1 BAB 1 PENDAHULUAN 1.1 Latar Belakang Seiring dengan globalisasi jaman yang berkem bang, banyak perusahaanperusahaan saat ini yang berdiri menggunakan sistem teknologi informasi. Hal tersebut dikarenakan teknologi informasi yang dapat memfasilitaskan dan mendukung proses pengumpulan, pengelolaan, penyimpanan dan pertukaran informasi. Saat ini, teknologi informasi menjadi salah sat u komponen penting unt uk mencapai tujuan bisnis perusahaan, baik unt uk peningkatan layanan maupun untuk optimalisasi proses bisnis dalam perusahaan. Dunia bisnis saat ini telah masuk dalam tahap era globalisasi, dimana setiap bisnis bersaing ketat dalam mencapai keunggulan kompetitif. Oleh karena it u, perusahaan harus dapat menerapkan strategis-strategis tertentu. Teknologi informasi pun dirancang berdasarkan rencana strategi dengan t ujuan agar teknologi informasi senantiasa dapat mendukung bisnis perusahaan. Dalam menghadapi situasi bisnis saat ini yang semakin maju, perusahaan harus dapat memanfaatkan peluang yang ada, salah satunya dengan melihat potensi risiko yang ada pada perusahaan. Hal tersebut menjadi sangat penting karena risiko dapat berpengaruh negatif terhadap pencapaian target-target perusahaan. Salah satu risiko
2 yang timbul akibat dari penerapan sistem teknologi informasi yang kurang memadai akan menyebabkan proses bisnis yang tidak optimal, kerugian keuangan, menurunnya reputasi perusahaan, atau bahkan hancurnya bisnis perusahaan. Ditengah persaingan yang semakin mengglobal di segala bidang, tantangan akan risiko dalam dunia bisnis pun semakin besar sehingga risiko yang ada tidak dapat dihilangkan tetapi hanya dapat diminimalkan dan dihindari dengan pengendalian yang baik. Oleh karena itu, perusahaan dit untut untuk menerapkan manajemen risiko, dimana manajemen risiko merupakan suat u pengelolaan yang melihat potensi-potensi atau halhal apa saja yang harus dilakukan agar risiko yang dapat terjadi sewaktu-waktu dapat diminimalkan sekecil mungkin. Potensi-potensi risiko tersebut dapat dilihat dari berbagai aspek baik itu secara sengaja maupun tidak sengaja, sehingga perusahaan diharapkan untuk mengelola berbagai risiko teknologi informasi yang mungkin tidak terpikirkan sebelumnya. Sangat penting untuk memahami dimensi risiko teknologi informasi dan menentukan bagaimana cara terbaik dalam mengelolanya agar mendapatkan keuntungan yang kompetitif, salah satunya dengan melakukan pengukuran terhadap risiko yang dihadapi dalam penerapan teknologi informasi. Pengukuran risiko teknologi informasi dibut uhkan karena pengukuran tersebut menjadi salah satu standard dalam mengidentifikasi risiko-risko yang mungkin terjadi. Adapun salah sat u standard/framework pengukuran risiko teknologi informasi yang cukup dikenal luas secara global, yait u OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
3 Evaluation). OCTAVE merupakan sebuah pendekatan terhadap pengukuran resiko keamanan informasi yang komprehensif, sistematik, terarah. Pembahasan dalam penyusunan skripsi ini adalah mengenai risiko dan sistem keamanan terhadap penerapan teknologi informasi dengan judul Pengukuran Risiko Teknologi Infomasi dengan Metode OCTAVE pada PT Esham Dima Mandiri. PT Esham Dima Mandiri merupakan perusahaan yang bergerak dalam bidang distribusi dan sudah memiliki sistem komputerisasi yang cukup complex. 1.2 Ruang Lingkup Untuk memberikan suatu pembahasan yang lebih terarah, maka diperlukan adanya suatu pembatasan ruang lingkup dari kebutuhan yang akan dibahas. Dalam penelitian ini, penulis membatasi ruang lingkup penelitian sebagai berikut: 1. Penelitian hanya dilakukan pada kantor pusat PT Esham Dima Mandiri. 2. Penelitian dilakukan pada sistem keamanan teknologi informasi yang berkaitan dengan software, hardware dan jaringan pada PT Esham Dima Mandiri. 3. Pengukuran risiko teknologi informasi dilakukan dengan menggunakan metode Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE). 1.3 Tujuan dan Manfaat Tujuan dalam penulisan ini adalah:
4 1. Identifikasi dan mengukur risiko-risiko dalam penerapan teknologi informasi yang sewaktu-wakt u dapat terjadi pada PT Esham Dima Mandiri. 2. Memberikan informasi mengenai risiko-risiko yang berkaitan dengan keamanan sistem teknologi informasi pada PT Esham Dima Mandiri. Manfaat dalam penulisan ini adalah : 1. Menghasilkan berbagai usulan atau saran yang dapat dipertimbangkan oleh perusahaan unt uk mencegah atau menanggulangi risiko-risiko yang mungkin terjadi pada PT Esham Dima Mandiri. 2. Mempermudah manajemen dalam mengam bil tindakan unt uk menangani risikorisiko yang ditemukan dari hasil penelitian. 1.4 Metodologi Metode yang dipakai dalam penyusunan skripsi ini yaitu bersifat kualitatif. Teknik yang dipakai untuk melengkapi metode penelitian ini adalah: 1. Teknik Pengumpulan Data Dalam penyusunan skripsi ini, data-data yang diperlukan diperoleh dari metode pengumpulan data yaitu sebagai berikut: a. Metode Studi Pustaka Dalam metode ini, penulis mengumpulkan data-data yaitu berupa buku-buku yang berhubungan dengan topik dimana merupakan panduan dalam penyusunan skripsi ini serta membantu dalam memecahkan masalah dalam skripsi ini. Perpustakaan tempat
5 penulis melakukan riset yaitu berlokasi di Perpustakaan Universitas Bina Nusantara. Selain it u penulis juga menem ukan data tambahan dari sum ber informasi lainnya yait u data-data dari internet. Dari riset yang dilakukan, penulis menemukan beberapa metode yang dapat digunakan dalam mengukur risiko yaitu OCTAVE, COBIT, COSO dan NIST. b. Metode Studi Kasus Dalam metode ini, penulis melakukan studi kasus yang ada kaitannya dengan penyusunan skripsi ini, yaitu dengan membandingkan hasil penelitian ini dengan hasil penelitian sebelumnya. c. Metode St udi Lapangan Dalam metode ini, cara-cara yang digunakan dalam pengumpulan data secara langsung adalah sebagai berikut: i. Wawancara Proses wawancara dilakukan dengan mengadakan tanya jawab secara langsung dengan pihak-pihak yang terlibat dan berhubungan dengan topik skripsi. ii. Pengamatan (Observasi) Metode ini dilakukan dengan melakukan pengamatan dan peninjauan secara langsung terhadap objek penelitian, untuk mendapatkan gam baran umum perusahaan serta kondisi TI yang diterapkan dalam perusahaan yang mencakup hardware, software, jaringan dan aplikasi-aplikasi yang dipakai dalam perusahaan. 2. Teknik Analisis
6 Dalam melakukan pengukuran manajemen risiko teknologi informasi pada PT Esham Dima Mandiri, penulis menggunakan metode OCTAVE dari beberapa metode yang ditemukan, karena metode OCTAVE lebih menyajikan secara rinci langkahlangkah unt uk mengukur tingkat risiko yang berkaitan dengan keamanan teknologi informasi yang ada di perusahaan. 1.5 Sistematika Penulisan Sistematika Penulisan skripsi yang disajikan dalam penulisan skripsi ini terdiri dari lima bab dan secara garis besar dapat diuraikan sebagai berikut : BAB I PENDAHULUAN Pada bab 1 akan dibahas mengenai latar belakang penulisan, ruang lingkup penelitian, tujuan dan manfaat penelitian, metodologi yang digunakan selama penelitian yang berlangsung dan sistematika penulisan. BAB II LANDASAN TEO RI Pada bab ini akan diuraikan teori-teori yang relevan yang mendasari pem buatan skripsi ini. Pada bagian ini akan dideskripsikan teori-teori yang berhubungan dengan teori teknologi informasi, sistem informasi, manajemen, risiko, risiko teknologi informasi, dan berbagai teori pendukung lainnya. BAB III GAMBARAN UMUM PERUSAHAAN Pada bab ini akan dibahas mengenai sejarah perusahaan, visi dan misi perusahaan, strukt ur ogranisasi dan uraian tugas, serta gambaran teknologi informasi
7 yang ada di dalam perusahaan saat ini yang terdiri dari topologi jaringan dan aset-aset teknologi informasi. BAB IV HASIL DAN PEMBAHASAN PENG UKURAN RES IKO TEKNO LOGI INFO RMASI Pada bab ini akan dibahas mengenai pengukuran dan analisis risiko dari penerapan teknologi informasi dalam perusahaan serta ditemukannya berbagai risiko yang ada di dalam perusahaan. BAB V SIMPULAN DAN SARAN Pada bab ini akan disimpulkan hasil dari pengukuran dan analisis r isiko dar i penerapan teknologi informasi yang ada di perusahaan, serta memberikan saran-saran yang berupa masukan bagi keamanan teknologi informasi di perusahaan.