Search This Blog

Saturday, May 7, 2011

Kriteria COBIT :effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability

Resiko - Resiko Pada Teknologi Informasi




http://blackantzz.blogspot.com
Untuk mencapai tujuan bisnisnya, seringkali perusahaan-perusahaan menggunakan teknologi informasi sebagai basis dalam penciptaan layanan yang berkualitas ataupun dalam optimalisasi proses bisnisnya. Namun penerapan teknologi informasi memerlukan perencanaan yang strategis agar penerapannya dapat selaras (alignment) dengan tujuan bisnisnya. Jika penerapan TI tidak sesuai dengan arah bisnis perusahaan, maka hal inilah yang akan menimbulkan resiko. Resiko yang timbul akibat penerapan TI yang salah akan menyebabkan proses bisnis yang tidak optimal, kerugian finansial, menurunnya reputasi perusahaan, atau bahkan hancurnya bisnis perusahaan. Oleh karena itu diperlukan suatu pengukuran terhadap resiko penerapan TI bagi perusahaan.

Pengukuran resiko TI berguna untuk mengetahui profil resiko TI, analisa terhadap resiko, kemudian melakukan respon terhadap resiko tersebut sehingga tidak terjadi dampak-dampak yang dapat ditimbulkan oleh resiko tersebut. Banyak sekali metode atau framework yang bisa dijadikan sebagai best practice dalam penerapan manajemen resiko TI. Diantaranya dengan menerapkan COBIT (Control Objectives for Information and Related Technology), OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation ), NIST Special Publication 800-30 atau framework manajemen resiko lainnya. Namun penerapan framework tersebut tidak akan selalu sama untuk setiap perusahaan. Karena perbedaan karakteristik bisnis yang dijalankan.

Penelitian ini memodelkan framework manajemen resiko dalam penerapan TI di dalam organisasi ataupun perusahaan. Tujuan dari penelitian ini adalah untuk memberikan gambaran yang lebih sederhana dan mudah dalam menerapkan framework- framework manajemen resiko yang telah ada. Framework-framework manajemen resiko yang menjadi bahan dalam penelitian ini adalah COBIT (Control Objectives for Information and Related Technology),NIST Special Publication 800-30 dan OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation ).

2. KARAKTERISTIK TI PERUSAHAAN DI NEGARA BERKEMBANG

Penerapan TI pada perusahaan di negara berkembang masih belum optimal, hal ini disebabkan karena :

1. Pembangunan infrastruktur TI yang belummemadai. Sebagai contoh pembangunan telekomunikasi di negara-negara berkembang yang terhambat disebabkan oleh faktor kebijakan dan regulasi, faktor keuangan, kondisi politik, SDM dan sebagainya[7].

2. Sumber Daya Manusia (SDM) TI yang masih kurang. Kebutuhan SDM TI untuk indonesia hingga tahun 2010 diperkirakan sebanyak 320.000 orang[8].

3. Lemahnya Industri Perangkat Lunak. Hal ini disebabkan oleh banyak faktor, diantaranya :butuh SDM dengan kualifikasi teknik tinggi, sumber-sumber informasi pengembangan piranti lunak tidak didapatkan di bangku kuliah, dukungan finansial yang relatif kecil, dan masih adanya pembajakan piranti lunak[9].

Dari ketiga hal faktor yang menyebabkan rendahnya penentrasi TI, maka diperlukan suatu pemodelan framework manajemen resiko yang dapat membantu perusahan-perusahaan TI di negara berkembang untuk lebih mengenal resiko yang ada, mencoba untuk menganalisa resiko sehingga bisa memilih respon terhadap resiko dengan tepat.

3. FRAMEWORK-FRAMEWORK MANAJEMEN RESIKO TI
3.1. COBIT


COBIT (Control Objectives for Information and Related Technology) merupakan standard yangdikeluarkan oleh ITGI (The IT Governance Institute)[1]. COBIT merupakan suatu koleksi dokumen dan framework yang diklasifikasikan dan secara umum diterima sebagai best practice untuk tata kelola (IT Governance), kontrol dan jaminan TI. Referensi perihal manajemen resiko secara khusus dibahas pada proses PO9 dalam COBIT. Prosesproses yang lain juga menjelaskan tentang manajemen resiko namun tidak terlalu detil.

GAMBAR 2.1. Framework Manajemen Resiko COBIT
(Sumber :www.swpark.or.th//itsec2003/download/IT%20Risk%20
Management.PDF )

Resiko adalah segala hal yang mungkin berdampak pada kemampuan organisasi dalam mencapai tujuantujuannya. Framework manajemen resiko TI dengan menggunakan COBIT (gambar 2.1) terdiri dari :

1. Penetapan Objektif
Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI. Terdapat tujuh kriteria informasi dari COBIT yaitu :effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability.
2. Identifikasi Resiko

Identifikasi resiko merupakan proses untuk mengetahui resiko. Sumber resiko bisa berasal dari :
• Manusia, proses dan teknologi
• Internal (dari dalam perusahaan) dan eksternal (dari luar perusahaan)
• Bencana (hazard), ketidakpastian (uncertainty) dan kesempatan (opportunity).

Dari ketiga sumber resiko tersebut dapat diketahui kejadian-kejadian yang dapat mengganggu perusahaan dalam mencapai objektifnya (tabel 2.1).

3. Penilaian Resiko Proses untuk menilai seberapa sering resiko terjadi atau seberapa besar dampak dari resiko (tabel 2.2).Dampak resiko terhadap bisnis (business impact) bisa berupa : dampak terhadap financial, menurunnya reputasi disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan aset yang dapatdinilai (sistem dan data), dan penundaan proses pengambilan keputusan.

Sedangkan kecenderungan (likelihood) terjadinya resiko dapat disebabkan oleh sifat alami dari bisnis, struktur dan budaya organisasi, sifat alami dari sistem (tertutup atau terbuka, teknologi baru dan lama), dan kendali-kendali yang ada. Proses penilaian resiko bisa berupa resiko yang tidak dapat dipisahkan (inherent risks) dan sisa resiko (residual risks).

4. Respon Resiko
Untuk melakukan respon terhadap resiko adalah dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen resiko. Jika sisa resiko masih melebihi resiko yang dapat diterima (acceptable risks), maka diperlukan respon resiko tambahan. Proses-proses pada framework COBIT (dari 34 Control Objectives) yang sesuai untuk manajemen resiko adalah :
• PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)
• AI6 (Manages Change)
• DS5 (Ensure System and Security) dan DS11 (Manage Data)
• ME1 (Monitor and Evaluate IT Performance)

5. Monitor Resiko
Setiap langkah dimonitor untuk menjamin bahwa resiko dan respon berjalan sepanjang waktu

============================================================================

NIST (National Institute of Standard and Technology ) mengeluarkan rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System[2]. Terdapat tiga proses dalam manajemen resiko (gambar 2.2) yaitu :

• Proses Penilaian Resiko (Risk Assessment).

Terdapat sembilan langkah dalam proses penilaian resiko yaitu :

1. Mengetahui karakteristik dari sistem TI : Hardware, software, sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang yang mendukung atau menggunakan sistem, arsitektur keamanan sistem, topologi jaringan sistem,

2. Identifikasi Ancaman yang mungkin menyerang kelemahan sistem TI. Sumber ancaman bisa berasal dari alam, manusia dan lingkungan.

3. Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur keamanan, desain, implementasi, dan internal kontrol terhadap sistem
sehingga menghasilkan pelanggaran terhadap kebijakan keamanan sistem.

4. Menganalisa kontrol - kontrol yang sudah diimplementasikan atau direncanakan untuk diimplementasikan oleh organisasi untuk mengurangi atau menghilangkan kecenderungan (kemungkinan) dari suatu ancaman menyerang sistem yang vulnerable.

5. Penentuan Kecenderungan (likelihood) dari kejadian bertujuan untuk memperoleh penilaian terhadap keseluruhan kecenderungan yang
mengindikasikan kemungkinan potensi vulnerability diserang oleh lingkungan ancaman yang ada.

6. Analisa dampak yang kurang baik yang dihasilkan dari suksesnya ancaman menyerang vulnerability. Seperti loss of integrity, loss of availability, dan loss of confidentiality. Pengukuran dampak dari resiko TI dapat dilakukan secara kualitatif maupun kuantitatif. Dampak tersebut dapat diklasifikasikan menjadi 3 bagian yaitu : high, medium dan low.

7. Penentuan Level Resiko. Penentuan level resiko dari Sistem TI yang merupakan pasangan ancaman/vulnerability merupakan suatu fungsi :

• Kecenderungan suatu sumber ancaman menyerang vulnerability dari sistem TI.
• Besaran dampak yang akan terjadi jika sumber ancaman sukses menyerang vulnerability dari sistem TI.
• Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan menghilangkan resiko.

8. Rekomendasi - rekomendasi untuk mengurangi level resiko sistem TI dan data sehingga mencapai level yang bisa diterima.

9. Dokumentasi hasil dalam bentuk laporan

------------------------
• Proses Pengurangan Resiko (Risk Mitigation).

Strategi di dalam melakukan pengurangan resiko misalnya dengan menerima resiko (risk assumption), mencegah terjadinya resiko (risk avoidance), membatasi level resiko (risk limitation), atau mentransfer resiko (risk transference). Metodologi pengurangan resiko berikut menggambarkan pendekatan untuk mengimplementasikan kontrol :

1. Memprioritaskan aksi. Berdasarkan level resiko yang ditampilkan dari hasil penilaian resiko, implementasi dari aksi diprioritaskan. Output dari langkah pertama ini adalah ranking aksi-aksi mulai dari tinggi hingga rendah

2. Evaluasi terhadap kontrol yang direkomendasikan. Pada langkah ini, Kelayakan (misal kompatibilitas, penerimaan dari user) dan
efektifitas (misal tingkat proteksi dan level dari pengurangan resiko) dari pilihan-pilihan kontrol yang direkomendasikan dianalisa dengan tujuan untuk meminimalkan resiko. Output dari langkah kedua adalah membuat daftar kontrol-kontrol yang layak

3. Melakukan cost-benefit analysis. Suatu costbenefit analysis dilakukan. untuk menggambarkan biaya dan keuntungan jika mengimplementasikan atau tidak mengimplementasikan kontrol - kontrol tersebut.

4. Memilih kontrol. Berdasarkan hasil cost-benefit analysis, manajemen menentukan kontrol dengan biaya paling efektif untuk mengurangi resiko terhadap misi organisasi.

5. Memberikan tanggung jawab. Personil yang sesuai (personil dari dalam atau personil yang
dikontrak dari luar) yang memiliki keahlian dan ketrampilan ditugaskan untuk mengimplementasikan pemilihan kontrol yang diidentifikasi, dan bertanggung jawab terhadap yang ditugaskan.

6. Mengembangkan rencana implementasi safeguard yang minimal mengandung informasitentang resiko (pasangan vulnerability/ ancaman)
dan level resiko (hasil dari laporan penilaian resiko), kontrol yang direkomendasikan (hasil dari laporan penilaian resiko, aksi-aksi yang diprioritaskan (dengan prioritas yang diberikan terhadap pilihan level resiko tinggi atau sangan tinggi), pilih kontrol yang telah direncanakan (tentukan berdasarkan kelayakan, efektifitas, keuntungan terhadap organisasi dan biaya), sumberdaya yang dibutuhkan untuk mengimplementasikan pilihan kontrol yang telah direncanakan, buat daftar staf dan personil yang bertanggung jawab, tanggal dimulainya implementasi, tanggal target penyelesaian untuk implementasi dan Kebutuhan untuk perawatan.

7. Implementasikan kontrol yang dipilih. Tergantung pada situasi tertentu, kontrol yang dipilih akan menurunkan resiko tetapi tidak menghilangkan resiko. Output dari langkah ketujuh adalah sisa resiko.

• Proses Evaluasi Resiko (Risk Evaluation)
Pada proses ini dilakukan evaluasi apakah pendekatan manajemen resiko yang diterapkan sudah sesuai. Kemudian dilakukan penilaian resiko kembali untuk memastikan keberadaan resiko yang teridentifikasi maupun resiko yang belum teridentifikasi.

• Proses Evaluasi Resiko (Risk Evaluation)
Pada proses ini dilakukan evaluasi apakah pendekatan manajemen resiko yang diterapkan sudah sesuai. Kemudian dilakukan penilaian resiko kembali untuk memastikan keberadaan resiko yang teridentifikasi maupun resiko yang belum teridentifikasi.

3.3. OCTAVE


Framework manajemen resiko (gambar 2.3) menggunakan pendekatan OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation ) [3] adalah :

1. Identifikasi
Identifikasi merupakan proses transformasi ketidakpastian dan isu tentang seberapa baik aset organisasi dilindungi dari resiko. Tugas yang harus dilakukan adalah identifikasi profil resiko (aset kritis, ancaman terhadap aset, kebutuhan keamanan untuk aset kritis, deskripsi tentang dampak resiko pada organisasi, dan komponen infrastruktur utama yang berhubungan dengan aset kritis) dan identifikasi informasi organisasi (kebijakan, praktek dan prosedur keamanan, kelemahan teknologi dan kelemahan organisasi saat ini ).
2. Analisa
Analisa merupakan proses untuk memproyeksikan bagaimana resiko-resiko ekstensif dan bagaimana menggunakan proyeksi tersebut untuk membuat skala prioritas. Tugas dalam proses analisa adalah melakukan evaluasi resiko (Nilai-nilai untuk mengukur resiko- dampak dan peluang) dan skala prioritas resiko (pendekatan pengurangan resiko, menerima atau mengurangi resiko).

3. Perencanaan
Perencanaan merupakan proses untuk menentukan aksi-aksi yang akan diambil untuk meningkatkan postur dan perlindungan keamanan aset kritis tersebut. Langkah dalam perencanaan adalah mengembangkan strategi proteksi, rencana mitigasi resiko, rencana aksi, budget, jadwal, kriteria sukses, ukuran-ukuran untuk monitor rencana aksi, dan penugasab personil untuk implementasi rencana aksi.

4. Implementasi
Implementasi merupakan proses untuk melaksanakan aksi yang direncanakan untuk meningkatkan keamanan sistem berdasarkan jadwal dan kriteria sukses yang didefinisikan selama perencanaan resiko. Implementasi menghubungkan antara perencanaan dengan monitor dan kontrol.

5. Monitor
Proses ini memonitor jejak rencana aksi untuk menentukan status saat ini dan meninjau ulang data organisasi sebagai tanda adanya resiko baru dan perubahan resiko yang ada. Langkah dalam proses monitor adalah melakukan eksekusi rencana aksi secara lengkap, mengambil data (data untuk melihat jalur rencana aksi terkini, data tentang indikator resiko utama) dan laporan-laporan terkini dan indikator resiko utama.

6. Kontrol
Mengontrol resiko adalah proses yang didesain agar personil melakukan penyesuaian rencana aksi dan menentukan apakah merubah kondisi organisasi akan menyebabkan timbulnya resiko baru. Langkah dalam proses monitor resiko adalah analisa data (analisa laporan terkini dan analisa indikator resiko), membuat keputusan (keputusan tentang rencana aksi dan keputusan tentang identifikasi resiko baru), dan melakukan eksekusi keputusan (mengkomunikasikan keputusan, mengimplementasikan perubahan rencana aksi, dan memulai aktifitas identifikasi resiko).

4. MODEL FRAMEWORK MANAJEMEN RESIKO TI

Model framework manajemen resiko TI (gambar 2.4) terdiri dari :

1. Identifikasi Resiko
Proses identifikasi resiko (gambar 3.1) terdiri dari sumber resiko, kejadian (event) yang dapat menyebabkan resiko dan dampak yang dihasilkan jika resiko itu terjadi (effect). Sumber resiko dan kelemahan (vulnerability) ini akan menjadi sumber ancaman (threat source).

2. Analisa Resiko
Setelah sumber dan kejadian yang menyebabkan resiko teridentifikasi, maka dilakukan analisa resiko yaitu menilai level resiko dan membuat ranking resiko dengan mempertimbangkan faktor kecenderungan (likelihood) dan besarnya dampak resiko (impact). Pendekatan analisa resiko dapat secara kualitatif atau kuantitatif. Level kecenderungan dan dampak dapat dikategorikan sesuai variasi yang ada, misalnya menjadi high, medium dan low seperti yang ada pada NIST dan OCTAVE.

3. Respon Resiko
Berdasarkan hasil analisa resiko, maka dilakukan perencanaan aksi yang ingin dilakukan terhadap resiko. Apakah akan menghilangkan resiko (risk retention), mengurangi resiko (risk reduction) hingga mencapai tingkat yang dapat diterima (acceptable level), mencegah resiko (risk avoidance) atau mentransfer resiko (risk transfer). Hasil perencanaan ini kemudian diimplementasikan oleh personil yang ditunjuk berdasarkan prioritas resiko, jadwal, budget dan kontrol yang telah ditetapkan.

4. Evaluasi Resiko
Proses ini berfungsi untuk mengetahui apakah implementasi kontrol terhadap resiko sudah sesuai, dan apakah masih ada sisa resiko (risk residual) atau ada resiko baru.

5. PENUTUP
Model framework manajemen resiko berdasarkan studi best practice COBIT, rekomendasi NIST Spesial Publication 80-300, dan OCTAVE terdiri dari proses identifikasi resiko (sumber resiko, kejadian resiko, dampak resiko), analisa resiko (tingkat kecenderungan dan besarnya dampak resiko), respon resiko (hilangkan resiko, kurangi resiko, cegah resiko atau transfer resiko) dan evaluasi resiko (adakah sisa resiko atau resiko baru) (tabel 3.2). Model framework manajemen resiko yang sederhana ini dapat membantu perusahaan TI di negara-negara berkembang untuk dapat mengenal resiko TI di perusahaannya, menganalisa resiko, dan memilih respon terhadap resiko yang teridentifikasi tersebut.

6. REFERENSI
[1].The IT Governance Institute, USA, "COBIT 4.0", ,2005.

[2].G. Stoneburner, A. Goguen and A. Feringa, “Risk Management Guide for Information Technology System”, Recommedation of National Institute of Standards and Technology Special Publication 800-30, July, 2002.

[3].C.Alberts, A.Dorofee, “Managing Information Security Risks: The OCTAVESM Approach”, Addison Wesley, USA, July 09, 2002.

[4].R. Flanagan and G. Norman, “Risk management and Construction”, Blackwell Science Ltd, London, 1996.

[5].ISACA, “Information Security Harmonization : Classification of Global Guidance”, USA, 2005.

[6].R.E. Indrajit, “Integrasi Proses Bisnis Korporat dengan Teknik Pengukuran Kinerja Sistem dan Teknologi Informasi (Implementasi Manajemen Resiko dengan Menggunakan COBIT)”, Pada Prosiding Konferensi Nasional Sistem Informasi2005, Bandung : Penerbit Informatika, 2005, hal. 169-175.

[7].R. Lumanto, K.Herusantoso, dan B.H. Tjahyono, “Kajian Komparasi Pembangunan Telekomunikasi di Negara ASEAN”, Pada Prosiding Konferensi Nasional Teknologi Informasi dan Komunikasi untuk Indonesia, Bandung, 2005.

[8].Bandung Hi-Tech Valley, “Blue Book IT Human Resource Development”, Agustus, 2003.

[9].I. Maulana, “Strategi Menumbuhkan Industri Perangkat Lunak”, Pada Prosiding Konferensi Nasional Teknologi Informasi dan Komunikasi untuk Indonesia, Bandung, 2005.

Prosiding Konferensi Nasional Teknologi Informasi & Komunikasi untuk Indonesia
3-4 Mei 2006, Aula Barat & Timur Institut Teknologi Bandung

Seluruh artikel dapat di jadikan referensi atau di copy pastekan. selama sumber nya di cantumkan. yaitu alamat blog ini.

No comments:

Post a Comment