Nama : Septiarani S.W
NIM/Off : 140411600714/GG
Prodi : S1 Pendidikan Tata Niaga
MANAJEMEN RISIKO TEKNOLOGI INFORMASI:
STUDI KASUS PADA PERUSAHAAN JASA
Achmad Reza Viyanto; Okhran Steve Latuihamallo; Franky Mangihut Tua;
Anderes Gui; Suryanto
Computerized Accounting Department, School of Information Systems, Binus University
Jl. K.H. Syahdan No. 9, Palmerah, Jakarta Barat 11480
anderesgui@binus.edu
Morse, sebuah perusahaan IT asal Inggris, telah melakukan survei pada 1.460 karyawan perusahaan tersebut. Ternyata, lebih dari setengahnya (57%) di antara mereka menggunakan waktu kerja selama 40 menit per minggu, atau kira-kira satu minggu dalam setahun hanya untuk mengakses situs jejaring sosial, seperti Facebook dan Twitter. Kegiatan mengakses situs jejaring sosial ini dapat merugikan sejumlah pengusaha. Terutama bagi perusahaan yang karyawannya berinteraksi di sana selama jam kerja dan menurunkan produktivitas. Bila dikalkulasikan, diperkirakan bahwa pebisnis di seluruh Inggris mengalami kerugian total sekitar 1,38 miliar poundsterling atau 21 triliun rupiah per tahun akibat waktu yang disalahgunakan oleh karyawannya.
Contoh kasus di atas memberikan suatu gambaran mengenai kerugian yang diakibatkan oleh lemahnya sistem pengendalian dalam mengelola penggunaan teknologi informasi. Teknologi informasi yang sebelumnya diharapkan oleh perusahaan untuk meningkatkan produktivitas karyawan justru membawa dampak yang merugikan karena kurangnya pemahaman mengenai dimensi risiko teknologi informasi. Kemudian pemahaman itu juga seharusnya diikuti dengan pengetahuan tentang cara terbaik dalam mengatasinya, tidak hanya dengan melakukan pengukuran terhadap risiko, tetapi dengan mendefinisikan penanggulangan apabila risiko-risiko tersebut terjadi dan tentu saja mengimplementasikan manajemen risiko. Oleh karena itu perlu dilakukan pengukuran risiko teknologi informasi.
Untuk mengumpulkan data-data yang dibutuhkan pada penelitian ini, dilakukan wawancara dengan pihak HRD dan pihak TI dengan upaya untuk mengetahui risiko-risiko apa saja yang terjadi atau kemungkinan terjadi pada perusahaan. Metode OCTAVE-S tersebut terdiri dari tiga tahap (Alberts, et al., 2003,), yaitu: (1) membangun aset berbasis profil ancaman; (2) mengidentifikasi kerentanan infrastruktur; dan (3) mengembangkan strategi keamanan dan perencanaan.
Dari ketiga tahap tersebut di dalamnya terdapat 5 proses yang terdiri dari 16 aktivitas dan 30 langkah. Lima proses tersebut yaitu: (1) mengidentifikasi informasi organisasi, yang terdiri dari 3 aktivitas dan 4 langkah; (2) membuat profil ancaman, yang terdiri dari 3 aktivitas dan 12 langkah; (3) memeriksa perhitungan infrastruktur yang berhubungan dengan aset kritis, yang terdiri dari 2 aktivitas dan 5 langkah; (4) identifikasi dan analisis risiko, yang terdiri dari 3 aktivitas dan 3 langkah; (5) mengembangkan strategi perlindungan dan rencana mitigasi, yang terdiri dari 5 aktivitas dan 6 langkah.
Di dalam metode OCTAVE-S terdapat beberapa kategori risiko yang merupakan dasar pengukuran risiko OCTAVE-S, di mana kategori risiko ini menjadi tolak ukur wajib dalam melakukan penelitian. Kategori tersebut yaitu: Kesadaran Keamanan dan Pelatihan; Strategi Keamanan; Manajemen Keamanan; Peraturan dan Kebijakan Keamanan; Kolaborasi Manajemen Keamanan; Rencana Kemungkinan; Pengendalian Akses Fisik; Pemantauan dan Audit Keamanan Fisik; Manajemen jaringan dan sistem; Pemantauan dan Audit Keamanan TI; Pengesahan dan Otorisasi; Manajemen Kerentanan; Enkripsi; Desain dan Arsitektur Keamanan; Manajemen Insiden.
Menurut Alberts, et al. (2003), selama mengevaluasi OCTAVE-S, tim analisis melibat keamanan dari beberapa perspektif, memastikan bahwa rekomendasi yang dicapai sesuai dengan keseimbangan berdasarkan kebutuhan organisasi.
Hasil utama dari OCTAVE-S, yaitu: Strategi perlindungan organisasi yang luas, Rencana mitigasi risiko, Daftar tindakan. Hasil OCTAVE-S yang berguna lainnya, yaitu: Daftar informasi penting terkait dengan aset yang mendukung tujuan bisnis dan sasaran organisasi, hasil survei menunjukkan sejauh mana organisasi mengikuti praktek keamanan yang baik, profil risiko untuk setiap aset kritis menggambarkan jarak antara risiko terhadap aset.
Analisis
Hasil analisis praktik keamanan pada perusahaan, yaitu:
Manajemen Keamanan
Perusahaan telah melakukan pengalokasian dan sumber daya yang cukup untuk aktivitas keamanan informasi. Peran keamanan dan tanggung jawab sudah dijelaskan kepada semua karyawan. Sebagian karyawan telah melaksanakan dengan baik tugas dan tanggung jawab yang berkaitan dengan keamanan informasi dan memberikan sanksi kepada karyawan yang terlibat dalam permasalahan keamanan informasi.
Saat ini perusahaan belum melakukan penilaian risiko terhadap keamanan informasi. Jika terjadi risiko maka divisi IT yang akan langsung mengambil langkah-langkah dalam meminimalisir risiko keamanan informasi tersebut. Selain itu perusahaan juga tidak memiliki kebijakan dan prosedur mengenai penghentian kerja terhadap pihak karyawan yang terlibat dalam permasalahan keamanan informasi.
Manajemen jaringan dan sistem
Perusahaan telah mengelola sistem dan jaringan dengan baik, hal tersebut dapat dilihat dari adanya penggunaan sistem wireless di dalam jaringan LAN. Perusahaan telah melindungi informasi sensitif di tempat yang aman. Dan pihak yang tidak mempunyai wewenang yang berkaitan dengan informasi tersebut tidak dapat mengaksesnya.
Manajemen Kerentanan
Perusahaan belum memiliki manajemen kerentanan dengan baik karena perusahan tidak meninjau atau menilai sumber informasi mengenai kerentanan informasi, peringatan dan keamanan informasi dan pemberitahuan. Hal lainnya adalah perusahaan tidak mengidentifikasi komponen infrastruktur untuk dievaluasi serta tidak memberikan penafsiran dan menanggapi hasilnya.
Perusahaan belum meninjau atau menilai sumber informasi mengenai kerentanan informasi, peringatan akan keamanan informasi dan pemberitahuan. Selain itu perusahaan juga tidak melakukan identifikasi terhadap komponen infrastruktur untuk di evaluasi secara periodik. Dan prosedur manajemen kerentanan belum dimonitori dan ditinjau serta di-update secara berkala.
Manajemen Insiden
Dalam mengelola insiden di dalam perusahaan, perusahaan memiliki prosedur yang didokumentasikan untuk mengidentifikasi, melaporkan dan menanggapi dugaan pelanggaran keamanan dan insiden. Namun dalam penanganannya, perusahaan belum melakukan verifikasi dan diperbaharui secara periodik.
Manajemen Keamanan dan Studi Kasusnya 