237-Article Text-439-1-10-20161223
237-Article Text-439-1-10-20161223
B. Rumusan Masalah
Dari latar belakang di atas, maka diambil rumusan
1
Alumni, Jurusan Sistem Informasi Fakultas Teknologi masalah sebagai berikut :
Informasi Universitas Kristen Maranatha, Jl. Prof. drg. Bagaimana analisis risiko teknologi informasi
Surya Sumantri, M.P.H No. 65 Bandung- 40164, Jawa terhadap website SWIFTS menggunakan ISO
Barat, Indonesia (tlp: 021-2012186; fax: 022-2015154;e- 31000 di Divisi IT Lembaga Penerbangan dan
mail: franciscaa.lady@gmail.com), Antariksa Nasional (LAPAN) ?
2
Dosen, Jurusan Sistem Informasi Fakultas Teknologi
Informasi Universitas Kristen Maranatha, Jl. Prof. drg.
Surya Sumantri, M.P.H No. 65 Bandung- 40164, Jawa
Barat, Indonesia (tlp:021-2012186;fax:022-2015154; e-
mail: radiantv@gmail.com)
tetapi lebih ditujukan untuk membantu organisasi Ganbar 4 merupakan deskripsi aturan yang terdapat
mengintegrasikan manajemen risiko ke dalam keseluruhan pada manajemen risiko, berikut penjelasannya,
sistem manajemen organisasi. Oleh karena itu, organisasi Proportionate berarti manajemen risiko harus
harus mengadopsi komponen-komponen dari kerja ini ke sepadan dengan tingkat risiko yang terdapat dalam
dalam kebutuhan khas organisasi. Gambar 2 adalah suatu organisasi. Align berarti manajemen risiko
kerangka kerja untuk mengelola risiko. harus sesuai dengan seluruh aktifitas bisnis yang
terjadi dalam suatu organisasi. Comprehensive
berarti manajemen risiko harus dilakukan secara
sistematis dan terstruktur. Embeded berarti
manajemen risiko harus melekat pada setiap bisnis
proses yang terdapat dalam suatu organisasi. Dan
dynamic berarti manajemen risiko harus dapat
dilakukan berulang-ulang dan responsif terhadap
perubahan yang terjadi [3].
atau pernyataan oleh manajemen dan melakukan Menurut ISO 31000:2009, manajemen risiko suatu
penilaian tanpa sikap memihak. organisasi harus mengikuti 11 prinsip dasar agar dapat
3) Tindakan-tindakan dan kejadian - kejadian dilaksanakan secara efektif. Berikut penjabaran prinsip-
Ekonomi prinsip tersebut [3]:
Yaitu pernyataan tentang kejadian ekonomi yang Manajemen risiko menciptakan nilai tambah
merupakan informasi hasil proses akuntansi yang (creates value) Manajemen risiko berkontribusi
dibuat oleh individu atau suatu organisasi. Hal terhadap pencapaian nyata objektif dan
penting yang perlu dicatat adalah bahwa asersi- peningkatan, antara lain, kesehatan dan
asersi tersebut dibuat oleh penyusun laporan keselamatan manusia, kepatuhan terhadap hukum
keuangan, yaitu manajemen perusahaan atau dan peraturan, penerimaan publik, perlindungan
pemerintah, untuk selanjutnya dikomunikasikan lingkungan, kinerja keuangan, kualitas produk,
kepada para pengguna laporan keuangan, jadi efisiensi operasi, serta tata kelola dan reputasi
bukan merupakan asersi dari auditor. perusahaan.
4) Mengkomunikasikan Hasilnya kepada Pihak-pihak Manajemen risiko adalah bagian integral proses
yang Berkepentingan dalam organisasi (an integral part of
Yaitu kegiatan terakhir dari suatu auditing atau organizational processes) Manajemen risiko
pengauditan adalah menyampaikan temuan-temuan adalah bagian tanggung jawab manajemen dan
dan hasilnya kepada pengambil keputusan. Hasil merupakan suatu bagian integral dalam proses
dari auditing disebut pernyataan pendapat (opini) normal organisasi seperti juga merupakan bagian
mengenai kesesuaiannya antara asersi atau dari seluruh proses proyek dan manajemen
pernyataan tersebut dengan kriteria yang perubahan. Manajemen risiko bukanlah merupakan
ditetapkan. aktivitas yang berdiri sendiri yang terpisah dari
5) Tingkat Kesesuaian Kriteria yang Telah Ditetapkan aktivitas-aktivitas utama dan proses dalam
Yaitu secara spesifik memberikan alasan mengapa organisasi.
auditor tertarik pada pernyataan bukti-bukti Manajemen risiko adalah bagian dari pengambilan
pendukungnya. Namun agar komunikasi tersebut keputusan (part of decision making) Manajemen
efisien dan dapat dimengerti dengan bahasa yang risiko membantu pengambil keputusan mengambil
sama oleh para pengguna, maka diperlukan suatu keputusan dengan informasi yang cukup.
kriteria yang disetujui bersama. Manajemen risiko dapat membantu
memprioritaskan tindakan dan membedakan
E. International Organization for Standardization (ISO berbagai pilihan alternatif tindakan. Pada akhirnya,
31000:2009). manajemen risiko dapat membantu memutuskan
ISO 31000 merupakan standar yang berkaitan dengan apakah suatu risiko dapat diterima atau apakah
manajemen risiko yang dikodifikasi oleh International suatu penanganan risiko telah memadai dan efektif.
Organization for Standardization (ISO) atau Organisasi Manajemen risiko secara eksplisit menangani
Internasional untuk Standarisasi. Tujuan dari ISO 31000 ketidakpastian (explicitly addresses uncertainty)
sendiri adalah untuk memberikan prinsip-prinsip dan Manajemen risiko menangani aspek-aspek
pedoman untuk manajemen risiko. ISO 31000 juga ketidakpastian dalam pengambilan keputusan, sifat
memberikan paradigma yang diakui secara universal bagi alami dari ketidakpastian itu, dan bagaimana
para praktisi dan organisasi yang memperkerjakaan proses menanganinya.
manajemen risiko untuk menggantikan standar yang ada, Manajemen risiko bersifat sistematis, terstruktur,
metodologi dan paradigma yang berbeda antara industri, dan tepat waktu (systematic, structured and timely)
materi dan daerah. Suatu pendekatan sistematis, tepat waktu, dan
terstruktur terhadap manajemen risiko memiliki
kontribusi terhadap efisiensi dan hasil yang
konsisten, dapat dibandingkan, serta andal.
Manajemen risiko berdasarkan informasi terbaik
yang tersedia (based on the best available
information) Masukan untuk proses pengelolaan
risiko didasarkan oleh sumber informasi seperti
pengalaman, umpan balik, pengamatan, prakiraan,
dan pertimbangan pakar. Meskipun demikian,
pengambil keputusan harus terinformasi dan harus
mempertimbangkan segala keterbatasan data atau
model yang digunakan atau kemungkinan
perbedaan pendapat antar pakar.
Gambar 7. Hubungan Antara Prinsip, Kerangka Kerja, dan Proses
Manajemen Risiko [3]
lainnya disebut dengan hyperlink, sedangkan teks yang Identifikasi Kemungkinan Risiko
dijadikan media penghubung disebut hypertext [14]. Tahap identifikasi kemungkinan risiko adalah
proses untuk mengidentifikasi berbagai kemungkinan
risiko yang muncul terhadap aset-aset informasi sistem
III. ANALISIS DAN EVALUASI SWIFTS. Detail identifikasi kemungkinan risiko
terdapat pada Tabel II.
A. Analisis Manajemen Risiko IT
Analisis manajemen risiko TI pada website SWIFTS TABEL II
pada Lembaga Penerbangan dan Antariksa Nasional IDENTIFIKASI KEMUNGKINAN RISIKO
(LAPAN) melibatkan penggunaan aplikasi secara
sistematis dari pengelolaan kebijakan, proses dan prosedur Faktor Risiko
hingga proses dalam penentuan konteks, mengidentifikasi,
menilai, memperlakukan risiko yang terdapat pada Alam / Lingkungan Kebakaran
website SWIFTS. Banjir
Gempa Bumi
B. Asesmen Risiko Petir
Asesmen Risiko atau Risk Assesment atau penilaian Manusia Pencurian perangkat
risiko terhadap risiko pada website SWIFTS merupakan Human Error
gabungan proses yang terdiri dari risk identification Tidak dijalankannya Tata
(identifikasi risiko), risk analysis (analisis risiko) dan risk Kelola
Kurangnya SDM
evaluation (evaluasi risiko).
Sistem dan Kegagalan / kerusakan
Infrastruktur hardware
1) Identifikasi Risiko Server Down
Identifikasi Aset Overheat
Tahapan identifikasi aset dapat memberikan suatu Koneksi jaringan terputus
gambaran terhadap aset-aset yang berhubungan Sistem Crash
dengan sistem SWIFTS, melalui proses obervasi dan Overcapacity
wawancara dengan pihak-pihak yang terlibat langsung. Overload
Detail identifikasi aset terdapat pada Tabel I. Data Korup
Back up Failure
TABEL I Kurang baiknya kualitas
IDENTIFIKASI ASET SWIFTS jaringan
No Komponen Sistem Aset SWIFTS
Informasi Identifkasi Komponen Risiko
1 Data Data hasil penelitian Risiko dalam manajemen risiko bukan hanya
FRF (Forecast Report sekedar suatu kejadian, peristiwa, atau kondisi yang
Form) Online dapat berkembang/terjadi, namun mencakup pula
SWIFtS Weekly Space berbagai informasi yang terkait dengan kejadian,
Weather News peristiwa, atau kondisi tersebut, yang mencakup :
o Sumber risiko : benda atau kondisi yang dapat
2 Perangkat Lunak Sistem Informasi Space memicu timbulnya risiko
Weather Information And o Konsekuensi : dampak terhadap sistem SWIFTS
Forecast Services
(SWIFTS)
Identifikasi Dampak Risiko
Menindaklanjuti hasil dari identifikasi
No Komponen Sistem Aset SWIFTS kemungkinan risiko yang terjadi, maka dilakukan
Informasi
identifikasi terhadap dampak yang terjadi pada website
3 Perangkat Keras Personal Computer (PC)
beserta komponen / SWIFtS. Detail identifikasi dampak risiko terdapat
perangkatnya (PC alat) pada Tabel III. ID adalah pengkodean yang diberikan
Server SWIFTS terhadap setiap risiko yang ada.
Router Mikrotik
Modem TABEL III
IDENTIFIKASI DAMPAK RISIKO
Access Point
Switch Komponen/
Sumber ID Risiko Dampak
Kabel Fiber Optik
Daya Aset
Kabel UTP (Unshielded
IT
Twisted Pair)
Data R1
RJ 45
Kebakaran Proses pengolahan
IT
TABEL VII
PENILAIAN IDENTIFIKASI LIKELIHOOD DAN IMPACT PADA
RISIKO
Komponen
/ Sumber ID Risiko Likelihood Impact
Daya Aset
IT
R1 Kebakaran 1 5
Data R2 Petir 2 4
3) Evaluasi Risiko
Tahap risk evaluation atau evaluasi risiko, adalah
mengevaluasi risiko pada website SWIFTS apakah risiko
dapat ditoleransi atau tidak berdasarkan pada level of risk
atau tingkatan risiko yang diperoleh dari hasil analisis
risiko pada tahap sebelumnya. Gambar 8 adalah matrik
risiko yang digunakan dalam memetakan setiap risiko
yang ada dengan nilai likelihood dan impact yang telah
didapatkan pada tahapan analisis sebelumnya. Untuk
deskripsi penggambaran lebih lengkap terkait nilai setiap Gambar 10. Matrik Evaluasi Risiko berdasarkan likelihood dan
warna dapat dilihat pada Gambar 9. impact