Manajemen Resiko Pada Pengelolaan Data Di Bagian Pengolahan Data PT. Petrokimi Gresik

Transkripsi

1 JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) Manajemen Pada Pengelolaan Data Di Bagian Pengolahan Data PT. Petrokimi Gresik Aulia Febriyanti, Bekti Cahyo Hidayanto, S.Si., M.Kom Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya bekticahyo@is.its.ac.id Abstrak Pengelolaan data TI yang berbasis resiko menjadi bagian yang penting untuk menangani semua ancaman yang muncul dari sebuah sistem informasi. PT. Petrokimia Gresik melihat resiko sebagai faktor yang mempengaruhi kinerja perusahaan. Metode yang digunakan dalam mengelola resiko dimulai dari mengidentifikasi resiko, menilai resiko, serta membentuk strategi untuk mengelolanya melalui sumber daya yang tersedia. Hasil tugas akhir ini adalah resiko dan penilaiannya serta strategi mitigasinya. Kata Kunci Kuesioner IPD Online, Kualitas Informasi, Kepuasan Pengguna. a. apa saja yang muncul selama proses pengelolaan data di Bidang Pengembangan TI di Tekinfo? b. Dampak apa saja yang di timbulkan bagi resiko pada proses pengelolaan data yang sudah teridentifikasi di Bidang Pengembangan TI di Tekinfo? Tujuan dari adanya penelitian ini antara lain: a. Mengidentifikasi resiko dan penilaian resiko pada pengolalaan data yang dilakukan oleh regu bidang Pengembangan TI. I. PENDAHULUAN erkembangan bidang teknologi informasi pada era globalisasi Pmelaju dengan pesat sehingga teknologi informasi menjadi aset yang paling berharga. Saat ini perusahaan swasta maupun instansi pemerintah sangat bergantung dengan teknologi informasi (TI) untuk mencapai tujuan bisnisnya. TI juga digunakan untuk mendukung proses bisnis utama maupun pendukung yang ada pada perusahaan. PT. Petrokimia Gresik adalah salah satu BUMN yang memanfaatkan penggunaan teknologi informasi (TI) untuk menunjang kegiatan yang berkaitan dengan pengolahan data dan penyajian informasi. Semakin kompleksnya proses bisnis dan menuntut kecepatan serta akurasi dalam pengambilan keputusan, maka PT. Petrokimia Gresik membentuk departement yang menangani layanan yang berhubungan dengan TI yaitu Departement Teknologi Informasi (Tekinfo). Pengelolaan yang kurang baik pada teknologi informasi akan mengakibatkan kurang optimalnya proses bisnis yang bersifat kritis. Oleh karena itu, teknologi informasi harus dikelola dengan baik dengan mengacu pada standar tata kelola yang diakui internasional. Manajemen resiko merupakan salah satu elemen penting dalam bisnis perusahaan karena semakin berkembangnya zaman dapat meningkatkan kompleksitas. Penerapan manajemen risiko akan mempermudah penilaian terhadap kerugian yang akan dihadapi perusahaan yang dapat mempengaruhi pengolahan data perusahaan dan sebagai salah satu dasar penilaian dalam menetapkan strategi dan fokus pengolahan data. Adapun beberapa permasalahan yang akan diangkat dalam penelitian ini yaitu pertanyaan bersifat korelasional dan deskriptif. Berikut merupakan rumusan masalah dari penelitian yang dilakukan: II. TINJAUAN PUSTAKA A. Pengenalan Data Data menurut (Jogianto, 1991) adalah kenyataan yang menggambarkan suatu kejadian-kejadian dan kesatuan nyata. Pengolahan data (data processing) adalah manipulasi data kedalam bentuk yang lebih berarti berupa informasi, sedangkan informasi adalah hasil dari kegiatan-kegiatan pengolahan data yang memberikan bentuk yang lebih berarti dari suatu kegiatan atau peristiwa. B. Manajemen Manajemen resiko adalah proses pengukuran atau penilaian resiko serta pengembangan strategi pengelolaannya. Strategi yang dapat diambil antara lain adalah memindahkan resiko kepada pihak lain, menghindari resiko, mengurangi efek negatif resiko, dan menampung sebagian atau semua konsekuensi resiko tertentu. C. Penilaian Penilaian resiko (risk assessment) adalah proses yang digunakan untuk mengidentifikasi dan mengevaluasi resiko serta efek potensial yang terkait dengan proses bisnis. Manajemen resiko mengacu pada evaluasi sumber daya organisasi untuk mencapai tingkat keamanan tertentu. Pentingnya manajemen resiko berada dalam kemampuannya untuk memungkinkan mengidentifikasi dampak masa depan semua proyek dalam organisasi struktur resiko. Penilaian resiko melibatkan proses manajemen resiko yang diilustrasikan pada Gambar 1

2 JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) a. Mencegah resiko muncul dengan memperkecil sumber resiko b. Memperkecil kerugian jika resiko tidak bisa dicegah c. Penggolongan dari kegiatan bisnis untuk membatasi jangkauan resiko Gambar 1. Proses Manajemen D. Mitigasi Mitigasi resiko adalah proses ketiga dari manajemen resiko, melibatkan, memprioritaskan, mengevaluasi, dan implementasi resiko dari proses penilaian resiko. Gambar 2. III. METODE PENELITIAN Selanjutnya, penelitian ini dilakuka n di Tekinfo PT. Petrokimia Gresik, Pada Gambar 3 ditunjukkan mengenai langkah-langkah pengerjaannya. Gambar 2. Risk Mitigation Pada Gambar 2 Risk matigation yang ada diatas adalah acuan dalam mengurangi resiko, sebagai berikut (Hismam, 2009): 1. Menerima resiko (Retain Risk) Perusahaan memutuskan untuk melanjutkan kegiatan seperti biasa dengan persetujuan umum untuk menerima sifat resiko yang terdiri dari: a. Analisa biaya dan keuntungan b. Alokasi yang besar 2. Mengalihkan resiko (Transferring Risk) Perusahaan memutuskan untuk mengalihkan resiko dari (contoh) satu unit bisnis kepada lainnya atau dari satu area bisnis ke kelompok ketiga. Contohnya: a. Asuransi b. Menggunakan pengendalian (pembendungan, meneruskan kedepannya, dan lain-lain) 3. Menghindari resiko (Avoiding Risk) Perusahaan memutuskan untuk menghindari atau mencegah resiko dengan tidak mengerjakan proyek atau melakukan beberapa aktivitas bisnis yang mempunyai kemungkinan resiko yang besar, jika mereka melakukan itu. yang bisa dihindari adalah resiko mempunyai: a. Tujuan yang tidak sama dengan visi perusahaan b. Mempunyai kerugian keuangan, sosial dan strategi yang besar untuk organisasi c. Tidak ada peraturan perlindungan proyek d. Dampak yang melibihi batas 4. Mengendalikan resiko (Controlling Risk) Perusahaan bisa mengendalikan sumber dan mencoba untuk mengurangi resiko sebelum resiko tersebut terjadi, seperti: Gambar 3. Alur Pelaksanaan Penelitian IV. HASIL PENILITIAN DAN ANALISA DATA A. Identifikasi Pada dasarnya, identifikasi resiko dilakukan untuk mencari resiko dan kerentanan dari pelaksanaan proses yang berdampak pada bisnis, sehingga dapat diketahui pengendalian untuk mengurangi kemungkinan terjadinya resiko. Langkah dalam menentukan identifikasi resiko adalah sebagai berikut: Melakukan identifikasi ancaman (threat) terhadap sistem informasi sebagai aset instansi dan dampak bisnis terkait dengan ancaman tersebut. Melakukan identifikasi terhadap kelemahan (vulnerability) yang dapat memicu terjadinya ancaman (threat). Tabel 1 Identifikasi Aset Sumber Kategori Sumberdaya Jaringan Teknologi wireless, jaringan VPN. Infrastruktur Yang mendukung jaringan struktur seperti fasiltias Perangkat keras Komputer server dan client, printer, scanner, keyboard, mouse, switch, router, kabel LAN Perangkat lunak Sistem informasi: BP- LPSE, SMEP, SIEVAP, SIPPD, SIKAP. website 38 SKPD, server hosting. Manusia administrator, user sistem, seluruh karyawan, staf keamanan server, teknis. Data Data penting yang di perusahaan T.Petrokimia Gresik adalah data sumber daya manusia, data anggaran, data inventori, data pengadaan, data keuangan,

3 JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) Prosedur data pemesanan. penghapusan media, penyimpan data, Akses database oleh pihak yang tidak terotorisasi Tabel 1 Setelah teridentifikasi semua aset yang ada dalam katiannya dengan pengolaan data di perusahaan PT. Petrokimia Gresik, langkah selanjutnya ialah mengidentifikasi ancaman (threat) yang mengancam keberadaan pengelolaan data sebagai aset berharga perusahaan. Petir yang menyambar Tidak ada larangan bebas merokok Terjadinya hubungan arus pendek Tidak adanya alat pemadam kebakaran Kebakaran Gambar 4 Mengidentifikasi Penyebab pada Kebakaran Gambar 4 menjelaskan tentang resiko kebakaran. Munculnya kebakaran dari sumber resiko hardware, jaringan, software, manusia, infrastruktur dan data. pada kebakaran dapat menyebabkan kerusakan atau hilangnya suatu data di mana tempat kebakaran itu terjadi. Kebakaran ini disebabkan oleh terjadinya hubungan arus pendek, tidak adanya alat pemadam kebakaran, tidak ada larangan bebas merokok, petir yang menyambar. Penyalahgunaan hak akses Kinerja personil rendah Kesalahan entry data Kerusakan data dalam Personil yang media penyimpanan tidak terampil Ketergantungan pada personil tertentu Human eror Gambar 5 Mengidentifikasi Penyebab pada Human Eror Gambar 5 menjelaskan tentang resiko human eror. Munculnya human eror dari sumber resiko manusia, data dan software. pada human eror dapat menyebabkan kesalahan input atau pengolahan data yang tidak sesuai. Human eror ini disebabkan oleh kesalahan entry data, personil yang tidak terampil, penyalahgunaan hak ases, ketergantungan pada personil tertentu, kinerja personil rendah, kerusakan data dalam media penyimpanan. Lemahnya sistem proteksi Terjadi perubahan data akibat virus Kehilangan data akibat virus Kegagalan operasi sofware Virus Gambar 6 Mengidentifikasi Penyebab pada Virus Gambar 6 menjelaskan tentang resiko virus. Munculnya virus dari sumber resiko software, jaringan, dan data. pada virus dapat menyebabkan kerusakan dan hilangnya data, sistem mencari eror. Virus ini disebabkan oleh data yang ada di proses data akan kehilangan akibat virus. Tidak ada sistem perlindungan yang diaktifkan seperti IDS, firewall, antivirus, internet filtering, anti spam Kehilangan dokumen sumber Gambar 7 Mengidentifikasi Penyebab pada Hacking Hacking Gambar 7 menjelaskan tentang hacking. Muncunlnya hacking dari sumber resiko software, jaringan, dan data. pada hacking dapat menyebabkan hilang atau bocornya data perusahaan ke tangan orang yang tidak berhak mengetahui data perusahaan tersebut. Hacking ini disebabkan oleh akses database oleh pihak yang tidak terotorisasi, tidak ada sistem perlindungan yang diaktifkan. Data 100% tidak berhasil di back up Restore data 100% tidak berhasil Kehilangan sebagian data yang tidak berhasil di back up dan restore Gambar 8 Mengidentifikasi Penyebab pada kehilangan sebagian data yang tidak berhasil di back up dan restore Gambar 8 menjelaskan tentang kehilangan sebagian data yang tidak berhasil di back up dan restore dapat menyebabkan data 100% tidak berhasil di back up, restore data 100% tidak berhasil. Data yang tidak berhasil di back up dan restore ini disebabkan oleh terkena virus dan orang yang tidak kurang hati-hati menjalani tugas. Tidak menerapkan mekanisme fail-safe-design pada sistem informasi Tidak ada pencatatan log pada source code program Tidak mekanisme perlindungan algoritma pada saat debugging Debugging dan Reverse Enggineering Gambar 9 Mengidentifikasi Penyebab pada debugging dan reverse enggineering Gambar 9 menjelaskan tentang debugging dan reverse enggineering. Munculnya debugging dan reverse enggineering dari sumber resiko data dan software. Dapat menyebabkan tidak ada pencatatan log pada source code program, Tidak mekanisme perlindungan algoritma pada saat debugging, Tidak menerapkan mekanisme fail-safe-design pada sistem informasi, proses bisnis terhenti. Debugging dan Reverse Enggineering ini disebabkan oleh perubahan struktur sistem informasi. B. Penilaian Pada tahap ini dilakukan penilaian resiko dan mengetahui tingkat resiko dan dampak yang ditimbulkan hal tersebut akan berpengaruh besar terhadap pengolahan data Teknologi Informasi. Pada penilaian resiko ini nantinya akan mempresentasikan hasil resiko yang didapatkan menjadi tiga kategori utaman, yaitu high, low, atau medium.

4 JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) Gambar10. Rumus Penilaian 1) Dampak Analisa dampak merupakan langkah untuk menentukan besaran dari resiko yang memberi dampak terhadap sistem secara keseluruhan. Tabel 2 Dampak Nilai Dampak 1 Rendah 2-3 Sedang 4-5 Tabel 2 menjelaskan nilai level dampak, sedangkan Tabel 3 mendefinisikan level dari dampak. Tabel 3 Definisi Dampak Definisi Tidak memiliki pengaruh, sehingga aktivitas Rendah terlaksana. Pengaruh kecil, terhadap kelangsungan aktivitas. Sedang Sehingga aktivitas masih terlaksana Pengaruh sangat besar, sehingga aktivitasnya tidak terlaksana. 2) Probabilitas Probabilitas adalah terkait penyebab resiko ( kondisi dari unsur / komponen / obyek dalam pelaksanaan aktivitas). Probabilitas bahwa ancaman yang disebabkan oleh ancaman yang akan terjadi terhadap kerentanan. Tabel 4 Probabilitas Nilai probabilitas 1 Tidak Terjadi (< 20%) 2-3 Jarang (20%-80%) 4-5 Terjadi (> 80%) Tabel 4 ini adalah nilai level probabilitas, disebabkan oleh ancaman yang akan terjadi terhadap kerentanan. Sedangkan Tabel 5 mendefinisikan level probabilitas yaitu tidak terjadi, jarang, dan sering terjadi. Tabel 5 Definisi probabilitas Definisi Kondisi dari sumber resiko tersebut sudah Tidak Terjadi baik sehingga resiko tersebut kecil kemungkinan atau tidak terjadi. ( < 20% ) Jarang Sering Terjadi Kondisi dari sumber resiko tersebut tidak terlalu buruk sehingga kemungkinan terjadinya resiko tersebut. (20%-80%) Kondisi dari sumber resiko tersebut sudah buruk sehingga resiko tersebut pasti terjadi. (>80%) Tabel 6 Nilai Nilai resiko 1-3 Rendah 4-8 Sedang 9-14 Gambar 6 menjelaskan penilaian resiko, dengan peringkat atas, Sedang, dan Rendah. Tabel 7 mendefinisikan nilai dari resiko dan untuk mengetahui setiap level. Tabel 7 Definisi Penilaian Risk deskripsi dan tindakan yang diperlukan Jika observasi digambarkan sebagai resiko rendah, menentukan apakah tindakan perbaikan Rendah masih diperlukan atau memutuskan untuk menerima resiko. Jika observasi dinilai sebagai resiko sedang, tindakan perbaikan yang dibutuhkan dan rencana harus dikembangkan untuk Sedang memasukkan tindakan dalam jangka waktu yang wajar. Jika pengamatan atau temuan dievaluasi sebagai resiko tinggi, ada kuat perlu untuk langkahlangkah korektif. Sebuah sistem yang ada dapat terus beroperasi, tapi rencana tindakan perbaikan harus diletakkan di tempat sesegera mungkin. Dengan demikian Tabel 8 menjelaskan penilaian resiko terhadap pengolahan data yang ada di Tekinfo. Tabel 8 Penilaian Kebakaran Probabilitas kejadian 1 Dampak kejadian 5 Nilai resiko 5 Kategori resiko: SEDANG Human eror Probabilitas kejadian 2 Dampak kejadian 3 Nilai resiko 6 Kategori resiko: SEDANG Hacking Probabilitas kejadian 3 Virus Probabilitas kejadian 3 Remote control Probabilitas kejadian 3 Kehilangan sebagian data yang tidak berhasil di back up dan restore Probabilitas kejadian 3 Debugging dan Probabilitas kejadian 2 reverse engineering Dampak kejadian 5 Nilai resiko 10 Dari hasil penilaian resiko diatas adalah resiko tersebut ada karena pada umumnya terdapat kelemahan dalam hal dokumentasi, kurangnya dokumentasi tertulis pada setiap aktifitas, sehingga menimbulkan data atau informasi, kurang tersalurkan dengan baik.

5 JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) C. Mitigasi Penanganan resiko yang akan diimplementasikan di perusahaan harus mempertimbangkan ketersediaan sumber daya yang ada, sehingga penerapan teknik mitigasi resiko yang dapat berjalan secara efektif, efisien dan optimal. Tabel 9 Stategi Mitigasi Kebakaran Membuat disaster recovery plan. Membangun Data Center Disaster Recovery Center yang kuat dan tahan terhadap bencana alam. Melakukan backup dan restorasi data. Virus Mengelompokkan data berdasarkan kegunaannya secara jelas lalu membuat backupnya. Menggunakan antivirus yang berlisensi. Membuat file log yang mencakup history dari sebuah data. Human eror Mengaktifkan password pada setiap aktivitas yang membutuhkan kerahasiaan, sehingga kemungkinan terjadinya pencurian data lebih kecil. Mengaktifkan firewall. Menggunakan program utilitas untuk perlindungan software seperti intrusion detection system. Remote control Mengaktifkan password pada setiap aktivitas yang membutuhkan kerahasiaan, sehingga kemungkinan terjadinya pencurian data lebih kecil. Kehilangan sebagian data yang tidak berhasil di back up dan restore Melakukan back up ulang. Mengganti media penyimpan data dan melakukan back up ulang secara manual. Debugging dan reverse engineering Melakukan pelatihan kepada pegawai. Membuat pembatasan hak akses sesuai dengan tingkat kepentingannya. Melalukan pengawasan secara internal terhadap apa yang dikerjakan. Hacking Menggunakan teknik enkripsi dan dekripsi yang kuat selama kode dieksekusi pada saat fungsi sistem informasi dijalankan. Mengatur kode sehingga tidak mudah dilakukan debugging oleh pihak yang tidak berhak. Menerapkan mekanisme fail-safe-design pada pembuatan kode. Mekanisme pencatatan log setiap pengembang harus diberlakukan. Mendefinisikan data sensitif yang harus diamankan. Tabel 9 menjelaskan tentang hasil dari manejemen resiko yang telah dianalisa. Data yang sudah teridentifikasi resiko, penilaian resiko dari hasil identifikasi resiko tersebut, dan mengevaluasi sumber dan penyebabnya, serta membentuk strategi dengan menangani resiko dan melakukan perbaikan Tabel 9 Hasil Sumber Dampak Penilaian Strategi MItigasi Kebakaran Hardware, jaringan, manusia, infrastruktur, dan data Terjadinya hubungan arus pendek Tidak adanya alat pemadam kebakaran Tidak ada larangan bebas merokok Petir yang menyambar Sedang Membuat disaster recovery plan. Membangun Data Center Disaster Recovery Center yang kuat dan tahan terhadap bencana alam. Melakukan backup dan restorasi data. Human eror Virus Manusia, data, dan sofware Sofware, jaringan, dan data Kesalahan entry data Personil yang tidak terampil Ketergantungan pada personil tertentu Penyalahgunaan hak akses Kinerja personil rendah Kerusakan data dalam media penyimpanan Kegagalan operasi sofware Kehilangan data akibat virus Terjadi perubahan data akibat virus Lemahnya sistem protektif Sedang Melakukan pelatihan kepada pegawai. Membuat pembatasan hak akses sesuai dengan tingkat kepentingannya. Melakukan pengawasan secara internal terhadap apa yang dikerjakan. Mengelompokkan data berdasarkan kegunaannya secara jelas lalu membuat backupnya. Menggunakan antivirus yang berlisensi. Membuat file log yang mencakup history dari sebuah data. Hacking Sofware, jaringan, Akses database oleh pihak yang tidak Mengatifkan password pada setiap

6 JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) Remote control Kehilangan sebagian data yang tidak berhasil di back up dan restore dan data Sofware, jaringan, dan data terotorisasi Kehilangan dokumen sumber Tidak ada sistem perlindungan yang diaktifkan seperti IDS, firewall, antivirus, internet filtering, anti spam Akses database oleh pihak yang tidak terotorisasi Kehilangan data apabila password diketahui orang lain Restore data 100% tidak berhasil Data 100% tidak berhasil di back up Tinngi aktivitas yang membutuhkan kerahasiaan, sehingga kemungkinan terjadinya pencurian data lebih kecil. Mengatifkan firewall. Menggunakan program utilitas untuk perlindungan software seperti intrusion detection system. Mengaktifkan password pada setiap aktivitas yang membutuhkan kerahasiaan, sehingga kemungkinan terjadinya pencurian data lebih kecil. Melakukan back up ulang. Mengganti media penyimpan data dan melakukan back up ulang secara manual. Debugging dan Reverse Enggineering Data dan software Tidak ada pencatatan log pada source code program. Tidak mekanisme perlindungan algoritma pada saat debugging. Tidak menerapkan mekanisme fail-safedesign pada sistem informasi Sedang Menggunakan teknik enkripsi dan dekripsi yang kuat selama kode dieksekusi pada saat fungsi sistem informasi dijalankan. Mengatur kode sehingga tidak mudah dilakukan debugging oleh pihak yang tidak berhak. Menerapkan mekanisme fail-safedesign pada pembuatan kode. Mekanisme pencatatan log setiap pengembang harus diberlakukan. Mendefinisikan data sensitif yang harus diamankan V. PENUTUP A. Kesimpulan Berdasarkan pengamatan yang telah dilakukan dalam penelitian ini, maka dapat disimpulkan bahwa pada proses pengolahan data dihasilkan resiko resiko yang sudah teridentifikasi. Mengidentifikasi resiko dan penilaian resiko pada pengolalaan data yang dilakukan oleh Tekinfo. Risiko yang ada dalam proses pengelolaan keamanan sistem informasi sebagai berikut: kebakaran, virus, human eror, hacking, Kehilangan sebagian data yang tidak berhasil di back up dan restore,debugging dan reverse engineering. Sehingga diperoleh informasi berupa identifikasi ancaman yang berpotensial untuk menciptakan resiko bagi TI beserta dampak yang akan dihasilkan, dan mitigasi dengan menangani resiko. B. Saran Saran yang dapat dipertimbangkan untuk pengembangan penelitian selanjutnya adalah perlu adanya prosedur kontrol keamanan terdokumentasi di Tekinfo PT. Petrokimia Gresik yang dapat dijadikan acuan dalam menangani setiap masalah yang terkait dengan pengolahan data, sehingga mempermudah dalam mencari solusi jika terlibat permasalahan keamanan, mempermudah pemantauan terhadap aktivitas pengelolaan data. VI. DAFTAR PUSTAKA Biro Diklat Internal Document. Petrokimia Gresik Jogianto, H M. (1991). analisa dan desain sistem informasi. yogyakarta: andi offset. AIRMIC, ALARM, IRM: A Risk Management Standard NIST Special Publication Risk Management Guide for Information Technology Systems. July 2002 Carnaghan, C. (2005, October 28). Business process modeling approaches in the context of process level audit risk assessment. Wikipedia Januari. Risk Management < Elky Steve May. An Introduction to Information System Risk Management < uction-information-system-risk-management_1204> Hisham, M. Haddad, Brunil, D. Romero. (2009). Asset Identification for SecurTIy Risk Assesment in Web Application. International Journal Of Software Engineering, IJSE, II.