BAB 2 LANDASAN TEORI. sesuatu yang belum diketahui kepada user. bagi kehidupan manusia.

Transkripsi

1 BAB 2 LANDASAN TEORI 2.1. Teknologi Informasi Pengertian Informasi Menurut McLeod (2007, p9), informasi adalah data yang telah diproses atau data yang memiliki arti; biasanya informasi menjelaskan sesuatu yang belum diketahui kepada user. Menurut Kenneth C. Laudon (2004, p8), informasi adalah data yang sudah berubah menjadi suatu bentuk yang bermakana dan berguna bagi kehidupan manusia. Dari definisi diatas, dapat disimpulkan bahwa informasi adalah sekumpulan data yang diproses atau dikonversikan menjadi suatu bentuk yang mempunyai arti untuk diketahui atau digunakan oleh pengguna Pengertian Sistem Informasi Menurut O Brien (2008, p4), Sistem informasi merupakan kombinasi teratur apapun dari orang orang, hardware, software, jaringan komunikasi, sumber daya data, dan peraturan serta prosedur yang mengumpulkan, mengambil, mengubah, dan menyebarkan informasi dalam sebuah organisasi. 8

2 9 Menurut Kenneth C. Laudon (2004, p8), sistem informasi dapat diartikan sebagai seperangkat komponen yang saling berkaitan yang mengumpulkan atau menerima, memproses, menyimpan, dan mendistribusikan informasi untuk mendukung pengambilan keputusan dan pengendalian di dalam organisasi Pengertian Teknologi Informasi Menurut Sawyer dan Williams (2006, p3), teknologi informasi adalah istilah umum yang menjelaskan berbagai teknologi yang membantu untuk memproduksi, manipulasi, penyimpanan, komunikasi dan menyebarluaskan informasi. Menurut Turban, Rainer, dan Potter (2003, p3), teknologi informasi adalah kumpulan dari komponen teknologi individu yang secara khusus diatur dalam komputer berbasis sistem informasi Infrastruktur Teknologi Informasi Hardware dan Software Menurut Haag, Cummings, dan McCubbrey (2005, p15), ada dua Kategori dasar dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan fisik yang menyusun sebuah Komputer (sering dikenal dengan Sistem Komputer). Software adalah kumpulan instruksi instruksi yang menjalankan hardware untuk menyelesaikan tugas tertentu. Hardware dibagi menjadi 6 kategori, yaitu (1) input device, (2) output device, (3) storage device, (4) CPU dan RAM, (5) telecommunications device, (6) connecting device.

3 10 Input device adalah peralatan yang digunakan untuk memasukkan informasi dan perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan bar code reader. Output device adalah peralatan yang digunakan untuk melihat, mendengar, atau sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer, monitor, dan speaker. Storage device adalah peralatan yang digunakan untuk menyimpan informasi yang digunakan di lain waktu terdiri atas hard disk, flash memory card, dan DVD, CPU adalah hardware yang mengartikan dan menjalankan sistem dan instruksi instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware. RAM adalah sebuah tempat sementara untuk informasi bekerja seperti halnya sistem, dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini. Telecommunications device adalah peralatan yang digunakan untuk mengirim informasi dan menerima informasi dari orang lain atau komputer lain dalam satu jaringan, contohnya: Modem. Connecting hardware termasuk hal hal seperti terminal paralel yang menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal paralel dan peralatan penghubung internal yang sebagaian besar termasuk alat pengantar untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya. Ada dua tipe utama dari software, yaitu application dan system. Application software yang memungkinkan untuk

4 11 menyelesaikan masalah maslah spesifik atau menampilkan tugas tugas spesifik. System software yaitu menangani tugas tugas spesifik untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan teknologi. Di dalam system software ditemukan operating system software dan utility software. Operating system software adalah software sistem yang mengendalikan software aplikasi dan mengelola bagaimana peralatan hardware bekerja bersama sama. Utility software adalah software yang menyediakan tambahan fungsionalitas untuk mengoperasikan sistem software, seperti antivirus software, screen savers, disk optimization software Jaringan Menurut Turban, Rainer, Porter (2003, p178), sebuah jaringan Komputer, terdiri atas media komunikasi peralatan peralatan dan software yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer dan peralatan. Ada dua ukuran jaringan yang umum, yaitu: LAN (Local Area Network) dan WAN (Wide Area Network). MAN (Metropolitan Area Network) berada diantara dua ukuran tersebut. LAN menghubungkan dua atau lebih alat komunikasi hingga 2000 kaki (biasanya dalam gedung yang sama). Jadi setiap pengguna alat dalam jaringan memiliki potensi untuk berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang terdiri atas kumpulan telepon

5 12 atau jaringan internasional seperti penyedia layanan komunikasi global, mungkin milik komersial, swasta, atau publik Internet, Intranet, Ekstranet Menurut Turban, Rainer, Porter (2003, p200), Internet adalah jaringan komputer terbesar di dunia yang menghubungkan komputer bisnis, konsumen, instansi pemerintah, sekolah dan organisai lainnya diseluruh dunia, yang menggunakan pertukaran informasi secara terbuka. Internet adalah jaringan pribadi yang menggunakan jaringan Internet dan perangkat lunak protokol TCP/IP, umumnya berupa, Internet swasta, atau segmen kelompok swasta dari jaringan Internet public. Sedangkan ekstranet adalah jaringan yang aman yang menghubungkan mitra bisnis dan intranet lewat Internet dengan menyediakan akses ke wilayah masing masing perusahaan; ekstranet merupakan perpanjangan dari Internet Risiko Pengertian Risiko Menurut Peltier (2001, p21), risiko adalah seseorang atau sesuatu yang membuat atau menyarankan sebuah bahaya. Menurut Djojosoedarso (2003, p2), menguraikan pengertian risiko antara lain: 1. Risiko adalah suatu variasi dari hasil hasil yang dapat terjadi selama periode tertentu (Arthur Williams dan Richard, M.H).

6 13 2. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan peristiwa kerugian (loss) (A. Abas Salim). 3. Risiko adalah ketidakpastian atas terjadinya suatu peristiwa (Soekarto). 4. Risiko merupakan penyebaran/penyimpangan hasil aktual dari hasil yang diharapkan (Herman Darmawi). 5. Risiko adalah probabilitas sesuatu hasil/outcome yang berbeda dengan yang diharapkan (Herman Darmawi). Dari definisi definisi tersebut disimpulkan bahwa risiko merupakan sesuatu yang mungkin tidak terduga dan dapat menimbulkan kerugian yang dapat berupa material dan non material Jenis Jenis Risiko Menurut Djojosoedarso (2003, p3), risiko dapat dibedakan dengan berbagai macam cara antara lain: 1. Menurut sifatnya risiko dapat dibedakan kedalam: a. Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja; misalnya risiko terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya. b. Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja ditimbulkan oleh yang bersangkutan, agar terjadi ketidakpastian memberikan keuntungan kepadanya, misalnya risiko utang piutang, perjudian, perdagangan berjangka (hedging), dan sebagainya.

7 14 c. Risiko fundamental adalah risiko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang, seperti banjir, angin topan, dan sebagainya. d. Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya. e. Risiko dinamis adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi, seperti risiko keuangan dan risiko penerbangan luar angkasa. Kebalikannya adalah risiko statis, contohnya seperti risiko hari tua dan juga risiko kematian. 2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko dapat dibedakan ke dalam: a. Risiko yang dapat dialihkan depada pihak lain, dengan mempertanggungkan suatu objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan (pindah) pihak perusahaan asuransi. b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan); umumnya meliputi semua jenis risiko spekulatif.

8 15 3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan ke dalam: a. Risiko intern yaitu risiko yang berasal dari dalam perusahaan itu sendiri, seperti kerusakan aktiva karena ulah karyawan, kecelakaan kerja, kesalahan manajemen, dan sebagainya. b. Risiko ekstern yaitu risiko yang berasal dari luar perusahaan, seperti risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan pemerintah, dan sebagainya Karakteristik dan Wujud Risiko Menurut Djojosoedarso (2003, p3), karakteristik risiko merupakan ketidakpastian atas terjadinya suatu peristiwa dan bila terjadi maka akan menimbulkan kerugian. Menurut Djojosoedarso (2003, p3), wujud dari risiko itu dapat bermacam macam, antara lain: 1. Berupa kerugian atas harta milik/kekayaan atau penghasilan, misalnya diakibatkan oleh kebakaran, pencurian, pengangguran dan sebagainya. 2. Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan. 3. Berupa tanggung jawab hukum, misalnya risiko dari perubahan atau peristiwa yang merugikan orang lain. 4. Berupa kerugian karena perubahan keadaan pasar, misalnya terjadi perubahan harga, perusahan selera konsumen dan sebagainya.

9 Penanggulangan Risiko Menurut Djojosoedarso (2003, p4), upaya upaya untuk menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan perusahaan untuk meminimumkan risiko kerugian, antara lain: 1. Melakukan pengecekan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian. 2. Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut disediakan sejumlah dana untuk menanggulanginya. 3. Melakukan pengendalian terhadap risiko. 4. Mengalihkan/memindahkan risiko kepada pihak lain. Tugas dari manajer risiko adalah berkaitan erat dengan upaya memilih dan menentukan cara cara/metode yang paling efektif dalam penanggulangan risiko yang dihadapi perusahaan Risiko Teknologi Informasi Kategori Risiko Teknologi Informasi Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi berisiko terhadap kehilangan informasi dan pemulihan yang tercakup dalam 6 kategori, yaitu:

10 17 1. Keamanan Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan komputer, kebocoran Internet dan terorisme cyber. 2. Ketersediaan Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena kesalahan manusia (human error), perubahan konfigurasi, dan kurangnya pengamanan arsitektur. 3. Daya pulih Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup, setelah terjadi kegagalan dalam perangkat lunak atau keras, ancaman eksternal, atau bencana alam. 4. Performa Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. 5. Daya skala Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif. 6. Ketaatan Risiko yang manajemen atau penggunaan informasi melanggar keperluan dari pihak pengatur. Yang dipersalahkan dalam hal ini

11 18 mencakup aturan pemerintah, panduan pengaturan perusahaan dan kebijakan internal Kelas Kelas Risiko Teknologi informasi Menurut Jordan dan Silcock (2005, p49), risiko risiko teknologi didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, tetapi konsekuensi konsekuensi dapat berakibat negatif bagi bisnis. Kelas kelas risiko, yaitu: 1. Projects Failing to deliver. Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari gagalnya penyampaian proyek adalah menyelesaikan proyek yang ada telat/tidak pada waktunya, sumber daya dan biaya yang dikonsumsi dalam penyelesaian proyek besar sehingga tidak efisien, mengganggu proses bisnis selama proses implementasi, dan juga fungsi dari proyek tidak sesuai dengan keinginan dari yang diharapkan user. 2. IT Service Continuity When business operations go off the air. Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman dan tidak dapat diandalkan sehingga menganggu proses bisnis yang sedang berjalan. Biasanya berhubungan dengan sistem operasional dan produksi perusahaan serta kemampuan mereka untuk menyediakan kebutuhan dari user.

12 19 3. Information Assets Failing to protect and preserve. Risiko ini berhubungan khusus dengan kerusakan, kehilangan dan eksploitasi aset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi perusahaan, contohnya informasi yang penting bisa dicuri oleh perusahaan kompetitor, detail dari kartu kredit dapat dilihat oleh pihak yang tidak berwenang, sehingga dengan demikian akan merusak hubungan antara pelanggan dengan perusahaan. Ini tentunya akan sangat merugikan perusahaan. 4. Service Providers and Vendors Breaks in the IT value chain. Risiko ini berhubungan dengan kemampuan dari provider dan vendor. Bila mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan berdampak signifikan bagi sistem TI perusahaan. Dampak lainnya berhubungan dengan dampak jangka panjang, seperti kekurangan dalam penyediaan layanan TI bagi user perusahaan tersebut. 5. Applications Flaky systems. Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi biasanya berinteraksi dengan user dan dalam suatu perusahaan biasanya terdapat kombinasi antara software paket dan software buatan yang diinteragrasikan menjadi satu. 6. Infrastructure Shaky foundations. Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI. Infrastuktur adalah suatu nama yang umum bagi komputer maupun jaringan yang sedang dipakai dan berjalan di perusahaan tersebut. Di

13 20 dalam infrastruktur juga termasuk software, seperti Operation System dan Database Management System. Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu komponen terbakar, dicuri, rusak maupun koneksi jaringannya sedang putus, maka dampak dari kegagalan tersebut tergantung dari ketahanan sistem yang ada. Aplikasi terdapat sistem yang sudah tidak cocok dengan model yang baru, maka sistem tersebut perlu digantikan. Apabila risiko ini dapat digantikan secara rutin, maka itu merupakan suatu perencanaan jangka panjang yang baik. 7. Strategic and Emergent Disabled by IT. Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan strategi bisnis yang dilakukan. Dampak dampak yang tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan dari perusahaan untuk terus bergerak maju ke arah visi strategi. Untuk tetap kompetitif diperlukan kemajuan TI untuk dipahami dan dicocokkan dengan potensi kesempatan eksploitasi bagi bisnis Langkah Pemecahan Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005, p6), ada tiga langkah kunci dalam membuat risiko informasi teknologi berjalan untuk anda, dalam menempatkan diri anda dalam satu posisi dimana anda dapat hidup dengan risiko:

14 21 1. Anda perlu menempatkan kepemimpinan dan manajemen yang tepat pada tempatnya melalui teknologi informasi dan kerangka cara pengaturan risiko. 2. Anda perlu menggabungkan cara anda mengurus risiko informasi teknologi dengan mengadopsi sebuah pendekatan manajemen atas surat yang proaktif. 3. Anda perlu mengatur kompleksitas dengan secara aktif mengatur setiap jenis risiko informasi teknologi Manajemen Risiko Teknologi Informasi Pengertian Manajemen Risiko Menurut Alberts, C dan Dorofee, A (2004, p8), manajemen risiko adalah proses yang berkelanjutan dalam mengenal risiko dan mengimplementasikan rencana untuk menunjuknya. Menurut Djojosoedarso (2003, p4), manajemen risiko adalah pelaksanaan fungsi fungsi manajemen dalam penanggulangan risiko, terutama risiko yang dihadapi oleh organisasi/perusahaan, keluarga dan masyarakat. Jadi mencakup kegiatan merencanakan, mengorganisir, menyusun, memimpin, dan mengawasi (termasuk mengevaluasi) program penanggulangan risiko. Program manajemen risiko dengan demikian mencakup tugas tugas, seperti: 1. Mengidentifikasi risiko risiko yang dihadapi. 2. Mengukur atau menetukan besarnya risiko tersebut. 3. Mencari jalan untuk menghadapi atau menanggulangi risiko.

15 22 4. Menyusun strategi untuk memperkecil ataupun mengendalikan risiko. 5. Mengkoordinir pelaksanaan penaggulangan risiko serta mengevaluasi program penanggulangan risiko yang telah dibuat Fungsi fungsi Pokok ManaJemen Risiko Menurut Djojosoedarso (2003, p14), fungsi pokok menajemen risiko terdiri dari: 1. Menemukan Kerugian Potensial Artinya berupaya untuk menemukan atau mengidentifikasi seluruh risiko murni yang dihadapi perusahaan, yang meliputi: a. Kerusakan fisik dari harta kekayaan perusahaan. b. Kehilangan pendapatan atau kerugian lainnya akibat terganggunya operasi perusahaan. c. Kerugian akibat adanya tuntutan hukum dari pihak lain. d. Kerugian kerugian yang timbul karena penipuan, tindakan tindakan kriminal lainnya, tidak jujurnya karyawan. e. Kerugian kerugian yang timbul akibat karyawan kunci (key men) meninggal dunia, sakit atau cacat. 2. Mengevaluasi Kerugian Potensial Artinya melakukan evaluasai dan penilaian terhadap semua kerugian potensial yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini akan meliputi perkiraan mengenai: a. Besarnya kemungkinan frekuensi terjadinya kerugian, artinya memperkirakan jumlah kemungkinan terjadinya kerugian selama

16 23 suatu periode tertentu atau berapa kali terjadinya kerugian tersebut selama suatu priode tertentu. b. Besarnya bahaya dari tiap tiap kerugian, artinya menilai besarnya kerugian yang diderita, yang biasanya dikaitkan dengan besarnya pengaruh kerugian tersebut, terutama terhadap kondisi finansial perusahaan. 3. Memiliki teknik/cara yang tepat atau menentukan suatu kombinasi dari teknik teknik yang tepat guna menanggulangi kerugian. Pada pokoknya ada empat cara yang dapat dipakai untuk menanggulangi risiko, yaitu mengurangi kesempatan terjadinya kerugian, meretensi, mengasuransikan, dan menghindari. Tugas dari manajer risiko adalah memilih satu cara yang paling tepat untuk menanggulangi suatu risiko atau memilih suatu kombinasi dari cara cara yang paling tepat untuk menanggulangi risiko Manajemen Identifikasi Risiko Menurut Bandyopadhyay dan Mykytyn (1999, p437), langkah awal pada pengenalan risiko adalah dengan menentukan lingkungan teknologi informasi. Lingkugan teknologi informasi terdiri dari tiga tingkat: 1. Tingkat Aplikasi Tingkat aplikasi berkonsentrasi pada risiko teknis atau kegagalan implementasi aplikasi informasi teknologi, risiko seperti ini dapat timbul dari sumber internal dan eksternal. Ancaman

17 24 eksternal adalah bencana alam, tindakan kompetitor, hacker, dan virus komputer. Ancaman internal kepada aset teknologi informasi dapat datang dari akses fisik berotoritas atau tanpa otoritas yang mengakibatkan penyalahgunaan sistem. Ancaman ancaman ini dapat merusak atau menghancurkan aset informasi teknologi seperti perangkat keras, perangkat lunak, data, personil, atau fasilitas. Sebuah studi empiris pada keamanan komputer mengungkapkan bahwa, pada tingkat aplikasi, manajer manajer menganggap bencana alam dan tindakan kecelakaan pegawai sebagai risiko dengan tingkat besar. Mereka juga melihat lingkungan komputer mainframe lebih aman dari pada lingkungan mikrokomputer. 2. Tingkat Organisasi Pada tingkat organisasi, fokusnya adalah pada pengaruh informasi teknologi di semua bagian fungsional organisasi daripada bagian aplikasi yang terisolasi. Bisnis bisnis menempatkan informasi teknologi secara bertingkat pada tingkat organisasi untuk mencapai keuntungan kompetitif. Ketergantungan yang semakin berkembang tehadap teknologi informasi demi mendapatkan keuntungan strategi untuk organisasi dapat membuat organisasi menjadi sasaran berbagai jenis risiko.

18 25 3. Tingkat Interorganisasi Pada tingkat interorganisasi, fokusnya adalah pada risiko teknologi informasi pada organisasi yang beroperasi pada lingkungan jaringan. Penggunaan teknologi informasi yang paling mutakhir dan kuat sekarang ini mencakup jaringan yang melewati batasan organisasi. Ini adalah sistem informasi otomatis yang dibagi oleh dua organisasi atau lebih. Perkembangan pada pemakaian sistem interorganisasi (Inter organization Systems IOS) belakangan ini telah meningkatkan produktivitas fleksibilitas, dan tingkat kompetitif Implementasi Kemampuan Manajemen Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005, p60), kemampuan manajemen risiko teknologi informasi yang efektif adalah kemampuan manajemen yang memenuhi kebutuhan bisnis, dimana elemen desain penting yang harus dipertimbangkan adalah: 1. Strategi dan Kebijakan Strategi strategi dan kebijakan kebijakan manajemen risiko teknologi informasi diperlukan untuk menentukan tujuan dari manajemen risiko teknologi informasi secara keseluruhan, membangun priotitas dan pentingnya manajemen risiko teknologi informasi, memastikan cakupan area yang potensial dari risiko teknologi informasi dan menyediakan landasan peraturan dan prinsip prinsip untuk mengelola risiko. Kebijakan manajemen risiko teknologi informasi harus didokumentasi secara resmi dan didukung

19 26 oleh tim tata kelola teknologi informasi dan dikomunikasikan secara aktif kepada seluruh organisasi. 2. Peran dan Tanggung Jawab Peran perlu ditentukan terlebih dahulu dan sesudah itu orang yang tepat yang harus dipilih dan ditempatkan untuk melakukan peran tersebut. Beberapa hal yang perlu dipertimbangkan adalah: a. Pemisahan tugas: untuk memastikan bahwa setiap peran kelas risiko independen menjalankan pemantauan dan melakukan tinjauan ulang. b. Menyeimbangkan kebutuhan masukan untuk spesialis: kontribusi pengertian proses, sistem dan risiko spesifik, pembuatan keputusan manajerial mempertimbangkan semua faktor dan menentukan tindakan. c. Mencocokan peran manajemen risiko teknologi informasi ke dalam struktur dimana dia seharusnya ditempatkan. Misalnya, aktivitas perawatan manajemen risiko teknologi informasi harus sejalan dengan manajer proyek untuk risiko proyek. d. Membuat peran manajemen risiko teknologi informasi yang baru ketika dibutuhkan, misalnya lintas fungsional bisnis dengan koordinasi peran secara berkelanjutan. e. Mengalokasikan tanggung jawab bersama jika diperlukan dan memastikan semua tempat telah diambil.

20 27 3. Proses dan Pendekatan Siklus hidup manajemen risiko memiliki beberapa langkah, yang dikembangkan dengan beberapa langkah yang berbeda untuk berbagai jenis risiko: a. Identifikasi/Penemuan Mendapatkan risiko teknologi informasi berdasarkan radar dari manajemen. b. Penilaian/analisis Mengerti risiko teknologi informasi dalam konteks tas surat keseluruhan risiko teknologi informasi dan menilai kemungkinan munculnya dan pengaruhnya pada bisnis. c. Perawatan Menentukan pilihan terbaik dari beberapa langkah tindakan yang memungkinkan untuk mengatasi risiko, merencanakan, dan menyelesaikan tindakan yang diperlukan. d. Pengamatan dan peninjauan Menindaklanjuti untuk memastikan apa yang direncanakan itu dikerjakan dan mengerti perubahan yang ada pada risiko teknologi informasi. 4. Orang dan Kinerja Manajemen risiko teknologi informasi juga tentang orang dan kinerja mereka. Kemampuan dan pengetahuan dari orang orang dalam manajemen risiko teknologi harus dikembangkan dan dipelihara. Pengembangan dan pemeliharaan ini memerlukan beberapa kombinasi pendidikan dan pelatihan penanggulangan risiko teknologi informasi sesuai dengan peran dan tanggung jawab yang ada.

21 28 5. Implementasi dan Pengembangan Orang tidak hanya akan menerima cara baru dalam pengelolaan risiko teknologi informasi tanpa pernah diberitahu mengapa diperlukan. Sebuah cerita yang meyakinkan pentingnya hal tersebut untuk organisasi dan apakah itu penting untuk organisasi Metode Pengukuran Risiko Teknologi Informasi Menurut Maulana dan Supangkat (2006, p121), terdapat banyak metode yang bisa digunakan dalam penerapan manajemen risiko teknologi informasi, diantaranya menggunakan metode OCTAVE. Metode OCTAVE memiliki varian yang lebih sederhana yang dikenal dengan nama OCTAVE S Pengertian OCTAVE S Menurut Alberts, Dorofee, Stevens, dan Woody. (2005, p5), OCTAVE S adalah bentuk evaluasi risiko keamanan informasi yang bersifat self directing. Metode ini memerlukan sebuah tim analisis untuk memeriksa risiko risiko keamanan terhadap aset kritis organisasi dalam hubungannya dengan tujuan tujuan bisnis, pada akhirnya melibatkan strategi perlindungan dan rencana mitigasi risiko berbasis aset, pada tingkat organisasional. Dengan mengimplementasikan hasil dari OCTAVE S, sebuah organisasi dapat secara lebih baik melindungi semua aset terkait informasi dan meningkatkan posisi keamanan secara keseluruhan.

22 Fase, Proses, dan Aktivitas OCTAVE S OCTAVE S didasarkan pada tiga fase seperti yang dijelaskan pada kriteria OCTAVE [Alberts 01b], meskipun jumlah dan urutan aktivitasnya berbeda Fase 1: Membangun Profil Ancaman Berbasis Aset Fase 1: Membangun Profil Ancaman Berbasis Aset Proses S1: Mengidentifikasi Informasi Organisasi S1.1: Membangun Kriteria Evaluasi Dampak S1.2: Mengidentifikasi Aset Organisasi S1.3: Mengevaluasi Praktik Keamanan Proses S2: Menciptakan Profil Ancaman S2.1: Memilih Aset Kritis S2.2: Mengidentifikasi Kebutuhan Keamanan untuk Aset Kritis S2.3: Mengidentifikasi Ancaman terhadap Aset Kritis Gambar 2.1 Fase ke 1 OCTAVE S Fase pertama adalah evaluasi aspek organisasional. Pada fase ini, tim analisis mendefinisikan kriteria evaluasi dampak yang akan digunakan nantinya untuk mengevaluasi risiko. Fase ini juga mengidentifikasi aset kritis perusahaan dan mengevaluasi praktik keamanan yang ada di organisasi. Tim analis menyelesaikan semua tugasnya, dan mengumpulkan informasi hanya jika dibutuhkan. Tim analis lalu memilih tiga hingga lima aset kritis untuk dianalisa secara mendalam, berdasarkan

23 30 kepentingan relatifnya terhadap organisasi. Akhirnya, tim analis mendefinisikan kebutuhan keamanan dan membuat profil ancaman untuk setiap aset kritis Fase 2: Identifikasi Kerentanan Infrastruktur Fase 2: Identifikasi Kerentanan Infrastruktur Proses S3: Memeriksa Infrastruktur Komputer dalam Hubungannya dengan Aset Kritis S3.1: Memeriksa Jalur Akses S3.2: Menganalisa Proses Terkait Teknologi Gambar 2.2 Fase ke 2 OCTAVE S Pada fase ini, tim analis melakukan kaji ulang tingkat tinggi atas infrastruktur komputer di organisasi, berfokus pada keadaan dimana keamanan diperhatikan oleh pemelihara infrastruktur. Tim analis pertama tama menganalisa bagaimana orang orang menggunakan infrastruktur komputer untuk mengakses aset kritis, melibatkan kelas komponen kunci sebagaimana siapa yang bertanggungjawab untuk mengkonfigurasikan dan merawat komponen komponen itu. Tim analis lalu memeriksa keadaan dimana setiap pihak yang bertanggungjawab memasukkan keamanan dalam proses dan praktik teknologi informasinya.

24 Fase 3: Membangun Strategi dan Rencana Keamanan Fase 3: Mengembang kan Strategi dan Rencana Keamanan Proses S4: Mengidentifikasi dan Menganalisa Risiko S4.1: Mengevaluasi Dampak dari Ancam an S4.2: Membangun Kriteria Evaluasi Probabilitas Proses S5: Mengembangkan Strategi Perlindungan dan Rencana Mitigasi S5.1: Mendeskripsikan Strategi Perlindungan Sekarang S5.2: Memilih Pendekatan Mitigasi S5.3: Membangun Rencana Mitigasi Risiko S5.4: Mengidentifikasi Perubahan terhadap Strategi Perlindungan S5.5: Mengidentifikasi Langkah Selanjutnya Gambar 2.3 Fase ke 3 OCTAVE S Pada fase ketiga, tim analisis mengidentifikasi risiko dari aset kritis organisasi dan memutuskan apa yang akan dilakukan terhadapnya. Berdasarkan analisis dari informasi yang terkumpul, tim analis membuat strategi perlindungan untuk organisasi dan rencana mitigasi untuk mengatasi risiko aset kritis. Kertas kerja OCTAVE S yang digunakan di fase ketiga ini sangat terstruktur dan terhubung ketat kepada katalog praktik OCTAVE [Alberts 01c], membuat tim analis dapat mengkaitkan rekomendasinya untuk pengembangan menuju tolok ukur praktik keamanan yang disetujui.

25 32 Dari uraian tahap, proses dan aktivitas diatas, dapat dilihat penjabaran tiga puluh langkah OCTAVE S yang terdapat pada lampiran L1 sampai L6.