Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem
keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras,
database, prosedur, dan pelaporan.
Tujuan fase pertama siklus hidup keamanan adalah untuk menghasilkan laporan analisis
kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain serangkaian ukuran
pengendalian risiko yang komprehensif, termasuk ukuran keamanan untuk mencegah
kerugian dan rencana kontigensi untuk menangani kerugian pada saat kerugian tersebut
harus terjadi. Secara kolektif keempat fase tersebut disebut manajemen risiko sistem
informasi. Manajemen risiko sistem informasi merupakan proses untuk menaksir dan
mengendalikan risiko sistem komputer.
Suatu sistem keamanan informasi akan efektif apabila dikelola oleh chief security officer
(CSO). CSO tersebut harus melapor langsung pada dewan direksi agar terciptanya
independensi. Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk
mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus
hidup.
Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sisitem, yaitu
pendekatan kuantitatif untuk menaksir risiko dan pendekatan kualitatif.
Pendekatan kuantitatif menghitung setiap eksposur kerugian sebagai hasil kali biaya
kerugian setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut. Ada
beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir eksposur
kerugian, yaitu:
1. Mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir
probabilitas terjadinya eksposur tersebut merupakan hal yang sulit. Biaya yang
relevan untuk suatu kerugian adalah turunnya profitabilitas perusahaan sebagai akibat
terjadinya kerugian tersebut. Tetapi, biaya tersebut sulit diestimasi karena estimasi
melibatkan estimasi biaya interupsi bisnis bisnis yang sulit diprediksi atau estimasi
biaya penggantian penggantian komputer yang hanya dapat diganti dengan model
baru yang sebenarnya tidak sebanding dengan komputer lama.
2. Mengestimasi kemungkinan terjadinya suatu kerugian melibatkan peramalan masa
yang akan datang, yang sangat sulit khususnya dalam lingkungan teknologi yang
mengalami perubahan sangat cepat. Dalam upaya menaksir probabilitas terjadinya
serangan yang disengaja terhadap suatu sistem, seseorang harus mengestimasi biaya
dan manfaat serangan semacam ini bagi penyerang. Penyerang yang sangat suka
risiko mungkin akan bersedia menerima risiko yang sangat besar untuk mendapatkan
sedikit upah.
Pendekatan kualitatif adalah pendekatan yang secara sederhana merinci daftar kerentanan
dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut
bedasarkan kontribusi setiap item tersebut terhadap total eksposur kerugian perusahaan.
Baik pendekatan kualitatif maupun kuantitatif sering digunakan di dalam praktik. Banyak
perusahaan yang mengombinasikan kedua pendekatan tersebut. Apapun metode yang
dipakai, analisis eksposur kerugian tersebut harus mencakup area berikut ini:
Interupsi bisnis
Kerugian perangkat lunak
Kerugian data
Kerugian perangkat keras
Kerugian fasilitas
Kerugian jasa dan personel
Jika pendekatan kuantitatif yang digunakan, maka biaya dapat diestimasi menggunakan
satu dari banyak metode, termasuk replacement cost, service denial, kewajiban kepada
pihak ketiga, dan interupsi bisnis.
4. Pengelolaan Risiko Bencana
Bencana bisa saja terjadi. Bencana yang tidak diharapkan yang secara serius dapat
menginterupsi jalannya aktivitas bisnis. Banyak organisasi tergantung pada sisitem
komputer untuk