Setiap Organisasi memiliki tujuan, dalam era digital ini otomasi sistem informasi dan teknologi informasi digunakan sebagai dukungan untuk mencapai tujuan tersebut. Manajemen resiko memegang peranan penting sebagai tindakan perlindungan bagi aset informasi dan seluruh hal yang berkaitandengan Teknologi informasiImplementasi Teknologi Informasi (TI) di suatu perusahaan atau organisasi sebagai basis dalam rangka penciptaan layanan yang berkualitas dan optimalisasi proses bisnis sangatlah beresiko. Resiko timbul manakala penerapan TI tidak mampu membantu perusahaan dalam mencapai tujuan bisnisnya. Pengelolaan resiko membutuhkan manajemen resiko yang baik dengan mengacu pada best practice framework manajemen resiko seperti pendekatan manajemen resiko yang ada pada COBIT, Rekomendasi NIST Special Publication 800-30 dan OCTAVE.
Perusahaan di negara berkembang dengan tingkat penetrasi TI rendah seperti pembangunan infrastruktur TI yang
belum memadai, kekurangan SDM TI dan lemahnya industri perangkat lunak memerlukan suatu model framework
yang lebih sederhana dan mudah dalam melakukan implementasi manajemen resiko dalam perusahaannya. Model
framework manajemen resiko yang dihasilkan terdiri dari proses identifikasi resiko (sumber resiko, kejadian resiko,
dampak resiko), analisa resiko (tingkat kecenderungan dan besarnya dampak resiko), respon resiko (hilangkan
resiko, kurangi resiko, cegah resiko atau transfer resiko) dan evaluasi resiko (adakah sisa resiko atau resiko baru).
1. PENDAHULUAN
Untuk mencapai tujuan bisnisnya, seringkali perusahaan-perusahaan menggunakan teknologi informasi sebagai basis dalam penciptaan layanan yang berkualitas ataupun dalam optimalisasi proses bisnisnya. Namun penerapan teknologi informasi memerlukan perencanaan yang strategis agar penerapannya dapat selaras (alignment) dengan tujuan bisnisnya. Jika penerapan TI tidak sesuai dengan arah bisnis perusahaan, maka hal inilah yang akan menimbulkan resiko. Resiko yang timbul akibat penerapan TI yang salah akan menyebabkan proses bisnis yang tidak optimal, kerugian finansial, menurunnya reputasi perusahaan, atau bahkan hancurnya bisnis perusahaan.
Oleh karena itu diperlukan suatu pengukuran terhadap resiko penerapan TI bagi perusahaan.
Pengukuran resiko TI berguna untuk mengetahui profil resiko TI, analisa terhadap resiko, kemudian melakukan respon terhadap resiko tersebut sehingga tidak terjadi dampak-dampak yang dapat ditimbulkan
oleh resiko tersebut.
Banyak sekali metode atau framework yang bisa dijadikan sebagai best practice dalam penerapanmanajemen resiko TI. Diantaranya dengan menerapkan COBIT (Control Objectives for Information and Related Technology), OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation ), NIST Special Publication
800-30 atau framework manajemen resiko lainnya.
Namun penerapan framework tersebut tidak akan selalu sama untuk setiap perusahaan. Karena
perbedaan karakteristik bisnis yang dijalankan.
Penelitian ini memodelkan framework manajemen resiko dalam penerapan TI di dalam organisasi
ataupun perusahaan. Tujuan dari penelitian ini adalah untuk memberikan gambaran yang lebih sederhana
dan mudah dalam menerapkan frameworkframework manajemen resiko yang telah ada.
Framework-framework manajemen resiko yang menjadi bahan dalam penelitian ini adalah COBIT
(Control Objectives for Information and Related Technology), NIST Special Publication 800-30 dan
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation ).
2. KARAKTERISTIK TI PERUSAHAAN DI NEGARA BERKEMBANG
Penerapan TI pada perusahaan di negara berkembang
masih belum optimal, hal ini disebabkan karena :
1. Pembangunan infrastruktur TI yang belum memadai. Sebagai contoh pembangunan telekomunikasi di negara-negara berkembang yang terhambat disebabkan oleh faktor kebijakan dan regulasi, faktor keuangan, kondisi politik,
SDM dan sebagainya[7].
2. Sumber Daya Manusia (SDM) TI yang masih kurang. Kebutuhan SDM TI untuk indonesia hingga tahun 2010 diperkirakan sebanyak 320.000 orang[8].
3. Lemahnya Industri Perangkat Lunak. Hal ini disebabkan oleh banyak faktor, diantaranya :
butuh SDM dengan kualifikasi teknik tinggi, sumber-sumber informasi pengembangan piranti
lunak tidak didapatkan di bangku kuliah, dukungan finansial yang relatif kecil, dan masih
adanya pembajakan piranti lunak[9].
Dari ketiga hal faktor yang menyebabkan rendahnya penentrasi TI, maka diperlukan suatu pemodelan
framework manajemen resiko yang dapat membantu perusahan-perusahaan TI di negara berkembang
untuk lebih mengenal resiko yang ada, mencoba untuk menganalisa resiko sehingga bisa memilih
respon terhadap resiko dengan tepat.
3. FRAMEWORK-FRAMEWORK MANAJEMEN RESIKO TI
3.1. COBIT
COBIT (Control Objectives for Information and Related Technology) merupakan standard yang dikeluarkan oleh ITGI (The IT Governance Institute)[1]. COBIT merupakan suatu koleksi dokumen dan framework yang diklasifikasikan dan secara umum diterima sebagai best practice untuk tata kelola (IT Governance), kontrol dan jaminan TI.
Referensi perihal manajemen resiko secara khusus dibahas pada proses PO9 dalam COBIT. Prosesproses
yang lain juga menjelaskan tentang manajemen resiko namun tidak terlalu detil.
GAMBAR 2.1. Framework Manajemen Resiko COBIT
Resiko adalah segala hal yang mungkin berdampak pada kemampuan organisasi dalam mencapai tujuantujuannya.
Framework manajemen resiko TI dengan menggunakan COBIT (gambar 2.1) terdiri dari :
1. Penetapan Objektif
Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI.
Terdapat tujuh kriteria informasi dari COBIT yaitu :
effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability.
2. Identifikasi Resiko
TABEL 2.1. KEJADIAN (EVENTS) YANG MENGGANGU
PENCAPAIAN OBJEKTIF PERUSAHAAN
Identifikasi resiko merupakan proses untuk mengetahui resiko. Sumber resiko bisa berasal dari :
• Manusia, proses dan teknologi
• Internal (dari dalam perusahaan) dan eksternal
(dari luar perusahaan)
• Bencana (hazard), ketidakpastian (uncertainty)
dan kesempatan (opportunity).
Dari ketiga sumber resiko tersebut dapat diketahui kejadian-kejadian yang dapat mengganggu perusahaan dalam mencapai objektifnya (tabel 2.1).
3. Penilaian Resiko
Proses untuk menilai seberapa sering resiko terjadi atau seberapa besar dampak dari resiko (tabel 2.2).
Dampak resiko terhadap bisnis (business impact) bisa berupa : dampak terhadap financial, menurunnya
reputasi disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan aset yang dapat
dinilai (sistem dan data), dan penundaan proses pengambilan keputusan.
Sedangkan kecenderungan (likelihood) terjadinya resiko dapat disebabkan oleh sifat alami dari bisnis,
struktur dan budaya organisasi, sifat alami dari sistem (tertutup atau terbuka, teknologi baru dan lama), dan
kendali-kendali yang ada. Proses penilaian resiko bisa berupa resiko yang tidak dapat dipisahkan
(inherent risks) dan sisa resiko (residual risks).
TABEL 2.2. TINGKATAN BESARNYA DAMPAK RESIKO
DAN FREKUENSI TERJADINYA RESIKO
4. Respon Resiko
Untuk melakukan respon terhadap resiko adalah dengan menerapkan kontrol objektif yang sesuai
dalam melakukan manajemen resiko. Jika sisa resiko masih melebihi resiko yang dapat diterima
(acceptable risks), maka diperlukan respon resiko tambahan. Proses-proses pada framework COBIT
(dari 34 Control Objectives) yang sesuai untuk manajemen resiko adalah :
• PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)
• AI6 (Manages Change)
• DS5 (Ensure System and Security) dan DS11 (Manage Data)
• ME1 (Monitor and Evaluate IT Performance)
5. Monitor Resiko
Setiap langkah dimonitor untuk menjamin bahwa resiko dan respon berjalan sepanjang waktu.
3.2. NIST Special Publication 800-30
GAMBAR 2.2. Proses-Proses Manajemen Resiko
NIST (National Institute of Standard and Technology ) mengeluarkan rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System[2]. Terdapat tiga proses dalam manajemen resiko
(gambar 2.2) yaitu :
• Proses Penilaian Resiko (Risk Assessment).
Terdapat sembilan langkah dalam proses penilaian
resiko yaitu :
1. Mengetahui karakteristik dari sistem TI : Hardware, software, sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang yang mendukung atau menggunakan sistem, arsitektur
keamanan sistem, topologi jaringan sistem,
2. Identifikasi Ancaman yang mungkin menyerang kelemahan sistem TI. Sumber ancaman bisa berasal dari alam, manusia dan lingkungan.
3. Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur keamanan, desain,
implementasi, dan internal kontrol terhadap sistem sehingga menghasilkan pelanggaran terhadap kebijakan keamanan sistem.
4. Menganalisa kontrol – kontrol yang sudah diimplementasikan atau direncanakan untuk
diimplementasikan oleh organisasi untuk mengurangi atau menghilangkan kecenderungan (kemungkinan) dari suatu ancaman menyerang sistem yang vulnerable.
5. Penentuan Kecenderungan (likelihood) dari kejadian bertujuan untuk memperoleh penilaian
terhadap keseluruhan kecenderungan yang mengindikasikan kemungkinan potensi vulnerability diserang oleh lingkungan ancaman yang ada.
6. Analisa dampak yang kurang baik yang dihasilkan dari suksesnya ancaman menyerang vulnerability.
Seperti loss of integrity, loss of availability, dan loss of confidentiality. Pengukuran dampak dari
resiko TI dapat dilakukan secara kualitatif maupun kuantitatif. Dampak tersebut dapat diklasifikasikan
menjadi 3 bagian yaitu : high, medium dan low.
7. Penentuan Level Resiko. Penentuan level resiko dari Sistem TI yang merupakan pasangan
ancaman/vulnerability merupakan suatu fungsi :
• Kecenderungan suatu sumber ancaman
menyerang vulnerability dari sistem TI.
• Besaran dampak yang akan terjadi jika sumber
ancaman sukses menyerang vulnerability dari
sistem TI.
• Terpenuhinya perencanaan kontrol keamanan
yang ada untuk mengurangi dan menghilangkan
resiko.
8. Rekomendasi – rekomendasi untuk mengurangi
level resiko sistem TI dan data sehingga mencapai
level yang bisa diterima.
9. Dokumentasi hasil dalam bentuk laporan.
• Proses Pengurangan Resiko (Risk Mitigation). Strategi di dalam melakukan pengurangan resiko
misalnya dengan menerima resiko (risk assumption), mencegah terjadinya resiko (risk avoidance),
membatasi level resiko (risk limitation), atau mentransfer resiko (risk transference). Metodologi
pengurangan resiko berikut menggambarkan pendekatan untuk mengimplementasikan kontrol :
1. Memprioritaskan aksi. Berdasarkan level resiko yang ditampilkan dari hasil penilaian resiko,
implementasi dari aksi diprioritaskan. Output dari langkah pertama ini adalah ranking aksi-aksi
mulai dari tinggi hingga rendah
2. Evaluasi terhadap kontrol yang direkomendasikan. Pada langkah ini, Kelayakan
(misal kompatibilitas, penerimaan dari user) dan efektifitas (misal tingkat proteksi dan level dari
pengurangan resiko) dari pilihan-pilihan kontrol yang direkomendasikan dianalisa dengan tujuan
untuk meminimalkan resiko. Output dari langkah kedua adalah membuat daftar kontrol-kontrol
yang layak
3. Melakukan cost-benefit analysis. Suatu costbenefit analysis dilakukan. untuk menggambarkan biaya dan keuntungan jika mengimplementasikan atau tidak mengimplementasikan kontrol – kontrol tersebut.
4. Memilih kontrol. Berdasarkan hasil cost-benefit analysis, manajemen menentukan kontrol dengan biaya paling efektif untuk mengurangi resiko terhadap misi organisasi.
5. Memberikan tanggung jawab. Personil yang sesuai (personil dari dalam atau personil yang dikontrak dari luar) yang memiliki keahlian dan ketrampilan ditugaskan untuk mengimplementasikan
pemilihan kontrol yang diidentifikasi, dan bertanggung jawab terhadap yang ditugaskan.
6. Mengembangkan rencana implementasi safeguard yang minimal mengandung informasi
tentang resiko (pasangan vulnerability/ ancaman) dan level resiko (hasil dari laporan penilaian
resiko), kontrol yang direkomendasikan (hasil dari laporan penilaian resiko, aksi-aksi yang
diprioritaskan (dengan prioritas yang diberikan terhadap pilihan level resiko tinggi atau sangan
tinggi), pilih kontrol yang telah direncanakan (tentukan berdasarkan kelayakan, efektifitas,
keuntungan terhadap organisasi dan biaya), sumberdaya yang dibutuhkan untuk
mengimplementasikan pilihan kontrol yang telah direncanakan, buat daftar staf dan personil yang
bertanggung jawab, tanggal dimulainya implementasi, tanggal target penyelesaian untuk
implementasi dan Kebutuhan untuk perawatan.
7. Implementasikan kontrol yang dipilih. Tergantung pada situasi tertentu, kontrol yang dipilih akan menurunkan resiko tetapi tidak menghilangkan resiko. Output dari langkah ketujuh adalah sisa resiko.
• Proses Evaluasi Resiko (Risk Evaluation) Pada proses ini dilakukan evaluasi apakah
pendekatan manajemen resiko yang diterapkan sudah sesuai. Kemudian dilakukan penilaian resiko kembali
untuk memastikan keberadaan resiko yang teridentifikasi maupun resiko yang belum
teridentifikasi
3.3. OCTAVE
Framework manajemen resiko (gambar 2.3)
menggunakan pendekatan OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation )
[3] adalah :
1. Identifikasi
Identifikasi merupakan proses transformasi ketidakpastian dan isu tentang seberapa baik aset
organisasi dilindungi dari resiko. Tugas yang harus dilakukan adalah identifikasi profil resiko (aset kritis,
ancaman terhadap aset, kebutuhan keamanan untuk aset kritis, deskripsi tentang dampak resiko pada
organisasi, dan komponen infrastruktur utama yang berhubungan dengan aset kritis) dan identifikasi
informasi organisasi (kebijakan, praktek dan prosedur keamanan, kelemahan teknologi dan kelemahan
organisasi saat ini ).
2. Analisa
Analisa merupakan proses untuk memproyeksikan bagaimana resiko-resiko ekstensif dan bagaimana
menggunakan proyeksi tersebut untuk membuat skala prioritas. Tugas dalam proses analisa adalah
melakukan evaluasi resiko (Nilai-nilai untuk mengukur resiko- dampak dan peluang) dan skala
prioritas resiko (pendekatan pengurangan resiko, menerima atau mengurangi resiko)
3. Perencanaan
Perencanaan merupakan proses untuk menentukan aksi-aksi yang akan diambil untuk meningkatkan
postur dan perlindungan keamanan aset kritis tersebut. Langkah dalam perencanaan adalah mengembangkan
strategi proteksi, rencana mitigasi resiko, rencana aksi, budget, jadwal, kriteria sukses, ukuran-ukuran
untuk monitor rencana aksi, dan penugasab personil untuk implementasi rencana aksi.
4. Implementasi
Implementasi merupakan proses untuk melaksanakan aksi yang direncanakan untuk meningkatkan
keamanan sistem berdasarkan jadwal dan kriteria sukses yang didefinisikan selama perencanaan resiko.
Implementasi menghubungkan antara perencanaan dengan monitor dan kontrol.
5. Monitor
Proses ini memonitor jejak rencana aksi untuk menentukan status saat ini dan meninjau ulang data
organisasi sebagai tanda adanya resiko baru dan perubahan resiko yang ada. Langkah dalam proses
monitor adalah melakukan eksekusi rencana aksi secara lengkap, mengambil data (data untuk melihat
jalur rencana aksi terkini, data tentang indikator resiko utama) dan laporan-laporan terkini dan
indikator resiko utama.
6. Kontrol
Mengontrol resiko adalah proses yang didesain agar personil melakukan penyesuaian rencana aksi dan
menentukan apakah merubah kondisi organisasi akan menyebabkan timbulnya resiko baru. Langkah dalam
proses monitor resiko adalah analisa data (analisa laporan terkini dan analisa indikator resiko),
membuat keputusan (keputusan tentang rencana aksi dan keputusan tentang identifikasi resiko baru), dan
melakukan eksekusi keputusan (mengkomunikasikan keputusan, mengimplementasikan perubahan rencana
aksi, dan memulai aktifitas identifikasi resiko).
4. MODEL FRAMEWORK MANAJEMEN RESIKO TI
Model framework manajemen resiko TI (gambar 2.4)
terdiri dari :
1. Identifikasi Resiko
Proses identifikasi resiko (gambar 3.1) terdiri dari sumber resiko, kejadian (event) yang dapat
menyebabkan resiko dan dampak yang dihasilkan jika resiko itu terjadi (effect). Sumber resiko dan
kelemahan (vulnerability) ini akan menjadi sumber
ancaman (threat source) (tabel 3.1).
2. Analisa Resiko
Setelah sumber dan kejadian yang menyebabkan resiko teridentifikasi, maka dilakukan analisa resiko
yaitu menilai level resiko dan membuat ranking resiko dengan mempertimbangkan faktor
kecenderungan (likelihood) dan besarnya dampak resiko (impact). Pendekatan analisa resiko dapat
secara kualitatif atau kuantitatif. Level kecenderungan dan dampak dapat dikategorikan
sesuai variasi yang ada, misalnya menjadi high, medium dan low seperti yang ada pada NIST dan
OCTAVE.
3. Respon Resiko
Berdasarkan hasil analisa resiko, maka dilakukan perencanaan aksi yang ingin dilakukan terhadap
resiko. Apakah akan menghilangkan resiko (risk retention), mengurangi resiko (risk reduction) hingga
mencapai tingkat yang dapat diterima (acceptable level), mencegah resiko (risk avoidance) atau
mentransfer resiko (risk transfer). Hasil perencanaan ini kemudian diimplementasikan oleh personil yang
ditunjuk berdasarkan prioritas resiko, jadwal, budget dan kontrol yang telah ditetapkan.
4. Evaluasi Resiko
Proses ini berfungsi untuk mengetahui apakah implementasi kontrol terhadap resiko sudah sesuai,
sumber http://endriputro.wordpress.com
