BAB 2

LANDASAN TEORI

2.1 Pengertian Teknologi

Secara etimologis, kata teknologi berasal dari dua kata yaitu techno yang berarti

seni, dan logia (logos) yang berarti ilmu, teori.

Jack Febrian (2000,p1), teknologi adalah aplikasi ilmu dan engineering untuk

mengembangkan mesin dan prosedur agar memperluas dan memperbaiki kondisi

manusia, atau paling tidak memperbaiki efisiensi manusia pada berbagai aspek. Secara

luas teknologi merupakan semua manifestasi dalam arti materiil yang lahir dari daya

cipta manusia untuk membuat segala sesuatu yang bermanfaat guna mempertahankan

kehidupannya.

Dalam arti klasik, ilmu pengetahuan dalam pengertian luas, yang bertopang

kepada ilmu-ilmu alam yang mewujudkan ilmu-ilmu seperti perencanaan, konstruksi,

pengamanan, utilitas, dan sebagainya dari semua bangunan teknik, sipil maupun militer.

2.2 Pengertian Informasi

Kata informasi berasal dari kata Perancis kuno informacion (tahun 1387) yang

diambil dari bahasa latin informationem yang berarti “garis besar, konsep, ide”.

Informasi merupakan kata benda dari informare yang berarti aktifitas dalam

“pengetahuan yang dikomunikasikan”.

Menurut Turban (2003, p15), informasi adalah sebuah kumpulan dari data yang

terorganisir dari berbagai cara yang bermanfaat bagi penerima informasinya.

8
 9

Menurut Mcleod (2008, p15), informasi adalah data yang telah diproses atau

data yang memiliki arti.

2.3 Pengertian Teknologi Informasi

Menurut Turban et al (2003,p3) teknologi informasi (TI) adalah kumpulan dari

kompoen teknologi yang diorganisir ke dalam suatu sistem informasi berbasis komputer.

O’Brien (2008,p10) technology information is the various hardware, software

networking, and data management components necessary for the system to operate

(teknologi informasi adalah perangkat keras, perangkat lunak, perangkat telekomunikasi,

manajemen database dan teknologi pengolahan informasi lainnya yang digunakan di

dalam sebuah sistem informasi berbasis computer).

Menurut Thompson dan Cats-Baril (2003, p3), teknologi informasi adalah

perangkat keras dan perangkat lunak yang dikemas sebagai suatu alat untuk menangkap,

menyimpan, memproses dan menghasilkan digital

Menurut Ward and Peppard (2002,p3) teknologi informasi atau yang biasa

disingkat dengan TI secara spesifik mengacuh pada teknologi, baik berupa hardware,

software maupun jaringan telekomunikasi yang memfasilitaskan dan mendukung proses

pengumpulan, pengolahan, penyimpanan, penyebaran dan pertukaran informasi.

Menurut Sawyer dan Willams (2006, p3), teknologi informasi adalah istilah

umum yang mendeskripsikan berbagai teknologi yang membantu untuk memproduksi,

manipulasi, penyimpanan, komunikasi dan menyebarluaskan informasi.

Dapat disimpulkan bahwa, teknologi informasi adalah alat yang mendukung

aktifitas sebuah sistem informasi.

 10

2.3.1 Etimologi Teknologi Informasi

Teknologi Informasi dilihat dari kata penyusunnya adalah teknologi dan

informasi .Secara mudahnya teknologi informasi adalah hasil rekayasa manusia

terhadap proses penyampaian informasi dari bagian pengirim ke penerima

sehingga pengiriman informasi tersebut akan:

- lebih cepat

- lebih luas sebarannya, dan

- lebih lama penyimpanannya.

Agar lebih mudah memahaminya mari kita lihat perkembangan di bidang

teknologi informasi. Pada awal sejarah, manusia bertukar informasi melalui

bahasa. Maka bahasa adalah teknologi. Bahasa memungkinkan seseorang

memahami informasi yang disampaikan oleh orang lain. Tetapi bahasa yang

disampaikan dari mulut ke mulut hanya bertahan sebentar saja, yaitu hanya pada

saat si pengirim menyampaikan informasi melalui ucapannya itu saja. Setelah

ucapan itu selesai, maka informasi yang berada di tangan si penerima itu akan

dilupakan dan tidak bisa disimpan lama. Selain itu jangkauan suara juga terbatas.

Untuk jarak tertentu, meskipun masih terdengar, informasi yang disampaikan

lewat bahasa suara akan terdegradasi bahkan hilang sama sekali.

Setelah itu teknologi penyampaian informasi berkembang melalui

gambar. Dengan gambar jangkauan informasi bisa lebih jauh. Gambar ini bisa

dibawa-bawa dan disampaikan kepada orang lain. Selain itu informasi yang ada

akan bertahan lebih lama. Beberapa gambar peninggalan jaman purba masih ada

sampai sekarang sehingga manusia sekarang dapat mencoba memahami

informasi yang ingin disampaikan pembuatnya.

 11

2.3.2 Manfaat Teknologi Informasi

Membicarakan manfaat teknologi ini, maka hampir sebagian kehidupan

kita dikelilingi oleh teknologi informasi baik yang sederhana maupun yang

canggih. Contoh, saat kita ingin menyampaikan pesan yang sangat penting di

tempat berjauhan. Tak terbayangkan bila informasi tersebut harus kita sampaikan

dengan pesan di daun lontar atau dikirim melalui burung merpati pos.

Saat ini, penggunaan telepon sangat memudahkan kita untuk

menyampaikan informasi sepenting apapun dalam waktu yang singkat. Belum

lagi teknologi telekomunikasi ini berkembang menjadi telepon genggam yang

fungsinya pun makin beragam.

Bentuk-bentuk teknologi informasi dalam keseharian kita:

- Bidang telekomunikasi, melahirkan telepon dengan berbagai fungsi hingga

muncul telepon genggam

- Kita dapat menikmati hiburan atau peristiwa dari daerah lain dengan mudah

melalui media radio dan televisi

- Tersedianya media perekam dalam bentuk cakram optik yang biasa kita

kenal dengan sebutan CD (compact disk)

Saat ini kehadiran internet mempermudah kita memperoleh informasi

apapun dari belahan dunia mana saja, hanya dengan duduk di depan komputer

kita dapat menjelajah ke mana saja

2.4 Hardware Dan Software

Menurut Haag, Cummings, dan McCubbrey (2005, p15), ada dua kategori dasar

dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan fisik yang
 12

menyusun sebuah komputer (sering dikenal sebagai sistem komputer). Software adalah

kumpulan instruksi–instruksi yang menjalankan hardware untuk menyelesaikan tugas

tertentu.

Hardware dibagi menjadi 6 kategori, yaitu (1) input device, (2) output device, (3)

storage device, (4) CPU dan RAM, (5) telecommunications device, (6) connecting

device.

Input device adalah peralatan yang digunakan untuk memasukkan informasi dan

perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan bar code

reader. Output device adalah peralatan yang digunakan untuk melihat, mendengar, atau

sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer,

monitor dan speaker. Storage device adalah peralatan yang digunakan untuk menyimpan

informasi yang digunakan dilain waktu terdiri atas hard disk, flash memory card, dan

DVD. CPU adalah hardware yang mengartikan dan menjalankan sistem dan instruksi–

instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware.

RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya

sistem, dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini.

Telecommunications device adalah peralatan yang digunakan untuk mengirim informasi

dan menerima informasi dari orang atau komputer lain dalam satu jaringan contohnya

modem. Connecting hardware termasuk hal–hal seperti terminal paralel yang

menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal

paralel dan peralatan penghubung internal yang sebagian besar termasuk alat pengantar

untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya.

Ada 2 tipe utama dari software, yaitu application dan system. Application

software yang memungkinkan untuk menyelesaikan masalah-masalah spesifik atau

 13

menampilkan tugas-tugas spesifik. System software yaitu menangani tugas–tugas

spesifik untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan

teknologi. Di dalam system software ditemukan operating system software dan utility

software. operating system software adalah software sistem yang mengendalikan

software aplikasi dan mengelola bagaimana peralatan hardware bekerja bersama–sama.

Utility software adalah software yang menyediakan tambahan fungsionalitas untuk

mengoperasikan sistem software, seperti antivirus software, screen savers, disk

optimization software.

2.5 Jaringan

Menurut Turban, Rainer, Porter (2003, p178), sebuah jaringan komputer, terdiri

atas media komunikasi peralatan–peralatan dan software yang dibutuhkan untuk

menghubungkan dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran jaringan

yang umum, yaitu: LAN (Local Area Networks) dan WAN (Wide Area Networks). MAN

(Metropolitan Area Network) berada diantara dua ukuran tersebut. LAN

menghubungkan dua atau lebih alat komunikasi sampai 2000 kaki (biasanya dalam

gedung yang sama). Jadi, setiap pengguna alat dalam jaringan memiliki potensi untuk

berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang terdiri atas

kumpulan telepon atau jaringan internasional seperti penyedia layanan komunikasi

global, mungkin milik komersial, swasta, atau publik.

2.6 Internet, Intranet, Ekstranet

Menurut Turban, Rainer, Porter (2003, p11), internet adalah elektronik dan

jaringan telekomunikasi yang besar yang menghubungkan komputer bisnis, konsumen,

 14

instansi pemerintah, sekolah, dan organisasi lainnya di seluruh dunia, yang

menggunakan pertukaran informasi secara lancar terbuka. Intranet adalah jaringan

pribadi yang menggunakan jaringan internet dan perangkat lunak protokol TCP/IP,

umumnya berupa, internet swasta, atau segmen kelompok swasta dari jaringan internet

publik. Ekstranet adalah jaringan yang aman yang menghubungkan mitra bisnis dan

intranet lewat internet dengan menyediakan akses ke wilayah masing-masing

perusahaan.

2.7 Pengertian Risiko

Menurut Peltier (2001, p21), Risiko adalah seseorang atau sesuatu yang

membuat atau menyarankan sebuah bahaya.

Alberts, Dorofee, Stevens and Woody (2001,p43), Risk is the possibility of

suffering harm or loss (Risiko adalah kemungkinan untuk menderita kerugian atau

kehilangan).

Menurut Djojosoedarso (2003, p2), pengertian Risiko antara lain:

Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode

tertentu (Arthur Wiliams dan Richard, M.H).

Risiko adalah ketidak pastian (uncerteinty) yang mungkin melahirkan peristiwa

kerugian (loss) (A. Abas Salim).

Risiko adalah ketidak pastian atas terjadinya suatu peristiwa (Soekarto).

Risiko merupakan penyebaran/penyimpangan hasil actual dari hasil yang

diharapkan (Herman Darmawi).

Risiko adalah probabilitas sesuatu hasil/outcome yang berbeda dengan yang

diharapkan (Herman Darmawi).

 15

Definisi-definisi tersebut dapat disimpulkan bahwa Risiko selalu dihubungkan

dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak diduga/tidak

diinginkan.

Dengan demikian Risiko mempunyai karakteristik:

-Merupakan ketidak pastian atas terjadinya suatu peristiwa.

-Merupakan ketidakpastian bila terjadi akan menimbulkan kerugian.

-Wujud dari risiko itu dapat bermacam-macam, antara lain:

-Berupa kerugian atas harta milik/kekayaan atau penghasilan, misalnya

diakibatkan oleh kebakaran, pencurian, pengangguran, dan sebagainya.

-Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan.

-Berupa tanggung jawab hukum, misalnya Risiko dari perbuatan atau

peristiwa yang merugikan orang lain.

-Berupa kerugian karena perubahan keadaan pasar, misalnya terjadinya

perubahan harga, perubahan selera konsumen dan sebagainya.

2.7.1 Macam-Macam Risiko

Menurut Djojosoedarso (2005, p3), Risiko dapat dibedakan dengan

berbagai macam cara antara lain:

Menurut sifatnya Risiko dapat dibedakan ke dalam:

-Risiko yang tidak disengaja (Risiko murni), adalah Risiko yang apabila

terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja; misalnya

risko terjadinya kebakaran, bencana alam, pencurian, penggelapan,

pengacauan, dan sebagainya.

 16

-Risiko yang disengaja (Risiko spekulatif), adalah Risiko yang disengaja

ditimbulkan oleh yang bersangkuatan, agar terjadinya ketidakpastian

memberikan keuntungan kepadanya, misalnya Risiko utang-piutang,

penjudian, perdagangan berjangka (hedging), dan sebagainya.

-Risiko fundamental, adlah Risiko yang penyebabnya tidak dilimpahkan

kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang

saja, tetapi banyak orang, seperti banjir, angin topan, dan sebagainya.

-Risiko khusus, adalah Risiko yang bersumber pada peristiwa yang mandiri

dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat

jatuh, tabrakan mobil, dan sebagainya.

-Risiko dinamis, adalah Risiko yang timbul karena perkembangan dan

kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi,

seperti Risiko keusangan, Risiko penerbangan luar angkasa. Kebalikannya

disebut Risiko statis, seperti Risiko hari tua, Risiko kematian dan sebagainya.

Dapat tidaknya risko tersebut dialihkan kepada pihak lain, maka Risiko

dapat dibedakan ke dalam:

-Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan

suatu objek yang akan terkena Risiko kepada perusahan asuransi, dengan

membayar sejumlah premi asuransi, sehingga semua kerugian menjadi

tanggungan (pindah) pihak perusahaan asuransi.

-Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat

diasuransikan); umumnya meliputi semua jenis Risiko spekulatif.

Menurut sumber/penyebab timbulnya, Risiko dapat dibedakan ke dalam:

 17

-Risiko intern yaitu Risiko yang berasal dari dalam perusahaan itu sendiri,

seperti kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja,

kesalahan manajemen dan sebagainya.

-Risiko eksteren yaitu Risiko yang berasal dari luar perusahaan, seperti

Risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan

pemerintah, dan sebagainya.

Menurut Gondodiyoto (2006,p303), ancaman utama terhadap keamanan

dapat bersifat karena alam, manusia, yang bersifat kelalaian atau kesengajaan,

antara lain:

a) Ancaman kebakaran

Beberapa pelaksanaan keamanan untuk ancaman kebakaran :

-Memiliki alat pemadam kebakaran otomatis dan tabung pemadam

kebakaran

-Memiliki pintu/tangga darurat

-Melakukan pengecekan rutin dan pengujian terhadap sistem

perlindungan kebakaran untuk dapat memastikan bahwa segala

sesuatunya telah dirawat dengan baik

b) Ancaman banjir

Beberapa pelaksanaan pengamanan untuk ancaman banjir :

-Usahakan bahan untuk atap, dinding dan lantai yang tahan air

-Semua material asset system informasi ditaruh di tempat yang tinggi

-Perubahan tegangan sumber energi

 18

-Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan

sumber energi listrik, misalnya : menggunakan stabilizer atau power

supply (UPS).

c) Kerusakan Struktural

Pelaksanaan pengamanan untuk mengantisipasi kerusakan structural

misalnya: memilih lokasi perusahaan yang jarang terjadi gempa, angin ribut,

banjir.

d) Penyusup

Pelaksaan pengamanan untuk mengantisipasi penyusup adalah penempatan

penjaga dan penggunaan alarm, atau kamera pengawas.

e) Virus

Pelaksanaan pengamanan untuk mengantisipasi virus adalah :

-Preventif, seperti menginstal anti virus dan melakukan update secara

rutin

-Detektif, misalnya melakuka scan file sebelum digunakan

-Korektif , misalnya memastikan back up data bebas virus, pemakaian

anti virus terhadap file yang teinfeksi.

f) Hacking

Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking :

-Pengguaan control logical sseperti penggunaan password yang sulit

ditebak.

-Petugas keamanan secara teratur memonitor sistem yang digunakan.

 19

2.7.2 Upaya Penanggulangan Risiko

Upaya-upaya untuk menaggulangi Risiko harus selalu dilakukan,

sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan

obyek yang terkena Risiko, ada beberapa cara yang dapat dilakukan perusahaan

untuk meminimumkan Risiko kerugian, antara lain:

Melakukan pencegahan dan pengurangan terhadap

kemungkinanterjadinya peristiwa yang menimbulkan kerugian, misalnya

membangun gedung dengan bahan-bahan anti-terbakar untuk mencegah bahaya

kebakaran, memagari mesin-mesin untuk menghindari kecelakaan kerja,

melakukan pemeliharan dan penyimpanan yang baik terhadap bahan dan hasil

produksi untuk menghindari Risiko kecurian dan kerusakan, mengadakan

pendekatan kemanusiaan untuk mencegah terjadinya pemogokan, sabotase dan

pengacauan.

Melakukan retensi, artinya mentilerir membiarkan terjadinya kerugian,

dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut

disediakan sejumlah dana untuk menanggulanginya (contoh:pos biaya lain-lain

atau tak terduga dalam anggaran perusahaan).

Melakukan pengendalian terhadap Risiko, contohnya melakukan

hedging(pedagangan bejangka) untuk menanggulangi Risiko kelangkaan dan

fluktuasi harga bahan baku/pembantu yang diperlukan.

Mengalihkan/memindahkan Risiko kepada pihak lain, yaitu dengan cara

mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi

terhadap Risiko tertentu, dengan membayar sejumlah premi asuransi kerugian

bila betul-betul terjadi kerugian yang sesuai dengan perjanjian.

 20

2.8 Risiko Teknologi Informasi

2.8.1 Kategori Risiko Teknologi Informasi

Menurut Hughes (2006 , p36), kategori Risiko teknologi informasi antara

kehilangan informasi potensial dan pemulihannya, antara lain:

A. Keamanan

Risiko yang informasinya diubah atau digunakan oleh orang yang tidak

berotoritas. Ini termasuk kejahatan komputer, kebocoran internal dan

terorisme cyber.

B. Ketersediaan

Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem,

karena kesalahan manusia, perubahan konfigurasi, kurangnya pengurangan

arsitektur atau akibat lainnya.

C. Daya Pulih

Risiko di mana informasi yang diperlukan tidak dapat dipulihkan dalam

waktu yang cukup setelah sebuah kejadian keamanan atau ketersediaan

seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau

bencana alam.

D. Performa

Risiko di mana informasi tidak tersedia saat diperlukan yang diakibatkan

oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi

teknologi yang beragam.

 21

E. Daya Skala

Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk

arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru

dan biaya bisnis secara efektif.

F. Ketaatan

Risiko yang manajemen atau penggunaan informasinya melanggar keperluan

regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah,

panduan pengaturan korporat dan kebijakan internal.

2.8.2 Kelas – Kelas Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p49), Risiko–Risiko teknologi

didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat

juga melakukan kesalahan, tetapi konsekuensi–konsekuensinya dapat berakibat

negatif bagi bisnis.

Kelas – kelas Risiko:

1. Projects – failing to deliver

Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh

dari gagalnya penyampaian proyek adalah: menyelesaikan proyek yang ada

telat/tidak pada waktunya, sumber daya dan biaya yang dikonsumsi dalam

penyelesaian proyek besar sehingga tidak efisisen, mengganggu proses bisnis

selama proses implementasi, dan juga fungsi dari proyek tidak sesuai dengan

keinginan dari yang diharapkan user.

2. IT service continuity- when business operations go off the air

 22

Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman dan

tidak dapat diandalkan sehingga menganggu proses bisnis yang sedang

berjalan. Biasanya berhubungan dengan sistem operasional dan produksi

perusahaan serta kemampuan mereka untuk menyediakan kebutuhan dari

user.

3. Information assets – failing to protect and preserve

Risiko ini berhubungan khusus dengan kerusakan, kehilangan, dan

eksploitasi aset informasi yang ada dalam sistem. Dampaknya bisa sangat

fatal bagi perusahaan, contohnya informasi yang penting bisa dicuri oleh

perusahaan kompetitor, detail dari kartu kredit dapat dilihat oleh pihak yang

tidak berwenang, sehingga dengan demikian akan merusak hubungan antara

pelanggan dengan perusahaan. Ini tentunya akan sangat merugikan

perusahaan.

4. Service providers and vendors – breaks in the IT value chain

Risiko ini berhubungan dengan kemampuan dari provider dan vendor. Bila

mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan

berdampak signifikan bagi sistem TI perusahaan. Dampak lainnya

berhubungan dengan dampak jangka panjang seperti kekurangan dalam

penyediaan layanan TI bagi user perusahaan tersebut.

5. Applications – flaky systems

Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan.

Aplikasi biasanya berinteraksi dengan user dan dalam suatu perusahaan

biasanya terdapat kombinasi antara software paket dan software buatan yang

diintegrasikan menjadi satu.

 23

6. Infrastructure – shaky foundations

Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI.

Infrastruktur adalah suatu nama yang umum bagi komputer maupun jaringan

yang sedang dipakai dan berjalan di perusahaan tersebut. Di dalam

infrastruktur juga termasuk software, seperti sistem operasi dan sistem

database management.

Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu komponen

terbakar, dicuri, rusak maupun koneksi jaringannya sedang putus, maka

dampak dari kegagalan tersebut tergantung dari ketahanan sistem yang ada.

Apabila terdapat sitem yang sudah tidak kompatibel dengan model yang

baru, maka sistem tersebut perlu diganti. Apabila Risiko ini dapat ditangani

secara rutin, maka itu merupakan suatu perencanaan jangka panjang yang

baik.

7. Strategic and emergent – disabled by IT

Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan

strategi bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi

sangat signifikan dalam pelaksanaan bisnis secara luas. Risiko merupakan

kemampuan dari perusahaan untuk terus bergerak maju ke arah visi strategi.

Untuk tetap kompetitif diperlukan kemajuan TI untuk dipahami dan

dicocokan dengan potensi kesempatan eksploitasi bagi bisnis.

 24

2.8.3 Langkah Pemecahan Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005 , p7), ada tiga langkah kunci dalam

membuat Risiko informasi teknologi berjalan untuk anda, dalam menempatkan

diri anda dalam satu posisi dimana anda dapat hidup dengan Risiko:

- Anda perlu menempatkan kepemimpinan dan manajemen yang tepat pada

tempatnya melalui teknologi informasi dan kerangka cara pengaturan Risiko.

- Anda perlu menggabungkan cara anda mengurus Risiko informasi teknologi

dengan mengadopsi sebuah pendekatan manajemen tas surat yang proaktif.

- Anda perlu mengatur kompleksitas dengan secara aktif mengatur setiap

jenis Risiko informasi teknologi.

2.9 Pengertian Manajemen

Robbins and Coulter (2007,p37), management is coordinating and overseeing

the work activities of others so that their activities are completed efficiently and

effectively (manajemen adalah mengkoordinasi dan mengawasi aktifitas kerja orang lain

sehingga aktifitas mereka selesai dengan efektif dan efesien).

Menurut Anthony dan Govindarajan (2007,p4), manajemen adalah sebuah

organisasi yang terdiri dari orang-orang yang berada dalam sebuah grup yang bekerja

secara bersama-sama untuk mencapai tujuan tertentu.

 25

2.10 Pengertian Manajemen Risiko

Menurut Djojosedarso (2003,p4), manajemen Risiko adalah pelaksanaan fungsi-

fungsi manajemen dan penanggulangan Risiko, terutama Risiko yang dihadapi

organisasi/perusahaan, keluarga dan masyarakat.

According to Noshworthy (2000,p600), Risk management is implementation of

measures aimed at reducing the likelihood of those threats occurring and minimising

any damage if they do. Risk analysis and risk control form the basis of risk management

where risk control is the application of suitable controls to gain a balance between

security, usability and cost (manajemen Risiko adalah identifikasi dari ancaman dan

implementasi dari pengukuran yang ditujukan pada mengurangi kejadian ancaman

tersebut dan menimalisasi setiap kerusakan. Analisa Risiko dan pengontrolan Risiko

membentuk dasar manajemen Risiko dimana pengontrolan Risiko adalah aplikasi dari

pengelolaan yang cocok untuk memperoleh keseimbangan antara keamanan,

penggunaan dan biaya).

According to Peltier (2001,p224) Risk management is the process of identifying

risks, risk-mitigating measures, the budgetary effect of implementing decisions related to

the acceptance, avoidance, or transfer of risk (manajemen Risiko adalah sebuah proses

untuk mengidentifikasi Risiko, meminimalisasi Risiko, dan efek anggaran dari

pengimplementasian keputusan yang berkaitan dengan penerimaan, menghindari, atau

pemindahan Risiko).
 26

2.10.1 Tujuan Manajemen Risiko

According to Birch & McEvoy(1992,p45), objective of risk management

is reduce business exposure by balancing countermeasures investment against

risk (Tujuan manajemen Risiko adalah mengurangi pembukaan bisnis dengan

menyeimbangkan tindakan balasan investasi terhadap Risiko).

According to Suh & Han(2003,p150), Objective of risk management is to

minimise the expected loss (Tujuan manajemen Risiko adalah meminimalisir

harapan dari kerugian).

According Jacobson(2002,p1), Objective of risk management is to select

risk mitigation, risk transfer and risk recovery measures so as to optimise the

performance of an organization (Tujuan manajemen Risiko adalah memilih

pengukuran peringanan Risiko, pemindahan Risiko dan pemulihan Risiko untuk

mengoptimalkan kinerja organisasi).

2.10.2 Dimensi Manajemen Risiko.

Manajemen Risiko NIST(2002,p4), mencakup tiga proses yaitu penilaian

Risiko, pengalihan Risiko dan evalusi serta penilaian. Proses penilaian Risiko

mencakup identifikasi dan evaluasi dari Risiko dan dampak Risiko, dan

rekomendasi dari pengukuran pengurangan Risiko. Proses pengalihan Risiko

mengacu pada pengukuran pengurangan Risiko yang sesuai rekomendasi dari

proses penilaian Risiko. Proses evaluasi yang bersifat terus menerus adalah kunci

dari implementasi sebuah program manajemen Risiko yang berhasil.

 27

2.10.3 Fungsi Pokok Manajemen Risiko

Menurut Djojosoedarso (2003,p14), fungsi manajemen Risiko pada

pokoknya mencakup :

1) Menemukan Kerugian Potensial

Artinya berupaya untuk menemukan atau mengidentifikasi seluruh Risiko

murni yang dihadapi perusahaan, yang meliputi:

-Kerusakan fisik dari harta kekayaan perusahaan.

-Kehilangan pendapatan atau kerugian lainnya akibat terganggunya operasi

perusahaan.

-Kerugian akibat adanya tuntutan hukum dari pihak lain.

-Kerugian-kerugian yang timbul karena penipuan, tindakan-tindakan kriminal

lainnya, tidak jujurnya karyawan.

-Kerugian-kerugian yang timbul akibat karyawan kunci (keymen) meninggal

dunia, sakit atau cacat.

2) Mengevaluasi Kerugian Potensial

Artinya melakukan evaluasi dan penilaian terhadap semua kerugian potensial

yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini akan meliputi

perkiraan mengenai:

-Besarnya kemungkinan frekuensi terjadinya kerugian artinya

memperkirakan jumlah kemungkinan terjadinya kerugian selama suatu

periode tertentu atau berapa kali terjadinya kerugian tersebut selama suatu

periode tertentu.
 28

-Besarnya bahaya dari tiap-tiap kerugian, artinya menilai besarnya kerugian

yang diderita, yang biasanya dikaitkan dengan besarnya pengaruh kerugian

tersebut, terutama terhadap kondisi finansial perusahaan.

3) Memilih teknis/cara yang tepat atau menentukan suatu kombinasi dari

teknik-teknik yang tepat guna menanggulangi kerugian.

Pada pokoknya ada empat cara yang dapat dipakai untuk menanggulangi

Risiko, yaitu mengurangi kesempatan terjadinya kerugian, meretensi,

mengasuransikan, dan menghindari. Di mana tugas dari manajer Risiko

adalah memilih satu cara yang paling tepat untuk menanggulangi suatu

Risiko atau memilih suatu kombinasi dari cara-cara yang paling tepat untuk

menanggulangi Risiko.

2.10.4 Tahap Manajemen Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen

Risiko terdiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda

untuk jenis Risiko yang berbeda.

-Pengenalan/penemuan : menaruh Risiko teknologi informasi pada radar

manajemen.

-Penilaian/analisis : mengerti Risiko informasi teknologi dalam konteks tas

surat keseluruhan Risiko informasi teknologi dan menilai kemungkinan

munculnya dan pengaruhnya pada bisnis.

-Perawatan : menentukan pilihan terbaik dari beberapa langkah tindakan

yang memungkinkan untuk mengatasi Risiko, merencanakan, dan

menyelesaikan tindakan yang diperlukan.

 29

-Pengamatan dan peninjauan : menindaklanjuti untuk memastikan apa yang

direncanakan itu dikerjakan dan mengerti perubahan yang ada pada tas surat

Risiko teknologi informasi.

2.10.5 Manajemen Identifikasi Risiko

Menurut Bandyopadhyay dan Mykytyn (1999 , p437), langkah awal pada

pengenalan Risiko adalah dengan menentukan lingkungan teknologi informasi.

Lingkungan teknologi informasi terdiri dari tiga tingkat:

A. Tingkat Aplikasi

Tingkat aplikasi berkonsentrasi pada Risiko teknis atau kegagalan

implementasi aplikasi informasi teknologi. Risiko seperti ini dapat timbul

dari sumber internal dan eksternal. Ancaman eksternal adalah bencana alam,

tindakan kompetitor, hacker, dan virus komputer.

Ancaman internal kepada aset teknologi informasi dapat datang dari akses

fisik berotoritas atau tanpa otoritas yang mengakibatkan penyalahgunaan

sistem.

Ancaman-ancaman ini dapat merusak atau menghancurkan aset informasi

teknologi seperti perangkat keras, perangkat lunak, data, personil, atau

fasilitas. Sebuah studi empiris pada keamanan komputer mengungkapkan

bahwa, pada tingkat aplikasi, manajer-manajer menganggap bencana alam

dan tindakan kecelakaan pegawai sebagai Risiko dengan tingkat terbesar.

Mereka juga melihat lingkungan komputer mainframe lebih aman daripada

lingkungan mikrokomputer.
 30

B. Tingkat organisasi

Pada tingkat organisasi, fokusnya adalah pada pengaruh informasi teknologi

di semua bagian fungsional organisasi daripada pada bagian aplikasi yang

terisolasi. Bisnis-bisnis menempatkan informasi teknologi secara bertingkat

pada tingkat organisasi untuk mencapai keuntungan kompetitif.

Ketergantungan yang semakin berkembang terhadap teknologi informasi

demi mendapatkan keuntungan strategis untuk organisasi dapat membuat

organisasi menjadi sasaran berbagai jenis Risiko.

C. Tingkat interorganisasi.

Pada tingkat interorganisasi, fokusnya adalah pada Risiko teknologi

informasi pada organisasi yang beroperasi pada lingkungan jaringan.

Penggunaan teknologi informasi yang paling mutakhir dan kuat sekarang ini

mencakup jaringan yang melewati batasan organisasi. Ini adalah SI otomatis

yang dibagi oleh dua organisasi atau lebih. Perkembangan pada pemakaian

sistem interorganisasi (IOS) belakangan ini telah meningkatkan

produktivitas, fleksibilitas, dan tingkat kompetitifan.

2.10.6 Karakteristik Manajemen Risiko

Berdasarkan sumber dari http://ngapackers.blogspot.com/2008/11/teknik-

teknik-manajemen-risiko.html , manajemen Risiko yang baik mencakup elemen

– elemen :

1. Memahami bisnis perusahaan

2. Formal dan terintegrasi

Secara singkat manajemen Risiko formal tersebut mencakup :

 31

a) Infrastruktur keras : ruang kerja, struktur organisasi, komputer, dsb

b) Infrastruktur lunak : budaya kehati – hatian, organisasi yang responsif

terhadap Risiko dsb.

c) Proses manajemen Risiko : identifikasi, pengukuran, dan pengelolaan

Risiko.

Untuk mencapai manajemen Risiko yang terintegrasi secara formal,

perusahaan bisa melakukan langkah sebagai berikut :

a) Mengidentifikasi semua Risiko

b) Menggunakan sisi brainstorming gabungan antara menejer perusahaan

dengan konsultan untuk mengidentifikasi semua Risiko.

c) Menghitung probabilitas dan dampak Risiko tersebut secara kuantitatif.

d) Menggunakan ukuran Risiko yang terintegrasi dan mudah dipahami oleh

organisasi secara keseluruhan.

e) Melihat ketidakkonsistenan antar bagian.

f) Mengembangkan infrastruktur Risiko

3. Menetapkan mekanisme kontrol

4. Menetapkan batas

5. Fokus pada aliran kas

6. Sistem insentif yang tepat

7. Mengembangkan budaya sadar Risiko

Untuk mendorong budaya sadar Risiko bisa dilakukan melalui :

-Menetapkan suasana keseluruhan yang kondusif untuk prilaku yang

berhati – hati, mulai dari atas dengan menunjukkan komitmen dari

manajemen puncak.
 32

-Menetapkan prinsip – prinsip manajemen Risiko yang bisa mengarahkan

budaya, prilaku dan nilai Risiko dari organisasi.

-Mendorong komunikasi yang terbuka untuk mendiskusikan isu Risiko,

dampak Risiko tersebut, belajar bersama dari kejadian – kejadian di

perusahaan atau di perusahaan lain.

-Memberikan program pelatihan dan pengembangan yang berkaitan

dengan manajemen Risiko.

-Mendorong prilaku yang mendukung manajemen Risiko melalui

evaluasi dan sistem insentif yang sesuai.

2.10.7 Kerangka Kerja Manajemen Risiko

Menurut Dilan S. Batuparan (BEI NEWS Edisi 5 Tahun II, Maret-April

2001) , kerangka kerja manajemen Risiko pada dasarnya terbagi dalam tiga

tahapan kerja :

A. Identifikasi Risiko

Identifikasi Risiko adalah rangkaian proses pengenalan yang

seksama atas Risiko dan komponen Risiko yang melekat pada suatu

aktivitas atau transaksi yang diarahkan kepada proses pengukuran serta

pengelolaan Risiko yang tepat. Identifikasi Risiko adalah pondasi dimana

tahapan lainnya dalam proses Risk Management dibangun.

B. Pengukuran Risiko

Pengukuran Risiko adalah rangkaian proses yang dilakukan

dengan tujuan untuk memahami signifikansi dari akibat yang akan

ditimbulkan suatu Risiko, baik secara individual maupun portofolio,

 33

terhadap tingkat kesehatan dan kelangsungan usaha. Pemahaman yang

akurat tentang signifikansi tersebut akan menjadi dasar bagi pengelolaan

Risiko yang terarah dan berhasil guna.

C. Pengelolaan Risiko

Pengelolaan Risiko pada dasarnya adalah rangkaian proses yang

dilakukan untuk meminimalisasi tingkat Risiko yang dihadapi sampai

pada batas yang dapat diterima. Secara kuantitatif upaya untuk

meminimalisasi Risiko ini dilakukan dengan menerapkan langkah -

langkah yang diarahkan pada turunnya (angka) hasil ukur yang diperoleh

dari proses pengukuran Risiko.

A. Identifikasi Risiko

Sebagai suatu rangkaian proses, identifikasi Risiko dimulai

dengan pemahaman tentang apa sebenarnya yang disebut sebagai Risiko.

Sebagaimana telah didefiniskan di atas, maka Risiko adalah tingkat

ketidakpastian akan terjadinya sesuatu/tidak terwujudnya sesuatu tujuan,

pada suatu periode tertentu (time horizon). Bertitik tolak dari definisi

tersebut maka terdapat dua tolok ukur penting di dalam pengertian

Risiko, yaitu :

1. Tujuan (yang ingin dicapai)/Objectives

Untuk dapat menetapkan batas-batas Risiko yang dapat diterima,

maka suatu perusahaan harus terlebih dahulu menetapkan tujuan -

tujuan yang ingin dicapai secara jelas. Seringkali ketidakjelasan

 34

mengenai tujuan - tujuan yang ingin dicapai mengakibatkan

munculnya Risiko - Risiko yang tidak diharapkan.

2. Periode Waktu (Time Horizon)

Periode waktu yang digunakan di dalam mengukur tingkat Risiko

yang dihadapi, sangatlah tergantung pada jenis bisnis yang

dikerjakan oleh suatu perusahaan. Semakin dinamis pergerakan

faktor-faktor pasar untuk suatu jenis bisnis tertentu, semakin

singkat periode waktu yang digunakan di dalam mengukur tingkat

Risiko yang dihadapi. Contoh, seorang manajer pasar uang di

suatu bank mestinya akan melakukan pemantauan atas tingkat

Risiko yang dihadapi secara harian. Dilain pihak seorang manajer

portofolio kredit/capital market, mungkin akan menerapkan

periode waktu 1 bulan untuk melakukan pemantauan atas tingkat

Risiko yang dihadapi. Pemahaman yang benar atas kedua tolak

ukur tersebut akan sangat menentukan validitas dan efektifitas

dari konsep Risk Management yang akan dibangun.

B. Pengukuran Risiko

Pengukuran Risiko dibutuhkan sebagai dasar (tolak ukur) untuk

memahami signifikansi dari akibat (kerugian) yang akan ditimbulkan

oleh terealisirnya suatu Risiko, baik secara individual maupun portofolio,

terhadap tingkat kesehatan dan kelangsungan usaha bank. Lebih lanjut

pemahaman yang akurat tentang signifikansi tersebut akan menjadi dasar

bagi pengelolaan Risiko yang terarah dan berhasil guna.

 35

1. Dimensi Risiko

Signifikansi suatu Risiko maupun portofolio Risiko dapat

diketahui/disimpulkan dengan melakukan pengukuran terhadap 2

dimensi Risiko yaitu :

- Kuantitas (quantity) Risiko, yaitu jumlah kerugian yang

mungkin muncul dari terjadinya/terealisirnya Risiko. Dimensi

kuantitas Risiko dinyatakan dalam satuan mata uang.

- Kualitas Risiko, yaitu probabilitas dari terjadinya Risiko.

Dimensi kualitas Risiko dapat dinyatakan dalam bentuk :

confidence level, matrix Risiko (tinggi, sedang, rendah), dan lain-

lain yang dapat menggambarkan kualitas Risiko. Dua dimensi ini

harus muncul sebagai hasil dari proses pengukuran Risiko.

2. Alat Ukur Risiko

Sebagai suatu konsep baru yang sedang terus dikembangkan,

terdapat berbagai macam metode pengukuran Risiko yang muncul

dan diujicobakan oleh para pelaku pasar.

- Value At Risk

Konsep VAR berdiri di atas dasar observasi statistik atas data-data

historis dan relatif dapat dikatakan sebagai suatu konsep yang

bersifat obyektif. VAR mengakomodasi kebutuhan untuk

mengetahui potensi kerugian atas exposure tertentu. Exposure

adalah obyek yang rentan terhadap Risiko dan berdampak pada

kinerja perusahaan apabila Risiko yang diprediksikan benar-benar

terjadi. Exposure yang paling umum berkaitan dengan ukuran

 36

keuangan, misalnya harga saham, laba, pertumbuhan penjualan,

dan sebagainya. VAR juga dapat diterapkan pada berbagai level

transaksi, mulai dari individual exposure sampai pada portfolio

exposures.

- Stress Testing

Salah satu keterbatasan konsep VAR adalah bahwa VAR hanya

efektif diterapkan dalam kondisi pasar yang normal. Konsep VAR

tidak dirancang untuk memprediksikan terjadinya suatu kejadian

yang akan menyebabkan runtuhnya pasar (unexpected event)

seperti perang, bencana alam, perubahan drastis di bidang politik,

dll. Konsep Stress Testing memberikan jawaban untuk masalah

tersebut. Konsep Stress Testing dirancang sebagai suatu

pendekatan subyektif terhadap Risiko yang bagian terbesarnya

tergantung pada human judgement.

Konsep ini adalah sebuah rangkaian proses eksplorasi,

mempertanyakan, dan berpikir tentang kemungkinan-

kemungkinan (khususnya terkait dengan Risiko) pada saat

terjadinya sesuatu yang dianggap ”tidak mungkin” terjadi. Di

dalam konsep Stress Testing dilakukan hal-hal sebagai berikut :

a) Menyusun beberapa skenario (terjadinya unexpected event)

b) Melakukan revaluasi Risiko atas portfolio

c) Menyusun kesimpulan atas skenario-skenario tersebut.

 37

- Back Testing

Suatu model hanya berguna jika model tersebut dapat

menerangkan realitas yang terjadi. Demikian pula dengan model

pengukuran Risiko. Untuk menjaga reliability dari model, maka

secara periodik suatu model pengukuran harus diuji dengan

menggunakan suatu konsep yang dikenal dengan Back Testing.

3. Metode Pengukuran Kuantitas Risiko

- Notional

Teknik pengukuran Risiko berdasarkan batas atas besarnya nilai

yang rentan terhadap Risiko (exposure).

- Sensitivitas

Teknik pengukuran berdasarkan sensitivitas eksposur terhadap

pergerakan satu unit variabel pasar.Risiko diukur berdasarkan

seberapa sensitif suatu eksposur terhadap perubahan faktor

penentu.

- Volatilitas

Teknik pengukuran berdasarkan rata-rata variasi nilai eksposur,

baik variasi negatif maupun positif .Risiko diukur berdasarkan

seberapa besar nilai eksposur berfluktuasi. Ukuran umum standar

deviasi :"Semakin besar standar deviasi suatu eksposur, semakin

berfluktuasi nilai eksposur tersebut, yang berarti semakin berisiko

eksposur atau aset tersebut.

 38

4. Risiko vis a vis Pricing dan Modal

Hasil yang diperoleh dari proses pengukuran Risiko

menggambarkan potensi kerugian yang akan muncul dalam hal

Risiko terealisir. Dalam konsep Risk Management kerugian

tersebut harus diantisipasi dengan cara menyisihkan sejumlah

modal sebagai cushion/buffer yang akan melindungi (kemampuan

keuangan) perusahaan. Semakin tinggi Risiko yang diambil,

semakin besar pula modal yang dibutuhkan. Penyisihan sejumlah

modal (di luar PPAP) tersebut tentunya akan mengakibatkan

munculnya opportunity loss bagi perusahaan. Sebagai

konsekuensi maka Risk Management mengenal apa yang disebut

sebagai RAROC atau Risk Adjusted Return On Capital. Konsep

pricing yang menggunakan RAROC akan secara jelas

memperlihatkan seberapa tinggi Risiko dari satu counterpart di

mata bank/perusahaan yang melakukan evaluasi Risiko.

C. Pengelolaan Risiko

Jika Risiko-Risiko yang dihadapi oleh perusahaan telah

diidentifikasi dan diukur maka akan dipertanyakan bagaimana cara

memberikan struktur Risiko yang terbaik bagi perusahaan. Pertanyaan

tersebut mengarah kepada upaya untuk :

1. Meningkatkan kualitas dan prediktabilitas dari pendapatan perusahaan

(earning) untuk mengoptimalkan nilai bagi pemegang saham

(shareholder value)
 39

2. Mengurangi kemungkinan munculnya tekanan pada kemampuan

keuangan (financial distress)

3. Mempertahankan marjin operasi (operating margin).

Konsep Pengelolaan Risiko berbicara seputar alternatif cara untuk

mencapai tujuan-tujuan di atas. Pada dasarnya mekanisme Pengelolaan

Risiko dapat dikelompokkan sebagai berikut :

1. Membatasi Risiko (Mitigating Risk)

Membatasi Risiko dilakukan dengan menetapkan limit Risiko.

Penetapan Limit Risiko yang dapat diterima oleh perusahaan tidak

semata-mata dilakukan untuk membatasi Risiko yang diserap oleh

perusahaan, melainkan juga harus diarahkan kepada upaya untuk

mengoptimalkan nilai bagi pemegang saham. Pendekatan tersebut

terkait dengan konsekuensi (Modal/Capital) yang muncul dari

angka-angka Risiko yang dihasilkan dari proses pengukuran

Risiko.

2. Mengelola Risiko (Managing Risk)

Sebagaimana kita ketahui, nilai exposure yang dimiliki oleh

perusahaan dapat bergerak setiap saat sebagai akibat pergerakan

di berbagai faktor yang menentukan di pasar. Dalam kondisi

demikian, maka angka yang dihasilkan dari proses pengukuran

Risiko di awal akan berkurang validitasnya. Untuk itu maka

dibutuhkan suatu proses untuk mengembalikan profil Risiko

kembali kepada profil yang memberikan hasil optimal bagi

 40

pemegang saham. Proses dimaksud dilakukan melalui berbagai

jenis transaksi yang pada dasarnya merupakan upaya untuk :

a. Menyediakan cushion/buffer untuk mengantisipasi kerugian

yang mungkin muncul dalam hal Risiko yang diambil terealisir.

b. Mengurangi/menghindarkan perusahaan dari kerugian total

(total loss) yang muncul dalam hal Risiko terealisir

c. Mengalihkan Risiko kepada pihak lain

3. Memantau Risiko (Monitoring Risk)

Pemantauan Risiko pada dasarnya adalah mekanisme yang

ditujukan untuk dapat memperoleh informasi terkini (updated)

dari profile Risiko perusahaan. Sekali lagi, Risk Management

tetaplah hanya alat bantu bagi manajemen dalam proses

pengambilan keputusan. Wujud penerapan terbaik Risk

Management merupakan suatu proses membangun kesadaran

tentang Risiko di seluruh komponen organisasi perusahaan, suatu

proses pendidikan bagaimana menggunakan alat dan teknik yang

disediakan oleh Risk Management tanpa harus dikendalikan

olehnya, dan mengembangkan naluri pengambilan keputusan

yang kuat terhadap Risiko.

2.10.8 Pentingnya Mempelajari Manajemen Risiko

Menurut Djojosoedarso (2003, p5), bagaimana pentingnya mempelajari

manajemen Risiko dapat dilihat dari dua segi, yaitu:

 41

-Seseorang sebagai anggota organisasi/perusahaan, terutama seorang manajer

akan dapat mengetahui cara- cara/metode yang tepat untuk menghindari atau

mengurangi besarnya kerugian yang diderita perusahaan, sebagi akibat

ketidakpastian terjadinya suatu peristiwa yang merugikan.

-Seseorang sebagai pribadi :

1. Dapat menjadi seorang manajer Risiko yang professional dalam jangka

waktu yang relatif lebih cepat daripada yang belum pernah mempelajarinya.

2. Dapat memberikan kontribusi yang bermanfaat bagi manajer Risiko dari

perusahaan di mana yang bersangkutan menjadi anggota.

2.11 Pengukuran Risiko Teknologi Informasi Berdasarkan OCTAVE-S

Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol 1), OCTAVE is a suite

of tools, techniques and methods for risk-based information security strategic

assessment and planning. Dapat diartikan OCTAVE adalah suatu jenis strategi

pengamanan berdasarkan teknik perencanaan dan Risiko. OCTAVE merupakan salah

satu teknik dan metode yang digunakan untuk strategi dan perencanaan risiko keamanan

informasi.

OCTAVE difokuskan pada Risiko organisasi, hasil praktek dan strategi yang

saling terkait. Ketika menerapkan OCTAVE, satu tim kecil yang terdiri dari unit

operasional (atau bisnis) dan dari departemen teknologi informasi (TI) bekerja bersama-

sama untuk menunjukkan kebutuhan keamanan dari organisasi, menyeimbangkan 3

aspek utama : Risiko operasional, praktek pengamanan dan teknologi.

 42

Terdapat 3 jenis metode OCTAVE:

a) Metode original OCTAVE (OCTAVE ®) digunakan dalam membentuk

dasar pengetahuan OCTAVE.

b) OCTAVE-Allegro, digunakan dalam pendekatan efektif untuk keamanan

informasi dan jaminan.

c) OCTAVE-S, digunakan pada organisasi-organisasi yang lebih kecil

Metode-metode OCTAVE dapat ditemukan pada kriteria OCTAVE,

pendekatan umum untuk penghilang risiko dan pelatihan berbasis evaluasi

keamanan informasi. Kriteria OCTAVE menetapkan prinsip dasar dan atribut

manajemen risiko yang digunakan dalam metode-metode OCTAVE.

Sarana dan keuntungan metode-metode OCTAVE adalah :

-Self-directed : Sekelompok anggota organisasi dalam unit-unit bisnis yang

bekerja sama dengan divisi IT untuk mengidentifikasi kebutuhan keamanan

dari organisasi.

-Flexible : Setiap metode dapat diterapkan pada sasaran, keamanan dan

lingkungan risiko perusahaan di berbagai level.

-Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada sisi

keamanan dan menempatkan teknologi di bidang bisnis.

2.11.1 Original Octave (OCTAVE ®)

Metode OCTAVE® ini dikembangkan bersama-sama dengan perusahaan

besar (yang memiliki 300 pekerja atau lebih), tetapi ukuran bukan pertimbangan

satu-satunya. Contohnya, perusahaan besar umumnya memiliki multi-layered

hierarchy dan digunakan untuk mempertahankan penghitungan infrastruktur

 43

mereka seiring dengan kemampuan internal untuk menjalankan alat evaluasi dan

menginterpretasikan hasilnya dalam hubungan dengan aset-aset yang berharga.

Metode OCTAVE® menggunakan pendekatan tiga fase untuk

menganalisa masalah-masalah perusahaan dan teknologi, menyusun gambaran

komprehensif dari kebutuhan keamanan informasi perusahaan yang disepakati

dalam berbagai kegiatan kerja, baik yang difasilitasi atau diselenggarakan oleh

tim analisis yang terdiri dari tiga sampai lima anggota perusahaan.

Metode ini mengambil keuntungan dari berbagai tingkatan pengetahuan

perusahaan, yang berfokus pada :

a) Identifikasi asset kritikal dan ancaman terhadap asset tersebut

b) Identifikasi kelemahan-kelemahan organisasional dan teknologikal yang

mengekspos ancaman dan menimbulkan risiko perusahaan

c) Mengembangkan strategi pelatihan berbasis proteksi dan rencanan

pengurangan risiko untuk mendukung misi dan prioritas perusahaan

Kegiatan-kegiatan tersebut didukung oleh catatan survey dan kerja yang

dapat digunakan untuk memperoleh informasi selama diskusi dan selama sesi

penyelesaian masalah.

2.11.2 OCTAVE Allegro

Octave allegro merupakan suatu metode varian modern yang berkembang

dari metode octave yang dimana berfokus pada aset informasi. Seperti metode

octave sebelumnya, octave allegro bisa ditampilkan di workshop-style,

collaborative setting, tetapi octave allegro juga cocok untuk individu yang ingin
 44

menampilkan penaksiran yang berisiko tanpa keterlibatan organisasi yg

luas,keahlian dan masukan-masukan.

Fokus utama dari octave allegro adalah aset informasi, aset lain yang

penting dari organisasi adalah identifikasi dan penaksiran yang berdasarkan pada

aset informasi yg terhubung dengan aset-aset organisasi tersebut.

Octave allegro terdiri dari 8 langkah yang digabung dalam 4 tingkat:

1. Fase pertama : Pendukung penafsiran menguatkan risiko pengukuran

konsekuensi kriteria dengan pengemudi (orang yg menjalankan) organisasi :

misi organisasi, sasaran tujuan/target dan faktor yang sangat menentukan.

2. Fase kedua : Peserta membuat profile dari setiap aset informasi yang krisis

yang menentukan batasan-batasan yang jelas untuk aset, mengidentifikasi

syarat keamanannya, dan mengidentifikasi semua wadahnya.

3. Fase ketiga : Peserta mengidentifikasi ancaman pada setiap aset informasi

dalam konteks wadahnya.

4. Fase keempat : Peserta mengidentifikasi dan menganalisa risiko-risiko

pada aset informasi dan mulai dikembangkan

2.11.3 OCTAVE-S

Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol 1), OCTAVE-S

is a variation of the approach tailored to the limited means and unique

constraints typically found in small organizations (less than 100 people). Dapat

diartikan OCTAVE-S adalah variasi dari pendekatan OCTAVE yang

dikembangkan untuk kebutuhan organisasi yang kecil (kurang dari 100 orang).
 45

Untuk mengelola risiko terhadap keamanan sistem informasi, maka perlu

dilakukan analisa risiko untuk mengurangi kerugian-kerugian yang mungkin

terjadi. Salah satu metode analisa risiko untuk keamanan sistem informasi suatu

organisasi atau perusahaan adalah metode OCTAVE-S (The Operationally

Critical Threat, Asset, and Vulnerability Evaluation)-Small yang mampu

mengelola risiko perusahaan dengan mengenali risiko-risiko yang mugkin terjadi

pada perusahaan dan membuat rencana penanggulangan dan mitigasi terhadap

masing-masing risiko yang telah diketahui.

Evaluasi terhadap risiko keamanan informasi yang dilakukan oleh metode

OCTAVE-S bersifat komprehensif, sistematik, terarah, dan dilakukan sendiri.

Untuk mendukung dan memudahkan pelaksanaan analisa risiko dengan

menggunakan metode OCTAVE-S, maka perlu suatu system berbasis komputer

yang mampu melakukan analisa risiko terhadap kemanan perusahaan sesuai

dengan langkah-langkah metode OCTAVE-S.

Dua aspek unik dari metode OCTAVE yang harus dipahami adalah :

-Suatu tim kecil yang terdiri dari 3-5 orang dari beberapa unit kerja

mengarahkan penggunaan OCTAVE-S secara bersama-sama, anggota tim

analisis harus memiliki pemahaman yang luas mengenai bisnis organisasi

dan proses pengamanan sehingga dapat menangani semua aktifitas

OCTAVE-S. Karena itu OCTAVE-S tidak mewajibkan adanya suatu

workshop formal dalam pengumpulan data untuk memulai suatu evaluasi.

-OCTAVE-S meliputi evaluasi terbatas dari infrastruktur selama tahap 2.

Organisasi kecil sering kali mengoutsourcekan servis dan fungsi TI

 46

mereka, sehingga biasanya tidak bisa menggunakan dan

menginterpretasikan alat evaluasi kerentanan. Bagaimanapun,

kekurangan dari kemampuan organisasi untuk menjalankan alat seperti

itu tidak mencegah suatu organisasi dalam menentukan sebuah strategi

pengamanan.

a. Proses OCTAVE-S

Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol 1), proses

OCTAVE-S terdiri dari 3 tahap :

Phase 1 : Build Asset-Based Threat Profiles

Pada tahap ini, tim analisa mendefenisikan kriteria dampak evaluasi yang

akan dipergunakan nantinya untuk mengevaluasi Risiko. Dan juga

mengidentifikasikan aset organisasi yang penting dan mengevaluasi praktek

keamanan yang sedang berjalan dalam organisasi. Pada akhirnya, tim

mendefinisikan kebutuhan keamanan dan suatu profil ancaman untuk

masing-masing aset yang kritis.

Dalam tahap ini, proses yang terjadi adalah :

Process 1 : Identify Organizational Information

Aktifitasnya :

1.a) Establish Impact Evaluation Criteria

Langkah 1 : Mendefenisikan suatu pengukuran berdasarkan kualitasnya

(high, medium, low) yang berlawanan dengan apa yang akan dievaluasi

mengenai efek risiko dalam misi organisasi dan tujuan bisnis.

 47

1.b) Identify Organizational Assets

Langkah 2 : Mengidentifikasi aset-aset yang berhubungan dengan

informasi dalam organisasi (informasi, sistem, aplikasi, orang-orang).

1.c)Evaluate Organizational Security Practices

Langkah 3 dibagi menjadi dua :

-Menentukan batasan–batasan pada setiap praktek dalam survei yang

digunakan dalam organisasi.

-Mengevaluasi masing-masing praktek pengamanan dengan

mempergunakan survei dari langkah sebelumnya.

Langkah 4 : Setelah menyelesaikan langkah 3 tentukan stoplight status

(red, yellow, or green) untuk masing-masing area praktek pengamanan.

Process 2 : Create Threat Profiles

Aktivitasnya:

2.a) Select Critical Assets

Langkah 5 : Mengkaji ulang aset-aset yang berhubungan dengan

informasi yang telah diidentifikasi pada saat langkah 2 dan memilih

kurang lebih 5 aset yang paling kritis dalam organisasi.

Langkah 6 : Memulai sebuah Critical Asset Information Worksheet

untuk masing-masing aset kritis yang ada pada Critical Asset

Information Worksheet yang sesuai.

Langkah 7 : Mencatat dasar pemikiran untuk memilih masing-masing

aset kritis pada Critical Asset Information Worksheet

Langkah 8 : Mencatat uraian untuk masing-masing aset kritis pada

Critical Asset Information Worksheet. Pertimbangkan siapa saja yang

 48

menggunakan masing-masing aset kritis seperti halnya siapa saja yang

bertanggung jawab terhadap aset kritis tersebut.

Langkah 9 : Mencatat aset yang berhubungan dengan masing-masing

aset kritis pada Critical Asset Information Worksheet. Mengacu pada

Asset Identification Worksheet untuk menentukan aset yang

berhubungan dengan aset kritis.

2.b) Identify Security Requirements for Critical Assets

Langkah 10 : Mencatat pengamanan yang dibutuhkan untuk masing-

masing aset kritis pada Critical Asset Information Worksheet.

Langkah 11 : Untuk masing-masing aset kritis, catat kebutuhan

keamanan yang paling penting pada aset-aset tersebut yang ada di

dalam Critical Asset Information Worksheet.

2.c) Identify Threats to Critical Assets

Langkah 12 : Lengkapi semua skema ancaman yang sesuai untuk

masing-masing aset yang kritis. Tandai masing-masing bagian dari tiap

skema untuk ancaman yang tidak penting terhadap aset. Saat

melengkapi langkah ini, apabila menemukan kesulitan dalam

menafsirkan sebuah ancaman dalam skema ancaman, periksa kembali

gambaran dan contoh dari ancaman tersebut dalam Threat Translation

Guide.

Langkah 13 : Mencatat contoh spesifik dari pelaku ancaman pada Risk

Profile Worksheet untuk setiap kombinasi motif pelaku yang sesuai.

 49

Langkah 14 : Mencatat seberapa besar kekuatan dari motif ancaman

yang disengaja yang disebabkan oleh pelaku. Catat seberapa besar

perkiraan kekuatan motif dari pelaku.

Langkah 15 : Mencatat seberapa sering ancaman-ancaman tersebut

terjadi di masa lampau. Dan juga catat seberapa keakuratan data.

Langkah 16 : Catat area terkait untuk setiap sumber ancaman yang

sesuai. Area terkait merupakan suatu skenario yang menjelaskan

bagaimana ancaman spesifik dapat mempengaruhi aset kritis.

Phase 2 : Identify Infrastructures Vulnerabilities

Selama tahap ini, tim analisa melaksanakan high level review dari

infrastruktur organisasi, berfokus pada sejauh mana maintainers dari

infrastruktur mempertimbangkan keamanan. Tim analisa menganalisa

bagaimana orang-orang menggunakan infrastruktur untuk mengakses akses

yang kritis, menghasilkan kelas kunci dari komponen seperti halnya siapa

yang bertangggung jawab untuk mengatur dan memelihara komponen itu.

Process 3 : Examine Computing Infrastructure in Relation to Critical Assets

Aktifitasnya :

3.a) Examine Access Paths

Langkah 17 : Memilih sistem yang menarik untuk setiap aset kritis

(yaitu sistem yang paling berkaitan erat pada aset kritis.

 50

Langkah 18 dibagi menjadi 5:

- Memeriksa kembali jalur yang digunakan untuk mengakses setiap aset

kritis dan memilih kelas kunci dari komponen yang berhubungan pada

masing-masing aset kritis.

- Menentukan kelas mana dari komponen yang bertugas sebagai

perantara jalur aset (yaitu komponen yang biasanya mengirimkan

informasi dan aplikasi dari system of interest kepada orang-orang).

- Menentukan kelas mana dari komponen, baik internal dan eksternal

untuk jaringan organisasi, yang digunakan oleh orang-orang (misalnya,

pengguna, penyerang) untuk mengakses sistem.

- Menentukan di mana informasi dari system of interest disimpan untuk

membuak backup.

- Menentukan sistem akses informasi dan aplikasi-aplikasi dari system

of interest dan kelas dari komponen lain yang mana yang dapat

digunakan sebagai aset yang kritis.

3.b) Analyze Technology-Related Processes

Langkah 19 dibagi menjadi 2 :

- Menetukan kelas dari komponen yang terkait dari satu atau lebih aset

kritis dan yang dapat mendukung akses ke aset-aset tersebut. Tandai

jalur pasa setiap kelas yang terpilih pada langkah 18. Mencatat

subclasses yang cocok atau contoh spesifik pada saat dibutuhkan.

 51

- Untuk setiap kelas dari komponen yang didokumentasikan pada

langkah sebelumnya, catat aset kritis yang mana yang berhubungan

terhadap kelas tersebut.

Langkah 20 : Untuk setiap kelas dari komponen yang

didokumentasikan di langkah 19.1, catat orang atau grup yang

bertanggung jawab untuk memelihara dan mengamankan kelas

komponen tersebut.

Langkah 21 : Untuk setiap kelas dari komponen yang

didokumentasikan di langkah 19.1, catat sejauh mana kelas tahan

terhadap serangan jaringan. Kemudain catat bagaimana kesimpulan

tersebut didapatkan. Pada akhirnya dokumentasikan semua tambahan

konteks yang relevan terhadap analisa infrastruktur.

Phase 3: Develop Security Strategy and Plans

Selama tahap 3, tim analisa mengidentifikasikan Risiko ke aset kritis

organisasi dan memutuskan apa yang harus dilakukan terhadap aset krtitis

tersebut. Berdasarkan pada analisa dari informasi yang dikumpulkan, tim

membuat strategi perlindungan untuk organisasi dan rencana untuk

mengurangi dan mengatasi Risiko aset-aset kritis.

Process 4 : Identify and Analyze Risks

Aktifitasnya :

4.a) Evaluate Impacts of Threats

 52

Langkah 22 : Menggunakan kriteria evaluasi dampak sebagai panduan,

menentukan nilai dampak (high ,medium, low) untuk setiap ancaman

yang aktif untuk masing-masing asset kritis.

4.b) Establish Probability Evaluation Criteria

Langkah 23 : Mendefenisikan ukuran kwalitatif dari pengukuran (high,

medium, low) yang bertentangan terhadap kemungkinan ancaman yang

akan terjadi pada saat evaluasi.

4.c) Evaluate Probabilites of Threats

Langkah 24 : Menggunakan kemungkinan kriteria evaluasi sebagai

suatu panduan, menentukan suatu nilai kemungkinan (high, medium,

low) untuk setiap ancaman yang aktif untuk masing-masing aset kritis.

Mendokumentasikan taraf kepercayaan pada estimasi kemungkinan

tersebut.

Process 5 : Develop Protection Strategy and Mitigation Plans

Aktifitasnya :

5.a) Describe Current Protection Strategy

Langkah 25 : Mentransfer stoplight status pada masing-masing area

praktek pengamanan terhadap area tanggapan pada Protection Strategy

Worksheet. Untuk masing-masing area praktek pengamanan,

identifikasi pendekatan organisasi saat ini untuk menangani area

tersebut.
 53

5.b) Select Mitigation Approaches

Langkah 26 : Mentransfer stoplight status dari masing-masing area

praktek pengamanan dari Security Practice Worksheet ke bagian

Security Practice Area dari masing-masing aset kritis pada Risk Profile

Worksheet.

Langkah 27 : Memilih salah satu pendekatan pengurangan Risiko

(mengurangi, menunda, menerima) untuk masing-masing Risiko aktif.

5.c) Develop Risk Mitigation Plans

Langkah 28 : Mengembangkan rencana pengurangan beban untuk

masing-masing area praktek pengamanan yang dipilih selama langkah

27.

5.d) Identify Changes to Protection Strategy

Langkah 29 : Menentukan apakah rencana pengurangan Risiko

mempengaruhi strategi pengamanan organisasi. Catat semua perubahan

apapun pada Protection Strategy Worksheet.

5.e) Identify Next Steps

Langkah 30 : Menetukan apa yang dibutuhkan oleh organisasi,

mengimplementasikan keamanan dari hasil dari evaluasi serta

meningkatkan keamanan.
 54

b. OCTAVE-S outputs

Menurut Alberts, Dorofee, Steven, dan Woody (2005,vol 1), hasil utama

dari OCTAVE-S memiliki 3 strata dan meliputi :

-Organization Wide Protection Strategy: memperhatikan praktek

pengamanan informasi.

-Risk Mitigation Plans: rencana ini dimaksudkan untuk mengurangi risiko

terhadap asset kritis dengan meningkatkan praktek keamanan yang dipilih.

-Action List: Ini termasuk tindakan jangka pendak yang digunakan untuk

menunjukkan kekurangan spesifik.

Kegunaan Output OCTAVE-S lainnya, meliputi :

- Daftar dari asset-asset yang berhubungan dengan informasi penting

yang mendukung tujuan dan sasaran bisnis organisasi.

- Hasil survey menunjukkan sejauh mana organisasi mengikuti praktek

keamanan yang baik.

- Profil Risiko untuk masing-masing asset kritis yang menggambarkan

jangkauan risiko terhadap aset tersebut.

Masing-masing tahap dari OCTAVE-S menghasilkan hasil yang dapat

dipakai bahkan suatu evaluasi kecil akan menghasilkan informasi yang berguna

untuk meningkatkan sikap keamanan organisasi.