BAB 2 LANDASAN TEORI - thesis.binus.ac.idthesis.binus.ac.id/doc/Bab2/2010-2-00346-KA bab 2.pdfyang...
Transcript of BAB 2 LANDASAN TEORI - thesis.binus.ac.idthesis.binus.ac.id/doc/Bab2/2010-2-00346-KA bab 2.pdfyang...
BAB 2
LANDASAN TEORI
2.1 Teknologi Informasi
2.1.1 Pengertian Teknologi Informasi
Menurut Sawyer dan Williams (2006, p3), Information Technology is general
term describe various technologies that assist for producing, manipulation, storage,
communication and disseminate information. (teknologi informasi adalah istilah umum
yang mendeskripsikan berbagai teknologi yang membantu untuk memproduksi,
manipulasi, penyimpanan, komunikasi dan menyebarluaskan informasi).
Jadi, pengertian teknologi informasi adalah alat yang mendukung aktifitas
sebuah sistem informasi.
Menurut penelitian Anonymous, Computer Weekly News (2010). Technopedia
and The IT Genome Center showcase BDNA's extensive industry content," said
Constantin Delivanis, CEO of BDNA and co-founder of Sand Hill Group. "Mapping the
DNA of business - the IT Genome - shows businesses what they're made of." The IT
Genome Center - Enterprise DNA Mapping According to industry analysts, 80 percent
of IT spending goes toward internal costs and only 20 percent to growth. Built on
Technopedia, The IT Genome Center can help CIOs to eliminate 75 percent of IT waste
and free budget for innovation...
2.1.2 Evolusi Perkembangan Teknologi Informasi
Menurut Indrajit (2002, p7), perkembangan teknologi yang sedemikian cepatnya
telah membawa dunia memasuki era baru yang lebih cepat dari yang dibayangkan
sebelumnya. Setidaknya ada empat era yang penting sejak ditemukannya komputer
sebagai alat pegolahan data sampai dengan era internet saat komputer menjadi senjata
utama dalam berkompetisi.
Empat era perkembangan teknologi komputer, adalah :
a. Era Komputerisasi
Dimulai sekitar tahun 1960-an, dimana minicomputer dan mainframe mulai
diperkenalkan ke dunia industri, kemampuan menghitungnya yang cepat mengakibatkan
banyak perusahaan yang memanfaatkannya untuk keperluan pengolahan data (data
processing). Pemakaian komputer saat ini ditujukan untuk meningkatkan efisiensi,
karena terbukti untuk pekerjaan tertentu, menggunakan komputer jauh lebih efisien (dari
segi biaya dan waktu).
b. Era Teknologi Informasi
Di awal tahun 1970-an, teknologi PC atau Personal Computer mulai
diperkenalkan sebagai alternatif pengganti minicomputer. Pada era ini komputer
memasuki babak barunya, yaitu sebagai suatu fasilitas yang dapat memberikan
keuntungan kompetitif bagi perusahaan, terutama yang bergerak di bidang pelayanan
atau jasa.
c. Era Sistem Informasi
Teori-teori manajemen organisasi modern secara intensif mulai diperkenalkan di
awal tahun 1980-an dan kunci keberhasilan perusahaan di era tahun 1980-an adalah
penciptaan dan penguasaan informasi secara cepat dan akurat.
d. Era Globalisasi Informasi
Sulit untuk menemukan teori yang menjelaskan semua fenomena yang terjadi
sejak awal tahun 1990-an, namun fakta yang terjadi dapat disimpulkan bahwa tidak ada
yang dapat menahan lajunya dari perkembangan teknologi informasi. Keberadaannya
yang telah menghilangkan garis batas antarnegara dalam hal flow of information. Tidak
ada negara yang mampu mencegah mengalirnya informasi dari atau ke luar negara,
karena batasan antarnegara tidak dikenal dalam dunia maya.
2.2 Hardware dan Software
Menurut Haag, Cummings dan McCubbrey (2005, p15), ada 2 kategori dasar
dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan fisik yang
menyusun sebuah komputer (sering dikenal sebagai sistem komputer). Software adalah
kumpulan instruksi-instruksi yang menjalankan hardware untuk menyelesaikan tugas
tertentu.
Hardware dibagi menjadi enam kategori yaitu (1) input device, (2) output device,
(3) storage device, (4) CPU dan RAM, (5) telecommunications device, (6) connecting
device.
Input device adalah peralatan yang digunakan untuk memasukkan informasi dan
perintah yang terdiri dari keyboard, mouse, touch screen, game controller dan bar code
reader. Output device adalah peralatan yang digunakan untuk melihat, mendengar, atau
sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer,
monitor dan speaker. Storage device adalah peralatan yang digunakan untuk menyimpan
informasi yang digunakan di lain waktu terdiri atas hard disk, flash memory card dan
DVD. CPU adalah hardware yang mengartikan dan menjalankan sistem dan instruksi-
instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware.
RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya
sistem, dan instruksi aplikasi software yang dibutuhkan CPU sekarang ini.
Telecommunications device adalah peralatan yang digunakan untuk mengirim informasi
dan menerima informasi dari orang atau komputer lain dalam satu jaringan contohnya
modem. Connecting hardware termasuk hal-hal seperti terminal paralel yang
menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal
paralel dan peralatan penghubung internal yang sebagian besar termasuk alat pengantar
untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya.
Ada 2 tipe utama dari software, yaitu application dan system. Application
software yang memungkinkan untuk menyelesaikan masalah-masalah spesifik atau
menampilkan tugas-tugas spesifik. System software yaitu menangani tugas-tugas spesifik
untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan teknologi.
Di dalam system software ditemukan operating system software dan utility software.
Operating system software adalah software sistem yang mengendalikan software
aplikasi dan mengelola bagaimana peralatan hardware bekerja bersama-sama. Utility
software adalah software yang menyediakan tambahan fungsionalitas untuk
mengoperasikan sistem software seperti antivirus software, screen savers, disk
optimization software.
2.3 Jaringan
Menurut Turban, Rainer, Porter (2003, p178), sebuah jaringan komputer, terdiri
atas media komunikasi peralatan-peralatan dan software yang dibutuhkan untuk
menghubungkan dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran jaringan
yang umum, yaitu LAN (Local Area Networks) dan WAN (Wide Area Networks). MAN
(Metropolitan Area Network) berada di antara dua ukuran tersebut. LAN
menghubungkan dua atau lebih alat komunikasi sampai 2000 kaki (biasanya dalam
gedung yang sama). Jadi, setiap pengguna alat dalam jaringan memiliki potensi untuk
berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang terdiri atas
kumpulan telepon atau jaringan International seperti penyedia layanan komunikasi
global, mungkin milik komersial, swasta, atau publik.
2.4 Internet, Intranet, Ekstranet
Menurut Turban, Rainer, Porter (2003, G11), internet adalah elektronik dan
jaringan telekomunikasi yang besar yang menghubungkan komputer bisnis, konsumen,
instansi pemerintah, sekolah, dan organisasi lainnya di seluruh dunia, yang
menggunakan pertukaran informasi secara lancar terbuka. Intranet adalah jaringan
pribadi yang menggunakan jaringan internet dan perangkat lunak protokol TCP / IP,
umumnya berupa, internet swasta, atau segmen kelompok swasta dari jaringan internet
publik. Ekstranet adalah jaringan yang aman yang menghubungkan mitra bisnis dan
intranet lewat internet dengan menyediakan akses ke wilayah masing-masing perusahaan
intranet; perpanjangan dari intranet.
2.5 Risiko
2.5.1 Pengertian Risiko
Menurut Peltier (2001, p21), risiko adalah seseorang atau sesuatu yang membuat
atau menyarankan sebuah bahaya.
Menurut Djojosoedarso (2003, p2), pengertian risiko antara lain:
1. Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode
tertentu (Arthur Williams dan Richard, M.H)
2. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan peristiwa
kerugian (loss) (A.Abas Salim)
3. Risiko adalah ketidakpastian atas terjadinya suatu peristiwa (Soekarto)
4. Risiko merupakan penyebaran / penyimpangan hasil aktual dari hasil yang
diharapkan (Herman Darmawi)
5. Risiko adalah probabilitas sesuatu hasil / outcome yang berbeda dengan yang
diharapkan (Herman Darmawi)
Definisi-definisi tersebut dapat disimpulkan bahwa risiko selalu dihubungkan
dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak diduga / tidak
diinginkan.
2.5.2 Macam-Macam Risiko
Menurut Gondodiyoto (2006), dari berbagai sudut pandang, risiko dapat
dibedakan dalam beberapa jenis :
1. Risiko Bisnis (Business Risks)
Risiko Bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern
maupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi
(business goals/objectives).
2. Risiko Bawaaan (Inherent Risks)
Risiko Bawaan adalah potensi kesalahan atau penyalahgunaan yang melekat
pada suatu kegiatan, jika tidak ada pengendalian intern.
3. Risiko Pengendalian (Control Risks)
Dalam suatu organisasi yang baik seharusnya sudah ada Risk Assessment, dan
dirancang pengendalian intern secara optimal terhadap setiap potensi risiko.
Risiko Pengendalian ialah masih adanya risiko meskipun sudah ada
pengendalian.
4. Risiko Audit (Audit Risks)
Risiko Audit adalah risiko bahwa hasil pemeriksaan auditor ternyata belum dapat
mencerminkan keadaan yang sesungguhnya.
Menurut Gondodiyoto (2006, p303), ancaman utama terhadap keamanan dapat
bersifat karena alam, manusia, yang bersifat kelalaian atau kesengajaan, antara lain :
a. Ancaman kebakaran
Beberapa pelaksanaan keamanan untuk ancaman kebakaran :
- Memiliki alat pemadam kebakaran otomatis dan tabung pemadam
kebakaran
- Memiliki pintu atau tangga darurat
- Melakukan pengecekan rutin dan pengujian terhadap sistem
perlindungan kebakaran untuk dapat memastikan bahwa segala
sesuatunya telah dirawat dengan baik.
b. Ancaman banjir
Beberapa pelaksanaan pengamanan untuk ancaman banjir :
- Semua material asset sistem informasi ditaruh ditempat yang tinggi
- Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan
sumber energi listrik, misalnya: stabilizer atau power supply (UPS)
- Perubahan tegangan sumber energi
c. Kerusakan Struktural
Pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural misalnya:
memilih lokasi perusahaan yang jarang terjadi gempa, angin ribut, banjir.
d. Penyusup
Pelaksanaan pengamanan untuk mengantisipasi penyusup adalah penempatan
penjaga dan penggunaan alarm, atau kamera pengawas.
e. Virus
Pelaksanaan pengamanan untuk mengantisipasi virus adalah :
- Preventif , seperti menginstall anti virus dan melakukan update secara rutin.
- Detektif , misalnya melakukan scan file sebelum digunakan
- Korektif, misalnya memastikan back up data bebas virus, pemakaian anti virus
terhadap file yang terinfeksi.
f. Hacking
Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking :
- Penggunaan kontrol logical seperti penggunaan password yang sulit tebak.
- Petugas keamanan secara teratur memonitor sistem yang digunakan.
2.5.3 Karakteristik dan Wujud Risiko
Menurut Djojosoedarso (2005, p3), karakteristik risiko merupakan ketidakpastian
atas terjadinya suatu peristiwa dan merupakan ketidakpastian bila terjadi akan
menimbulkan kerugian.
Menurut Djojosoedarso (2005, p3), wujud dari risiko itu dapat bermacam-
macam, antara lain :
a. Berupa kerugian atas harta milik/kekayaan atau penghasilan, misalnya
diakibatkan oleh kebakaran, pencurian, pengangguran dan sebagainya.
b. Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan.
c. Berupa tanggung jawab hukum, misalnya risiko dari perbuatan atau peristiwa
yang merugikan orang lain.
d. Berupa kerugian karena perubahan keadaan pasar, misalnya terjadi perubahan
harga, perubahan selera konsumen dan sebagainya.
2.5.4 Upaya Penanggulangan Risiko
Menurut Djojosoedarso (2005, p4), upaya-upaya untuk menanggulangi risiko
harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai
dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan
perusahaan untuk meminimumkan risiko kerugian, antara lain :
1. Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya
peristiwa yang menimbulkan kerugian.
2. Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, dan
untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut
disediakan sejumlah dana untuk menanggulanginya.
3. Melakukan pengenadalian terhadap risiko.
4. Mengalihkan / memindahkan risiko kepada pihak lain.
Tugas dari manager risiko adalah berkaitan erat dengan upaya memilih dan
menentukan cara-cara / metode yang paling efisien dalam penanggulangan risiko yang
dihadapi perusahaan.
2.6 Risiko Teknologi Informasi
2.6.1 Kategori Risiko Teknologi Informasi
Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi berisiko
terhadap kehilangan informasi dan pemulihannya yang tercakup dalam 6 kategori, yaitu:
a) Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak
berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan terorisme
cyber.
b) Ketersediaan
Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena
kesalahan manusia (human error), perubahan konfigurasi, dan kurangnya
penggunaan arsitektur.
c) Daya Pulih
Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu
yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras,
ancaman eksternal, atau bencana alam.
d) Performa
Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh
arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi
yang beragam.
e) Daya Skala
Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk
arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan
biaya bisnis secara efektif.
f) Ketaatan
Risiko yang manajemen atau penggunaan informasinya melanggar keperluan
dari pihak pengatur. Yang dipersalahkan dalam hal ini mencakup aturan
pemerintah, panduan pengaturan perusahaan dan kebijakan internal.
2.6.2 Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p49), risiko-risiko teknologi didefinisikan
dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan
kesalahan, tetapi konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis.
Kelas-kelas risiko yaitu :
1. Projects-failing to deliver
Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari
gagalnya penyampaian proyek adalah menyelesaikan proyek yang ada telat / tidak pada
waktunya, sumber daya dan biaya yang di konsumsi dalam penyelesaian proyek besar
sehingga tidak efisien, mengganggu proses bisnis selama proses implementasi, dan juga
fungsi dari proyek tidak sesuai dengan keinginan dari yang diharapkan user.
2. IT service continuity-when business operations go off the air
Risiko ini berhubungan dengan pelayanan TI yang ketinggalan zaman dan tidak
dapat diandalkan sehingga mengganggu proses bisnis yang sedang berjalan. Biasanya
berhubungan dengan sistem operasional dan produksi perusahaan serta kemampuan
mereka untuk menyediakan kebutuhan dari user.
3. Information assets-failing to protect and preserve
Risiko ini berhubungan khusus dengan kerusakan, kehilangan dan eksploitasi
aset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi perusahaan,
contohnya informasi yang penting bisa dicuri oleh perusahaan kompetitor, detail dari
kartu kredit dapat dilihat oleh pihak yang tidak berwenang, sehingga dengan demikian
akan merusak hubungan antara pelanggan dengan perusahaan. Ini tentunya akan sangat
merugikan perusahaan.
4. Service providers and vendors-breaks in the IT value chain
Risiko ini berhubungan dengan kemampuan dari provider dan vendor. Bila
mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan berdampak
significant bagi sistem TI perusahaan. Dampak lainnya berhubungan dengan dampak
jangka panjang seperti kekurangan dalam penyediaan layanan TI bagi user perusahaan
tersebut.
5. Applications-flaky systems
Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi
biasanya berinteraksi dengan user dan dalam suatu perusahaan biasanya terdapat
kombinasi antara software paket dan software buatan yang diintegrasikan menjadi satu.
6. Infrastructure-shaky foundations
Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI. Infrastuktur
adalah suatu nama yang umum bagi komputer maupun jaringan yang sedang dipakai dan
berjalan di perusahaan tersebut. Didalam infrastuktur juga termasuk software, seperti
Operation System dan Database Management System.
Kegagalan infrastuktur TI bisa bersifat permanen, ketika suatu komponen terbakar,
dicuri, rusak maupun koneksi jaringannya sedang putus, maka dampak dari kegagalan
tersebut tergantung dari ketahanan sistem yang ada. Apabila terdapat sistem yang sudah
tidak kompatibel dengan model yang baru, maka sistem tersebut perlu diganti. Apabila
risiko ini dapat ditangani secara rutin, maka itu merupakan suatu perencanaan jangka
panjang yang baik.
7. Strategic and energent-disabled by IT
Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan strategi
bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat significant
dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan dari perusahaan
untuk terus bergerak maju kearah visi strategi, untuk tetap kompetitif diperlukan
kemajuan TI untuk dipahami dan dicocokan dengan potensi kesempatan eksploitasi bagi
bisnis.
2.6.3 Langkah Pemecahan Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p7), ada 3 langkah kunci dalam membuat
risiko informasi teknologi berjalan untuk anda, dalam menempatkan diri anda dalam
satu posisi dimana anda dapat hidup dengan risiko :
1) Anda perlu menempatkan kepemimpinan dan manajemen yang tepat pada
tempatnya melalui teknologi informasi dan kerangka cara pengaturan risiko.
2) Anda perlu menggabungkan cara anda mengurus risiko informasi teknologi
dengan mengadopsi sebuah pendekatan manajemen tas surat yang proaktif.
3) Anda perlu mengatur kompleksitas dengan secara aktif mengatur setiap jenis
risiko informasi teknologi.
2.7 Pengertian Manajemen
Robbins and Coulter (2007,p37), management is coordinating and overseeing
the work activities of others so that their activities are completed efficiently and
effectively (manajemen adalah mengkoordinasi dan mengawasi aktivitas kerja orang lain
sehingga aktivitas mereka selesai dengan efektif dan efisien).
Menurut penelitian Michael dan Bruce (2010), Chair of the discussion group
Ruth Fischer of R2 Consulting (Contoocook, NH) welcomed everyone and gave a brief
description of the discussion group as one being focused on a variety of issues
pertaining to professionalism in technical services. The discussion during the mid-winter
meeting in Philadelphia centered on the appropriate roles for copy catalogers compared
to those of professional catalogers. During the annual conference, the meeting's topic
was in part an outgrowth of management issues raised in January and in recognition of
just how important inspired management is in the world of rapid change in today's
library environment. Fisher noted that many librarians have been promoted into
positions with management components without ever having any real formal training (or
experience) in managing per se. Many excellent professional librarians are promoted to
management-level positions simply because they are very good at their job, not
necessarily because they are good at managing.
2.8 Manajemen Risiko
2.8.1 Pengertian Manajemen Risiko
Manajemen risiko adalah proses mengenali risiko dan mengembangkan metode
untuk kedua meminimalkan dan mengelola risiko. Ini memerlukan pengembangan
metode untuk mengidentifikasi, memprioritaskan, memperlakukan (berurusan dengan),
kontrol dan memantau eksposur risiko. Dalam manajemen risiko, proses yang diikuti di
mana risiko yang dinilai terhadap kemungkinan (kesempatan) dari mereka terjadi dan
tingkat keparahan atau jumlah kerugian atau kerusakan (dampak) yang dapat berakibat
jika mereka terjadi.
Program manajemen risiko dengan demikian mencakup tugas-tugas seperti
berikut :
1) Mengidentifikasi risiko-risiko yang dihadapi.
2) Mengukur atau menentukan besarnya risiko tersebut.
3) Mencari jalan untuk menghadapi atau menanggulangi risiko.
4) Menyusun strategi untuk memperkecil ataupun mengendalikan risiko.
5) Mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi program
penanggulangan risiko yang telah dibuat.
2.8.2 Tujuan Manajemen Risiko
According to Birch & McEvoy (1992, p45), objective of risk management is
reduce business exposure by balancing countermeasures investment againts risk (Tujuan
manajemen Risiko adalah mengurangi pembukaan bisnis dengan menyeimbangkan
tindakan balasan investasi terhadap risiko).
According Jacobson (2002, p1), Objective of risk management is to select risk
mitigation, risk transfer and risk recovery measures so as to optimise the performance of
an organization ( Tujuan manajemen Risiko adalah memilih pengukuran peringanan
Risiko, pemindahan Risiko dan pemulihan Risiko untuk mengoptimalkan kinerja
organisasi).
2.8.3 Pentingnya Mempelajari Manajemen Risiko
Menurut Djojosoedarso (2003, p5), bagaimana pentingnya mempelajari
manajemen Risiko dapat dilihat dari dua segi , yaitu :
- Seseorang sebagai anggota organisasi/perusahaan terutama seoarang manajer
akan dapat mengetahui cara-cara/metode yang tepat untuk menghindari atau
mengurangi besarnya kerugian yang diderita perusahaan, sebagai akibat
ketidakpastian terjadinya suatu peristiwa yang merugikan.
- Seseorang sebagai pribadi :
1. Dapat menjadi seoarang manajer risiko yang professional dalam jangka waktu
yang relatif lebih cepat daripada yang belum pernah mempelajarinya.
2. Dapat memberikan kontribusi yang bermanfaat bagi manajer risiko dari
perusahaan di mana yang bersangkutan menjadi anggota.
2.8.4 Dimensi Manajemen Risiko
Manajemen risiko NIST (2002, p4), mencakup tiga proses yaitu penilaian risiko,
pengalihan risiko dan evaluasi serta penilaian. Proses penilaian risiko mencakup
identifikasi dan evaluasi dari risiko dan dampak risiko, dan rekomendasi dari
pengukuran pengurangan risiko. Proses pengalihan risiko mengacu pada pengukuran
pengurangan risiko yang sesuai rekomendasi dari proses penilaian risiko. Proses evaluasi
yang bersifat terus menerus adalah kunci dari implementasi sebuah program manajemen
risiko yang berhasil.
2.8.5 Kerangka Kerja Manajemen Risiko
Menurut Batuparan (BEI NEWS Edisi 5 Tahun II, Maret-April 2001), kerangka
kerja manajemen risiko pada dasarnya terbagi dalam tiga tahapan kerja:
A. Identifikasi Risiko
Identifikasi Risiko adalah rangkaian proses pengenalan yang seksama atas risiko
dan komponen risiko yang melekat pada suatu aktivitas atau transaksi yang diarahkan
kepada proses pengukuran serta pengelolaan risiko yang tepat.
Sebagai suatu rangkaian proses, identifikasi risiko dimulai dengan pemahaman
tentang apa yang sebenarnya yang disebut sebagai Risiko. Sebagaimana telah
didefinisikan di atas, maka risiko adalah tingkat ketidakpastian akan terjadinya
sesuatu/tidak terwujudnya sesuatu tujuan, pada suatu periode tertentu (time horizon).
Bertitik tolak dari definisi tersebut maka terdapat dua tolak ukur penting di dalam
pengertian risiko, yaitu :
1. Tujuan (yang ingin dicapai)/Objectives
Untuk dapat menetapkan batas-batas risiko yang dapat diterima, maka suatu
perusahaan harus terlebih dahulu menetapkan tujuan-tujuan yang ingin dicapai
secara jelas. Seringkali ketidakjelasaan mengenai tujuan-tujuan yang ingin
dicapai mengakibatkan munculnya risiko-risiko yang tidak diharapkan.
2. Periode Waktu (Time Horizon)
Periode waktu yang digunakan di dalam mengukur tingkat risiko yang dihadapi,
sangatlah tergantung pada jenis bisnis yang dikerjakan oleh suatu perusahaan.
Semakin dinamis pergerakan faktor-faktor pasar untuk suatu jenis bisnis tertentu,
semakin singkat periode waktu yang digunakan di dalam mengukur tingkat risiko
yang dihadapi.
B. Pengukuran Risiko
Pengukuran Risiko adalah rangkaian proses yang dilakukan dengan tujuan untuk
memahami signifikansi dari akibat yang akan ditimbulkan suatu risiko, baik secara
individual maupun portofolio, terhadap tingkat kesehatan dan kelangsungan usaha.
Pengukuran Risiko dibutuhkan sebagai dasar (tolak ukur) untuk memahami
signifikansi dari akibat (kerugian) yang akan ditimbulkan oleh terealisirnya suatu risiko,
baik secara individual maupun portfolio, terhadap tingkat kesehatan dan kelangsungan
usaha. Lebih lanjut pemahaman yang akurat tentang signifikansi tersebut akan menjadi
dasar bagi pengelolaan risiko yang terarah dan berhasil guna.
1. Dimensi Risiko
Signifikansi suatu risiko maupun portofolio risiko dapat diketahui/disimpulkan
dengan melakukan pengukuran terhadap dua dimensi risiko yaitu :
- Kuantitas (quantity) risiko, yaitu jumlah kerugian yang mungkin
muncul dari terjadinya/terealisirnya risiko. Dimensi kuantitas risiko
dinyatakan dalam satuan mata uang.
- Kualitas Risiko, yaitu probabilitas dari terjadinya risiko. Dimensi
kualitas risiko dapat dinyatakan dalam bentuk : confidence level,
matrix risiko (tinggi, sedang, rendah), dan lain-lain yang dapat
menggambarkan kualitas risiko. Dua dimensi ini harus muncul
sebagai hasil dari proses pengukuran risiko.
2. Alat Ukur Risiko
Sebagai suatu konsep baru yang sedang terus dikembangkan, terdapat berbagai
macam metode pengukuran risiko yang muncul dan diujicobakan oleh para
pelaku pasar.
- Value At Risk
Konsep VAR berdiri di atas dasar observasi statistik atas data-data
historis dan relatif dapat dikatakan sebagai suatu konsep yang bersifat
obyektif. VAR mengakomodasi kebutuhan untuk mengetahui potensi
kerugian atas exposure tertentu. Exposure adalah obyek yang rentan
terhadap risiko dan berdampak pada kinerja perusahaan apabila risiko
yang diprediksikan benar-benar terjadi. Exposure yang paling umum
berkaiatan dengan ukuran keuangan, misalnya harga saham, laba,
pertumbuhan penjualan, dan sebagainya.
- Stress Testing
Salah satu keterbatasan konsep VAR adalah bahwa VAR hanya
efektif diterapkan dalam kondisi pasar yang normal. Konsep Stress
Testing memberikan jawaban untuk masalah yang menyebabkan
runtuhnya pasar (unexpected event). Konsep ini adalah sebuah
rangkaian proses eksplorasi, mempertanyakan, dan berpikir tentang
kemungkinan-kemungkinan (khususnya terkait dengan risiko) pada
saat terjadinya sesuatu yang dianggap “tidak mungkin” terjadi.
Didalam konsep Stress Testing dilakukan hal-hal sebagai berikut :
a) Menyusun beberapa skenario (terjadinya unexpected event)
b) Melakukan revaluasi risiko atas portfolio
c) Menyusun kesimpulan atas skenario-skenario tersebut
- Back Testing
Suatu model hanya berguna jika model tersebut dapat menerangkan
realitas yang terjadi. Demikian pula dengan model pengukuran risiko.
Untuk menjaga reability dari model, maka secara periodik suatu
model pengukuran harus duiji dengan menggunakan suatu konsep
yang dikenal dengan Back Testing.
3. Metode Pengukuran Kuantitas Risiko
- National
Teknik pengukuran risiko berdasarkan batas atas besarnya nilai yang
rentan terhadap risiko (exposure).
- Sensitivitas
Teknik pengukuran berdasarkan sensitivitas eksposure terhadap
pergerakan satu unit variabel pasar. Risiko diukur berdasarkan
seberapa sensitif suatu eksposure terhadap perubahan faktor tertentu.
- Volatilitas
Teknik pengukuran berdasarkan rata-rata variasi nilai eksposure, baik
variasi negatif maupun positif. Risiko diukur berdasarkan seberapa
besar nilai eksposure berfluktuasi. Ukuran umum standar deviasi :
“Semakin besar standar deviasi suatu eksposure, semakin berfluktuasi
nilai eksposure tersebut, yang berarti semakin beresiko eksposure atau
aset tersebut.
4. Risiko vis a vis Pricing dan Modal
Semakin tinggi risiko yang diambil, semakin besar pula modal yang dibutuhkan.
Penyisihan sejumlah modal (di luar PPAP) tersebut tentunya akan
mengakibatkan munculnya opportunity lost bagi perusahaan. Sebagai
konsekuensi maka Risk Management mengenal apa yang disebut sebagai
RAROC atau Risk Adjusted Return On Capital. Konsep pricing yang
menggunakan RAROC akan secara jelas memperlihatkan seberapa tinggi risiko
dari satu counterpart dimata perusahaan yang melakukan evaluasi risiko.
C. Pengelolaan Risiko
Pengelolaan risiko pada dasarnya adalah rangkaian proses yang dilakukan untuk
meminimalisasi tingkat risiko yang dihadapi sampai pada batas yang dapat diterima.
Secara kuantitatif upaya untuk meminimalisasi risiko ini dilakukan dengan menerapkan
langkah-langkah yang diarahkan pada turunnya (angka) hasil ukur yang diperoleh dari
proses pengukuran risiko.
Jika Risiko-Risiko yang dihadapi oleh perusahaan telah diidentifikasi dan diukur
maka akan dipertanyakan bagaimana cara memberikan struktur risiko yang terbaik bagi
perusahaan. Pertanyaan tersebut mengarah kepada upaya untuk :
1. Meningkatkan kualitas dan prediktabilitas dari pendapatan perusahaan (earning)
untuk mengoptimalkan nilai bagi pemegang saham (shareholder value).
2. Mengurangi kemungkinan munculnya tekanan pada kemampuan keuangan
(financial distress)
3. Mempertahankan margin operasi (operating margin)
Konsep pengelolaan risiko berbicara seputar alternatif cara untuk mencapai
tujuan-tujuan diatas. Pada dasarnya mekanisme Pengelolaan Risiko dapat
dikelompokkan sebagai berikut :
1. Membatasi Risiko (Mitigating Risk)
Membatasi Risiko dilakukan dengan menetapkan limit risiko. Penetapan limit
risiko yang dapat diterima oleh perusahaan tidak semata-mata dilakukan untuk
membatasi risiko yang diserap oleh perusahaan, melainkan juga harus diarahkan
kepada upaya untuk mengoptimalkan nilai bagi pemegang saham. Pendekatan
tersebut terkait dengan konsekuensi (Modal/Capital) yang muncul dari angka-
angka risiko yang dihasilkan dari proses pengukuran risiko.
2. Mengelola Risiko (Managing Risk)
Sebagaimana kita ketahui, nilai eksposure yang dimiliki oleh perusahaan dapat
bergerak setiap saat sebagai akibat pergerakan di berbagai faktor yang
menentukan di pasar. Untuk itu maka dibutuhkan suatu proses untuk
mengembalikan profil risiko kembali kepada profil yang memberikan hasil
optimal bagi pemegang saham. Proses dimaksud dilakukan melalui berbagai
jenis transaksi yang pada dasarnya merupakan upaya untuk:
1) Menyediakan cushion/buffer untuk mengantisipasi kerugian yang mungkin
muncul dalam hal risiko yang diambil terealisir.
2) Mengurangi/menghindarkan perusahaan dari kerugian total (total loss) yang
muncul dalam hal risiko terealisir.
3) Mengalihkan risiko kepada pihak lain.
3. Memantau Risiko (Monitoring Risk)
Pemantauan risiko pada dasarnya adalah mekanisme yang ditujukan untuk dapat
memperoleh informasi terkini (updated) dari profile perusahaan. Sekali lagi, Risk
Management tetaplah hanya alat bantu bagi manajemen dalam proses
pengambilan keputusan.
2.9 Manajemen Risiko Teknologi Informasi
Menurut Alberts dan Dorefee (2004, p8), manajemen risiko adalah proses yang
berkelanjutan dalam mengenal risiko dan mengimplementasikan rencana untuk
menunjuk mereka.
Jadi, manajemen risiko adalah suatu proses identifikasi, mengukur risiko, serta
membentuk strartegi untuk mengelolanya melalui sumber daya yang tersedia. Strategi
yang dapat digunakan antara lain mentransfer risiko pada pihak lain, menghindari risiko,
mengurangi efek buruk dari risiko, dan menerima sebagian maupun seluruh konsekuensi
dari risiko tertentu.
2.9.1 Fungsi-fungsi Pokok Manajemen Risiko
Menurut Djojosoedarso (2005, p14), fungsi pokok manajemen risiko terdiri dari :
1. Menemukan Kerugian Potensial.
Artinya berupaya untuk menemukan atau mengidentifikasi seluruh risiko murni
yang dihadapi perusahaan, yang meliputi:
a) Kerusakan fisik dari harta kekayaan perusahaan.
b) Kehilangan pendapatan atau kerugian lainnya akibat terganggunya operasi
perusahaan.
c) Kerugian akibat adanya tuntutan hukum dari pihak lain.
d) Kerugian-kerugian yang timbul karena penipuan, tindakan-tindakan kriminal
lainnya, tidak jujurnya karyawan.
e) Kerugian-kerugian yang timbul akibat karyawan kunci atau (keymen) meninggal
dunia, sakit atau cacat.
2. Mengevaluasi Kerugian Potensial
Artinya melakukan evaluasi dan penilaian terhadap semua kerugian potensial
yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini akan meliputi
perkiraan mengenai :
a) Besarnya kemungkinan frekuensi terjadinya kerugian artinya memperkirakan
jumlah kemungkinan terjadinya kerugian selama suatu periode tertentu atau
berapa kali terjadinya kerugian tersebut selama suatu periode tertentu.
b) Besarnya bahaya dari tiap-tiap kerugian, artinya menilai besarnya kerugian yang
diderita, yang biasanya dikaitkan dengan besarnya pengaruh kerugian tersebut,
terutama terhadap kondisi finansial perusahaan.
3. Memilih teknis/cara yang tepat atau menentukan suatu kombinasi dari teknik-
teknik yang tepat guna menanggulangi kerugian.
Pada pokoknya ada empat cara yang dapat dipakai untuk menanggulangi risiko,
yaitu mengurangi kesempatan terjadinya kerugian, meretensi, mengasuransikan
dan menghindari. Dimana tugas dari manajer risiko adalah memilih satu cara
yang paling tepat untuk menanggulangi suatu risiko atau memilih suatu
kombinasi dari cara-cara yang paling tepat untuk menanggulangi risiko.
2.9.2 Tahap Manajemen Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen risiko
terdiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda untuk jenis
risiko yang berbeda :
1) Pengenalan/penemuan – menaruh risiko teknologi informasi pada radar
manajemen.
2) Penilaian/analisis – mengerti risiko informasi teknologi dalam konteks tas surat
keseluruhan risiko informasi teknologi dan menilai kemungkinan munculnya dan
pengaruhnya pada bisnis.
3) Perawatan – menentukan pilihan terbaik dari beberapa langkah tindakan yang
memungkinkan untuk mengatasi risiko, merencanakan, dan menyelesaikan
tindakan yang diperlukan.
4) Pengamatan dan peninjauan – menindaklanjuti untuk memastikan apa yang
direncanakan itu dikerjakan dan dimengerti perubahan yang ada pada tas surat
risiko teknologi informasi.
2.9.3 Manajemen Identifikasi Risiko
Menurut Bandyopadhyay dan Mykytyn (1999, p437), langkah awal pada
pengenalan risiko adalah dengan menentukan lingkungan teknologi informasi.
Lingkungan teknologi informasi terdiri dari tiga tingkat :
1. Tingkat Aplikasi
Tingkat aplikasi berkonsentrasi pada risiko teknis atau kegagalan implementasi
aplikasi informasi teknologi. Risiko seperti ini dapat timbul dari sumber internal
dan eksternal. Ancaman eksternal adalah bencana alam, tindakan kompetitor,
hacker, dan virus komputer. Ancaman internal kepada aset teknologi informasi
dapat datang dari akses fisik berotoritas atau tanpa otoritas yang mengakibatkan
penyalahgunaan sistem.
Ancaman-ancaman ini dapat merusak atau menghancurkan aset informasi
teknologi seperti perangkat keras, perangkat lunak, data, personil atau fasilitas.
Sebuah studi empiris pada suatu keamanan komputer mengungkapkan bahwa,
pada tingkat aplikasi, manajer-manajer menganggap bencana alam dan tindakan
kecelakaan pegawai sebagai risiko dengan tingkat terbesar. Mereka juga melihat
lingkungan komputer mainframe lebih aman daripada lingkungan
mikrokomputer.
2. Tingkat Organisasi
Pada tingkat organisasi, fokusnya adalah pada pengaruh informasi teknologi di
semua bagian fungsional organisasi daripada bagian aplikasi yang terisolasi.
Bisnis-bisnis menempatkan informasi teknologi secara bertingkat pada tingkat
organisasi untuk mencapai keuntungan kompetitif.
Ketergantungan yang semakin berkembang terhadap teknologi informasi demi
mendapatkan keuntungan strategis untuk organisasi dapat membuat organisasi
menjadi sasaran berbagai jenis risiko.
3. Tingkat Interorganisasi
Pada tingkat interorganisasi, fokusnya adalah pada risiko teknologi informasi
pada organisasi yang beroperasi pada lingkungan jaringan. Penggunaan teknologi
informasi yang paling mutakhir dan kuat sekarang ini mencakup jaringan yang
melewati batasan organisasi. Ini adalah SI otomati yang dibagi oleh dua
organisasi atau lebih. Perkembangan pada pemakaian sistem pada interorganisasi
(IOS) belakangan ini telah meningkatkan produktivitas, fleksibilitas, dan tingkat
kompetitif.
2.9.4 Implementasi Kemampuan Manajemen Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p60), kemampuan manajemen risiko
teknologi informasi yang efektif adalah kemampuan manajemen yang memenuhi
kebutuhan bisnis, dimana elemen desain penting yang harus dipertimbangkan adalah :
1. Strategi dan Kebijakan
Strategi-strategi dan kebijakan-kebijakan manajemen risiko teknologi
informasi diperlukan untuk dapat menentukan tujuan dari manajemen risiko
teknologi informasi, memastikan cakupan area yang potensial dari risiko teknologi
informasi dan menyediakan landasan peraturan dan prinsip-prinsip untuk mengelola
risiko. Kebijakan manajemen risiko teknologi informasi harus didokumentasikan
secara formal dan didukung oleh tim tata kelola teknologi informasi dan
dikomunikasikan secara aktif kepada seluruh organisasi.
2. Peran dan Tanggung Jawab
Peran yang perlu ditentukan terlebih dahulu dan sesudah itu orang yang tepat
dan harus dipilih dan ditempatkan untuk melakukan peran tersebut. Beberapa hal
yang perlu dipertimbangkan adalah :
a. Pemisahan tugas : untuk memastikan bahwa setiap peran kelas risiko independen
menjalankan pemantauan dan melakukan tinjauan ulang.
b. Menyeimbangkan kebutuhan masukan untuk spesialis : kontribusi pengertian
proses, sistem dan risiko spesifik, manajerial pembuat suatu keputusan
mempertimbangkan semua faktor dan menentukan tindakan.
c. Mencocokan peran manajemen risiko teknologi informasi kedalam struktur
dimana dia seharusnya ditempatkan. Misalnya, aktifitas perawatan manajemen
risiko teknologi informasi harus sejalan dengan manajer proyek untuk risiko
proyek.
d. Membuat peran manajemen risiko teknologi informasi yang baru ketika
dibutuhkan. Misalnya, lintas fungsional bisnis dengan koordinasi peran secara
berkelanjutan.
e. Mengalokasikan tanggung jawab bersama jika diperlukan dan memastikan
semua tempat telah diambil.
3. Proses dan Pendekatan
Siklus hidup manajemen risiko memiliki beberapa langkah, yang
dikembangkan dengan beberapa langkah yang berbeda untuk berbagai jenis risiko :
a. Identifikasi/Penemuan : Mendapatkan risiko teknologi informasi berdasarkan
radar dari manajemen
b. Penilaian/Analisis : Memahami risiko dalam konteks keseluruhan portfolio risiko
teknologi informasi dan menilai kemungkinan terjadinya dan dampak potensial
terhadap bisnis.
c. Perawatan : Menentukan pilihan terbaik dari banyaknya program untuk
menangani risiko, perencanaan dan menyelesaikan tindakan yang diperlukan.
d. Pemantauan dan Tinjauan : Menindaklanjuti untuk memastikan rencana apa yang
telah dilakukan dan memahami adanya perubahan lebih lanjut dalam risiko dari
portfolio.
4. Orang dan Performa
Manajemen risiko teknologi informasi juga tentang orang dan performa
mereka. Kemampuan dan pengetahuan dari orang-orang dalam manajemen risiko
teknologi informasi harus dikembangkan dan dipelihara. Pengembangan dan
pemeliharaan ini memerlukan beberapa kombinasi pendidikan dan pelatihan
penanggulangan risiko teknologi informasi sesusai dengan peran dan tanggung
jawab yang ada.
5. Implementasi dan Pengembangan
Orang tidak hanya akan menerima cara baru dalam pengelolaan risiko
teknologi informasi tanpa pernah diberitahu menagapa diperlukan. Sebauah cerita
yang meyakinkan pentingnya hal tersebut untuk organisasi dan apakah itu penting
untuk organisasi
2.10 Pengukuran Risiko Teknologi Informasi
Berdasarkan penelitian yang kami lakukan, maka ditemukan beberapa metode
pengukuran risiko teknologi informasi diantaranya, yaitu metode NIST, metode
OCTAVE-S, dan metode COBIT yang digunakan untuk perbandingan :
2.10.1 NIST (National Institute of Standard and Technology) Special Publication
800-30
Menurut Maulana dan Supangkat (2006, p123), terdapat 9 langkah dalam proses
penilaian risiko, yaitu :
1) Mengetahui karakteristik dari sistem teknologi informasi : hardware, software
dan sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang
yang mendukung atau yang menggunakan sistem, arsitektur keamanan sistem,
topologi jaringan sistem.
2) Identifikasi ancaman yang mungkin menyerang kelemahan sistem teknologi
informasi. Sumber ancaman bisa berasal dari alam, manusia dan lingkungan.
3) Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur keamanan,
desain, implementasi dan internal control terhadap sistem sehingga menghasilkan
pelanggaran terhadap kebijakan keamanan sistem.
4) Menganalisa kontrol-kontrol yang sudah di implementasikan atau direncanakan
untuk di implementasikan oleh organisasi untuk mengurangi atau menghilangkan
kecenderungan (kemungkinan) dari suatu ancaman menyerang sistem yang
vulnerable.
5) Penentuan kecenderungan (likelihood) dari kejadian yang bertujuan untuk
memperoleh penilaian terhadap keseluruhan kecenderungan yang
mengindikasikan kemungkinan potensi vulnerability diserang oleh lingkungan
ancaman yang ada. Berikut ini faktor-faktor yang harus dipertimbangkan :
- Motivasi dan Sumber Ancaman
- Sifat dari Kerentanan
- Keberadaan dan Efektivitas pengendalian saat ini
Tabel 2.1 Definisi kemungkinan / kecenderungan Level
Kemungkinan Definisi kemungkinan / kecenderungan
Tinggi Sumber ancaman yang memiliki motivasi tinggi, memiliki kemampuan yang cukup, dan pengendalian untuk mencegah kerentanan yang mungkin terjadi tidak efektif.
Sedang Sumber ancaman termotivasi dan mampu, tetapi pengendalian yang ada, dapat menghambat kerentanan dengan sukses.
Rendah Sumber ancaman kurang termotivasi dan mampu, atau pengendalian yang ada untuk mencegah atau setidaknya secara signifikan menghambat kerentanan yang mungkin terjadi.
6) Analisis Dampak
Menentukan hasil dari dampak paling buruk yang mungkin terjadi dari sebuah
ancaman yang timbul, sebelum memulai analisis dampak, diperlukan informasi
sebagai berikut :
1. Sistem Misi (misalnya, proses yang dilakukan oleh sistem TI)
2. Sistem dan Data Kritikal (misalnya, sistem nilai atau pentingnya untuk
sebuah organisasi)
3. Sistem dan Sensitivitas Data
Tabel 2.2 Besarnya definisi dampak Level
Dampak Definisi Dampak
Tinggi Penerapan Kerentanan: 1. Dapat menyebabkan kehilangan biaya yang sangat tinggi dari aset utama. 2. Dapat menyebabkan kerugian atau rintangan dalam misi organisasi. 3. Dapat menyebabkan kematian atau cedera serius.
Sedang Penerapan kerentanan: 1. Dapat menghasilkan kehilangan biaya yang tinggi dari sumber daya. 2. Dapat menyebabkan pelanggaran , kerugian atau rintangan dalam misi organisasi. 3. Dapat menyebabkan cidera serius
Rendah Penerapan kerentanan : 1. Dapat menghasilkan kehilangan sebagian aset nyata atau sumber daya. 2. Dapat mempengaruhi misi, reputasi dan pendapatan organisasi.
7) Penentuan level risiko. Penentuan level risiko dari sistem yang merupakan
pasangan ancaman / vulnerability merupakan suatu fungsi :
- Kecenderungan suatu sumber ancaman menyerang sumber
vulnerability dari sistem teknologi informasi.
- Besarnya dampak yang terjadi jika sumber ancaman sukses
menyerang vulnerability sistem teknologi informasi.
- Terpenuhinya perencanaan kontrol keamanan yang ada untuk
memenuhi dan mengurangi risiko.
8) Rekomendasi Pengendalian
Selama proses ini pengendalian yang dapat mengurangi atau mengeliminasi
risiko yang diidentifikasi. Tujuan dari rekomendasi pengendalian adalah
mengurangi tingkat risiko bagi sistem TI dan data ketingkat yang dapat diterima
oleh organisasi. Faktor-faktor yang harus dipertimbangkan dalam rekomendasi
pengendalian dan solusi alternatif untuk meminimalkan risiko diidentifikasi :
a) Keefektifan dari pilihan yang direkomendasikan
b) Perundang-undangan dan peraturan
c) Kebijakan Organisasi
d) Dampak Operasional
e) Keselamatan dan Kehandalan
9) Dokumentasi hasil dalam bentuk laporan.
2.10.1.1 Proses Pengurangan Resiko (Risk Mitigation)
Strategi di dalam melakukan pengurangan resiko misalnya dengan menerima
resiko (risk assumption), mencegah terjadinya resiko (risk avoidance), membatasi level
resiko (risk limitation), atau mentransfer resiko (risk transference). Metodologi
pengurangan resiko berikut menggambarkan pendekatan untuk mengimplementasikan
kontrol :
1. Memprioritaskan aksi. Berdasarkan level resiko yang ditampilkan dari hasil
penilaian resiko, implementasi dari aksi diprioritaskan. Output dari langkah
pertama ini adalah ranking aksi-aksi mulai dari tinggi hingga rendah
2. Evaluasi terhadap kontrol yang direkomendasikan. Pada langkah ini, Kelayakan
(misal kompatibilitas, penerimaan dari user) dan efektifitas (misal tingkat
proteksi dan level dari pengurangan resiko) dari pilihan-pilihan kontrol yang
direkomendasikan dianalisa dengan tujuan untuk meminimalkan resiko. Output
dari langkah kedua adalah membuat daftar kontrol-kontrol yang layak
3. Melakukan cost-benefit analysis. Suatu costbenefit analysis dilakukan. Untuk
menggambarkan biaya dan keuntungan jika mengimplementasikan atau tidak
mengimplementasikan kontrol - kontrol tersebut.
4. Memilih kontrol. Berdasarkan hasil cost-benefit analysis, manajemen
menentukan kontrol dengan biaya paling efektif untuk mengurangi resiko
terhadap misi organisasi.
5. Memberikan tanggung jawab. Personil yang sesuai (personil dari dalam atau
personil yang dikontrak dari luar) yang memiliki keahlian dan ketrampilan
ditugaskan untuk mengimplementasikan pemilihan kontrol yang diidentifikasi,
dan bertanggung jawab terhadap yang ditugaskan.
6. Mengembangkan rencana implementasi safeguard yang minimal mengandung
informasi tentang resiko (pasangan vulnerability/ ancaman) dan level resiko
(hasil dari laporan penilaian resiko), kontrol yang direkomendasikan (hasil dari
laporan penilaian resiko, aksi-aksi yang diprioritaskan (dengan prioritas yang
diberikan terhadap pilihan level resiko tinggi atau sangat tinggi), pilih kontrol
yang telah direncanakan (tentukan berdasarkan kelayakan, efektifitas,
keuntungan terhadap organisasi dan biaya), sumberdaya yang dibutuhkan untuk
mengimplementasikan pilihan kontrol yang telah direncanakan, buat daftar staf
dan personil yang bertanggung jawab, tanggal dimulainya implementasi, tanggal
target penyelesaian untuk implementasi dan Kebutuhan untuk perawatan.
7. Implementasikan kontrol yang dipilih. Tergantung pada situasi tertentu, kontrol
yang dipilih akan menurunkan resiko tetapi tidak menghilangkan resiko. Output
dari langkah ketujuh adalah sisa resiko.
2.10.1.2 Proses Evaluasi Resiko (Risk Evaluation)
Pada proses ini dilakukan evaluasi apakah pendekatan manajemen resiko yang
diterapkan sudah sesuai. Kemudian dilakukan penilaian resiko kembali untuk
memastikan keberadaan resiko yang teridentifikasi maupun resiko yang belum
teridentifikasi.
2.10.2 Pengukuran Risiko Teknologi Informasi Berdasarkan OCTAVE-S
Menurut Alberts, Dorofee, Steven dan Woody(2005, vol 1), OCTAVE is a suite
of tools, techniques and methods for risk-based information security strategic
assessment and planning. Dapat diartikan OCTAVE adalah suatu strategi pengamanan
berdasarkan teknik perencanaan dan risiko. OCTAVE merupakan salah satu teknik dan
metode yang digunakan untuk strategi dan perencanaan risiko keamanan informasi.
OCTAVE difokuskan pada risiko organisasi, hasil praktek dan strategi yang
saling terkait. Ketika menerapkan OCTAVE, satu tim kecil yang terdiri dari audit
operasional(atau bisnis) dan dari departemen teknologi informasi(TI) bekerja bersama-
sama untuk menunjukkan kebutuhan keamanan dari organisasi, menyeimbangkan 3
aspek utama: risiko operasional, praktek pengamanan dan teknologi.
Terdapat 3 jenis metode OCTAVE yaitu:
a. Metode Original OCTAVE (OCTAVE ®) digunakan untuk membentuk dasar
pengetahuan OCTAVE.
b. Metode OCTAVE Allegro, digunakan dalam pendekatan efektif untuk keamanan
informasi dan jaminan.
c. Pengertian Metode OCTAVE-S, digunakan pada organisasi-organisasi yang
lebih kecil.
Metode-metode OCTAVE dapat ditemukan pada kriteria OCTAVE, pendekatan
umum untuk penghilang risiko dan pelatihan berbasis evaluasi keamanan informasi.
Kriteria OCTAVE menetapkan prinsip dasar dan atribut manajemen risiko yang
digunakan dalam metode-metode OCTAVE.
Sarana dan keuntungan metode-metode OCTAVE adalah:
• Self- directed: sekelompok anggota organisasi dalam unit-unit bisnis
yang bekerja bersama dengan divisi IT untuk mengidentifikasi kebutuhan
keamanan dari organisasi.
• Flexible : Setiap metode dapat diterapkan pada sasaran, keamanan dan
lingkungan risiko perusahaan di berbagai level.
• Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada
sisi keamanan dan menempatkan teknologi di bidang bisnis.
2.10.2.1 Pengertian Metode OCTAVE-S
Menurut Alberts et al (2005, p3), OCTAVE-S adalah sebuah variasi dari
pendekatan OCTAVE yang dikembangkan untuk menemukan kebutuhan-kebutuhan
kecil, organisasi-organisasi yang tidak memiliki hierarki. Hal ini memerlukan sebuah
analisis tim untuk menguji risiko keamanan di sebuah aset organisasi dalam
hubungannya dengan objective bisnis. Dengan mengimplementasi hasil-hasil dari
OCTAVE-S, sebuah organisasi berusaha melindungi semua informasi dengan lebih baik
dan meningkatkan keseluruhan bidang keamanan.
2.11 OCTAVE-S
2.11.1 Tahap, Proses, dan Aktivitas OCTAVE-S
Menurut Alberts et al (2005, p5), OCTAVE-S berdasar pada 3 tahap yang
dideskipsikan dalam kriteria OCTAVE, meskipun nomor dan urutan kegiatan berbeda
dari metode OCTAVE yang digunakan. Bagian ini memberikan tinjauan singkat atas
tahapan, proses, dan kegiatan OCTAVE-S.
Tahap satu adalah sebuah evaluasi darim aspek organisasi. Selama dalam tahap
ini, tim analisis menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya
untuk mengevaluasi risiko. Hal ini juga mengidentifikasi aset-aset organisasi yang
penting, dan mengevaluasi praktek keamanan dalam organisasi saat ini. Di mana pada
tahap ini terdiri atas 2 proses, yaitu identifikasi informasi organisasi dan membuat profil
ancaman serta memiliki enam aktifitas.
Tahap kedua yaitu tim analisis melakukan peninjauan ulang level tinggi dari
perhitungan infrastruktur organisasi, yang berfokus pada keamanan yang
dipertimbangkan pemelihara dari infrastruktur. Tahap ini memiliki satu proses yaitu
memeriksa perhitungan infrastruktur dalam kaitannya dengan aset yang kritis dimana
terdapat dua aktivitas.
Selama tahap ketiga, tim analisis mengidentifikasi risiko dari aset kritis
organisasi dan memutuskan apa yang harusdilakukan mengenainya. Berdasarkan analisis
dari kumpulan informasi, tim membuat strategi perlindungan untuk organisasi dan
rencana mitigasi yang ditujukan pada aset kritis. Tahap ini terdiri atas 2 proses, yaitu
identifikasi dan analisis risiko serta mengembangkan strategi perlindungan dan rencana
mitigasi, di mana proses ini memiliki delapan aktifitas.
2.11.2 Hasil OCTAVE-S
Menurut Alberts et al (2005, p6), selama mengevaluasi OCTAVE-S, tim analisis
melihat keamanan dari beberapa perspektif, memastikan bahwa rekomendasi yang
dicapai sesuai dengan keseimbangan berdasarkan kebutuhan organisasi. Hasil utama dari
OCTAVE-S, yaitu:
1. Strategi perlindungan organisasi yang luas; Perlindungan strategi menguraikan
secara singkat arah organisasi dengan mematuhi praktek keamanan informasi.
2. Rencana mitigasi risiko; rencana ini dimaksudkan untuk mengurangi risiko aset
kritis untuk meningkatkan praktek keamanan yang di pilih.
3. Daftar tindakan; Termasuk tindakan jangka pendek yangh dibutuhkan untuk
menunjukkan kelemahan yang spesifik.
Hasil OCTAVE-S yang berguna lainnya, yaitu :
1. Daftar informasi penting terkait dengan aset yang mendukung tujuan bisnis dan
sasaran organisasi.
2. Hasil survei menunjukkan sejauh mana organisasi mengikuti praktek keamanan
yang baik.
3. Profil risiko untuk setiap aset kritis menggambarkan jarak antara risiko terhadap
aset.
Setiap tahap OCTAVE-S memproduksi hasil yang bermanfaat sehingga sebagian
evaluasi akan menghasilkan informasi yang berguna untuk meningkatkan sikap
keamanan organisasi.
2.12 Pengukuran Risiko Teknologi Informasi Berdasarkan COBIT
2.12.1 Sejarah COBIT
COBIT pertama kali dikembangkan pada tahun 1996 oleh Informatian System
Audit and Control Association (ISACA) dan disusun berdasarkan control objective yang
dimiliki ISACA. COBIT edisi kedua dipublikasiakan pada tahun 1998 dengan
menambahkan Implementation Tool Set dan sedikit revisi pada High Level control
objectives dan detailed control objectives.
Pada tahun 2000, COBIT edisi ketiga dirilis dan mulai dikelola oleh IT
Governance Institute (ITGI). Edisi ini berisi pengembangan arahan bagi management
dan pembaharuan dari edisi kedua yang memberikan referensi baru dan standar
internasional. Kerangka kerjanya diperbaharui dan ditambahkan untuk meningkatkan
pengendalian bagi manajemen, kinerja manajemen dan berorientasi pada pengembangan
tata kelola TI dengan menyediakan maturity model, critical success factors, key goal
indicator, dan key performance indicators untuk pengelolaan TI.
COBIT edisi keempat dirilis pada bulan November tahun 2005. Dalam edisi ini
terdapat perubahan-perubahan yang cukup menonjol yaitu domain Monitor (M) berubah
menjadi Monitor and Evaluate (ME), serta adanya beberapa perubahan yang terjadi pada
proses-proses yang ada. Selain itu, pada COBIT edisi sebelumnya terdapat 318 detailed
control objective namun pada COBIT 4.0 ini menjadi 215 buah.
2.12.2 Misi COBIT
COBIT mempunyai sebuah misi untuk meneliti, mengembangkan,
memperkenalkan, mempromosikan, dan mengupdate tujuan pengendalian TI yang dapat
digunakan oleh manajemen dan auditor serta dapat diterima secara internasional.
2.12.3 Manfaat COBIT
COBIT memberikan manfaat yang berarti bagi mereka yang menyadari akan
pentingnya pengendalian terhadap sistem dan informasi. Manfaat – manfaat tersebut
meliputi:
a. COBIT telah diakui secara internasional, dan disusun berdasarkan pengalaman
para ahli dari seluruh dunia;
b. Memenuhi standar ISO17799, COSO I dan COSO II serta standar internasional
lainnya;
c. Mampu menjembatani komunikasi antara divisi TI, pihak manajemen dan
auditor dengan cara memberikan pendekatan yang umum dan mudah untuk
dipahami;
d. Berorientasi pada manajemen serta mudah digunakan;
e. Mendukung pelaksanaan audit TI sehingga dapat memberikan hasil audit dan
opini yang berkualitas tinggi;
f. Merupakan pendekatan yang fleksibel dan memungkinkan untuk disesuaikan
dengan semua organisasi yang mempunyai budaya, ukuran, serta kebutuhan yang
berbeda-beda;
g. Apa yang terdapat dalam COBIT lengkap, dikembangkan terus menerus dan
dipelihara oleh organisasi non-profit terkemuka.
2.12.4 Hubungan COBIT dengan Tata Kelola TI
Salah satu keuntungan utama yang didapatkan dari COBIT adalah sudah diterima
di seluruh dunia dan di publikasikan sebagai standar terbuka yang dapat dipakai oleh
organisasi manapun demi kepentingan tata kelola TI di organisasi mereka dan tujuan-
tujuannya yang relevan (Williams, 2006, p28).
COBIT, khususnya dalam metode Maturity Model dapat membawa pengaruh
terhadap proses tata kelola TI dalam suatu organisasi karena dapat digunakan untuk
menilai dan mengetahui proses pengelolaan yang ada dalam organisasi. Dengan
mengetahui performa tersebut, diharapkan pihak manajemen dapat menyadari seberapa
baik pengelolaan yang telah dilakukan dan hal-hal yang dibutuhkan untuk memperbaiki
atau mengembangkan sistem yang ada.