PEMILIHAN KONTROL TI BERDASARKAN PENDEKATAN RISIKO DAN EXPECTED MONETARY VALUES

Transkripsi

1 PEMILIHAN KONTROL TI BERDASARKAN PENDEKATAN RISIKO DAN EXPECTED MONETARY VALUES Supriyono 1, *) dan Daniel O. Siahaan 2) 1) Jurusan Teknik Informatika, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Surabaya 2) Jurusan Teknik Informatika, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Surabaya ABSTRAK Analisa risiko merupakan bagian terpenting dari kegiatan proses manajemen risiko. Proses tersebut terdiri dari keseluruhan proses dari kegiatan menganalisa risiko dan mengevaluasi risiko. Evaluasi risiko merupakan suatu proses yang digunakan untuk menentukan prioritas yang diberikan oleh manajemen risiko dengan cara membandingkan tingkatan suatu risiko dengan standar yang digunakan, target ataupun kriteria lainnya yang ditentukan sebelumnya oleh pihak manajemen. Pada proses evaluasi risiko terdapat beberapa keterkaitan dengan beberapa kebutuhan dari berbagai macam pengguna, bisnis dan penyedia layanan teknologi informasi, seperti service availability, maintainability, capacity, quality, reliability, survivability. Terdapat beberapa kontrol Teknologi Informasi (TI) yang dapat digunakan pada perusahaan, tetapi semuanya tidak harus digunakan. Dalam penelitian ini, mengusulkan kerangka kerja dalam pemilihan kontrol TI berdasarkan pendekatan risiko dengan menentukan Expected Monetary Value (EMV) sesuai dengan standard yang ada dan tidak berkaitan dengan kerangka kerja tertentu.uji coba yang dilakukan dengan menggunakan beberapa kontrol TI dan risiko yang sudah diidentifikasi pada suatu perusahaan. Setelah itu menentukan Expected Monetary Value dan pemeringkatan kontrol TI dengan menggunakan metode Cumulative Voting. Optimalisasi kontrol TI menggunakan algoritma genetik. Pada kasus pemilihan kontrol TI didapat nilai probabilitas perkawinan silang yang sesuai digunakan adalah 0.6. Pada probabilitas 0.6 didapatkan nilai fitness tertingggi Kata kunci: Expected Monetary Value, kontrol TI, risiko, Cumulative Voting PENDAHULUAN Teknologi Informasi merupakan perihal yang sangat penting bagi perusahaan atau organisasi. Teknologi Informasi tersebut dapat digunakan dalam pengambilan suatu keputusan. Semakin berkembangnya Teknologi Informasi, semakin terdapat berbagai macam jenis risiko pada saat pengambilan keputusan. Menurut (Boehm,1991) mengidentifikasi dan menghadapi risiko adalah awal dari pengembangan serta membantu mencegah kerusakan sistem perangkat lunak. Penilaian risiko merupakan langkah awal yang penting dalam upaya pengembangan di bidang manajemen risiko. Risiko didefinisikan sebagai peluang terjadinya sesuatu yang akan berdampak terhadap tujuan dari suatu organisasi dan dapat diukur dengan memadukan antara dampak pengaruh yang akan ditimbulkan dan kemungkinan terjadinya dampak tersebut. Penelitian (Boehm, 1991) menyebutkan manajemen risiko terdiri dari penilaian risiko dan kontrol risiko. Penilaian risiko terdiri dari identifikasi risiko, analisis risiko, dan prioritas risiko. Sedangkan kontrol risiko dibedakan lagi menjadi perencanaan manajemen risiko, pemecahan risiko, dan pengawasan risiko. Pemilihan kontrol teknologi informasi yang C-24-1

2 didasarkan dengan standard yang ada diantaranya menggunakan ISO 17799, ITIL atau COBIT. Standard yang digunakan merupakan sekumpulan dokumentasi dari praktek terbaik untuk menjembatani celah antara risiko bisnis, kontrol kebutuhan dan masalah-masalah teknis Teknologi Informasi. Penelitian sebelumnya (Haitao, 2011), membangun sistem pencegah kejahatan untuk mengurangi kerugian yang disebabkan oleh risiko. Penelitian tersebut dari segi pengambil keputusan, mengusulkan model pengambilan keputusan untuk membangun sistem pencegah kejahatan. Model ini mengukur kualitas sistem pencegah kejahatan berdasarkan expected monetary values dari kerugian sisi ekonomi yang disebabkan oleh risiko yang ada. Penelitian tersebut memperkenalkan dua metode pengambilan keputusan, yaitu optimistic rule dan pessimistic rule. Metode lainnya yang digunakan untuk mengevaluasi diantaranya menggunakan Delphi, DEA (Data Development Analysis), AHP (Analytical Hierarchy Proses), dan Fussy Assesment. Kontrol yang digunakan pada penelitian tersebut adalah kebakaran, keamanan kejadian, kelompok kejadian, lalu lintas kecelakaan, dan kasus kejahatan. Untuk mengurangi kerugian yang disebabkan dari pemilihan risiko dengan membangun sistem pencegah kejahatan dari empat perusahaan. Hasil penelitian yang didapat adalah membangun suatu model untuk mengukur kualitas dari sistem pencegah kejahatan agar dapat mengurangi kerugian ekonomi yang diperoleh sehingga membantu para pengambil keputusan secara tepat didalam perusahaan. Penelitian tersebut tidak menggunakan standart kontrol TI seperti COBIT atau ISO sehingga bisa ditingkatkan lagi dengan menggunakan standard yang ada. Selain itu kontrol TI teridentifikasi dapat lebih dari satu kontrol TI. Penelitian ini, mengusulkan kerangka untuk pemilihan kontrol TI berdasarkan pendekatan risiko dengan menentukan expected monetary values (EMV) dari beberapa kontrol yang digunakan. Pemilihan kontrol TI tersebut tidak berkaitan dengan framework tertentu. Risiko yang ada berdasarkan standard ISO 17799, ITIL dan COBIT. Hasil dari pemilihan kontrol TI didasarkan pada standard yang digunakan dengan menentukan expected monetary values dari risiko yang ada. Pemilihan kontrol TI bertujuan untuk manajemen risiko dengan cara meminimalkan risiko dengan memilih kontrol yang sesuai. Metode yang digunakan pada penelitian ini menggunakan metode 100 poin untuk pemeringkatan kontrol yang ada. Optimalisasi kontrol TI menggunakan algoritma genetik yang bertujuan untuk mereduksi risiko dan memilih kontrol TI agar tidak melebihi dari anggaran yang direncanakan. METODE Untuk mencapai tujuan penelitian, maka disusun langkah-langkah rinci menunjukkan langkah-langkah dalam pemilihan kontrol TI (Gambar 1). yang C-24-2

3 Gambar 1. Langkah-Langkah dalam Pemilihan Kontrol TI Pada metode pemilihan kontrol TI terdapat cara-cara yang dilakukan diantaranya adalah sebagai berikut: 1) Mengidentifikasi kontrol TI sesuai dengan standard yang digunakan dan menentukan daftar risiko yang terkait. Mengenai standard yang digunakan dapat berdasarkan ISO 17799, COBIT, ITIL dan sebagainya. Tujuan dari penggunaan standard tersebut adalah untuk membuat sebuah kerangka kerja kontrol TI yang secara teoritis untuk bidang penelitian dan menentukan ruang lingkup pada penelitian berikut ini. Contoh identifikasi kontrol TI berdasarkan ISO adalah sebagai berikut: a) Risk assessment and treatment. b) Security policy. c) Organization of information security. d) Asset management. e) Human resources security. f) Physical and environmental security. g) Communications and operations management. h) Access control. i) Information system acquisition, development, and maintenance. j) Information security incident management. k) Business continuity management. l) Compliance C-24-3

4 2) Melakukan beberapa tahapan dalam proses pembuatan sistem yang berkenaan dengan penentuan expected monetary values (EMV). 3) Melakukan pemeringkatan terhadap kontrol TI yang sudah diidentifikasi. Pada tahapan proses ini menggunakan metode 100 poin. Selain bernama 100 poin, metode ini juga disebut dengan metode 100 dolar dan cumulative voting (Leffingwell., et. al, 2003). Langkah-langkah dalam pemeringkatan dengan menggunakan metode 100 poin diantaranya adalah : a. Memasukan semua kontrol TI yang digunakan dalam sebuah baris b. Membagi semua poin diantara kontrol TI yang digunakan, menurut yang paling sesuai dengan sistem kontrol yang ada setiap orang yang berkontribusi c. Mengakumulasi poin yang didapat pada setiap kontrol TI dari setiap pemberi suara atau poin d. Melakukan perangkingan terhadap kontrol TI berdasarkan total poin yang diperoleh 4) Optimalisasi Menggunakan Algoritma Genetik Pengkodean yang akan digunakan pada optimalisasi kontrol TI adalah pengkodean nilai. Pemilihan pengkodean nilai karena jika dilakukan pengkodean biner akan membuat barisan bit semakin kompleks, dimana suatu barisan bit yang panjang sehingga diperlukan pengkodean ulang untuk mendapatkan nilai sebenarnya dari aturan yang direpresentasikan. Algoritma genetika bekerja dengan menggunakan pendekatan random, sehingga nilainilai yang dihasilkan adalah nilai random. Pada kasus optimalisasi kontrol TI dengan model genetika yang terdiri dari Kontrol TI yang teridentifikasi, risiko yang teridentifikasi, dan biaya yang dikeluarkan akan tejadi banyak iterasi. Hal tersebut dikarenakan diperlukan suatu nilai yang sesuai agar mendapatkan kombinasi yang tepat antara variabel kontrol TI, risiko, dan biaya yang dikeluarkan agar tidak saling konflik. Semakin banyak iterasi yang dilakukan, maka waktu yang dibutuhkan akan semakin lama. Oleh karena itu penyelesaian masalah optimalisasi akan diselesaikan dengan cara menempatkan kontrol TI pada slot untuk mereduksi risiko. Pada tahap pertama diselesaikan dengan menggunakan algoritma genetika. Tahap ini diselesaikan terlebih dahulu karena banyaknya aturan yang berhubungan dengan variabel yang berkaitan dengan mereduksi risiko. Pada tahap berikutnya kontrol TI disusun secara berurutan dalam kromosom. Pengurutan dilakukan sesuai dengan urutan hasil penghitungan EMV. Berikut ini contoh dari penyelesaian yang akan dikerjakan: Tabel 1. Pemodelan Genetika Kontrol 1 Kontrol 2 Kontrol 3 Risiko 1 Risiko 2 Risiko 3 Risiko 4 Risiko 5 Risiko 6 T1 T3 T2 T1 T4 T3 Keterangan: Kontrol : Kontrol TI yang diidentifikasi Risiko : Risiko yang diidentifikasi T : EMV( kontrol, risiko) Contoh : T1 ( 2,3) = Kontrol 2, Risiko 3 T2 (3,5) = Kontrol 3, Risiko 5 Pada tabel 1 dapat dilihat tahap pertama, tiap kontrol TI dapat berkaitan dengan beberapa risiko sebagai contoh: C-24-4

5 Kontrol 1 berkaitan dengan risiko 1 dan risiko 2 Kontrol 2 berkaitan dengan risiko 3 dan risiko 4 Kemudian pemodelan tersebut dilakukan proses menggunakan algoritma genetika, sehingga menghasilkan slot kontrol dan risiko (T1,T3,...Tn). 5) Melakukan rekomendasi dari kontrol TI Sebagaimana dijelaskan sebelumnya yang berkaitan dengan metodologi, terdapat beberapa langkah yang digunakan untuk mendapatkan sistem pemilihan kontrol TI sesuai dengan tujuan penelitian. Gambar 3.2 menunjukkan langkah-langkah dalam menentukan pemilihan kontrol TI. HASIL DAN PEMBAHASAN Uji coba yang dilakukan untuk menentukan expected monetary values diantaranya adalah dilakukan pemilihan kontrol TI sehingga di dapatkan sebuah matriks performance (Matriks P). Dari hasil evaluasi untuk membangun sistem dihasilkan matriks P yang didapat dari hasil expert. Uji coba berikutnya dengan melakukan identifikasi risiko yang sudah diinputkan ke sistem serta menginisialisasi original risk loss Matrix E. Dari daftar kontrol TI dipilih kategori kontrol TI yang terdiri dari COBIT, ISO, ITIL atau kategori kontrol TI yang lainnya. Sedangkan risiko yang sudah teridentifikasi user tinggal memilih sesuai dengan kebutuhan sistem yang dibangun. Dari hasil identifikasi risiko didapatkan matrix E. Dari hasil evaluasi didapatkan frekuensi risiko F ={7,5,3,8,7} yang digunakan untuk membangun risk probability matrix L seperti berikut : Dari hasil uji coba sistem yang dibangun dapat dilakukan penghitungan dengan hasil Expected Monetary Values (EMV) (Gambar 2). C-24-5

6 Gambar 2 Hasil Penghitungan EMV Hasil yang diperinci pada pemilihan kontrol TI dengan menentukan expected monetary values seperti ditampilkan pada Tabel 2. Nama Kontrol Tabel 2 Hasil Penghitungan EMV Biaya R 1 R 2 R 3 R 4 R C1 1 46, ,6667 6,0000 2, ,0000 C2 2 37, ,0000 4,5000 1, ,6667 C3 4 28, ,3333 3,0000 1, ,3333 C4 8 18,6667 6,6667 4,5000 1, ,5000 EMV yang didapat pada proses perhitungan tersebut bertujuan untuk mereduksi risiko yang ada sehingga biaya yag dikeluarkan pada risiko tersebut lebih rendah dan biaya pada setiap kontrol TI yang dipilih mendekati biaya anggaran sistem yang dibangun. Hasil yang diperoleh dari penghitungan EMV dengan pengurutan dari EMV tertinggi adalah sebagai berikut Tabel 3 Hasil Pengurutan EMV NO Kontrol TI Hasil EMV Posisi (Kontrol TI, Risiko) 1 Kontrol 1 46,6667 (C1,R1) 2 Kontrol 2 37,3333 (C2,R1) 3 Kontrol 1 35 (C1,R5) 4 Kontrol 3 28 (C3,R1) 5 Kontrol 1 26,6667 (C1,R2) 6 Kontrol 3 23,3333 (C1,R1) 7 Kontrol 2 20 (C2,R2) 8 Kontrol 4 18,6667 (C4,R1) C-24-6

7 9 Kontrol 4 17,5 (C4,R5) 10 Kontrol 3 13,3333 (C3,R2) 11 Kontrol 2 11,6667 (C2,R5) 12 Kontrol 4 6,6667 (C4,R2) 13 Kontrol 1 6 (C1,R3) 14 Kontrol 2 4,5 (C2,R3) 15 Kontrol 4 4,5 (C4,R3) 16 Kontrol 3 3 (C3,R3) 17 Kontrol 1 2,6667 (C1,R4) 18 Kontrol 2 1,6 (C2,R4) 19 Kontrol 3 1,6 (C3,R4) 20 Kontrol 4 1,6 (C4,R4) Optimalisasi Menggunakan Algoritma Genetik Uji coba berikutnya adalah optimalisasi menggunakan algoritma genetik dengan mengisikan nilai parameter genetika. Secara default memiliki kombinasi parameter sebagai berikut: Tabel 4. Kombinasi default parameter genetika Generasi 200 Populasi 10 Perkawinan silang 0.5 Mutasi 0.1 Pada Tabel 4 dapat dijelaskan bahwa jumlah generasi atau iterasi yang dihasilkan adalah 200 generasi. Setiap generasi menghasilkan 10 populasi atau 10 kromosom. Probabilitas perkawinan silang adalah sebesar 0.5. Diharapkan ada 5 kromosom dari 10 kromosom yang ada dalam populasi tersebut mengalami perkawinan silang. Probabilitas mutasi sebesar 0.1 berarti apabila pada saat proses mutasi nilai random yang yang dihasilkan kurang dari probabilitas mutasi maka dilakukan mutasi pada kromosom tersebut. Gambar 3 menunjukkan aktivitas genetika dari optimalisasi kontrol TI. Gambar 3. Aktivitas Genetika C-24-7

8 Pada analisa hasil dilakukan uji coba dengan mengganti nilai parameter probabilitas perkawinan silang. Uji coba dilakukan untuk mengatahui adanya perubahan nilai cost dan nilai fitness. Nilai probabilitas perkawinan silang yang diujikan adalah 0.5, 0.6, 0.7, 0.8, dan 0.9. Uji coba dilakukan masing-masing 10 kali percobaan untuk setiap nilai probabilitas perkawinan silang. Gambar 4 Grafik Perbandingan Rata-rata Cost dengan Probabilitas Perkawinan Silang Pada Gambar 4 dapat diketahui adanya penurunan nilai cost saat terjadi kenaikan nilai probabilitas perkawinan silang. Pada perubahan nilai dari probabilitas 0.5 menjadi 0.6 terjadi perubahan nilai cost yang sangat besar. Namun pada kondisi probabilitas perkawinan silang 0.6 dinaikkan menjadi 0.7 terjadi kenaikan nilai cost. Setelah itu nilai probabilitas dinaikkan menjadi 0.8 dan terjadi penurunan nilai cost. Dan yang terakhir, nilai probabilitas dinaikkan menjadi 0.9 hasil yang didapatkan adalah nilai cost kembali meningkat. Berdasarkan uji coba yang dilakukan, dapat diambil kesimpulan bahwa rata-rata nilai cost akan semakin rendah dengan semakin besar probabilitas perkawinan silang. Namun pada kondisi tertentu nilai cost akan kembali tinggi. Probabilitas perkawinan silang yang sesuai digunakan adalah 0.6, karena pada probabilitas tersebut nilai rata-rata cost terendah KESIMPULAN DAN SARAN Dari uji coba yang telah dilakukan, maka dapat ditarik kesimpulan bahwa pemilihan kontrol TI dengan menentukan expected monetary values dapat dihasilkan lebih dari satu kontrol TI sehingga memudahkan pihak manajemen dalam menentukan kontrol TI yang sesuai dengan kebutuhan. Metode Cumulative Voting dapat digunakan untuk memeringkatkan kontrol TI sehingga dapat menentukan prioritas utama kontrol TI. Identifikasi Risiko dan kontrol TI beserta biaya yang dikeluarkan dapat mempengaruhi pemilihan kontrol TI. Probabilitas perkawinan silang menentukan nilai fitness yang dihasilkan untuk optimalisasi kontrol TI. Semakin tinggi nilai probabilitas perkawinan silang yang diberikan, maka nilai fitness yang dihasilkan akan semakin tinggi. Namun pada kondisi tertentu nilai fitness tidak mengalami perubahan atau bahkan akan menurun. Pada kasus pemilihan kontrol TI nilai probabilitas perkawinan silang yang sesuai digunakan adalah 0.6. Pada probabilitas 0.6 didapatkan nilai fitness tertingggi. Untuk meningkatkan hasil yang telah dicapai dari penelitian ini dapat dilakukan beberapa perbaikan yaitu menambahkan data histori dari setiap pemilihan kontrol TI dengan menentukan Expected Monetary Values. Melakukan perbaikan proses pemeringkatan kontrol TI. Melakukan optimalisasi kontrol TI dengan algoritma lain sebagai pembanding. C-24-8

9 DAFTAR PUSTAKA Boehm, Barry W. (1991), Software Risk Management:Principles and Practices, Defense Advanced Research Projects Agency, IEEE. Haitao Lv. (2011). Investment Decision Model of Crime Prevention System Based on Expected Monetary Values of the Economic Loss Caused by risks, Third IEEE International Conference on Space Mission Challenges for Information Technology. Leffingwell, D. dan Widrig, D. (1999). Approach, Addison-Wesley, Reading, MA. Managing Software Requirements: A Unified Leffingwell, D. dan Widrig, D. (2003). Managing Software Requirements: A Use Case Approach, 2nd edition, pp , Addison-Wesley, USA. Liu, Hui, Yue Lin, Peng Chen, Lufeng Jin, Fan Ding. (2010). A Practical Availability Risk Assessment Framework in ITIL, Fifth IEEE International Symposium on Service Oriented System Engineering. Luís Enrique Sánchez, Daniel Villafranca, Eduardo Fernández-Medina, Mario Piattini. (2006). Practical Approach of a Secure Management System based on ISO/IEC 17799, Proceedings of the First International Conference on Availability, Reliability and Security (ARES 06). Mayer, Nicolas. (2004). Managing Security IT Risk: a Goal-Based Requirements Engineering Approach, Public Research Centre Henri Tudor 29, av. J. F.Kennedy, L-1855 Luxembourg, Kirchberg. Roger S Debreceny. (2006). Re-engineering IT Internal Controls: Applying Capability Maturity Models to the Evaluation of IT Controls, Proceedings of the 39th Hawaii International Conference on System Sciences. Rabbi, Md. Forhad, Khan Olid Bin Mannan. (2008). A Review of Software Risk Management for Selection of best Tools and Techniques, Ninth ACIS International Conference on Software Engineering, Artificial Intelligence, Networking, and Parallel/Distributed Computing. Sarno, Ryanarto. (2009). Audit Sistem dan teknologi Informasi, ITS Press. Sarno, Ryanarto, dkk. (2009). Sistem Manajemen Kemanan Informasi, ITS Press. Shoichi Morimoto. (2009). Application of COBIT to Security Management in Information Systems Development, International Conference on Frontier of Computer Science and Technology. Gen, Mitsuo and Runwei, Cheng. (1997). Genetic Algorithms And Engineering Design. & Sons, Inc. New York. John Wiley C-24-9