Dewi Hanggraeni
Fakultas Ekonomi Universitas Indonesia
This thesis analyze the operational risk specifically information technology risk at PT.
XYZ using Cause-Effect method. Cause-Effect method is a risk assessment method that
uses a logic of causality relationship in determining the possible risks that can occur.
Implementation of ISO 27001 at the Information Technology unit of PT. XYZ generate
risk profiles that is used as the basis of the Information Technology Security Management
System implementation. This study uses the risk profile of Information Technology unit
PT. XYZ as the basis for quantifying operational risk assessment using the Cause-Effect
method. PT. XYZ’s operational risk quantification begins by decomposing and forming
submodel of technology risk profile information. Based on the risk parameters that
exist in PT. XYZ’s risk management policy, risk quantification simulations using Loss
Distribution Approach - Aggregation model can be done to provide illustrations on
financial loss that may occur.
enterprise wide dengan profil risiko level risikonya. Penentuan level risiko
operasional khususnya yang terkait dengan dilakukan secara semi kuantitatif yang
Teknologi Informasi. dijabarkan lebih lanjut pada Bab 3.
Mengambil upaya manajerial yaitu Penelitian dari Chonawee Supatgiat,
dengan mengaplikasikan sistem manajemen Chris Kenyon dan Lucas Heusler (2006)
berbasis ISO 27001 terhadap infrastruktur dalam karya tulisnya yang berjudul “Cause-
Teknologi Informasi dan layanan Teknologi to-Effect Operational Risk Quantification
Informasi terutama yang dihantarkan oleh and Management” memberikan suatu model
Unit Teknologi Informasi. Selain tentu saja dan metode untuk mengkuantifikasi risiko
memperkuat keamanan secara fisik dan operasional berbasiskan hubungan sebab-
teknis dari layanan dan infrastruktur akibat (cause-to-effect). Penelitian ini
Teknologi Informasi memberikan suatu sudut pandang baru
ISO 27001 sebagai sistem manajemen dalam melakukan penghitungan risiko
yang berfokus pada keamanan informasi operasional yaitu dengan adanya
menggunakan pendekatan manajemen dekomposisi yang membagi risiko-risiko
risiko dalam implementasinya. Pendekatan yang ada dimana kemudian dilakukan
manajemen risiko dilakukan melalui risk agregasi dalam menghitung risikonya.
assessment atau penilaian risiko yang Metode kuantifikasi risiko yang ada
berbasis pada seluruh aset terkait saat ini umumnya dilakukan berdasarkan
Teknologi Informasi dari lingkup yang observasi kerugian, dan besarnya
disertifikasi oleh suatu perusahaan. PT. kuantifikasi risiko operasional belum tentu
XYZ dalam hal ini memutuskan untuk mencerminkan suatu hubungan sebab
memperluas ruang lingkup sertifikat ISO akibat yang menunjukkan bagaimana
27001 yang telah didapatkan sebelumnya risiko dapat dikurangi, dikelola dan
yaitu dari ruang lingkup Data Center dikendalikan (Supatgiat, Kenyon, Heusler,
dengan menambahkan ruang lingkup baru 2006). Hal ini menimbulkan adanya gap
yaitu pada area kerja Unit Teknologi antara penentuan risiko yang umumnya
Informasi. Penambahan ruang lingkup dilakukan bersama risk taking unit, dengan
dalam sertifikasi Sistem Manajemen penghitungan risiko operasionalnya.
Keamanan Informasi (SMKI) ISO 27001,
membutuhkan adanya penilaian risiko
khusus untuk lingkup yang ditambahkan RUMUSAN MASALAH
yaitu Unit Teknologi Informasi.
Metode penilaian risiko yang PT. XYZ dalam mengimplemen-
dilakukan dalam ISO 27001 adalah dengan tasikan Sistem Manajemen Keamanan
melihat risiko dari masing-masing aset Informasi dengan ruang lingkup Unit
terkait Teknologi Informasi berdasarkan Teknologi Informasi melakukan suatu
ancaman (threat), kelemahan penilaian risiko sesuai dengan standard
(vulnerability) dan akibat/dampak (impact) ISO 27001. Penilaian risiko yang dilakukan
yang membentuk suatu kemungkinan merupakan penilaian risiko berbasis aset
peristiwa/event risiko. Masing-masing Teknologi Informasi perusahaan. Metode
event risiko yang terbentuk dari ancaman, penilaian risiko dikembangkan dari
kelemahan dan dampak akan dilihat standard ISO 27001 dan disesuaikan
berdasarkan frekuensi (likelihood) serta dengan kebijakan manajemen risiko
dampaknya (impact) untuk menentukan perusahaan.
Penilaian risiko yang dilakukan oleh • PT. XYZ dapat melakukan dan
Unit Teknologi Informasi PT. XYZ dalam mengembangkan model penilaian risiko
kerangka implementasi ISO 27001 meng- dengan metode cause-effect
hasilkan kurang lebih 373 kemungkinan • Memberikan gambaran nilai kerugian
risiko yang dapat terjadi. Dengan operasional dengan menggunakan Loss
banyaknya risiko yang ada, dibutuhkan Distribution Approach - Aggregation
suatu metode kuantifikasi risiko agar dapat model.
memberikan gambaran kerugian yang
mungkin terjadi di masa mendatang. Saat
ini penilaian risiko yang dilakukan hanya LANDASAN TEORI
memberikan gambaran profil risiko yang
ada, tetapi belum sampai pada gambaran Risiko Teknologi Informasi
kerugian yang mungkin diderita Risiko Teknologi Informasi dari sudut
peruusahaan. pandang Ilmu Manajemen Risiko secara
Metode Kuantifikasi Risiko umum dan industri finansial merupakan
Operasional Berbasiskan metode Cause- bagian dari risiko operasional. Dari
Effect sebagaimana dituliskan dalam karya penjabaran definisi risiko operasional pada
ilmiahnya oleh Supatgiat, Kenyon dan sub bab sebelumnya, dapat ditarik
Heusler, memberikan model pengukuran kesimpulan bahwa kegagalan sistem
risiko Teknologi Informasi yang sangat Teknologi Informasi termasuk dan
baik. Dari ratusan potensi risiko yang ada, merupakan bagian dari risiko operasional.
banyak sekali risiko yang terkait dan Pada dasarnya risiko Teknologi
memiliki hubungan cause-effect antara satu Informasi merupakan risiko bagi bisnis
risiko dengan yang lain. secara keseluruhan, terutama bagi bisnis
Dalam penelitian ini peneliti melakukan yang terkait langsung dengan layanan
kuantifikasi risiko operasional menggunakan Teknologi Informasi. Ketika terjadi
metod cause-effect ke dalam penilaian risiko gangguan maupun permasalahan terhadap
yang dilakukan oleh PT. XYZ dalam rangka layanan Teknologi Informasi, maka baik
implementasi Sistem Manajemen Keamanan secara langsung ataupun tidak langsung
Informasi ISO 27001. Peneliti mengharapkan akan mengganggu bisnis dan organisasi
agar penelitian ini dapat menjawab dua secara keseluruhan. Risiko Teknologi
pertanyaan di bawah: Informasi, menurut Risk IT Framework
Bagaimana melakukan kuantifikasi (ISACA, 2009) dapat dikategorikan
risiko Teknologi Informasi (TI) meng- sebagai berikut:
gunakan metode Cause-effect pada PT.
XYZ? • Risiko nilai/keuntungan penggunaan
Bagaimana simulasi penghitungan Teknologi Informasi (IT benefit/value
kerugian operasionalnya menggunakan enablement risk)
Loss Distribution Approach - Aggregation
• Risiko pelaksanaan program dan proyek
model? (IT programme and project delivery
risk)
TUJUAN PENELITIAN
• Risiko penghantaran operasional dan
Penelitian yang dilakukan peneliti layanan Teknologi Informasi (IT
memiliki tujuan sebagai berikut: operations and service delivery risk)
operasional, umumnya hanya melihat pada sangat banyak bahkan bisa sampai ribuan
kerugiannya tetapi tidak sampai pada risiko.
hubungan cause-effect yang menyebabkan Dalam melakukan penilaian risiko,
risiko tersebut terjadi. Dalam melakukan ketika semua jenis risiko dimodelkan
penghitungan risiko operasional secara menggunakan hubungan cause-effect, akan
umum, hal ini memang dapat dilakukan. menghasilkan sebuah model yang sangat
Tetapi ketika dilakukan penilaian risiko besar dan rumit. Model yang besar dan
Teknologi Informasinya, maka akan rumit tersebut dapat disederhanakan
ditemui kesulitan terutama terkait dengan melalui dekomposisi menjadi submodel
valuasi/penghitungan nilai kerugian yang yang lebih kecil. Untuk setiap submodel,
dapat terjadi. Faktor besarnya investasi kegagalan yang terjadi ditranslasikan
finansial terhadap aset Teknologi Informasi menjadi kerugian finansial.
dan penghitungan tingkat pengembalian
investasi yang cukup rumit mempersulit Grafik Interdependensi
penghitungan risiko Teknologi Informasi. Grafik interdependesi dibuat untuk
Metode Cause-effect yang menjadi memfasilitasi dekomposisi risiko menjadi
dasar penelitian ini menggunakan suatu submodel-submodel yang lebih kecil.
algoritma dekomposisi untuk menye- Gambar dibawah menjelaskan mengenai
derhanakan model penilaian risiko yang proses untuk menghubungkan antara
berskala besar. Pada umumnya penilaian penyebab kegagalan (root cause of failure),
risiko Teknologi Informasi dapat kejadian kegagalan (failure event) serta
memunculkan kemungkinan risiko yang dampak (impact type) bagi perusahaan.
METODE PENELITIAN
sempurnaan dalam pendataan aset, dan Sehingga sebagai contoh untuk suatu
ketidaksempurnaan dalam Pelaksanaan kejadian ilegal akses terhadap dokumen
Clean Desk & Clean Screen Policy. Relasi dan misshandling dokumen, mengacu
failure dependency memiliki hubungan pada dampak berupa pencurian hardware/
many to many. informasi oleh pihak luar. Dengan
Antara failure event types dan hubungan many to many, maka kedua
independent impact types terdapat suatu failure event tersebut juga bisa
relasi yang disebut sebagai keter- menimbulkan dampak penyalahgunaan/
gantungan dampak (impact dependency). kebocoran informasi kepada pihak luar.
Untuk mencari frequency of loss Demikian pula untuk nilai severity of loss
untuk satu periode yang akan datang akan distribution untuk satu periode yang akan
dilakukan dengan bantuan aplikasi Excel datang, ditentukan dari besarnya nilai
dengan simulasi sebanyak 10.000 kali random berdasarkan parameter distribusi
dengan menginput nilai lambda untuk lognormal yaitu mean dan standar deviasi.
generate random number frequency. Hasil simulasi dapat dilihat pada gambar
4-5.