ANALISIS DAN REKOMENDASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA PEMERINTAH DAERAH

Transkripsi

1 ANALISIS DAN REKOMENDASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA PEMERINTAH DAERAH Risnandar Balai Besar Pengembangan Teknologi Tepat Guna-LIPI Politeknik Telkom Bandung ABSTRAK Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) merupakan dokumen yang menggambarkan visi dan misi pembangunan teknologi informasi di suatu Pemerintah Daerah. Strategi yang mendukung visi dan misi tersebut serta prinsip-prinsip utama yang menjadi acuan dalam penggunaan teknologi informasi merupakan ssalah satu referensi kebijakan untuk memenuhi kebutuhan layanan kepada masyarakat dan mendukung rencana strategis jangka panjang Pemerintah Daerah. Sebelum menyusun Rencana Strategis Teknologi Informasi di Pemerintah Daerah, hendaknya menganalisis dokumen Government Plan, standar dan regulasi teknologi informasi yang masih berlaku, trend teknologi, dan hasil asesmen terhadap current IT environment. Sebagian besar manajemen teknologi informasi yang ada di Pemerintah daerah masih jarang yang mengimplementasikan manajemen risiko teknologi informasi sebagai bagian yang cukup penting dalam mengurangi dampak negatif dari threat and vulnerability (ancaman dan kelemahan), baik skala high (tinggi), medium (menengah), maupun low (rendah) yang dapat menghambat proses bisnis layanan teknologi informasi terhadap masyarakat yang ada di daerah. Padahal risiko yang akan dialami bisa membahayakan data confidently (kerahasiaan), integrity (integritas), availability (ketersediaan), dan autentification (otentifikasi) yang nilai asetnya cukup besar. Oleh karena itu, dalam tulisan ini akan diusulkan rekomendasi untuk melakukan asesmen terhadap manajemen risiko teknologi informasi di Pemerintah Daerah. Kata kunci: Rencana Strategis, Pemerintah Daerah, Manajemen, Rekomendasi PENDAHULUAN Setiap Pemerintah Daerah memiliki tujuan, dalam era digital ini otomasi sistem informasi dan teknologi informasi digunakan sebagai dukungan untuk mencapai tujuan tersebut. Manajemen risiko memegang peranan penting sebagai tindakan perlindungan bagi aset informasi dan seluruh hal yang berkaitan dengan teknologi informasi [1]. merupakan dampak negatif yang diakibatkan oleh kelemahan (vulnerability) [2]. Sedangkan manajemen risiko merupakan proses identifikasi risiko, mengkaji risiko, dan membuat tindakan untuk mengurangi risiko pada batasan yang dapat diterima [2]. Ada pun manfaat dari manajemen risiko teknologi informasi ini berupa pengamanan yang baik terhadap aset teknologi informasi yang berfungsi sebagai penyiman, pengolah, dan penyebar informasi bagi Pemerintah Daerah. Pemerintah Daerah juga perlu memiliki fungsi penerapan manajemen risiko penggunaan TI dalam organisasi Pemerintah Daerah yang melibatkan pihak-pihak terkait risiko dan yang memantau risiko serta yang melakukan testing dan verifikasi. Pemerintah Daerah perlu menerapkan kebijakan bahwa identifikasi, pengukuran, dan pemantauan risiko setiap aktivitas secara periodik

2 dilakukan oleh Satuan Kerja Manajemen yang bekerja sama dengan satuan kerja penyelenggara TI dan satuan kerja pengguna TI [3]. Selain itu, untuk fungsi tertentu seperti fungsi pengamanan informasi, pelaksanaan pengelolaan risiko tetap merupakan tanggung jawab dari tim kerja atau petugas yang melaksanakan fungsi-fungsi tersebut. Oleh karena itu, birokrasi yang ada di Pemerintah Daerah wajib memastikan pemantauan yang memadai dan pelaporan mengenai aktivitas terkait TI dan risikonya. Agar proses pemantauan dan pelaporan berfungsi optimal, maka audit internal maupun eksternal harus dapat melaksanakan fungsi testing dan verifikasi dalam setiap pemeriksaan TI [4]. Untuk dapat menerapkan manajemen risiko pengamanan informasi secara optimal, Pemerintah Daerah juga perlu memiliki fungsi yang melaksanakan prosedur pengamanan informasi sehari-hari bagi pengelola program pengamanan informasi dan pemantauan pengamanan aset Pemerintah Daerah secara keseluruhan. METODA Metoda penelitian dalam tulisan ini menggunakan metoda kualitatif dan kuantitatif. Metoda kualitatif digunakan untuk menyusun roadmap asesmen manajemen risiko teknologi informasi [4]. Sedangkan metoda kuantitatif digunakan untuk menentukan besarnya kerugian yang diakibatkan dari dampak risiko teknologi informasi. Berikut ini kerangka penyusunan roadmap manajemen risiko teknologi informasi. Identifikasi Sistem Teknologi Informasi Berikut salah satu tahapan untuk mengidentifikasi sistem teknologi infomasi yang ada di Pemerintah Daerah. Tabel 1 Identifikasi Sistem Teknologi Informasi Definisi Sistem Teknologi Informasi Pemda XXX I. Identifikasi Sistem Teknologi Informasi dan Stakeholder Kode Sistem TI Kode-XXX Nama Sistem Teknologi Informasi XXX Satuan Kerja Alamat Tugas Pokok dan Fungsi Pengelola Sistem TI dan No. Telp. Pengelola Data dan No. Telp. Informasi Lain Ruang Lingkup Sistem TI XXX Jl. XXX Tugas Pokok : XXX Fungsi : XXX Nama Pengelola (No. Telp) Nama Pengelola Data (No. Telp) XXXXX Administrator No. Telp. Pusat Data No. Telp. II. Ruang Lingkup dan Komponen Sistem Teknologi Informasi XXXXX Nama Administrator (No. Telp) Satuan Kerja Pusat Data (No. Telp) C-17-2

3 Identifikasi Proses identifikasi dimulai dengan pemahaman yang komprehensif terhadap proses operasional teknologi informasi di Pemerintah Daerah, demi mendukung tujuan organisasi untuk mengidentifikasi risiko yang dihadapi. Identifikasi Kelemahan (Vulnerabilities) Kelemahan adalah kelemahan prosedur sistem keamanan, rancangan, implementasi, atau pengendalian yang perlu diuji. a. Letak kelemahan: 1) Konfigurasi Hardware Servers, Workstations, Routers, Switches, Firewalls 2) Aplikasi Software Bagaimana diinstal, dimana diinstal, hak akses yang diberikan 3) Kebijakan dan prosedur TI Seberapa lengkap, seberapa up-to-date, seberapa diketahui 4) Manusia Berapa banyak prosedur yang tidak diikuti, staf yang tidak dilatih b. Solusi mengatasi kelemahan sistem: 1) Konfigurasi Hardware Analisis risiko sistem secara lengkap untuk setiap komponen dalam jaringan, dan membuat suatu uji penetrasi 2) Aplikasi Software Analisis risiko yang menyeluruh terhadap hal-hal yang kritis untuk setiap aplikasi 3) Kebijakan dan Prosedur TI Melakukan analisis yang menyeluruh terhadap kualitas kebijakan dan prosedur keamanan informasi setiap tahun 4) Manusia Review log files, catatan pelatihan, dan laporan kejadian Berikut contoh tahapan pada bagian identifikasi kelemahan sistem teknologi informasi. Tabel 2 Identifikasi Kelemahan Sistem Teknologi Informasi No. 1 2 Kelemahan (Vulnerability) Konfigurasi Hardware Kelemahan pada Servers : 1) Adanya kebocoran informasi dari header HTTP. 2) Adanya pengiriman informasi yang keliru ke browser. 3) Pembuatan script yang tidak tepat. Kelemahan pada Workstations: Tidak ada: Pembatasan hak akses, Identifikasi password, Pembatasan waktu pemakaian sistem, Otomatik logout, Backup periodik, Sistem isyarat dini (early warning system), Fasilitas pembatalan (cancel) dan penetralan (undo), Replikasi dan distribusi data, Penyandian data (data encryption), Perbaikan dan pengecekan periodik, Resolusi konflik, Penyamaran data (data aliases), Toleransi kesalahan (fault tolerant ), Pemulihan data, Pemantauan aktivitas pengguna (user), Pengecekan kesalahan (error checking) Kelemahan pada Routers dan Switches: Salah setup pada konfigurasi Routers dan Switches Kelemahan pada Firewalls: Tidak menerapkan aturan-aturan firewall yang ketat Software Aplikasi Kelemahan pada Software Aplikasi: Konflik antar software aplikasi C-17-3

4 No. 3 4 Kelemahan (Vulnerability) Kelemahan pada Kebijakan dan Prosedur IS 1) Tidak ada kebijakan-kebijakan mengenai aturan perizinan atau penolakan akses ke suatu alamat pada mekanisme ini perlu didefinisikan dengan jelas. 2) Tidak ada kebijakan dengan mendefinisikan aliran trafik mana yang diizinkan, ditolak, dan didrop paketnya. 3) Tidak menerapkan kebijakan dengan mengembangkan desain teknis yang mendukung keamanan (baca: policy vs. design). 4) Tidak menerapkan sistem bonus dengan hukuman penalti ( baca: reward vs. punishment) terhadap seluruh staf dan karyawan yang berperan sebagai pengguna sistem. Kelemahan pada Manusia 1) Sifat dan karakteristik manusia sangat dipengaruhi oleh keadaan lingkungan di sekitarnya. 2) Keterbatasan Sumberdaya Manusia (SDM) aparatur pemerintah dalam penguasaan teknologi informasi dan komunikasi Identifikasi Ancaman (Threats) Ancaman ( threat) adalah potensi dari sumber ancaman untuk melakukan serangkaian pengujian terhadap kelemahan yang dimiliki baik sebagian atau seluruhnya. Sumber ancaman ( threat source) adalah suatu keadaan atau kejadian dengan potensi dapat menyebabkan kegagalan atau kerusakan sistem IT. a. Dua Jenis Sumber Ancaman: 1) Suatu rencana dan metoda yang menjadikan target kelemahan sistem untuk dieksploitasi 2) Suatu situasi dan metoda yang mungkin secara tidak sengaja (accident) dapat memicu eksploitasi kelemahan. b. Jenis Sumber ancaman 1) Ancaman Kejadian Alam (Natural Threats) Banjir, gempa bumi, angin puting beliung, petir, longsor, dll. 2) Ancaman Manusia (Human Threats) Suatu kejadian yang disebabkan oleh perilaku manusia, meliputi input data yg tidak diperbolehkan ( inadvertent data entry) dan akses yang tidak berhak (unauthorized access) 3) Ancaman Lingkungan (Environmental Threats) kegagalan aliran listrik dalam jangka waktu lama, polusi, kimia, dan cairan berbahaya. c. Identifikasi sumber ancaman 1) Manusia adalah sumber ancaman yang paling berbahaya 2) Untuk setiap sumber ancaman dari manusia, perkirakan motivasi, sumber daya dan kemampuan yang mungkin dapat menyebabkan keberhasilan serangan. Berikut contoh tahapan pada bagian identifikasi ancaman sistem teknologi informasi. No. Tabel 3 Identifikasi Ancaman Sistem Teknologi Informasi Ancaman (Threat) 1 Integritas (Integrity) : Modifikasi data user, Browser Trojan horse, Modifikasi melalui memori, Modifikasi trafik pesan dalam transit Kerahasiaan (Confidentiality) : Pencurian info dari server, Pencurian data dari client, 2 Informasi konfigurasi jaringan, Info tentang klien yang mana yang koneksi dengan server C-17-4

5 No. Ancaman (Threat) Penolakan Layanan (Denial of Service) : Mematikan proses user, Memadati mesin 3 dengan berlimpah users requests, Memadati disk dan memori, Mengisolasi mesin dengan serangan DNS 4 Otentifikasi (Authentication) : Peniruan user yang legal, Pemalsuan data Identifikasi Berikut contoh tahapan pada bagian identifikasi risiko teknologi informasi. No. No. Kelemahan (Vulnerability) Tabel 4 Identifikasi Teknologi Informasi No. Ancaman (Threat) Analisis Pengendalian (Control Analysis) Membahayakan kerahasiaan (Confidentiality) & integritas data Membahayakan kerahasiaan (Confidentiality) & integritas data Membahayakan kerahasiaan (Confidentiality) & integritas data Membahayakan kerahasiaan (Confidentiality) & integritas data Keterangan Kehilangan informasi Kompromi melalui mesin dan memori Kerentanan terhadap ancaman lain melalui trafik Kehilangan informasi Kehilangan privatisasi Mengganggu Meresahkan Menghambat user untuk penyelesaian kerja Misrepresentasi dari user Memandang valid info yang salah Pada tahapan ini akan dijelaskan mengenai analisis pengendalian terhadap sistem teknologi informasi yang sedang berjalan maupun yang sedang direncanakan. Berikut tahapan pada bagian analisis pengendalian teknologi informasi. 1. Manajemen : Peran & Tanggung Jawab Keamanan TI, Analisa Dampak Bisnis, Sistem TI & Klasifikasi Sensitivitas Data, Definisi dan Inventarisasi Sistem TI, Risk Assessment, dan Audit Keamanan TI. 2. Perencanaan Ketidaktentuan TI: Kelanjutan Operasional & Perencanaan, Perencanaan terhadap Pemulihan Bencana TI, dan Sistem TI & Data Backup & Penyimpanan. 3. Keamanan Sistem TI: Pembekuan Sistem TI, Keamanan Interoperabilitas Sistem TI, Proteksi terhadap Kode Kejahatan, dan Keamanan Daur Hidup Pengembangan Sistem TI. 4. Pengendalian Akses: Manajemen User Account, Manajemen Password, dan Akses Jarak Jauh. 5. Proteksi Data: Proteksi Media Penyimpanan Data dan Enkripsi 6. Keamanan Fasilitas: Keamanan Fasilitas 7. Keamanan Individu: Penentuan dan Pengendalian Akses, Kesadaran dan Pelatihan Keamanan TI, dan Penggunaan yang Bisa Diterima. C-17-5

6 8. Manajemen Ancaman: Deteksi Ancaman, Penanggulangan Insiden, dan Pelaporan & Monitoring Keamanan TI 9. Manajemen Aset TI: Pengendalian Aset TI, Manajemen Lisensi Software, dan Konfigurasi Manajemen dan Perubahan Pengendalian Kemungkinan (Risk Likelihood) Pada tahapan ini akan ditentukan skala kemungkinan risiko yang akan terjadi berdasarkan hasil identifikasi terhadap ancaman dan sistem pengendali. Sistem Pengendali Tabel 5 Level Kemungkinan Ancaman (Threat) Low Medium Low Medium Medium Low Medium Low Low Medium Berikut contoh penentuan kemungkinan risiko pada sistem teknologi informasi. No (R1) : yang mengganggu Integritas bisa membahayakan kerahasiaan ( Confidentiality) & integritas data sensitif. Dengan modifikasi data user akan mengakibatkan kehilangan informasi, kompromi dengan mesin komputer dan memori dapat berjalan, dan kerentanan terhadap ancaman lain mealui trafik (R2) : yang mengganggu kerahasiahan bisa membahayakan kerahasiaan (Confidentiality) & integritas data sensitif. Dengan adanya pencurian data dari client akan memimbulkan kehilangan informasi dan kehilangan privatisasi (R3) : pada Penolakan terhadap Layanan bisa membahayakan kerahasiaan (Confidentiality) & integritas data sensitif. Dengan mematikan proses user, maka user akan tergganggu, resah, dan terhambat untuk penyelesaian kerja Tabel 6 Kemungkinan Kemungkinan (Risk Likelihood) (K1) : Efektivitas pengendali dinilai medium, sementara sumber ancaman dinilai tinggi (high), karena dengan adanya modifikasi data user akan kehilangan informasi yang sangat penting. (K2) : Efektivitas pengendali dinilai rendah (low), sementara sumber ancaman dinilai tinggi ( high), karena dengan adanya modifikasi data user akan kehilangan informasi yang sangat penting (K3) : Efektivitas pengendali dinilai rendah (low), sementara sumber ancaman dinilai tinggi ( high), karena sumber ancaman sulit dicegah. Kemungkinan C-17-6

7 No. 4 (R4) : yang mengganggu Otentifikasi bisa membahayakan kerahasiaan (Confidentiality) & integritas data sensitif. Dengan peniruan data user yang legal dan pemalsuan data, maka akan menimbulkan misrepresentasi dari user dan memandang valid info yang salah Kemungkinan (Risk Likelihood) (K4) : Efektivitas pengendali dinilai medium, sementara sumber ancaman dinilai tinggi (high), karena pemalsuan data user yang legal membahayakan bagi user sendiri. Kemungkinan Analisis Dampak Pada tahapan ini akan ditentukan analisis dampak risiko yang akan terjadi berdasarkan hasil analisis kemungkinan risiko. Level Dampak Medium Low Tabel 7 Level Dampak Definisi Dampak Dampak risiko: (1) dapat mengakibatkan kematian manusia atau luka -luka serius; (2) dapat mengakibatkan tingkat kerugian harta utama yang berwujud, sumber atau data sensitif; atau (3) dapat secara signifikan merugikan, atau menghalangi misi, reputasi atau minat. Dampak risiko: (1) dapat mengakibatkan luka -luka pada manusia; (2) dapat mengakibatkan besarnya tingkat kerugian harta berwujud atau sumber daya; atau (3) dapat mengganggu, merusak, atau menghalangi misi, reputasi atau minat. Dampak risiko: (1) dapat mengakibatkan tingkat kerugian beberapa aset nyata ( tangible) atau sumber daya atau (2) dapat mempengaruhi misi, reputasi atau minat. Berikut contoh penentuan kemungkinan risiko pada sistem teknologi informasi. Tabel 8 Dampak Penilaian Pada tahapan ini akan ditentukan skala risiko yang akan terjadi pada sistem teknologi informasi berdasarkan skala kemungkinan risiko. C-17-7

8 Tabel 9 Level Dampak Skala : Low (1 sampai 10); Medium (>10 dan < 50); (>50 sampai 100) Berikut contoh penentuan skala risiko pada sistem teknologi informasi. No. Tabel 10 Penilaian Kemungkinan (Risk Likelihood) Dampak Nilai 1 (R1) 2 (R2) 3 (R3) 4 (R4) HASIL DAN DISKUSI Berdasarkan hasil analisa dan verifikasi, maka tahapan berikutnya adalah rekomendasi yang berupa dokumentasi roadmap manajemen risiko teknologi informasi yang sudah dijelaskan pada tahapan metoda. Sedangkan hasil yang akan dikeluarkan berupa hasil dari analisis kuantitatif yang menyangkut besarnya perbandingan biaya investasi, manfaat, dan dampak yang ditimbulkan dari risiko teknologi informasi. Berikut perhitungan biaya investasi dan dampak yang ditimbulkan. Single Lost Expextancy (SLE) : SLE = AV x EF (Rp / Kejadian).. [1] Annualize Lost Expectancy (ALE) : ALE = SLE x ARO (Rp / Tahun) [2] Keterangan: Asset Value (AV) adalah besarnya biaya investasi terhadap aset (satuan Rupiah). Exposure Factor (EF) adalah persentase kerugian setiap ada kejadian (%/kejadian) Annualize Rate of Occurance (ARO) adalah persentase kerugian setiap tahun (%/Tahun) KESIMPULAN Berdasarkan hasil verifikasi dan validasi, maka penggunaan roadmap manajemen risiko teknologi informasi pada Pemerintah Daerah memiliki peranan yang cukup penting terhadap arah kebijakan pengembangan teknologi informasi untuk melayani kebutuhan masyarakat yang ada di daerah, terutama untuk menuju Good Governance. Manajemen risiko teknologi informasi juga berperan dalam menentukan besarnya biaya investasi dan manfaat yang akan diterima oleh stakeholder yang ada di Pemerintah Daerah. Selain itu, dapat menentukan Rencana Strategis Teknologi Informasi Pemerintah Daerah setiap periode tertentu. C-17-8

9 DAFTAR PUSTAKA Depkominfo, "Blue Print Sistem Aplikasi E-Government", Departemen Komunikasi dan Informatika Republik Indonesia, Jakarta, 2004 [3] Pemerintah Kota Sukabumi, "Rencana Strategis Teknologi Informasi Pemda Kota Sukabumi ", Pemerintah Kota Sukabumi, 2008 [1] Rahardjo, Edhy, Dinesh Mirchandani, dan Kailash Joshi, "E-government functionality and website features: A case study of Indonesia", Journal of Global Information Technology Management Vol.10, no. 1, hal , 2007 [2] Virginia Information Technologies Agency, "Information Technology Resource Management: Information Technology Risk Management Guideline", University of Virginia, 2006 [4] C-17-9