ID Analisis Manajemen Risiko Teknologi Info
ID Analisis Manajemen Risiko Teknologi Info
Abstract — ADEL (Aplikasi Dokumen Elektronik) and kualitas informasi. Dalam membangun alur kerja informasi
NADINE (Naskah Dinas Elektronik) are the use of information dan dokumen sehingga proses atau alur informasi dokumen
technology (IT) document management system (DMS) menjadi lebih mudah, cepat, dan terkelola dengan baik
electronic archive product that used by JATEL to enhance JATEL menerapkan Document Management System arsip
information quality and to establish an information dan
elektronik yaitu Aplikasi Dokumen Elektronik (ADEL) dan
document workflow so it becomes easier, faster, and well-
maintained. Electronic archive IT systems are designed to Naskah Dinas Elektronik (NADINE). Sistem arsip eletronik
increase the value and benefits of information and able to ini dirancang untuk meningkatkan nilai dan manfaat
control the documents distribution and disposition informasi serta mampu mengawasi distribusi dan disposisi
simultaneously that can increase JATEL business value and dokumen dalam waktu bersamaan sehingga berdampak pada
support business process automation. Information technology peningkatan business value JATEL.
can assist organization but also present risks that need to be Melalui Teknologi Informasi (TI), berupa sistem arsip
managed properly. To anticipate or reduce the likelihood of elektronik, JATEL dapat melakukan proses bisnis yang
risk, information technology risk management is required. The lebih efisien. Sistem TI juga mendukung otomatisasi proses
implementation of information technology risk management
bisnis dan penyediaan informasi untuk pengambilan
involve risk identification, risk assessment, including risk
analysis using bow-tie analysis, qualitative analysis also semi- keputusan. Namun dalam penerapannya, TI tidak selalu
quantitative analysis, and risk treatment so that risks can be berjalan sesuai dengan yang diharapkan oleh perusahaan,
identified, assess, and risk treatment strategy can be planned. sehingga akan menimbulkan risiko yang merugikan
With the implementation of information technology risk perusahaan. Untuk mengantisipasi atau mengurangi
management at document management system in JATEL risks kemungkinan terjadinya risiko tersebut maka diperlukan
can be managed and prevented by eliminating sources of risk analisis manajemen risiko teknologi informasi. Penerapan
or reducing susbstantially the likelihood of occurrence. dari analisis manajemen risiko teknologi informasi meliputi
risk identification, risk assessment serta risk treatment.
Keywords — risk identification, risk assessment, risk treatment,
bow-tie analysis, qualitative analysis and semi-quantitative B. Rumusan Masalah
analysis.
Berdasarkan latar belakang masalah yang telah
dijelaskan pada bagian sebelumnya, maka perumusan
I. PENDAHULUAN masalah yang akan dibahas adalah sebagai berikut:
1. Bagaimana proses analisis manajemen risiko teknologi
A. Latar Belakang informasi pada document management system arsip
PT. Jabar Telematika (JATEL) merupakan anak elektronik Aplikasi Dokumen Elektronik (ADEL) dan
perusahaan dari PT. Jasa Sarana, Badan Usaha Milik Daerah Naskah Dinas Elektronik (NADINE) di JATEL?
(BUMD) Pemerintah Provinsi Jawa Barat yang bergerak 2. Apa sajakah risiko yang terjadi pada document
dibidang Infrastruktur. Melalui PT Jabar Telematika, PT management system Aplikasi Dokumen Elektronik
Jasa Sarana mengembangkan 3 (tiga) layanan, yaitu: (ADEL) dan Naskah Dinas Elektronik (NADINE) arsip
layanan akses internet kecepatan tinggi, layanan jaringan elektronik di JATEL?
komunikasi data terintegrasi dan layanan payment 3. Bagaimana hasil dari analisis manajemen risiko
switching. JATEL, sebagai perusahaan yang bergerak teknologi informasi pada document management system
dibidang telematika, memiliki beberapa produk teknologi Aplikasi Dokumen Elektronik (ADEL) dan Naskah
informasi yang digunakan untuk menunjang peningkatan Dinas Elektronik (NADINE) arsip elektronik di JATEL?
75
Jurnal Teknik Informatika dan Sistem Informasi e-ISSN: 2443-2229
Volume 1 Nomor 2 Agustus 2015
76
e-ISSN: 2443-2229 Jurnal Teknik Informatika dan Sistem Informasi
Volume 1 Nomor 2 Agustus 2015
2. Low Probability High Impact = Moderate Risk. bisnis harus diambil dan dipilah yang harus dihindari dan
Risiko dengan tingkat pengaruh menengah, meskipun dikurangi diikuti oleh tindakan menghindar atau
begitu risko ini harus dimonitor dan membutuhkan mengurangi risiko. Sedangkan menurut Business Continuity
penanganan yang berkelanjutan tergantung dari dampak Institute manajemen risiko merupakan budaya, proses dan
yang diberikan. struktur yang diletakan untuk mengelola potensi peluang
3. High Probability Low Impact = Moderate Risk. dan efek merugikan secara efektif [2].
Risiko dengan tingkat pengaruh menengah. Berbeda
dengan low probability high impact risiko ini hanya D. Proses Manajemen Risiko
perlu dimonitor. Proses pada manajemen risiko melibatkan
4. High Probability High Impact = High Risk. pengaplikasian secara sistematis dari pengelolaan kebijakan,
Risiko dengan pengaruh yang paling tinggi proses dan prosedur hingga proses dalam penentuan
dibandingkan dengan lainnya. Merupakan risiko konteks, mengidentifikasi, menilai, memperlakukan,
berbahaya yang harus diatasi secepatnya. mengamati, dan mengkomunikasikan risiko [4].
TABEL II
DEFINITION OF RISK MANAGEMENT [2]
77
Jurnal Teknik Informatika dan Sistem Informasi e-ISSN: 2443-2229
Volume 1 Nomor 2 Agustus 2015
proses sistematis dalam menggunakan informasi yang Terdapat beberapa risk treatment yang umumnya
ada untuk menentukan seberapa sering risiko dapat digunakan, yaitu; risk prevention (pencegahan risiko)
terjadi dan seberapa besar dampak yang dihasilkan bila dengan tujuan untuk mengurangi secara substansial
risiko tersebut terjadi [4]. Proses penilaian risiko pada kemungkinan terjadinya risiko, risk mitigation (mitigasi
risk analysis dapat dilakukan dengan metode seperti; risiko) dengan tujuan untuk meminimalkan konsekuansi
bow-tie analysis, qualitative analysis, dan semi- dari risiko, risk sharing (berbagi risiko) dengan tujuan
quantitative analysis. Sedangkan risk evaluation adalah untuk memindahkan risiko tidak hanya ke organisasi
proses dalam membandingkan risiko yang telah lain namun juga ke entitas bisnis ataupin individu, dan
diperkirakan dengan kriteria risiko yang telah risk retention (retensi risiko) atau dikenal juga sebagai
ditentukan [4]. Evaluasi risiko memperhitungkan penyerapan, toleransi, atau penerimaan risiko.
apakah risiko dapat ditoleransi atau tidak didasarkan
pada level of risk (tingkatan risiko) pada matriks risiko.
Bow-tie analysis pada risk analysis merupakan metode E. Risk Management Framework
analisis yang digunakan untuk menggambarkan Secara umum diakui bahwa risk management framework
kegiatan manajemen risiko agar lebih mudah (kerangka kerja manajemen risiko) merupakan dokumen
dimengerti dan diakses. yang menghasilkan informasi pada proses manajemen
risiko. Dalam banyak kerangka kerja manajemen risiko,
aktivitas manajemen risiko harus dilakukan dalam konteks
lingkungan bisnis, organisasi dan risiko yang dihadapi oleh
organiasi. Agar konteks dapat dijelaskan dan didefinisikan,
kerangka kerja diperlukan dalam mendukung prosesnya [2].
Berikut merupakan risk management framework yang
digunakan dalam penelitian:
1. Symantec: Risk Management Report
Teknologi Informasi (TI) secara luas dan mendalam
telah menjadi saling berhubungan dengan operasi
bisnis, risiko TI sendiri pun telah tumbuh menjadi
Gambar 4 Bow-tie Analysis bagian dari keseluruhan komponen operasional [7].
78
e-ISSN: 2443-2229 Jurnal Teknik Informatika dan Sistem Informasi
Volume 1 Nomor 2 Agustus 2015
79
Jurnal Teknik Informatika dan Sistem Informasi e-ISSN: 2443-2229
Volume 1 Nomor 2 Agustus 2015
80
e-ISSN: 2443-2229 Jurnal Teknik Informatika dan Sistem Informasi
Volume 1 Nomor 2 Agustus 2015
TABEL IV
TABEL BOW-TIE ANALYSIS PADA EXTERNAL ATTACKS
81
Jurnal Teknik Informatika dan Sistem Informasi e-ISSN: 2443-2229
Volume 1 Nomor 2 Agustus 2015
TABEL V
KLASIFIKASI IMPACT/CONSEQUENCES PADA KELOMPOK RISIKO DI SUMBER TABEL VI
DAYA TI APPLICATION KLASIFIKASI IMPACT/CONSEQUENCES PADA KELOMPOK RISIKO DI SUMBER
DAYA TI INFORMATION
Kelompok Threats Impact/ Klasifikasi
Risiko Consequences Kelompok Threats Impact/ Klasifikasi
Risiko Consequences
External Ping Flooding Bandwidth Performance
Attacks Consuming Database Statement Looping Performance
Failure Failure Memory Penuh Performance
Aplikasi tidak Availability
dapat diakses Data tidak tersimpan Compliance
Bandwidth Akses dari IP Security System Error Connection Availability
Flooding yang tidak Crash Database
dikenal Application Crashes Availability
Network Performance Web Server Crashes Availability
Congestion Operation System Availability
SQL Injection Manipulasi Data Security Crashes
Pencurian Data Security Human Kesalahan Performance
User Input Security Error Statement
Injection Kesalahan Prosedur Compliance
Cookies Injection Security yang menyebabkan
Content Tempered Security kerusakan
Tempering Content Network Data tidak tersimpan Compliance
Malicious Trojan Horses Data Loss Availability Failure karena kerusakan
Code network interface
Backdoor Access Security
controller
Network Usage Performance
Error Connection Availability
Adanya Backdoor Security
Database
Programing
Media Data tidak tersimpan Compliance
Worms Replikasi Data Security
Failure karena ekstensi file
Network Traffic Performance
tidak di support
Viruses Replikasi Data Security Error Connection Availability
Manipulasi Data Security Database
Infected Areas Security Disk Bad Hardisk Sector Availability
Phising Pencurian Data Security Failure
Network Slow Network Layanan Performance Corrupted Corrupted Data Availability
Congestion Throughtput Terganggu File
Aplikasi tidak Availability Data/ Content Tempered Content Availability
bias diakses Document Tempering
Bottleneck Performance Fraud Content Forged Content Availability
System Application Aplikasi tidak Availability Forging
Crash Crashes dapat digunakan
Data Loss Availability
Pada Tabel VI dapat dilihat klasifikasi yang dilakukan
Web Server Aplikasi/ web Availability
Crashes server tidak dapat
pada impact/consequences pada kelompok risiko yang
diakses terdapat di sumber daya TI information.
Operation Kernel Panic Availability
System TABEL VII
Crashes KLASIFIKASI IMPACT/CONSEQUENCES PADA KELOMPOK RISIKO DI SUMBER
DAYA TI INFRASTRUCTURE
Pada Tabel V dapat dilihat klasifikasi yang dilakukan Kelompok Threats Impact/ Klasifikasi
pada impact/consequences pada kelompok risiko yang Risiko Consequences
terdapat di sumber daya TI application. Physical Pencurian Ketidak Availability
Damage Terhadap tersediaan
Physical Asset infrastruktur
Kerusakan Kerusakan Aset Availability
Terhadap Data Loss Availability
Physical Asset
Water Damage Kerusakan Aset Availability
Data Loss Availability
Heat Hardware tidak Availability
aktif
Corrupted Data Availability
82
e-ISSN: 2443-2229 Jurnal Teknik Informatika dan Sistem Informasi
Volume 1 Nomor 2 Agustus 2015
83
Jurnal Teknik Informatika dan Sistem Informasi e-ISSN: 2443-2229
Volume 1 Nomor 2 Agustus 2015
Setelah menentukan nilai pada likelihood dan impact impact atau dampak yang diakibatkan oleh tiap-tiap
maka penilaian pada masing-masing risiko yang telah risiko yang terjadi.
didefinisikan pada proses sebelumnya dapat dilakukan.
Penilaian risiko berdasarkan nilai likelihood dan impact TABEL XIII
secara detail dapat dilihat pada Tabel XI dan Tabel XII. MATRIKS EVALUASI RISIKO
Likelihood
TABEL XI 4 Low Medium Medium High High
IDENTIFIKASI LIKELIHOOD DAN IMPACT 3 Low Medium Medium Medium High
No Identifikasi Risiko Likelihood Impact 2 Low Low Medium Medium High
1 External Attacks Rare Moderate 1 Low Low Low Medium Medium
2 Malicious Code Rare Minor 1 2 3 4 5
3 Physical Damage Rare Moderate Impact
4 Inappropriate Access Rare Major
5 Hardware Failure Rare Minor
6 Power Outages Possible Moderate
7 Database Failure Rare Moderate
8 Force Majure Rare Catastrophic
9 Network Congestion Possible Moderate
10 System Crash Rare Minor
11 Data/Documen Fraud Rare Major
12 Abuse of Position of Rare Major
Trust
13 Disgruntled Unlikely Minor
Employees
TABEL XII
PENILAIAN LIKELIHOOD DAN IMPACT
3 R6, R4,
ditoleransi atau tidak berdasarkan level of risk atau R9 R11
tingkatan risiko. Apabila risiko yang telah dinilai masuk R12
kedalam kriteria yang ditetapkan maka risiko tersebut 2 R13 R4,
harus mendapatkan treatment (perlakuan) sebaliknya R11
apabila risiko tidak termasuk kedalam kriteria yang R12
ditetapkan maka perlakuan terhadap risiko tidak perlu 1 R2, R1, R4, R8
dipertimbangkan lagi. R5, R3, R11
Evaluasi risiko dilakukan dengan menerapkan proses R10 R7 R12
mapping pada grafik (x, y) yang menggambarkan 1 2 3 4 5
Impact
hubungan antara likelihood atau frekuensi kejadian dan
84
e-ISSN: 2443-2229 Jurnal Teknik Informatika dan Sistem Informasi
Volume 1 Nomor 2 Agustus 2015
85
Jurnal Teknik Informatika dan Sistem Informasi e-ISSN: 2443-2229
Volume 1 Nomor 2 Agustus 2015
86
e-ISSN: 2443-2229 Jurnal Teknik Informatika dan Sistem Informasi
Volume 1 Nomor 2 Agustus 2015
yang lebih baik terhadap risiko yang mungkin terjadi 2. Dengan mengimplementasikan usulan risk treatment
pada document management system arsip elektronik dan melanjutkan analisis manajemen risiko hingga
ADEL (Aplikasi Dokumen Elektronik) dan NADINE tahap monitoring and review diharapkan nantinya nilai
(Naskah Dinas Elektronik) di PT. Jabar Telematika lavel of risk pada tiap-tiap risiko yang terjadi pada
(JATEL). document management system arsip elektronik ADEL
2. Dari hasil analisis pada aplikasi document management (Aplikasi Dokumen Elektronik) dan NADINE (Naskah
system arsip elektronik ADEL (Aplikasi Dokumen Dinas Elektronik) dapat menurun dan organisasi dapat
Elektronik) dan NADINE (Naskah Dinas Elektronik) di menghasilkan strategi penanganan risiko yang lebih
PT. Jabar Telematika (JATEL) diketahui bahwa baik.
terdapat 13 risiko (external attacks, malicious code, 3. Adanya pengembangan document management system
network congestion, system crash, database failure, arsip elektronik ADEL (Aplikasi Dokumen Elektronik)
data/document fraud, physical damage, hardware dan NADINE (Naskah Dinas Elektronik) di PT. Jabar
failure, power outage, force majure, inappropriate Telematika (JATEL) sehingga semua komponen
access, abuse of position of trust, dan disgruntled document management system dapat terpenuhi.
employees) yang teridentifikasi dapat dikelompokan Komponen yang dimaksud adalah capture, validation,
berdasarkan sumber daya TI (application, information, dan collaboration yang diharapkan dapat meningkatkan
infrastructure, dan people) dan dapat diklasifikasikan kinerja aplikasi dan business value dari JATEL serta
impact/consequencesnya berdasarkan risk classification mendukung otomatisasi proses bisnis.
(security, availability, performance dan compliance). 4. Penerapan HTTPS/SLL, enkripsi, session dan masking
Dari risiko yang telah teridentifikasi, 6 diantaranya yang dapat memberikan dukungan terhadap security
pada grafik sebaran risiko dan evaluasi risiko pada document management system arsip elektronik
berdasarkan likelihood dan impact diketahui memiliki ADEL (Aplikasi Dokumen Elektronik) dan NADINE
tingakatan medium level of risk. (Naskah Dinas Elektronik) di PT. Jabar Telematika
3. Penanganan organisasi terhadap risiko yang terjadi pada (JATEL)
document management system arsip elektronik ADEL
(Aplikasi Dokumen Elektronik) dan NADINE (Naskah DAFTAR PUSTAKA
Dinas Elektronik) secara umum sudah dilakukan dan [1] A. Stevenson, Oxford Dictionary of English, Oxford: Oxford
dapat dikatakan sudah baik hanya saja PT. Jabar University Press, 2010.
[2] P. Hopkin, Fundamentals of Risk Management: Understanding,
Telematika (JATEL) tidak memiliki dokumen Standard Evaluating, and Implementing Effective Risk Management,
Operational Procedure atau SOP yang berhubungan London: Kogan Page, 2010.
dengan manajemen risiko TI di organisasi. Strategi [3] J. J. Hampton, Fundamentals of Enterprise Risk Management:
penanganan terhadap risiko yang memiliki fungsi How Top Companies Assess Risk, Manage Exposures, and Seize
Opportunities, New York: AMACOM, 2009.
kontrol dan mencegah terjadinya risiko (risk [4] D. Cooper, S. Grey, G. Raymond and P. Walker, Project Risk
prevention) secara substantif dianggap sebagai strategi Management Guidelines: Managing Risk in Large Projects and
penanganan risiko yang paling baik. Penerapan Data Complex Procurements, Chichester, West Sussex: John Wiley &
Center Tier dan Disaster Recovery Procedure atau Sons Ltd., 2004.
[5] L. J. Susilo and V. R. Kaho, Panduan Manajemen Risiko Berbasis
DRP juga memegang peranan penting pada ISO 31000 Industri Non-Perbankan, Jakarta: Penerbit PPM, 2014.
implementasi manajemen risiko. [6] N. R. Council, Improving Risk Communication, Washington DC:
Lalu, berdasarkan hasil analisis manajemen risiko TI National Academy Press, 1989.
yang dilakukan pada aplikasi DMS arsip elektronik di [7] Symantec, IT Risk Management Report, Cupertino, CA:
Symantec, 2007.
JATEL, terdapat beberapa poin saran yang dapat diuraikan [8] ISACA, COBIT 5 The Risk IT Framework: Principles, Process
untuk pengembangan analisis manajemen risiko TI dan Details, Management Guidelines, Maturity Models, Rolling
document management system arsip elektronik ADEL Meadows, IL: ISACA, 2009.
(Aplikasi Dokumen Elektronik) dan NADINE (Naskah [9] ISACA, IT Governance Implementation Guide: Using COBIT and
val ITTM, 2nd edition, ISACA, 2007.
Dinas Elektronik) di PT. Jabar Telematika (JATEL), [10] JATEL, PT Jabar Telematika: Annual Report 2013, Bandung: PT
diantaranya: Jabar Telematika, 2013.
1. Diharapkan dengan adanya hasil analisis manajemen [11] E. E. Pratama and Suhardi, Analisis Nilai & Manajemen Risiko
risiko TI pada document management system arsip Teknologi Informasi (studi kasus PT. Bank Tabungan Negara),
Bandung, 2013.
elektronik ADEL (Aplikasi Dokumen Elektronik) dan [12] N. B. Kurniawan, Manajemen Risiko Teknologi Informasi Pada
NADINE (Naskah Dinas Elektronik) di PT. Jabar Badan Pusat Statistik, Produk Layanan: Pelayanan Statistik
Telematika (JATEL) dapat dijadikan dokumen inisiasi Terpadu, Bandung, 2013.
atau dokumen acuan oleh JATEL dalam [13] A. Y. Dewi, Analisis Nilai Teknologi Informasi & Implementasi
ISO 31000 Sebagai Manajemen Risiko Teknologi Informasi
mengembangkan standard operation procedure (SOP), (Studi Kasus Layanan Pada Direktorat Jendral Pajak Republik
strategi manajemen risiko, serta disaster recovery plan Indonesia), Bandung, 2013.
(DRP) sehingga dapat diimplementasikan oleh
organisasi.
87