuk kerugian ekonomi, penderitaan manusia, atau yang dapat mencegah organisasi dari yang untuk mencapai tujuannya sedangkan system software memungkinkan perangkat lunak aplikasi untuk berinteraksi dengan komputer dan membantu komputer mengelola sumber daya internal dan eksternal. System software dibagi menjadi 2 sistem yakni : operating system dan utility software. Operating system software adalah komponen utama dari perangkat lunak sistem dalam sistem komputer, sedangkan Utility software umumnya digunakan untuk mendukung, meningkatkan, atau memperluas program yang ada dalam sistem komputer.

  • 2.2.3 Jaringan Kompute r

Menurut Williams and Sawyer, jaringan dapat juga disebut jaringan komunikasi sistem komputer yang saling berhubungan, telepon, atau perangkat komunikasi yang dapat berkomunikasi dengan satu sama lain dan berbagi aplikasi dan data. Jaringan komputer menjadi penting bagi manusia dan organisasinya karena jaringan komputer mempunyai tujuan yang menguntungkan bagi mereka. Beberapa manfaat dari jaringan komputer adalah :

16

  • 1. Pembagian perangkat periferal: perangkat periferal seperti printer laser, disk driver , dan scanner biasanya sangat mahal. Akibatnya, untuk menjadi dasar pengadaannya, manajemen memaksimalkan penggunaan mereka. Biasanya, cara terbaik untuk melakukan ini adalah menghubungkan ke jaringan peripheral yang melayani beberapa pengguna komputer.

  • 2. Pembagian Program & Data: seluruh program, peralatan dan data yang dapat digunakan oleh setiap orang yang ada dijaringan tanpa dipengaruhi lokasi sumber dan pemakai.

  • 3. komunikasi yang baik: memungkinkan kerjasama antar orang-orang yang saling berjauhan melalui jaringan komputer baik untuk bertukar data maupun berkomunikasi.

  • 4. Keamanan Informasi: sebelum jaringan menjadi hal yang umum, bisa saja sebuah data informasi hanya dimiliki oleh satu karyawan saja, yang disimpan di komputer yang bersangkutan. Apabila karyawan tesebut diberhentikan, atau kantor yang bersangkutan mengalami bencana kebakaran atau banjir, maka kantor tersebut akan kehilangan data informasi tersebut. Sekarang ini data-data tersebut dibuat cadangan atau digandakan pada perangkat penyimpanan jaringan yang dapat diakses oleh karyawan lain.

  • 5. Akses ke dalam database : jaringan memungkinkan pengguna untuk memanfaatkan berbagai database, apapun database perusahaan swasta atau database publik secara online melalui internet tersedia.

17

Berdasarkan tinjauan dari rentang geografis yang dicakup oleh suatu jaringan, jaringan komputer terbagi menjadi 5 jenis, yaitu : WAN (Wide Area Network ), MAN (Metropolitan Area Network ), LAN ( Local Area Network ),

HAN (Home Area Network ), PAN ( Personal Area Network ).

  • 1. WAN adalah jaringan komunikasi yang mencakup area geografis yang luas. Contohnya jaringan komputer antarwilayah, antarkota, atau bahkan antarnegara. WAN digunakan untuk menghubungkan jaringan lokal yang satu dengan jaringan lokal yang lain sehingga pengguna atau komputer di lokasi yang satu dapat berkomunikasi dengan pengguna dan komputer di lokasi yang lain.

  • 2. MAN adalah jaringan komunikasi yang mencakup sebuah kota atau pinggiran kota. Jangkauan dari MAN ini antara 10 hingga 50 km. MAN ini merupakan jaringan yang tepat untuk membangun jaringan antar kantor-kantor dalam satu kota, antara pabrik/instansi, dan kantor pusat yang berada dalam jangkauannya.

  • 3. LAN adalah menghubungkan komputer dan alat di daerah geografis terbatas. Sebagai contoh, jaringan dalam satu kampus yang terpadu atau di sebuah lokasi perusahaan. LAN pada umumnya menggunakan media transmisi berupa kabel (UTP ataupun serat optik), tetapi ada juga yang tidak menggunakan kabel dan disebut sebagai Wireless LAN (WLAN) atau LAN tanpa kabel. Kecepatan LAN berkisar dari 10 Mbps sampai 1 Gbps.

18

  • 5. PAN adalah koneksi wireless jangka pendek yang menghubungkan elektronik personal seperti handphone, PDA, mp3 player, laptop, pc, dan printer.

  • 2.2.4 Inte rne t, Intrane t, dan Ekstranet

Menurut Williams dan Sawyer, Internet adalah jaringan komputer yang tumbuh cepat dan terdiri dari jutaan jaringan perusahaan, pendidikan, serta pemerintah yang menghubungkan ratusan juta komputer serta pemakainya di lebih dari 200 negara. Menurut Williams dan Sawyer, Intranet adalah sebuah jaringan internal dalam organisasi yang menggunakan infrastruktur dan standar internet. Menurut McLeod dan Schell (2007,p.117 ), Ekstranet adalah hubungan jaringan yang menggunakan teknologi internet untuk saling menghubungkan intranet suatu bisnis dengan suatu intranet pelanggannya, pemasok, dan mitra bisnis lainya.

  • 2.3 Topol ogi Jaringan

Menurut O’Brien (2006, p293), ada beberapa jenis dasar dari topologi atau struktur jaringan dalam jaringan telekomunikasi. Topologi-topologi tersebut di antaranya adalah:

  • 1. Topologi BUS Topologi jaringan BUS adalah suatu jaringan di mana prosesor lokal

menggunakan bus bersama, atau saluran komunikasi bersama. Karakteristik Topologi BUS, yaitu :

19

Node -

node dihubungan s ecara serial sepanjang kabel, dan pada kedua

ujung kabel dittutup dengan terminator Sangat sederhana dalam instalasi Sangat ekonomis dalam biaya Paket- paket data saling bersimpangan pada suatu kabel Tidak diperlukan hub, yang banyak diperlukan adalah Tconnector pada setiap ethernet card. Masalah yang sering terjadi adalah jika salah satu node rusak, maka jaringan keseluruhan dapat down, sehingga node tidak bisa berkomunikasi dalam jaringan tersebut

19 • Node - node dihubungan s ecara serial sepanjang kabel, dan pada kedua ujung kabel

Gambar 2.1 Topologi Bus

  • 2. Topologi Ring

Topologi jaringan cincin mengikat prosesor komputer lokal dalam cincin dengan dasar yang lebih setara. Karakteristik Topologi Ring, yaitu :

Node node dihubungkan secara serial di sepanjang kabel, dengan bentuk jaringan seperti lingkaran

20

Sangat sederhana dalam layout seperti jenis topologi bus

Paket – paket data dapat mengalit dalam satu arah (kekiri atau kekanan)

sehingga collision dapat dihindarkan Masalah yang dihadapi sama dengan topologi bus, yaitu jika salah satu

node rusak maka seleruh node tidak bisa berkomunikasi dalam jaringan tersebut Tipe kabel yang digunakan biasanya kabel UTP atau Patch Cable (IBM tipe)

20 • Sangat sederhana dalam layout seperti jenis topologi bus • Paket – paket data dapat

Gambar 2.2 Topologi Ring

3.

Topologi Star

 

Topologi

jaringan

bintang

mengikat

komputer pemakai akhir

ke

satu

komputer pusat. Karakteristik Topologi Star , yaitu:

Setiap node berkomunikasi langsung dengan konsentrator (HUB) Bila setiap paket data yang masuk ke consentrator (HUB) kemudian di broadcast ke seluruh node yang terhubung sangat banyak

21

(misalnya memakai hub 32 port), maka kinerja jaringan akan semakin turun Sangat mudah dikembangkan

Jika salah satu ethernet card rusak, atau salah satu kabel pada

terminal putus, maka keseluruhan jaringan masih tetap bisa berkomunikasi atau tidak terjadi down pada jaringan keseluruhan tersebut Tipe kabel yang digunakan biasanya jenis UTP

21 • (misalnya memakai hub 32 port), maka kinerja jaringan akan semakin turun Sangat mudah dikembangkan

Gambar 2.3 Topologi Star

  • 4. Topologi Mesh Topologi jaringan Mesh menggunakan saluran komunikasi langsung untuk

saling menghubungkan beberapa atau semua komputer dalam cincin.

Karakteristik topologi mesh, yaitu:

Topologi Mesh memiliki hubungan yang berlebihan antara peralatan

– peralatan yang ada

22

Susunannya pada setiap peralatan yang ada di dalam jaringan saling

terhubung satu sama lain Jika jumlah peralatan yang terhubung sangat banyak, akan sangat sulit untuk dikendalikan dibandingkan hanya sedikit peralatan saja yang terhubung

22 • Susunannya pada setiap peralatan yang ada di dalam jaringan saling • terhubung satu sama

Gambar 2.4 Topologi Mesh

  • 2.4 Konse p Manajemen Ri siko

    • 2.4.1 Penge rti an Ri siko

Menurut Djojosoedarso (2005, p.2), istilah risiko sudah biasa dipakai dalam kehidupan kita sehari-hari, yang umumnya sudah dipahami secara intuitif.

Akan tetapi, pengertian secara ilmiah dari risiko sampai saat ini masih tetap beragam, di antaranya :

  • a. Risiko adalah suatu variasi dari hasil- hasil yang dapat terjadi selama periode tertentu ( Arthur Williams dan Richard, M.H).

23

  • b. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan

peristiwa kerugian ( loss) ( A.Abas Salim). Dari definisi tersebut, dapat disimpulkan bahwa risiko selalu

dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak diduga/tidak diinginkan.

  • 2.4.1.1 Macam-macam

Ri siko

Menurut Djojosoerdarso (2005, p3), risiko dapat dibedakan dengan berbagai macam, antara lain:

  • 1. Menurut sifat risiko dapat dibedakan ke dalam:

    • a. Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja. Misalnya risiko terjadi nya kebakaran, bencana alam, pencurian, pengegelapan, pengacauan, dan sebagainya.

    • b. Risiko yang disengaja (risiko spekulatif) adalah risiko yang disengaja ditimbulkan oleh yang bersangkutan agar terjadinya ketidakpastian memberikan keuntungan kepadanya. Misalnya, risiko utang-piutang, perjudian, perdagangan berjangka (hedging), dan sebagainya.

    • c. Risiko fundamental adalah risiko yang tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang. Seperti banjir, angin topan, dan sebagainya.

24

  • d. Risiko khusus adalah risiko yang bersumber pada peristiwa mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya.

  • e. Risiko dinamis adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi, seperti risiko keusangan dan risiko penerbangan ruang angkasa. Kebalikannya adalah risiko statis, contohnya seperti risiko hari tua dan juga risiko kematian.

  • 2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain:

    • a. Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suatu objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan (pindah) ke pihak perusahaan asuransi.

    • b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan). Umumnya meliputi semua jenis risiko spekulatif.

  • 3. Menurut sumber/penyebab timbulnya:

    • a. Risiko intern, yaitu risiko yang berasal dari dalam perusahaan itu sendiri, seperti kerusakan aktiva karena ulah karyawan, kecelakaan kerja, kesalahan manajemen, dan sebagainya.

    • b. Risiko ekstern, yaitu risiko yang berasal dari luar perusahaan, seperti risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan pemerintah, dan sebagainya.

  • 25

    • 2.4.1.2 Pe nanggul angan risi ko

    Menurut Djojosoedarso (2005,p4), upaya-upaya untuk menanggulangi risiko harus selalu dilakukan sehingga kerugian dapat dihindari atau

    diminimumkan sesuai dengan sifat dan objek yang terkena risiko . Ada beberapa cara yang dapat dilakukan organisasi untuk meminimalkan risiko kerugian, antara lain:

    • 1. Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian

    • 2. Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian , untuk mencegah terganggunya operasi organisasi akibat kerugian tersebut disediakan sejumlah dana untuk menanggulanginya

    • 3. Melakukan pengendalian terhadap risiko

    • 4. Mengalihkan atau memindahkan risiko kepada pihak lain

    2.5 Risiko Teknol ogi Informasi

    2.5.1

    Kategori Risiko Teknologi Informasi

    Menurut Hughes (2006, p36), kategori risiko teknologi informasi antara kehilangan informasi potensial dan pemulihannya, antara lain:

    • 1. Keamanan Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berotoritas. Ini merupakan kejahatan komputer, kebocoran internal dan teorisme cyber .

    • 2. Ketersediaan

    26

    Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem, karena kesalahan manusia, perubahan konfigurasi, kurangnya pengurangan arsiktektur atau akibat lainnya.

    • 3. Daya pulih Risiko di mana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup setelah sebah kejadian keamanan atau ketersediaan, seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau bencana alam.

    • 4. Perfoma Risiko dimana informasi tidak tersedia saat diperlukan yang diakibatkan oleh arsiktektur terdistribusi, permintaaan yang tinggi, dan topografi informasi teknologi yang beragam.

    • 5. Daya skala Risiko perkembangan bisnis, peraturan bottleneck , dan bentuk arsiktekturnya membuat tidak mungkin menangani banyak aplikasi baru dan biaya bisnis yang efektif.

    • 6. Ketaatan Risiko manajemen atau penggunaan informasi melanggar regulasi. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah, paduan pengaturan korporat dan kebijakan internal.

    2.5.2 Kelas – Kel as

    Risi ko Teknologi Informasi

    Menurut

    Jordan

    dan

    Silcock

    (2005),

    risiko – risiko teknologi

    didefinisikan dalam 7 kelas, di mana pada setiap kasus teknologi informasi dapat

    27

    juga melakukan kesalahan, tetapi konsekuensi – konsekuensinya dapat berakibat negatif bagi bisnis. Kelas – kelas risiko:

    • 1. Projects – Failing to deliver

    Kelas risiko ini berhubungan dengan proyek TI yang gagal. Tiga hal yang menjadi ukuran dari gagalnya performa, yaitu waktu, kualitas, dan lingkup. Contohnya, proyek terlambat diselesaikan, proyek banyak memakan banyak sumber daya dan dana dibandingkan dengan yang sudah direncanakan, memberikan fungsi yang kurang kepada pengguna dibandingkan dengan yang sudah direncanankan, menggangu bisnis selama proses implementasi, dan lain – lain.

    • 2. IT Service Continuity – When business operations go off the air

    Kelas risiko ini berhubungan dengan layanan TI yang tidak berjalan dan

    ketidakandalan yang menyebabkan gangguan pada bisnis. Itu berhubungan dengan sistem operasional atau produksi dan kemampuan mereka untuk tetap beroperasi dengan andal unutk mendukung kebutuhan pengguna.

    • 3. Information Assets – Failing to protect and preserve

    Kelas risiko ini berhubungan s ecara khusus mengenai kerusakan, kerugian atau eksploitasi asset informasi yang ada dalam sistem TI. Dampak

    risiko asset informasi ini bisa sangat signitifkan. Misalnya, informasi yang penting mungkin didapatkan kompetitor, detail dari kartu kredit konsumen

    bisa saja dicuri dan digunakan untuk tujuan yang sifatnya menipu, atau dipublikasikan dan nantinya merusak hubungan dengan pelanggan dan reputasi organisasi.

    28

    Layanan vendor dan penyedia memainkan peran yang signifikan dalam proyek TI dan berjalannya sistem dari hari ke hari. Bila mereka gagal dalam menyediakan layanan terbaik bagi organisasi maka akan berdampak pada

    sistem dan layanan TI dan dampaknya bisa dirasakan dalam jangka panjang. Misalnya, kelemahan pada kemampuan layanan TI bagi pengguna organisasi tersebut.

    • 5. Applications – Flaky systems

    Kelas risiko berhubungan dengan kegagalan dalam aplikasi TI. Dampak

    dari aplikasi yang gagal untuk menjalankan fungsinya sebagaimana diharapkan dan dibutuhkan dapat terhubung dengan banyak system lain di organisasi sehingga dampaknya bisa terjadi pada hal-hal yang terkait.

    • 6. Infrastructure – Shaku foundations

    Kelas risiko ini terkait kegagalan dalam infrastruktur TI. Infrastruktur adalah nama yang umum untuk komputer dan jaringan yang tersentralisasi dan terdistribusi di mana aplikasi berjalan. Kegagalan infrastruktur TI dapat

    menjadi permanen – ketika sebuah komponen terbakar, tercuri, atau terhenti karena perbaikan, maupun ketika pasokan energi tidak ada atau koneksi jaringan putus. Dampak kegagalan tergantung pada tingkat ketahanan dan redudansi pada sistem dan ketersediaan dan kesiapan dari fasilitas yang siap mendukung. Sistem yang sudah tidak cocok sebaiknya diganti oleh organisasi.

    • 7. Strategic and Emergent – Disabled by IT

    Kelas risiko ini terkait dengan kemampuan TI untuk mengeksekusi strategi bisnis. Dampaknya tidak segera dirasakan, tetapi akan menjadi

    29

    signifikan pada perencanaan bisnis yang akan datang dan seterusnya. Risiko merupakan kemampuan dari organisasi untuk terus bergerak menuju sebuah visi strategis. Untuk tetap kompetitif, penting untuk menjadi terdepan dalam

    TI dimengerti dan disesuaikan dengan peluang –peluang potensial untuk eksploitasi bisnis organisasi. Saat penjajaran TI dengan strategi bisnis jelas, peluang dapat dieksploitasi lewat integrasi dan adaptasi yang efektif dan tepat waktu.

    • 2.5.3 Langkah Peme cahan

    Ri siko

    Menurut Jordan dan Silcock (2005, p7), langkah – langkah pemecahan risiko teknologi informasi adalah:

    • 1. Menjalankan kepemimpinan dan manajemen terkait Framework teknologi informasi dan tata kelola teknologi informasi.

    • 2. Mengintegrasikan penanganan risiko teknologi informasi dengan cara melakukan pendekatan manajemen portofolio risiko teknologi informasi.

    • 3. Mengelola kompleksitas dengan cata menangani setiap risiko teknologi informasi yang berbeda-beda cara penanganannya.

    • 2.6 Manaje men Ri siko Teknol ogi Informasi

      • 2.6.1 Penge rti an Manajeme n risi ko

    Menurut Djojosoedarso (2005, p4), manajemen risiko adalah pelaksanaan fungsi-fungsi manajemen dalam penanggulangan risiko, terutama risiko yang dihadapi oleh organisasi/ perusahaan, keluarga dan masyarakat. Jadi mencakup kegiatan merencanakan, mengorganisir, menyusun, memimpin, mengawasi

    30

    (termasuk mengevaluasi), dan program penanggulangan risiko. Program manajemen risiko dengan demikian mengcakup tugas-tugas, seperti :

    • 1. Mengidentifikasi risiko-risiko yang dihadapi

    • 2. Mengukur atau menentukan besarnya risiko tersebut

    • 3. Mencari jalan untuk menghadapi atau menanggulangi risiko

    • 4. Menyusun strategi untuk memperkecil atau pun menanggulangi risiko

    • 5. Mengkoordinasikan pelaksanaan risiko secara mengevaluasi program penanggulangan risiko yang telah dibuat.

    • 2.6.2 Fungsi -

    Fungsi Pokok Manaje men Risi ko

    Menurut Djojosoedarso (2005,p14), fungsi pokok manajemen risiko terdiri dari :

    • 1. Menemukan kerugian potensial Artinya berupaya untuk menemukan atau mengidentifikasi seluruh risiko murni yang dihadapi perusahaan, yaitu:

      • a. Kerusakan fisik dari harta kekayaan perusahaan.

      • b. Kehilangan pendapatan atau kerugian lainnya akibat terganggunya operasi perusahaan.

      • c. Kerugian akibat adanya tuntutan hukum dari pihak lain.

      • d. Kerugian-kerugian yang timbul karena penipuan, tindakan- tindakan kriminal lainnya, dan tidak jujurnya karyawan.

      • e. Kerugian-kerugian yang timbul akibat karyawan kunci (keymen) meninggal dunia, sakit, atau cacat.

    31

    Artinya melakukan evaluasi dan penilaian terhadap semua kerugian potensial yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini meliputi perkiraan mengenai :

    a. Besarnya kemungkinan frekuensi terjadinya kerugian. Artinya, memperkirakan jumlah kemungkinan terjadinya kerugian selama suatu periode tertentu atau berapa kali terjadinya kerugian selama suatu periode tertentu. b. Besarnya bahaya yang tiap-tiap kerugian, artinya menilai besarnya kerugian yang diderita, yang biasanya dikaitkan dengan besarnya pengaruh kerugian tersebut, terutama terhadap kondisi finansial organisasi.

    • 3. Memilih teknis/cara yang tepat atau menentukan suatu kombinasi dari teknik-teknik yang tepat guna menanggulangi kerugian. Pada dasarnya, terdiri dari empat cara yang dapat dipakai untuk menanggulangi risiko, yaitu mengurangi kesempatan terjadinya kerugian, meretensi, mengasuransikan, atau menghindari. Tugas dari manajer risiko adalah memilih satu cara yang paling tepat untuk menanggulangi risiko.

    • 2.6.3 Tahapan Manaje men Ri siko Teknol ogi

    Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen risiko terdiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda untuk jenis risiko yang berbeda :

    32

    • 2. Penilaian/ analisis – mengerti risiko informasi teknologi dalam konteks tas surat keseluruhan risiko informasi teknologi dan menilai kemungkinan munculnya dan pengaruhnya pada bisnis.

    • 3. Perawatan – menentukan pilihan terbaik dari beberapa langkah tindakan yang memungkinkan untuk mengatasi risiko, merencanakan, dan menyelesaikan tindakan yang diperlukan.

    • 4. Pengamatan dan peninjauan – menindaklanjuti untuk memastikan apa yang direncanakan itu dikerjakan dan mengerti perubahan yang ada pada tas surat risiko teknologi informasi.

    • 2.7 Fi rewall

    Menurut O’Brien (2007, p.458), firewall adalah sebuah sistem atau perangkat yang mengizinkan pengerakan lalu lintas jaringan yang dianggap aman untuk dilalui dan mencegah lalu lintas jaringan yang tidak aman. Metode penting yang digunakan untuk mengendalikan dan mengamankan Internet dan berbagai macam jaringan merupakan kegunaan dari firewall. Firewall dapat disebut sebagai “ gatekeeper” atau penjaga pintu gerbang, yang melindungi akses Internet perusahaan dan jaringan komputer lainnya dari intrusi atau penyusup. Firewall pada umumnya juga digunakan untuk mengontrol akses erhadap siapapun yang memiliki akses terhadap jaringan pribadi dari pihak luar.

    • 2.8 Down Ti me

    Downtime merupakan istilah yang merujuk kepada periode di mana sebuah sistem tidak dapat berfungsi, tidak dapat menyediakan, atau tidak dapat

    33

    melakukan fungsi utamanya. Sistem tersebut tidak dapat digunakan karena adanya gangguan hardware, software, ataupun komunikasi.

    • 2.9 Vi rus

    Menurut O’Brien (2007, p.446), salah satu contoh kejahatan komputer yang paling bersifat merusak adalah virus komputer atau yang biasa desebut dengan worm. Virus adalah istilah yang paling popular. Secara teknis, virus adalah kode program yang tidak dapat bekerja tanpa disertai atau dimasukkan ke dalam program yang lainnya. Worm sendiri merupakan program yang berbeda yang dapat berjalan tanpa bantuan. Dapat disimpulkan, virus adalah program yang bersifat merusak dan akan aktif dengan bantuan orang dan tidak dapat mereplikasi sendiri penyebarannya karena dilakukan oleh orang, seperti copy file, biasanya melalui attachement email, game, program bajakan, dan lain-lain.

    2.10

    Server

    Menurut O’Brien (2007, p190), server diartikan sebagai komputer yang mendukung aplikasi dan telekomunikasi dalam jaringan, serta pembagian peralatan periferal, software, dan database di antara berbagai terminal kerja dalam jaringan, dan yang kedua diartikan sebagai versi software untuk pemasangan server jaringan yang di desain untuk mengendalikan aplikasi pada mikro komputer klien dalam jaringan.

    34

    • 2.11 Swi tch

    Switch adalah sebuah alat jaringan yang melakukan bridging transparan (penghubung segementasi banyak jaringan dengan forwarding berdasarkan alamat MAC). Switch merupakan penghubung beberapa alat unutk membentuk suatu Local Area Network (LAN). Switch jaringan dapat digunakan sebagai penghubung komputer atau router pada satu area yang terbatas, switch juga bekerja pada lapisan data link. Cara kerja switch hampir sama seperti bridge, tetapi Switch memiliki sejumlah port sehingga sering dinamakan multi-port bridge.

    • 2.12 Router

    Router adalah sebuah alat yang mengirimkan paket data melalui sebuah jaringan atau Internet menuju tujuannya, melalui sebuah proses yang dikenal sebagai routing. Router berfungsi sebagai penghubung antar dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan lainnya.

    • 2.13 Prose dur

    Menurut O’Brien (2007, p.564), prosedur adalah satu set yang terdiri dari berbagai intruksi yang digunakan oleh orang-orang untuk menyelesaikan suatu tugas. Menurut Steve Flick dalam artikel Writing Policies and Procedures (2011), prosedur adalah proses yang didokumentasikan. Jadi, dapat disimpulakan bahwa prosedur adalah serangkaian aksi yang spesifik, tindakan, atau operasi yang harus dijalankan atau dieksekusi dengan cara yang sama dari keadaan yang

    35

    sama. Lebih tepatnya, kata ini bisa mengindikasikan rangkaian aktivitas, tugas- tugas, langkah-langkah, dan proses-proses yang dijalankan.

    • 2.14 Demil i tarized Zone

    Demilitarized Zone (DMZ) merupakan mekanisme unutk melindungi sistem internal dari serangan hacker ataupun pihak – pihak lain yang ingin memasuki sistem tanpa mempunyai hak akses. Secara esensial, DMZ melakukan perpindahan semua layanan suatu jaringan ke jaringan lain yang berbeda. DMZ terdiri dari semua port terbuka, yang dapat dilihat oleh pihak luar.

    • 2.15 Domain Name System

    Domain Name System (DNS) adalah sebuah sistem yang menyimpan informasi tentang nama host maupun nama domain dalam bentuk basis data tersebar (distributed database) di dalam jaringan komputer. DNS menyediakan alamat IP untuk setiap nama host dan mendata setiap server transmisi surat (mail exchange server ) yang menerima surel (email) untuk setiap domain. DNS menyediakan servis yang cukup penting untuk Internet. Bilamana perangkat keras komputer dan jaringan bekerja dengan alamat IP untuk mengerjakan tugas seperti pengalamatan dan penjaluran (routing), manusia pada umumnya lebih memilih untuk menggunakan nama host dan nama domain. Contohnya adalah penunjukan sumber universal (URL) dan alamat surel. Analogi yang umum digunakan untuk menjelaskan fungsinya adalah DNS bisa dianggap seperti buku telepon Internet dimana saat pengguna mengetikkan

    36

    www.cont oh.com di perambah web maka pengguna akan diarahkan ke alamat IP 192.0.32.10 (IPv4) dan 2620:0:2d0:200:10 (IPv6).

    • 2.16 Proxy Server

    Proxy Server adalah sebuah server (sistem komputer atau aplikasi) yang bertindak sebagai perantara permintaan dari klien mencari sumber daya dari server lain. Klien A terhubung ke server perantara, meminta beberapa servis, seperti berkas, koneksi, halaman web, atau sumber daya lainnya, yang tersedia dari server yang berbeda. Server perantara mengevaluasi permintaan menurut aturan penyaringan. Sebagai contoh, mungkin filter lalu lintas oleh [alamat [IP]] atau protokol. Jika permintaan divalidasi oleh filter , perantara menyediakan sumber daya dengan menghubungkan ke server yang relevan dan meminta layanan atas nama klien. Sebuah server perantara secara opsional dapat mengubah permohonan klien atau menanggapi di server , dan kadang-kadang mungkin melayani permintaan tanpa menghubungi server yang ditetapkan. Dalam hal ini, tanggapan yang tembolok dari remote server , dan selanjutnya kembali permintaan konten yang sama secara langsung.

    • 2.17 Li ght Weight Di rectoory Acess Protocol

    (LDAP)

    Light Weight Directoory Acess Protocol (LDAP) adalah suatu bentuk protokol client- server yang digunakan untuk mengakses suatu directory service. Pada tahap awalnya, LDAP digunakan sebagai suatu front – end bagi X.500, tetapi juga dapat digunakan bersama directory server yang stand- alone dan juga yang lainnya. LDAP memungkinkan untuk mengembangkan kemampuan yang dapat

    37

    digunakan untuk mencari suatu organisasi, mencari suatu individu, dan juga mencari sumber daya yang lainnya, misalnya file maupun alat device di dalam

    suatu jaringan.

    • 2.18 Me tode Pengukuran Risi ko teknologi Informasi

    2.18.1 ISO 27005

    A. Pe nilaian Risiko Keamanan Informasi

    Risiko adalah kombinasi dari konsekuensi yang akan mengikuti terjadinya suatu peristiwa yang tidak diinginkan dan kemungkinan terjadinya

    peristiwa tersebut. Penilaian risiko kuantitatif atau kualitatif yang akan menggambarkan risiko dan memungkinkan manajer untuk memprioritaskan risiko sesuai dengan keseriusan yang mereka rasakan atau ketetapan kriteria lainnya. Penilaian risiko terdiri dari beberapa kegiatan berikut ini :

    • 1. Analisa Risiko yang mana terdiri dari :

      • a. Identifikasi Risiko

      • b. Estimasi Risiko

  • 2. Evaluasi Risiko

  • Penilaian risiko menentukan nilai aset informasi, mengidentifikasi ancaman dan kerentanan yang berlaku yang telah ada (atau bisa ada), mengidentifikasi kontrol yang ada dan efeknya pada risiko yang teridentifikasi, menentukan konsekuensi potensial dan akhirnya memprioritaskan risiko yang

    38

    diperoleh dan peringkat mereka terhadap kriteria evaluasi resiko yang ditetapkan dalam pembentukan konteks. Penilaian risiko sering dilakukan di dua (atau lebih) iterasi. Pertama, penilaian tingkat tinggi dilakukan untuk mengidentifikasi risiko yang berpotensi tinggi serta menjamin penilaian lebih lanjut. Iterasi berikutnya dapat melibatkan pertimbangan lebih lanjut yang mendalam tentang risiko yang berpotensi tinggi dan terungkap dalam iterasi awal. Hal ini menyediakan informasi yang cukup untuk menilai risiko. Kemungkinan, analisis yang lebih lanjut s ecara rinci dilakukan, yaitu pada bagian-bagian dari total ruang lingkup, dan mungkin menggunakan metode yang berbeda.

    • 1. Analisi s Risi ko

      • a) Ide nti fikasi Risi ko Tujuan dari identifikasi risiko adalah untuk menentukan apa yang bisa terjadi dan yang menyebabkan potensi kerugian, dan untuk mendapatkan wawasan tentang bagaimana, di mana dan mengapa kerugian yang mungkin terjadi.

        • 1. Ide nti fikasi Ase t

    Masukan: Ruang lingkup dan batas-batas untuk penilaian resiko yang akan dilakukan, daftar konstituen dengan pemilik, lokasi, fungsi, dll Pelaksanaan bimbingan:

    Aset adalah segala sesuatu yang memiliki nilai untuk organisasi dan

    karenanya membutuhkan suatu perlindungan. Untuk identifikasi aset,

    harus

    39

    diingat bahwa sistem informasi terdiri dari lebih dari sekedar hardware dan software. Identifikasi aset harus dilakukan pada tingkat rincian yang cocok dengan menyediakan informasi yang cukup untuk penilaian risiko. Tingkat detail yang digunakan pada identifikasi aset akan mempengaruhi jumlah keseluruhan informasi yang dikumpulkan selama penilaian risiko. Tingkat detail dapat disempurnakan dalam iterasi yang lebih lanjut dari penilaian risiko. Seorang pemilik aset harus diidentifikasi untuk setiap asetnya, untuk memberikan tanggung jawab dan akuntabilitas untuk aset tersebut. Pemilik aset mungkin tidak memiliki hak properti untuk aset itu, tetapi memiliki tanggung jawab untuk pengembangan produksi, perawatan penggunaan, yang sesuai keamanan. Pemilik aset adalah orang yang seringkali paling cocok untuk menentukan nilai aset untuk organisasinya

    • 2. Ide nti fikasi ancaman

    Masukan : Informasi tentang ancaman yang diperoleh dari tinjauan kejadian, pemilik aset, pengguna dan sumber-sumber lain, termasuk katalog ancaman eksternal. Pelaksanaan bimbingan:

    Ancaman memiliki potensi untuk membahayakan aset, seperti informasi, proses dan sistem, dan juga organisasi itu. Ancaman dapat berasal dari alam atau manusia, dan bisa kebetulan terjadi atau juga disengaja. Sumber ancaman baik disengaja dan tidak disengaja harus diidentifikasi. Ancaman mungkin timbul dari dalam atau dari luar organisasi. Ancaman harus diidentifikasi secara umum dan

    40

    menurut jenisnya (tindakan tidak sah misalnya, kerusakan fisik, kegagalan teknis) dan kemudian di mana ancaman individu yang sesuai dalam kelas generik yang diidentifikasi. Ini berarti tidak ada ancaman yang terlupakan, termasuk yang tak terduga, tetapi volume pekerjaan yang dibutuhkan adalah terbatas. Beberapa ancaman dapat mempengaruhi lebih dari satu aset. Dalam kasus seperti itu, mereka dapat menyebabkan dampak yang berbeda tergantung pada aset yang dipengaruhi. Input untuk identifikasi ancaman dan perkiraan kemungkinan terjadinya hal tersebut dapat diperoleh dari pemilik aset atau pengguna, dari staf sumber daya manusia, dari manajemen fasilitas dan spesialis informasi keamanan, pakar keamanan fisik, departemen hukum dan organisasi lainnya termasuk badan hukum, otoritas cuaca, perusahaan asuransi dan otoritas pemerintah. Aspek lingkungan dan budaya harus dipertimbangkan ketika mengatasi ancaman. Pengalaman internal dari insiden dan penilaian ancaman masa lalu harus dipertimbangkan dalam penilaian saat ini. Mungkin ada baiknya untuk berkonsultasi pada katalog ancaman lainnya (mungkin dapat spesifik untuk sebuah organisasi atau bisnis) untuk melengkapi daftar ancaman generik, yang relevan. Katalog ancaman dan statistik telah tersedia dari badan-badan industri, pemerintah, badan hukum, perusahaan asuransi dll. Bila menggunakan katalog ancaman, atau hasil penilaian ancaman sebelumnya, salah satu harus menyadari bahwa ada perubahan terus-menerus dari ancaman yang relevan, khususnya jika perubahan sistem lingkungan bisnis atau informasi tersebut.

    41

    • 3. Ide nti fikasi Pengendalian yang ada

    Masukan: Mengontrol dokumentasi, rencana penanganan resiko implementasi. Pelaksanaan bimbingan:

    Identifikasi kontrol yang ada harus dilakukan untuk menghindari pekerjaan atau biaya yang tidak perlu, misalnya penduplikasian kontrol. Selain itu, di saat mengidentifikasi kontrol yang ada, pemeriksaan harus dilakukan untuk memastikan bahwa kontrol bekerja dengan benar. Jika kontrol tidak bekerja seperti yang diharapkan, hal ini dapat menyebabkan kerentanan. Pertimbangan harus diberikan untuk situasi di mana kontrol yang dip ilih (atau strategi) yang gagal dalam operasi dan karenanya dibutuhkan pelengkap kontrol untuk mengatasi risiko yang teridentifikasi secara efektif. Menurut ISO / IEC 27001, hal ini didukung oleh pengukuran efektivitas kontrol. Sebuah cara untuk memperkirakan efek dari kontrol adalah untuk melihat bagaimana mengurangi kemungkinan ancaman dan kemudahan mengeksploitasi kerentanan, atau dampak dari insiden tersebut. Ulasan manajemen dan laporan audit juga memberikan informasi tentang efektivitas kontrol yang ada. Kontrol yang direncanakan akan dilaksanakan sesuai dengan rencana perawatan risiko yang pelaksanaannya harus dipertimbangkan dalam cara yang sama, seperti yang sudah dilaksanakan sebelumnya. Kontrol yang ada atau direncanakan mungkin diidentifikasi sebagai yang belum efektif, atau belum cukup, atau belum dijalankan. Jika belum dijalankan atau belum efektif, kontrol harus diperiksa untuk menentukan apakah harus ada

    42

    yang dihapus, atau diganti dengan yang lain, dengan kontrol yang lebih cocok, atau apakah harus tinggal di tempat, misalnya, untuk alasan biaya. Untuk identifikasi kontrol yang ada atau direncanakan, kegiatan berikut

    dapat membantunya :

    • a. Meninjau dokumen yang berisi informasi tentang kontrol (misalnya, rencana penanganan pelaksanaan resiko), jika proses manajemen keamanan informasi didokumentasikan dengan baik pada semua kontrol yang ada atau telah direncanakan dan status pelaksanaannya pun juga harus tersedia;

    • b. Memeriksa pada orang yang bertanggung jawab untuk keamanan informasi (informasi dari petugas misalnya keamanan dan sistem keamanan informasi, manajer bangunan atau manajer operasi) dan pengguna untuk yang benar-benar diimplementasikan kontrolnya untuk proses informasi atau sistem informasi yang telah dipertimbangkan;

    • c. Melakukan kajian di lokasi kontrol fisik, membandingkan mereka yang diimplementasikan dengan daftar kontrol apa yang harus ada, dan memeriksa mereka yang diimplementasikan seperti apakah mereka dapat bekerja dengan benar dan efektif, atau

    • d. Meninjau hasil audit internal

    • 4. Ide nti fikasi Ke rentanan

    Masukan: Sebuah daftar ancaman yang diketahui, daftar aset dan kontrol yang ada. Pelaksanaan bimbingan:

    43

    Kerentanan dapat diidentifikasi di daerah berikut :

    • a. Organisasi

    • b. Proses dan prosedur

    • c. Rutinitas Manajemen

    • d. Personal

    • e. Lingkungan Fisik

    • f. Susunan Sistem Informasi

    • g. Hardware, software atau peralatan berkomunikasi

    • h. Ketergantungan atas pihak eksternal

    Kehadiran kerentanan tidak hanya menyebabkan kerugian pada sesuatu hal. Sebuah kerentanan yang telah ada pada ancaman terkait yang tidak mungkin memerlukan pelaksanaan kontrol, tetapi harus diakui dan dipantau untuk perubahannya. Perlu dicatat bahwa pelaksanaan kontrol yang tidak benar atau penyalahgunaan kontrol atau kontrol yang digunakan sendiri s ecara tidak benar dapat menyebabkan kerentanan. Kontrol bisa efektif atau tidak efektif tergantung pada lingkungan di mana ia beroperasi. Sebaliknya, sebuah ancaman yang tidak memiliki kerentanan tersebut tidak akan mengakibatkan risiko. Kerentanan dapat berhubungan dengan sifat dari aset yang dapat digunakan dengan cara, atau untuk suatu tujuan, selain dari makna yang terkandung ketika aset tersebut dibeli atau dibuat. Kerentanan yang timbul dari sumber yang berbeda perlu dipertimbangkan, misalnya, unsur intrinsik atau ekstrinsik untuk aset tersebut.

    44

    • 5. Ide nti fikasi Konse kue nsi

    Masukan: Sebuah daftar aset, daftar proses bisnis, dan daftar ancaman dan kerentanan yang tepat, yang terkait dengan aset dan relevansi mereka. Pelaksanaan bimbingan:

    Konsekwensinya dapat kehilangan efektivitas, kondisi operasi yang merugikan, kerugian bisnis, kerusakan reputasi, dll. Kegiatan ini mengidentifikasi kerusakan atau konsekuensi bagi organisasi

    yang dapat disebabkan oleh skenario insiden. Sebuah skenario insiden adalah deskripsi ancaman yang memanfaatkan kerentanan tertentu atau serangkaian kerentanan dalam sebuah insiden keamanan informasi. Dampak dari skenario insiden akan ditentukan dengan mempertimbangkan kriteria dampak yang ditentukan selama kegiatan pembentukan konteks. Ini dapat mempengaruhi satu atau lebih aset atau bagian dari aset tersebut. Jadi aset mungkin telah ditetapkan dengan nilai yang baik untuk biaya keuangan dan karena konsekuensi bisnis mereka jika bisnis itu telah rusak atau merugi. Konsekuensi mungkin bersifat sementara atau mungkin permanen seperti dalam kasus perusakan aset. Organisasi harus mengidentifikasi konsekuensi operasional skenario insiden dalam hal (namun tidak terbatas pada):

    • a. Waktu investigasi dan perbaikan

    • b. Kehilangan waktu (Kerja)

    • c. Kehilangan peluang

    • d. Keamanan dan Keselamatan

    45

    • e. Biaya keuangan keterampilan khusus untuk memperbaiki kerusakan tersebut

    • f. Reputasi dan niat baik pada gambar

    • b) Esti masi Ri siko

      • 1. Me todol ogi Esti masi Risi ko

    Analisis risiko dapat dilakukan dalam berbagai tingkat detail tergantung pada kekritisan aset, tingkat kerentanan yang diketahui, dan insiden sebelumnya yang terjadi di dalam organisasi. Sebuah estimasi metodologi bisa bersifat kualitatif atau kuantitatif, atau gabungan keduanya, tergantung pada keadaannya. Dalam prakteknya, estimasi kualitatif sering digunakan sebagai awalan untuk mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko utama. Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik atau kuantitatif pada risiko yang besar karena biasanya hal tersebut kurang kompleks dan lebih mudah untuk kinerja kualitatif daripada analisis kuantitatif. Bentuk analisis harus konsisten dengan kriteria evaluasi risiko yang dikembangkan sebagai bagian dari penentuan konteks. Rincian lebih lanjut dari metodologi estimasi yang sekarang dapat dijelaskan sebagai berikut :

    • a. Estimasi Kualitatif

    Estimasi

    kualitatif

    menggunakan

    skala

    kualifikasi

    atribut

    untuk

    menggambarkan besarnya konsekuensi potensial (misalnya Rendah, Menengah dan Tinggi) dan kemungkinan konsekuensi tersebut terjadi. Sebuah keuntungan

    46

    dari estimasi kualitatif adalah mudah dipahami oleh semua personil yang relevan, sementara kelemahannya adalah ketergantungan pada skala pilihan subjektif. Skala ini dapat diadaptasi atau disesuaikan dengan keadaan dan deskripsi yang

    berbeda yang dapat digunakan untuk risiko yang berbeda. Estimasi kualitatif dapat digunakan:

    • 1. Sebagai suatu kegiatan pemeriksaan awal untuk mengidentifikasi risiko yang memerlukan analisis yang lebih rinci.

    • 2. Dimana analisis semacam ini cocok untuk keputusan tersebut

    • 3. Dimana data numerik atau sumber daya yang memadai untuk estimasi kuantitatif

    Analisis kualitatif harus menggunakan informasi faktual dan data yang tersedia.

    • b. Estimasi Kuantitatif

    Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik (bukan skala deskriptif yang digunakan di dalam estimasi kualitatif) untuk keduanya yaitu konsekuensi dan kemungkinan, untuk menggunakan data dari berbagai sumber. Kualitas dari analisis tergantung pada keakuratan dan kelengkapan dari nilai-nilai numerik dan validitas model yang digunakan. Estimasi kuantitatif dalam banyak kasus menggunakan data kejadian historis, memberikan keuntungan yang dapat berhubungan langsung dengan tujuan keamanan informasi dan keprihatinan organisasi. Kelemahannya adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi. Kelemahan dari pendekatan kuantitatif dapat terjadi dimana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi nilai dan akurasi penilaian risiko.

    47

    Cara di mana konsekuensi dan kemungkinan diekspresikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis dan tujuan risiko dimana output penilaian risiko yang akan

    digunakan. Ketidakpastian dan variabilitas dari keduanya yaitu konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif.

    • 2. Pe nilaian konsekuensi

    Masukan: Daftar identifikasi skenario kejadian yang relevan, termasuk identifikasi ancaman, kerentanan, aset yang terkena dampak, konsekuensi untuk aset dan proses bisnis. Pelaksanaan Bimbingan:

    Setelah mengidentifikasi semua aset di dalam tinjauan ini, nilai-nilai ditugaskan untuk aset-aset ini dan harus dipertimbangkan saat menilai konsekuensinya. Dampak nilai bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif, tetapi setiap metode penugasan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi proses pembuatan keputusan yang lebih efisien. Penilaian aset dimulai dengan klasifikasi aset yang sesuai dengan kekritisan mereka, dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi. Penilaian ini kemudian ditentukan dengan menggunakan dua ukuran, yaitu :

    48

    • a. Nilai penggantian aset: biaya pembersihan recovery dan penggantian informasi (jika semua itu mungkin), dan

    • b. Konsekuensi dari bisnis yaitu membahayakan atau kehilangan aset,

    seperti bisnis potensial yang merugikan dan / atau konsekuensi hukum atau peraturan dari pengungkapan, modifikasi, ketidaktersediaan dan / atau perusakan informasi, dan aset informasi lainnya Penilaian ini dapat ditentukan dari analisis dampak bisnis. Nilai, ditentukan oleh konsekuensi untuk bisnis, biasanya s ecara signifikan lebih tinggi daripada biaya penggantian yang sederhana, tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan bisnisnya. Penilaian aset merupakan faktor kunci dalam penilaian dampak dari skenario insiden, karena insiden itu dapat mempengaruhi lebih dari satu aset (misalnya aset dependen), atau hanya bagian dari aset. Ancaman dan kerentanan yang berbeda akan memiliki dampak yang berbeda pada aset, seperti hilangnya kerahasiaan, integritas atau ketersediaan. Dengan begitu penilaian konsekuensi terkait dengan penilaian aset yang berdasarkan analisis dampak bisnis. Konsekuensi atau dampak bisnis dapat ditentukan dengan hasil pemodelan dari suatu peristiwa atau serangkaian peristiwa, atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu. Konsekuensi dapat dinyatakan dalam kriteria dampak moneter, teknis atau manusia, atau kriteria lain yang relevan untuk organisasi. Dalam beberapa kasus, lebih dari satu nilai numerik yang diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda, tempat, kelompok atau situasinya.

    49

    Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk kemungkinan ancaman dan kerentanan. Konsistensi harus

    • 3. Pe nilaian Kemungkinan Insi den

    Masukan: Daftar identifikasi skenario kejadian yang relevan, termasuk identifikasi ancaman, aset yang terkena dampak, eksploitasi kerentanan dan konsekuensi terhadap aset dan proses bisnis. Selain itu, daftar dari semua kontrol yang ada dan yang telah direncanakan, efektivitas, pelaksanaan dan status penggunaan mereka. Pelaksanaan bimbingan:

    Setelah mengidentifikasi skenario insiden, adalah perlu untuk menilai kemungkinan setiap skenario dan dampak yang terjadi, dengan menggunakan teknik estimasi kualitatif atau kuantitatif. Hal ini harus memperhitungkan seberapa sering ancaman itu terjadi dan bagaimana cara kerentanan yang dapat dieksploitasi, dengan mengingat:

    • a. Pengalaman dan statistik yang berlaku untuk kemungkinan ancaman

    • b. Untuk sumber ancaman yang disengaja: motivasi dan kemampuan, yang akan berubah dari waktu ke waktu, dan sumber daya yang tersedia untuk kemungkinan penyerangan, serta daya tarik persepsi dan aset kerentanan untuk kemungkinan seseorang menyerang

    • c. Untuk sumber ancaman kecelakaan: faktor geografis misalnya berdekatan dengan bahan kimia atau pabrik minyak bumi, kemungkinan kondisi

    50

    cuaca yang ekstrim, dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan kerusakan peralatan

    • d. Kerentanan, baik secara individu dan dalam pengumpulannya

    • e. Kontrol yang tersedia dan bagaimana dengan cenderung mereka mengurangi kerentanan tersebut Sebagai contoh, sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman yang menyamar sebagai identitas pengguna dan penyalahgunaan sumber daya. Kerentanan yang menyamar pada identitas pengguna mungkin menjadi tinggi karena kurangnya otentikasi pengguna. Di sisi lain, kemungkinan penyalahgunaan sumber daya mungkin menjadi rendah, meskipun kurangnya otentikasi pengguna, karena cara untuk menyalahgunakan sumber daya yang terbatas. Tergantung pada kebutuhan untuk akurasi, aset dapat dikelompokkan, atau mungkin perlu untuk membagi aset menjadi elemen-elemen mereka dan berhubungan dengan skenario untuk elemen-elemen tersebut. Sebagai contoh, di seluruh lokasi geografis, sifat ancaman terhadap jenis-jenis aset yang sama dan dapat berubah, atau efektivitas pengendalian yang tersedia mungkin bervariasi.

      • 4. Tingkat Estimasi Risi ko

    Masukan: Daftar skenario insiden dengan konsekuensi mereka yang berkaitan dengan aset dan proses bisnis dan kemungkinan mereka lainnya (kuantitatif atau kualitatif). Pelaksanaan bimbingan:

    51

    Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko. Nilai-nilai ini bisa bersifat kuantitatif atau kualitatif. Estimasi risiko didasarkan pada penilaian konsekuensi dan kemungkinan. Selain itu, dapat

    mempertimbangkan manfaat biaya, perhatian para stakeholder, dan variabel lainnya, yang sesuai untuk evaluasi risiko. Resiko yang diperkirakan adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya.

    • 2. Eval uasi Ri siko Masukan: Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko. Pelaksanaan bimbingan: Sifat keputusan terkait evaluasi risiko dan kriteria evaluasi resiko yang akan digunakan untuk membuat keputusan tersebut yang akan diputuskan ketika menetapkan konteksnya. Keputusan-keputusan dan konteks tersebut harus ditinjau kembali secara lebih rinci pada tahap ini ketika hal tersebut lebih dikenal mengenai risiko tertentu yang diidentifikasi. Untuk mengevaluasi resiko, organisasi harus membandingkan estimasi risiko dengan kriteria evaluasi resiko yang telah ditentukan selama pembentukan konteks. Kriteria evaluasi risiko yang digunakan untuk membuat keputusan yang harus konsisten dengan keamanan informasi eksternal dan internal yang didefinisikan dalam konteks manajemen risiko dan memperhitungkan tujuan organisasi dan pandangan pemangku kepentingan (stakeholder ), dll. Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada tingkat risiko yang dapat diterima. Namun, konsekuensi, kemungkinan, dan

    52

    tingkat kepercayaan pada identifikasi dan analisis risiko juga harus dipertimbangkan. Agregasi beberapa risiko yang rendah atau menengah dapat mengakibatkan risiko secara keseluruhan menjadi jauh lebih tinggi dan perlu

    ditangani sesuai dengan hal tersebut. Pertimbangan tersebut harus mencakup:

    • 1. Sifat keamanan Informasi: jika salah satu kriteria yang tidak relevan untuk organisasi (misalnya hilangnya kerahasiaan), maka semua risiko yang berdampak pada kriteria ini mungkin menjadi tidak relevan

    • 2. Proses bisnis atau kegiatan kepentingan yang didukung oleh seperangkat

    aset atau aset tertentu: jika proses ini ditentukan untuk menjadi kepentingan yang rendah, risiko yang terkait dengan itu harus diberikan pertimbangan risiko yang lebih rendah daripada dampak yang lebih tinggi pada proses atau kegiatan kepentingan tersebut. Evaluasi Risiko yang menggunakan pemahaman risiko diperoleh dengan analisis risiko untuk membuat keputusan tentang tindakan di masa depan.

    Keputusan itu harus mencakup:

    • 1. Apakah kegiatan yang harus dilakukan

    • 2. Prioritas untuk penanganan risiko dengan mempertimbangkan estimasi

    tingkat risiko Selama tahap evaluasi risiko, kontrak, persyaratan dan peraturan hukum merupakan faktor yang harus diperhitungkan selain resiko yang diperkirakan.

    2.18.2 O CTAVE - S

    53

    Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol1), OCTAVE-S

    is a vach tailored to the limited means and unique constraints typically found in small organizations (less than 100 people). Dapat diartikan OCTAVE-S adalah variasi dari pendekatan OCTAVE-S yang dikembangkan untuk kebutuhan organisasi yang kecil (kurang dari 100 orang). Untuk mengelola risiko terhadap keamanan sistem informasi, maka perlu dilakukan analisa resiko untuk mengurangi kerugian-kerugian yang mungkin terjadi. Salah satu metode analisa risiko untuk keamanan sistem informasi suatu organisasi atau perusahaan adalah metode OCTAVE-S (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) yang mampu mengelola risiko perusahaan dengan mengenali risiko-risiko yang mungkin terjadi pada perusahaan dan membuat rencana penanggulangan dan mitigasi terhadap masing-masing risiko yang telah diketahui. Keuntungan Metode-Metode OCTAVE-S adalah :

    • 1. Self – directed : Sekelompok anggota organisasidalam unit-unit bisnis yang bekerja sama dengan divisi IT untuk mengidentifikasikan kebutuhan keamanan dari organisasi.

    • 2. Flexible : Setiap metode dapat diterapkan pada sasaran , keamanan dan lingkungan risiko perusahaan diberbagai level.

    • 3. Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada sisi keamanan dan menempatkan teknologi di bidang bisnis.

    2.18.3 FRAP

    54

    Menurut Peltier (2001, p69) merupakan suatu proses yang dikembangkan

    secara efisien dan teratur untuk memastikan keamanan informasi dari proses bisnis yang beresiko dipertimbangkan dan didokumentasikan. Dalam metode ini dapat di analisis system dari perusahaan, aplikasi yang digunakan atau proses bisnis dalam perusahaan. Selama sesi FRAP tim mengidentifikasikan ancaman, kerentanan, dan dampak negative pada integritas data, kerahasiaan dan ketersedian informasi.

    • 1. Keuntungan menggunakan metode FRAP

    FRAP menggunakan metodologi formal yang dikembangkan untuk merubah atau memodifikasi proses analisis resiko sebelumnya yang bersifat kualitatif dan kuantitatif yang memenuhi segala persyaratan yang ada pada saat ini. Selain itu FRAP digunakan oleh perusahaan untuk memastikan adanya pengendalian terhadap proses bisnis agar dapat memenuhi tujuan dari perusahaan tersebut. Selain itu juga FRAP focus pada kebutuhan bisnis dan focus dengan waktu yang digunakan untuk menganalisis risiko dalam suatu organisasi atau perusahaan. Dalam proses analisis resiko dengan menggunakan metode FRAP, akan dihasilkan dokumen-dokumen yang meliputi data ancaman, melakukan prioritas terhadap ancaman serta membuat daftar pengendalian. Selain itu proses FRAP juga bersifat cost-effective yaitu hemat biaya karena FRAP tidak memakan waktu lama dalam pengerjaannya dan menggunakan sumber daya manusia dari dalam perusahaaan yang bersangkutan.

    • 2. Proses Analisis Risiko FRAP

    55

    Proses pengukuran risiko dengan menggunakan FRAP, dibagi dalam 4 sesi yang

    berbeda antara lain :

    • a. Pre FRAP Meeting

    • b. The FRAP Session

    • c. FRAP Analysis dan Report Generation

    • d. Post FRAP Meeting

    2.18.4 Pe rbe daan antara ISO 27005, O ctave dan FRAP

    Perbedaan

    ISO 2700 5

     

    FRAP

    OCTAVE -S

     

    Tahapan -

    1.

    Gambaran umum

    • a. Pre FRAP Meeting ‐ ‐ ‐

    a.

    Tahap

    1

    :

    Build

    tahapan :

    penilaian risiko

    Scope

    Asset-

    Based

    keamanan risiko

    Statement

    Thread Profile

     

    Visual Model

    b.

    Tahap

    2:

    Identify

     

    Analisis Risiko

    Establish the

    Infrastructure

     

    o

    Pengantar

    FRAP Team

    Vulnerabilities

     
     

    Indentifikas

    • b. The FRAP Session ‐ ‐ ‐

    c.

    Tahap

    3:

    Develop

    i Risiko

    Risk Identified

    Security

    Strategy

     

    o

    Identifikasi

    Risk Prioritized

    And Plans

     

    asset

    Control

    Proses

    1

    :

    Identifikasi

     

    o

    Identifikasi

    Identiified

    Informasi Organisasi

     

    ancaman

    • c. FRAP Analysis and

    Proses

    2:

     

    Membuat

     

    o

    Identifikasi

    Report Generation

    Profil Ancaman

     

    control

    • d. Post FRAP

    Proses

    3:

    Memeriksa

    yang ada

    Meeting

    Perhitungan Infrastruktur

     

    o

    Identifikasi

    Cross

    yang Berhubungan

     

    ancaman

    Reference

    dengan Aset Kritis

     

    o

    Identifikasi

    Sheet

    Proses 4: Identifikasi

     

    Konsekuen

    Action Plan

    dan Analisa Risiko

    si

    Proses

     

    5:

     

    Estimasi Risiko

    Mengembangkan Startegi Perlindungan

     

    o

    Metodologi

    dan Rencana Mitigasi

     

    Estimasi

    - 30 langkah

     

    Risiko

     
     

    o

    Penilaian

     

    konse kuen

    si

     

    o

    Penilaian

     

    kemungkin

    an insiden

     

    o

    Tingkat

     

    estimasi

    risiko

    56

       

    Evaluasi risiko

       

    2.Gambaran umum penanganan risiko

     

    Pengurangan

     

    risiko

     

    Risiko

     

    penyimpanan

     

    Penghindaran

     

    risiko

     

    Transfer risiko

    Keuntunga

       

    a.

    Sederhana dan

    n

    -

    Di dalam

    • 1. Hemat Biaya

    • 2. Tidak memakan

    terarah, karena memiliki

    ketetapan mengenai

    pengumpulan datanya

    tidak diwajibkan

    waktu lama

    praktek dan lembar kerja

    menggunakan metode tertentu (contoh:kuisioner,intervi

    • 3. Tahapan- tahapannya sudah di jelaskan

    untuk mendokumentasikan hasil pemodelan.

     

    ew,dll)

    b.

    Bersifat

    objektif,

    karena

    risiko

    didapat

     

    -

    Merupakan

     

    dari pihak yang terkait.

    standarisasi

    c.

    Mendokumentasikan

    internasional

    dan

    mengukur

    risiko

     

    keamanan

    TI

    secara

     

    -

    Langkahnya

    ke seluruhan.

    sederhana

     

    d.

    Pembentukan

    tim

     

    kerja

    lebih

    sederhana

     

    -

    Proses analisis dan

    sehingga

    lebih

    tepat

    evaluasi lebih mudah

    waktu.

    e.

    Memiliki

    Framework

     

    -

    Mudah dimengerti

    sehingga pengukuran se suai dengan detail list yang telah ditentukan.

    Kelemahan

       

    a.

    Memakan

    waktu

     

    -

    Tidak mempunyai

    • 1. Untuk menghasilkan

    cukup

    lama,

    karena

    penjelasan teknik

    data harus se suai

    pengukuran

    risiko

    TI

    dalam melakukan

    dengan tahapan-

    dilakukan

    secara

    identifikasi risiko

    tahapan.

    ke seluruhan.

     

    b.

    Adanya probabilitas

     

    -

    Cara

    optional, hal ini dianggap

    penanganannya

    tidak

    sesuai

    dengan

    kurang

    spesifik

    standar OCTAVE-S.

     

    c.

    Memiliki

    banyak

    worksheet

    dan

    implementasi .

    Subtance

       

    Tahap 1: Pro file aset

     
     

    Estimasi risiko

    Post FRAP Meeting :

    Tahap

    2:

    Profile

    (berupa angka dan

    Cross-Reference

    • a. ancaman

     

    huruf)

    Sheet

    Tahap

    3:

    Strategi

     
    • b. perlindungan

    Action Plan

     

    dan

    rencana mitigasi.

    57

           

    Cara

       

    Melalui f ramework yang

    Bebas (tanpa

    Pre FRAP Meeting

    telah ditentukan sesuai

    pengumpul an data :

    teknik)

    dengan buku OCTAVE- S Implementation Guide, Version 1.0 yang dikarang oleh Christopher Alberts et all

    Tabel 2.1 Perbedaaan ISO 27005, FRAP, OCTAVE-S Dari pembahasan tabel di atas , dapat disimpulkan bahwa ke tiga metode di atas memiliki kelebihan dan kelemahan masing - masing. Metode ISO 27005 memiliki langkah yang lebih sederhanan dibanding ke – dua metode yang lain, namun , ISO 27005 tidak mempunyai penjelasan teknik dalam melakukan identifikasi risiko dan cara penanganannya kurang spesifik. Sedangkan FRAP dan OCTAVE – S lebih memiliki banyak worksheet dan implementasi, sehingga memakan waktu cukup lama, karena pengukuran risiko TI dilakukan s ecara keseluruhan.